Diagnósticos de inicio de sesión para escenarios de Microsoft Entra

  • Artículo

Puede usar el diagnóstico de inicio de sesión de Microsoft Entra ID para analizar lo que ha sucedido durante un intento de inicio de sesión y obtener recomendaciones para solucionar problemas sin necesidad de que intervenga el servicio de soporte técnico de Microsoft.

En este artículo se proporciona información general sobre los tipos de escenarios que puede identificar y resolver al usar esta herramienta.

Cómo acceder al diagnóstico de inicio de sesión

Hay tres maneras de acceder a la herramienta Diagnóstico de inicio de sesión: desde el área Diagnosticar y resolver problemas, desde los registros de inicio de sesión de Microsoft Entra y al crear una nueva solicitud de soporte técnico. Para obtener más información, consulte Cómo usar el diagnóstico de inicio de sesión.

Acceso condicional

Las directivas de acceso condicional se usan para aplicar los controles de acceso correctos cuando sea necesario para mantener protegida la organización. Dado que las directivas de acceso condicional se pueden usar para conceder o bloquear el acceso a los recursos, a menudo aparecen en el diagnóstico de inicio de sesión.

Autenticación multifactor

Hay varios eventos relacionados con MFA que puedes solucionar problemas mediante la herramienta de diagnóstico de inicio de sesión.

Autenticación multifactor de otros requisitos

Si los resultados del diagnóstico de inicio de sesión muestran MFA en un requisito distinto del acceso condicional, es posible que tengas la MFA habilitada por usuario. Se recomienda convertir la MFA por usuario en acceso condicional. El diagnóstico de inicio de sesión proporciona detalles sobre el origen de la interrupción de la MFA y el resultado de la interacción.

"Proofup" de MFA

Otro escenario común se produce cuando la MFA interrumpe los intentos de inicio de sesión. Al ejecutar el diagnóstico de inicio de sesión, se proporciona información sobre "proofup" en los resultados del diagnóstico. Este error aparece cuando los usuarios configuran la MFA por primera vez y no completan la configuración o la configuración no se estableció con antelación.

Screenshot of the diagnostic results for MFA proofup.

Credenciales correctas e incorrectas

A veces, los usuarios simplemente escriben las credenciales incorrectas. La herramienta de diagnóstico de inicio de sesión puede ayudar a distinguir entre errores humanos y otros problemas.

Inicio de sesión correcto

En algunos casos, quiere saber si los eventos de inicio de sesión no se interrumpen mediante el acceso condicional o la MFA, pero deberían hacerlo. La herramienta de diagnóstico de inicio de sesión proporciona detalles sobre los eventos de inicio de sesión que se deben interrumpir, pero no lo hacen.

Cuenta bloqueada

Otro escenario común es cuando un usuario intenta iniciar sesión con credenciales incorrectas demasiadas veces. Este error se produce cuando se han producido demasiados intentos de inicio de sesión basados en contraseña con credenciales incorrectas. Los resultados del diagnóstico proporcionan información para que el administrador determine de dónde vienen los intentos y si son intentos legítimos de inicio de sesión del usuario o no. Ejecutar el diagnóstico de inicio de sesión proporciona detalles sobre las aplicaciones, el número de intentos, el dispositivo usado, el sistema operativo y la dirección IP. Para más información, consulte Microsoft Entra Smart Lockout.

Nombre de usuario o contraseña no válidos

Si un usuario intentó iniciar sesión con un nombre de usuario o una contraseña no válidos, el diagnóstico de inicio de sesión ayuda al administrador a determinar el origen del problema. El origen podría ser un usuario que escribe credenciales incorrectas, o un cliente o una aplicación que almacena en caché una contraseña antigua y la vuelve a enviar. El diagnóstico de inicio de sesión proporciona detalles sobre las aplicaciones, el número de intentos, el dispositivo usado, el sistema operativo y la dirección IP.

Aplicaciones empresariales

En las aplicaciones empresariales, hay dos puntos en los que pueden producirse problemas:

  • La configuración de la aplicación del proveedor de identidades (Microsoft Entra ID)
  • La configuración del proveedor de servicios (servicio de aplicación, también conocido como aplicación SaaS)

Los diagnósticos de estos problemas abordan qué parte del problema se debe buscar para la resolución y qué se debe hacer.

Proveedor de servicios de aplicaciones empresariales

Si el error se produjo cuando un usuario intentó iniciar sesión en una aplicación, se produjo un error en el inicio de sesión debido a un problema con el lado del proveedor de servicios (aplicación) del flujo de inicio de sesión. Los problemas detectados por el diagnóstico de inicio de sesión normalmente deben resolverse cambiando la configuración o corrigiendo los problemas en el servicio de la aplicación. La resolución para este escenario implica iniciar sesión en el otro servicio y cambiar algunos valores de configuración según las instrucciones de diagnóstico.

Configuración de aplicaciones empresariales

El inicio de sesión puede fallar debido a un problema de configuración de la aplicación en la lado de Microsoft Entra ID de la aplicación. En estos escenarios, la resolución requiere revisar y actualizar la configuración de la aplicación en la página Aplicaciones empresariales de la aplicación.

Otros escenarios

Esta herramienta de inicio de sesión se puede usar en diversos escenarios.

Valores predeterminados de seguridad

Los eventos de inicio de sesión se pueden interrumpir debido a los valores predeterminados de la configuración seguridad. Los valores predeterminados de seguridad aplican la seguridad de procedimientos recomendados para su organización. Un procedimiento recomendado es requerir que se configure y use la MFA para impedir que las difusiones de contraseñas, los ataques de reproducción y los intentos de suplantación de identidad tengan éxito.

Para obtener más información, consulta ¿Cuáles son los valores predeterminados de seguridad?.

Información de código de error

Cuando un evento no tiene un análisis contextual en el diagnóstico de inicio de sesión, se puede mostrar una explicación actualizada del código de error y el contenido pertinente. La información del código de error contiene texto detallado sobre el escenario, cómo corregir el problema y cualquier contenido que deba leerse con respecto al problema.

Autenticación heredada

Este escenario implica un evento de inicio de sesión que se bloqueó o interrumpió porque el cliente estaba intentando usar la autenticación heredada (o básica).

Se recomienda evitar el inicio de sesión de autenticación heredada como procedimiento recomendado para la seguridad. Los protocolos de autenticación heredados como POP, SMTP, IMAP y MAPI no pueden aplicar la MFA, lo que hace que sean los puntos de entrada preferidos para que los contrincantes ataquen su organización.

Para más información, consulte Bloqueo de autenticación heredada a Microsoft Entra ID con acceso condicional.

Inicio de sesión B2B bloqueado por acceso condicional

El escenario de diagnóstico detecta un inicio de sesión bloqueado o interrumpido si el usuario es parte de otra organización. Por ejemplo, un inicio de sesión B2B, donde una directiva de acceso condicional requiere que el dispositivo del cliente esté unido al inquilino de recursos.

Para más información, consulte Acceso condicional para usuarios de colaboración B2B.

Bloque por directiva de riesgo

En este escenario, la directiva de protección de identidad bloquea un intento de inicio de sesión debido a que este se identifica como evento de riesgo.

Para obtener más información, consulte Procedimiento de configuración y habilitación de directivas de riesgo.

Autenticación transferida

Dado que la autenticación transferida es una integración de tecnologías de autenticación locales y en la nube, puede ser difícil determinar dónde se encuentra el problema. Estas instrucciones están pensadas para facilitar el diagnóstico y la resolución de estos escenarios.

Este escenario de diagnóstico identifica problemas de inicio de sesión específicos del usuario cuando el método de autenticación que se usa es la autenticación transferida (PTA) y hay un error específico de este tipo de autenticación. Los errores debidos a otros problemas, incluso cuando se usa la autenticación PTA, se seguirán diagnosticando correctamente.

Los resultados de diagnóstico muestran información contextual sobre el error y el inicio de sesión del usuario. Los resultados podrían mostrar otros motivos por los que se produjo un error en el inicio de sesión y las acciones recomendadas que el administrador puede realizar para resolver el problema. Para más información, consulte Solución de problemas de autenticación transferida de Microsoft Entra Connect.

Inicio de sesión único de conexión directa

El inicio de sesión único de conexión directa integra la autenticación Kerberos con la autenticación en la nube. Dado que este escenario implica dos protocolos de autenticación, puede ser difícil determinar dónde se encuentra un punto de error cuando se producen problemas de inicio de sesión. Estas instrucciones están pensadas para facilitar el diagnóstico y la resolución de estos escenarios.

Este escenario de diagnóstico examina el contexto del error de inicio de sesión y la causa de un error específico. Los resultados del diagnóstico podrían incluir información contextual sobre el intento de inicio de sesión y las acciones sugeridas que el administrador puede realizar. Para obtener más información, consulte Solución de problemas de inicio de sesión único de conexión directa de Microsoft Entra.