Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
El acceso condicional ayuda a las organizaciones a mantener la seguridad aplicando los controles de acceso de seguridad adecuados en las circunstancias adecuadas. Comprender el impacto de estas directivas es difícil, especialmente al implementar nuevas directivas. En este artículo se explica cómo analizar el impacto de las directivas de acceso condicional mediante el modo de solo informe y otras herramientas.
Los administradores tienen varias opciones basadas en el modo de solo informe. El modo de solo informe es un estado de directiva que permite a los administradores probar la mayoría de las directivas de acceso condicional antes de habilitarlas.
- Los administradores pueden evaluar las directivas de acceso condicional en modo de solo informe, excepto los elementos incluidos en el ámbito "Acciones de usuario".
- Durante el inicio de sesión, el sistema evalúa las directivas en modo de solo informe, pero no las aplica.
- Los resultados se registran en las pestañas Acceso condicional y solo informe de los detalles del registro de inicio de sesión.
- Los clientes con una suscripción de Azure Monitor pueden supervisar el impacto de sus directivas de acceso condicional mediante el libro Conditional Access Insights.
Advertencia
Las directivas en modo de solo informe que requieren un dispositivo compatible pueden solicitar a los usuarios en dispositivos macOS, iOS y Android seleccionar un certificado de dispositivo durante la evaluación de directivas, aunque no se aplique el cumplimiento del dispositivo. Estas indicaciones pueden repetirse hasta que el dispositivo sea compatible. Para evitar que los usuarios finales reciban mensajes durante el inicio de sesión, excluya las plataformas de dispositivos Mac, iOS y Android de las directivas configuradas solo para informes que realizan comprobaciones de cumplimiento de dispositivos.
Resultados de la evaluación de directivas
Cuando se evalúa una directiva para un inicio de sesión determinado, hay varios resultados posibles:
| Resultado | Descripción |
|---|---|
| Solo informe: Correcto | Se han cumplido todas las condiciones de directiva configuradas, los controles de concesión no interactivos necesarios y los controles de sesión. Por ejemplo, una notificación de MFA ya presente en el token cumple un requisito de autenticación multifactor o se cumple una directiva de dispositivo compatible mediante la realización de una comprobación de dispositivo en un dispositivo compatible. |
| Solo informe: Error | Se cumplen todas las condiciones de directiva configuradas, pero no todos los controles de concesión no interactivos necesarios o los controles de sesión. Por ejemplo, una directiva se aplica a un usuario en el que se configura un control de bloque o un dispositivo produce un error en una directiva de dispositivo compatible. |
| Solo informe: se requiere la acción del usuario | Se cumplen todas las condiciones de directiva configuradas, pero se requeriría la acción del usuario para satisfacer los controles de concesión o los controles de sesión necesarios. Con el modo de solo informe, no se pide al usuario que satisfaga los controles necesarios. Por ejemplo, no se solicita a los usuarios desafíos de autenticación multifactor ni términos de uso. |
| Solo informe: no aplicado | No se cumplen todas las condiciones de directiva configuradas. Por ejemplo, el usuario se excluye de la directiva o la directiva solo se aplica a determinadas ubicaciones con nombre de confianza. |
| Éxito | Eventos de inicio de sesión en los que se aplicaba la política, se cumplían los requisitos y la política permitía continuar con el inicio de sesión. Es posible que el inicio de sesión todavía esté bloqueado por una directiva diferente. |
| Fracaso | Los eventos de inicio de sesión en los que se aplicó la directiva, los requisitos no se cumplen y la directiva bloquearía el inicio de sesión. Esto puede ser por diseño, como cuando se bloquean los inicios de sesión desde una ubicación específica, o accidentalmente cuando la directiva está mal configurada. |
| No aplicado | Eventos de inicio de sesión en los que no se aplicó la directiva, por ejemplo, se excluyó al usuario. |
Revisión de los resultados
Los administradores pueden usar varias opciones para revisar los posibles resultados de las directivas en su entorno:
- Cuadernos de trabajo
- Registros de inicio de sesión
- Impacto en la política (versión preliminar)
Impacto de la política
La vista de impacto de la directiva de Acceso Condicional permite a los administradores con al menos el rol de Lector de Seguridad ver una instantánea de los impactos potenciales o existentes de la directiva en los inicios de sesión interactivos de su organización. Puede explorar el impacto en las últimas 24 horas, 7 días o 1 mes. También puede visualizar y acceder a una muestra de eventos de inicio de sesión para obtener más detalles.
Cuadernos de trabajo
Los administradores pueden crear varias directivas en modo de solo informe, por lo que es importante comprender tanto el impacto individual de cada directiva como el impacto combinado de varias directivas evaluadas conjuntamente. El libro Información de acceso condicional e informes permite a los administradores visualizar directivas de acceso condicional, consultar y supervisar el impacto de una directiva para un intervalo de tiempo específico, un conjunto de aplicaciones y usuarios. Los administradores pueden personalizar los libros de trabajo para satisfacer sus necesidades.
Registros de inicio de sesión
Para una evaluación más profunda de las directivas de acceso condicional y su aplicación en un inicio de sesión específico, los administradores pueden investigar eventos de inicio de sesión individuales. Cada evento incluye detalles sobre qué directivas de acceso condicional se habilitaron, quedaron en modo de solo informe, se aplicaron o no se aplicaron.
Uso de estas opciones
Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, deslice el conmutador Habilitar directiva de Modo de Solo informe a Activado.
Comparación y validación de directivas antes de la aplicación
El modo de solo informe es una herramienta valiosa para validar los cambios de directiva progresivamente antes de aplicarlos. Use los procedimientos siguientes para reducir el riesgo de interrupciones de acceso no deseadas:
- Pruebe las nuevas directivas junto con las directivas aplicadas. Cree una nueva directiva en modo de solo informe mientras las directivas aplicadas existentes permanecen activas. Este enfoque le permite observar lo que haría la nueva directiva sin afectar al acceso de los usuarios. Supervisa los resultados en modo de solo informe en los registros de inicio de sesión para confirmar que la directiva se comporta según lo previsto antes de cambiarla al modo aplicado.
- Compare los resultados en el libro de Insights. Use el libro de trabajo Información de acceso condicional e informes para ver en paralelo los resultados de las directivas en modo de solo informe y aplicadas para un intervalo de tiempo, un conjunto de aplicaciones y unos usuarios específicos. Esta comparación le ayuda a identificar dónde cambiaría una nueva directiva las decisiones de acceso antes de que esos cambios surtan efecto. El libro de trabajo requiere Microsoft Entra ID P1 y un área de trabajo de Log Analytics que esté recibiendo registros de inicio de sesión; para más detalles, consulte los requisitos previos del libro de trabajo.
- Valide los cambios en las directivas existentes. Antes de modificar una directiva aplicada, cree una copia en modo de solo informe con los cambios propuestos. Compare los resultados de la copia en modo de solo informe con la directiva original aplicada para comprobar el efecto previsto. Cuando esté satisfecho, actualice la directiva aplicada y quite la copia.
- Use la implementación por fases asistidas por IA. Cuando esté disponible, el Agente de optimización de acceso condicional crea directivas sugeridas en modo de solo informe. Puede revisar el análisis del agente y el impacto proyectado antes de decidir si aplicarlo. Para obtener más información, consulte Lanzamiento por fases con el Agente de optimización de acceso condicional. El agente requiere Microsoft Security Copilot con unidades de proceso de seguridad (SCUs) aprovisionadas y Microsoft Entra ID P1, así que no está habilitado en todos los arrendatarios; para más información, consulte los requisitos previos del agente.
- Nota sobre las pruebas A/B. El acceso condicional no admite pruebas A/B clásicas, que divide el tráfico activo entre dos variantes aplicadas de una directiva. Cuando el Agente de optimización está habilitado en su tenant, el equivalente nativo más cercano es el despliegue por fases del Agente de optimización, que aplica gradualmente una nueva directiva a grupos en un orden determinado mientras mantiene intacta la directiva original de solo informes, para que pueda comparar los resultados entre cohortes antes de su aplicación plena.
Note
El modo de solo informe evalúa las directivas, pero no aplica controles de concesión ni controles de sesión. No se pide a los usuarios que usen la autenticación multifactor ni se les bloquea por directivas de solo informe. Se aplican algunas limitaciones, como las directivas que usan el ámbito Acciones de usuario . Para obtener más información, consulte los resultados de la evaluación de directivas en este artículo.
Contenido relacionado
- Obtenga información sobre cómo configurar el modo de solo informe en una directiva de acceso condicional.