Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El acceso condicional ayuda a las organizaciones a mantener la seguridad aplicando los controles de acceso de seguridad adecuados en las circunstancias adecuadas. Comprender el impacto de estas directivas es difícil, especialmente al implementar nuevas directivas. En este artículo se explica cómo analizar el impacto de las directivas de acceso condicional mediante el modo de solo informe y otras herramientas.
Los administradores tienen varias opciones basadas en el modo de solo informe. El modo de solo informe es un estado de directiva que permite a los administradores probar la mayoría de las directivas de acceso condicional antes de habilitarlas.
- Los administradores pueden evaluar las directivas de acceso condicional en modo de solo informe, excepto los elementos incluidos en el ámbito "Acciones de usuario".
- Durante el inicio de sesión, el sistema evalúa las directivas en modo de solo informe, pero no las aplica.
- Los resultados se registran en las pestañas Acceso condicional y solo informe de los detalles del registro de inicio de sesión.
- Los clientes con una suscripción de Azure Monitor pueden supervisar el impacto de sus directivas de acceso condicional mediante el libro Conditional Access Insights.
Advertencia
Las directivas en modo de solo informe que requieren un dispositivo compatible pueden solicitar a los usuarios en dispositivos macOS, iOS y Android seleccionar un certificado de dispositivo durante la evaluación de directivas, aunque no se aplique el cumplimiento del dispositivo. Estas indicaciones pueden repetirse hasta que el dispositivo sea compatible. Para evitar que los usuarios finales reciban mensajes durante el inicio de sesión, excluya las plataformas de dispositivos Mac, iOS y Android de las directivas configuradas solo para informes que realizan comprobaciones de cumplimiento de dispositivos.
Resultados de la evaluación de directivas
Cuando se evalúa una directiva para un inicio de sesión determinado, hay varios resultados posibles:
| Resultado | Descripción |
|---|---|
| Solo informe: Correcto | Se han cumplido todas las condiciones de directiva configuradas, los controles de concesión no interactivos necesarios y los controles de sesión. Por ejemplo, una notificación de MFA ya presente en el token cumple un requisito de autenticación multifactor o se cumple una directiva de dispositivo compatible mediante la realización de una comprobación de dispositivo en un dispositivo compatible. |
| Solo informe: Error | Se cumplen todas las condiciones de directiva configuradas, pero no todos los controles de concesión no interactivos necesarios o los controles de sesión. Por ejemplo, una directiva se aplica a un usuario en el que se configura un control de bloque o un dispositivo produce un error en una directiva de dispositivo compatible. |
| Solo informe: se requiere la acción del usuario | Se cumplen todas las condiciones de directiva configuradas, pero se requeriría la acción del usuario para satisfacer los controles de concesión o los controles de sesión necesarios. Con el modo de solo informe, no se pide al usuario que satisfaga los controles necesarios. Por ejemplo, no se solicita a los usuarios desafíos de autenticación multifactor ni términos de uso. |
| Solo informe: no aplicado | No se cumplen todas las condiciones de directiva configuradas. Por ejemplo, el usuario se excluye de la directiva o la directiva solo se aplica a determinadas ubicaciones con nombre de confianza. |
| Éxito | Eventos de inicio de sesión en los que se aplicaba la política, se cumplían los requisitos y la política permitía continuar con el inicio de sesión. Es posible que el inicio de sesión todavía esté bloqueado por una directiva diferente. |
| Fracaso | Los eventos de inicio de sesión en los que se aplicó la directiva, los requisitos no se cumplen y la directiva bloquearía el inicio de sesión. Esto puede ser por diseño, como cuando se bloquean los inicios de sesión desde una ubicación específica, o accidentalmente cuando la directiva está mal configurada. |
| No aplicado | Eventos de inicio de sesión en los que no se aplicó la directiva, por ejemplo, se excluyó al usuario. |
Revisión de los resultados
Los administradores pueden usar varias opciones para revisar los posibles resultados de las directivas en su entorno:
- Cuadernos de trabajo
- Registros de inicio de sesión
- Impacto en la política (versión preliminar)
Impacto de la política
La vista de impacto de la directiva de Acceso Condicional permite a los administradores con al menos el rol de Lector de Seguridad ver una instantánea de los impactos potenciales o existentes de la directiva en los inicios de sesión interactivos de su organización. Puede explorar el impacto en las últimas 24 horas, 7 días o 1 mes. También puede visualizar y acceder a una muestra de eventos de inicio de sesión para obtener más detalles.
Cuadernos de trabajo
Los administradores pueden crear varias directivas en modo de solo informe, por lo que es importante comprender tanto el impacto individual de cada directiva como el impacto combinado de varias directivas evaluadas conjuntamente. El libro Información de acceso condicional e informes permite a los administradores visualizar directivas de acceso condicional, consultar y supervisar el impacto de una directiva para un intervalo de tiempo específico, un conjunto de aplicaciones y usuarios. Los administradores pueden personalizar los libros de trabajo para satisfacer sus necesidades.
Registros de inicio de sesión
Para una evaluación más profunda de las directivas de acceso condicional y su aplicación en un inicio de sesión específico, los administradores pueden investigar eventos de inicio de sesión individuales. Cada evento incluye detalles sobre qué directivas de acceso condicional se habilitaron, quedaron en modo de solo informe, se aplicaron o no se aplicaron.
Uso de estas opciones
Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de solo informe a Activado.
Contenido relacionado
- Obtenga información sobre cómo configurar el modo de solo informe en una directiva de acceso condicional.