Cómo investigar inicios de sesión que requieren autenticación multifactor

La supervisión de Microsoft Entra Health proporciona un conjunto de métricas de estado de nivel de inquilino que puede supervisar y alertas cuando se detecta un posible problema o una condición de error. Hay varios escenarios de estado que se pueden supervisar, incluida la autenticación multifactor (MFA).

Este escenario:

• Agrega el número de usuarios que completaron correctamente un inicio de sesión de MFA mediante un servicio MFA en la nube de Microsoft Entra.
• Captura los inicios de sesión interactivos con MFA, agregando errores y correctos.
• Excluye cuando un usuario actualiza la sesión sin completar la MFA interactiva o mediante métodos de inicio de sesión sin contraseña.

En este artículo se describen estas métricas de mantenimiento y cómo solucionar un posible problema al recibir una alerta.

Requisitos previos

Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.

• Se requiere un inquilino con una licencia Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de mantenimiento de Microsoft Entra.
• Se requiere un inquilino con licencia de Microsoft Entra P1 o P2 y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
• El rol Lector de informes es el rol con menos privilegios necesario para ver señales de supervisión de escenarios, alertas y configuraciones de alertas.
• El Administrador del departamento de soporte técnico es el rol con privilegios mínimos necesario para actualizar las alertas y actualizar las configuraciones de notificaciones de alertas.
• El permiso HealthMonitoringAlert.Read.All es necesario para ver las alertas mediante Microsoft Graph API.
• El permiso HealthMonitoringAlert.ReadWrite.All es necesario para ver y modificar las alertas mediante Microsoft Graph API.
• Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Recopilar datos

La investigación de una alerta comienza con la recopilación de datos.

1. Recopile los detalles de la señal y el resumen de impacto.
   • Para obtener más información, consulte Información general sobre la supervisión del estado de Microsoft Graph.
2. Revise los registros de información de inicio de sesión.
   • Revise los detalles del registro de inicio de sesión.
   • Busque que los usuarios que estén bloqueados para iniciar sesión y tengan una directiva de acceso condicional que requiera la autenticación multifactor aplicada.
3. Compruebe los registros de auditoría para ver los cambios recientes en la directiva.
   • Use los registros de auditoría para solucionar problemas de cambios en la directiva de acceso condicional.

Mitigación de problemas comunes

Los siguientes problemas comunes podrían provocar un pico en los inicios de sesión de MFA. Esta lista no es exhaustiva, pero proporciona un punto de partida para su investigación.

Problemas de configuración de aplicaciones

Un aumento de los inicios de sesión que requieren MFA podría indicar un cambio de directiva o una nueva implementación de características que podría desencadenar un gran número de usuarios para iniciar sesión aproximadamente al mismo tiempo.

Para investigar:

• En el resumen de impacto, si resourceType es "aplicación" y solo se muestran una o dos aplicaciones, compruebe los registros de auditoría para ver los cambios en las aplicaciones enumeradas.
• En los registros de auditoría, use la columna Destino para filtrar por la aplicación o abrir los registros de auditoría desde Aplicaciones empresariales, por lo que el filtro ya está establecido.
• Determine si la aplicación se agregó recientemente o se volvió a configurar.
• En los registros de inicio de sesión, use la columna Aplicación para filtrar por la misma aplicación o intervalo de fechas para buscar cualquier otro patrón.

Problemas de autenticación de usuario

Un aumento de los inicios de sesión que requieren MFA podría indicar un ataque por fuerza bruta, donde se realizan varios intentos de inicio de sesión no autorizados en la cuenta de un usuario.

Para investigar:

• En el resumen de impacto, si resourceType es "usuario" y el valor de impactedCount muestra un pequeño subconjunto de usuarios, el problema podría ser específico del usuario.
• Use los filtros siguientes en los registros de inicio de sesión:
  • Estado: error
  • Requisito de autenticación: autenticación multifactor
  • Ajuste la fecha para que coincida con el período de tiempo indicado en el resumen de impacto.
• ¿Se producen errores en los intentos de inicio de sesión procedentes de la misma dirección IP?
• ¿Se han producido errores en los intentos de inicio de sesión del mismo usuario?
• Ejecute el diagnóstico de inicio de sesión para descartar problemas de error de usuario estándar o problemas iniciales de configuración de MFA.

Problemas de red

Podría haber una interrupción del sistema regional que requería un gran número de usuarios para iniciar sesión al mismo tiempo.

Para investigar:

• En el resumen de impacto, si resourceType es "usuario" y el valor de impactedCount muestra un gran porcentaje de los usuarios de la organización, es posible que esté examinando un problema de propagación amplia.
• Compruebe el estado del sistema y la red para ver si una interrupción o actualización coincide con el mismo período de tiempo que la anomalía.

Pasos siguientes

• Configurar el acceso condicional para MFA para todos los usuarios
• Solución de errores comunes de inicio de sesión
• Más información sobre el acceso condicional e Intune