Ver los detalles de Acceso condicional aplicados en los registros de inicio de sesión de Microsoft Entra

Con las directivas de Acceso condicional, puede controlar cómo los usuarios obtienen acceso a los recursos de Azure y Microsoft Entra. Como administrador de inquilinos, debe poder determinar qué efecto tienen las directivas de acceso condicional en los inicios de sesión en el inquilino, de modo que pueda tomar medidas si es necesario. Es posible que también tenga que ver los registros de auditoría para ver los cambios recientes en las directivas de acceso condicional.

En este artículo se explica cómo ver las directivas de acceso condicional aplicadas en los registros de actividad de Microsoft Entra.

Requisitos previos

Para ver las directivas de acceso condicional aplicadas en los registros de inicio de sesión, los administradores deben tener permisos para tanto los registros como las políticas. El rol integrado con menos privilegios que concede ambos permisos es el Lector de seguridad. Como procedimiento recomendado, debe agregar el rol Lector de seguridad a las cuentas de administrador relacionadas.

Los siguientes roles integrados conceden permisos para leer las directivas de acceso condicional:

• Lector de seguridad
• Administrador de seguridad
• Administrador de acceso condicional

Los siguientes roles integrados conceden permiso para ver los registros de inicio de sesión:

• Lector de informes
• Lector de seguridad
• Administrador de seguridad

Permisos

Si usa una aplicación cliente o el módulo de PowerShell en Microsoft Graph para extraer registros de inicio de sesión de Microsoft Graph, la aplicación necesitará permisos para recibir el recurso appliedConditionalAccessPolicy de Microsoft Graph. Como procedimiento recomendado, asigne Policy.Read.ConditionalAccess, ya que es el permiso con privilegios mínimos.

Los permisos siguientes permiten que una aplicación cliente acceda a los registros de actividad y a las directivas de Acceso condicional aplicadas en los registros de inicio de sesión a través de Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Para usar el módulo de PowerShell de Microsoft Graph, también necesita los siguientes permisos con privilegios mínimos con el acceso necesario:

• Para dar el consentimiento a los permisos necesarios: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Para ver los registros de información de inicio de sesión: Get-MgAuditLogSignIn
• Para ver los registros de auditoría: Get-MgAuditLogDirectoryAudit

Para obtener más información, vea Get-MgAuditLogSignIn y Get-MgAuditLogDirectoryAudit.

Escenarios de acceso condicional y registro de inicio de sesión

Como administrador de Microsoft Entra, puede usar los registros de inicio de sesión para:

• Solución de problemas con el inicio de sesión.
• Comprobar el rendimiento de las características.
• Evaluar la seguridad de un inquilino.

Algunos escenarios requieren que comprenda cómo se aplicaron las directivas de acceso condicional a un evento de inicio de sesión. Algunos ejemplos frecuentes son:

• Los administradores del departamento de soporte técnico que necesitan examinar las directivas de acceso condicional aplicadas para comprender si una directiva es la causa principal de un vale abierto que ha abierto un usuario.
• Los administradores de inquilinos que necesitan comprobar que las directivas de acceso condicional tienen el efecto previsto en los usuarios de un inquilino.

Puedes acceder a los registros de inicio de sesión con el Centro de administración Microsoft Entra, Azure Portal, Microsoft Graph y PowerShell.

Cómo ver las directivas de Acceso condicional

Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

Los detalles de actividad de los registros de información de inicio de sesión contienen varias pestañas. La pestaña Acceso condicional enumera las directivas de acceso condicional aplicadas a ese evento de inicio de sesión.

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
3. Selecciona un elemento de inicio de sesión de la tabla para ver el panel de detalles de inicio de sesión.
4. Seleccione la pestaña Acceso condicional.

Si no ve las directivas de acceso condicional, confirme que usa un rol que proporciona acceso a los registros de información de inicio de sesión y a las directivas de acceso condicional.

API de Microsoft Graph

Siga estas instrucciones para ver las directivas de acceso condicional y los detalles del registro mediante Microsoft Graph API en el Explorador de gráficos.

1. Inicie sesión en Graph Explorer.

2. Seleccione GET como método HTTP en el menú desplegable.

3. Seleccione la versión de API para la versión 1.0.

4. Para obtener los intentos de inicio de sesión en los que se produjo un error de acceso condicional durante un período de tiempo específico, agregue la siguiente consulta y seleccione Ejecutar consulta.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Para ver una directiva de Acceso condicional específica, agregue el id. de la directiva.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Para obtener más información, consulte los siguientes recursos:

• Tipo de recurso conditionalAccessPolicy
• Tipo de recurso signIn

PowerShell de Microsoft Graph

Siga estos pasos para enumerar roles de Microsoft Entra mediante PowerShell.

1. Abra una ventana de PowerShell. Si es necesario, use Install-Module para instalar Microsoft Graph PowerShell. Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. En una ventana de PowerShell, use Connect-MgGraph para iniciar sesión en el inquilino.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Use Get-MgIdentityConditionalAccessPolicy para obtener todas las directivas de Acceso condicional.

   Get-MgIdentityConditionalAccessPolicy
   

4. Para dar formato a los resultados como una lista, use el siguiente comando:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

El comando siguiente se puede usar para exportar registros de inicio de sesión a un archivo CSV, que tenga un formato que resalte los detalles relacionados con Acceso condicional.

1. Defina la ruta de acceso del archivo CSV de salida.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Recupere los registros, filtrados por una fecha especificada y expórtelos al archivo CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Escenarios de registro de auditoría y acceso condicional

Los registros de auditoría de Microsoft Entra contienen información sobre los cambios en las directivas de acceso condicional. Puede usar los registros de auditoría para averiguar cuándo se creó, actualizó o eliminó una directiva.

Para ver cuándo se actualizó una directiva de acceso condicional existente:

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Identidad>Supervisión y estado>Registros de auditoría.
3. Establezca Filtro de servicio en Accesocondicional.
4. Establezca el filtro Categoría en Directiva.
5. Establezca el filtro Actividad en Actualizar la directivade acceso condicional.

Es posible que tenga que ajustar la fecha para ver los cambios que busca. La columna Destino muestra el nombre de la directiva de acceso condicional que se actualizó.

Para comparar la directiva actual con la directiva anterior, seleccione la entrada del registro de auditoría y, a continuación, seleccione la pestaña Propiedades modificadas.

Contenido relacionado

• Solución de problemas de inicio de sesión con el acceso condicional
• Revise las preguntas más frecuentes sobre los registros de información de inicio de sesión de acceso condicional
• Información sobre los registros de información de inicio de sesión