Información detallada e informes del acceso condicional

El libro Conditional Access insights and reporting (Información detallada e informes del acceso condicional) le permite comprender el impacto de las directivas de acceso condicional en su organización a lo largo del tiempo. Durante el inicio de sesión, se pueden aplicar una o varias directivas de acceso condicional, de modo que se conceda acceso si se cumplen determinados controles de concesión o se deniegue de lo contrario. Dado que se pueden evaluar varias directivas de acceso condicional durante cada inicio de sesión, el libro de información detallada e informes le permite examinar el impacto de una directiva individual o un subconjunto de todas las directivas.

Requisitos previos

Para habilitar la información y el libro de informes, el inquilino debe tener:

• Un área de trabajo de Log Analytics para conservar los datos de registros de inicio de sesión.
• Licencias de Microsoft Entra ID P1 para usar el acceso condicional.

Los usuarios deben tener asignados al menos el rol de lector de seguridad y los roles de colaborador del área de trabajo de Log Analytics.

Transmisión de los registros de inicio de sesión de Microsoft Entra ID a los registros de Azure Monitor

Si no ha integrado los registros de Microsoft Entra con los registros de Azure Monitor, debe realizar los pasos siguientes para que se cargue el libro:

1. Cree un área de trabajo de Log Analytics en Azure Monitor.
2. Integre los registros de Microsoft Entra con los registros de Azure Monitor.

Cómo funciona

Para acceder al libro de información detallada e informes:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
2. Vaya a Entra ID>Acceso condicional>Información e informes.

Primeros pasos: Selección de parámetros

El panel Insights and reporting (Información detallada e informes) le permite ver el impacto de una o varias directivas de acceso condicional durante un período especificado. Empiece por establecer cada uno de los parámetros en la parte superior del libro.

Directiva de acceso condicional: para ver su impacto combinado, seleccione una o varias directivas de acceso condicional. Las directivas se separan en dos grupos: Directivas habilitadas y Directivas de solo informes. De forma predeterminada, se seleccionan todas las directivas habilitadas . Estas directivas son las directivas que se aplican actualmente en el inquilino.

Intervalo de tiempo: seleccione un intervalo de tiempo entre 4 horas y hasta 90 días. Si selecciona un intervalo de tiempo más atrás que al integrar los registros de Microsoft Entra con Azure Monitor, solo aparecerán los inicios de sesión después del tiempo de integración.

Usuario: de forma predeterminada, el panel muestra el impacto de las directivas seleccionadas para todos los usuarios. Para filtrar por un usuario individual, escriba el nombre del usuario en el campo de texto. Para filtrar por todos los usuarios, escriba Todos los usuarios en el campo de texto o deje el parámetro vacío.

Aplicación: de forma predeterminada, el panel muestra el impacto de las directivas seleccionadas para todas las aplicaciones. Para filtrar por una aplicación individual, escriba el nombre de la aplicación en el campo de texto. Para filtrar por todas las aplicaciones, escriba Todas las aplicaciones en el campo de texto o deje el parámetro vacío.

Vista de datos: seleccione si desea que el panel muestre los resultados en términos del número de usuarios o el número de inicios de sesión. Un usuario individual puede tener cientos de inicios de sesión en muchas aplicaciones con muchos resultados diferentes durante un intervalo de tiempo determinado. Si selecciona la vista de datos para que sean usuarios, un usuario podría incluirse tanto en los recuentos de Éxito como en los de Fracaso. Por ejemplo, si hay 10 usuarios, 8 de ellos podrían tener un resultado de éxito en los últimos 30 días y 9 de ellos podría tener un error en los últimos 30 días.

Resumen de impacto

Una vez establecidos los parámetros, se carga el resumen de impacto . El resumen muestra cuántos usuarios o inicios de sesión durante el intervalo de tiempo provocaron éxito, error, acción de usuario requerida o No aplicada cuando se evaluaron las directivas seleccionadas.

Total: el número de usuarios o inicios de sesión durante el período de tiempo en el que se evaluó al menos una de las directivas seleccionadas.

Éxito: el número de usuarios o conexiones durante el período de tiempo en el que el resultado combinado de las directivas seleccionadas era Éxito o Solo informe: Éxito.

Error: el número de usuarios o inicios de sesión durante el período de tiempo en el que el resultado de al menos una de las directivas seleccionadas era Error o Solo informe: Error.

Acción de usuario requerida: el número de usuarios o inicios de sesión durante el período de tiempo en el que el resultado combinado de las directivas seleccionadas era Solo informe: se requiere la acción del usuario. La acción del usuario es necesaria cuando se requiere un control de concesión interactivo, como la autenticación multifactor. Dado que las directivas de solo informe no aplican los controles de concesión interactivos, no se puede determinar si el resultado es correcto o erróneo.

No aplicado: el número de usuarios o inicios de sesión durante el período de tiempo en el que no se ha aplicado ninguna de las directivas seleccionadas.

Explicación del impacto

Vea el desglose de usuarios e inicios de sesión para cada una de las condiciones. Puede filtrar los inicios de sesión de un resultado determinado (por ejemplo, Correcto o Error). Para ello, seleccione los iconos de resumen en la parte superior del libro. Puede ver el desglose de inicios de sesión para cada una de las condiciones de acceso condicional: estado del dispositivo, plataforma del dispositivo, aplicación cliente, ubicación, aplicación y riesgo de inicio de sesión.

Detalles de inicio de sesión

También puede investigar los inicios de sesión de un usuario específico si busca inicios de sesión en la parte inferior del panel. La consulta muestra los usuarios más frecuentes. Al seleccionar un usuario, se filtra la consulta.

Mejorar el rendimiento del libro de trabajo

La información de acceso condicional estándar y el libro de informes pueden capturar una gran cantidad de datos con la configuración predeterminada. La cantidad de datos capturados puede afectar al rendimiento del libro de trabajo, por lo que algunas consultas pueden tardar más tiempo de lo habitual en cargarse o incluso agotarse el tiempo de espera. Para mejorar el rendimiento, puede crear una transformación de Azure Monitor.

Antes de continuar con este paso opcional, revise el artículo Transformación en Azure Monitor para obtener información general y consideraciones sobre los costos.

Para identificar los resultados que se deben mantener o excluir de la transformación, use la siguiente consulta de Kusto en Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies 

La consulta examina específicamente las directivas de acceso condicional que dan lugar a un éxito o error. Otros valores que puede incluir en la consulta incluyen notApplied, reportOnlySuccess, reportOnlyFailure, reportOnlyNotAppliedy notEnabled.

Para crear la regla de recopilación de datos (DCR) para los registros de inicio de sesión:

1. Inicie sesión en Azure Portal como colaborador de supervisión como mínimo.
2. Vaya a Espacios de trabajo de Log Analytics y seleccione su espacio de trabajo.
3. Vaya a Tablas de configuración>> seleccione SignInLogs.
4. Abra el menú de la derecha y seleccione Crear transformación.
5. Siga las indicaciones para crear la transformación, seleccionando Editor de transformación para cambiar cualquiera de los detalles incluidos en la transformación.

Una vez creada e implementada correctamente la transformación, la información de acceso condicional y el libro de informes deben cargarse más rápido. La transformación solo se aplica a los nuevos registros de inicio de sesión ingeridos después de crear la transformación. Otros libros de trabajo que también extraen de esta tabla se ven afectados por la transformación.

Tenga en cuenta que si excluye determinados resultados de directiva de la transformación, no verá ninguno de esos resultados en el libro una vez que se ejecute la transformación.

Configuración de una directiva de acceso condicional en modo de solo informe

Para configurar una directiva de acceso condicional en modo de solo informe:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
2. Vaya a Entra ID>Acceso Condicional>Directivas.
3. Seleccione una directiva existente o cree una nueva.
4. En Habilitar directiva, establezca el interruptor en modo solo informe.
5. Seleccione Guardar.

Solución de problemas

¿Por qué se producen errores en las consultas debido a un error de permisos?

Para tener acceso al libro necesita los permisos de acceso adecuados en Microsoft Entra ID y Log Analytics. Para probar si tiene los permisos adecuados del área de trabajo, ejecute una consulta de Log Analytics de ejemplo:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
2. Vaya a Entra ID>Supervisión y salud>Análisis de registros.
3. Escriba SigninLogs en el cuadro de consulta y seleccione Ejecutar.
4. Si la consulta no devuelve ningún resultado, es posible que el área de trabajo no esté configurada correctamente.

Para más información sobre cómo transmitir registros de inicio de sesión de Microsoft Entra a un área de trabajo de Log Analytics, consulte el artículo Integración de registros de Microsoft Entra con registros de Azure Monitor.

¿Por qué se producen errores en las consultas del libro?

Los clientes observan que, en ocasiones, se producen errores en las consultas si varias áreas de trabajo o áreas de trabajo erróneas se asocian al libro. Para solucionar este problema, seleccione Editar en la parte superior del libro y, a continuación, el engranaje Configuración. Seleccione y, a continuación, quite las áreas de trabajo no asociadas al libro. Solo debe haber un área de trabajo asociada a cada libro.

¿Por qué está vacío el parámetro Directivas de acceso condicional?

La lista de directivas se genera examinando las directivas evaluadas para el evento de inicio de sesión más reciente. Si no hay inicios de sesión recientes en el inquilino, es posible que tenga que esperar unos minutos para que el libro cargue la lista de directivas de acceso condicional. Es posible que no obtenga resultados inmediatamente después de configurar Log Analytics o si un inquilino no tiene actividad reciente de inicio de sesión.

¿Por qué el libro tarda mucho en cargarse o devuelve cero resultados?

Según el intervalo de tiempo seleccionado y el tamaño del inquilino, es posible que el libro esté evaluando un número extraordinariamente elevado de eventos de inicio de sesión. En el caso de inquilinos grandes, el volumen de inicios de sesión puede superar la capacidad de consulta de Log Analytics. Intente acortar el intervalo de tiempo a 4 horas para ver si se carga el libro. Revise la sección Mejorar el rendimiento del libro para obtener más información sobre cómo mejorar el rendimiento.

¿Puedo guardar mis selecciones de parámetros o personalizar el libro?

Puede guardar las selecciones de parámetros y personalizar el libro en la parte superior del libro. Vaya a Entra ID>Supervisión y salud>Libros de trabajo>Información de acceso condicional e informes. Aquí encontrará la plantilla de libro, donde puede editar el libro y guardar una copia en el área de trabajo, incluidas las selecciones de parámetros, en Mis informes o Informes compartidos. Para empezar a editar las consultas, seleccione Editar en la parte superior del libro de trabajo.

Contenido relacionado

• Modo solo para informes de acceso condicional

• Para obtener más información sobre los cuadernos de Microsoft Entra, refiérase al artículo titulado Uso de cuadernos de Azure Monitor para informes de Microsoft Entra.

• Directivas comunes de acceso condicional