Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La supervisión de salud de Microsoft Entra proporciona un conjunto de métricas de salud a nivel de arrendatario que puede supervisar, y alertas cuando se detecta un posible problema o una falla. Hay varios escenarios de salud que se pueden supervisar, incluidas las directivas de bloqueo de acceso condicional. Para obtener más información sobre cómo funciona Microsoft Entra Health, consulte:
- ¿Qué es Microsoft Entra Health?
- Uso de las señales y alertas de supervisión de estado de Microsoft Entra
En este artículo se describen las métricas de salud relacionadas con las directivas de bloqueo de acceso condicional, como cuando, de forma inesperada, se impide a los usuarios acceder a recursos o cuando la directiva no funcione como se esperaba.
Importante
La supervisión y las alertas del escenario de Microsoft Entra Health se encuentran actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes de la versión. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.
Prerrequisitos
Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso con privilegios mínimos para alinearse con la guía de confianza cero .
- Se requiere un cliente con una licencia de Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de estado de Microsoft Entra.
- Se requiere un inquilino con una licencia de Microsoft Entra P1 o P2y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
- El rol Lector de informes es el rol con menos privilegios necesario para ver las señales de supervisión de escenarios, las alertas y las configuraciones de alertas.
- El administrador del departamento de soporte técnico es el rol con menos privilegios necesarios para actualizar las alertas y actualizar las configuraciones de notificación de alertas.
- El rol Administrador de acceso condicional es necesario para ver y modificar las directivas de acceso condicional.
- El
HealthMonitoringAlert.Read.Allpermiso es necesario para ver las alertas mediante Microsoft Graph API. - El
HealthMonitoringAlert.ReadWrite.Allpermiso es necesario para ver y modificar las alertas mediante Microsoft Graph API. - Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.
Investigación de la alerta y la señal
La investigación de una alerta comienza con la recopilación de datos. Con Microsoft Entra Health en el Centro de administración de Microsoft Entra, puede ver los detalles de señal y alerta en un solo lugar. También puede ver las señales y alertas mediante Microsoft Graph API. Para obtener más información, consulte Cómo investigar alertas de escenarios de salud para obtener instrucciones sobre cómo recopilar datos mediante la API de Microsoft Graph.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de informes.
Vaya a Identidad>Supervisión y salud>Salud. La página se abre en la página de Cumplimiento del Acuerdo de Nivel de Servicio (SLA).
Seleccione la pestaña Supervisión de estado .
Seleccione el escenario de directiva de bloqueo de acceso condicional y, a continuación, seleccione una alerta activa.
Vea la señal de la sección Ver gráfico de datos para familiarizarse con el patrón e identificar anomalías.
Investigue los problemas comunes de acceso condicional.
Revise los registros de información de inicio de sesión.
- Revise los detalles del registro de inicio de sesión.
- Busque inicios de sesión en los que el estado del acceso condicional es "error".
Compruebe los registros de auditoría para ver los cambios recientes en la directiva.
Descripción de la señal
La señal de estado de Microsoft Entra para la directiva de bloqueo de acceso condicional podría desencadenar una alerta si hay un pico o una disminución en el número de usuarios bloqueados para acceder a los recursos debido a una directiva de acceso condicional.
- Un pico podría significar que se habilitó una nueva directiva o se modificó una directiva existente para tener como destino un conjunto más amplio de usuarios y recursos.
- Una caída podría significar que una directiva se deshabilitó o modificó para tener como destino un conjunto más pequeño de usuarios y recursos.
Estos cambios podrían ser intencionados o no intencionados.
- Si el cambio era intencionado, es probable que no se necesite ninguna otra acción.
- Si el cambio no es intencionado, debe revisar la directiva de acceso condicional modificada en los registros de auditoría.
Mitigación de problemas comunes
Los siguientes problemas comunes podrían provocar que la alerta de directiva de bloqueo de acceso condicional desencadene una alerta. Esta lista no es exhaustiva, pero proporciona un punto de partida para su investigación.
Muchos usuarios reciben el mensaje "No se puede llegar desde aquí"
La alerta de bloqueo de acceso condicional puede desencadenarse si hay un aumento en el mensaje de error "No puedes acceder desde aquí" durante el inicio de sesión. Este mensaje aparece si la aplicación a la que el usuario intenta acceder solo puede acceder desde dispositivos o aplicaciones cliente que cumplen la directiva de administración de dispositivos móviles de la organización.
- Un pico en un gran número de usuarios que reciben esta alerta podría indicar un cambio en la directiva de administración de dispositivos móviles de la organización.
- Un pico para algunos usuarios podría indicar un problema con su dispositivo específico.
Para investigar:
Vaya a la sección Entidades afectadas del escenario seleccionado y seleccione Ver para los usuarios.
- Si el problema afecta a un mayor número de usuarios, puede haber un cambio en la directiva de administración de dispositivos móviles que necesita solucionar.
- Si el problema afecta a algunos usuarios, podría estar relacionado con su dispositivo específico. Es posible que necesiten unir sus dispositivos a la red de la organización. Seleccione un usuario para navegar directamente a su perfil.
Para corregir problemas que afectan a un gran número de usuarios:
Revise los registros de auditoría para ver los cambios realizados en las directivas de acceso condicional.
- Filtrar a categoría: directiva y busque los siguientes eventos:
- Agregar directiva de acceso condicional
- Eliminar directiva de acceso condicional
- Actualización de la directiva de acceso condicional
- También puede usar las siguientes consultas de Microsoft Graph API:
- OBTENER
https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' - OBTENER
https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Update' - OBTENER
https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq ‘Add’ - OBTENER
https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Delete' - OBTENER
https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and activityDateTime ge 2024-12-04T22:03:57.2013763Z
- OBTENER
- Filtrar a categoría: directiva y busque los siguientes eventos:
Revise las directivas de administración de dispositivos móviles para asegurarse de que están configuradas correctamente. Inicie sesión en el Centro de administración de Microsoft Intune como administrador de Intune y vaya aConfiguración> para revisar las directivas.
Para corregir problemas que afectan a usuarios específicos:
- Conecte su dispositivo propiedad de la empresa a la red de la organización.
- Registre su dispositivo personal con la red de la organización.