Prueba de las directivas de acceso condicional y solución de problemas relacionados

El marco de acceso condicional proporciona una gran flexibilidad de configuración. Sin embargo, una gran flexibilidad también implica revisar cuidadosamente cada directiva de configuración antes de liberarla para evitar resultados no deseados. En este contexto, debe prestar especial atención a las asignaciones que afectan a conjuntos completos, como todos los usuarios / grupos / aplicaciones en la nube.

Las organizaciones deberían evitar las siguientes configuraciones:

Para todos los usuarios, todas las aplicaciones en la nube:

• Bloquear acceso: esta configuración bloquea toda la organización.
• Requerir dispositivo unido a Microsoft Entra híbrido: esta directiva de bloqueo de acceso también ofrece la posibilidad de bloquear el acceso a todos los usuarios de su organización si no tiene un dispositivo unido a Microsoft Entra híbrido.
  
• Requerir directiva de protección de aplicaciones: esta directiva de bloqueo de acceso también ofrece la posibilidad de bloquear el acceso a todos los usuarios de su organización si no tiene una directiva de Intune. Si es un administrador sin una aplicación cliente que tenga una directiva de protección de aplicaciones de Intune, esta directiva le impedirá acceder a portales como el de Intune o el de Azure.

Para todos los usuarios, todas las aplicaciones en la nube, todas las plataformas de dispositivos:

• Bloquear acceso: esta configuración bloquea toda la organización.

Interrupción de inicio de sesión del acceso condicional

El primer método consiste en revisar el mensaje de error que aparece. En el caso de los problemas de inicio de sesión al usar un explorador web, la página de error en sí contiene información detallada. Esta información solo describe cuál es el problema y sugiere una solución.

En el error anterior, el mensaje indica que solo se puede obtener acceso a la aplicación desde dispositivos o aplicaciones cliente que cumplan la directiva de administración de dispositivos móviles de la empresa. En este caso, la aplicación y el dispositivo no cumplen la directiva.

Eventos de inicio de sesión de Microsoft Entra

El segundo método para obtener información detallada sobre la interrupción del inicio de sesión consiste en revisar los eventos de inicio de sesión de Microsoft Entra para ver qué directivas de acceso condicional se han aplicado y por qué.

Para obtener más información sobre el problema, haga clic en Más detalles en la página inicial del error. Al hacer clic en Más detalles, se mostrará información de resolución de problemas que resulta útil al buscar en los eventos de inicio de sesión de Azure AD el evento de error concreto que ha visto el usuario o al abrir un incidente de soporte técnico con Microsoft.

Para averiguar qué directiva o directivas de acceso condicional se han aplicado y por qué, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de seguridad o lector global.

2. Vaya a Identidad: supervisión y estado y, después, Inicios de sesión.

3. Busque el evento del inicio de sesión que se va a revisar. Agregue o quite filtros y columnas para filtrar la información innecesaria.

   1. Agregue filtros para limitar el ámbito:

      1. Id. de correlación si tiene un evento específico para investigar.

      2. Acceso condicional para ver el fallo y éxito de la política. Defina el ámbito del filtro para mostrar solo los errores a fin de limitar los resultados.

      3. Nombre de usuario para ver información relacionada con usuarios específicos.

      4. Fecha con el ámbito definido para el período de tiempo en cuestión.

         

4. Una vez que se haya encontrado el evento de inicio de sesión que corresponde al error de inicio de sesión del usuario, seleccione la pestaña Acceso condicional, donde se mostrará la directiva o directivas específicas que han provocado la interrupción del inicio de sesión.

   1. La información de la pestaña Solución de problemas y soporte técnico proporciona un motivo claro de la causa del error de inicio de sesión, como, por ejemplo, un dispositivo que no cumple los requisitos de cumplimiento.
   2. Para seguir investigando, explore en profundidad la configuración de las directivas haciendo clic en el nombre de la directiva. Al hacer clic en el nombre de la directiva se mostrará la interfaz de usuario de configuración de la directiva seleccionada para revisarla y editarla.
   3. El usuario de cliente y los detalles del dispositivo usados para la evaluación de la directiva de acceso condicional también están disponibles en las pestañas Información básica, Ubicación, Información del dispositivo, Detalles de autenticación y Detalles adicionales del evento de inicio de sesión.

Detalles de la directiva

Al seleccionar los puntos suspensivos situados a la derecha de la directiva en un evento de inicio de sesión, se muestran los detalles de la directiva. Esto ofrece a los administradores información adicional sobre si una directiva se aplicó correctamente o no.

En el lado izquierdo se proporcionan los detalles recopilados en el inicio de sesión y en el lado derecho se detalla si cumplen los requisitos de las directivas de acceso condicional aplicadas. Las directivas de acceso condicional solo se aplican cuando se cumplen todas las condiciones o no se han configurado.

Si la información del evento no es suficiente para comprender los resultados de inicio de sesión o para ajustar la directiva a fin de obtener los resultados deseados, se puede abrir un incidente de soporte técnico. Vaya a la pestaña Solución de problemas y soporte técnico de ese evento de inicio de sesión y seleccione Crear una solicitud de soporte técnico.

Al enviar el incidente, proporcione el ID de solicitud, así como la hora y la fecha del evento de inicio de sesión en los detalles de envío del incidente. Esta información permitirá al servicio de soporte técnico de Microsoft encontrar el evento que le preocupa.