Más información sobre los detalles de la actividad del registro de inicio de sesión
Microsoft Entra registra todos los inicios de sesión en un inquilino de Azure con fines de cumplimiento. Como administrador de TI, debe saber lo que significan los valores de los registros de inicio de sesión, para que pueda interpretar estos valores correctamente.
- Información sobre los registros de información de inicio de sesión
- Personalización y filtrado de los registros de inicio de sesión
En este artículo se explican los valores que se encuentran en los registros de inicio de sesión. Estos valores proporcionan información valiosa para solucionar errores de inicio de sesión.
Componentes de actividad de inicio de sesión
En Microsoft Entra ID, una actividad de inicio de sesión se compone de tres componentes principales:
- Quién: la identidad (usuario) que realiza el inicio de sesión.
- Cómo: el cliente (aplicación) que se utiliza para el acceso.
- Qué: el destino (recurso) al que accede la identidad.
Céntrese en esos tres componentes al investigar un inicio de sesión para restringir la búsqueda, para no ver así todos los detalles. Dentro de cada uno de esos tres componentes, hay identificadores relacionados que pueden proporcionar más información. Cada inicio de sesión también contiene identificadores únicos que correlacionan el intento de inicio de sesión con las actividades asociadas.
Quién
Los detalles siguientes están asociados al usuario:
- Usuario
- Nombre de usuario
- Id. de usuario
- Identificador de inicio de sesión
- Tipo de usuario
Cómo
Para identificar el inicio de sesión del usuario, consulte los detalles siguientes:
- Requisito de autenticación
- Aplicación cliente
- Tipo de credencial de cliente
- Evaluación continua de acceso
Qué
Puedes identificar el recurso al que el usuario intenta acceder mediante los siguientes detalles:
- Application
- Identificador de aplicación
- Resource
- Id. de recurso
- Identificador de inquilino de recursos
- Identificador de entidad de servicio de recursos
Identificadores únicos
Los registros de inicio de sesión también contienen varios identificadores únicos que proporcionan más información sobre el intento de inicio de sesión.
- Id. de correlación: el identificador de correlación agrupa los inicios de sesión de la misma sesión de inicio de sesión. El valor se basa en los parámetros pasados por un cliente, por lo que Microsoft Entra ID no puede garantizar su precisión.
- Id. de solicitud: un identificador que se corresponde a un token emitido. Si busca inicios de sesión con un token específico, primero debe extraer el identificador de solicitud del token.
- Identificador de token único: un identificador único para el token pasado durante el inicio de sesión. Este identificador se usa para correlacionar el inicio de sesión con la solicitud de token.
Detalles de la actividad de inicio de sesión
Cada intento de inicio de sesión contiene detalles asociados a esos tres componentes principales. Los detalles se organizan en varias pestañas, en función del tipo de inicio de sesión.
Información básica
La pestaña Información básica contiene la mayor parte de los detalles asociados a un intento de inicio de sesión. Toma nota de los identificadores únicos, ya que pueden ser necesarios para solucionar problemas de inicio de sesión. Puede seguir quién, cómo, qué patrón usa los detalles en la pestaña Información básica.
También puede iniciar el diagnóstico de inicio de sesión desde la pestaña Información básica. Para obtener más información, consulte Cómo usar el diagnóstico de inicio de sesión.
Códigos de error de inicio de sesión
Si se produce un error al iniciar sesión, puede obtener más información sobre el motivo en la pestaña Información básica del elemento de registro relacionado. El código de error y el motivo del error asociado aparecen en los detalles. Para obtener más información, consulte Cómo solucionar problemas de errores de inicio de sesión.
Ubicación y dispositivo
Las pestañas Ubicación e Información del dispositivo muestran información general sobre la ubicación y la dirección IP del usuario. La pestaña Información del dispositivo proporciona detalles sobre el explorador y el sistema operativo que se usan para iniciar sesión. Esta pestaña también proporciona detalles sobre si el dispositivo es compatible, administrado o unido a Microsoft Entra híbrido.
Detalles de la autenticación
La pestaña Detalles de autenticación de los detalles de un registro de información de inicio de sesión proporciona la siguiente información para cada intento de autenticación:
- Una lista de las directivas de autenticación aplicadas (por ejemplo, acceso condicional o valores predeterminados de seguridad).
- La secuencia de los métodos de autenticación usados para iniciar sesión.
- Si el intento de autenticación se realizó correctamente y el motivo.
Esta información le permite solucionar problemas de cada paso en el inicio de sesión de un usuario. Use estos detalles para realizar un seguimiento:
- Volumen de inicios de sesión protegidos por MFA.
- Tasas de uso y éxito de cada método de autenticación.
- Uso de métodos de autenticación sin contraseña, como inicio de sesión telefónico sin contraseña y FIDO2.
- Con qué frecuencia se cumplen los requisitos de autenticación mediante notificaciones de token (donde a los usuarios no se les pide interactivamente que escriban una contraseña o escriban un SMS OTP).
Acceso condicional
Si las directivas de acceso condicional (CA) están en uso en el inquilino, puede ver si esas directivas se aplicaron al intento de inicio de sesión. Se muestran todas las directivas que se pueden aplicar al inicio de sesión. El resultado final de la directiva aparece para que pueda ver rápidamente si la directiva ha afectado al intento de inicio de sesión.
- Correcto: la directiva de CA se aplicó correctamente al intento de inicio de sesión.
- Error: la directiva de CA se aplicó al intento de inicio de sesión, pero se produjo un error en el intento de inicio de sesión.
- No aplicada: el inicio de sesión no coincide con los criterios para que se aplique la directiva.
- Hay escenarios específicos que, debido a su naturaleza, deben estar exentos de la evaluación del acceso condicional para evitar una dependencia circular (escenario de gallina y huevo) que no sería posible completar. Estos se consideran "escenarios de arranque" y pueden incluir inicios de sesión asociados con el registro de dispositivos, el cumplimiento de dispositivos o los conectores del servidor de directivas de red.
- Los inicios de sesión de Windows Hello para empresas se muestran como "No aplicados" porque las directivas de acceso condicional protegen los intentos de inicio de sesión en los recursos en la nube, no el proceso de inicio de sesión de Windows.
- Deshabilitada: la directiva se deshabilitó en el momento del intento de inicio de sesión.
Solo informe
Dado que las directivas de acceso condicional (CA) pueden cambiar la experiencia de inicio de sesión para los usuarios y potencialmente interrumpir sus procesos, es una buena idea asegurarse de que la directiva está configurada correctamente. Con el modo solo informe, puedes configurar una directiva y evaluar su posible impacto antes de habilitar la directiva.
En esta pestaña de los registros de inicio de sesión se muestran los resultados de los intentos de inicio de sesión que estaban en el ámbito de la directiva. Para obtener más información, consulte el artículo ¿Qué es el modo de solo informe de acceso condicional?
Detalles y consideraciones de inicio de sesión
Cuando se revisen los registros de inicio de sesión es importante tener en cuenta los siguientes escenarios.
Dirección IP y ubicación: no hay ninguna conexión definitiva entre una dirección IP y dónde se encuentra físicamente el equipo con esa dirección. Los proveedores de dispositivos móviles y las VPN emiten direcciones IP desde grupos centrales que, a menudo, están lejos de donde se usa el dispositivo cliente. Actualmente, la conversión de la dirección IP en una ubicación física es un esfuerzo notable basado en seguimientos, datos de registro, búsquedas inversas y otra información.
Fecha y hora: la fecha y hora de un intento de inicio de sesión se localiza en la zona horaria de la persona que inició sesión en el Centro de administración de Microsoft Entra, no en el usuario que intentó iniciar sesión.
Acceso condicional:
Not applied
: No se aplica ninguna directiva al usuario y a la aplicación durante el inicio de sesión. Windows Hello para empresas se muestra como "No aplicado" porque las directivas de acceso condicional protegen los intentos de inicio de sesión en los recursos en la nube, no el proceso de inicio de sesión de Windows. Es posible que se interrumpan otros inicios de sesión, por lo que no se aplica una directiva.Success
: Se aplicó o evaluó una o varias directivas de acceso condicional al usuario y a la aplicación (pero no necesariamente a las demás condiciones) durante el inicio de sesión. Aunque es posible que una directiva de acceso condicional no se aplique, si se ha evaluado, el estado de acceso condicional muestra Correcto.Failure
: El inicio de sesión cumplió la condición de usuario y aplicación de al menos una directiva de acceso condicional, y los controles de concesión no se han cumplido o se han establecido para bloquear el acceso.- El acceso condicional no se aplica al inicio de sesión de Windows, como Windows Hello para empresas. El acceso condicional protege los intentos de inicio de sesión en los recursos en la nube, no el proceso de inicio de sesión del dispositivo.
Evaluación continua del acceso: Muestra si se aplicó la evaluación continua de acceso (CAE) al evento de inicio de sesión.
- Hay varias solicitudes de inicio de sesión para cada autenticación, y estas pueden aparecer en las pestañas interactivas o no interactivas.
- La CAE solo se muestra como true para una de las solicitudes y puede aparecer en la pestaña interactiva o en la no interactiva.
- Para saber más, consulte Supervisión y solución de problemas de inicios de sesión con evaluación continua de acceso en Microsoft Entra ID.
Tipo de acceso entre inquilinos: describe el tipo de acceso entre inquilinos que utiliza el actor para acceder al recurso. Los valores posibles son:
none
- Un evento de inicio de sesión que no cruzó los límites de un inquilino de Microsoft Entra.b2bCollaboration
- Un inicio de sesión multiinquilino realizado por un usuario invitado mediante Colaboración B2B.b2bDirectConnect
- Un inicio de sesión multiinquilino realizado por un B2B.microsoftSupport
- Un inicio de sesión multiinquilino realizado por un agente de soporte técnico de Microsoft en un inquilino externo de Microsoft.serviceProvider
- Un inicio de sesión multiinquilino realizado por un proveedor de servicios en la nube (CSP) o un administrador similar en nombre del cliente de ese CSP en un inquilino.unknownFutureValue
- Un valor de Sentinel usado por MS Graph para ayudar a los clientes a controlar los cambios en las listas de enumeraciones. Para más información, consulte Procedimientos recomendados para trabajar con Microsoft Graph.
Inquilino: el registro de inicio de sesión realiza un seguimiento de dos identificadores de inquilino que son relevantes en escenarios de varios inquilinos:
- Inquilino principal: el inquilino que posee la identidad del usuario. Microsoft Entra ID realiza un seguimiento del id. y el nombre.
- Inquilino de recurso: el inquilino que posee el recurso (destino).
- Debido a los compromisos de privacidad, Microsoft Entra ID no rellena el nombre del inquilino principal durante escenarios entre inquilinos.
- Para averiguar cómo los usuarios externos al inquilino acceden a los recursos, seleccione todas las entradas en las que el inquilino principal no coincida con el inquilino de recurso.
Autenticación multifactor: Cuando un usuario inicie sesión con MFA, se producirán varios eventos MFA independientes. Por ejemplo, si un usuario escribiera el código de validación incorrecto o no respondiera a tiempo, se enviarán más eventos MFA para reflejar el estado más reciente del intento de inicio de sesión. Estos eventos de inicio de sesión aparecerán como un elemento de línea en los registros de inicio de sesión de Microsoft Entra. Sin embargo, ese mismo evento de inicio de sesión en Azure Monitor aparecerá como varios elementos de línea. Todos estos eventos tienen el mismo
correlationId
.Requisito de autenticación: muestra el nivel más alto de autenticación necesario a través de todos los pasos de inicio de sesión para que esta se realice correctamente.
- Graph API admite
$filter
(solo los operadoreseq
ystartsWith
).
- Graph API admite
Tipos de eventos de inicio de sesión: indica la categoría del inicio de sesión que representa el evento.
- La categoría de los inicios de sesión del usuario puede ser
interactiveUser
ononInteractiveUser
, y corresponde al valor de la propiedad isInteractive en el recurso del inicio de sesión. - La categoría de identidad administrada es
managedIdentity
. - La categoría de la entidad de servicio principal es servicePrincipal.
- Microsoft Graph API admite:
$filter
(solo el operadoreq
). - Azure Portal no muestra este valor, pero el evento de inicio de sesión se coloca en la pestaña que coincide con su tipo de evento de inicio de sesión. Los valores posibles son:
interactiveUser
nonInteractiveUser
servicePrincipal
managedIdentity
unknownFutureValue
- La categoría de los inicios de sesión del usuario puede ser
Tipo de usuario: entre los ejemplos se incluyen
member
,guest
oexternal
.Detalles de la autenticación
- El código de verificación OATH se registra como el método de autenticación para tokens de hardware y software OATH (por ejemplo, la aplicación Microsoft Authenticator).
- La pestaña Detalles de autenticación puede mostrar inicialmente datos incompletos o inexactos, hasta que la información del registro se agregue por completo. Algunos ejemplos conocidos son:
- Un mensaje de notificación de cumplimiento en el token se muestra incorrectamente cuando se registran inicialmente eventos de inicio de sesión.
- La fila Autenticación principal no se registra inicialmente.
- Si no está seguro de un detalle en los registros, recopile el identificador de solicitud y el identificador de correlación que se usarán para analizar o solucionar problemas.
- Si se aplican directivas de acceso condicional para la autenticación o la duración de la sesión, se muestran encima de los intentos de inicio de sesión. Si no ves ninguna de estas opciones, esas directivas no se aplican actualmente. Para obtener más información, consulte Controles de sesión de acceso condicional.