Compartir a través de


¿Qué son los inicios de sesión de usuario interactivos en Microsoft Entra?

La supervisión y el estado de Microsoft Entra proporcionan varios tipos de registros de inicio de sesión para ayudarle a supervisar el estado del inquilino. Los inicios de sesión de usuario interactivos son la vista predeterminada en el Centro de administración de Microsoft Entra.

¿Qué es un inicio de sesión de usuario interactivo?

Los inicios de sesión interactivos son realizados por un usuario. Proporcionan un factor de autenticación a Microsoft Entra ID. Ese factor de autenticación también podría interactuar con una aplicación auxiliar, como la aplicación Microsoft Authenticator. Los usuarios pueden proporcionar contraseñas, respuestas a los desafíos de MFA, factores biométricos o códigos QR a Microsoft Entra ID o a una aplicación auxiliar. Este registro también incluye los inicios de sesión federados de proveedores de identidades que están federados con Microsoft Entra ID.

Captura de pantalla del registro de usuario interactivo.

Detalles del registro

Tamaño del informe: pequeño
Ejemplos:

  • Un usuario proporciona el nombre de usuario y la contraseña en la pantalla de inicio de sesión de Microsoft Entra.
  • Un usuario pasa un desafío de MFA por SMS.
  • Un usuario proporciona un gesto biométrico para desbloquear su PC Windows con Windows Hello para empresas.
  • Un usuario que está federado con Microsoft Entra ID con una aserción de SAML de AD FS.

Además de los campos predeterminados, el registro de la información de inicio de sesión interactiva también muestra:

  • La ubicación de inicio de sesión
  • Si se ha aplicado el acceso condicional

Nota:

Las entradas en los registros de inicio de sesión son generadas por el sistema y no pueden modificarse ni eliminarse.

Consideraciones especiales

Inicios de sesión no interactivos en los registros de inicio de sesión interactivos

Anteriormente, algunos inicios de sesión no interactivos de clientes de Microsoft Exchange se incluían en el registro de inicio de sesión de usuario interactivo para mejorar la visibilidad. Esta mayor visibilidad fue necesaria antes de que los registros de inicio de sesión de usuario no interactivos se introdujeran en noviembre de 2020. Sin embargo, es importante tener en cuenta que algunos inicios de sesión no interactivos, como los que usan claves FIDO2, pueden estar marcados como interactivos debido a la forma en que se configuró el sistema antes de que se introdujeran registros no interactivos independientes. Estos inicios de sesión pueden mostrar detalles interactivos, como el tipo de credencial de cliente y la información del explorador, aunque técnicamente no sean inicios de sesión interactivos.

Inicios de sesión de paso a través

Microsoft Entra ID emite tokens para la autenticación y autorización. En algunas situaciones, un usuario que ha iniciado sesión en el inquilino de Contoso puede intentar acceder a los recursos del inquilino de Fabrikam, donde no tiene acceso. Un token de no autorización llamado token de paso a través, es emitido al inquilino de Fabrikam. El token de paso a través no permite al usuario acceder a ningún recurso.

Anteriormente, al revisar los registros de esta situación, los registros de inicio de sesión para el inquilino principal (en este escenario, Contoso) no mostraban un intento de inicio de sesión porque el token no concedió acceso a un recurso con ninguna notificación. El token de inicio de sesión solo se usó para mostrar el mensaje de error adecuado.

Los intentos de inicio de sesión de paso a través aparecen ahora en los registros de inicio de sesión del inquilino principal y en los registros de inicio de sesión de restricción de inquilino pertinentes. Esta actualización proporciona más visibilidad de los intentos de inicio de sesión de usuario de los usuarios y información más detallada sobre las directivas de restricción de inquilinos.

La propiedad crossTenantAccessType ahora muestra passthrough para diferenciar los inicios de sesión de paso a través y está disponible en el Centro de administración de Microsoft Entra y Microsoft Graph.

Inicios de sesión de entidad de servicio de primera entidad y solo aplicación

Los registros de inicio de sesión de la entidad de servicio no incluyen actividad de inicio de sesión de primera entidad y solo aplicación. Este tipo de actividad se produce cuando las aplicaciones de primera entidad obtienen tokens para un trabajo interno de Microsoft donde no hay ninguna dirección ni contexto de un usuario. Estos registros se excluyen, así que no va a pagar los registros relacionados con los tokens internos de Microsoft del inquilino.

Puedes identificar eventos de Microsoft Graph que no se correlacionan con un inicio de sesión de entidad de servicio si vas a enrutar MicrosoftGraphActivityLogs con SignInLogs al mismo área de trabajo de Log Analytics. Esta integración le permite hacer referencia cruzada al token incidido para la llamada a la API de Microsoft Graph con la actividad de inicio de sesión. El UniqueTokenIdentifier para los registros de inicio de sesión y la SignInActivityId en los registros de actividad de Microsoft Graph faltarían en los registros de inicio de sesión de la entidad de servicio.

Acceso condicional

Los inicios de sesión que muestran No aplicado para el acceso condicional pueden ser difíciles de interpretar. Si se interrumpe el inicio de sesión, el inicio de sesión aparece en los registros, pero muestra No aplicado para el acceso condicional. Otro escenario común es iniciar sesión en Windows Hello para empresas. Este inicio de sesión no tiene aplicado el acceso condicional porque el usuario inicia sesión en el dispositivo, no a los recursos en la nube protegidos por el acceso condicional.