Preguntas más frecuentes sobre la supervisión y el mantenimiento de Microsoft Entra

Consulte Licencias de Microsoft Entra ID para actualizar la edición de Microsoft Entra.

Si ya tiene datos de registro de actividad como una licencia gratuita, puede verlos inmediatamente. Si no tiene datos, tardan hasta tres días en mostrarse en los informes.

Si ha cambiado recientemente a una versión Prémium (incluida una versión de prueba), inicialmente, puede ver datos de hasta siete días. Cuando se acumulan datos, puede ver los datos de los últimos 30 días.

El rol con privilegios mínimos para ver los registros de auditoría e inicio de sesión es Lector de informes. Otros roles incluyen Lector de seguridad y Administrador de seguridad.

Los registros de inicio de sesión y auditoría están disponibles para el enrutamiento a través de Azure Monitor. Actualmente no se incluyen los eventos de auditoría relacionados con B2C. Para más información, consulte Integraciones del registro de actividad de Microsoft Entra y la Descripción general del registro de actividad de Graph API.

Los registros de actividad de Microsoft 365 y de Microsoft Entra comparten muchos recursos del directorio. Si desea obtener una vista completa de los registros de actividad de Microsoft 365, debe ir al Centro de administración de Microsoft 365 para obtener la información del registro de actividad de Office 365. Las API de Microsoft 365 se describen en el artículo API de administración de Microsoft 365.

El número de registros que puede descargar del centro de administración de Microsoft Entra viene determinado por algunos factores, como el tamaño de memoria del explorador, las velocidades de red y la carga actual en las API de informes de Microsoft Entra. Por lo general, los conjuntos de datos menores que 250 000 para los registros de auditoría y 100 000 para los registros de inicio de sesión y aprovisionamiento funcionan bien con la característica de descarga del explorador. Dependiendo del número de campos que haya incluido, este número podría variar. Si tiene problemas para completar grandes descargas en el explorador, use la API de informes para descargar los datos o enviar los registros a un punto de conexión a través de la configuración de diagnóstico.

El conjunto específico de registros que puede descargar viene determinado por los filtros activos en el Centro de administración de Microsoft Entra al iniciar la descarga. Por ejemplo, filtrar a un usuario específico en el Centro de administración de Microsoft Entra significa que la descarga extrae los registros para ese usuario específico. Las columnas de los registros descargados no cambian. La salida contiene todos los detalles del registro de auditoría o de inicio de sesión, independientemente de las columnas que haya personalizado en el Centro de administración de Microsoft Entra.

En función de la licencia, Microsoft Entra ID almacena los registros de actividad entre 7 y 30 días. Para más información, consulte Directivas de retención de informes de Microsoft Entra.

La característica Retención de almacenamiento de configuración de diagnóstico está en desuso. Para obtener información sobre este cambio, consulte Migración de la retención de almacenamiento de configuración de diagnóstico a la administración del ciclo de vida de Azure Storage.

En este momento, no hay ninguna actividad específica en los registros de auditoría para la compra o habilitación de licencias. Sin embargo, es posible que pueda poner en correlación la actividad "Incorporar recurso a PIM" de la categoría "Administración de recursos" con la compra o habilitación de una licencia. Esta actividad puede no estar siempre disponible ni proporcionar los detalles exactos.

Estos cambios están relacionados con la forma en que se procesan las MFA y algunos eventos del RGPD. Los eventos como la eliminación de usuarios o la exportación de datos de usuario se capturan en los registros de auditoría, pero la descripción de la actividad puede ser un poco críptica. Estamos trabajando para mejorar esas etiquetas de actividad. Para obtener una lista completa de las actividades relacionadas con el RGPD, consulte Actividades de auditoría. Estas actividades están asociadas a la categoría DirectoryManagement.

El recurso signInActivity se usa para buscar usuarios inactivos que no han iniciado sesión durante algún tiempo. No se actualiza casi en tiempo real. Si necesita buscar la última actividad de inicio de sesión del usuario con mayor rapidez, puede usar los registros de inicio de sesión de Microsoft Entra a fin de ver la actividad de inicio de sesión casi en tiempo real para todos los usuarios.

El archivo .csv incluye registros de inicio de sesión para el tipo de inicio de sesión que seleccionó. Los datos que se representan como una matriz anidada en Microsoft Graph API para los registros de inicio de sesión no se incluyen. Por ejemplo, no se incluyen las directivas de acceso condicional ni la información solo para informes. Si necesita exportar toda la información contenida en los registros de inicio de sesión, use la característica Exportar configuración de datos.

También es importante tener en cuenta que las columnas incluidas en los registros descargados no cambian, incluso si ha personalizado las columnas en el Centro de administración de Microsoft Entra.

Microsoft Entra ID puede ocultar una parte de una dirección IP en los registros de inicio de sesión para proteger la privacidad del usuario cuando un usuario pueda no pertenecer al inquilino que ve los registros. Esta acción se produce en dos casos:

• Durante los inicios de sesión entre inquilinos; por ejemplo, cuando un técnico de CSP inicia sesión en un inquilino administrado por CSP.
• Cuando nuestro servicio no pudo determinar la identidad del usuario con la confianza suficiente para tener la certeza de que el usuario pertenece al inquilino que ve los registros.

Microsoft Entra ID oculta información de identificación personal (DCP) generada por dispositivos que no pertenecen al inquilino para asegurar los datos del cliente. DCP no se extiende más allá de los límites del inquilino sin el consentimiento del usuario y del propietario de los datos.

Hay varias razones por las que las entradas de inicio de sesión pueden duplicarse en los registros.

• Si se identifica un riesgo en un inicio de sesión, otro evento casi idéntico se publica inmediatamente después incluyendo el riesgo.
• Si se reciben eventos de MFA relacionados con un inicio de sesión, todos los eventos relacionados se agregan al inicio de sesión original.
• Si se produce un error en la publicación de asociados para un evento de inicio de sesión, como la publicación en Kusto, se reintenta y publica de nuevo un lote completo de eventos, lo que puede dar lugar a duplicados.
• Los eventos de inicio de sesión que implican varias directivas de acceso condicional se pueden dividir en varios eventos, lo que puede dar lugar a al menos dos eventos por evento de inicio de sesión.

Los inicios de sesión no interactivos pueden desencadenar un gran volumen de eventos cada hora, por lo que se agrupan en los registros.

En muchos casos, los inicios de sesión no interactivos tienen las mismas características, excepto la fecha y hora del inicio de sesión. Si el agregado de tiempo se establece en 24 horas, los registros aparecen para mostrar los inicios de sesión al mismo tiempo. Cada una de estas filas agrupadas se puede expandir para ver la marca de tiempo exacta.

Hay varias razones por las que las entradas de inicio de sesión pueden mostrar identificadores de usuario, de objeto o GUID en el campo del nombre de usuario.

• Con la autenticación sin contraseña, los identificadores de usuario aparecen como el nombre de usuario. Para confirmar este escenario, examine los detalles del evento de inicio de sesión en cuestión. El campo authenticationDetail indica passwordless.
• El usuario se autenticó pero aún no ha iniciado sesión. Para confirmarlo, hay un código de error 50058 que se pone en correlación con una interrupción.
• Si el campo nombre de usuario muestra 000000-00000-0000-0000 o algo similar, podría haber restricciones de inquilino en vigor, lo que impide que el usuario inicie sesión en el inquilino seleccionado.
• Los intentos de inicio de sesión con autenticación multifactor se agregan con varias entradas de datos, lo cual puede tardar más tiempo en mostrarse correctamente. Los datos pueden tardar hasta dos horas en agregarse completamente, pero normalmente este proceso es más rápido.

No, en general, los errores 90025 se resuelven mediante un reintento automático sin que el usuario note el error. Este error puede producirse cuando un subservicio interno de Microsoft Entra alcanza su asignación de reintentos y no indica que se está limitando el inquilino. Por lo general, Microsoft Entra ID resuelve estos errores de manera interna. Si el usuario no puede iniciar sesión debido a este error, volver a intentarlo manualmente debe resolver el problema.

Si el identificador de la entidad de servicio tiene el valor "0000000-0000-0000-0000-000000000000" no hay ninguna entidad de servicio para la aplicación cliente en esa instancia de autenticación. Microsoft Entra ya no emite tokens de acceso sin una entidad de servicio de cliente, excepto algunas aplicaciones de Microsoft y que no son de Microsoft.

Si el identificador de la entidad de servicio de recursos tiene el valor "0000000-0000-0000-0000-000000000000", no hay ninguna entidad de servicio para la aplicación de recursos en esa instancia de autenticación.

Este comportamiento solo se permite actualmente para un número limitado de aplicaciones de recursos.

Puede consultar instancias de autenticación sin una entidad de servicio de cliente o de recursos en el inquilino.

• Para buscar instancias de registros de inicio de sesión del inquilino en el que falta una entidad de servicio de cliente, use la consulta siguiente:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Para buscar instancias de registros de inicio de sesión del inquilino en el que falta una entidad de servicio de recursos, use la consulta siguiente:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

También puede encontrar estos registros de inicio de sesión en el centro de administración de Microsoft Entra.

• Inicie sesión en el centro de administración de Microsoft Entra.
• Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
• Seleccione Inicios de sesión de entidad de servicio.
• Seleccione un período de tiempo adecuado en el campo Fecha (últimas 24 horas, 7 días, etc.).
• Agregue un filtro y seleccione Id. de la entidad de servicio y proporcione el valor "00000000-0000-0000-0000-000000000000" para obtener instancias de autenticación sin entidades de servicio de cliente.

Si quiere controlar cómo funciona la autenticación en el inquilino para aplicaciones cliente o de recursos específicas, siga las instrucciones del artículo Restricción de la aplicación de Microsoft Entra a un conjunto de usuarios.

Algunos inicios de sesión no interactivos estaban disponibles antes de que los registros de inicio de sesión no interactivos estuvieran disponibles en versión preliminar pública. Estos inicios de sesión no interactivos se incluyeron en los registros de inicio de sesión interactivos y se mantuvieron en ellos después de que los registros no interactivos estuvieran disponibles. Los inicios de sesión que usan las claves FIDO2 son un ejemplo de inicios de sesión no interactivos que se muestran en los registros de inicio de sesión interactivos. Actualmente estos registros no interactivos siempre se incluyen en el registro de inicio de sesión interactivo.

Puede utilizar la API de detecciones de riesgo de Identity Protection para acceder a las detecciones de seguridad a través de Microsoft Graph. Esta API incluye filtrado avanzado y selección de campos, y normaliza las detecciones de riesgo en un tipo para facilitar la integración en SIEM y otras herramientas de recopilación de datos.

Puede solucionar los problemas de las directivas de acceso condicional mediante los registros de inicios de sesión. Revise el estado del acceso condicional y profundice en los detalles de las directivas que se aplican al inicio de sesión y al resultado de cada directiva.

Primeros pasos:

• Inicie sesión en el centro de administración de Microsoft Entra.
• Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
• Seleccione el inicio de sesión cuyos problemas desea solucionar.
• Seleccione la pestaña Acceso condicional para ver todas las directivas que han afectado al inicio de sesión y el resultado de cada directiva.

El estado Acceso condicional puede tener los siguientes valores:

• No se aplica: no había ninguna directiva de acceso condicional con el usuario y la aplicación en el ámbito.
• Correcto: había una directiva de acceso condicional con el usuario y la aplicación en el ámbito y las directivas de acceso condicional se cumplieron correctamente.
• Error: El inicio de sesión cumplió la condición de usuario y aplicación de al menos una directiva de acceso condicional, y los controles de concesión no se han cumplido o se han establecido para bloquear el acceso.

La directiva de acceso condicional puede ofrecer los siguientes resultados:

• Correcto: la directiva se cumplió correctamente.
• Error: no se cumplió la directiva.
• No se aplica: es posible que no se hayan cumplido las condiciones de directiva.
• Sin habilitar: la directiva puede estar en estado deshabilitado.

El nombre de la directiva del registro de inicios de sesión se basa en el nombre de la directiva de acceso condicional en el momento de inicio de sesión. Es posible que el nombre no sea coherente con el nombre de la directiva de acceso condicional si actualizó el nombre de la directiva después del inicio de sesión.

Actualmente, es posible que el informe de inicio de sesión muestre resultados que no son precisos para los escenarios de Exchange ActiveSync cuando se aplica el acceso condicional. Puede haber casos en los que el resultado del inicio de sesión del informe muestra un inicio de sesión correcto, pero en realidad se produjo un error debido a una directiva.

Consulte la referencia de API para ver cómo puede usar las API para acceder a informes de actividad. Este punto de conexión tiene dos informes (auditoría e inicios de sesión) que proporcionan todos los datos que obtuvo en el punto de conexión de la API anterior. Este nuevo punto de conexión también tiene un informe de inicios de sesión con la licencia de Microsoft Entra ID P1 o P2 que puede usar para obtener información del uso de aplicaciones y de dispositivos, y de inicio de sesión de usuarios.

Puede utilizar la API de detecciones de riesgo de Identity Protection para acceder a las detecciones de seguridad a través de Microsoft Graph. Este nuevo formato ofrece mayor flexibilidad en la forma en que se pueden consultar datos. El formato proporciona filtrado avanzado y selección de campos, y normaliza las detecciones de riesgo en un tipo para facilitar la integración en SIEM y otras herramientas de recopilación de datos. Dado que los datos están en un formato diferente, no puede sustituir una nueva consulta para las consultas anteriores. Sin embargo, la API nueva usa Microsoft Graph, el estándar de Microsoft para esas API, como Microsoft 365 o Microsoft Entra ID. Así, el trabajo necesario puede dilatar sus inversiones actuales en Microsoft Graph o ayudarle a comenzar la transición a esta nueva plataforma estándar.

Es posible que tenga que iniciar sesión en Microsoft Graph por separado desde el centro de administración de Microsoft Entra. Seleccione el icono de perfil en la esquina superior derecha e inicie sesión en el directorio correcto. Es posible que esté intentando ejecutar una consulta para la que no tiene permisos. Seleccione Modificar permisos y seleccione el botón Consentimiento. Siga las solicitudes de inicio de sesión.

Cada vez que se usa un token para llamar a un punto de conexión de Microsoft Graph, MicrosoftGraphActivityLogs se actualiza con esa llamada. Algunas de esas llamadas son de solo aplicación de primera entidad, que no se publican en los registros de inicio de sesión de la entidad de servicio. Cuando en MicrosoftGraphActivityLogs se muestra una instancia de uniqueTokenIdentifier que no se puede encontrar en los registros de inicio de sesión, el identificador del token hace referencia a un token de solo aplicación de primera entidad.

Si el servicio detecta la actividad relacionada con esa recomendación para algo marcado como "completado", cambia automáticamente a "activo".