EXERCICE 12 – Journaux

Par /

🧩 Contexte :

VersaTech Solutions veut être capable de comprendre pourquoi un accès a été autorisé ou bloqué, de vérifier l’effet d’une règle d’Accès conditionnel avant de l’activer et d’identifier des connexions ou utilisateurs à risque.

Dans cet exercice, vous allez :

  • Consulter les journaux de connexion (Sign-in logs) pour un de vos comptes.
  • Utiliser l’outil What‑If sur une stratĂ©gie d’Accès conditionnel.
  • Consulter les connexions Ă  risque et les utilisateurs Ă  risque dans Identity Protection.

đź“ť Partie 1 : Analyser une connexion dans les journaux (Sign-in logs)

Connectez-vous sur : https://entra.microsoft.com

Dans le menu, allez dans : Identité > Microsoft Entra ID > Journaux de connexion (Sign-in logs).

Dans la barre de filtre en haut, configurez :

  • Utilisateur : sĂ©lectionnez un de vos comptes utilisĂ©s dans les exercices (par exemple VOSINITIALES-DEV01 ou VOSINITIALES-CONS01).
  • PĂ©riode : conservez les dernières 24 heures.
  • Cliquez sur Appliquer.

Dans la liste des connexions, cliquez sur une ligne avec un statut Réussite (Success) pour ouvrir les détails.

Dans les détails de la connexion, consultez :

  • Informations de base (Basic info) : utilisateur, application, heure, adresse IP, emplacement.
  • DĂ©tails d’authentification (Authentication details) : Ă©tapes d’authentification, MFA ou non, mĂ©thode utilisĂ©e.
  • Accès conditionnel (Conditional Access) :
    – Quelles stratégies ont été appliquées.
    – Quelles stratégies ont été évaluées en mode Report-only.
    – Le résultat pour chaque stratégie (autorisé, bloqué, MFA requise, non appliquée).

Fermez la fenêtre de détails.

🔧Résultat :

Vous avez identifié, pour une connexion donnée, quelles stratégies d’Accès conditionnel ont été évaluées et quel a été le résultat de l’authentification.

📝 Partie 2 :  Utiliser l’outil What‑If sur une stratégie d’Accès conditionnel

  1. Dans le menu, allez dans :
    Protection (Security) > Accès conditionnel (Conditional Access).
  2. Dans la barre d’outils, cliquez sur What‑If.
  3. Dans le panneau What‑If, configurez :
    • Utilisateur : par exemple VOSINITIALES-CONS01.
    • Application cloud : choisissez Office 365 ou une application que vous ciblez avec vos stratĂ©gies.
    • Emplacement, appareil, système d’exploitation : laissez les valeurs par dĂ©faut pour ce premier test, sauf indication contraire du formateur.
  4. Cliquez sur le bouton What‑If pour lancer la simulation.
  5. Dans la zone de résultats, observez :
    • La liste des stratĂ©gies d’Accès conditionnel qui s’appliqueraient Ă  ce scĂ©nario.
    • Le rĂ©sultat prĂ©vu pour chaque stratĂ©gie (par exemple : Require MFA, Block, Not applied).

Notez mentalement quelles stratégies impactent ce compte dans ce scénario

🔧Résultat :

Vous avez simulé l’application des stratégies d’Accès conditionnel pour un utilisateur donné sans modifier les règles ni provoquer de blocage réel.

📝 Partie 3 :  Consulter les connexions à risque et les utilisateurs à risque

  1. Dans le menu, allez dans :
    Protection (Security) > Identity Protection.
  2. Cliquez d’abord sur Connexions à risque (Risky sign-ins).
  3. Dans la liste :
    • Filtrez Ă©ventuellement sur la pĂ©riode (par exemple dernières 48 heures).
    • Si des entrĂ©es existent, cliquez sur une connexion pour afficher les dĂ©tails.
  4. Dans les détails d’une connexion à risque, consultez :
    • Le niveau de risque de la connexion.
    • Le type de signal (par exemple dĂ©placement impossible, IP anonyme, comportement inhabituel).
    • Les informations associĂ©es Ă  la tentative (utilisateur, application, emplacement, adresse IP).
  5. Revenez Ă  la page Identity Protection et cliquez sur Utilisateurs Ă  risque (Risky users).
  6. Dans la liste des utilisateurs Ă  risque :
    • VĂ©rifiez si un de vos comptes de labo apparaĂ®t comme utilisateur Ă  risque.
    • Si oui, ouvrez la fiche dĂ©taillĂ©e de l’utilisateur et regardez :
      – Le niveau de risque de l’utilisateur.
      – Les évènements de risque associés.
  7. Ne remédiez pas aux risques dans cet exercice (pas de reset de mot de passe automatique), contentez-vous d’observer les informations.

📌À la fin de l’exercice :

  • Vous avez ouvert au moins un Ă©vènement dans les journaux de connexion et identifiĂ© :
    – L’utilisateur concerné, l’application, l’IP, l’emplacement.
    – Les stratégies d’Accès conditionnel qui se sont appliquées ou qui ont été évaluées.
  • Vous avez utilisĂ© l’outil What‑If pour un utilisateur et une application et vu quelles stratĂ©gies seraient appliquĂ©es dans ce scĂ©nario.
  • Vous avez consultĂ© les sections Connexions Ă  risque et Utilisateurs Ă  risque dans Identity Protection et observĂ© les informations de risque disponibles pour votre tenant.

🎬 La vidéo :

A venir

Scroll to Top