Uso de registros de auditoría para realizar un seguimiento y supervisar eventos en Microsoft Intune
En Microsoft Intune, hay registros de auditoría que incluyen un registro de actividades que generan un cambio. Por ejemplo, las acciones create, update (edit), delete, assign y remote crean eventos de auditoría.
Los administradores pueden revisar los registros de auditoría para realizar un seguimiento y supervisar los eventos de la mayoría de las cargas de trabajo de Intune. La auditoría está habilitada para todos los clientes. No se puede deshabilitar.
¿Quién puede tener acceso a los datos?
Los usuarios con los siguientes permisos pueden revisar los registros de auditoría:
- Rol Microsoft Entra de administrador de Intune
- Administradores asignados a un rol de Intune con permisos delecturade datos - de auditoría. Para obtener una lista de roles integrados de Intune que tienen este permiso, vaya a Permisos de rol integrados para Microsoft Intune.
Visualización de los registros de auditoría
Puede revisar los registros de auditoría en el grupo de supervisión de cada carga de trabajo de Intune, como el cumplimiento o el acceso condicional.
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Administración de inquilinos>Registros de auditoría.
Se muestra una lista de los registros. Seleccione un registro de la lista para ver los detalles de la actividad.
Si hay muchos registros, puede:
Seleccione Fecha y escriba una fecha de inicio y finalización. Este intervalo de fechas puede mostrar los registros del mes, la semana o el día anteriores.
Seleccione Agregar categoría de filtros>. Seleccione una categoría de la lista, como Cumplimiento, Dispositivo o Rol. A continuación, seleccione Aplicar.
Seleccione Agregar actividad de filtros>. Las opciones disponibles dependen de la categoría que seleccione. A continuación, seleccione Aplicar.
Por ejemplo, si selecciona la categoría Cumplimiento , las opciones de filtro de actividad tienen un aspecto similar a la siguiente imagen:
Para obtener información relacionada sobre los registros de auditoría, vaya a:
- Procesamiento y almacenamiento de datos en Intune
- Uso de registros de auditoría en Intune
- Auditoría, exportación o eliminación de datos personales en Intune
Enrutamiento de registros a Azure Monitor
Los registros de auditoría y los registros operativos también se pueden enrutar a Azure Monitor. En el Centro de administración de Intune, seleccione Administración> deinquilinos Registros> de auditoríaExportar:
Al exportar, se crea un .csv archivo y se guarda localmente, posiblemente en C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.
Al examinar el .csv archivo:
Iniciado por (actor) incluye información sobre quién ejecutó la tarea y dónde se ejecutó.
Por ejemplo, si ejecuta la actividad en Intune en Azure Portal, La aplicación siempre muestra la extensión del portal de Microsoft Intune y el identificador de aplicación siempre usa el mismo GUID.
En la sección Destinos se enumeran varios destinos y las propiedades que se han cambiado.
Para obtener más información sobre esta característica, incluidos los requisitos previos, vaya a enviar datos de registro al almacenamiento, event hubs o log analytics.
Uso de Graph API para recuperar eventos de auditoría
También puede usar Graph API para obtener un año de eventos de auditoría. Para obtener más información, vaya a Enumerar auditEvents.