Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El acceso condicional ayuda a las organizaciones a mantener la seguridad aplicando los controles de acceso de seguridad adecuados en las circunstancias adecuadas. Comprender el impacto de estas directivas puede ser difícil, especialmente al implementar nuevas directivas. En este artículo se explica cómo analizar el impacto de la directiva de acceso condicional mediante el modo de solo informe y otras herramientas.
Hay varias opciones disponibles para los administradores en función del modo de solo informe. El modo de solo informe es un estado de directiva que permite a los administradores probar la mayoría de las directivas de acceso condicional antes de habilitarlas.
- Las directivas de Acceso condicional se pueden evaluar en modo de solo informe, excepto para los elementos incluidos en el ámbito "Acciones de usuario".
- Durante el inicio de sesión, las directivas en modo de solo informe se evalúan, pero no se aplican.
- Los resultados se registran en las pestañas Acceso condicional y solo informe de los detalles del registro de inicio de sesión.
- Los clientes con una suscripción de Azure Monitor pueden supervisar el impacto de sus directivas de acceso condicional mediante el libro Conditional Access Insights.
Advertencia
Las directivas en modo de solo informe que requieren un dispositivo compatible pueden pedir a los usuarios de dispositivos macOS, iOS y Android que seleccionen un certificado de dispositivo durante la evaluación de directivas, aunque no se aplique el cumplimiento del dispositivo. Estos avisos pueden repetirse hasta que el dispositivo sea compatible. Para evitar que los usuarios finales reciban mensajes durante el inicio de sesión, excluya las plataformas de dispositivos Mac, iOS y Android de las directivas de solo informe que realizan comprobaciones de cumplimiento de dispositivos.
Resultados de la evaluación de directivas
Cuando se evalúa una directiva para un inicio de sesión determinado, hay varios resultados posibles:
| Resultado | Descripción |
|---|---|
| Informe únicamente: Correcto | Se han cumplido todas las condiciones de directiva configuradas, los controles de concesión no interactivos necesarios y los controles de sesión. Por ejemplo, una notificación de MFA ya presente en el token cumple un requisito de autenticación multifactor o se cumple una directiva de dispositivo compatible mediante la realización de una comprobación de dispositivo en un dispositivo compatible. |
| Solo informe: Error | Se cumplen todas las condiciones de directiva configuradas, pero no todos los controles de concesión no interactivos necesarios o los controles de sesión. Por ejemplo, una directiva se aplica a un usuario en el que se configura un control de bloque o un dispositivo produce un error en una directiva de dispositivo compatible. |
| Solo informe: se requiere la acción del usuario | Se cumplen todas las condiciones de directiva configuradas, pero se requeriría la acción del usuario para satisfacer los controles de concesión o los controles de sesión necesarios. Con el modo de solo informe, no se pide al usuario que satisfaga los controles necesarios. Por ejemplo, no se solicita a los usuarios desafíos de autenticación multifactor ni términos de uso. |
| Solo informe: no aplicado | No se cumplen todas las condiciones de directiva configuradas. Por ejemplo, el usuario se excluye de la directiva o la directiva solo se aplica a determinadas ubicaciones con nombre de confianza. |
| Éxito | Los eventos de inicio de sesión en los que se aplicó la directiva, se cumplen los requisitos y la directiva permitiría que el inicio de sesión continúe. Es posible que el inicio de sesión todavía esté bloqueado por una directiva diferente. |
| Fracaso | Los eventos de inicio de sesión en los que se aplicó la directiva, si los requisitos no se cumplieron, la directiva bloquearía el inicio de sesión. Esto puede ser por diseño, como cuando se bloquean los inicios de sesión desde una ubicación específica, o accidentalmente cuando la directiva está mal configurada. |
| No aplicado | Eventos de inicio de sesión en los que no se aplicó la directiva, por ejemplo, se excluyó al usuario. |
Revisión de los resultados
Los administradores pueden usar varias opciones para revisar los posibles resultados de las directivas en su entorno:
- Cuadernos de trabajo
- Registros de inicio de sesión
- Impacto en la política (preliminar)
Impacto de la política
La vista de impacto del acceso condicional permite a los administradores con al menos el rol de Lector de seguridad ver una instantánea de información sobre los impactos potenciales o existentes de las directivas en los inicios de sesión interactivos de su organización. Esta funcionalidad le permite explorar el impacto durante un período de las últimas 24 horas, 7 días o 1 mes. Además, puede ver y vincular a un muestreo de eventos de inicio de sesión para obtener información adicional.
Cuadernos de trabajo
Los administradores pueden crear varias directivas en modo de solo informe, por lo que es necesario comprender el impacto individual de cada directiva y el impacto combinado de varias directivas evaluadas conjuntamente. El libro Información de acceso condicional e informes permite a los administradores visualizar la directiva de acceso condicional, consulta y supervisa el impacto de una directiva para un intervalo de tiempo determinado, un conjunto de aplicaciones y usuarios. Los administradores pueden personalizar libros de trabajo para satisfacer sus necesidades específicas.
Registros de inicio de sesión
Para una evaluación más profunda de las directivas de acceso condicional y su aplicación en un inicio de sesión específico, los administradores pueden investigar eventos de inicio de sesión individuales. Cada uno de estos eventos incluye detalles de las directivas de acceso condicional que se habilitaron en comparación con aquellas que estaban en modo solo informe, y si se aplicaron o no.
Uso de estas opciones
Después de que los administradores evalúen la configuración de la directiva mediante el impacto de la directiva o el modo de solo informe, pueden mover el conmutador Habilitar directiva desde Solo informe a Activado.