Información detallada e informes del acceso condicional

El libro Conditional Access insights and reporting (Información detallada e informes del acceso condicional) le permite comprender el impacto de las directivas de acceso condicional en su organización a lo largo del tiempo. Durante el inicio de sesión, se pueden aplicar una o varias directivas de acceso condicional, de modo que se conceda acceso si se cumplen determinados controles de concesión o se deniegue de lo contrario. Dado que se pueden evaluar varias directivas de acceso condicional durante cada inicio de sesión, el libro de información detallada e informes le permite examinar el impacto de una directiva individual o un subconjunto de todas las directivas.

Requisitos previos

Para habilitar la información y el libro de informes, el inquilino debe tener:

  • Un área de trabajo de Log Analytics para conservar los datos de registros de inicio de sesión.
  • Licencias de Microsoft Entra ID P1 para usar el acceso condicional.

Los usuarios deben tener asignados al menos el rol de lector de seguridad y los roles de colaborador del área de trabajo de Log Analytics.

Transmisión de los registros de inicio de sesión de Microsoft Entra ID a los registros de Azure Monitor

Si no ha integrado los registros de Microsoft Entra con los registros de Azure Monitor, debe realizar los pasos siguientes para que se cargue el libro:

  1. Crear un área de trabajo de Log Analytics en Azure Monitor.
  2. Integración de los registros de Microsoft Entra con los registros de Azure Monitor.

Cómo funciona

Para acceder al libro de información detallada e informes:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
  2. Vaya a Protección>Acceso condicional>Información y creación de informes.

Primeros pasos: Selección de parámetros

El panel Insights and reporting (Información detallada e informes) le permite ver el impacto de una o varias directivas de acceso condicional durante un período especificado. Empiece por establecer cada uno de los parámetros en la parte superior del libro.

Screenshot showing the Conditional Access insights and reporting workbook.

Directiva de acceso condicional: para ver su impacto combinado, seleccione una o varias directivas de acceso condicional. Las directivas se dividen en dos grupos: directivas habilitadas y de solo informe. De forma predeterminada, todas las directivas habilitadas están seleccionadas. Estas directivas habilitadas son las directivas que se aplican actualmente en su inquilino.

Intervalo de tiempo: seleccione un intervalo de tiempo de 4 horas a un máximo de 90 días. Si ha seleccionado un intervalo de tiempo anterior a la integración de los registros de Microsoft Entra con Azure Monitor, solo se muestran los inicios de sesión posteriores a la integración.

Usuario: de forma predeterminada, el panel muestra el impacto de las directivas seleccionadas para todos los usuarios. Para filtrar por un usuario individual, escriba el nombre del usuario en el campo de texto. Para filtrar por todos los usuarios, escriba Todos los usuarios en el campo de texto o deje el parámetro vacío.

Aplicación: de forma predeterminada, el panel muestra el impacto de las directivas seleccionadas para todas las aplicaciones. Para filtrar por una aplicación individual, escriba el nombre de la aplicación en el campo de texto. Para filtrar por todas las aplicaciones, escriba Todas las aplicaciones en el campo de texto o deje el parámetro vacío.

Vista de datos: seleccione si desea que el panel muestre los resultados en función del número de usuarios o del número de inicios de sesión. Un usuario individual puede tener cientos de inicios de sesión en muchas aplicaciones con muchos resultados diferentes durante un intervalo de tiempo determinado. Si selecciona la vista de datos de usuarios, un usuario se puede incluir en los recuentos correctos y erróneos. Por ejemplo, si hay 10 usuarios, 8 de ellos podrían tener un resultado de éxito en los últimos 30 días y 9 de ellos podría tener un error en los últimos 30 días.

Resumen de impacto

Una vez establecidos los parámetros, se carga el resumen de impacto. En el resumen se muestra cuántos usuarios o inicios de sesión durante el intervalo de tiempo han tenido el resultado Correcto, Error, Se requiere una acción del usuario o No aplicado al evaluar las directivas seleccionadas.

Screenshot showing an example impact summary in the Conditional Access workbook.

Total: número de usuarios o inicios de sesión durante el período de tiempo en que se evaluó al menos una de las directivas seleccionadas.

Correcto: número de usuarios o inicios de sesión durante el período de tiempo en que el resultado combinado de las directivas seleccionadas fue Correcto o Solo informe: Correcto.

Error: número de usuarios o inicios de sesión durante el período de tiempo en que el resultado de al menos una de las directivas seleccionadas fue Error o Solo informe: Error.

Acción del usuario requerida: número de usuarios o inicios de sesión durante el período de tiempo en que el resultado combinado de las directivas seleccionadas fue Solo informe: Acción del usuario requerida. La acción del usuario es necesaria cuando se requiere un control de concesión interactivo, como la autenticación multifactor. Dado que las directivas de solo informe no aplican los controles de concesión interactivos, no se puede determinar si el resultado es correcto o erróneo.

No aplicado: número de usuarios o inicios de sesión durante el período de tiempo en que ninguna de las directivas seleccionadas estaba aplicada.

Explicación del impacto

Screenshot showing a workbook breakdown per condition and status.

Vea el desglose de usuarios e inicios de sesión para cada una de las condiciones. Puede filtrar los inicios de sesión de un resultado determinado (por ejemplo, Correcto o Error). Para ello, seleccione los iconos de resumen en la parte superior del libro. Puede ver el desglose de inicios de sesión para cada una de las condiciones de acceso condicional: estado del dispositivo, plataforma del dispositivo, aplicación cliente, ubicación, aplicación y riesgo de inicio de sesión.

Detalles de inicio de sesión

Screenshot showing workbook sign-in details.

También puede investigar los inicios de sesión de un usuario específico si busca inicios de sesión en la parte inferior del panel. La consulta muestra los usuarios más frecuentes. Al seleccionar un usuario, se filtra la consulta.

Nota:

Al descargar los registros de inicios de sesión, seleccione formato JSON para incluir datos de resultados de solo informe de acceso condicional.

Configuración de una directiva de acceso condicional en modo de solo informe

Para configurar una directiva de acceso condicional en modo de solo informe:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione una directiva existente o cree una nueva.
  4. En Habilitar directiva, establezca la opción en modo de solo informe.
  5. Seleccione Guardar.

Sugerencia

La edición del estado Habilitar directiva de una directiva existente de Activado a Solo informe deshabilita la aplicación de la directiva existente.

Solución de problemas

¿Por qué se producen errores en las consultas debido a un error de permisos?

Para tener acceso al libro necesita los permisos de acceso adecuados en Microsoft Entra ID y Log Analytics. Para probar si tiene los permisos adecuados del área de trabajo, ejecute una consulta de Log Analytics de ejemplo:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
  2. Vaya a Identidad>Supervisión y estado>Log Analytics.
  3. Escriba SigninLogs en el cuadro consulta y seleccione Ejecutar.
  4. Si la consulta no devuelve ningún resultado, es posible que el área de trabajo no esté configurada correctamente.

Screenshot showing how to troubleshoot failing queries.

Para más información sobre cómo transmitir los registros de inicio de sesión de Microsoft Entra a un área de trabajo de Log Analytics, consulte el artículo Integración de registros de Microsoft Entra con registros de Azure Monitor.

¿Por qué se producen errores en las consultas del libro?

Los clientes observan que, en ocasiones, se producen errores en las consultas si varias áreas de trabajo o áreas de trabajo erróneas se asocian al libro. Para corregir este problema, seleccione Editar en la parte superior del libro y, a continuación, el icono con forma de engranaje de Configuración. Seleccione y, a continuación, quite las áreas de trabajo no asociadas al libro. Solo debe haber un área de trabajo asociada a cada libro.

¿Por qué está vacío el parámetro de las directivas de acceso condicional?

La lista de directivas se genera examinando las directivas evaluadas para el evento de inicio de sesión más reciente. Si no hay inicios de sesión recientes en el inquilino, es posible que tenga que esperar unos minutos para que el libro cargue la lista de directivas de acceso condicional. Es posible que no obtenga resultados inmediatamente después de configurar Log Analytics o si un inquilino no tiene actividad reciente de inicio de sesión.

¿Por qué el libro tarda tanto tiempo en cargarse?

Según el intervalo de tiempo seleccionado y el tamaño del inquilino, es posible que el libro esté evaluando un número extraordinariamente elevado de eventos de inicio de sesión. En el caso de inquilinos grandes, el volumen de inicios de sesión puede superar la capacidad de consulta de Log Analytics. Intente acortar el intervalo de tiempo a 4 horas para ver si se carga el libro.

Después de la carga durante unos minutos, ¿por qué el libro devuelve cero resultados?

Cuando el volumen de inicios de sesión supera la capacidad de consulta de Log Analytics, el libro no devuelve ningún resultado. Intente acortar el intervalo de tiempo a 4 horas para ver si se carga el libro.

¿Se pueden guardar las selecciones de parámetros?

Puede guardar las selecciones de parámetros en la parte superior del libro; para ello, vaya a Identidad>Supervisión y mantenimiento>Libros>Información detallada e informes del acceso condicional. Aquí se ofrece la plantilla de libro, donde puede editar el libro y guardar una copia en el área de trabajo, incluidas las selecciones de parámetros, en Mis informes o Informes compartidos.

¿Puedo editar y personalizar el libro con otras consultas?

Puede editar y personalizar el libro; para ello, vaya a Identidad>Supervisión y mantenimiento>Libros>Información detallada e informes del acceso condicional. Aquí se ofrece la plantilla de libro, donde puede editar el libro y guardar una copia en el área de trabajo, incluidas las selecciones de parámetros, en Mis informes o Informes compartidos. Para empezar a editar las consultas, seleccione Editar en la parte superior del libro.