¿Qué son los registros de inicio de sesión de Microsoft Entra?
Microsoft Entra ID registra todos los inicios de sesión en un inquilino de Azure, lo que incluye las aplicaciones internas y los recursos. Como administrador de TI, debe saber lo que significan los valores de los registros de inicio de sesión, para que pueda interpretar estos valores correctamente.
La revisión de los errores y patrones de inicio de sesión proporciona información valiosa sobre cómo los usuarios acceden a las aplicaciones y los servicios. Los registros de inicio de sesión proporcionados por Microsoft Entra ID son un potente tipo de registro de actividad que puede analizar. En este artículo se explica cómo acceder a los registros de inicio de sesión y utilizarlos.
La vista previa de los registros de inicio de sesión incluye los inicios de sesión de usuario interactivos y no interactivos, así como los inicios de sesión de entidad principal de servicio y de identidad gestionada. Puede seguir viendo los registros de inicio de sesión clásicos, que solo incluyen los inicios de sesión interactivos.
También hay otros dos registros de actividad disponibles para ayudar a supervisar el estado del inquilino:
- Auditoría: información sobre los cambios aplicados al inquilino, como la administración de usuarios y grupos o las actualizaciones aplicadas a los recursos del inquilino.
- Aprovisionamiento: actividades realizadas por el servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de Workday.
Requisitos de licencia y rol
Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.
| Registro o informe | Roles | Licencias |
|---|---|---|
| Auditoría | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Inicios de sesión | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Aprovisionamiento | Lector de informes Lector de seguridad Administrador de seguridad Lector global Operador de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Microsoft Entra ID P1 o P2 |
| Registros de auditoría de atributos de seguridad personalizados* | Administrador del registro de atributos Lector de registro de atributos |
Todas las ediciones de Microsoft Entra ID |
| Uso y conclusiones | Lector de informes Lector de seguridad Administrador de seguridad |
Microsoft Entra ID P1 o P2 |
| Protección de identidad** | Administrador de seguridad Operador de seguridad Lector de seguridad Lector global |
Microsoft Entra ID Free Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2 |
| Registros de actividad de Microsoft Graph | Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente |
Microsoft Entra ID P1 o P2 |
*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.
**El nivel de acceso y las funcionalidades de Identity Protection varían con el rol y la licencia. Para más información, consulte los requisitos de licencia de Identity Protection.
¿Para qué sirven los registros de inicio de sesión?
Puede usar los registros de inicio de sesión para responder a preguntas como:
- ¿Cuántos usuarios han iniciado sesión en una aplicación determinada esta semana?
- ¿Cuántos intentos de inicio de sesión con errores se han producido en las últimas 24 horas?
- ¿Los usuarios inician sesión desde exploradores o sistemas operativos específicos?
- ¿A cuáles de mis recursos de Azure se accedió mediante identidades administradas y entidades de servicio?
También puede describir la actividad asociada a una solicitud de inicio de sesión mediante la identificación de los detalles siguientes:
- Quién: la identidad (usuario) que realiza el inicio de sesión.
- Cómo: el cliente (aplicación) usado para el acceso.
- Qué: el destino (recurso) al que accede la identidad.
¿Cuáles son los tipos de registros de inicio de sesión?
Hay cuatro tipos de registros en la versión preliminar de los registros de inicio de sesión:
- Inicios de sesión de usuario interactivos
- Inicios de sesión de usuario no interactivos
- Inicios de sesión de entidad de servicio
- Inicios de sesión de identidad administrada
Los registros de inicio de sesión clásicos solo incluyen inicios de sesión de usuario interactivos.
Nota:
Las entradas en los registros de inicio de sesión son generadas por el sistema y no pueden modificarse ni eliminarse.
Inicios de sesión de usuario interactivos
Los inicios de sesión interactivos son realizadospor un usuario. Proporcionan un factor de autenticación a Microsoft Entra ID. Ese factor de autenticación también podría interactuar con una aplicación auxiliar, como la aplicación Microsoft Authenticator. Los usuarios pueden proporcionar contraseñas, respuestas a los desafíos de MFA, factores biométricos o códigos QR a Microsoft Entra ID o a una aplicación auxiliar. Este registro también incluye los inicios de sesión federados de proveedores de identidades que están federados con Microsoft Entra ID.
Tamaño del informe: pequeño Ejemplos:
- Un usuario proporciona el nombre de usuario y la contraseña en la pantalla de inicio de sesión de Microsoft Entra.
- Un usuario pasa un desafío de MFA por SMS.
- Un usuario proporciona un gesto biométrico para desbloquear su PC Windows con Windows Hello para empresas.
- Un usuario que está federado con Microsoft Entra ID con una aserción de SAML de AD FS.
Además de los campos predeterminados, el registro de la información de inicio de sesión interactiva también muestra:
- La ubicación de inicio de sesión
- Si se ha aplicado el acceso condicional
Consideraciones especiales
Inicios de sesión no interactivos en los registros de inicio de sesión interactivos
Anteriormente, algunos inicios de sesión no interactivos de clientes de Microsoft Exchange se incluían en el registro de inicio de sesión de usuario interactivo para mejorar la visibilidad. Esta mayor visibilidad fue necesaria antes de que los registros de inicio de sesión de usuario no interactivos se introdujeran en noviembre de 2020. Sin embargo, es importante tener en cuenta que algunos inicios de sesión no interactivos, como los que usan claves FIDO2, pueden estar marcados como interactivos debido a la forma en que se configuró el sistema antes de que se introdujeran registros no interactivos independientes. Estos inicios de sesión pueden mostrar detalles interactivos, como el tipo de credencial de cliente y la información del explorador, aunque técnicamente no sean inicios de sesión interactivos.
Inicios de sesión de paso a través
Microsoft Entra ID emite tokens para la autenticación y autorización. En algunas situaciones, un usuario que ha iniciado sesión en el inquilino de Contoso puede intentar acceder a los recursos del inquilino de Fabrikam, donde no tiene acceso. Un token de no autorización llamado token de paso a través, es emitido al inquilino de Fabrikam. El token de paso a través no permite al usuario acceder a ningún recurso.
Anteriormente, al revisar los registros de esta situación, los registros de inicio de sesión para el inquilino principal (en este escenario, Contoso) no mostraban un intento de inicio de sesión porque el token no concedió acceso a un recurso con ninguna notificación. El token de inicio de sesión solo se usó para mostrar el mensaje de error adecuado.
Los intentos de inicio de sesión de paso a través aparecen ahora en los registros de inicio de sesión del inquilino principal y en los registros de inicio de sesión de restricción de inquilino pertinentes. Esta actualización proporciona más visibilidad de los intentos de inicio de sesión de usuario de los usuarios y información más detallada sobre las directivas de restricción de inquilinos.
La propiedad crossTenantAccessType ahora muestra passthrough para diferenciar los inicios de sesión de paso a través y está disponible en el Centro de administración de Microsoft Entra y Microsoft Graph.
Inicios de sesión de entidad de servicio de primera entidad y solo aplicación
Los registros de inicio de sesión de la entidad de servicio no incluyen actividad de inicio de sesión de primera entidad y solo aplicación. Este tipo de actividad se produce cuando las aplicaciones de primera entidad obtienen tokens para un trabajo interno de Microsoft donde no hay ninguna dirección ni contexto de un usuario. Estos registros se excluyen, así que no va a pagar los registros relacionados con los tokens internos de Microsoft del inquilino.
Puedes identificar eventos de Microsoft Graph que no se correlacionan con un inicio de sesión de entidad de servicio si vas a enrutar MicrosoftGraphActivityLogs con SignInLogs al mismo área de trabajo de Log Analytics. Esta integración le permite hacer referencia cruzada al token incidido para la llamada a la API de Microsoft Graph con la actividad de inicio de sesión. El UniqueTokenIdentifier para los registros de inicio de sesión y la SignInActivityId en los registros de actividad de Microsoft Graph faltarían en los registros de inicio de sesión de la entidad de servicio.
Inicios de sesión de usuario no interactivos
Los inicios de sesión no interactivos se realizan en nombre de un usuario. Estos inicios de sesión delegados se realizaron mediante una aplicación cliente o componentes del sistema operativo en nombre de un usuario y no requieren que el usuario proporcione un factor de autenticación. En su lugar, Microsoft Entra ID reconoce cuándo es necesario actualizar el token del usuario y lo hace en segundo plano, sin interrumpir la sesión del usuario. En general, el usuario percibirá estos inicios de sesión como algo que sucede en segundo plano.
Tamaño del informe: grandeEjemplos:
- Una aplicación cliente usa un token de actualización de OAuth 2.0 para obtener un token de acceso.
- Un cliente utiliza un código de autorización de OAuth 2.0 para obtener un token de acceso y un token de actualización.
- Un usuario realiza el inicio de sesión único (SSO) en una aplicación web o Windows en un equipo unido a Microsoft Entra (sin proporcionar un factor de autenticación ni interactuar con un símbolo del sistema de Microsoft Entra).
- Un usuario inicia sesión en una segunda aplicación de Microsoft Office mientras tiene una sesión en un dispositivo móvil que usa FOCI (Familia de identificadores de cliente).
Además de los campos predeterminados, el registro de la información de inicio de sesión no interactiva también muestra:
- Id. de recurso
- Número de inicios de sesión agrupados
No se pueden personalizar los campos que se muestran en este informe.
Para facilitar la síntesis de los datos, se agrupan los eventos de inicio de sesión no interactivos. Los clientes suelen crear muchos inicios de sesión no interactivos en nombre del mismo usuario en un corto período de tiempo. Los inicios de sesión no interactivos comparten las mismas características, excepto el momento en que se intentó el inicio de sesión. Por ejemplo, un cliente puede obtener un token de acceso una vez por hora en nombre de un usuario. Si el usuario o el cliente no cambian de estado, la dirección IP, el recurso y el resto de la información es la misma para cada solicitud de token de acceso. El único estado que cambia es la fecha y hora del inicio de sesión.
Cuando Microsoft Entra registre varios inicios de sesión idénticos salvo por la fecha y la hora, dichos inicios de sesión serán de la misma entidad y se agregarán a una sola fila. Una fila con varios inicios de sesión idénticos (excepto la fecha y hora emitida) tiene un valor mayor que uno en la columna # inicios de sesión. También puede parecer que estos inicios de sesión agregados tienen las mismas marcas de tiempo. El filtro Agregado de tiempo puede establecerse en 1 hora, 6 horas o 24 horas. Puede expandir la fila para ver todos los inicios de sesión diferentes y sus diferentes marcas de tiempo.
Los inicios de sesión se agregan para los usuarios no interactivos cuando coinciden los datos siguientes:
- Application
- Usuario
- Dirección IP
- Status
- Id. de recurso
Nota:
La dirección IP de los inicios de sesión no interactivos realizados por clientes confidenciales no coincide con la dirección IP de origen real de donde viene la solicitud de token de actualización. En su lugar, muestra la dirección IP original usada para la emisión de tokens original.
Inicios de sesión de entidad de servicio
A diferencia de los inicios de sesión de usuario interactivos y no interactivos, los inicios de sesión de entidad de servicio no implican a un usuario. En su lugar, son inicios de sesión realizados por cualquier cuenta que no sea de usuario, como las aplicaciones o las entidades de servicio (excepto el inicio de sesión de identidad administrada, que se incluye solo en el registro de información de inicio de sesión de identidad administrada). En estos inicios de sesión, la aplicación o el servicio proporcionan su propia credencial, como un certificado o un secreto, para autenticarse o acceder a los recursos.
Tamaño del informe: grandeEjemplos:
- Una entidad de servicio utiliza un certificado para autenticarse y acceder a Microsoft Graph.
- Una aplicación utiliza un secreto de cliente para autenticarse en el flujo de credenciales del cliente de OAuth.
No se pueden personalizar los campos que se muestran en este informe.
Para facilitar la síntesis de los datos de los registros de inicio de sesión de la entidad de servicio, se agrupan los eventos de inicio de sesión de la entidad de servicio. Los inicios de sesión de la misma entidad en las mismas condiciones se agregan en una sola fila. Puede expandir la fila para ver todos los inicios de sesión diferentes y sus diferentes marcas de tiempo. Los inicios de sesión se agregan en el informe por entidad de servicio cuando coinciden los datos siguientes:
- Nombre o identificador de la entidad de servicio
- Status
- Dirección IP
- Nombre o identificador del recurso
Inicios de sesión de identidad administrada
Los inicios de sesión de identidades administradas para recursos de Azure son inicios de sesión realizados por los recursos cuyos secretos son administrados por Azure para simplificar la administración de credenciales. Una máquina virtual con credenciales administradas usa Microsoft Entra ID para obtener un token de acceso.
Tamaño del informe: pequeñoEjemplos:
No se pueden personalizar los campos que se muestran en este informe.
Para que sea más fácil sintetizar los datos, se agrupan los eventos no interactivos en los registros de inicio de sesión de identidades administradas para recursos de Azure. Los inicios de sesión de la misma entidad se agregan en una sola fila. Puede expandir la fila para ver todos los inicios de sesión diferentes y sus diferentes marcas de tiempo. Los inicios de sesión se agregan en el informe de identidades administradas cuando coinciden los datos siguientes:
- Nombre o identificador de la identidad administrada
- Status
- Nombre o identificador del recurso
Seleccione un elemento en la vista de lista para mostrar todos los inicios de sesión que se han agrupado en un nodo. Seleccione un elemento agrupado para ver todos los detalles del inicio de sesión.
Datos de inicio de sesión usados por otros servicios
Varios servicios de Azure usan los datos de inicio de sesión para supervisar los inicios de sesión de riesgo y proporcionar información sobre el uso de la aplicación.
Protección de Microsoft Entra ID
La visualización de datos del registro de información de inicio de sesión relacionada con inicios de sesión de riesgo está disponible en la información general de Microsoft Entra ID Protection, que usa los datos siguientes:
- Usuarios de riesgo
- Inicios de sesión de usuario de riesgo
- Identidades de carga de trabajo de riesgo
Para obtener más información sobre las herramientas de Microsoft Entra ID Protection, consulte la información general de Microsoft Entra ID Protection.
Uso e información de Microsoft Entra
Para ver los datos de inicio de sesión específicos de la aplicación, vaya a Microsoft Entra ID>Supervisión y estado>Uso e información. Estos informes proporcionan una visión más detallada de los inicios de sesión para la actividad de la aplicación de Microsoft Entra y la actividad de la aplicación de AD FS. Para obtener más información, consulte Uso e información de Microsoft Entra.
Hay varios informes disponibles en Uso e información. Algunos de estos informes están en versión preliminar.
- Actividad de aplicación de Microsoft Entra (versión preliminar)
- Actividad de aplicaciones de AD FS
- Actividad de los métodos de autenticación
- Actividad de inicio de sesión de la entidad de servicio
- Actividad de credenciales de aplicación
Registros de actividad de Microsoft 365
Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. La actividad de Microsoft 365 y los registros de actividad de Microsoft Entra comparten una cantidad significativa de los recursos del directorio. Solo el centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.
Puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.