Análisis e investigación de los registros de inicio de sesión para solucionar problemas de acceso
La arquitectura de los informes de Microsoft Entra ID consta de los siguientes componentes:
Actividad
- Inicios de sesión: información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.
- Registros de auditoría: los registros de auditoría proporcionan información de la actividad del sistema sobre la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio.
- Registros de aprovisionamiento: los registros de aprovisionamiento permiten a los clientes supervisar la actividad del servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de WorkDay.
Seguridad
- Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión de alguien que no es el propietario legítimo de una cuenta de usuario.
- Usuarios marcados en riesgo: un usuario en peligro es un indicador de una cuenta de usuario que puede haber estado en peligro.
¿Quién puede acceder a los datos?
- Usuarios de los roles Administrador de seguridad, Lector de seguridad, Lector global y Lector de informes
- Administradores globales
- Cualquier usuario (no administradores) puede acceder a sus propios inicios de sesión
¿Qué licencia de Microsoft Entra se necesita para acceder a la actividad de inicio de sesión?
El informe de actividad de inicio de sesión está disponible en todas las ediciones de Microsoft Entra ID y también se puede acceder a ella mediante Microsoft Graph API.
Informe de inicios de sesión
El informe de inicios de sesión de usuario proporciona respuestas a las preguntas siguientes:
- ¿Cuál es el patrón de inicio de sesión de un usuario?
- ¿Cuántos usuarios han iniciado sesión en una semana?
- ¿Cuál es el estado de estos inicios de sesión?
En el menú de Azure Portal, seleccione Microsoft Entra ID o busque y seleccione Microsoft Entra ID en cualquier página.
En Supervisión, seleccione Inicios de sesión para abrir el informe de inicios de sesión.
Los registros de inicio de sesión tardan hasta dos horas antes de aparecer en el portal.
Importante
El informe de inicios de sesión solo muestra los inicios de sesión interactivos, es decir, aquellos donde un usuario inicia sesión manualmente con su nombre de usuario y contraseña. Los inicios de sesión no interactivos, como la autenticación de servicio a servicio, no se muestran en el informe de inicios de sesión.
Un registro de inicios de sesión tiene una vista de lista predeterminada que muestra:
Fecha de inicio de sesión
Usuario relacionado
Aplicación en la que el usuario ha iniciado sesión
Estado de inicio de sesión
Estado de la detección de riesgos
Estado del requisito de autenticación multifactor (MFA)
Puede personalizar la vista de lista seleccionando Columnas en la barra de herramientas.
En el cuadro de diálogo Columnas se proporciona acceso a los atributos seleccionables. En un informe de inicio de sesión, no puede tener campos que tengan más de un valor para una solicitud de inicio de sesión determinada como columna. Por ejemplo, la regla se aplica para los detalles de autenticación, los datos de acceso condicional y la ubicación de red.
Seleccione un elemento de la vista de lista para obtener información más detallada.
Los clientes ahora pueden solucionar problemas de directivas de acceso condicional con todos los informes de inicios de sesión. Cuando un administrador selecciona la pestaña Acceso condicional de un registro de inicio de sesión, los clientes pueden revisar el estado de acceso condicional y profundizar en los detalles de las directivas que se aplican al inicio de sesión y del resultado de cada directiva. Para más información, vea las Preguntas frecuentes sobre la información de CA en todos los inicios de sesión.
Filtrado de las actividades de inicio de sesión
En primer lugar, limite los datos informados a un nivel que le resulte más adecuado. En segundo lugar, filtre los datos de inicio de sesión mediante el campo de fecha como filtro predeterminado. Microsoft Entra ID proporciona una amplia variedad de filtros adicionales que puede establecer:
Identificador de solicitud: el identificador de la solicitud que le interesa.
Usuario: el nombre o el nombre principal de usuario (UPN) del usuario que le interesa.
Aplicación: el nombre de la aplicación de destino.
Estado: el estado de inicio de sesión que le interesa:
- Correcto
- Error
- Interrumpido
Dirección IP: la dirección IP del dispositivo que se utiliza para conectarse al inquilino.
Ubicación: la ubicación desde la que se inició la conexión:
- City
- Estado o provincia
- País/región
Recurso: el nombre del servicio que se usa para el inicio de sesión.
Identificador de recurso: el identificador del servicio que se utiliza para el inicio de sesión.
Aplicación cliente: el tipo de aplicación cliente que se usa para conectarse al inquilino:
| Nombre | Autenticación moderna | Descripción |
|---|---|---|
| SMTP autenticado | Utilizado por clientes POP e IMAP para enviar mensajes de correo electrónico. | |
| Detección automática | Usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online. | |
| Exchange ActiveSync | Muestra todos los intentos de inicio de sesión en los que se ha intentado el protocolo EAS. | |
| Browser | Sí | Muestra todos los intentos de inicio de sesión de los usuarios mediante exploradores web. |
| Exchange ActiveSync | Muestra todos los intentos de inicio de sesión de los usuarios con aplicaciones cliente que usan Exchange ActiveSync para conectarse a Exchange Online. | |
| PowerShell de Exchange Online | Se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para PowerShell de Exchange Online, debe usar el módulo de PowerShell de Exchange Online para conectarse. | |
| Servicios web de Exchange | Una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones de terceros. | |
| IMAP4 | Un cliente de correo heredado que utiliza IMAP para recuperar el correo electrónico. | |
| MAPI sobre HTTP | Utilizado por Outlook 2010 y versiones posteriores. | |
| Aplicaciones móviles y aplicaciones de escritorio | Sí | Muestra todos los intentos de inicio de sesión de los usuarios que usan aplicaciones móviles y clientes de escritorio. |
| Libreta de direcciones sin conexión | Una copia de las colecciones de listas de direcciones que Outlook descarga y usa. | |
| Outlook en cualquier lugar (RPC sobre HTTP) | Utilizado por Outlook 2016 y versiones anteriores. | |
| Servicio Outlook | Usado por la aplicación de correo electrónico y calendario de Windows 10. | |
| POP3 | Un cliente de correo heredado que utiliza POP3 para recuperar el correo electrónico. | |
| Servicios web de creación de informes | Se usan para recuperar datos de informes en Exchange Online. | |
| Otros clientes | Muestra todos los intentos de inicio de sesión de los usuarios en los que la aplicación cliente no está incluida o es desconocida. |
Sistema operativo: el sistema operativo que se ejecuta en el dispositivo utilizado para iniciar sesión en el inquilino.
Explorador de dispositivos: si la conexión se inició desde un explorador, este campo le permite filtrar por nombre de explorador.
Id. de correlación: el identificador de correlación de la actividad.
Acceso condicional: el estado de las reglas de acceso condicional aplicadas.
- No aplicado: No se aplica ninguna directiva al usuario y a la aplicación durante el inicio de sesión.
- Correcto: se aplicó una o varias directivas de acceso condicional al usuario y a la aplicación (pero no necesariamente a las demás condiciones) durante el inicio de sesión.
- Error: el inicio de sesión cumplió la condición de usuario y aplicación de al menos una directiva de acceso condicional, y los controles de concesión no se han cumplido o se han establecido para bloquear el acceso.
Descarga de actividades de inicio de sesión
Seleccione Descargar para crear un archivo CSV o JSON de los 250 000 registros más recientes. Si desea trabajar con los datos fuera de Azure Portal, empiece por Descarga de los inicios de sesión.
Importante
El número de registros que se puede descargar también está restringido por las directivas de retención de informes de Microsoft Entra ID.
Accesos directos a los datos de inicios de sesión
Tanto Microsoft Entra ID como Azure Portal proporcionan puntos de entrada adicionales para los datos de inicio de sesión:
- Identity Protection, que se encuentra en Microsoft Entra ID: Seguridad: Identity Protection
- Usuarios
- Grupos
- Aplicaciones empresariales
Datos de inicio de sesión de usuarios en Identity Protection
El gráfico de inicio de sesión de usuario en la página de información general de Identity Protection muestra agregaciones semanales de inicios de sesión. El valor predeterminado para el período es de 30 días.
Al seleccionar un día en el gráfico de inicio de sesión, obtiene información general de las actividades de inicio de sesión de ese día.
Cada fila de la lista de actividades de inicio de sesión muestra:
- ¿Quién ha iniciado sesión?
- ¿Qué aplicación era el destino del inicio de sesión?
- ¿Cuál es el estado del inicio de sesión?
- ¿Cuál es el estado de MFA del inicio de sesión?
Cuando el administrador selecciona un elemento, obtendrá más detalles sobre la operación de inicio de sesión:
Id. de usuario
Usuario
Nombre de usuario
Identificador de aplicación
Application
Remoto
Location
Dirección IP
Date
Se requiere MFA
Estado de inicio de sesión
Nota:
Las direcciones IP se emiten de forma que no haya ninguna conexión definitiva entre una dirección IP y donde se encuentre físicamente el equipo con esa dirección. La asignación de direcciones IP se complica por el hecho de que los proveedores de dispositivos móviles y las VPN emiten direcciones IP desde grupos centrales que, a menudo, están muy lejos de donde el dispositivo cliente se usa realmente. Actualmente, en los informes de Microsoft Entra, la conversión de una dirección IP en una ubicación física es el mejor esfuerzo basado en seguimientos, datos del registro, búsquedas inversas y otra información.
En la página Usuarios, puede obtener una vista general completa de todos los inicios de sesión del usuario seleccionando Inicios de sesión en la sección Actividad.
Uso de las aplicaciones administradas
Con una vista centrada en la aplicación de los datos de inicio de sesión, puede responder a preguntas tales como:
- ¿Quién está usando mis aplicaciones?
- ¿Cuáles son las tres aplicaciones principales en mi organización?
- ¿Cómo es el rendimiento de la aplicación más reciente?
El punto de entrada a estos datos son las tres aplicaciones principales de su organización. Los datos se incluyen en el informe de los últimos 30 días en la sección Información general en Aplicaciones empresariales.
Agregaciones semanales de los gráficos de uso de la aplicación de inicios de sesión para las tres aplicaciones principales en un período determinado. El período de tiempo predeterminado es 30 días.
Si lo desea, puede establecer el foco en una aplicación específica.
Al seleccionar un día del gráfico de uso de la aplicación, obtendrá una lista detallada de las actividades de inicio de sesión.
La opción Inicios de sesión ofrece una descripción completa de todos los eventos de inicio de sesión para sus aplicaciones.
Registros de actividad de Microsoft 365
Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. La actividad de Microsoft 365 y los registros de actividad de Microsoft Entra comparten una cantidad significativa de los recursos del directorio. Solo el centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.
También puede tener acceso a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.