Compartir vía

Tutorial: Control y supervisión de las aplicaciones

  • Artículo

El administrador de TI de Fabrikam ha agregado y configurado una aplicación de la galería de aplicaciones de Microsoft Entra. También se aseguró de que se puede administrar el acceso y de que la aplicación es segura usando la información del Tutorial: Administración del acceso y la seguridad de las aplicaciones. Ahora necesita saber los recursos que están disponibles para controlar y supervisar la aplicación.

Con la información de este tutorial, un administrador de la aplicación aprende lo siguiente:

  • Creación de una revisión de acceso
  • Acceso a los registros de auditoría
  • Acceso a los inicios de sesión
  • Envío de registros a Azure Monitor

Prerrequisitos

  • Una cuenta de Azure con una suscripción activa. Si no tiene ninguna cuenta, cree una gratuita.
  • Uno de los siguientes roles: Administrador de gobernanza de identidades, Administrador de roles con privilegios, Administrador de aplicaciones en la nube o Administrador de aplicaciones.
  • Una aplicación empresarial que se haya configurado en el inquilino de Microsoft Entra.

Creación de una revisión de acceso

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

El administrador quiere asegurarse de que los usuarios o invitados tengan el acceso adecuado. Decide pedir a los usuarios de la aplicación que participen en una revisión del acceso y que vuelvan a certificar o atestiguar su necesidad de acceso. Cuando termina la revisión del acceso, puede hacer cambios y retirar la concesión de acceso a los usuarios que ya no lo necesitan. Para obtener más información, vea Administración del acceso de usuarios y usuarios invitados con revisiones de acceso.

Para crear una revisión de acceso:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Gobernanza de identidades>Revisiones de acceso.
  3. Seleccione Nueva revisión de acceso para crear una nueva revisión de acceso.
  4. En Seleccionar los elementos que se deben revisar, elija Aplicaciones.
  5. Elija + Seleccionar aplicaciones, seleccione la aplicación y elija Seleccionar.
  6. Ahora puede seleccionar un ámbito para la revisión. Tendrá las siguientes opciones:
    • Solo usuarios invitados: esta opción limita la revisión de acceso a solo los usuarios invitados de Microsoft Entra B2B en el directorio.
    • Todos los usuarios: al seleccionar esta opción, se establece el ámbito de la revisión del acceso en todos los objetos de usuario asociados al recurso. Seleccione Todos los usuarios.
  7. Seleccione Siguiente: Revisiones.
  8. En la sección Especificar revisores, en el cuadro Seleccionar revisores, elija Usuarios y grupos seleccionados,elija + Seleccionar revisores y seleccione la cuenta de usuario que está asignada a la aplicación.
  9. En la sección Especificación de la periodicidad de la revisión, especifique las siguientes selecciones:
    • Duración (en días): acepte el valor predeterminado de 3.
    • Revisar periodicidad: seleccione Una vez.
    • Fecha de inicio: acepte la fecha de hoy como fecha de inicio.
  10. Seleccione Siguiente: Configuración.
  11. En la sección Configuración de finalización puede especificar lo que sucede una vez finalizada la revisión. Seleccione Aplicar automáticamente los resultados al recurso.
  12. Seleccione Siguiente: Revisar y crear.
  13. Ponga un nombre a la revisión de acceso. Opcionalmente, asigne a la revisión una descripción. El nombre y la descripción se muestran a los revisores.
  14. Revise la información y seleccione Crear.

Inicio de la revisión de acceso

La revisión de acceso se inicia en unos minutos y aparece en la lista con un indicador de su estado.

De forma predeterminada, Microsoft Entra ID envía un correo electrónico a los revisores poco después de iniciar la revisión. Si decide que Microsoft Entra ID no envíe el correo electrónico, asegúrese de informar a los revisores de que hay una revisión de acceso esperando para que la lleven a cabo. Puede mostrarles las instrucciones sobre cómo revisar el acceso a grupos o aplicaciones. Si la revisión es para que los invitados revisen su propio acceso, muéstreles las instrucciones sobre cómo revisar su propio acceso a los grupos o aplicaciones.

Si ha asignado invitados como revisores y estos no han aceptado su invitación al inquilino, no recibirán un correo electrónico de las revisiones de acceso. Primero deben aceptar la invitación antes de empezar a revisar.

Visualización del estado de la revisión de acceso

Puede realizar un seguimiento del progreso de las revisiones de acceso a medida que se completan.

  1. Vaya a Identidad>Gobernanza de identidades>Revisiones de acceso.
  2. En la lista, seleccione la revisión de acceso que ha creado.
  3. En la página Información general, compruebe el progreso de la revisión de acceso.

La página de Resultados proporciona información sobre cada usuario en revisión de la instancia, incluida la capacidad de detener, restablecer y descargar resultados. Para más información, consulte el artículo Completar una revisión de acceso de grupos y aplicaciones en revisiones de acceso de Microsoft Entra.

Acceso a los registros de auditoría

Los registros de auditoría de Microsoft Entra capturan una amplia variedad de actividades dentro del inquilino. Estos registros proporcionan información valiosa sobre las actividades que necesita supervisar. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID.

Para acceder a los registros de auditoría, vaya a Identidad>Supervisión y mantenimiento>Registros de auditoría.

Los registros de auditoría capturan actividades que se encuentran en las siguientes categorías. Esta lista no es exhaustiva. Para obtener una lista completa de las categorías y actividades del registro de auditoría, consulte actividades de registro de auditoría.

  • Actividad de restablecimiento de contraseña
  • Actividad de registro de restablecimiento de contraseñas
  • Actividad de los grupos de autoservicio
  • Cambios de nombre de grupo de Office365
  • Actividad de aprovisionamiento de cuentas
  • Estado de la sustitución de contraseña
  • Errores de aprovisionamiento de cuentas

Acceso a los registros de inicio de sesión

Los registros de inicio de sesión de Microsoft Entra capturan inicios de sesión interactivos, no interactivos, de identidad administrada y de entidad de servicio. Para obtener más información, consulte Registros de inicio de sesión en Microsoft Entra ID.

Para acceder a los registros de inicio de sesión, vaya a Identidad>Supervisión y mantenimiento>Registros de inicio de sesión.

También puede ver la información de inicio de sesión de la aplicación desde el área Aplicaciones empresariales. Los registros de inicio de sesión abren los mismos registros desde Supervisión y mantenimiento>Registros de inicio de sesión, pero el filtro ya está establecido en la aplicación seleccionada. El informe Usage & insights también resume la actividad de inicio de sesión de la aplicación.

Envío de registros a Azure Monitor

Los registros de actividad de Microsoft Entra solo almacenan información durante siete días para Microsoft Entra ID Gratis y 30 días para microsoft Entra ID P1/P2. En función de sus necesidades, es posible que necesite almacenamiento adicional para realizar copias de seguridad de los datos de los registros de actividad.

Con los registros de Azure Monitor, puede conservar los datos durante más tiempo y habilitar herramientas de análisis eficaces, como la visualización y las alertas. Para más información sobre la integración de registros con registros de Azure Monitor, consulte Integración de registros de Microsoft Entra con Azure Monitor.

Para enviar registros a Azure Monitor, necesita un área de trabajo de Log Analytics. Una vez creado, se configuran las opciones de diagnóstico para la integración con Log Analytics. Hay consideraciones de costes asociadas a la integración de registros con Azure Monitor y Log Analytics, por lo que deberá revisar esta sección de Registros de actividad de Microsoft Entra en Azure Monitor antes de continuar.

Con un área de trabajo de Log Analytics configurada:

  1. Seleccione Configuración de diagnóstico y elija + Agregar configuración de diagnóstico. También puede seleccionar Exportar configuraciones desde la página Registros de auditoría o Inicios de sesión para ir a la página de configuración de diagnóstico.
  2. Elija los registros que desea transmitir, seleccione la opción Enviar al área de trabajo de Log Analytics y complete los campos.
  3. Seleccione Guardar.

Después de unos 15 minutos, compruebe que los eventos se transmiten al área de trabajo de Log Analytics.

Pasos siguientes

Avance al siguiente artículo para obtener información sobre...

Administración del consentimiento a las aplicaciones y evaluación de las solicitudes de consentimiento