Ver los detalles de Acceso condicional aplicados en los registros de inicio de sesión de Microsoft Entra
Con las directivas de Acceso condicional, puede controlar cómo los usuarios obtienen acceso a los recursos de Azure y Microsoft Entra. Como administrador de inquilinos, debe poder determinar qué efecto tienen las directivas de acceso condicional en los inicios de sesión en el inquilino, de modo que pueda tomar medidas si es necesario. Los registros de inicio de sesión de Microsoft Entra ID le proporcionan la información que necesita para evaluar el efecto de las directivas de Acceso condicional.
En este artículo se explica cómo ver las directivas de acceso condicional aplicadas en esos registros.
Requisitos previos
Para ver las directivas de acceso condicional aplicadas en los registros de inicio de sesión, los administradores deben tener permisos para tanto los registros como las políticas. El rol integrado con menos privilegios que concede ambos permisos es el Lector de seguridad. Como procedimiento recomendado, debe agregar el rol Lector de seguridad a las cuentas de administrador relacionadas.
Los siguientes roles integrados conceden permisos para leer las directivas de acceso condicional:
- Lector de seguridad
- Administrador de seguridad
- Administrador de acceso condicional
Los siguientes roles integrados conceden permiso para ver los registros de inicio de sesión:
- Lector de informes
- Lector de seguridad
- Administrador de seguridad
Permisos
Si usa una aplicación cliente o el módulo de PowerShell en Microsoft Graph para extraer registros de inicio de sesión de Microsoft Graph, la aplicación necesitará permisos para recibir el recurso appliedConditionalAccessPolicy
de Microsoft Graph. Como procedimiento recomendado, asigne Policy.Read.ConditionalAccess
, ya que es el permiso con privilegios mínimos.
Los permisos siguientes permiten que una aplicación cliente acceda a los registros de actividad y a las directivas de Acceso condicional aplicadas en los registros de inicio de sesión a través de Microsoft Graph:
Policy.Read.ConditionalAccess
Policy.ReadWrite.ConditionalAccess
Policy.Read.All
AuditLog.Read.All
Directory.Read.All
Para usar el módulo de PowerShell de Microsoft Graph, también necesita los siguientes permisos con privilegios mínimos con el acceso necesario:
- Para dar el consentimiento a los permisos necesarios:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
- Para ver los registros de información de inicio de sesión:
Get-MgAuditLogSignIn
Para obtener más información sobre este cmdlet, consulte Get-MgAuditLogSignIn.
Escenarios de acceso condicional y registro de inicio de sesión
Como administrador de Microsoft Entra, puede usar los registros de inicio de sesión para:
- Solución de problemas con el inicio de sesión.
- Comprobar el rendimiento de las características.
- Evaluar la seguridad de un inquilino.
Algunos escenarios requieren que comprenda cómo se aplicaron las directivas de acceso condicional a un evento de inicio de sesión. Algunos ejemplos frecuentes son:
Los administradores del departamento de soporte técnico que necesitan examinar las directivas de acceso condicional aplicadas para comprender si una directiva es la causa principal de un vale abierto que ha abierto un usuario.
Los administradores de inquilinos que necesitan comprobar que las directivas de acceso condicional tienen el efecto previsto en los usuarios de un inquilino.
Puedes acceder a los registros de inicio de sesión con el Centro de administración Microsoft Entra, Azure Portal, Microsoft Graph y PowerShell.
Cómo ver las directivas de Acceso condicional
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Los detalles de actividad de los registros de información de inicio de sesión contienen varias pestañas. La pestaña Acceso condicional enumera las directivas de acceso condicional aplicadas a ese evento de inicio de sesión.
- Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
- Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
- Selecciona un elemento de inicio de sesión de la tabla para ver el panel de detalles de inicio de sesión.
- Seleccione la pestaña Acceso condicional.
Si no ve las directivas de acceso condicional, confirme que usa un rol que proporciona acceso a los registros de información de inicio de sesión y a las directivas de acceso condicional.