Ver las directivas de acceso condicional aplicadas en los registros de inicio de sesión de Microsoft Entra

Con las directivas de acceso condicional, puede controlar cómo los usuarios obtienen acceso a los recursos de su inquilino de Azure. Como administrador de inquilinos, debe poder determinar qué efecto tienen las directivas de acceso condicional en los inicios de sesión en el inquilino, de modo que pueda tomar medidas si es necesario.

Los registros de inicio de sesión de Microsoft Entra ID le proporcionarán la información que necesita para evaluar el efecto de las directivas. En este artículo se explica cómo ver las directivas de acceso condicional aplicadas en esos registros.

Requisitos previos

Para ver las directivas de acceso condicional aplicadas en los registros de inicio de sesión, los administradores deben tener permisos para tanto los registros como las políticas. El rol integrado con menos privilegios que concede ambos permisos es el Lector de seguridad. Como procedimiento recomendado, debe agregar el rol Lector de seguridad a las cuentas de administrador relacionadas.

Los siguientes roles integrados conceden permisos para leer las directivas de acceso condicional:

• Lector de seguridad
• Lector global
• Administrador de seguridad
• Administrador de acceso condicional

Los siguientes roles integrados conceden permiso para ver los registros de inicio de sesión:

• Lector de informes
• Lector de seguridad
• Lector global
• Administrador de seguridad

Permisos para aplicaciones cliente

Si usa una aplicación cliente para extraer registros de inicio de sesión de Microsoft Graph, la aplicación necesitará permisos para recibir el recurso appliedConditionalAccessPolicy de Microsoft Graph. Como procedimiento recomendado, asigne Policy.Read.ConditionalAccess, ya que es el permiso con privilegios mínimos.

Cualquiera de los siguientes permisos es suficiente para que una aplicación cliente acceda a las directivas de acceso condicional aplicadas en los registros de inicio de sesión a través de Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All

Permisos para PowerShell

Al igual que cualquier otra aplicación cliente, el módulo de PowerShell de Microsoft Graph necesita permisos de cliente para acceder a las directivas de acceso condicional aplicadas en los registros de inicio de sesión. Para extraer correctamente las directivas de acceso condicional aplicado en los registros de inicio de sesión, debe dar aceptar los permisos necesarios con la cuenta de administrador para Microsoft Graph PowerShell. Como procedimiento recomendado, puede aceptar lo siguiente:

• Policy.Read.ConditionalAccess
• AuditLog.Read.All
• Directory.Read.All

Los siguientes permisos son los permisos menos privilegiados que cuentan con el acceso necesario:

• Para dar el consentimiento a los permisos necesarios: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Para ver los registros de información de inicio de sesión: Get-MgAuditLogSignIn

Para obtener más información sobre este cmdlet, consulte Get-MgAuditLogSignIn.

Escenarios de acceso condicional y registro de inicio de sesión

Como administrador de Microsoft Entra, puede usar los registros de inicio de sesión para:

• Solución de problemas con el inicio de sesión.
• Comprobar el rendimiento de las características.
• Evaluar la seguridad de un inquilino.

Algunos escenarios requieren que comprenda cómo se aplicaron las directivas de acceso condicional a un evento de inicio de sesión. Algunos ejemplos frecuentes son:

• Los administradores del departamento de soporte técnico que necesitan examinar las directivas de acceso condicional aplicadas para comprender si una directiva es la causa principal de un vale abierto que ha abierto un usuario.

• Los administradores de inquilinos que necesitan comprobar que las directivas de acceso condicional tienen el efecto previsto en los usuarios de un inquilino.

Puedes acceder a los registros de inicio de sesión con el Centro de administración Microsoft Entra, Azure Portal, Microsoft Graph y PowerShell.

Ver las directivas de acceso condicional en los registros de inicio de sesión de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

Los detalles de actividad de los registros de información de inicio de sesión contienen varias pestañas. La pestaña Acceso condicional enumera las directivas de acceso condicional aplicadas a ese evento de inicio de sesión.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Global Reader.
2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
3. Selecciona un elemento de inicio de sesión de la tabla para ver el panel de detalles de inicio de sesión.
4. Seleccione la pestaña Acceso condicional.

Si no ve las directivas de acceso condicional, confirme que usa un rol que proporciona acceso a los registros de información de inicio de sesión y a las directivas de acceso condicional.

Pasos siguientes

• Solución de problemas de inicio de sesión con el acceso condicional
• Revise las preguntas más frecuentes sobre los registros de información de inicio de sesión de acceso condicional
• Información sobre los registros de información de inicio de sesión