Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La supervisión y el estado de Microsoft Entra proporcionan varios tipos de registros de inicio de sesión para ayudarle a supervisar el estado del inquilino. Los inicios de sesión de usuario interactivos son la vista predeterminada en el Centro de administración de Microsoft Entra.
¿Qué es un inicio de sesión de usuario interactivo?
Los inicios de sesión interactivos son realizados por un usuario. Proporcionan un factor de autenticación a Microsoft Entra ID. Ese factor de autenticación también podría interactuar con una aplicación auxiliar, como la aplicación Microsoft Authenticator. Los usuarios pueden proporcionar contraseñas, respuestas a los desafíos de MFA, factores biométricos o códigos QR a Microsoft Entra ID o a una aplicación auxiliar. Este registro también incluye los inicios de sesión federados de proveedores de identidades que están federados con Microsoft Entra ID.
Detalles del registro
En los ejemplos siguientes se muestra el tipo de información capturada en los registros de inicio de sesión de usuario interactivos:
- Un usuario proporciona el nombre de usuario y la contraseña en la pantalla de inicio de sesión de Microsoft Entra.
- Un usuario pasa un desafío de MFA por SMS.
- Un usuario proporciona un gesto biométrico para desbloquear su PC Windows con Windows Hello para empresas.
- Un usuario que está federado con Microsoft Entra ID con una aserción de SAML de AD FS.
Además de los campos predeterminados, los registros de inicio de sesión interactivos también muestran:
- La ubicación de inicio de sesión
- Si se ha aplicado el acceso condicional
- Detalles de acceso entre inquilinos, como identificadores de inquilino principal y de recursos
Nota:
Las entradas en los registros de inicio de sesión son generadas por el sistema y no pueden modificarse ni eliminarse.
Consideraciones especiales
Acceso de socios a los recursos de clientes descendentes.
Los registros de inicio de sesión interactivos ahora incluyen detalles sobre cuándo un colaborador accede a los recursos de un inquilino descendente. Al examinar las columnas Tipo de acceso entre inquilinos, ID del inquilino de origen e ID del inquilino de recursos, que ahora están visibles de forma predeterminada, puede ver cuándo un asociado inicia sesión en un recurso de inquilino de nivel inferior.
- Filtre por Proveedor de servicio en la columna tipo de acceso entre clientes para aislar los eventos relacionados con los inicios de sesión de socios.
- Compare los detalles en las columnas ID del inquilino de inicio y ID del inquilino de recursos para identificar los inicios de sesión que provienen del inquilino de tu socio hacia el inquilino de destino.
Inicios de sesión no interactivos en los registros de inicio de sesión interactivos
Anteriormente, algunos inicios de sesión no interactivos se incluían en el registro de inicio de sesión de usuario interactivo para mejorar la visibilidad. Esta mayor visibilidad fue necesaria antes de que los registros de inicio de sesión de usuario no interactivos se introdujeran en noviembre de 2020. Los inicios de sesión no interactivos que implican claves FIDO2 se marcaron anteriormente como inicios de sesión interactivos, aunque técnicamente no eran interactivos. A partir del 11 de abril de 2025, todos los nuevos inicios de sesión que obtienen un token de actualización con claves FIDO2 ahora se registran en los registros de inicio de sesión no interactivos.
Inicios de sesión de paso a través
Microsoft Entra ID emite tokens para la autenticación y autorización. En algunas situaciones, un usuario que ha iniciado sesión en el inquilino de Contoso puede intentar acceder a los recursos del inquilino de Fabrikam, donde no tiene acceso. Un token de no autorización llamado token de paso a través, es emitido al inquilino de Fabrikam. El token de paso a través no permite al usuario acceder a ningún recurso.
Anteriormente, al revisar los registros de esta situación, los registros de inicio de sesión para el inquilino principal (en este escenario, Contoso) no mostraban un intento de inicio de sesión porque el token no concedió acceso a un recurso con ninguna notificación. El token de inicio de sesión solo se usó para mostrar el mensaje de error adecuado.
Los intentos de inicio de sesión de paso a través aparecen ahora en los registros de inicio de sesión del inquilino principal y en los registros de inicio de sesión de restricción de inquilino pertinentes. Esta actualización proporciona más visibilidad de los intentos de inicio de sesión de usuario de los usuarios y información más detallada sobre las directivas de restricción de inquilinos.
La propiedad crossTenantAccessType ahora muestra passthrough para diferenciar los inicios de sesión de paso a través y está disponible en el Centro de administración de Microsoft Entra y Microsoft Graph.
Inicios de sesión de entidad de servicio de primera entidad y solo aplicación
Los registros de inicio de sesión de la entidad de servicio no incluyen actividad de inicio de sesión de primera entidad y solo aplicación. Este tipo de actividad se produce cuando las aplicaciones de primera entidad obtienen tokens para un trabajo interno de Microsoft donde no hay ninguna dirección ni contexto de un usuario. Estos registros se excluyen, así que no va a pagar los registros relacionados con los tokens internos de Microsoft del inquilino.
Puedes identificar eventos de Microsoft Graph que no se correlacionan con un inicio de sesión de entidad de servicio si vas a enrutar MicrosoftGraphActivityLogs con SignInLogs al mismo área de trabajo de Log Analytics. Esta integración le permite hacer referencia cruzada al token incidido para la llamada a la API de Microsoft Graph con la actividad de inicio de sesión. El UniqueTokenIdentifier para los registros de inicio de sesión y la SignInActivityId en los registros de actividad de Microsoft Graph faltarían en los registros de inicio de sesión de la entidad de servicio.
Acceso condicional
Los inicios de sesión que muestran No aplicado para el acceso condicional pueden ser difíciles de interpretar. Si se interrumpe el inicio de sesión, el inicio de sesión aparece en los registros, pero muestra No aplicado para el acceso condicional. Otro escenario común es iniciar sesión en Windows Hello para empresas. Este inicio de sesión no tiene aplicado el acceso condicional porque el usuario inicia sesión en el dispositivo, no a los recursos en la nube protegidos por el acceso condicional.
Campo TimeGenerated
Si va a integrar los registros de inicio de sesión con registros de Azure Monitor y Log Analytics, es posible que observe que el campo TimeGenerated de los registros no coincide con el momento en que se produjo el inicio de sesión. Esta discrepancia se debe a la forma en que los registros se ingieren en Azure Monitor. El campo TimeGenerated es la hora en que Log Analytics recibió y publicó la entrada, no la hora en que se produjo el inicio de sesión. El campo CreatedDateTime de los registros muestra la hora en que se produjo el inicio de sesión.
Del mismo modo, los eventos de inicio de sesión de riesgo también muestran TimeGenerated como la hora en que se detectó el evento de riesgo, no cuando se produjo el inicio de sesión. Para buscar el tiempo de inicio de sesión real, puede usar el CorrelationId para buscar el evento de inicio de sesión en los registros y buscar el tiempo de inicio de sesión.