Personalización y filtrado de registros de actividad de identidad

Los registros de inicio de sesión son una herramienta que se usa habitualmente para solucionar problemas de acceso de usuarios e investigar la actividad de inicio de sesión de riesgo. Los registros de auditoría recopilan todos los eventos registrados en Microsoft Entra ID y se pueden usar para investigar los cambios en su entorno. Hay más de 30 columnas entre las que puede elegir personalizar la vista de los registros de inicio de sesión en el Centro de administración de Microsoft Entra. Los registros de auditoría y los registros de aprovisionamiento también se pueden personalizar y filtrar según sus necesidades.

En este artículo, se muestra cómo personalizar las columnas y, después, filtrar los registros para encontrar la información que necesita de forma más eficaz.

Requisitos previos

• Un inquilino de Microsoft Entra en funcionamiento con la correspondiente licencia de Microsoft Entra asociada.
  • Para obtener una lista completa de los requisitos de licencia y rol, consulte Licencias de monitorización y estado de Microsoft Entra.
• Lector de informes es el rol con menos privilegios necesario para acceder a los registros de actividad.
  • Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Acceso a los registros de actividad en el Centro de administración Microsoft Entra

Siempre puede acceder a su propio historial de información de inicio de sesión en https://mysignins.microsoft.com. También puede acceder a los registros de inicio de sesión desde usuarios y aplicaciones empresariales en Microsoft Entra ID.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Identidad>Supervisión y estado>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento.

Registros de auditoría

Con la información de los registros de auditoría de Microsoft Entra puede acceder a todos los registros de actividades del sistema con fines de cumplimiento. Se puede acceder a los registros de auditoría desde la sección Supervisión y mantenimiento de Microsoft Entra, donde puede ordenar y filtrar por cada categoría y actividad. También puede acceder a los registros de auditoría en el área del centro de administración para el servicio que está investigando.

Por ejemplo, si está investigando los cambios en los grupos de Microsoft Entra, puede acceder a los registros de auditoría desde Microsoft Entra ID>Grupos. Al acceder a los registros de auditoría desde el servicio, el filtro se ajusta automáticamente según el servicio.

Personalización del diseño de los registros de auditoría

Puedes personalizar las columnas de los registros de auditoría para ver solo la información que necesitas. Las columnas Servicio, Categoría y Actividad están relacionadas entre sí, por lo que estas columnas siempre deben estar visibles.

Filtro de registros de auditoría

Al filtrar los registros por Servicio, los detalles de Categoría y Actividad cambian automáticamente. En algunos casos, solo puede haber una Categoría o Actividad. Para obtener una tabla detallada de todas las posibles combinaciones de estos detalles, consulte Auditoría de actividades.

• Servicio: el valor predeterminado es todos los servicios disponibles, pero puede filtrar la lista a uno o varios seleccionando una opción en la lista desplegable.

• Categoría: el valor predeterminado es todas las categorías, pero se puede filtrar para ver la categoría de actividad, como cambiar una directiva o activar un rol de Microsoft Entra apto.

• Actividad: se basa en la selección de la categoría y el tipo de recurso de actividad que realice. Puede seleccionar la actividad específica que desea ver o elegir todas.

  Puede obtener la lista de todas las actividades de auditoría mediante Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Estado: permite examinar el resultado en función de si la actividad se ha realizado correctamente o no.

• Destino: permite buscar el destino o el destinatario de una actividad. Busque por las primeras letras de un nombre o nombre principal de usuario (UPN). El nombre de destino y el UPN distinguen mayúsculas de minúsculas.

• Iniciado por: permite buscar por quién inició la actividad con las primeras letras de su nombre o UPN. El nombre y el UPN distinguen mayúsculas de minúsculas.

• Intervalo de fechas: permite definir un período de tiempo para los datos devueltos. Puede buscar los últimos 7 días, 24 horas o un intervalo personalizado. Cuando se selecciona un intervalo de tiempo personalizado, puede configurar una hora de inicio y una hora de finalización.

Registros de inicio de sesión

En la página de registros de inicio de sesión, puede cambiar entre cuatro tipos de registro de inicio de sesión.

• Inicios de sesión de usuario interactivos: inicios de sesión en los que un usuario proporciona un factor de autenticación, como una contraseña, una respuesta mediante una aplicación de MFA, un factor biométrico o un código QR.

• Inicios de sesión de usuario no interactivos: inicios de sesión realizados por un cliente en nombre de un usuario. Estos inicios de sesión no requieren ninguna interacción ni factor de autenticación del usuario. Por ejemplo, la autenticación y la autorización mediante tokens de acceso y actualización, que no requieren que un usuario escriba las credenciales.

• Inicios de sesión de entidad de servicio: inicios de sesión realizados por aplicaciones y entidades de servicio que no implican a ningún usuario. En estos inicios de sesión, la aplicación o el servicio proporcionan una credencial en su propio nombre para autenticarse o acceder a los recursos.

• Inicios de sesión de identidades administradas para recursos de Azure: inicios de sesión realizados por recursos de Azure que tienen secretos administrados por Azure. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?

Personalización del diseño de los registros de inicio de sesión

Puede personalizar las columnas para el registro de información de inicio de sesión de usuarios interactivos con más de 30 opciones de columna. Para ver de forma más eficaz el registro de información de inicio de sesión, dedique unos instantes a personalizar la vista para sus necesidades.

1. Seleccione Columnas en el menú de la parte superior del registro.
2. Seleccione las columnas que quiere ver y seleccione el botón Guardar en la parte inferior de la ventana.

Filtrado de los registros de inicio de sesión

El filtrado de registros de inicio de sesión es una manera útil de buscar rápidamente registros que coincidan con un escenario específico. Por ejemplo, podría filtrar la lista para ver solo los inicios de sesión que se produjeron en una ubicación geográfica específica, desde un sistema operativo específico o desde un tipo específico de credencial.

Algunas opciones de filtro le pedirán que seleccione más opciones. Siga las indicaciones para realizar la selección que necesita para el filtro. Puede agregar varios filtros.

1. Seleccione el botón Agregar filtros, elija una opción de filtro y seleccione Aplicar.

   

2. Introduzca un detalle específico, como un id. de solicitud, o seleccione otra opción de filtro.

   

Puede filtrar por varios detalles. En la tabla siguiente, se describen algunos filtros usados habitualmente. No se describen todas las opciones de filtro.

Filter	Descripción
Id. de solicitud	Identificador único de una solicitud de inicio de sesión
Identificador de correlación	Identificador único de todas las solicitudes de inicio de sesión que forman parte de un intento de inicio de sesión único
User	El nombre principal de usuario (UPN) del usuario
Aplicación	La aplicación de destino de la solicitud de inicio de sesión
Estado	Las opciones son Correcto, Error e Interrumpido
Resource	El nombre del servicio que se usa para el inicio de sesión
Dirección IP	La dirección IP del cliente que se usa para el inicio de sesión
Acceso condicional	Las opciones No aplicado, Correcto y Error

Ahora que la tabla de registros de inicio de sesión tiene el formato que necesita, puede analizar los datos de forma más eficaz. Se pueden realizar análisis y retención adicionales de los datos de inicio de sesión mediante la exportación de los registros a otras herramientas.

Personalizar las columnas y ajustar el filtro ayuda a examinar los registros con características similares. Para ver los detalles de un inicio de sesión, seleccione una fila en la tabla para abrir el panel Detalles de la actividad. Hay varias pestañas en el panel para explorar. Para obtener más información, consulte Detalles de la actividad del registro de inicio de sesión.

Filtro de aplicación cliente

Al revisar dónde se originó un inicio de sesión, puede que necesites usar el filtro Aplicación cliente. Aplicación cliente tiene dos subcategorías: Clientes de autenticación moderna y Clientes de autenticación heredada. Los clientes de autenticación moderna tienen otras dos subcategorías: Explorador y Aplicaciones móviles y clientes de escritorio. Hay varias subcategorías para los clientes de autenticación heredados, que se definen en la tabla de Detalles de los clientes de autenticación heredada.

Los inicios de sesión en el Explorador incluyen todos los intentos de inicio de sesión desde exploradores web. Al ver los detalles de un inicio de sesión desde un explorador, la pestaña Información básica muestra Aplicación cliente: Explorador.

En la pestaña Información del dispositivo, Explorador muestra los detalles del explorador web. Se muestran el tipo y la versión del explorador, pero en algunos casos no están disponibles. Es posible que veas algo similar a Rich Client 4.0.0.0.

Detalles de cliente de autenticación heredada

En la tabla siguiente se proporcionan los detalles de cada una de las opciones de Cliente de autenticación heredada.

Nombre	Descripción
SMTP autenticado	Utilizado por clientes POP e IMAP para enviar mensajes de correo electrónico.
Detección automática	Usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.
Exchange ActiveSync	Este filtro muestra todos los intentos de inicio de sesión en los que se intentó el protocolo EAS.
Exchange ActiveSync	Muestra todos los intentos de inicio de sesión de los usuarios con aplicaciones cliente que usan Exchange ActiveSync para conectarse a Exchange Online.
PowerShell de Exchange Online	Se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para PowerShell de Exchange Online, debe usar el módulo de PowerShell de Exchange Online para conectarse. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.
Servicios web de Exchange	Una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones que no son de Microsoft.
IMAP4	Un cliente de correo heredado que utiliza IMAP para recuperar el correo electrónico.
MAPI sobre HTTP	Utilizado por Outlook 2010 y versiones posteriores.
Libreta de direcciones sin conexión	Una copia de las colecciones de listas de direcciones que Outlook descarga y usa.
Outlook en cualquier lugar (RPC sobre HTTP)	Utilizado por Outlook 2016 y versiones anteriores.
Servicio Outlook	Usado por la aplicación de correo electrónico y calendario de Windows 10.
POP3	Un cliente de correo heredado que utiliza POP3 para recuperar el correo electrónico.
Servicios web de creación de informes	Se usan para recuperar datos de informes en Exchange Online.
Otros clientes	Muestra todos los intentos de inicio de sesión de los usuarios en los que la aplicación cliente no está incluida o se desconoce.

Registros de aprovisionamiento

Para ver de forma más eficaz el registro de aprovisionamiento, dedique unos instantes a personalizar la vista para sus necesidades. Puede especificar qué columnas se van a incluir y filtrar los datos para restringir los elementos.

Personalización del diseño

El registro de aprovisionamiento tiene una vista predeterminada, pero puede personalizar las columnas.

1. Seleccione Columnas en el menú de la parte superior del registro.
2. Seleccione las columnas que quiere ver y seleccione el botón Guardar en la parte inferior de la ventana.

Filtrado de los resultados

Al filtrar los datos de aprovisionamiento, algunos valores de filtro se rellenan dinámicamente en función del inquilino. Por ejemplo, si no tiene ningún evento “crear” en el inquilino, no estará disponible la opción de filtro Crear.

El filtro Identidad le permite especificar el nombre o la identidad que le interesa. Esta identidad puede ser un usuario, un grupo, un rol u otro objeto.

Puede buscar por nombre o por identificador de objeto. El identificador varía según el escenario.

• Al aprovisionar un objeto de Microsoft Entra ID a Salesforce, el id. de origen es el id. de objeto del usuario en Microsoft Entra ID. El identificador de destino es el identificador del usuario en Salesforce.
• Al aprovisionar desde Workday a Microsoft Entra ID, el id. de origen es el id. de empleado del trabajador de Workday. El identificador de destino es el identificador del usuario en Microsoft Entra ID.
• Si va a aprovisionar usuarios para la sincronización entre inquilinos, el identificador de origen es el identificador del usuario del inquilino de origen. El identificador de destino es el identificador del usuario del inquilino de destino.

Nota:

El nombre del usuario puede no estar siempre presente en la columna Identidad. Siempre habrá un identificador.

El filtro Fecha le permite definir un período de tiempo para los datos devueltos. Los valores posibles son:

• Un mes
• Siete días
• 30 días
• 24 horas
• Intervalo de tiempo personalizado (configurar una fecha de inicio y una fecha de finalización)

El filtro Estado le permite seleccionar:

• All
• Correcto
• Error
• Omitido

El filtro Acción permite filtrar estas acciones:

• Crear
• Update
• Eliminar
• Disable
• Otros

Además de los filtros de la vista predeterminada, también puede establecer los siguientes filtros.

• Id. del trabajo: un id. del trabajo único se asocia a cada aplicación para la que se ha habilitado el aprovisionamiento.

• Id. de ciclo: el id. de ciclo identifica de forma única el ciclo de aprovisionamiento. Puede compartir este id. con el soporte técnico del producto para buscar el ciclo en el que se ha producido este evento.

• Id. de cambio: el id. de cambio es un identificador único para el evento de aprovisionamiento. Puede compartir este id. con el soporte técnico del producto para buscar el evento de aprovisionamiento.

• Sistema de origen: puede especificar desde dónde se aprovisiona la identidad. Por ejemplo, al aprovisionar un objeto de Microsoft Entra ID a ServiceNow, el sistema de origen es Microsoft Entra ID.

• Sistema de destino: puede especificar adónde se aprovisiona la identidad. Por ejemplo, al aprovisionar un objeto desde Microsoft Entra ID a ServiceNow, el sistema de destino es ServiceNow.

• Aplicación: puede mostrar solo los registros de aplicaciones con un nombre para mostrar o identificador de objeto que contenga una cadena específica. Para la sincronización entre inquilinos, use el identificador de objeto de la configuración, no el identificador de la aplicación.

Contenido relacionado

• Análisis de un error de inicio de sesión
• Solución de errores de inicio de sesión
• Explorar todas las categorías y actividades del registro de auditoría