Examiner les problèmes d’authentification à l’aide des journaux de connexion

  • 8 minutes

Les administrateurs Microsoft 365 et les administrateurs informatiques sont chargés de connaître les performances de leurs environnements informatiques. Les informations sur l’intégrité de leurs systèmes leur permettent d’évaluer si et comment ils doivent répondre aux problèmes potentiels.

Pour atteindre cet objectif, le centre d’administration Microsoft Entra fournit aux administrateurs l’accès à trois journaux d’activité :

  • Journaux de connexion. Fournit des informations sur les connexions et la façon dont les utilisateurs utilisent les ressources de l’organisation.
  • Journaux d’audit. Fournit des informations sur les modifications appliquées au client de l’entreprise. Par exemple, la gestion des utilisateurs et des groupes, ou les mises à jour appliquées aux ressources du client.
  • Journaux d’approvisionnement. Fournit la liste des activités effectuées par le service d’approvisionnement. Par exemple, la création d’un groupe dans ServiceNow ou d’un utilisateur importé à partir de Workday.

Cette unité fournit une vue d’ensemble du journal de connexion. Pour plus d’informations sur les journaux d’audit et les journaux d’approvisionnement, consultez les rubriques suivantes :

Vue d’ensemble du journal de connexion

Microsoft Entra ID journalise toutes les connexions utilisateur dans un client Azure, qui inclut vos applications et ressources internes. En tant qu’administrateur informatique, il est important que vous compreniez les valeurs suivies dans les fichiers journaux afin de pouvoir les interpréter correctement. L’examen des erreurs et des modèles de connexion fournit des informations précieuses sur la façon dont vos utilisateurs accèdent aux applications et aux services. Les journaux de connexion fournis par Microsoft Entra ID sont un type puissant de journal d’activité que vous pouvez analyser. L’aperçu des journaux de connexion inclut des connexions utilisateur interactives et non interactives, ainsi que des connexions de principal de service et d’identité managée. Vous pouvez toujours afficher les journaux de connexion classiques, qui incluent uniquement des connexions interactives.

Les organisations peuvent utiliser les journaux de connexion pour répondre à des questions telles que :

  • Combien d’utilisateurs se sont connectés à une application particulière cette semaine ?
  • Combien de tentatives de connexion ont échoué au cours des dernières 24 heures ?
  • Les utilisateurs se connectent-ils à partir de navigateurs ou de systèmes d’exploitation spécifiques ?
  • Parmi les ressources Azure de l’entreprise, lesquelles accèdent aux identités managées et aux principaux de service ?

Vous pouvez également décrire l’activité associée à une demande de connexion en identifiant les détails suivants :

  • Qui : identité (utilisateur) qui effectue la connexion.
  • Comment : client (application) utilisé pour la connexion.
  • Quoi : cible (ressource) accessible par l’identité.

Il existe quatre types de journaux dans la page Événements de connexion :

  • Connexions utilisateur interactives
  • Connexions utilisateur non interactives
  • Connexions du principal de service
  • Connexions d’identité managée

Les journaux de connexion classiques incluent uniquement les connexions utilisateur interactives.

Remarque

Les entrées dans les journaux de connexion sont générées par le système. Les administrateurs ne peuvent pas les modifier ou les supprimer.

Connexions utilisateur interactives

Les utilisateurs effectuent des connexions interactives. Ce type d’événement de connexion fournit un facteur d’authentification pour Microsoft Entra ID qui peuvent également interagir avec une application d’assistance, telle que l’application Microsoft Authenticator. Les utilisateurs peuvent fournir des mots de passe, des réponses aux défis de l’authentification multifacteur, des facteurs biométriques ou des codes QR à Microsoft Entra ID ou à une application d’assistance. Ce journal inclut également les connexions fédérées des fournisseurs d’identité fédérés à Microsoft Entra ID.

Capture d’écran de la page des événements de connexion Microsoft Entra montrant les connexions utilisateur interactives mises en évidence.

Voici quelques exemples des types d’événements de connexion utilisateur interactive affichés dans ce journal :

  • Un utilisateur fournit un nom d’utilisateur et un mot de passe dans l’écran de connexion Microsoft Entra.
  • Un utilisateur réussit un défi MFA SMS.
  • Un utilisateur fournit un mouvement biométrique pour déverrouiller son PC Windows avec Windows Hello Entreprise.
  • Un utilisateur est fédéré pour Microsoft Entra ID avec une assertion SAML AD FS.

Outre les champs par défaut, le journal de connexion interactive affiche également :

  • Emplacement de connexion
  • Si l’accès conditionnel s’applique

Les administrateurs doivent connaître les limitations connues du journal de connexion utilisateur interactif, notamment :

  • Connexions non interactives sur les journaux de connexion interactive. Auparavant, le journal de connexion utilisateur interactif incluait certaines connexions non interactives des clients Microsoft Exchange pour une meilleure visibilité. Cette visibilité accrue était nécessaire avant que Microsoft n’introduise les journaux de connexion utilisateur non interactifs en novembre 2020. Toutefois, il est important de noter que le système peut toujours marquer certaines connexions non interactives, telles que celles utilisant des clés FIDO2, comme interactives. Si cette situation se produit, cela est dû à la façon dont Microsoft a configuré le journal avant d’introduire des journaux non interactifs distincts. Ces connexions peuvent afficher des détails interactifs tels que le type d’informations d’identification du client et les informations de navigateur, même si les connexions sont techniquement non interactives.
  • Connexions directes. Microsoft Entra ID émet des jetons pour l’authentification et l’autorisation. Imaginez le scénario où un utilisateur qui s’est connecté au client Contoso tente d’accéder aux ressources du client Fabrikam, où il n’a pas accès. Le système émet un jeton sans autorisation appelé jeton direct au client Fabrikam. Le jeton direct n’autorise pas l’utilisateur à accéder à des ressources. Lorsque vous examinez les journaux de cette situation, les journaux de connexion du client d’origine (dans ce scénario, Contoso) n’affichent pas de tentative de connexion, car le système n’a pas évalué le jeton par rapport aux stratégies du client d’origine. Le système a utilisé uniquement le jeton de connexion pour afficher le message d’échec approprié. Par conséquent, les tentatives de connexion ne sont pas enregistrées pour ce scénario dans les journaux du client d’origine.
  • Connexions internes au principal de service d’application uniquement. Les journaux de connexion du principal de service n’incluent pas l’activité de connexion interne à l’application uniquement. Ce type d’activité se produit lorsque des applications internes obtiennent des jetons pour un travail Microsoft interne où il n’y a pas de direction ou de contexte de la part d’un utilisateur. Nous excluons ces journaux afin que vous ne payiez pas pour les journaux liés aux jetons Microsoft internes à votre client. Vous pouvez identifier les événements Microsoft Graph qui ne sont pas corrélés à une connexion de principal de service si vous acheminez MicrosoftGraphActivityLogs avec SignInLogs vers le même espace de travail Log Analytics. Cette intégration vous permet de recouper le jeton émis pour l’appel de l’API Microsoft Graph avec l’activité de connexion. L’UniqueTokenIdentifier pour les journaux de connexion et le SignInActivityId dans les journaux d’activité Microsoft Graph sont manquants dans les journaux de connexion du principal de service.

Connexions utilisateur non interactives

Une connexion non interactive se produit lorsqu’une application cliente ou un composant du système d’exploitation effectue une connexion déléguée pour le compte d’un utilisateur. Par conséquent, elle n’exige pas que l’utilisateur fournisse un facteur d’authentification. Au lieu de cela, Microsoft Entra ID reconnaît quand le jeton de l’utilisateur doit être actualisé et le fait en arrière-plan, sans interrompre la session de l’utilisateur. En général, l’utilisateur perçoit ces connexions comme se produisant en arrière-plan.

Capture d’écran de la page d’événements de connexion Microsoft Entra montrant les connexions utilisateur non interactives mises en évidence.

Voici quelques exemples des types d’événements de connexion utilisateur non interactifs affichés dans ce journal :

  • Une application cliente utilise un jeton d’actualisation OAuth 2.0 pour obtenir un jeton d’accès.
  • Un client utilise un code d’autorisation OAuth 2.0 pour obtenir un jeton d’accès et un jeton d’actualisation.
  • Un utilisateur effectue l’authentification unique (SSO) sur une application web ou un application Windows universelle sur un PC joint à Microsoft Entra (sans fournir de facteur d’authentification ni interagir avec une invite Microsoft Entra).
  • Un utilisateur se connecte à une deuxième application Microsoft Office pendant qu’il dispose d’une session sur un appareil mobile à l’aide de FOCI (Famille d’ID client).

En plus des champs par défaut, le journal de connexion non interactif affiche également :

  • ID de ressource
  • Nombre de connexions groupées

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Pour faciliter la synthèse des données, le système regroupe les événements de connexion non interactifs. Les clients créent souvent de nombreuses connexions non interactives pour le compte du même utilisateur sur une courte période. Les connexions non interactives partagent les mêmes caractéristiques, à l’exception de l’heure à laquelle la connexion a été tentée. Par exemple, un client reçoit un jeton d’accès une fois par heure pour le compte d’un utilisateur. Si l’état de l’utilisateur ou du client ne change pas, l’adresse IP, la ressource et toutes les autres informations sont les mêmes pour chaque demande de jeton d’accès. Le seul état qui change est la date et l’heure de la connexion.

Vous pouvez remarquer des situations où Microsoft Entra ID journalise plusieurs connexions identiques autres que l’heure et la date. Ces connexions proviennent de la même entité et sont agrégées en une seule ligne. Une ligne avec plusieurs connexions identiques (à l’exception de la date et de l’heure d’émission) a une valeur supérieure à un dans la colonne # connexions. Ces connexions agrégées peuvent également sembler avoir les mêmes horodatages. Le filtre d’agrégation Heure peut être défini sur 1 heure, 6 heures ou 24 heures. Vous pouvez développer la ligne pour voir toutes les différentes connexions et leurs différents horodatages.

Les connexions sont agrégées dans les utilisateurs non interactifs lorsque les données suivantes correspondent :

  • Application
  • Utilisateur
  • Adresse IP
  • Statut
  • ID de ressource

Remarque

L’adresse IP des connexions non interactives effectuées par les clients confidentiels ne correspond pas à l’adresse IP source réelle d’où provient la demande de jeton d’actualisation. Au lieu de cela, il affiche l’adresse IP d’origine utilisée pour l’émission du jeton d’origine.

Connexions du principal de service

Contrairement aux connexions utilisateur interactives et non interactives, les connexions du principal de service n’impliquent pas d’utilisateur. Au lieu de cela, ces connexions sont effectuées par un compte non-utilisateur, tel que des applications ou des principaux de service (à l’exception de la connexion d’identité managée, qui sont incluses uniquement dans le journal de connexion d’identité managée). Dans ces connexions, l’application ou le service fournit ses propres informations d’identification, telles qu’un certificat ou un secret d’application pour s’authentifier ou accéder aux ressources.

Capture d’écran de la page des événements de connexion Microsoft Entra montrant les connexions utilisateur du principal de service mises en évidence.

Voici quelques exemples des types d’événements de connexion du principal de service affichés dans ce journal :

  • Un principal de service utilise un certificat pour s’authentifier et accéder à Microsoft Graph.
  • Une application utilise une clé secrète client pour s’authentifier dans le flux d’informations d’identification du client OAuth.

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Pour faciliter la synthèse des données dans les journaux de connexion du principal de service, le système regroupe les événements de connexion du principal de service. Les connexions de la même entité dans les mêmes conditions sont agrégées en une seule ligne. Vous pouvez développer la ligne pour voir toutes les différentes connexions et leurs différents horodatages. Les connexions sont agrégées dans le rapport du principal de service lorsque les données suivantes correspondent :

  • Nom ou ID du principal de service
  • Statut
  • Adresse IP
  • Nom ou ID de la ressource

Connexions d’identité managée

Les identités managées pour les connexions aux ressources Azure sont des connexions effectuées par des ressources dont les secrets sont managés par Azure pour simplifier la gestion des informations d’identification. Une machine virtuelle avec des informations d’identification managées utilise Microsoft Entra ID pour obtenir un jeton d’accès.

Capture d’écran de la page des événements de connexion Microsoft Entra montrant les connexions utilisateur d’identité managée mises en évidence.

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Pour faciliter la synthèse des données, le système regroupe les identités managées pour les journaux de connexion des ressources Azure. Les connexions de la même entité sont agrégées en une seule ligne. Vous pouvez développer la ligne pour voir toutes les différentes connexions et leurs différents horodatages. Les connexions sont agrégées dans le rapport des identités managées lorsque toutes les données suivantes correspondent :

  • Nom ou ID de l’identité managée
  • Statut
  • Nom ou ID de la ressource

Sélectionnez un élément dans l’affichage liste pour afficher toutes les connexions regroupées sous un nœud. Sélectionnez un élément groupé pour afficher tous les détails de la connexion.