Comment enquêter sur les ouvertures de session nécessitant une alerte sur un appareil conforme ou géré ?

La surveillance Microsoft Entra Health fournit un ensemble de métriques d’intégrité au niveau du locataire que vous pouvez surveiller et alerter lorsqu’un problème potentiel ou une condition d’échec est détecté. Il existe plusieurs scénarios d’intégrité qui peuvent être surveillés, y compris deux liés aux appareils :

• Connexions nécessitant un appareil conforme à l’accès conditionnel
• Connexions nécessitant un appareil géré à l’accès conditionnel

Ces scénarios vous permettent de surveiller et de recevoir des alertes sur l’authentification utilisateur qui répondent à une stratégie d’accès conditionnel nécessitant la connexion à partir d’un appareil conforme ou géré. Pour en savoir plus sur le fonctionnement de Microsoft Entra Health, consultez :

• Qu’est-ce que Microsoft Entra Health ?
• Comment utiliser les signaux et les alertes de surveillance de Microsoft Entra Health ?

Cet article décrit les métriques d’intégrité liées aux appareils conformes et gérés et comment résoudre un problème potentiel lorsque vous recevez une alerte.

Prérequis

Il existe différents rôles, autorisations et licences nécessaires pour voir les signaux de monitoring de l’intégrité ainsi que pour configurer et recevoir des alertes. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.

• Un tenant (locataire) disposant d’une licence Microsoft Entra P1 ou P2 est nécessaire pour voir les signaux de monitoring de scénarios d’intégrité Microsoft Entra.
• Un tenant (locataire) disposant à la fois d’une licence Microsoft Entra P1 ou P2 et d’au moins 100 utilisateurs actifs mensuels est nécessaire pour voir les alertes et recevoir des notifications d’alerte.
• Le rôle Lecteur de rapports est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour voir les signaux de monitoring de scénarios, les alertes et les configurations d’alerte.
• L’Administrateur du support technique est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour mettre à jour les alertes et mettre à jour les configurations de notification d’alerte.
• L’autorisation HealthMonitoringAlert.Read.All est nécessaire pour voir les alertes à l’aide de l’API Microsoft Graph.
• L’autorisation HealthMonitoringAlert.ReadWrite.All est nécessaire pour voir et modifier les alertes à l’aide de l’API Microsoft Graph.
• Pour une liste complète des rôles, voir Rôle le moins privilégié par tâche.

Examiner l’alerte et le signal

L’examen d’une alerte commence par la collecte de données.

1. Collectez les détails des signaux et le résumé de l’impact.
   • Pour plus d'informations, consultez Vue d'ensemble de la surveillance de l'intégrité de Microsoft Graph.
   • Exécutez les alertes de listes API pour récupérer toutes les alertes pour le locataire.
   • Exécutez l’API Obtenir une alerte pour récupérer les détails d’une alerte spécifique.
2. Passez en revue vos politiques de conformité des appareils Intune.
   • Pour plus d'informations, voir Vue d'ensemble de la conformité des appareils Intune.
   • Apprenez à surveiller les stratégies de conformité des appareils.
   • Si vous n’utilisez pas Intune, passez en revue les stratégies de conformité de votre solution de gestion des appareils.
3. Examinez les problèmes courants d’accès conditionnel.
   • Dépannage des stratégies de conformité des appareils d'accès conditionnel.
   • Résoudre les problèmes de connexion à l'accès conditionnel.
4. Consultez les journaux de connexion.
   • Examiner les détails du journal de connexion.
   • Recherchez les utilisateurs bloqués de se connecter et ont une stratégie d’appareil conforme appliquée.
5. Vérifiez les journaux d’audit pour connaître les modifications de stratégie récentes.
   • Utilisez les journaux d’audit pour résoudre les problèmes liés aux changements de stratégie d’accès conditionnel.

Atténuer les problèmes courants

Les problèmes courants suivants peuvent entraîner un pic de connexions nécessitant un appareil conforme ou géré. Cette liste n’est pas exhaustive, mais fournit un point de départ pour votre enquête.

De nombreux utilisateurs ne peuvent pas se connecter à partir d’appareils connus

Si un grand groupe d’utilisateurs est bloqué de se connecter à des appareils connus, un pic peut indiquer que ces appareils ont dépassé la conformité.

Pour examiner :

• Dans le résumé de l’impact, si resourceType est « utilisateur(-trice) » et que la valeur impactedCount indique un pourcentage important des utilisateurs de votre organisation, vous pouvez examiner un problème à grande échelle.
• Vérifiez votre stratégie de conformité des appareils Intune.
• Vérifiez vos stratégies de conformité de vos appareils d'accès conditionnel.

L’utilisateur(-trice) ne peut pas se connecter à partir d'un appareil inconnu

Si l’augmentation des connexions bloquées provient d’un appareil inconnu, ce pic peut indiquer qu’un attaquant a acquis les informations d’identification d’un(e) utilisateur(-trice) et tente de se connecter à partir d’un appareil utilisé pour ces attaques.

Pour examiner :

• Dans le résumé de l’impact, si resourceType est « utilisateur(-trice) » et que la valeur impactedCount affiche un petit sous-ensemble d’utilisateurs, le problème peut être spécifique à l’utilisateur(-trice).
• Consultez les journaux de connexion.
• Examiner les risques avec Protection des ID Microsoft Entra.
  • Remarque : Protection des ID Microsoft Entra nécessite une licence Microsoft Entra P2.

Problèmes de réseau

Une panne du système s’est peut-être produite à l’échelle régionale, et a obligé un grand nombre d’utilisateurs à se connecter en même temps.

Pour investiguer :

• Dans le résumé de l’impact, si resourceType est « utilisateur » et si la valeur impactedCount indique un pourcentage élevé d’utilisateurs de votre organisation, cela peut signifier que vous êtes confronté à un problème de grande ampleur.
• Vérifiez l’intégrité de votre système et de votre réseau pour déterminer si une panne ou une mise à jour correspond à la même période que l’anomalie.

Étapes suivantes

• Créer une stratégie de conformité dans Microsoft Intune
• En savoir plus sur l’accès conditionnel et Intune
• En savoir plus sur les appareils joints à Microsoft Entra
• Qu’est-ce que la gestion des appareils ?
• En savoir plus sur l’accès conditionnel et Intune
• En savoir plus sur les appareils hybrides Microsoft Entra