Uso del informe de inicios de sesión para revisar los eventos de Azure AD Multi-Factor Authentication

  • Artículo
  • Tiempo de lectura: 6 minutos

Para revisar y comprender los eventos de Azure AD Multi-Factor Authentication, puede usar el informe de inicios de sesión de Azure Active Directory (Azure AD). En este informe se muestran detalles de autenticación de eventos cuando se solicita a un usuario la autenticación multifactor y si las directivas de acceso condicional estaban en uso. Para obtener información detallada sobre el informe de inicios de sesión, consulte la información general sobre los informes de actividad de inicio de sesión en Azure AD.

En este artículo se muestra cómo ver el informe de inicios de sesión de Azure AD en Azure Portal y, a continuación, el módulo de PowerShell MSOnline V1.

Consulta del informe de inicios de sesión de Azure AD

El informe de inicios de sesión le proporciona información acerca del uso de las aplicaciones administradas y actividades de inicio de sesión de usuario, lo que incluye información acerca del uso de la autenticación multifactor (MFA). Los datos MFA le proporcionan información acerca del funcionamiento de MFA en su organización, Le permite responder a preguntas como las siguientes:

  • ¿Supuso un problema la MFA para el inicio de sesión?
  • ¿Cómo completo el usuario la MFA?
  • ¿Qué métodos de autenticación se usaron durante un inicio de sesión?
  • ¿Por qué no pudo completar el usuario la MFA?
  • ¿En cuántos usuarios se usa MFA?
  • ¿Cuántos usuarios no pueden completar el desafío de MFA?
  • ¿Cuáles son los problemas de MFA más habituales a los que se enfrentan los usuarios finales?

Para ver el informe de actividad de inicio de sesión en Azure Portal, complete los pasos siguientes. También puede consultar los datos mediante la API de informes.

  1. Inicie sesión en Azure Portal mediante una cuenta con permisos de administrador global.

  2. Busque y seleccione Azure Active Directory y, a continuación, elija Usuarios en el menú del lado izquierdo.

  3. En Actividad en el menú del lado izquierdo, seleccione Inicios de sesión.

  4. Se muestra una lista de eventos de inicio de sesión, incluido el estado. Puede seleccionar un evento para ver más detalles.

    En la pestaña Detalles de autenticación o Acceso condicional de los detalles del evento se le muestra el código de estado o la directiva que desencadenó el mensaje de MFA.

    Screenshot of example Azure Active Directory sign-ins report in the Azure portal

Si está disponible, se muestra la autenticación, como mensaje de texto, notificación de la aplicación de Microsoft Authenticator o llamada de teléfono.

La pestaña Detalles de autenticación proporciona la siguiente información para cada intento de autenticación:

  • Una lista de las directivas de autenticación aplicadas (por ejemplo, acceso condicional, MFA por usuario, valores predeterminados de seguridad).
  • La secuencia de los métodos de autenticación usados para iniciar sesión.
  • Si el intento de autenticación se ha realizado correctamente o no.
  • Detalles sobre por qué el intento de autenticación se ha realizado correctamente o no.

Esta información permite a los administradores solucionar problemas de cada paso en el inicio de sesión de un usuario y realizar un seguimiento de los siguientes aspectos:

  • Volumen de inicios de sesión protegidos por la autenticación multifactor.
  • Tasas de uso y éxito de cada método de autenticación.
  • Uso de métodos de autenticación sin contraseña (como el inicio de sesión con teléfono sin contraseña, FIDO2 y Windows Hello para empresas).
  • Con qué frecuencia se cumplen los requisitos de autenticación mediante notificaciones de token (donde a los usuarios no se les pide interactivamente que escriban una contraseña, escriban un SMS OTP, y así sucesivamente).

Al ver el informe de inicios de sesión, seleccione la pestaña Detalles de autenticación:

Screenshot of the Authentication Details tab

Nota:

El código de verificación OATH se registra como el método de autenticación para tokens de hardware y software OATH (por ejemplo, la aplicación Microsoft Authenticator).

Importante

La pestaña Detalles de autenticación puede mostrar inicialmente datos incompletos o inexactos, hasta que la información del registro se agregue por completo. Algunos ejemplos conocidos son:

  • Un mensaje de notificación de cumplimiento en el token se muestra incorrectamente cuando se registran inicialmente eventos de inicio de sesión.
  • La fila autenticación principal no se registra inicialmente.

Los detalles siguientes aparecen en la ventana Detalles de autenticación para un evento de inicio de sesión que muestra si la solicitud de MFA se ha cumplido o denegado:

  • Si se ha cumplido, esta columna proporciona más información acerca de cómo se ha hecho.

    • completado en la nube
    • ha expirado debido a las directivas configuradas en el inquilino
    • registro solicitado
    • satisfecho por notificación en el token
    • satisfecho por notificación de proveedor externo
    • satisfecho por autenticación segura
    • se omite, ya que el flujo usado fue el flujo de inicio de sesión del agente de Windows
    • se omite debido a la aplicación de la contraseña
    • se omite debido a la ubicación
    • se omite debido al dispositivo registrado
    • se omite debido al dispositivo recordado
    • completado correctamente

  • Si se ha denegado, esta columna proporcionaría el motivo de la denegación.

    • autenticación en curso
    • intento de duplicación de autenticación
    • se ha escribir un código incorrecto demasiadas veces
    • autenticación no válida
    • código de verificación de aplicación móvil no válido
    • error de configuración
    • la llamada de teléfono se dirigió al correo de voz
    • el número de teléfono tiene un formato no válido
    • error del servicio
    • no se puede acceder al teléfono del usuario
    • no se puede enviar la notificación de la aplicación móvil al dispositivo
    • no se puede enviar la notificación de la aplicación móvil
    • el usuario rechazó la autenticación
    • el usuario no respondió a la notificación de la aplicación móvil
    • el usuario no tiene ningún método de comprobación registrado
    • el usuario ha escrito un código incorrecto
    • el usuario ha escrito un PIN incorrecto
    • el usuario contestó la llamada de teléfono sin la autenticación
    • el usuario está bloqueado
    • el usuario no ha escrito el código de verificación
    • el usuario no se encuentra
    • el código de verificación ya se ha usado una vez

Creación de informes de PowerShell sobre los usuarios registrados para MFA

En primer lugar, asegúrese de que tiene el módulo de PowerShell MSOnline V1 instalado.

Identifique los usuarios que se han registrado en MFA mediante el PowerShell siguiente. Este conjunto de comandos excluye los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identifique los usuarios que no se han registrado en MFA mediante el PowerShell siguiente. Este conjunto de comandos excluye los usuarios deshabilitados, ya que estas cuentas no se pueden autenticar en Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identifique los usuarios y los métodos de salida registrados:

Get-MsolUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Informes de MFA adicionales

La información y los informes adicionales que se muestran a continuación están disponibles para los eventos de MFA, incluidos los del Servidor MFA:

Informe Location Descripción
Historial de usuarios bloqueados Azure AD > Seguridad > MFA > Bloquear y desbloquear usuarios Muestra el historial de solicitudes para bloquear o desbloquear usuarios.
Uso de componentes locales Azure AD > Seguridad > MFA > Informe de actividad Proporciona información sobre el uso general del Servidor MFA a través de la extensión NPS, AD FS y el Servidor MFA.
Historial de usuarios omitidos Azure AD > Seguridad > MFA > Omisión por única vez Proporciona un historial de solicitudes del Servidor MFA a fin de omitir MFA para un usuario.
Estado del servidor Azure AD > Seguridad > MFA > Estado del servidor Muestra el estado de los Servidores MFA asociados a su cuenta.

Pasos siguientes

En este artículo se proporciona información general del informe de actividad de inicios de sesión. Para obtener información más detallada sobre el contenido de este informe, consulte los informes de actividad de inicio de sesión en Azure AD.