Personalización y filtrado de registros de actividad de identidad

Los registros de inicio de sesión son una herramienta que se usa habitualmente para solucionar problemas de acceso de usuarios e investigar la actividad de inicio de sesión de riesgo. Los registros de auditoría recopilan todos los eventos registrados en Microsoft Entra ID y se pueden usar para investigar los cambios en su entorno. Hay más de 30 columnas entre las que puede elegir personalizar la vista de los registros de inicio de sesión en el Centro de administración de Microsoft Entra. Los registros de auditoría y los registros de aprovisionamiento también se pueden personalizar y filtrar según sus necesidades.

En este artículo, se muestra cómo personalizar las columnas y, después, filtrar los registros para encontrar la información que necesita de forma más eficaz.

Requisitos previos

• Un inquilino de Microsoft Entra en funcionamiento con la licencia adecuada de Microsoft Entra asociada.
  • Para obtener una lista completa de los requisitos de licencia, consulte Supervisión y licencias de salud de Microsoft Entra.
• Lector de informes es el rol con menos privilegios necesario para acceder a los registros de actividad.
  • Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Acceso a los registros de actividad en el Centro de administración de Microsoft Entra

Siempre puede acceder a su propio historial de información de inicio de sesión en https://mysignins.microsoft.com. También puede acceder a los registros de inicio de sesión desde Usuarios y Aplicaciones empresariales en Microsoft Entra ID.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de informes.
2. Vaya a Entra ID>Supervisión y salud>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento.

Registros de auditoría

Con la información de los registros de auditoría de Microsoft Entra puede acceder a todos los registros de actividades del sistema con fines de cumplimiento. Se puede acceder a los registros de auditoría desde la sección Supervisión y mantenimiento de Microsoft Entra ID, donde puede ordenar y filtrar por cada categoría y actividad. También puede acceder a los registros de auditoría en el área del centro de administración para el servicio que está investigando.

Por ejemplo, si busca cambios en los grupos de Microsoft Entra, puede acceder a los registros de auditoría de Microsoft Entra ID>Grupos. Al acceder a los registros de auditoría desde el servicio, el filtro se ajusta automáticamente según el servicio.

Personalización del diseño de los registros de auditoría

Puedes personalizar las columnas de los registros de auditoría para ver solo la información que necesitas. Las columnas Service, Category y Activity están relacionadas entre sí, por lo que estas columnas siempre deben estar visibles.

Filtro de registros de auditoría

Al filtrar los registros por servicio, los detalles categoría y actividad cambian automáticamente. En algunos casos, solo puede haber una Categoría o Actividad. Para obtener una tabla detallada de todas las posibles combinaciones de estos detalles, consulte Actividades de auditoría.

• Servicio: el valor predeterminado es todos los servicios disponibles, pero puede filtrar la lista a uno o varios seleccionando una opción en la lista desplegable.

• Categoría: Por defecto, incluye todas las categorías, pero se puede filtrar para ver la categoría de actividad, como cambiar una directiva o activar un rol elegible de Microsoft Entra.

• Actividad: en función de la selección de categoría y tipo de recurso de actividad que realices. Puede seleccionar la actividad específica que desea ver o elegir todas.

  Puede obtener la lista de todas las actividades de auditoría mediante Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Estado: permite examinar el resultado en función de si la actividad se realizó correctamente o no.

• Destino: permite buscar el destino o el destinatario de una actividad. Busque por las primeras letras de un nombre o nombre principal de usuario (UPN). El nombre de destino y el UPN distinguen mayúsculas de minúsculas.

• Iniciado por: Te permite buscar a quien inició la actividad mediante las primeras letras de su nombre o UPN. El nombre y el UPN distinguen mayúsculas de minúsculas.

• Intervalo de fechas: permite definir un período de tiempo para los datos devueltos. Puede buscar los últimos 7 días, 24 horas o un intervalo personalizado. Cuando se selecciona un intervalo de tiempo personalizado, puede configurar una hora de inicio y una hora de finalización.

Registros de inicio de sesión

En la página de registros de inicio de sesión, puede cambiar entre cuatro tipos de registro de inicio de sesión.

• Inicios de sesión de usuario interactivos: Inicios de sesión en los que un usuario proporciona un factor de autenticación, como una contraseña, una respuesta a través de una aplicación de MFA, un factor biométrico o un código QR.

• Inicios de sesión de usuario no interactivos: Inicios de sesión realizados por un cliente en nombre de un usuario. Estos inicios de sesión no requieren ninguna interacción ni factor de autenticación del usuario. Por ejemplo, la autenticación y la autorización mediante tokens de acceso y actualización, que no requieren que un usuario escriba las credenciales.

• Inicios de sesión de entidad de servicio: inicios de sesión realizados por aplicaciones y entidades de servicio que no implican a ningún usuario. En estos inicios de sesión, la aplicación o el servicio proporcionan una credencial en su propio nombre para autenticarse o acceder a los recursos.

• Identidades administradas para inicios de sesión de recursos de Azure: Inicios de sesión de recursos de Azure que tienen secretos administrados por Azure. Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

Personalización del diseño de los registros de inicio de sesión

Puede personalizar las columnas para el registro de información de inicio de sesión de usuarios interactivos con más de 30 opciones de columna. Para ver de forma más eficaz el registro de información de inicio de sesión, dedique unos instantes a personalizar la vista para sus necesidades.

1. Seleccione Columnas en el menú de la parte superior del registro.
2. Seleccione las columnas que desea ver y seleccione el botón Guardar situado en la parte inferior de la ventana.

Filtrado de los registros de inicio de sesión

El filtrado de registros de inicio de sesión es una manera útil de buscar rápidamente registros que coincidan con un escenario específico. Por ejemplo, podría filtrar la lista para ver solo los inicios de sesión que se produjeron en una ubicación geográfica específica, desde un sistema operativo específico o desde un tipo específico de credencial.

Algunas opciones de filtro le pedirán que seleccione más opciones. Siga las indicaciones para realizar la selección que necesita para el filtro. Puede agregar varios filtros.

1. Seleccione el botón Agregar filtros , elija una opción de filtro y seleccione Aplicar.

   

2. Introduzca un detalle específico, como un id. de solicitud, o seleccione otra opción de filtro.

   

Puede filtrar por varios detalles. En la tabla siguiente, se describen algunos filtros usados habitualmente. No todas las opciones de filtro se describen.

Filtro	Descripción
Id. de solicitud	Identificador único de una solicitud de inicio de sesión
Identificador de correlación	Identificador único de todas las solicitudes de inicio de sesión que forman parte de un intento de inicio de sesión único
Usuario	Nombre principal de usuario (UPN) del usuario
Aplicación	La aplicación de destino de la solicitud de inicio de sesión
Estado	Las opciones son Éxito, Error e Interrumpido
Recurso	El nombre del servicio que se usa para el inicio de sesión
Dirección IP	La dirección IP del cliente que se usa para el inicio de sesión
Acceso condicional	Las opciones son No aplicadas, Éxito, y Fracaso

Ahora que la tabla de registros de inicio de sesión tiene el formato que necesita, puede analizar los datos de forma más eficaz. Se pueden realizar análisis y retención adicionales de los datos de inicio de sesión mediante la exportación de los registros a otras herramientas.

Personalizar las columnas y ajustar el filtro ayuda a examinar los registros con características similares. Para ver los detalles de un inicio de sesión, seleccione una fila en la tabla para abrir el panel Detalles de actividad. Hay varias pestañas en el panel para explorar. Para obtener más información, consulte Detalles de la actividad del registro de inicio de sesión.

Filtro de aplicación cliente

Al revisar dónde se originó un inicio de sesión, es posible que tenga que usar el filtro de aplicación cliente . La aplicación cliente tiene dos subcategorías: clientes de autenticación moderna y clientes de autenticación heredados. Los clientes de autenticación moderna tienen dos subcategorías más: aplicaciones móvilesy exploradores y clientes de escritorio. Hay varias subcategorías para los clientes de autenticación heredados, que se definen en la tabla de detalles del cliente de autenticación heredada .

Los inicios de sesión del explorador incluyen todos los intentos de inicio de sesión de los exploradores web. Al ver los detalles de un inicio de sesión desde un explorador, la pestaña Información básica muestra Aplicación cliente: Explorador.

En la pestaña Información del dispositivo , Explorador muestra los detalles del explorador web. Se muestran el tipo y la versión del explorador, pero en algunos casos no están disponibles. Es posible que vea algo parecido a Rich Client 4.0.0.0.

Detalles de cliente de autenticación heredada

En la tabla siguiente se proporcionan los detalles de cada una de las opciones del cliente de autenticación heredada .

Nombre	Descripción
SMTP autenticado	Utilizado por clientes POP e IMAP para enviar mensajes de correo electrónico.
Detección automática	Usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.
Exchange ActiveSync	Este filtro muestra todos los intentos de inicio de sesión en los que se intentó el protocolo EAS.
Exchange ActiveSync	Muestra todos los intentos de inicio de sesión de los usuarios con aplicaciones cliente que usan Exchange ActiveSync para conectarse a Exchange Online.
PowerShell de Exchange Online	Se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para PowerShell de Exchange Online, debe usar el módulo de PowerShell de Exchange Online para conectarse. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell mediante la autenticación multifactor.
Servicios web de Exchange	Una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones no de Microsoft.
IMAP4	Un cliente de correo heredado que utiliza IMAP para recuperar el correo electrónico.
MAPI sobre HTTP	Utilizado por Outlook 2010 y versiones posteriores.
Libreta de direcciones sin conexión	Una copia de las colecciones de listas de direcciones que Outlook descarga y usa.
Outlook en cualquier lugar (RPC sobre HTTP)	Utilizado por Outlook 2016 y versiones anteriores.
Servicio Outlook	Usado por la aplicación de correo electrónico y calendario de Windows 10.
POP3	Un cliente de correo heredado que utiliza POP3 para recuperar el correo electrónico.
Servicios web de creación de informes	Se usan para recuperar datos de informes en Exchange Online.
Otros clientes	Muestra todos los intentos de inicio de sesión de los usuarios en los que la aplicación cliente no está incluida o se desconoce.

Registros de aprovisionamiento

Para ver de forma más eficaz el registro de aprovisionamiento, dedique unos instantes a personalizar la vista para sus necesidades. Puede especificar qué columnas se van a incluir y filtrar los datos para restringir los elementos.

Personalizar el diseño

El registro de aprovisionamiento tiene una vista predeterminada, pero puede personalizar las columnas.

1. Seleccione Columnas en el menú de la parte superior del registro.
2. Seleccione las columnas que desea ver y seleccione el botón Guardar situado en la parte inferior de la ventana.

Filtrado de los resultados

Al filtrar los datos de aprovisionamiento, algunos valores de filtro se rellenan dinámicamente en función del inquilino. Por ejemplo, si no tiene ningún evento “crear” en el inquilino, no estará disponible la opción de filtro Crear.

El filtro Identidad le permite especificar el nombre o la identidad que le interesa. Esta identidad puede ser un usuario, un grupo, un rol u otro objeto.

Puede buscar por nombre o por identificador de objeto. El identificador varía según el escenario.

• Si estás aprovisionando un objeto de Microsoft Entra ID a Salesforce, el ID de origen es el ID de objeto del usuario en Microsoft Entra ID. El identificador de destino es el identificador del usuario en Salesforce.
• Si estás aprovisionando desde Workday a Microsoft Entra ID, el ID de origen es el ID de empleado de Workday. El identificador de destino es el identificador del usuario en Microsoft Entra ID.
• Si va a aprovisionar usuarios para la sincronización entre inquilinos, el identificador de origen es el identificador del usuario del inquilino de origen. El identificador de destino es el identificador del usuario en el inquilino de destino.

Nota

Es posible que el nombre del usuario no siempre esté presente en la columna Identidad . Siempre habrá un identificador.

El filtro Date permite definir un período de tiempo para los datos devueltos. Los valores posibles son:

• Un mes
• Siete días
• 30 días
• 24 horas
• Intervalo de tiempo personalizado (configurar una fecha de inicio y una fecha de finalización)

El filtro Estado le permite seleccionar:

• Todos
• Correcto
• Error
• Omitida

El filtro Acción le permite filtrar estas acciones:

• Crear
• Actualizar
• Eliminar
• Deshabilitar
• Otros

Además de los filtros de la vista predeterminada, también puede establecer los siguientes filtros.

• ID de trabajo: Un identificador de trabajo único se asocia a cada aplicación para la que ha activado el aprovisionamiento.

• ID de ciclo: El ID de ciclo identifica de manera única el ciclo de aprovisionamiento. Puede compartir este id. con el soporte técnico del producto para buscar el ciclo en el que se ha producido este evento.

• ID de cambio: El ID de cambio es un identificador único para el evento de aprovisionamiento. Puede compartir este id. con el soporte técnico del producto para buscar el evento de aprovisionamiento.

• Sistema de origen: puede especificar desde dónde se aprovisiona la identidad. Por ejemplo, al aprovisionar un objeto de Microsoft Entra ID a ServiceNow, el sistema de origen es Microsoft Entra ID.

• Sistema de destino: puede especificar dónde se aprovisiona la identidad. Por ejemplo, al aprovisionar un objeto desde Microsoft Entra ID a ServiceNow, el sistema de destino es ServiceNow.

• Aplicación: solo puede mostrar registros de aplicaciones con un nombre para mostrar o un identificador de objeto que contenga una cadena específica. Para la sincronización entre inquilinos, use el identificador de objeto de la configuración y no el identificador de aplicación.

Contenido relacionado

• Análisis de un error de inicio de sesión
• Solución de errores de inicio de sesión
• Exploración de todas las categorías y actividades del registro de auditoría