Cómo investigar los inicios de sesión que requieren una alerta de dispositivo compatible o administrada

La supervisión de Microsoft Entra Health proporciona un conjunto de métricas de estado de nivel de inquilino que puede supervisar y alertas cuando se detecta un posible problema o una condición de error. Hay varios escenarios de estado que se pueden supervisar, incluidos dos relacionados con los dispositivos:

• Inicios de sesión que requieren un dispositivo compatible con el acceso condicional
• Inicios de sesión que requieren un dispositivo administrado de acceso condicional

En este artículo se describen las métricas de mantenimiento relacionadas con los dispositivos compatibles y administrados y cómo solucionar un posible problema al recibir una alerta. Para más información sobre cómo interactuar con los escenarios de supervisión de salud y cómo investigar todas las alertas, consulte Cómo investigar las alertas de escenario de salud.

Importante

La supervisión y las alertas del escenario de Microsoft Entra Health se encuentran actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes del lanzamiento. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí. La experiencia del Centro de administración de Microsoft Entra se está lanzando para los clientes en fases, por lo que es posible que no vea todas las funcionalidades descritas en este artículo.

Requisitos previos

Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.

• Se requiere un inquilino con una licencia Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de mantenimiento de Microsoft Entra.
• Se requiere un inquilino con Licencia de Microsoft Entra P1 o P2 y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
• El rol Lector de informes es el rol con menos privilegios necesario para ver señales de supervisión de escenarios, alertas y configuraciones de alertas.
• El Administrador del departamento de soporte técnico es el rol con privilegios mínimos necesario para actualizar las alertas y actualizar las configuraciones de notificaciones de alertas.
• El permiso HealthMonitoringAlert.Read.All es necesario para ver las alertas mediante Microsoft Graph API.
• El permiso HealthMonitoringAlert.ReadWrite.All es necesario para ver y modificar las alertas mediante Microsoft Graph API.
• Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Investigación de las señales y alertas

La investigación de una alerta comienza con la recopilación de datos. Con Microsoft Entra Health en el Centro de administración de Microsoft Entra, puede ver los detalles de señal y alerta en un solo lugar. También puede ver las señales y alertas mediante Microsoft Graph API. Para obtener más información, consulte Cómo investigar alertas de escenarios de salud para obtener instrucciones sobre cómo recopilar datos mediante el Microsoft Graph API.

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

2. Vaya a Identidad>Supervisión y estado>Estado. La página se abre en la página de Cumplimiento del Acuerdo de Nivel de Servicio (SLA).

3. Seleccione la pestaña Seguimiento de estado.

4. Seleccione el escenario de inicios de sesión que requieren un dispositivo compatible o el escenario de inicios de sesión que requieren un dispositivo administrado y, a continuación, seleccione una alerta activa.

   

5. Vea la señal de la sección "Ver gráfico de datos" para familiarizarse con el patrón e identificar anomalías.

   

6. Revise las directivas de cumplimiento de dispositivos de Intune.

   • Para obtener más información, consulte Información general sobre el cumplimiento de dispositivos de Intune.
   • Obtenga información sobre cómo Supervisar directivas de cumplimiento de dispositivos.
   • Si no usa Intune, revise las directivas de cumplimiento de la solución de administración de dispositivos.

7. Investigue los problemas comunes de acceso condicional.

   • Solución de problemas de directivas de cumplimiento de dispositivos de acceso condicional.
   • Solución de problemas de inicio de sesión de acceso condicional.

8. Revise los registros de información de inicio de sesión.

   • Revise los detalles del registro de inicio de sesión.
   • Busque que los usuarios que estén bloqueados para iniciar sesión y tengan aplicada una directiva de dispositivo compatible.

9. Compruebe los registros de auditoría para ver los cambios recientes en la directiva.

   • Use los registros de auditoría para solucionar problemas de cambios en la directiva de acceso condicional.

Mitigación de problemas comunes

Los siguientes problemas comunes podrían provocar un pico en los inicios de sesión que requieren un dispositivo compatible o administrado. Esta lista no es exhaustiva, pero proporciona un punto de partida para su investigación.

Muchos usuarios no pueden iniciar sesión desde dispositivos conocidos

Si se impide que un grupo grande de usuarios inicie sesión en dispositivos conocidos, un pico podría indicar que estos dispositivos han quedado fuera del cumplimiento. Si el número de usuarios afectados indica un alto porcentaje de usuarios de la organización, es posible que esté examinando un problema generalizado.

Para investigar:

1. En la sección Entidades afectadasdel escenario seleccionado, seleccione Ver para los usuarios.

   • Aparece un ejemplo de usuarios afectados en un panel. Seleccione un usuario para navegar directamente a su perfil, donde puede ver su actividad de inicio de sesión y otros detalles.
   • Con Microsoft Graph API, busque el "usuario" resourceType y el impactedCount valor en el resumen de impacto.

   

2. Compruebe la directiva de cumplimiento de dispositivos de Intune.

3. Compruebe las Directivas de cumplimiento de dispositivos de acceso condicional.

El usuario no puede iniciar sesión desde un dispositivo desconocido

Si el aumento de los inicios de sesión bloqueados procede de un dispositivo desconocido, ese pico podría indicar que un atacante ha adquirido las credenciales de un usuario e intenta iniciar sesión desde un dispositivo usado para estos ataques. Si el número de usuarios afectados muestra un pequeño subconjunto de usuarios, el problema podría ser específico del usuario.

Para investigar:

1. En la sección Entidades afectadasdel escenario seleccionado, seleccione Ver para los usuarios.

   • Aparece una lista de usuarios afectados en un panel. Seleccione un usuario para navegar directamente a su perfil, donde puede ver su actividad de inicio de sesión y otros detalles.
   • Con Microsoft Graph API, busque el "usuario" resourceType y el impactedCount valor en el resumen de impacto.

2. Revise los registros de inicio de sesión.

3. Investigar el riesgo con Protección de Microsoft Entra ID.

Nota

Microsoft Entra ID Protection requiere una licencia de Microsoft Entra P2.

Problemas de red

Podría haber una interrupción del sistema regional que requería un gran número de usuarios para iniciar sesión al mismo tiempo.

Para investigar:

1. En la sección Entidades afectadasdel escenario seleccionado, seleccione Ver para los usuarios.

   • Aparece una lista de usuarios afectados en un panel. Seleccione un usuario para navegar directamente a su perfil, donde puede ver su actividad de inicio de sesión y otros detalles.
   • Con Microsoft Graph API, busque el "usuario" resourceType y el impactedCount valor en el resumen de impacto.

2. Compruebe el estado del sistema y la red para ver si una interrupción o actualización coincide con el mismo período de tiempo que la anomalía.

3. Revise los registros de inicio de sesión.

   • Ajuste el filtro para mostrar los inicios de sesión desde una región donde se encuentra un usuario afectado.

4. Si su organización usa acceso seguro global, revise losregistros de tráfico.

Contenido relacionado

• Más información sobre el acceso condicional e Intune
• Obtener información sobre los dispositivos híbridos unidos de Microsoft Entra