Que sont les connexions marquées dans Microsoft Entra ID ?

En tant qu’administrateur informatique, lorsqu’un utilisateur n’arrive pas à se connecter, vous voulez résoudre le problème dès que possible pour débloquer la situation. En raison de la quantité des données disponibles dans le journal des connexions, il peut être difficile de trouver les bonnes informations.

Cet article vous donne une vue d’ensemble d’une fonctionnalité qui améliore considérablement le temps nécessaire pour résoudre les problèmes de connexion utilisateur en les rendant faciles à trouver.

Que sont les connexions marquées d’un indicateur ?

Les évènements de connexion Microsoft Entra sont essentiels pour comprendre ce qui s’est bien ou mal passé avec les connexions utilisateur et la configuration de l’authentification dans un locataire. Toutefois, Microsoft Entra ID traite plus de 8 milliards d’authentifications par jour, ce qui peut aboutir à un nombre d’évènements de connexion tellement élevé que les administrateurs peuvent trouver difficile de repérer ceux qui sont importants. En d’autres termes, un nombre élevé d’événements de connexion peut rendre le signal qu’envoient les utilisateurs qui ont besoin d’aide introuvable dans la masse des événements.

Les connexions marquées d’un indicateur sont une fonctionnalité conçue pour augmenter le rapport signal/bruit pour les connexions utilisateur demandant de l’aide. Cette fonctionnalité a pour but de permettre aux utilisateurs d’attirer l’attention sur les erreurs de connexion pour lesquelles ils souhaitent obtenir de l’aide. Les administrateurs et les employés du support technique tirent également parti de la recherche des événements appropriés plus efficacement. Les événements de connexion avec indicateur contiennent les mêmes informations que les autres événements de connexion, à un renseignement supplémentaire près : ils indiquent également qu’un utilisateur a marqué l’événement pour révision par les administrateurs.

Les connexions marquées donnent à l’utilisateur la possibilité d’activer le marquage lorsqu’une erreur est détectée sur une page de connexion, puis de reproduire cette erreur. L’évènement d’erreur apparaît alors comme « Signalé pour révision » dans le journal des connexions Microsoft Entra.

En résumé, vous pouvez utiliser des connexions avec indicateur pour :

• Permettre aux utilisateurs d’indiquer les erreurs de connexion pour lesquelles ils ont besoin de l’aide de leurs administrateurs de locataires.

• Simplifier le processus de localisation des erreurs de connexion qui doivent être résolues pour l’utilisateur.

• Permettre au personnel du support technique de trouver les problèmes pour lesquels les utilisateurs souhaitent obtenir de l’aide de manière proactive, sans que les utilisateurs finaux n’aient à faire autre chose que de marquer l’événement.

Fonctionnement

Les connexions marquées d’un indicateur vous permettent d’activer le marquage quand vous vous connectez en utilisant un navigateur et que vous recevez une erreur d’authentification. Lorsqu’un utilisateur voit une erreur de connexion, il peut choisir d’activer le marquage. Pendant les 20 prochaines minutes, tout événement de connexion de cet utilisateur, sur le même navigateur et le même appareil client ou ordinateur, affiche « Marqué pour révision : Oui » dans le rapport des connexions. Après 20 minutes, le marquage est automatiquement désactivé.

Utilisateur : Comment marquer une erreur

1. L’utilisateur reçoit une erreur lors de la connexion.
2. L’utilisateur sélectionne Afficher les détails dans la page d’erreur.
3. Dans Détails de la résolution des problèmes, sélectionnez Activer le marquage. Le texte change en Désactiver le marquage. Le marquage est maintenant activé.
4. Fermez la fenêtre du navigateur.
5. Ouvrez une nouvelle fenêtre de navigateur (dans la même application du navigateur) et essayez la même connexion qui a échoué.
6. Reproduisez l’erreur de connexion qui a été observée avant.

Avec l’activation du marquage, la même application de navigateur et le même client doivent être utilisés, sinon les évènements ne sont pas marqués.

Administrateur : Trouver les événements avec indicateur dans les rapports

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur global.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
3. Ouvrez le menu Ajouter des filtres, puis sélectionnez Signalé pour révision. Tous les événements qui ont été marqués par les utilisateurs s’affichent.
4. Si nécessaire, appliquez des filtres supplémentaires pour affiner la vue des événements.
5. Sélectionnez l’événement pour regarder ce qui s’est passé.

Administrateur ou développeur : Trouver les événements avec indicateur en utilisant MS Graph

Vous pouvez trouver les connexions marquées d’un indicateur avec une requête filtrée à l’aide de l’API de rapports de connexions.

Afficher toutes les connexions avec indicateur : https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

Requête de connexions avec indicateur pour un utilisateur spécifique par UPN (par exemple : user@contoso.com) : https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Requête de connexions avec indicateur pour un utilisateur spécifique et une date supérieure à : https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Pour plus d’informations sur l’utilisation de l’API Graph de connexions, consultez Type de ressource signIn.

Qui peut créer des connexions marquées d’un indicateur ?

Tout utilisateur qui se connecte à Microsoft Entra ID par une page web peut utiliser des connexions avec indicateur pour l’évaluation. Les utilisateurs membres et invités peuvent marquer des erreurs de connexion pour révision.

Qui peut examiner les connexions marquées d’un indicateur ?

Pour examiner les événements de connexion avec indicateur, vous devez avoir des autorisations pour lire les événements des rapports de connexions dans le Portail Azure. Pour plus d’informations, consultez Comment accéder aux journaux d’activité.

Pour marquer les échecs de connexion, vous n’avez pas besoin d’autorisations supplémentaires.

Ce que vous devez savoir

Même si les noms sont similaires, les connexions marquées d’un indicateur et les connexions risquées sont des fonctionnalités différentes :

• Les connexions marquées d’un indicateur sont des événements d’erreur de connexion pour lesquels les utilisateurs demandent de l’aide.
• Une connexion risquée est une fonctionnalité d’Identity Protection. Pour plus d’informations, consultez Qu’est-ce qu’Identity Protection.

Étapes suivantes

• Journaux de connexion dans Microsoft Entra ID
• Diagnostics de connexion pour des scénarios Microsoft Entra