Cómo investigar los inicios de sesión que requieren una alerta de dispositivo compatible o administrada
La supervisión de Microsoft Entra Health proporciona un conjunto de métricas de estado de nivel de inquilino que puede supervisar y alertas cuando se detecta un posible problema o una condición de error. Hay varios escenarios de estado que se pueden supervisar, incluidos dos relacionados con los dispositivos:
- Inicios de sesión que requieren un dispositivo compatible con el acceso condicional
- Inicios de sesión que requieren un dispositivo administrado de acceso condicional
Estos escenarios permiten supervisar y recibir alertas sobre la autenticación de usuarios que satisfacen una directiva de acceso condicional que requiere iniciar sesión desde un dispositivo compatible o administrado. Para obtener más información sobre cómo funciona Microsoft Entra Health, consulte:
- ¿Qué es Microsoft Entra Health?
- Cómo usar las señales y alertas de supervisión de estado de Microsoft Entra
En este artículo se describen las métricas de mantenimiento relacionadas con los dispositivos compatibles y administrados y cómo solucionar un posible problema al recibir una alerta.
Requisitos previos
Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.
- Se requiere un inquilino con una licencia Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de mantenimiento de Microsoft Entra.
- Se requiere un inquilino con licencia de Microsoft Entra P1 o P2 y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
- El rol Lector de informes es el rol con menos privilegios necesario para ver señales de supervisión de escenarios, alertas y configuraciones de alertas.
- El Administrador del departamento de soporte técnico es el rol con privilegios mínimos necesario para actualizar las alertas y actualizar las configuraciones de notificaciones de alertas.
- El permiso
HealthMonitoringAlert.Read.Alles necesario para ver las alertas mediante Microsoft Graph API. - El permiso
HealthMonitoringAlert.ReadWrite.Alles necesario para ver y modificar las alertas mediante Microsoft Graph API. - Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.
Investigación de la alerta y la señal
La investigación de una alerta comienza con la recopilación de datos.
- Recopile los detalles de la señal y el resumen de impacto.
- Para obtener más información, consulte Información general sobre la supervisión del estado de Microsoft Graph.
- Ejecute las API Lista de alertas para recuperar todas las alertas del inquilino.
- Ejecute la API Obtener alertas para recuperar los detalles de una alerta específica.
- Revise las directivas de cumplimiento de dispositivos de Intune.
- Para obtener más información, consulte Información general sobre el cumplimiento de dispositivos de Intune.
- Obtenga información sobre cómo Supervisar directivas de cumplimiento de dispositivos.
- Si no usa Intune, revise las directivas de cumplimiento de la solución de administración de dispositivos.
- Investigue los problemas comunes de acceso condicional.
- Revise los registros de información de inicio de sesión.
- Revise los detalles del registro de inicio de sesión.
- Busque que los usuarios que estén bloqueados para iniciar sesión y tengan aplicada una directiva de dispositivo compatible.
- Compruebe los registros de auditoría para ver los cambios recientes en la directiva.
Mitigación de problemas comunes
Los siguientes problemas comunes podrían provocar un pico en los inicios de sesión que requieren un dispositivo compatible o administrado. Esta lista no es exhaustiva, pero proporciona un punto de partida para su investigación.
Muchos usuarios no pueden iniciar sesión desde dispositivos conocidos
Si se impide que un grupo grande de usuarios inicie sesión en dispositivos conocidos, un pico podría indicar que estos dispositivos han quedado fuera del cumplimiento.
Para investigar:
- En el resumen de impacto, si
resourceTypees "usuario" y el valor deimpactedCountindica un gran porcentaje de los usuarios de la organización, es posible que esté examinando un problema de propagación amplia. - Compruebe la directiva de cumplimiento de dispositivos de Intune.
- Compruebe las Directivas de cumplimiento de dispositivos de acceso condicional.
El usuario no puede iniciar sesión desde un dispositivo desconocido
Si el aumento de los inicios de sesión bloqueados procede de un dispositivo desconocido, ese pico podría indicar que un atacante ha adquirido las credenciales de un usuario e intenta iniciar sesión desde un dispositivo usado para estos ataques.
Para investigar:
- En el resumen de impacto, si
resourceTypees "usuario" y el valor deimpactedCountmuestra un pequeño subconjunto de usuarios, el problema podría ser específico del usuario. - Revise los registros de inicio de sesión.
- Investigar el riesgo con Protección de Microsoft Entra ID.
- Nota: Protección de Microsoft Entra ID requiere una licencia de Microsoft Entra P2.
Problemas de red
Podría haber una interrupción del sistema regional que requería un gran número de usuarios para iniciar sesión al mismo tiempo.
Para investigar:
- En el resumen de impacto, si
resourceTypees "usuario" y el valor deimpactedCountmuestra un gran porcentaje de los usuarios de la organización, es posible que esté examinando un problema de propagación amplia. - Compruebe el estado del sistema y la red para ver si una interrupción o actualización coincide con el mismo período de tiempo que la anomalía.
Pasos siguientes
- Creación de una directiva de cumplimiento en Microsoft Intune
- Más información sobre el acceso condicional e Intune
- Obtener información sobre los dispositivos unidos a Microsoft Entra
- ¿Qué es la administración de dispositivos?
- Más información sobre el acceso condicional e Intune
- Obtener información sobre los dispositivos híbridos unidos de Microsoft Entra