¿Qué son los registros de inicio de sesión de Microsoft Entra?
Microsoft Entra registra todos los inicios de sesión en un inquilino de Microsoft Entra, lo que incluye las aplicaciones internas y los recursos. Como administrador de TI, debe saber lo que significan los valores de los registros de inicio de sesión, para que pueda interpretar estos valores correctamente.
La revisión de los errores y patrones de inicio de sesión proporciona información valiosa sobre cómo los usuarios acceden a las aplicaciones y los servicios. Los registros de inicio de sesión proporcionados por Microsoft Entra ID son un potente tipo de registro de actividad que puede analizar. En este artículo se describen varios aspectos clave de los registros de inicio de sesión.
También hay otros dos registros de actividad disponibles para ayudar a supervisar el estado del inquilino:
- Auditoría: información sobre los cambios aplicados al inquilino, como la administración de usuarios y grupos o las actualizaciones aplicadas a los recursos del inquilino.
- Aprovisionamiento: actividades realizadas por el servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de Workday.
Requisitos de licencia y rol
Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.
Registro o informe | Roles | Licencias |
---|---|---|
Registros de auditoría | Lector de informes Lector de seguridad Administrador de seguridad |
Todas las ediciones de Microsoft Entra ID |
Registros de inicio de sesión | Lector de informes Lector de seguridad Administrador de seguridad |
Todas las ediciones de Microsoft Entra ID |
Registros de aprovisionamiento | Lector de informes Lector de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Microsoft Entra ID P1 o P2 |
Registros de auditoría de atributos de seguridad personalizados* | Administrador del registro de atributos Lector de registro de atributos |
Todas las ediciones de Microsoft Entra ID |
Estado | Lector de informes Lector de seguridad Administrador del departamento de soporte técnico |
Microsoft Entra ID P1 o P2 |
Protección de id. de Microsoft Entra** | Administrador de seguridad Operador de seguridad Lector de seguridad Lector global |
Microsoft Entra ID Gratis Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2 |
Registros de actividad de Microsoft Graph | Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente |
Microsoft Entra ID P1 o P2 |
Uso y conclusiones | Lector de informes Lector de seguridad Administrador de seguridad |
Microsoft Entra ID P1 o P2 |
*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.
**El nivel de acceso y las funcionalidades de Protección de id. de Microsoft Entra varían con el rol y la licencia. Para más información, vea los requisitos de licencia de Protección de id..
¿Para qué sirven los registros de inicio de sesión?
Puede usar los registros de inicio de sesión para responder a preguntas como:
- ¿Cuántos usuarios han iniciado sesión en una aplicación determinada esta semana?
- ¿Cuántos intentos de inicio de sesión con errores se han producido en las últimas 24 horas?
- ¿Los usuarios inician sesión desde exploradores o sistemas operativos específicos?
- ¿A cuáles de mis recursos de Azure se accedió mediante identidades administradas y entidades de servicio?
También puede describir la actividad asociada a una solicitud de inicio de sesión mediante la identificación de los detalles siguientes:
- Quién: la identidad (usuario) que realiza el inicio de sesión.
- Cómo: el cliente (aplicación) usado para el acceso.
- Qué: el destino (recurso) al que accede la identidad.
¿Cómo se accede a los registros de información de inicio de sesión?
Hay varias maneras de acceder a los registros, en función de sus necesidades. Para obtener más información, consulte Cómo acceder a los registros de actividad.
Para ver los registros de inicio de sesión en el Centro de administración Microsoft Entra:
- Inicie sesión en el Centro de administración Microsoft Entra al menos como Lector de informes.
- Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
Para usar de forma más eficaz los registros de inicio de sesión en el Centro de administración de Microsoft Entra, ajuste los filtros para ver solo un conjunto específico de registros. Para obtener más información, consulte Filtrado de registros de inicio de sesión.
¿Cuáles son los tipos de registros de inicio de sesión?
Hay cuatro tipos de registros en la versión preliminar de los registros de inicio de sesión:
- Inicios de sesión de usuario interactivos
- Inicios de sesión de usuario no interactivos
- Inicios de sesión de entidad de servicio
- Inicios de sesión de identidad administrada
Los registros de inicio de sesión clásicos solo incluyen inicios de sesión de usuario interactivos.
Nota
Las entradas en los registros de inicio de sesión son generadas por el sistema y no pueden modificarse ni eliminarse.
Datos de inicio de sesión usados por otros servicios
Varios servicios de Azure y Microsoft Entra usan los datos de inicio de sesión para supervisar los inicios de sesión de riesgo y proporcionar información sobre el uso de la aplicación.
Protección de id. de Microsoft Entra
La visualización de datos del registro de información de inicio de sesión relacionada con inicios de sesión de riesgo está disponible en la información general de Microsoft Entra ID Protection, que usa los datos siguientes:
- Usuarios de riesgo
- Inicios de sesión de usuario de riesgo
- Identidades de carga de trabajo de riesgo
Para obtener más información sobre las herramientas de Microsoft Entra ID Protection, consulte la información general de Microsoft Entra ID Protection.
Uso e información de Microsoft Entra
Para ver los datos de inicio de sesión específicos de la aplicación, vaya a Microsoft Entra ID>Supervisión y estado>Uso e información. Estos informes proporcionan una visión más detallada de los inicios de sesión para la actividad de la aplicación de Microsoft Entra y la actividad de la aplicación de AD FS. Para obtener más información, consulte Uso e información de Microsoft Entra.
Hay varios informes disponibles en Uso e información. Algunos de estos informes están en versión preliminar.
- Actividad de aplicación de Microsoft Entra (versión preliminar)
- Actividad de aplicaciones de AD FS
- Actividad de los métodos de autenticación
- Actividad de inicio de sesión de la entidad de servicio
- Actividad de credenciales de aplicación
Registros de actividad de Microsoft 365
Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. La actividad de Microsoft 365 y los registros de actividad de Microsoft Entra comparten una cantidad significativa de los recursos del directorio. Solo el centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.
Puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.