Partager via

Qu’est-ce que les connexions d’utilisateur interactif dans Microsoft Entra ?

  • Article

Monitoring et intégrité de Microsoft Entra fournit plusieurs types de journaux de connexion pour vous aider à surveiller l’intégrité de votre client. Les connexions non interactives sont un sous-ensemble des journaux de connexion utilisateur dans le Centre d’administration Microsoft Entra.

Qu’est-ce qu’une connexion utilisateur non interactive ?

Les connexions non interactives sont établies pour le compte d’un utilisateur. Ces connexions déléguées ont été effectuées par une application cliente ou des composants du système d’exploitation pour le compte d’un utilisateur et ne demandent pas à l’utilisateur de fournir un facteur d’authentification. Au lieu de cela, Microsoft Entra ID reconnaît quand le jeton de l’utilisateur doit être actualisé et le fait en arrière-plan, sans interrompre la session de l’utilisateur. En général, l’utilisateur remarque que ces connexions se produisent en arrière-plan.

Capture d’écran du journal interactif des connexions utilisateur.

Détails des journaux

Taille du rapport : grande
Exemples :

  • Une application cliente utilise un jeton d’actualisation OAuth 2.0 pour obtenir un jeton d’accès.
  • Un client utilise un code d’autorisation OAuth 2.0 pour obtenir un jeton d’accès et un jeton d’actualisation.
  • Un utilisateur effectue une authentification unique (SSO) auprès d’une application web ou Windows sur un PC joint à Microsoft Entra (sans fournir de facteur d’authentification ni interagir avec une invite Microsoft Entra).
  • Un utilisateur se connecte à une deuxième application Microsoft Office tandis qu’il a une session ouverte sur un appareil mobile à l’aide d’une FOCI (famille d’ID client).

En plus des champs par défaut, le journal des connexions non-interactives affiche les informations suivantes :

  • ID de ressource
  • Nombre de connexions regroupées

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Remarque

Les entrées des journaux de connexion sont générées par le système et ne peuvent être ni changées, ni supprimées.

Comment cela fonctionne-t-il ?

Pour faciliter la synthèse des données, les événements de connexion non interactive sont regroupés. Les clients créent souvent de nombreuses connexions non interactives pour le compte du même utilisateur sur une courte période. Les connexions non interactives partagent les mêmes caractéristiques, à l’exception de l’heure à laquelle la connexion a été tentée. Par exemple, un client peut obtenir un jeton d'accès une fois par heure de la part d'un utilisateur. Si l’état de l’utilisateur ou du client ne change pas, l’adresse IP, la ressource et toutes les autres informations sont les mêmes pour chaque demande de jeton d’accès. Le seul état qui change est la date et l’heure de la connexion.

Capture d’écran d’une connexion agrégée développée pour afficher toutes les lignes.

Lorsque Microsoft Entra journalise plusieurs connexions identiques, hormis la date et l’heure, ces connexions sont en provenance de la même entité et sont agrégées sur une seule ligne. Une ligne avec plusieurs connexions identiques (à l’exception de la date et de l’heure émises) a une valeur supérieure à un dans la colonne du nombre de connexions. Ces connexions regroupées peuvent également sembler avoir les mêmes horodatages. Le filtre Agrégat de temps peut être défini sur 1 heure, 6 heures ou 24 heures. Vous pouvez développer la ligne pour voir les différentes connexions et leurs horodatages.

Les connexions sont agrégées dans les utilisateurs non interactifs lorsque les données suivantes correspondent :

  • Application
  • Utilisateur
  • Adresse IP
  • Statut
  • ID de ressource

Remarque

L’adresse IP des connexions non interactives effectuées par des clients confidentiels ne correspond pas à l’adresse IP source réelle de l’emplacement d’où provient la demande de jeton d’actualisation. En effet, elle indique plutôt l’adresse IP d’origine utilisée pour l’émission du jeton d’origine.