Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para revisar y comprender los eventos de autenticación multifactor de Microsoft Entra, puede usar los registros de inicio de sesión de Microsoft Entra. En este informe se muestran los detalles de autenticación de los eventos cuando se solicita a un usuario la autenticación multifactor y si alguna directiva de acceso condicional estaba en uso. Para obtener información detallada sobre los registros de inicio de sesión, consulte la introducción a los informes de actividad de inicio de sesión en Microsoft Entra ID.
Nota sobre cómo interpretar MFA
Cuando un usuario inicia sesión interactivamente en Microsoft Entra por primera vez, puede usar cualquier método de autenticación compatible (incluida la autenticación segura), incluso si no es estrictamente necesario. Si un usuario decide autenticarse a través de sin contraseña u otro método de autenticación segura, el usuario recibe una notificación de MFA. Para reducir la latencia y los redireccionamientos innecesarios entre nuestras aplicaciones y el servicio de autenticación, los proveedores de recursos suelen revisar las notificaciones existentes ya dadas a un usuario autenticando en lugar de solicitar un nuevo conjunto de notificaciones cada vez. Como resultado, es posible que ciertos inicios de sesión aparezcan como "autenticación de un solo factor" a pesar de tener un requisito de autenticación multifactor (MFA) en la aplicación, porque se aceptó una reclamación anterior de MFA del usuario. No se solicitó ni registró ningún requisito de MFA para esa autenticación concreta. Para comprender de forma precisa el contexto de autenticación, es importante comprobar siempre los detalles de MFA y el método de autenticación raíz asociado a cada evento. No confíe únicamente en el campo authenticationRequirement, ya que no tiene en cuenta las afirmaciones de MFA previamente satisfechas debido a que el uso de una autenticación fuerte no se requiere explícitamente.
Visualización de los registros de inicio de sesión de Microsoft Entra
Los registros de inicio de sesión proporcionan información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario, que incluye información sobre el uso de la autenticación multifactor. Los datos de MFA proporcionan información sobre cómo funciona MFA en su organización. Responde a preguntas como:
- ¿Se desafió el inicio de sesión con MFA?
- ¿Cómo completó el usuario MFA?
- ¿Qué métodos de autenticación se usaron durante un inicio de sesión?
- ¿Por qué el usuario no pudo completar MFA?
- ¿Cuántos usuarios se desafían a MFA?
- ¿Cuántos usuarios no pueden completar el desafío de MFA?
- ¿Cuáles son los problemas comunes de MFA en los que se encuentran los usuarios finales?
Para ver el informe de actividad de inicio de sesión en el Centro de administración de Microsoft Entra, complete los pasos siguientes. También puede consultar datos mediante la API de informes.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Entra ID>Usuarios en el menú de la izquierda.
En el menú de la izquierda, seleccione Registros de inicio de sesión.
Se muestra una lista de eventos de inicio de sesión, incluido el estado. Puede seleccionar un evento para ver más detalles.
La pestaña Acceso condicional de los detalles del evento muestra qué directiva desencadenó la solicitud de MFA.
Si está disponible, se muestra la autenticación, como el mensaje de texto, la notificación de la aplicación Microsoft Authenticator o la llamada telefónica.
La pestaña Detalles de autenticación proporciona la siguiente información para cada intento de autenticación:
- Lista de directivas de autenticación aplicadas (por ejemplo, acceso condicional, MFA por usuario, valores predeterminados de seguridad)
- Secuencia de métodos de autenticación usados para iniciar sesión
- Si el intento de autenticación se realizó correctamente
- Detalles sobre por qué el intento de autenticación se realizó correctamente o produjo un error
Esta información permite a los administradores solucionar los problemas de cada paso en el inicio de sesión de un usuario y realizar un seguimiento de:
- Volumen de inicios de sesión protegidos por autenticación multifactorial
- Tasas de uso y éxito para cada método de autenticación
- Uso de métodos de autenticación sin contraseña (como inicio de sesión telefónico sin contraseña, FIDO2 y Windows Hello para empresas)
- La frecuencia con la que se cumplen los requisitos de autenticación mediante reivindicaciones de token (en las que no se pide a los usuarios que introduzcan una contraseña, introduzcan una OTP de SMS, etc.)
Al ver los registros de inicio de sesión, seleccione la pestaña Detalles de autenticación :
Nota:
El código de verificación OATH se registra como el método de autenticación para tokens de hardware y software OATH (por ejemplo, la aplicación Microsoft Authenticator).
Importante
La pestaña Detalles de autenticación puede mostrar inicialmente datos incompletos o inexactos, hasta que la información de registro se agrega por completo. Entre los ejemplos conocidos se incluyen:
- Un mensaje de notificación de cumplimiento en el token se muestra incorrectamente cuando se registran inicialmente eventos de inicio de sesión.
- La fila Autenticación principal no se registra inicialmente.
Los detalles siguientes se muestran en la ventana Detalles de autenticación de un evento de inicio de sesión que muestra si se cumplió o denegó la solicitud de MFA:
Si se ha satisfecho MFA, esta columna proporciona más información sobre cómo se ha satisfecho MFA.
- completado en la nube
- ha expirado debido a las directivas configuradas en el inquilino
- registro que se le solicita
- satisfecho por notificación en el token
- satisfecho con la reclamación proporcionada por el proveedor externo
- satisfecho por la autenticación segura
- omitido como flujo ejercicio era el flujo de inicio de sesión de Windows Broker.
- omitido debido a la contraseña de la aplicación
- omitido debido a la ubicación
- omitido debido a un dispositivo registrado
- omitido debido a un dispositivo recordado
- completado con éxito
Si se denegó MFA, esta columna proporcionaría el motivo de la denegación.
- autenticación en curso
- intento de autenticación duplicada
- se especificó código incorrecto demasiadas veces
- autenticación no válida
- código de verificación de aplicación móvil no válido
- configuración incorrecta
- llamada telefónica fue al correo de voz
- el número de teléfono tiene un formato no válido
- error de servicio
- no se puede acceder al teléfono del usuario
- no se puede enviar la notificación de la aplicación móvil al dispositivo
- no se puede enviar la notificación de la aplicación móvil
- el usuario rechazó la autenticación
- el usuario no respondió a la notificación de la aplicación móvil
- el usuario no tiene ningún método de comprobación registrado
- el usuario especificó código incorrecto
- el usuario especificó un PIN incorrecto
- el usuario ha colgado la llamada telefónica sin realizar correctamente la autenticación
- el usuario está bloqueado
- el usuario nunca escribió el código de verificación
- usuario no encontrado
- código de verificación ya usado una vez
Informes de PowerShell sobre los usuarios registrados para MFA
En primer lugar, asegúrese de que tiene instalado el SDK de PowerShell de Microsoft Graph .
Identifique a los usuarios que se han registrado para MFA mediante PowerShell que se indica a continuación. Este conjunto de comandos excluye a los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en el identificador de Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique a los usuarios que no están registrados para MFA mediante la ejecución de los siguientes comandos de PowerShell. Este conjunto de comandos excluye a los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en el identificador de Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique los usuarios y los métodos de salida registrados:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Informes de MFA adicionales
La extensión NPS y el adaptador de AD FS para la actividad de MFA en la nube ahora se incluyen en los registros de inicio de sesión, y no en un informe de actividad específico.
Los eventos de inicio de sesión de MFA en la nube desde un adaptador de AD FS local o una extensión NPS no tendrán todos los campos de los registros de inicio de sesión rellenados debido a los datos limitados devueltos por el componente local. Puede identificar estos eventos por el resourceID adfs o radius en las propiedades del evento. Incluyen:
- resultSignature
- Identificador de la aplicación
- detalles del dispositivo
- Estado de acceso condicional
- authenticationContext
- esInteractivo
- nombreDelEmisorDelToken
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- protocolo de autenticación
- incomingTokenType
Las organizaciones que ejecutan la versión más reciente de la extensión NPS o usan Microsoft Entra Connect Health tendrán una dirección IP de ubicación en eventos.
Pasos siguientes
En este artículo se proporciona información general sobre el informe de actividad de inicios de sesión. Para obtener información más detallada sobre lo que contiene este informe, consulte informes de actividad de inicio de sesión en Microsoft Entra ID.