Informes de actividad de inicio de sesión en el portal de Azure Active DirectorySign-in activity reports in the Azure Active Directory portal

La arquitectura de los informes de Azure Active Directory (Azure AD) consta de los siguientes componentes:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • ActividadActivity
    • Inicios de sesión : información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Registros de auditoría - : losregistros de auditoría proporcionan información de la actividad del sistema sobre la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio.Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
    • Los registros de aprovisionamiento - Registros de aprovisionamiento permiten a los clientes supervisar la actividad del servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado desde Workday.Provisioning logs - Provisioning logs allow customers to monitor activity by the provisioning service, such as the creation of a group in ServiceNow or a user imported from Workday.
  • SeguridadSecurity
    • Inicios de sesión de riesgo : un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión de alguien que no es el propietario legítimo de una cuenta de usuario.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • Usuarios marcados en riesgo : un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

En este artículo se ofrece una visión general del reporte de inicios de sesión.This article gives you an overview of the sign-ins report.

PrerrequisitosPrerequisites

¿Quién puede acceder a los datos?Who can access the data?

  • Usuarios de los roles Administrador de seguridad, Lector de seguridad, Lector global y Lector de informesUsers in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • Administradores globalesGlobal Administrators
  • Cualquier usuario (no administradores) puede acceder a sus propios inicios de sesiónAny user (non-admins) can access their own sign-ins

¿Qué licencia de Azure AD se necesita para acceder a la actividad de inicio de sesión?What Azure AD license do you need to access sign-in activity?

El informe de actividad de inicio de sesión está disponible en todas las ediciones de Azure AD y también se puede acceder a ella mediante Microsoft Graph API.The sign-in activity report is available in all editions of Azure AD and can also be accessed through the Microsoft Graph API.

Informe de inicios de sesiónSign-ins report

El informe de inicios de sesión de usuario proporciona respuestas a las preguntas siguientes:The user sign-ins report provides answers to the following questions:

  • ¿Cuál es el patrón de inicio de sesión de un usuario?What is the sign-in pattern of a user?
  • ¿Cuántos usuarios han iniciado sesión en una semana?How many users have signed in over a week?
  • ¿Cuál es el estado de estos inicios de sesión?What’s the status of these sign-ins?

En el menú de Azure Portal, seleccione Azure Active Directory o busque y seleccione Azure Active Directory desde cualquier página.On the Azure portal menu, select Azure Active Directory , or search for and select Azure Active Directory from any page.

Seleccionar Azure Active DirectorySelect Azure Active Directory

En Supervisión , seleccione Inicios de sesión para abrir el informe de inicios de sesión.Under Monitoring , select Sign-ins to open the Sign-ins report.

Captura de pantalla que muestra los inicios de sesión seleccionados desde el menú Supervisión.Screenshot shows Sign-ins selected from the Monitoring menu.

Algunos registros de inicio de sesión pueden tardar hasta dos horas antes de aparecer en el portal.It may take up to two hours for some sign-in records to show up in the portal.

Importante

El informe de inicios de sesión solo muestra los inicios de sesión interactivos , es decir, los inicios de sesión donde un usuario inicia sesión manualmente con su nombre de usuario y contraseña.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. Los inicios de sesión no interactivos, como la autenticación de servicio a servicio, no se muestran en el informe de inicios de sesión.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

Un registro de inicios de sesión tiene una vista de lista predeterminada que muestra:A sign-ins log has a default list view that shows:

  • La fecha de inicio de sesiónThe sign-in date
  • El usuario relacionadoThe related user
  • La aplicación en la que el usuario ha iniciado sesiónThe application the user has signed in to
  • El estado de inicio de sesiónThe sign-in status
  • El estado de la detección de riesgosThe status of the risk detection
  • El estado del requisito de la autenticación multifactor (MFA)The status of the multi-factor authentication (MFA) requirement

Captura de pantalla que muestra los inicios de Office 365 SharePoint Online.Screenshot shows the Office 365 SharePoint Online Sign-ins.

Puede personalizar la vista de lista, haga clic en Columnas en la barra de herramientas.You can customize the list view by clicking Columns in the toolbar.

Captura de pantalla que muestra la opción Columnas en la página Inicios de sesión.Screenshot shows the Columns option in the Sign-ins page.

En el cuadro de diálogo Columnas se proporciona acceso a los atributos seleccionables.The Columns dialog gives you access to the selectable attributes. En un informe de inicio de sesión, no puede tener campos que tengan más de un valor para una solicitud de inicio de sesión determinada como columna.In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. Esto es así, por ejemplo, para los detalles de autenticación, los datos de acceso condicional y la ubicación de red.This is, for example, true for authentication details, conditional access data and network location.

Captura de pantalla que muestra el cuadro de diálogo Columnas, donde puede seleccionar atributos.Screenshot shows the Columns dialog box where you can select attributes.

Seleccione un elemento de la vista de lista para obtener información más detallada.Select an item in the list view to get more detailed information.

Captura de pantalla que muestra una vista de información detallada.Screenshot shows a detailed information view.

Nota

Los clientes ahora pueden solucionar problemas de directivas de acceso condicional con todos los informes de inicios de sesión.Customers can now troubleshoot Conditional Access policies through all sign-in reports. Al hacer clic en la pestaña Acceso condicional de un registro de inicio de sesión, los clientes pueden revisar el estado de acceso condicional y profundizar en los detalles de las directivas que se aplican al inicio de sesión y del resultado de cada directiva.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. Para más información, vea las preguntas más frecuentes sobre la información de acceso condicional en todos los inicios de sesión.For more information, see the Frequently asked questions about CA information in all sign-ins.

Filtrado de las actividades de inicio de sesiónFilter sign-in activities

En primer lugar, limite los datos informados a un nivel que le resulte más adecuado.First, narrowing down the reported data to a level that works for you. En segundo lugar, filtre los datos de inicios de sesión mediante el campo de fecha como filtro predeterminado.Second, filter sign-ins data using date field as default filter. Azure AD proporciona una amplia variedad de filtros adicionales que puede establecer:Azure AD provides you with a broad range of additional filters you can set:

Captura de pantalla que muestra la opción Agregar filtros.Screenshot shows the Add filters option.

Identificador de solicitud : el identificador de la solicitud que le interesa.Request ID - The ID of the request you care about.

Usuario : el nombre o el nombre principal de usuario (UPN) del usuario que le interesa.User - The name or the user principal name (UPN) of the user you care about.

Aplicación : el nombre de la aplicación de destino.Application - The name of the target application.

Estado : el estado de inicio de sesión que le interesa:Status - The sign-in status you care about:

  • CorrectoSuccess

  • ErrorFailure

  • InterrumpidoInterrupted

Dirección IP : la dirección IP del dispositivo que se utiliza para conectarse al inquilino.IP address - The IP address of the device used to connect to your tenant.

Ubicación : la ubicación desde la que se inició la conexión:The Location - The location the connection was initiated from:

  • CityCity

  • Estado/provinciaState / Province

  • País/regiónCountry/Region

Recurso : el nombre del servicio que se usa para el inicio de sesión.Resource - The name of the service used for the sign-in.

Identificador de recurso : el identificador del servicio que se utiliza para el inicio de sesión.Resource ID - The ID of the service used for the sign-in.

Aplicación cliente : el tipo de aplicación cliente que se usa para conectarse al inquilino:Client app - The type of the client app used to connect to your tenant:

Filtro de aplicación cliente

NombreName Autenticación modernaModern authentication DescripciónDescription
SMTP autenticadoAuthenticated SMTP Utilizado por clientes POP e IMAP para enviar mensajes de correo electrónico.Used by POP and IMAP client's to send email messages.
Detección automáticaAutodiscover Usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
Exchange ActiveSyncExchange ActiveSync Este filtro muestra todos los intentos de inicio de sesión en los que se ha intentado el protocolo EAS.This filter shows all sign-in attempts where the EAS protocol has been attempted.
BrowserBrowser Marca de verificación azul. Muestra todos los intentos de inicio de sesión de los usuarios mediante exploradores web.Shows all sign-in attempts from users using web browsers
Exchange ActiveSyncExchange ActiveSync Muestra todos los intentos de inicio de sesión de los usuarios con aplicaciones cliente que usan Exchange ActiveSync para conectarse a Exchange Online.Shows all sign-in attempts from users with client apps using Exchange ActiveSync to connect to Exchange Online
PowerShell de Exchange OnlineExchange Online PowerShell Se usa para conectarse a Exchange Online con PowerShell remoto.Used to connect to Exchange Online with remote PowerShell. Si bloquea la autenticación básica para PowerShell de Exchange Online, debe usar el módulo de PowerShell de Exchange Online para conectarse.If you block basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell module to connect. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
Servicios web de ExchangeExchange Web Services Una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones de terceros.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
IMAP4IMAP4 Un cliente de correo heredado que utiliza IMAP para recuperar el correo electrónico.A legacy mail client using IMAP to retrieve email.
MAPI sobre HTTPMAPI over HTTP Utilizado por Outlook 2010 y versiones posteriores.Used by Outlook 2010 and later.
Aplicaciones móviles y aplicaciones de escritorioMobile apps and desktop clients Marca de verificación azul. Muestra todos los intentos de inicio de sesión de los usuarios que usan aplicaciones móviles y clientes de escritorio.Shows all sign-in attempts from users using mobile apps and desktop clients.
Libreta de direcciones sin conexiónOffline Address Book Una copia de las colecciones de listas de direcciones que Outlook descarga y usa.A copy of address list collections that are downloaded and used by Outlook.
Outlook en cualquier lugar (RPC sobre HTTP)Outlook Anywhere (RPC over HTTP) Utilizado por Outlook 2016 y versiones anteriores.Used by Outlook 2016 and earlier.
Servicio OutlookOutlook Service Usado por la aplicación de correo electrónico y calendario de Windows 10.Used by the Mail and Calendar app for Windows 10.
POP3POP3 Un cliente de correo heredado que utiliza POP3 para recuperar el correo electrónico.A legacy mail client using POP3 to retrieve email.
Servicios web de creación de informesReporting Web Services Se usan para recuperar datos de informes en Exchange Online.Used to retrieve report data in Exchange Online.
Otros clientesOther clients Muestra todos los intentos de inicio de sesión de los usuarios en los que la aplicación cliente no está incluida o es desconocida.Shows all sign-in attempts from users where the client app is not included or unknown.

Sistema operativo : el sistema operativo que se ejecuta en el dispositivo utilizado para iniciar sesión en el inquilino.Operating system - The operating system running on the device used sign-on to your tenant.

Explorador de dispositivos : si la conexión se inició desde un explorador, este campo le permite filtrar por nombre de explorador.Device browser - If the connection was initiated from a browser, this field enables you to filter by browser name.

Id. de correlación : el identificador de correlación de la actividad.Correlation ID - The correlation ID of the activity.

Acceso condicional : el estado de las reglas de acceso condicional aplicadasConditional access - The status of the applied conditional access rules

  • No aplicado : No se aplica ninguna directiva al usuario y a la aplicación durante el inicio de sesión.Not applied : No policy applied to the user and application during sign-in.

  • Correcto : Una o varias directivas de acceso condicional aplicadas al usuario y a la aplicación (pero no necesariamente a las demás condiciones) durante el inicio de sesión.Success : One or more conditional access policies applied to the user and application (but not necessarily the other conditions) during sign-in.

  • Error : El inicio de sesión cumplió la condición de usuario y aplicación de al menos una directiva de acceso condicional, y los controles de concesión no se han cumplido o se han establecido para bloquear el acceso.Failure : The sign-in satisfied the user and application condition of at least one Conditional Access policy and grant controls are either not satisfied or set to block access.

Descarga de actividades de inicio de sesiónDownload sign-in activities

Haga clic en Descargar para crear un archivo CSV o JSON de los 250 000 registros más recientes.Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Empiece por descargar los datos de inicios de sesión si quiere trabajar con ellos fuera de Azure Portal.Start with download the sign-ins data if you want to work with it outside the Azure portal.

DescargarDownload

Importante

El número de registros que se puede descargar también está restringido por las directivas de retención de informes de Azure Active Directory.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Accesos directos a los datos de inicios de sesiónSign-ins data shortcuts

Tanto Azure AD como Azure Portal proporcionan puntos de entrada adicionales para los datos de inicios de sesión:Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • Información general sobre la protección de la seguridad de la identidadThe Identity security protection overview
  • UsuariosUsers
  • GruposGroups
  • Aplicaciones empresarialesEnterprise applications

Datos de inicio de sesión de usuarios en la protección de la identidad de la seguridadUsers sign-ins data in Identity security protection

El gráfico de inicio de sesión de usuario en la página de información general de la protección de la seguridad de identidad muestra agregaciones semanales de inicios de sesión. El valor predeterminado para el período es 30 días.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

Captura de pantalla que muestra un gráfico de los inicios de sesión de un mes.Screenshot shows a graph of Sign-ins over a month.

Al hacer clic en un día del gráfico de inicio de sesión, obtiene una vista general de las actividades de inicio de sesión de ese día.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

Cada fila de la lista de actividades de inicio de sesión muestra:Each row in the sign-in activities list shows:

  • ¿Quién ha iniciado sesión?Who has signed in?
  • ¿Qué aplicación era el destino del inicio de sesión?What application was the target of the sign-in?
  • ¿Cuál es el estado del inicio de sesión?What is the status of the sign-in?
  • ¿Cuál es el estado de MFA del inicio de sesión?What is the MFA status of the sign-in?

Si hace clic en un elemento, obtendrá más detalles sobre la operación de inicio de sesión:By clicking an item, you get more details about the sign-in operation:

  • Id. de usuarioUser ID
  • UsuarioUser
  • Nombre de usuarioUsername
  • Identificador de aplicaciónApplication ID
  • ApplicationApplication
  • RemotoClient
  • LocationLocation
  • Dirección IPIP address
  • DateDate
  • Se requiere MFAMFA Required
  • Estado de inicio de sesiónSign-in status

Nota

Las direcciones IP se emiten de forma que no haya ninguna conexión definitiva entre una dirección IP y donde se encuentre físicamente el equipo con esa dirección.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. La asignación de direcciones IP se complica por el hecho de que los proveedores de dispositivos móviles y las VPN emiten direcciones IP desde grupos centrales que, a menudo, están muy lejos de donde el dispositivo cliente se usa realmente.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. Actualmente, la conversión de la dirección IP en una ubicación física en los informes de Azure AD es un esfuerzo notable basado en seguimientos, datos del Registro, búsquedas inversas y otra información.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

En la página Usuarios , puede obtener una vista general completa de todos los inicios de sesión del usuario haciendo clic en Inicios de sesión en la sección Actividad.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

Captura de pantalla que muestra la sección Actividad, donde puede seleccionar Inicios de sesión.Screenshot shows the Activity section where you can select Sign-ins.

Uso de las aplicaciones administradasUsage of managed applications

Con una vista centrada en la aplicación de los datos de inicio de sesión, puede responder a preguntas tales como:With an application-centric view of your sign-in data, you can answer questions such as:

  • ¿Quién está usando mis aplicaciones?Who is using my applications?
  • ¿Cuáles son las tres aplicaciones principales en su organización?What are the top three applications in your organization?
  • ¿Cómo es el rendimiento de la aplicación más reciente?How is my newest application doing?

El punto de entrada a estos datos son las tres aplicaciones principales de su organización.The entry point to this data is the top three applications in your organization. Los datos se incluyen en el informe de los últimos 30 días en la sección Información general en Aplicaciones empresariales.The data is contained within the last 30 days report in the Overview section under Enterprise applications.

Captura de pantalla que muestra dónde puede seleccionar Información general.Screenshot shows where you can select Overview.

Agregaciones semanales de los gráficos de uso de la aplicación de inicios de sesión para las tres aplicaciones principales en un período determinado.The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. El valor predeterminado para el período es 30 días.The default for the time period is 30 days.

Captura de pantalla que muestra el uso de la aplicación durante un período de un mes.Screenshot shows the App usage for a one month period.

Si lo desea, puede establecer el foco en una aplicación específica.If you want to, you can set the focus on a specific application.

ReportingReporting

Al hacer clic en un día del gráfico de uso de la aplicación, obtendrá una lista detallada de las actividades de inicio de sesión.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

La opción Inicios de sesión ofrece una descripción completa de todos los eventos de inicio de sesión para sus aplicaciones.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Registros de actividad de Microsoft 365Microsoft 365 activity logs

Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365.You can view Microsoft 365 activity logs from the Microsoft 365 admin center. Tenga en cuenta que la actividad de Microsoft 365 y los registros de actividad de Azure AD comparten una cantidad significativa de los recursos del directorio.Consider the point that, Microsoft 365 activity and Azure AD activity logs share a significant number of the directory resources. Solo el centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.Only the Microsoft 365 admin center provides a full view of the Microsoft 365 activity logs.

También puede tener acceso a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.You can also access the Microsoft 365 activity logs programmatically by using the Office 365 Management APIs.

Pasos siguientesNext steps