Tutorial: Control y supervisión de las aplicaciones
El administrador de TI de Fabrikam ha agregado y configurado una aplicación de la galería de aplicaciones de Microsoft Entra. También se aseguró de que se puede administrar el acceso y de que la aplicación es segura usando la información del Tutorial: Administración del acceso y la seguridad de las aplicaciones. Ahora necesita saber los recursos que están disponibles para controlar y supervisar la aplicación.
Con la información de este tutorial, un administrador de la aplicación aprende lo siguiente:
- Creación de una revisión de acceso
- Acceso al informe de los registros de auditoría
- Acceso al informe de inicios de sesión
- Envío de registros a Azure Monitor
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Si no tiene ninguna cuenta, cree una gratuita.
- Uno de los siguientes roles: Administrador de gobernanza de identidades, Administrador de roles con privilegios, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
- Una aplicación empresarial que se haya configurado en el inquilino de Microsoft Entra.
Creación de una revisión de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
El administrador quiere asegurarse de que los usuarios o invitados tengan el acceso adecuado. Decide pedir a los usuarios de la aplicación que participen en una revisión del acceso y que vuelvan a certificar o atestiguar su necesidad de acceso. Cuando termina la revisión del acceso, puede hacer cambios y retirar la concesión de acceso a los usuarios que ya no lo necesitan. Para obtener más información, vea Administración del acceso de usuarios y usuarios invitados con revisiones de acceso.
Para crear una revisión de acceso:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Gobernanza de identidades>Revisiones de acceso.
- Seleccione Nueva revisión de acceso para crear una nueva revisión de acceso.
- En Seleccionar los elementos que se deben revisar, elija Aplicaciones.
- Elija + Seleccionar aplicaciones, seleccione la aplicación y elija Seleccionar.
- Ahora puede seleccionar un ámbito para la revisión. Tendrá las siguientes opciones:
- Solo usuarios invitados: esta opción limita la revisión de acceso a solo los usuarios invitados de Microsoft Entra B2B en el directorio.
- Todos los usuarios: al seleccionar esta opción, se establece el ámbito de la revisión del acceso en todos los objetos de usuario asociados al recurso. Seleccione Todos los usuarios.
- Seleccione Siguiente: Revisiones.
- En la sección Especificar revisores, en el cuadro Seleccionar revisores, elija Usuarios y grupos seleccionados,elija + Seleccionar revisores y seleccione la cuenta de usuario que está asignada a la aplicación.
- En la sección Especificación de la periodicidad de la revisión, especifique las siguientes selecciones:
- Duración (en días): acepte el valor predeterminado de 3.
- Revisar periodicidad: seleccione Una vez.
- Fecha de inicio: acepte la fecha de hoy como fecha de inicio.
- Seleccione Siguiente: Configuración.
- En la sección Configuración de finalización puede especificar lo que sucede una vez finalizada la revisión. Seleccione Aplicar automáticamente los resultados al recurso.
- Seleccione Siguiente: Revisar y crear.
- Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.
- Revise la información y seleccione Crear.
Inicio de la revisión de acceso
La revisión de acceso se inicia en unos minutos y aparece en la lista con un indicador de su estado.
De forma predeterminada, Microsoft Entra ID envía un correo electrónico a los revisores poco después de iniciar la revisión. Si decide que Microsoft Entra ID no envíe el correo electrónico, asegúrese de informar a los revisores de que hay una revisión de acceso esperando para que la lleven a cabo. Puede mostrarles las instrucciones sobre cómo revisar el acceso a grupos o aplicaciones. Si la revisión es para que los invitados revisen su propio acceso, muéstreles las instrucciones sobre cómo revisar su propio acceso a los grupos o aplicaciones.
Si ha asignado invitados como revisores y estos no han aceptado su invitación al inquilino, no recibirán un correo electrónico de las revisiones de acceso. Primero deben aceptar la invitación antes de empezar a revisar.
Visualización del estado de la revisión de acceso
Puede realizar un seguimiento del progreso de las revisiones de acceso a medida que se completan.
- Vaya a Identidad>Gobernanza de identidades>Revisiones de acceso.
- En la lista, seleccione la revisión de acceso que ha creado.
- En la página Información general, compruebe el progreso de la revisión de acceso.
La página de Resultados proporciona información sobre cada usuario en revisión de la instancia, incluida la capacidad de detener, restablecer y descargar resultados. Para más información, consulte el artículo Completar una revisión de acceso de grupos y aplicaciones en revisiones de acceso de Microsoft Entra.
Acceso al informe de los registros de auditoría
El informe de registros de auditoría combina varios informes en torno a las actividades de la aplicación en una sola vista para la elaboración de informes basados en contexto. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID.
Para acceder al informe de registros de auditoría, vaya a Identidad>Supervisión y estado>Registros de auditoría.
El informe de registros de auditoría consolida los siguientes informes:
- Actividad de restablecimiento de contraseña
- Actividad de registro de restablecimiento de contraseñas
- Actividad de los grupos de autoservicio
- Cambios de nombre de grupo de Office365
- Actividad de aprovisionamiento de cuentas
- Estado de la sustitución de contraseña
- Errores de aprovisionamiento de cuentas
Acceso al informe de inicios de sesión
La vista Inicios de sesión incluye todos los inicios de sesión de los usuarios, así como el informe de uso de las aplicaciones. También puede consultar la información sobre el uso de las aplicaciones en la sección Administrar de la información general sobre Aplicaciones empresariales. Para más información, consulte Registros de inicio de sesión en Microsoft Entra ID.
Para acceder al informe de registros de inicio de sesión, vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
Envío de registros a Azure Monitor
Los registros de actividad de Microsoft Entra solo almacenan información durante un máximo de 30 días. En función de sus necesidades, puede requerir almacenamiento adicional para hacer una copia de seguridad de los datos de los registros de actividad. Con Azure Monitor, puede archivar los registros de auditoría e inicio de sesión en una cuenta de almacenamiento de Azure para retener los datos durante más tiempo. Azure Monitor ofrece también una funcionalidad muy completa de visualización, supervisión y alertas de los datos. Si desea obtener más información sobre Azure Monitor y el costo del almacenamiento adicional, consulte Registros de actividad de Microsoft Entra en Azure Monitor.
Para enviar registros al área de trabajo de Log Analytics:
- Seleccione Configuración de diagnóstico y elija + Agregar configuración de diagnóstico. También puede seleccionar Exportar configuraciones desde la página Registros de auditoría o Inicios de sesión para ir a la página de configuración de diagnóstico.
- En el menú Configuración de diagnóstico, seleccione Enviar al área de trabajo de Log Analytics y elija Configurar.
- Seleccione el área de trabajo de Log Analytics a la que quiere enviar los registros o cree una nueva área de trabajo en el cuadro de diálogo proporcionado.
- Seleccione los registros que desea enviar al área de trabajo.
- Seleccione Guardar para guardar la configuración.
Después de unos 15 minutos, compruebe que los eventos se transmiten al área de trabajo de Log Analytics.
Pasos siguientes
Avance al siguiente artículo para obtener información sobre...