Compartir vía


¿Qué es el diagnóstico de inicio de sesión en Microsoft Entra ID?

Determinar el motivo de un inicio de sesión con errores puede convertirse rápidamente en una tarea complicada. Para resolver el problema, debe analizar lo que ha ocurrido durante el intento de inicio de sesión e investigar las recomendaciones disponibles. Lo ideal es resolver el problema sin involucrar a otras personas, como el soporte de Microsoft. Si se encuentra en una situación como esta, puede usar el diagnóstico de inicios de sesión en Microsoft Entra ID, que es una herramienta que le ayuda a investigar los inicios de sesión en Microsoft Entra ID.

En este artículo se proporciona información general sobre qué es el diagnóstico de inicio de sesión y cómo se puede usar para solucionar errores relacionados con el inicio de sesión.

Requisitos previos

Para usar el diagnóstico de inicio de sesión:

  • Debes estar registrado como mínimo como Lector global.
  • Es posible que alguna información de registro de inicio de sesión requiera otros roles, como el Administrador de acceso condicional.
  • Los eventos de inicio de sesión marcados también se pueden revisar desde el diagnóstico de inicio de sesión.
    • Los eventos de inicio de sesión marcados se capturan después de que un usuario haya habilitado la marca durante su experiencia de inicio de sesión.
    • Para más información, consulte Inicios de sesión marcados.

¿Cómo funciona?

En Microsoft Entra ID, los intentos de inicio de sesión se controlan mediante:

  • Quién realizó un intento de inicio de sesión.
  • Cómo se realizó un intento de inicio de sesión.

Por ejemplo, puede configurar directivas de acceso condicional que permitan a los administradores configurar todos los aspectos del inquilino cuando inician sesión desde la red corporativa. Sin embargo, el mismo usuario podría bloquearse cuando inicia sesión en la misma cuenta desde una red que no es de confianza.

Debido a la mayor flexibilidad del sistema para responder a un intento de inicio de sesión, es posible que se encuentre en situaciones en las que necesite solucionar problemas de inicio de sesión. La herramienta de diagnóstico de inicio de sesión habilita el diagnóstico de problemas de inicio de sesión mediante:

  • Análisis de datos de eventos de inicio de sesión e inicios de sesión marcados.
  • Mostrar información de lo que ha ocurrido.
  • Proporcionar recomendaciones para resolver problemas.

Cómo acceder al diagnóstico de inicio de sesión

Hay tres maneras de acceder al diagnóstico de inicio de sesión en Microsoft Entra ID. Seleccione una pestaña para obtener información sobre cada método.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Puede iniciar el diagnóstico de inicio de sesión desde el área Diagnosticar y resolver problemas de Microsoft Entra ID. En Diagnosticar y resolver problemas, puede revisar los eventos de inicio de sesión marcados o buscar un evento de inicio de sesión específico. También puede iniciar este proceso desde el área Diagnóstico y solución de problemas de acceso condicional.

  1. Inicie sesión en el Centro de administración de Microsoft Entrar al menos comoGlobal Reader.

  2. Vaya a Diagnosticar y resolver problemas en la parte superior del panel de navegación izquierdo.

    Captura de pantalla de Diagnosticar y resolver problemas en el panel de navegación izquierdo.

    • También puede acceder a Diagnosticar y resolver problemas desde Acceso condicional, Usuarios, Grupos, Protección de identidades y Autenticación multifactor.
  3. Seleccione el vínculo Solucionar problemas en el icono Diagnóstico de inicio de sesión.

    Captura de pantalla del icono de diagnóstico de inicio de sesión.

  4. Seleccione la pestaña Todos los eventos de inicio de sesión para iniciar una búsqueda.

    • En algunos casos, el sistema comienza automáticamente a buscar eventos de inicio de sesión marcados. Si no se encuentra nada, se le redirigirá a la pestaña Todos los eventos de inicio de sesión.
  5. Escriba tantos detalles como sea posible en los campos de búsqueda.

    • Usuario: proporcione el nombre o la dirección de correo electrónico de quién realizó el intento de inicio de sesión.
    • Aplicación: proporcione el nombre para mostrar de la aplicación o el identificador de la aplicación.
    • correlationId o requestId: estos detalles se pueden encontrar en el informe de errores o en los detalles del registro de inicio de sesión.
    • Fecha y hora: proporcione una fecha y hora para buscar eventos de inicio de sesión que se produjeron en un plazo de 48 horas.
  6. Haz clic en el botón Siguiente.

  7. Explore los resultados y tome medidas según sea necesario.

Cómo usar los resultados de diagnóstico

Una vez completado el diagnóstico de inicio de sesión, aparecen algunas cosas en la pantalla.

El Resumen de autenticación enumera todos los eventos que coinciden con los detalles que proporcionó. Seleccione la opción Ver columnas en la esquina superior derecha del resumen para cambiar las columnas que aparecen.

Captura de pantalla del resumen de la autenticación.

Los Resultados de diagnóstico describen lo que sucedió durante los eventos de inicio de sesión.

  • Los escenarios pueden incluir requisitos de MFA de una directiva de acceso condicional, eventos de inicio de sesión que pueden necesitar aplicar una directiva de acceso condicional o un gran número de intentos de inicio de sesión erróneos en las últimas 48 horas.

  • Se pueden proporcionar contenido relacionado y vínculos a herramientas de solución de problemas.

  • Lea los resultados para identificar las acciones que puede realizar.

  • Como no siempre es posible resolver problemas sin ayuda adicional, un paso recomendado podría ser abrir una incidencia de soporte técnico.

    Captura de pantalla de los resultados de diagnóstico para un escenario.

Escenarios frecuentes

Revise las sugerencias de la sección siguiente para ver algunos escenarios comunes en los que el diagnóstico de inicio de sesión puede proporcionar información útil a fin de solucionar problemas.

Acceso condicional

Las directivas de acceso condicional se usan para aplicar los controles de acceso correctos cuando sea necesario para mantener protegida la organización. Dado que las directivas de acceso condicional se pueden usar para conceder o bloquear el acceso a los recursos, a menudo aparecen en el diagnóstico de inicio de sesión.

Autenticación multifactor

Hay varios eventos relacionados con la autenticación multifactor (MFA) que puede solucionar mediante la herramienta de diagnóstico de inicio de sesión.

  • MFA desde otros requisitos: si los resultados del diagnóstico de inicio de sesión mostraron una MFA en un requisito distinto del acceso condicional, es posible que la MFA esté habilitada por usuario. Se recomienda convertir la MFA por usuario en acceso condicional. El diagnóstico de inicio de sesión proporciona detalles sobre el origen de la interrupción de la MFA y el resultado de la interacción.

  • MFA "proofup": MFA ha interrumpido el intento de inicio de sesión, por lo que se proporciona información sobre "proofup" en los resultados de diagnóstico. Este error aparece cuando los usuarios configuran la MFA por primera vez y no completan la configuración o la configuración no se estableció con antelación.

    Captura de pantalla de los resultados del diagnóstico de proofup de la MFA.

  • Credenciales correctas e incorrectas: a veces los usuarios simplemente escriben credenciales incorrectas. La herramienta de diagnóstico de inicio de sesión puede ayudar a distinguir entre errores humanos y otros problemas.

  • Inicio de sesión correcto: en algunos casos, quiere saber si los eventos de inicio de sesión no se interrumpen mediante el acceso condicional o la MFA, pero deberían hacerlo. La herramienta de diagnóstico de inicio de sesión proporciona detalles sobre los eventos de inicio de sesión que se deben interrumpir, pero no se interrumpen.

  • Cuenta bloqueada: un usuario intentó iniciar sesión con credenciales incorrectas demasiadas veces. Los resultados del diagnóstico permiten determinar de dónde vienen los intentos y si son intentos legítimos de inicio de sesión del usuario o no. Se proporcionan detalles sobre las aplicaciones, el número de intentos, el dispositivo usado, el sistema operativo y la dirección IP. Para más información, consulte Microsoft Entra Smart Lockout.

  • Nombre de usuario o contraseña no válidos: cuando un usuario intenta iniciar sesión con un nombre de usuario o una contraseña no válidos, el diagnóstico de inicio de sesión proporciona detalles sobre las aplicaciones, el número de intentos, el dispositivo usado, el sistema operativo y la dirección IP. Esta información ayuda a determinar si el usuario especificó credenciales incorrectas o si la aplicación almacenaba en caché una contraseña antigua y la vuelve a enviar.

Aplicaciones empresariales

En las aplicaciones empresariales, pueden producirse problemas con la configuración de la aplicación del proveedor de identidades (Microsoft Entra ID) o el proveedor de servicios (servicio de aplicación, también conocido como aplicación SaaS).

  • Proveedor de servicios de aplicaciones empresariales: si se ha producido un error en el inicio de sesión debido a un problema con el lado del proveedor de servicios (aplicación) del flujo de inicio de sesión, el problema se resuelve mediante la corrección de problemas en el servicio de aplicación. Debe iniciar sesión en el otro servicio y cambiar algunos valores de configuración según la guía de diagnóstico.

  • Configuración de aplicaciones empresariales: si se ha producido un error en el inicio de sesión debido a un problema de configuración en el lado de Microsoft Entra ID de la aplicación, debe revisar y actualizar la configuración de la aplicación en Aplicaciones empresariales.

Valores predeterminados de seguridad

Los eventos de inicio de sesión se pueden interrumpir debido a la configuración de los valores predeterminados de seguridad. Los valores predeterminados de seguridad aplican la seguridad de procedimientos recomendados para su organización. Un procedimiento recomendado es requerir que se configure y use la MFA para evitar que las difusiones de contraseñas, los ataques de reinyección y los intentos de suplantación de identidad tengan éxito.

Para obtener más información, consulte ¿Cuáles son los valores predeterminados de seguridad?.

Información de código de error

Cuando un evento no tiene un análisis contextual en el diagnóstico de inicio de sesión, se puede mostrar una explicación actualizada del código de error y el contenido pertinente. La información del código de error contiene texto detallado sobre el escenario, cómo corregir el problema y cualquier contenido que deba leerse con respecto al problema.

Autenticación heredada

Este escenario implica un evento de inicio de sesión que se bloqueó o interrumpió porque el cliente estaba intentando usar la autenticación heredada (o básica).

Se recomienda evitar el inicio de sesión de autenticación heredada como procedimiento recomendado para la seguridad. Los protocolos de autenticación heredados como POP, SMTP, IMAP y MAPI no pueden aplicar la MFA, lo que hace que sean los puntos de entrada preferidos para que los contrincantes ataquen su organización.

Para más información, consulte Bloqueo de autenticación heredada a Microsoft Entra ID con acceso condicional.

Inicio de sesión B2B bloqueado debido al acceso condicional

El escenario de diagnóstico detecta un inicio de sesión bloqueado o interrumpido si el usuario forma parte de otra organización. Por ejemplo, un inicio de sesión B2B, donde una directiva de acceso condicional requiere que el dispositivo del cliente esté unido al suscriptor de recursos.

Para más información, consulte Acceso condicional para usuarios de colaboración B2B.

Bloqueo por directiva de riesgo

En este escenario, las directivas de acceso condicional basadas en riesgos bloquean un intento de inicio de sesión debido a que este se identificó como de riesgo.

Para obtener más información, consulte Procedimiento de configuración y habilitación de directivas de riesgo.

Autenticación transferida

Dado que la autenticación transferida es una integración de tecnologías de autenticación en el entorno local y en la nube, puede ser difícil determinar dónde se encuentra el problema. Estas instrucciones están pensadas para facilitar el diagnóstico y la resolución de estos escenarios.

Este escenario de diagnóstico identifica problemas de inicio de sesión específicos del usuario cuando el método de autenticación que se usa es la autenticación transferida (PTA) y hay un error específico de este tipo de autenticación. Los errores debidos a otros problemas, incluso cuando se usa la autenticación PTA, se seguirán diagnosticando correctamente.

Los resultados de diagnóstico muestran información contextual sobre el error y el inicio de sesión del usuario. Los resultados podrían mostrar otros motivos por los que se produjo un error en el inicio de sesión y las acciones recomendadas que puede realizar el administrador para resolver el problema. Para más información, consulte Solución de problemas de autenticación transferida de Microsoft Entra Connect.

Inicio de sesión único de conexión directa

El inicio de sesión único de conexión directa integra la autenticación Kerberos con la autenticación en la nube. Dado que este escenario implica dos protocolos de autenticación, puede ser difícil determinar dónde se encuentra un punto de error cuando se producen problemas de inicio de sesión. Estas instrucciones están pensadas para facilitar el diagnóstico y la resolución de estos escenarios.

Este escenario de diagnóstico examina el contexto del error de inicio de sesión y la causa de un error específico. Los resultados del diagnóstico podrían incluir información contextual sobre el intento de inicio de sesión y las acciones sugeridas que el administrador puede realizar. Para obtener más información, consulte Solución de problemas de inicio de sesión único de conexión directa de Microsoft Entra.