Editar

Compartir a través de


Preguntas más frecuentes sobre la supervisión y el mantenimiento de Microsoft Entra

En este artículo, se incluyen respuestas a las preguntas más frecuentes sobre la supervisión y el mantenimiento de Microsoft Entra. Para más información, consulte Información general sobre la supervisión y el mantenimiento de Microsoft Entra.

Introducción

¿Cómo puedo obtener una licencia Premium?

Consulte Licencias de Microsoft Entra ID para actualizar la edición de Microsoft Entra.

¿Cuándo se deberían ver los datos de registro de actividad después de obtener una licencia Premium?

Si ya tiene datos de registro de actividad con una licencia gratuita, puede verlo inmediatamente. Si no tiene ningún dato, los datos pueden tardar hasta tres días en aparecer en los informes.

¿Puedo ver los datos del mes pasado después de obtener una licencia de Microsoft Entra ID P1 o P2?

Si ha cambiado recientemente a una versión Premium (incluida una versión de prueba), puede ver los datos hasta siete días inicialmente. Cuando se acumulan datos, puede ver los datos de los últimos 30 días.

Registros de actividad

¿Qué rol necesito para ver los registros de actividad en el Centro de administración de Microsoft Entra?

El rol con menos privilegios para ver los registros de auditoría e inicio de sesión es lector de informes. Otros roles incluyen Lector de seguridad y Administrador de seguridad.

¿Qué registros puedo integrar con Azure Monitor?

El inicio de sesión, la auditoría, el aprovisionamiento, la protección de identificadores, el acceso a la red y muchos otros registros se pueden integrar con Azure Monitor y otras herramientas de supervisión y alertas. Actualmente no se incluyen los eventos de auditoría relacionados con B2C. Para obtener una lista completa de los registros de Microsoft Entra que se pueden integrar con otros puntos de conexión, consulte Opciones de registro para streaming a puntos de conexión.

¿Puedo obtener información del registro de actividad de Microsoft 365 desde el centro de administración de Microsoft Entra o Azure Portal?

Los registros de actividad de Microsoft 365 y de Microsoft Entra comparten muchos recursos del directorio. Si desea obtener una vista completa de los registros de actividad de Microsoft 365, debe ir al Centro de administración de Microsoft 365 para obtener la información del registro de actividad de Office 365. Las API de Microsoft 365 se describen en el artículo API de administración de Microsoft 365.

¿Cuántos registros puedo descargar desde el centro de administración de Microsoft Entra?

Varios factores determinan el número de registros que puede descargar desde el Centro de administración de Microsoft Entra, como el tamaño de memoria del explorador, las velocidades de red y las cargas de las API de informes de Microsoft Entra. Por lo general, los conjuntos de datos menores que 250 000 para los registros de auditoría y 100 000 para los registros de inicio de sesión y aprovisionamiento funcionan bien con la característica de descarga del explorador. Dependiendo del número de campos que haya incluido, este número podría variar. Si tiene problemas para completar grandes descargas en el explorador, use la API de informes para descargar los datos o enviar los registros a un punto de conexión a través de la configuración de diagnóstico.

Los filtros activos en el Centro de administración de Microsoft Entra al comenzar la descarga determinan el conjunto específico de registros que puede descargar. Por ejemplo, filtrar a un usuario específico en el Centro de administración de Microsoft Entra significa que la descarga extrae los registros para ese usuario específico. Las columnas de los registros descargados no cambian. La salida contiene todos los detalles del registro de auditoría o de inicio de sesión, independientemente de las columnas que haya personalizado en el Centro de administración de Microsoft Entra.

¿Durante cuánto tiempo almacena Microsoft Entra ID los registros de actividad? ¿Qué la retención de datos?

En función de la licencia, Microsoft Entra ID almacena los registros de actividad entre 7 y 30 días. Para más información, consulte Directivas de retención de informes de Microsoft Entra.

Registros de auditoría

¿Cómo puedo averiguar si un usuario compró una licencia o habilitó una licencia de prueba para mi inquilino? No veo esta actividad en los registros de auditoría.

En este momento, no hay ninguna actividad específica en los registros de auditoría para la compra o habilitación de licencias. Sin embargo, es posible que pueda poner en correlación la actividad "Incorporar recurso a PIM" de la categoría "Administración de recursos" con la compra o habilitación de una licencia. Esta actividad puede no estar siempre disponible ni proporcionar los detalles exactos.

Registros de inicio de sesión

He usado el recurso signInActivity para buscar la hora del último inicio de sesión de un usuario, pero no se ha actualizado después de unas horas. ¿Cuándo se actualizará con la hora del inicio de sesión más reciente?

El recurso signInActivity se usa para buscar usuarios inactivos que no han iniciado sesión durante algún tiempo. No se actualiza casi en tiempo real. Si necesita buscar la última actividad de inicio de sesión del usuario con mayor rapidez, puede usar los registros de inicio de sesión de Microsoft Entra a fin de ver la actividad de inicio de sesión casi en tiempo real para todos los usuarios.

¿Qué datos se incluyen en el archivo CSV que puedo descargar de los registros de inicio de sesión de Microsoft Entra?

El archivo .csv incluye registros de inicio de sesión para el tipo de inicio de sesión que seleccionó. Los datos que se representan como una matriz anidada en Microsoft Graph API para los registros de inicio de sesión no se incluyen. Por ejemplo, no se incluyen las directivas de acceso condicional ni la información solo para informes. Si necesita exportar toda la información contenida en los registros de inicio de sesión, use la característica Exportar configuración de datos.

También es importante tener en cuenta que las columnas incluidas en los registros descargados no cambian, incluso si ha personalizado las columnas en el Centro de administración de Microsoft Entra.

Veo .XXX en parte de la dirección IP o "PII quitado" en los detalles del dispositivo de un usuario en mis registros de inicio de sesión. ¿Por qué ocurre esto?

Microsoft Entra ID puede censurar parte de un registro de inicio de sesión para proteger la privacidad del usuario en los escenarios siguientes:

  • Durante los inicios de sesión entre inquilinos, como cuando un técnico de CSP inicia sesión en un inquilino que administra CSP.
  • Cuando nuestro servicio no pudo determinar la identidad del usuario con la confianza suficiente para tener la certeza de que el usuario pertenece al inquilino que ve los registros.
  • Microsoft Entra ID oculta información de identificación personal (DCP) generada por dispositivos que no pertenecen al inquilino para asegurar los datos del cliente. DCP no se extiende más allá de los límites del inquilino sin el consentimiento del usuario y del propietario de los datos.

Veo entradas de inicio de sesión duplicadas o varios eventos de inicio de sesión por requestID. ¿Por qué ocurre esto?

Hay varias razones por las que las entradas de inicio de sesión pueden duplicarse en los registros.

  • Si se identifica un riesgo en un inicio de sesión, otro evento casi idéntico se publica inmediatamente después incluyendo el riesgo.
  • Si se reciben eventos de MFA relacionados con un inicio de sesión, todos los eventos relacionados se agregan al inicio de sesión original.
  • Si se produce un error en la publicación de asociados para un evento de inicio de sesión, como la publicación en Kusto, se reintenta y publica de nuevo un lote completo de eventos, lo que puede dar lugar a duplicados.
  • Los eventos de inicio de sesión que implican varias directivas de acceso condicional se pueden dividir en varios eventos, lo que puede dar lugar a al menos dos eventos por evento de inicio de sesión.

Estoy investigando un evento de inicio de sesión con Log Analytics, pero la hora timeGenerated no coincide con la hora real del inicio de sesión. ¿Por qué ocurre esto?

El campo TimeGenerated de Log Analytics es la hora en que Log Analytics recibió y publicó la entrada. Recuerde que, para que los registros aparezcan en Log Analytics, debe configurar las opciones de diagnóstico para enviar los registros al área de trabajo de Log Analytics. Ese proceso tarda tiempo, por lo que es posible que el campo TimeGenerated no coincida con el tiempo real del inicio de sesión.

Para confirmar que la fecha y hora coinciden con el inicio de sesión, busque el campo CreatedDateTime un poco más abajo en los resultados de Log Analytics. Los campos AuthenticationDetails también se pueden expandir para ver la hora exacta del inicio de sesión. La hora de Log Analytics aparece en UTC, pero la hora en los registros de inicio de sesión del Centro de administración de Microsoft Entra aparece en la hora local, por lo que es posible que tenga que ajustar.

Los eventos de inicio de sesión de riesgo también tienen un tiempo timeGenerated diferente al tiempo de inicio de sesión real. La hora de timeGenerated para inicios de sesión de riesgo es la hora en que se detectó el riesgo, no la hora del inicio de sesión. Compruebe el propio evento de inicio de sesión de riesgo para el tiempo de actividad, que es la hora real del inicio de sesión.

¿Por qué mis inicios de sesión no interactivos parecen tener la misma marca de tiempo?

Los inicios de sesión no interactivos pueden desencadenar un gran volumen de eventos cada hora, por lo que se agrupan en los registros.

En muchos casos, los inicios de sesión no interactivos tienen las mismas características, excepto la fecha y hora del inicio de sesión. Si el agregado de tiempo se establece en 24 horas, los registros aparecen para mostrar los inicios de sesión al mismo tiempo. Cada una de estas filas agrupadas se puede expandir para ver la marca de tiempo exacta.

Veo identificadores de usuario, de objeto o GUID en el campo de nombre de usuario de mi registro de inicios de sesión. ¿Por qué ocurre esto?

Hay varias razones por las que las entradas de inicio de sesión pueden mostrar identificadores de usuario, de objeto o GUID en el campo del nombre de usuario.

  • Con la autenticación sin contraseña, los identificadores de usuario aparecen como el nombre de usuario. Para confirmar este escenario, examine los detalles del evento de inicio de sesión en cuestión. El campo authenticationDetail indica passwordless.
  • El usuario se autenticó pero aún no ha iniciado sesión. Para confirmarlo, hay un código de error 50058 que se correlaciona con una interrupción.
  • Si el campo nombre de usuario muestra 000000-00000-0000-0000 o algo similar, podría haber restricciones de inquilino en vigor, lo que impide que el usuario inicie sesión en el inquilino seleccionado.
  • Los intentos de inicio de sesión con autenticación multifactor se agregan con varias entradas de datos, lo cual puede tardar más tiempo en mostrarse correctamente. Los datos pueden tardar hasta dos horas en agregarse completamente, pero rara vez tardan tanto tiempo.

Veo un error 90025 en los registros de inicio de sesión. ¿Esto significa que mi usuario no pudo iniciar sesión? ¿Mi inquilino ha alcanzado un límite?

No, en general, los errores 90025 se resuelven mediante un reintento automático sin que el usuario note el error. Este error puede producirse cuando un subservicio interno de Microsoft Entra alcanza su asignación de reintentos y no indica que se está limitando el inquilino. Por lo general, Microsoft Entra ID resuelve estos errores de manera interna. Si el usuario no puede iniciar sesión debido a este error, volver a intentarlo manualmente debe resolver el problema.

En los registros de inicio de sesión de la entidad de servicio, ¿qué significa si veo "00000000-0000-0000-0000-000000000000" o " " para el identificador de la entidad de servicio o el identificador de la entidad de servicio de recursos en los registros de inicio de sesión?

Si el identificador de la entidad de servicio tiene el valor "0000000-0000-0000-0000-000000000000" no hay ninguna entidad de servicio para la aplicación cliente en esa instancia de autenticación. Microsoft Entra ya no emite tokens de acceso sin una entidad de servicio de cliente, excepto algunas aplicaciones de Microsoft y que no son de Microsoft.

Si el identificador de la entidad de servicio de recursos tiene el valor “0000000-0000-0000-0000-000000000000", no hay ninguna entidad de servicio para la aplicación de recursos en esa instancia de autenticación.

Este comportamiento solo se permite actualmente para un número limitado de aplicaciones de recursos.

Puede consultar instancias de autenticación sin una entidad de servicio de cliente o de recursos en el inquilino.

  • Para buscar instancias de registros de inicio de sesión del inquilino en el que falta una entidad de servicio de cliente, use la consulta siguiente:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    
  • Para buscar instancias de registros de inicio de sesión del inquilino en el que falta una entidad de servicio de recursos, use la consulta siguiente:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    

También puede encontrar estos registros de inicio de sesión en el centro de administración de Microsoft Entra.

  • Inicie sesión en el centro de administración de Microsoft Entra.
  • Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
  • Seleccione Inicios de sesión de entidad de servicio.
  • Seleccione un período de tiempo adecuado en el campo Fecha (últimas 24 horas, 7 días, etc.).
  • Agregue un filtro y seleccione Id. de la entidad de servicio y proporcione el valor "00000000-0000-0000-0000-000000000000" para obtener instancias de autenticación sin entidades de servicio de cliente.

¿Cómo puedo restringir el inicio de sesión (autenticación) para varias aplicaciones que veo en los registros de inicio de sesión de la entidad de servicio?

Si quiere controlar cómo funciona la autenticación en el inquilino para aplicaciones cliente o de recursos específicas, siga las instrucciones del artículo Restricción de la aplicación de Microsoft Entra a un conjunto de usuarios.

¿Por qué los inicios de sesión que técnicamente no son interactivos se muestran en los registros de inicio de sesión interactivos?

Algunos inicios de sesión no interactivos estaban disponibles antes de que los registros de inicio de sesión no interactivos estuvieran disponibles en versión preliminar pública. Estos inicios de sesión no interactivos se incluyeron en los registros de inicio de sesión interactivos y se mantuvieron en ellos después de que los registros no interactivos estuvieran disponibles. Los inicios de sesión que usan las claves FIDO2 son un ejemplo de inicios de sesión no interactivos que se muestran en los registros de inicio de sesión interactivos. Actualmente estos registros no interactivos siempre se incluyen en el registro de inicio de sesión interactivo.

¿Qué API de creación de informes debo usar para las detecciones de riesgo de Identity Protection, como credenciales filtradas o inicios de sesión desde direcciones IP anónimas?

Puede utilizar la API de detecciones de riesgo de Identity Protection para acceder a las detecciones de seguridad a través de Microsoft Graph. Esta API incluye filtrado avanzado y selección de campos, y normaliza las detecciones de riesgo en un tipo para facilitar la integración en SIEM y otras herramientas de recopilación de datos.

Acceso condicional

¿Qué detalles de acceso condicional puedo ver en los registros de inicio de sesión?

Puede solucionar los problemas de las directivas de acceso condicional mediante los registros de inicios de sesión. Revise el estado del acceso condicional y profundice en los detalles de las directivas que se aplican al inicio de sesión y al resultado de cada directiva.

Primeros pasos:

  • Inicie sesión en el centro de administración de Microsoft Entra.
  • Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
  • Seleccione el inicio de sesión cuyos problemas desea solucionar.
  • Seleccione la pestaña Acceso condicional para ver todas las directivas que han afectado al inicio de sesión y el resultado de cada directiva.

¿Cuáles son todos los valores posibles del estado Acceso condicional?

El estado Acceso condicional puede tener los siguientes valores:

  • No se aplica: no había ninguna directiva de acceso condicional con el usuario y la aplicación en el ámbito.
  • Correcto: había una directiva de acceso condicional con el usuario y la aplicación en el ámbito y las directivas de acceso condicional se cumplieron correctamente.
  • Error: El inicio de sesión cumplió la condición de usuario y aplicación de al menos una directiva de acceso condicional, y los controles de concesión no se han cumplido o se han establecido para bloquear el acceso.

¿Cuáles son los valores posibles del resultado de la directiva de acceso condicional?

La directiva de acceso condicional puede ofrecer los siguientes resultados:

  • Correcto: la directiva se cumplió correctamente.
  • Error: no se cumplió la directiva.
  • No se aplica: es posible que no se hayan cumplido las condiciones de directiva.
  • Sin habilitar: la directiva puede estar en estado deshabilitado.

El nombre de la directiva del informe de inicios de sesión no coincide con el nombre de la directiva de acceso condicional. ¿Por qué?

El nombre de la directiva del registro de inicios de sesión se basa en el nombre de la directiva de acceso condicional en el momento de inicio de sesión. Es posible que el nombre no sea coherente con el nombre de la directiva de acceso condicional si actualizó el nombre de la directiva después del inicio de sesión.

Mi inicio de sesión se ha bloqueado debido a una directiva de acceso condicional, pero el informe de inicios de sesión muestra que el inicio de sesión se realizó correctamente. ¿Por qué?

Actualmente, es posible que el informe de inicio de sesión muestre resultados que no son precisos para los escenarios de Exchange ActiveSync cuando se aplica el acceso condicional. Puede haber casos en los que el resultado del inicio de sesión del informe muestra un inicio de sesión correcto, pero en realidad se produjo un error debido a una directiva.

¿Por qué el inicio de sesión de Windows o Windows Hello para empresas se muestra como "fuera del ámbito" o "no aplicable" en la pestaña Acceso condicional en los detalles del registro de inicio de sesión?

Las directivas de acceso condicional no se aplican al inicio de sesión de Windows ni a Windows Hello para empresas. Las directivas de acceso condicional protegen los intentos de inicio de sesión en los recursos en la nube, no el proceso de inicio de sesión de Windows.

Microsoft Graph API

Actualmente uso las API de punto de conexión `https://graph.windows.net/<tenant-name>/reports/` para extraer informes de uso de aplicaciones integradas y de auditoría de Microsoft Entra en nuestros sistemas de informes mediante programación. ¿A cuál debo cambiar?

Consulte la referencia de API para ver cómo puede usar las API para acceder a informes de actividad. Este punto de conexión tiene dos informes (auditoría e inicios de sesión) que proporcionan todos los datos que obtuvo en el punto de conexión de la API anterior. Este nuevo punto de conexión también tiene un informe de inicios de sesión con la licencia de Microsoft Entra ID P1 o P2 que puede usar para obtener información del uso de aplicaciones y de dispositivos, y de inicio de sesión de usuarios.

Actualmente uso las API de punto de conexión `https://graph.windows.net/<tenant-name>/reports/` para extraer informes de seguridad de Microsoft Entra (tipos específicos de detecciones, como credenciales perdidas o inicios de sesión desde direcciones IP anónimas) en nuestros sistemas de informes mediante programación. ¿A cuál debo cambiar?

Puede utilizar la API de detecciones de riesgo de Identity Protection para acceder a las detecciones de seguridad a través de Microsoft Graph. Este nuevo formato ofrece mayor flexibilidad en la forma en que se pueden consultar datos. El formato proporciona filtrado avanzado y selección de campos, y normaliza las detecciones de riesgo en un tipo para facilitar la integración en SIEM y otras herramientas de recopilación de datos. Dado que los datos están en un formato diferente, no puede sustituir una nueva consulta para las consultas anteriores. Sin embargo, la API nueva usa Microsoft Graph, el estándar de Microsoft para esas API, como Microsoft 365 o Microsoft Entra ID. Así, el trabajo necesario puede dilatar sus inversiones actuales en Microsoft Graph o ayudarle a comenzar la transición a esta nueva plataforma estándar.

Sigo recibiendo errores de permisos al ejecutar consultas. Pensaba que tenía el rol adecuado.

Es posible que tenga que iniciar sesión en Microsoft Graph por separado desde el centro de administración de Microsoft Entra. Seleccione el icono de perfil en la esquina superior derecha e inicie sesión en el directorio correcto. Es posible que esté intentando ejecutar una consulta para la que no tiene permisos. Seleccione Modificar permisos y seleccione el botón Consentimiento. Siga las solicitudes de inicio de sesión.

¿Por qué hay eventos "MicrosoftGraphActivityLogs" que no se ponen en correlación con un inicio de sesión de entidad de servicio?

Cada vez que se usa un token para llamar a un punto de conexión de Microsoft Graph, MicrosoftGraphActivityLogs se actualiza con esa llamada. Algunas de esas llamadas son de solo aplicación de primera entidad, que no se publican en los registros de inicio de sesión de la entidad de servicio. Cuando en MicrosoftGraphActivityLogs se muestra una instancia de uniqueTokenIdentifier que no se puede encontrar en los registros de inicio de sesión, el identificador del token hace referencia a un token de solo aplicación de primera entidad.

Recomendaciones

¿Por qué una recomendación que se "completó" volvió a cambiarse a "activa"?

Si el servicio detecta la actividad relacionada con esa recomendación para algo marcado como "completado", cambia automáticamente a "activo".