Uso del informe de inicios de sesión para revisar eventos Microsoft Entra MFA
Para revisar y comprender los eventos de Microsoft Entra MFA, puede usar el informe de inicios de sesión de Microsoft Entra. En este informe se muestran detalles de autenticación de eventos cuando se solicita a un usuario la MFA y si había alguna directiva de acceso condicional en uso. Para obtener información detallada sobre el informe de inicios de sesión, consulte la información general sobre los informes de actividad de inicio de sesión en id. de Microsoft Entra.
Visualizar del informe de inicios de sesión de Microsoft Entra
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
El informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario, que incluye información sobre el uso de la MFA. Los datos MFA le proporcionan información acerca del funcionamiento de MFA en su organización, Responde a preguntas como:
- ¿Supuso un problema la MFA para el inicio de sesión?
- ¿Cómo completo el usuario la MFA?
- ¿Qué métodos de autenticación se usaron durante un inicio de sesión?
- ¿Por qué no pudo completar el usuario la MFA?
- ¿En cuántos usuarios se usa MFA?
- ¿Cuántos usuarios no pueden completar el desafío de MFA?
- ¿Cuáles son los problemas de MFA más habituales a los que se enfrentan los usuarios finales?
Para ver el informe de actividad de inicio de sesión en el Centro de administración de Microsoft Entra, complete los pasos siguientes. También puede consultar los datos mediante la API de informes.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Identidad> y elija Usuarios>Todos los usuarios en el menú de la izquierda.
En el menú de la izquierda, seleccione registros de inicio de sesión.
Se muestra una lista de eventos de inicio de sesión, incluido el estado. Puede seleccionar un evento para ver más detalles.
En la pestaña Acceso condicional de los detalles del evento se muestra la directiva que desencadenó la solicitud de MFA.
Si está disponible, se muestra la autenticación, como mensaje de texto, notificación de la aplicación de Microsoft Authenticator o llamada de teléfono.
La pestaña Detalles de autenticación proporciona la siguiente información para cada intento de autenticación:
- Una lista de las directivas de autenticación aplicadas (por ejemplo, acceso condicional, MFA por usuario, valores predeterminados de seguridad).
- La secuencia de los métodos de autenticación usados para iniciar sesión.
- Si el intento de autenticación se ha realizado correctamente o no.
- Detalles sobre por qué el intento de autenticación se ha realizado correctamente o no.
Esta información permite a los administradores solucionar problemas de cada paso en el inicio de sesión de un usuario y realizar un seguimiento de los siguientes aspectos:
- Volumen de inicios de sesión protegidos por la MFA
- Tasas de uso y éxito de cada método de autenticación.
- Uso de métodos de autenticación sin contraseña (como el inicio de sesión con teléfono sin contraseña, FIDO2 y Windows Hello para empresas).
- Con qué frecuencia se cumplen los requisitos de autenticación mediante notificaciones de token (donde a los usuarios no se les pide interactivamente que escriban una contraseña, escriban un SMS OTP, y así sucesivamente).
Al ver el informe de inicios de sesión, seleccione la pestaña Detalles de autenticación:
Nota:
El código de verificación OATH se registra como el método de autenticación para tokens de hardware y software OATH (por ejemplo, la aplicación Microsoft Authenticator).
Importante
La pestaña Detalles de autenticación puede mostrar inicialmente datos incompletos o inexactos, hasta que la información del registro se agregue por completo. Algunos ejemplos conocidos son:
- Un mensaje de notificación de cumplimiento en el token se muestra incorrectamente cuando se registran inicialmente eventos de inicio de sesión.
- La fila Autenticación principal no se registra inicialmente.
Los detalles siguientes aparecen en la ventana Detalles de autenticación para un evento de inicio de sesión que muestra si la solicitud de MFA se ha cumplido o denegado:
Si se ha cumplido, esta columna proporciona más información acerca de cómo se ha hecho.
- completado en la nube
- ha expirado debido a las directivas configuradas en el inquilino
- registro solicitado
- satisfecho por notificación en el token
- satisfecho por notificación de proveedor externo
- satisfecho por autenticación segura
- se omite, ya que el flujo usado fue el flujo de inicio de sesión del agente de Windows
- se omite debido a la aplicación de la contraseña
- se omite debido a la ubicación
- se omite debido al dispositivo registrado
- se omite debido al dispositivo recordado
- completado correctamente
Si se ha denegado, esta columna proporcionaría el motivo de la denegación.
- autenticación en curso
- intento de duplicación de autenticación
- se ha escribir un código incorrecto demasiadas veces
- autenticación no válida
- código de verificación de aplicación móvil no válido
- error de configuración
- la llamada de teléfono se dirigió al correo de voz
- el número de teléfono tiene un formato no válido
- error del servicio
- no se puede acceder al teléfono del usuario
- no se puede enviar la notificación de la aplicación móvil al dispositivo
- no se puede enviar la notificación de la aplicación móvil
- el usuario rechazó la autenticación
- el usuario no ha respondido a la notificación de la aplicación móvil
- el usuario no tiene ningún método de comprobación registrado
- el usuario ha escrito un código incorrecto
- el usuario ha escrito un PIN incorrecto
- el usuario contestó la llamada de teléfono sin la autenticación
- el usuario está bloqueado
- el usuario no ha escrito el código de verificación
- el usuario no se encuentra
- el código de verificación ya se ha usado una vez
Creación de informes de PowerShell sobre los usuarios registrados para MFA
En primer lugar, asegúrese de que tiene instalado el SDK de PowerShell de Microsoft Graph.
Identifique los usuarios que se han registrado en MFA mediante el PowerShell siguiente. Este conjunto de comandos excluye los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en id. de Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique a los usuarios que no están registrados para MFA mediante la ejecución de los siguientes comandos de PowerShell. Este conjunto de comandos excluye los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en id. de Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique los usuarios y los métodos de salida registrados:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Informes de MFA adicionales
La información y los informes adicionales que se muestran a continuación están disponibles para los eventos de MFA, incluidos los del Servidor MFA:
Informe | Location | Descripción |
---|---|---|
Historial de usuarios bloqueados | Id. de Microsoft Entra > Seguridad > MFA > Bloquear/desbloquear | Muestra el historial de solicitudes para bloquear o desbloquear usuarios. |
Uso de componentes locales | Id. de Microsoft Entra > Seguridad > MFA > Informe de actividad | Proporciona información sobre el uso general del servidor de MFA. La extensión NPS y los registros de AD FS para la actividad de MFA en la nube ahora se incluyen en los registros de inicio de sesión y ya no se publican en este informe. |
Historial de usuarios omitidos | Id. de Microsoft Entra > Seguridad > MFA > Omisión por única vez | Proporciona un historial de solicitudes del Servidor MFA a fin de omitir MFA para un usuario. |
Estado del servidor | Id. de Microsoft Entra > Seguridad > MFA > Estado del servidor | Muestra el estado de los Servidores MFA asociados a su cuenta. |
Los eventos de inicio de sesión de MFA en la nube desde un adaptador de AD FS local o una extensión NPS no tendrán todos los campos de los registros de inicio de sesión rellenados debido a datos limitados devueltos por el componente local. Puede identificar estos eventos mediante adfs o radius de resourceID en las propiedades del evento. Entre ellas, las siguientes:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
Las organizaciones que ejecutan la versión más reciente de la extensión NPS o usan Microsoft Entra Connect Health tendrán la dirección IP de ubicación en eventos.
Pasos siguientes
En este artículo se proporciona información general del informe de actividad de inicios de sesión. Para saber más detalles sobre el contenido de este informe, consulte los informes de actividad de inicio de sesión en id. de Microsoft Entra.