Supervisión y solución de problemas de evaluación continua de acceso
Los administradores pueden supervisar y solucionar problemas de eventos de inicio de sesión en los que la evaluación continua de acceso (CAE) se aplica de varias maneras.
Informes de inicio de sesión de evaluación continua de acceso
Los administradores pueden supervisar los inicios de sesión de usuario en los que se aplica la evaluación continua de acceso (CAE). Esta información se encuentra en los registros de inicio de sesión de Microsoft Entra:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
- Aplique el filtro Is CAE Token (Es token de CAE).
Desde aquí, se mostrará a los administradores información sobre los eventos de inicio de sesión de los usuarios. Seleccione cualquier inicio de sesión para ver detalles sobre la sesión, como qué directivas de acceso condicional se han aplicado y si se ha habilitado CAE.
Hay varias solicitudes de inicio de sesión para cada autenticación. Algunos están en la pestaña interactiva, mientras que otros están en la pestaña no interactiva. La CAE solo se marca como true para una de las solicitudes y puede estar en la pestaña interactiva o en la pestaña no interactiva. Los administradores deben comprobar ambas pestañas para confirmar si la autenticación del usuario está habilitada o no.
Búsqueda de intentos de inicio de sesión específicos
Los registros de inicio de sesión contienen información sobre los eventos completados correctamente y los erróneos. Use filtros para restringir la búsqueda. Por ejemplo, si un usuario ha iniciado sesión en Teams, use el filtro Aplicación y establézcalo en Teams. Es posible que los administradores tengan que comprobar los inicios de sesión desde pestañas interactivas y no interactivas para localizar el inicio de sesión específico. Para restringir aún más la búsqueda, los administradores podrían aplicar varios filtros.
Libros de evaluación continua de acceso
El libro de conclusiones de evaluación continua de acceso permite a los administradores ver y supervisar las conclusiones de uso de CAE para sus inquilinos. En la tabla se muestran los intentos de autenticación con errores de coincidencia de IP. Este libro se puede encontrar como plantilla en la categoría Acceso condicional.
Acceso a la plantilla de libro de CAE
Antes de que se muestren los libros, es necesario completar la integración de Log Analytics. Para más información sobre cómo transmitir los registros de inicio de sesión de Microsoft Entra a un área de trabajo de Log Analytics, consulte el artículo Integración de registros de Microsoft Entra con registros de Azure Monitor.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Identidad>Supervisión y estado>Libros.
- En Plantillas públicas, busque Continuous access evaluation insights (Conclusiones de evaluación continua de acceso).
El libro sobre conclusiones de evaluación continua de acceso contiene la siguiente tabla:
Posible falta de coincidencia de direcciones IP entre Microsoft Entra ID y el proveedor de recursos
Tabla con la posible falta de coincidencia entre las direcciones IP del proveedor de recursos y de Microsoft Entra ID que permite a los administradores investigar las sesiones en las que la dirección IP detectada por Microsoft Entra ID no coincide con la detectada por el proveedor de recursos.
En esta tabla del libro se aclaran estos escenarios y se muestran las direcciones IP correspondientes y si se ha emitido un token de CAE durante la sesión.
Evaluación continua del acceso a la información por inicio de sesión
En la página Evaluación continua del acceso a la información por inicio de sesión del libro se conectan varias solicitudes de los registros de inicio de sesión y se muestra una sola solicitud en la que se emitió un token de CAE.
Este libro puede resultar útil, por ejemplo, cuando: un usuario abre Outlook en su escritorio e intenta acceder a los recursos dentro de Exchange Online. Esta acción de inicio de sesión podría asignarse a varias solicitudes de inicio de sesión interactivas y no interactivas en los registros, lo que dificultaría el diagnóstico de problemas.
Configuración de la dirección IP
El proveedor de identidades y los proveedores de recursos podrían ver diferentes direcciones IP. Este error de coincidencia se podría producir debido a los ejemplos siguientes:
- La red implementa la tunelización dividida.
- El proveedor de recursos usa una dirección IPv6 y Microsoft Entra ID una dirección IPv4.
- Debido a las configuraciones de red, Microsoft Entra ID ve una dirección IP del cliente y el proveedor de recursos ve otra.
Si se produce este escenario en su entorno, con el fin de evitar bucles infinitos, Microsoft Entra ID emite un token de CAE de una hora y no aplica el cambio de ubicación del cliente durante ese periodo. Incluso en este caso, se mejora la seguridad en comparación con los tokens de una hora tradicionales, ya que todavía se evalúan los otros eventos además de los eventos de cambio de ubicación del cliente.
Los administradores pueden ver los registros filtrados por intervalo de tiempo y aplicación. Los administradores pueden comparar el número de IP no coincidentes detectadas con el número total de inicios de sesión durante un período de tiempo especificado.
Para desbloquear a los usuarios, los administradores pueden agregar direcciones IP específicas a una ubicación con nombre de confianza.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
- Vaya a Protección> Acceso condicional> Ubicaciones designadas. Aquí puede crear o actualizar las ubicaciones IP de confianza.
Nota:
Antes de agregar una dirección IP como una ubicación con nombre de confianza, confirme que la dirección IP pertenece realmente a la organización deseada.
Para obtener más información sobre las ubicaciones con nombre, consulte el artículo Uso de la condición de ubicación.