Preguntas frecuentes sobre la protección de Microsoft Entra ID

Descartar el riesgo del usuario en Protección de id. de Microsoft Entra establece el actor del historial de riesgo del usuario en Protección de id. en <Admin’s name with a hyperlink pointing to user’s blade> (Nombre del administrador con un hipervínculo que apunta a la hoja del usuario).

Actualmente hay un problema conocido que provoca latencia en el flujo de descarte de riesgo de usuario. Si tiene una directiva de riesgo de usuario, esta directiva dejará de aplicarse a los usuarios descartados a los pocos minutos de hacer clic en Descartar el riesgo de usuario. Sin embargo, se han constatado retrasos en la experiencia de usuario al actualizar el "Estado de riesgo" de los usuarios descartados. Como alternativa, actualice la página a nivel del explorador para ver el Estado de riesgo más reciente del usuario.

Preguntas más frecuentes

¿Por qué un usuario está en riesgo?

En el artículo Cómo: Investigar el riesgo se proporciona una explicación de por qué un usuario está en riesgo y cómo investigar más.

¿Por qué se bloqueó mi inicio de sesión, pero Protección de id. no generó una detección de riesgos?

Los inicios de sesión se pueden bloquear por varios motivos. Debe tener en cuenta que Protección de id. solo genera detecciones de riesgo cuando se usan las credenciales correctas en la solicitud de autenticación. Si un usuario proporciona credenciales incorrectas, Protección de id. no las marca, ya que no hay riesgo de que las credenciales se pongan en peligro a menos que un infiltrado use las credenciales correctas. Algunos de los motivos por los que se podría bloquear a un usuario sin generar una detección de Protección de id. incluyen:

• La IP se puede bloquear debido a actividad malintencionada de la dirección IP. El mensaje IP bloqueada no distingue si las credenciales son correctas o no. Si la dirección IP está bloqueada y no se usan credenciales correctas, no se generará una detección de Protección de id.
• El bloqueo inteligente puede impedir que la cuenta inicie sesión después de varios intentos erróneos.
• Se puede aplicar una directiva de acceso condicional que use condiciones distintas del nivel de riesgo para bloquear una solicitud de autenticación.

¿Cómo puedo obtener un informe de las detecciones de un tipo específico?

Vaya a la vista de detecciones de riesgos y filtre por Tipo de detección. Después, puede descargar este informe en .CSV o formato .JSON mediante el botón Descargar de la parte superior. Para más información, consulte el artículo Procedimientos: investigar los riesgos.

¿Por qué no puedo establecer mis propios niveles de riesgo para cada detección de riesgo?

Los niveles de riesgo de Protección de id. se basan en la precisión de la detección y en la tecnología de aprendizaje automático supervisado. Para personalizar qué experiencia se presenta a los usuarios, los administradores pueden configurar directivas de acceso condicional basadas en riesgos.

¿Por qué la ubicación de inicio de sesión no coincide con el lugar desde donde el usuario inició sesión realmente?

La asignación de geolocalización de direcciones IP es un desafío que afecta a todo el sector. Si cree que la ubicación indicada en el informe de inicios de sesión no coincide con la ubicación real, póngase en contacto con soporte técnico de Microsoft.

¿Cómo puedo cerrar detecciones de riesgo específicas como hice en la interfaz de usuario anterior?

Puede enviar comentarios sobre las detecciones de riesgo confirmando el inicio de sesión vinculado como en peligro o seguro. Los comentarios que se dan en el inicio de sesión engañan a todas las detecciones realizadas en ese inicio de sesión. Si desea cerrar las detecciones que no están vinculadas a un inicio de sesión, puede proporcionar esos comentarios en el nivel de usuario. Para más información, consulte el artículo Tutorial: Enviar comentarios sobre riesgo en la protección de Microsoft Entra ID.

¿Hasta qué punto puedo volver atrás para comprender lo que está ocurriendo con el usuario?

• La vista de usuarios de riesgo muestra el riesgo de un usuario en función de todos los inicios de sesión anteriores.
• La vista de inicios de sesión de riesgo muestra los signos de riesgo los últimos 30 días.
• La vista de detecciones de riesgo muestra las detecciones de riesgo realizadas en los últimos 90 días.

¿Cómo puedo obtener más información sobre una detección específica?

Todas las detecciones de riesgo se documentan en el artículo ¿Qué es el riesgo?. Puede pasar el cursor sobre el símbolo (i) junto a la detección para obtener más información sobre una detección.

¿Cómo funcionan los mecanismos de comentarios en el trabajo de Protección de id.?

Confirmado (en peligro) (en un inicio de sesión): informa a Microsoft Entra ID Protection de que el inicio de sesión no lo realizó el propietario de la identidad e indica un peligro.

• Al recibir estos comentarios, pasamos el estado de riesgo del inicio de sesión y del usuario a Confirmado (en peligro) y nivel de riesgo Alto.

• Además, se proporcionará la información a los sistemas de aprendizaje automático para futuras mejoras en la evaluación de riesgos.

  Nota:

  Si el usuario ya se ha corregido, no seleccione Confirmar que se encuentra en peligro, ya que pasará el estado de riesgo del inicio de sesión y del usuario a Confirmado (en peligro) y el nivel de riesgo a Alto.

Confirmado (es seguro) (en un inicio de sesión): informa a Microsoft Entra ID Protection de que el inicio de sesión lo realizó el propietario de la identidad y no indica un peligro.

• Al recibir estos comentarios, pasamos el estado de riesgo del inicio de sesión (y no al usuario) a Confirmado (en peligro) y el nivel de riesgo a Ninguno.

• Además, se proporcionará la información a los sistemas de aprendizaje automático para futuras mejoras en la evaluación de riesgos.

  Nota:

  En la actualidad, si se selecciona Confirmar que es seguro al iniciar una sesión, esto no evita que inicios de sesión posteriores con las mismas propiedades se identifiquen como de riesgo. La mejor manera de entrenar el sistema para aprender las propiedades del usuario es usar una directiva de acceso condicional con riesgo de inicio de sesión y autenticación multifactor (MFA). Cuando se solicita MFA para los inicios de sesión de riesgo y el usuario responde correctamente a la solicitud, el inicio de sesión puede efectuarse correctamente y contribuir a entrenar el sistema sobre el comportamiento del usuario legítimo.

  Si cree que el usuario no está en peligro, use Descartar el riesgo del usuario en el nivel de usuario en lugar de usar Confirmado (seguro) en el nivel de inicio de sesión. Descartar el riesgo del usuario en el nivel de usuario cierra el riesgo del usuario, así como todas las detecciones de riesgo y los inicios de sesión pasados.

¿Por qué veo un usuario con una puntuación de riesgo baja (o superior) a pesar de que no hay inicios de sesión ni detecciones de riesgo en Protección de id.?

Dado que el riesgo del usuario es de naturaleza acumulativa y no expira, un usuario puede tener un riesgo de usuario bajo o superior, incluso si no hay detecciones de riesgo o inicios de sesión de riesgo que se muestren en Protección de id. Esta situación podría darse si la actividad malintencionada en un usuario ha tenido lugar fuera del período de tiempo durante el cual almacenamos los detalles de los inicios de sesión y de las detecciones de riesgo. No hacemos que el riesgo del usuario expire porque se sabe que los actores incorrectos permanecen en el entorno de los clientes durante largos períodos de tiempo antes de aumentar su ataque. Los clientes pueden revisar la línea de tiempo de riesgo del usuario para comprender por qué un usuario está en riesgo yendo al Centro de administración de Microsoft Entra > Protección > Protección de identidad > Usuarios de riesgo > seleccione un usuario en riesgo > cajón de detalles > Pestaña del historial de riesgo. Si cree que el usuario no está en riesgo, use Descartar el riesgo del usuario mediante Graph API.

¿Por qué un inicio de sesión tiene una puntuación alta en "sign-in risk (aggregate)" [Riesgo de inicio de sesión (agregado)] cuando las detecciones asociadas con él son de riesgo medio o bajo?

La puntuación agregada de riesgo alto podría basarse en otras características del inicio de sesión, o en el hecho de que se desencadenó más de una detección para ese inicio de sesión. Y a la inversa, un inicio de sesión puede tener un riesgo de inicio de sesión (agregado) de nivel Medio, incluso si las detecciones asociadas con el inicio de sesión son de riesgo alto.

¿Cuál es la diferencia entre las detecciones de "Actividad desde una dirección IP anónima" y "Dirección IP anónima"?

El origen de la detección de "Dirección IP anónima" es Microsoft Entra ID Protection, mientras que la detección de"Actividad desde una dirección IP anónima" se integra desde Microsoft Defender for Cloud Apps. Aunque tienen nombres similares y es posible que pueda ver la superposición en estas señales, tienen detecciones de back-end distintas.