Comment enquêter sur les ouvertures de session nécessitant une alerte sur un appareil conforme ou géré ?

La surveillance Microsoft Entra Health fournit un ensemble de métriques d’intégrité au niveau du locataire que vous pouvez surveiller et alerter lorsqu’un problème potentiel ou une condition d’échec est détecté. Il existe plusieurs scénarios d’intégrité qui peuvent être surveillés, y compris deux liés aux appareils :

• Connexions nécessitant un appareil conforme à l’accès conditionnel
• Connexions nécessitant un appareil géré à l’accès conditionnel

Cet article décrit les métriques d’intégrité liées aux appareils conformes et gérés et comment résoudre un problème potentiel lorsque vous recevez une alerte. Pour plus d’informations sur l’interaction avec les scénarios de surveillance de la santé et sur l’examen de toutes les alertes, consultez Comment enquêter sur les alertes des scénarios de santé.

Essentiel

Le monitoring et les alertes du scénario Microsoft Entra Health sont actuellement en PRÉVERSION. Cette information concerne un produit en version préliminaire susceptible d’être sensiblement modifié avant sa mise en production. Les informations fournies ici ne font l’objet d’aucune garantie, expresse ou implicite, de la part de Microsoft. L’expérience du Centre d’administration Microsoft Entra est déployée progressivement pour les clients, vous pourriez donc ne pas voir toutes les fonctionnalités décrites dans cet article.

Prérequis

Il existe différents rôles, autorisations et licences nécessaires pour voir les signaux de monitoring de l’intégrité ainsi que pour configurer et recevoir des alertes. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.

• Un tenant (locataire) disposant d’une licence Microsoft Entra P1 ou P2 est nécessaire pour voir les signaux de monitoring de scénarios d’intégrité Microsoft Entra.
• Pour pouvoir consulter les alertes et recevoir des notifications d’alerte, vous devez disposer d’un locataire avec une licence Microsoft Entra P1 ou P2 non expérimentaleetd’au moins 100 utilisateurs actifs mensuels.
• Le rôle Lecteur de rapports est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour voir les signaux de monitoring de scénarios, les alertes et les configurations d’alerte.
• L’Administrateur du support technique est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour mettre à jour les alertes et mettre à jour les configurations de notification d’alerte.
• L’autorisation HealthMonitoringAlert.Read.All est nécessaire pour voir les alertes à l’aide de l’API Microsoft Graph.
• L’autorisation HealthMonitoringAlert.ReadWrite.All est nécessaire pour voir et modifier les alertes à l’aide de l’API Microsoft Graph.
• Pour une liste complète des rôles, voir Rôle le moins privilégié par tâche.

Examiner les signaux et les alertes

L’examen d’une alerte commence par la collecte de données. Avec Microsoft Entra Health dans le Centre d’administration Microsoft Entra, vous pouvez afficher les détails du signal et des alertes à un seul endroit. Vous pouvez également afficher les signaux et les alertes à l’aide de l’API Microsoft Graph. Pour plus d’informations, consultez Comment examiner les alertes de scénarios de santé pour savoir comment collecter des données à l’aide de l’API Microsoft Graph.

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

2. Accédez à Identité>Monitoring et intégrité>Intégrité. La page s’ouvre sur la page d'atteinte du Contrat de niveau de service (SLA).

3. Sélectionnez l’onglet Monitoring de l’intégrité.

4. Sélectionnez les connexions nécessitant un appareil conforme ou des connexions nécessitant un scénario de d’appareil géré, puis sélectionnez une alerte active.

   

5. Affichez le signal à partir de la section Afficher le graphique de données pour vous familiariser avec le modèle et identifier les anomalies.

   

6. Passez en revue vos politiques de conformité des appareils Intune.

   • Pour plus d'informations, voir Vue d'ensemble de la conformité des appareils Intune.
   • Apprenez à surveiller les stratégies de conformité des appareils.
   • Si vous n’utilisez pas Intune, passez en revue les stratégies de conformité de votre solution de gestion des appareils.

7. Examinez les problèmes courants d’accès conditionnel.

   • Dépannage des stratégies de conformité des appareils d'accès conditionnel.
   • Résoudre les problèmes de connexion à l'accès conditionnel.

8. Consultez les journaux de connexion.

   • Examiner les détails du journal de connexion.
   • Recherchez les utilisateurs bloqués de se connecter et ont une stratégie d’appareil conforme appliquée.

9. Vérifiez les journaux d’audit pour connaître les modifications de stratégie récentes.

   • Utilisez les journaux d’audit pour résoudre les problèmes liés aux changements de stratégie d’accès conditionnel.

Atténuer les problèmes courants

Les problèmes courants suivants peuvent entraîner un pic de connexions nécessitant un appareil conforme ou géré. Cette liste n’est pas exhaustive, mais fournit un point de départ pour votre enquête.

De nombreux utilisateurs ne peuvent pas se connecter à partir d’appareils connus

Si un grand groupe d’utilisateurs est bloqué de se connecter à des appareils connus, un pic peut indiquer que ces appareils ont dépassé la conformité. Si le nombre d’utilisateurs affectés indique un pourcentage élevé des utilisateurs de votre organisation, vous pouvez examiner un problème généralisé.

Pour examiner :

1. Dans la section Entités affectées section du scénario sélectionné, sélectionnez Afficher pour les utilisateurs.

   • Un exemple d’utilisateurs affectés apparaît dans un panneau. Sélectionnez un utilisateur pour accéder directement à son profil dans lequel vous pouvez afficher son activité de connexion et d’autres détails.
   • Avec l’API Microsoft Graph, recherchez l'resourceType « utilisateur » et la valeur impactedCount dans le résumé de l’impact.

   

2. Vérifiez votre stratégie de conformité des appareils Intune.

3. Vérifiez vos stratégies de conformité de vos appareils d'accès conditionnel.

L’utilisateur(-trice) ne peut pas se connecter à partir d'un appareil inconnu

Si l’augmentation des connexions bloquées provient d’un appareil inconnu, ce pic peut indiquer qu’un attaquant a acquis les informations d’identification d’un(e) utilisateur(-trice) et tente de se connecter à partir d’un appareil utilisé pour ces attaques. Si le nombre d’utilisateurs affectés affiche un petit sous-ensemble d’utilisateurs, le problème peut être spécifique à l’utilisateur.

Pour examiner :

1. Dans la section Entités affectées section du scénario sélectionné, sélectionnez Afficher pour les utilisateurs.

   • Une liste d’utilisateurs affectés apparaît dans un panneau. Sélectionnez un utilisateur pour accéder directement à son profil dans lequel vous pouvez afficher son activité de connexion et d’autres détails.
   • Avec l’API Microsoft Graph, recherchez l'resourceType « utilisateur » et la valeur impactedCount dans le résumé de l’impact.

2. Consultez les journaux de connexion.

3. Examiner les risques avec Protection des ID Microsoft Entra.

Remarque

Microsoft Entra ID Protection nécessite une licence Microsoft Entra P2.

Problèmes de réseau

Une panne du système s’est peut-être produite à l’échelle régionale, et a obligé un grand nombre d’utilisateurs à se connecter en même temps.

Pour examiner :

1. Dans la section Entités affectées section du scénario sélectionné, sélectionnez Afficher pour les utilisateurs.

   • Une liste d’utilisateurs affectés apparaît dans un panneau. Sélectionnez un utilisateur pour accéder directement à son profil dans lequel vous pouvez afficher son activité de connexion et d’autres détails.
   • Avec l’API Microsoft Graph, recherchez l'resourceType « utilisateur » et la valeur impactedCount dans le résumé de l’impact.

2. Vérifiez l’intégrité de votre système et de votre réseau pour déterminer si une panne ou une mise à jour correspond à la même période que l’anomalie.

3. Consultez les journaux de connexion.

   • Ajustez votre filtre pour afficher les connexions à partir d’une région où se trouve un utilisateur affecté.

4. Si votre organisation utilise l’Accès global sécurisé, passez en revue les journaux de trafic.

Contenu connexe

• En savoir plus sur l’accès conditionnel et Intune
• En savoir plus sur les appareils hybrides Microsoft Entra