Actividades del registro de auditoría
En las tablas de este artículo se describen las actividades auditadas en Microsoft 365. Para buscar estas actividades, busque el registro de auditoría en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview.
En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico. Las tablas incluyen el nombre descriptivo que se muestra en la lista desplegable Actividades (o que están disponibles en PowerShell) y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda. Para obtener descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoría.
Sugerencia
Seleccione uno de los vínculos de la lista En este artículo en la parte superior de este artículo para ir directamente a una tabla de productos específica.
Actividades de administración de aplicaciones
En la tabla siguiente se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación registrada en Microsoft Entra ID. Cualquier aplicación que se base en Microsoft Entra ID para la autenticación debe registrarse en el directorio.
Nota:
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( .
). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" "
) que contengan el nombre de la operación.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Entrada de delegación agregada | Agregar entrada de delegación. | Se ha creado o concedido un permiso de autenticación a una aplicación en Microsoft Entra ID. |
Servicio principal agregado | Agregar entidad de servicio. | Se registró una aplicación en Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio. |
Credenciales agregadas a una entidad de servicio | Agregar credenciales de entidad de servicio. | Las credenciales se agregaron a una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio. |
Entrada de delegación removida | Quitar entrada de delegación. | Se quitó un permiso de autenticación de una aplicación en Microsoft Entra ID. |
Entidad de servicio removida del directorio | Quitar entidad de servicio. | Se ha eliminado o anulado el registro de una aplicación de Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio. |
Credenciales removidas de un servicio principal | Quitar credenciales de entidad de servicio. | Las credenciales se quitaron de una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio. |
Establecer entrada de delegación | Establecer entrada de delegación. | Se actualizó un permiso de autenticación para una aplicación en Microsoft Entra ID. |
Actividades de correo de informe de tareas pendientes
En la tabla siguiente se enumeran las actividades del correo electrónico de briefing que se registran en el registro de auditoría de Microsoft 365. Para obtener más información acerca del correo de informe de tareas pendientes, consulte:
- Información general sobre el correo de informe de tareas pendientes
- Configurar el correo de informe de tareas pendientes
Nombre descriptivo | Operación | Descripción |
---|---|---|
Configuración actualizada de privacidad de la organización | UpdatedOrganizationBriefingSettings | El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes. |
Configuración actualizada de privacidad del usuario | UpdatedUserBriefingSettings | Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes. |
Actividades del cumplimiento de comunicaciones
En la tabla siguiente se enumeran las actividades de cumplimiento de comunicaciones que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Más información sobre Cumplimiento de comunicaciones de Microsoft Purview.
Nota:
Estas actividades están disponibles cuando se usa el cmdlet de PowerShell Search-UnifiedAuditLog . Estas actividades no están disponibles en la lista desplegable Actividades .
Nombre descriptivo | Operación | Descripción |
---|---|---|
Actualización de directiva | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Un administrador de cumplimiento de comunicaciones ha realizado una actualización de directiva. |
Coincidencia de directiva | SupervisionRuleMatch | Un usuario ha enviado un mensaje que coincide con la condición de una directiva. |
Etiqueta aplicada a los mensajes | SupervisoryReviewTag | Las etiquetas se aplican a los mensajes o se resuelven los mensajes. |
Actividades del Administrador de cumplimiento
En la tabla siguiente se enumeran las operaciones y actividades que se registran cuando un administrador administra la configuración en el Administrador de cumplimiento. Para obtener más información, consulte Información sobre el Administrador de cumplimiento.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Cambio de roles | ComplianceManagerRolesChange | Un administrador cambió los roles de los usuarios. |
Cambio de nivel de automatización de inquilinos | ComplianceManagerAutomationLevelChange | Un administrador cambió el nivel de automatización del inquilino en todas las acciones. |
Prueba del cambio de automatización del origen | ComplianceManagerAutomationChange | Un administrador cambió la configuración de automatización del origen de prueba. |
Actividades del explorador de contenido
En la tabla siguiente, se enumeran las actividades del explorador de contenido que se registran en el registro de auditoría. Explorador de contenido, al que se accede en la herramienta Clasificaciones de datos en el portal de Microsoft Purview y en el portal de cumplimiento. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Archivo al que se ha accedido | LabelContentExplorerAccessedItem | Un administrador (o un usuario que sea miembro del grupo de roles de Visor de contenido del explorador de contenido) usa el explorador de contenido para ver un mensaje de correo electrónico o un documento de OneDrive o SharePoint. |
Actividades de Copilot
En la tabla siguiente se enumeran las actividades de Microsoft 365 Copilot y Microsoft Copilot que se registran en el registro de auditoría. Se puede acceder a Copilot en todos los servicios de Microsoft. Las actividades incluyen cómo y cuándo interactúan los usuarios con Copilot. Esto incluye el servicio de Microsoft donde tuvo lugar la actividad y las referencias a los archivos a los que se accede durante la interacción. Para obtener más información sobre los eventos de interacción de Copilot y un ejemplo de esquema, consulte Introducción a los eventos de interacción de Copilot.
Para acceder al texto desde el símbolo del sistema del usuario durante la interacción, consulte Búsqueda de contenido o vea el evento de interacción de IA desde el explorador de actividad en Microsoft Purview Centro de IA.
Para obtener más información sobre la auditoría y otras opciones de administración de cumplimiento para Copilot, consulte Microsoft Purview admite la administración de cumplimiento para Copilot.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Creación de un nuevo complemento de Copilot | CreateCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha creado un nuevo complemento de Copilot. |
Creación de una nueva libreta de mensajes de Copilot | CreateCopilotPromptBook | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo promptbook en Copilot. |
Se ha eliminado un complemento de Copilot | DeleteCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un complemento de Copilot. |
Eliminación de una libreta de mensajes de Copilot | DeleteCopilotPromptBook | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un promptbook de Copilot. |
Deshabilitación de un complemento de Copilot | DisableCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado un complemento copilot. |
Deshabilitado un promptbook de Copilot | DisableCopilotPromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado una libreta de mensajes de Copilot. |
Habilitado un complemento de Copilot | EnableCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado un complemento de Copilot. |
Habilitado un promptbook de Copilot | EnableCopilotPromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado una libreta de mensajes de Copilot. |
Interacción con Copilot | CopilotInteraction | Un usuario (o administrador o sistema en nombre de un usuario) escribió mensajes en Copilot. |
Se ha actualizado una configuración del complemento Copilot | UpdateCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de complemento de Copilot. |
Se ha actualizado una configuración de la libreta de mensajes de Copilot. | UpdateCopilotPromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de la libreta de mensajes de Copilot. |
Se ha actualizado una configuración de Copilot | UpdateCopilotSettings | Un administrador (o sistema en nombre de un administrador) ha actualizado una configuración de Copilot. |
Actividades de administración de directorios
En la tabla siguiente se enumeran Microsoft Entra directorio y actividades relacionadas con el dominio que se registran cuando un administrador administra su organización en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota:
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( .
). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" "
) que contengan el nombre de la operación.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Dominio agregado a la empresa | Agregar dominio a la empresa. | Se ha agregado un dominio a la organización. |
Se ha agregado un socio al directorio | Agregar asociado a la empresa. | Se ha agregado un socio (administrador delegado) a la organización. |
Dominio removido de la empresa | Quitar dominio de la empresa. | Se ha quitado un dominio de la organización. |
Se ha removido un socio del directorio | Quitar asociado de la empresa. | Se ha quitado un socio (administrador delegado) de la organización. |
Establecer información de la organización | Establecer la información de la empresa. | Se ha actualizado la información de empresa de la organización. Incluye direcciones de correo electrónico para el correo electrónico relacionado con la suscripción enviado por Microsoft 365 y notificaciones técnicas sobre los servicios de Microsoft 365. |
Establecer autenticación de dominio | Establecer autenticación de dominio. | Se ha cambiado la configuración de la autenticación de dominio de la organización. |
Se ha actualizado la configuración de federación para un dominio | Establecer la configuración de federación en un dominio. | Se ha cambiado la configuración de federación (uso compartido externo) de la organización. |
Establecer normativas de contraseña | Establecer la directiva de contraseña. | Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización. |
Activado Sincronización de Azure AD | Establecer la marca DirSyncEnabled. | Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD. |
Dominio actualizado | Actualizar dominio. | Se ha actualizado la configuración de un dominio en la organización. |
Dominio comprobado | Comprobar dominio. | Se ha comprobado que su organización es la propietaria de un dominio. |
Se ha comprobado el dominio comprobado por correo electrónico | Verificar el dominio comprobado por correo electrónico. | Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio. |
Actividades de revisión para eliminación
En la tabla siguiente se enumeran las actividades que un revisor de eliminación tomó cuando un elemento alcanzó el final de su período de retención configurado, o un elemento se movió automáticamente a la siguiente fase de eliminación o se eliminó permanentemente como resultado de la aplicación automática.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Eliminación aprobada | ApproveDisposal | Para la aprobación manual: un revisor de disposición aprobó la eliminación del elemento para moverlo a la siguiente fase de eliminación. Si el elemento estaba en fase única o final de la revisión de eliminación, la aprobación para eliminación marcó el elemento como apto para su eliminación permanente. Para la aplicación automática: no se realizó ninguna acción manual dentro del período de tiempo de autoaplicación configurado, por lo que el elemento se movió automáticamente a la siguiente fase de eliminación. Si el elemento estaba en la única o última fase de la revisión de eliminación, el elemento se convirtió automáticamente en apto para su eliminación permanente. |
Período de retención extendido | ExtendRetention | Un revisor de disposición extendió el período de retención del elemento. |
Elemento etiquetado de nuevo | RelabelItem | Un revisor de eliminación reetiquetó la etiqueta de retención. |
Revisores agregados | AddReviewer | Un revisor de eliminación agregó uno o más usuarios a la fase actual de la revisión para eliminación. |
Actividades de eDiscovery
Actividades relacionadas con la búsqueda de contenido y eDiscovery (para Microsoft Purview eDiscovery (estándar) y Microsoft Purview eDiscovery (Premium)) que se realizan en el portal de Microsoft Purview, el portal de cumplimiento Microsoft Purview, o mediante la ejecución de los cmdlets de PowerShell correspondientes, se registran en el registro de auditoría. Los eventos se registran cuando los administradores o administradores de eDiscovery (o los permisos de exhibición de documentos electrónicos asignados por el usuario) realizan las siguientes tareas de búsqueda de contenido y exhibición de contenido (estándar) en los portales:
- Crear y administrar casos de exhibición de documentos electrónicos (estándar) y exhibición de documentos electrónicos (Premium).
- Creación, inicio y edición de búsquedas de contenido.
- Realizar acciones de búsqueda, como obtener una vista previa, exportar y eliminar resultados de búsqueda.
- Administración de custodios y conjuntos de revisión en eDiscovery (Premium).
- Configuración del filtrado de permisos para la búsqueda de contenido.
- Administración del rol administrador de eDiscovery.
Para obtener más información sobre cómo buscar en el registro de auditoría, los permisos necesarios y exportar los resultados de búsqueda, consulte Búsqueda en el registro de auditoría.
Nota:
Las actividades resultantes de las actividades enumeradas en las actividades de exhibición de documentos electrónicos y las actividades de exhibición de documentos electrónicos (Premium) de la lista desplegable Actividades tardan hasta 30 minutos en mostrarse en los resultados de la búsqueda. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.
Actividades de búsqueda de contenido y exhibición de documentos electrónicos (estándar)
En la tabla siguiente se describen las actividades búsqueda de contenido y exhibición de documentos electrónicos (estándar) que se registran cuando un administrador o administrador de eDiscovery realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento. Algunas actividades realizadas en eDiscovery (Premium) pueden devolverse al buscar actividades en esta lista.
Nota:
Las actividades de eDiscovery descritas en esta sección proporcionan información similar a las actividades de cmdlet de eDiscovery descritas en la sección siguiente. Se recomienda usar las actividades de exhibición de documentos electrónicos que se describen en esta sección, ya que aparecerán en los resultados de la búsqueda del registro de auditoría en un plazo de 30 minutos. Las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de la búsqueda de registros de auditoría.
Nombre descriptivo | Operación | Cmdlet correspondiente | Descripción |
---|---|---|---|
Se ha agregado un miembro al caso de eDiscovery |
CaseMemberAdded |
Add-ComplianceCaseMember |
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios. |
Búsqueda de contenido modificada |
SearchUpdated |
Set-ComplianceSearch |
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido o la edición de la consulta de búsqueda. |
Se ha cambiado la pertenencia al administrador de eDiscovery |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación CaseAdminAdded. |
Se ha cambiado el caso de eDiscovery |
CaseUpdated |
Set-ComplianceCase |
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado. |
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación CaseMemberAdded o CaseMemberRemoved. |
Filtro de permisos de búsqueda modificado |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Se ha cambiado un filtro de permisos de búsqueda. |
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery |
HoldUpdated |
Set-CaseHoldRule |
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas. |
Elemento de vista previa de búsqueda de contenido descargado |
PreviewItemDownloaded |
N/D |
Un usuario descargó un elemento en su equipo local (seleccionando el vínculo Descargar elemento original ) al obtener una vista previa de los resultados de la búsqueda. |
Elemento de vista previa de búsqueda de contenido enumerado |
PreviewItemListed |
N/D |
Un usuario seleccionó Vista previa de los resultados de búsqueda para mostrar la página de resultados de búsqueda de vista previa, que muestra hasta 1000 elementos a partir de los resultados de una búsqueda. |
Búsqueda de contenido creada |
SearchCreated |
New-ComplianceSearch |
Se creó una nueva búsqueda de contenido. |
Administrador de eDiscovery creado |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Se agregó un usuario como administrador de exhibición de documentos electrónicos en la organización. |
Caso de eDiscovery creado |
CaseAdded |
New-ComplianceCase |
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales. |
Filtro de permisos de búsqueda creado |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Se creó un filtro de permisos de búsqueda. |
Consulta de búsqueda creada para la suspensión de casos de eDiscovery |
HoldCreated |
New-CaseHoldRule |
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. |
Búsqueda de contenido eliminado |
SearchRemoved |
Remove-ComplianceSearch |
Se eliminó una búsqueda de contenido existente. |
Administrador de eDiscovery eliminado |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Se eliminó un administrador de exhibición de documentos electrónicos de la organización. |
Caso de eDiscovery eliminado |
CaseRemoved |
Remove-ComplianceCase |
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso. |
Filtro de permisos de búsqueda eliminados |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Se eliminó un filtro de permisos de búsqueda. |
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery |
HoldRemoved |
Remove-CaseHoldRule |
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera. |
Exportación descargada de la búsqueda de contenido |
SearchExportDownloaded |
N/D |
Un usuario descargó los resultados de una búsqueda de contenido en su equipo local. Se debe iniciar una exportación iniciada de la actividad de búsqueda de contenido antes de que se puedan descargar los resultados de la búsqueda. |
Resultados en vista previa de la búsqueda de contenido |
SearchPreviewed |
N/D |
Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido. |
Resultados purgados de la búsqueda de contenido |
SearchResultsPurged |
New-ComplianceSearchAction |
Un usuario purgue los resultados de una búsqueda de contenido mediante la ejecución del comando New-ComplianceSearchAction -Purge . |
Se ha quitado el análisis de la búsqueda de contenido. |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Se eliminó una acción de preparación de búsqueda de contenido (para preparar los resultados de búsqueda para eDiscovery (Premium)). Si la acción de preparación tenía menos de dos semanas de antigüedad, los resultados de búsqueda preparados para eDiscovery (Premium) se eliminaron del área de almacenamiento de Microsoft Azure. Si la acción de preparación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de preparación correspondiente. |
Se quitó la exportación de la búsqueda de contenido |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Se eliminó una acción de exportación de búsqueda de contenido. Si la acción de exportación tenía menos de dos semanas de antigüedad, se eliminaron los resultados de búsqueda cargados en el área de almacenamiento de Microsoft Azure. Si la acción de exportación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de exportación correspondiente. |
Se quitó el miembro del caso de eDiscovery |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos. |
Se han quitado los resultados de la vista previa de la búsqueda de contenido |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Se eliminó una acción de vista previa de búsqueda de contenido. |
Acción de purga eliminada realizada en la búsqueda de contenido |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Se eliminó una acción de purga de búsqueda de contenido. |
Informe de búsqueda eliminado |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Se eliminó una acción de informe de exportación de búsqueda de contenido. |
Análisis iniciado de la búsqueda de contenido |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Los resultados de una búsqueda de contenido se prepararon para su análisis en eDiscovery (Premium). |
Búsqueda de contenido iniciada |
SearchStarted |
Start-ComplianceSearch |
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante el portal de cumplimiento, la búsqueda se inicia automáticamente. |
Exportación iniciada de la búsqueda de contenido |
SearchExported |
New-ComplianceSearchAction |
Un usuario exportó los resultados de una búsqueda de contenido. |
Informe de exportación iniciado |
SearchReport |
New-ComplianceSearchAction |
Un usuario exportó un informe de búsqueda de contenido. |
Búsqueda de contenido detenida |
SearchStopped |
Stop-ComplianceSearch |
Un usuario detuvo una búsqueda de contenido. |
(ninguno) | CaseViewed | Get-ComplianceCase | Un usuario ha visto un caso de exhibición de documentos electrónicos (estándar) en el portal de cumplimiento. El registro de auditoría de este evento incluye el nombre del caso que se ha visto. |
(ninguno) | SearchViewed | Get-ComplianceSearch | Un usuario ha visto una búsqueda de contenido en el portal de cumplimiento accediendo a la búsqueda en la pestaña Búsquedas en un caso de exhibición de documentos electrónicos (estándar) o accediendo a ella en la página Búsqueda de contenido . El registro de auditoría de este evento incluye la identidad de la búsqueda que se ha visto. |
(ninguno) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Un usuario ha visto una exportación de búsqueda de contenido en el portal de cumplimiento accediendo a la exportación en la pestaña Exportaciones de la página Búsqueda de contenido . Esta actividad también se registra cuando un usuario ve una exportación asociada a un caso de exhibición de documentos electrónicos (estándar). |
(ninguno) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido en el portal de cumplimiento. Esta actividad también se registra cuando un usuario obtiene una vista previa de los resultados de una búsqueda asociada a un caso de exhibición de documentos electrónicos (estándar). |
Actividades de eDiscovery (Premium)
En la tabla siguiente se describen las actividades de eDiscovery (Premium) registradas en el registro de auditoría. Estas actividades se pueden usar para ayudarle a realizar un seguimiento de la progresión de la actividad en un caso de exhibición de documentos electrónicos (Premium).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Agregar datos a otro conjunto de revisión | AddWorkingSetQueryToWorkingSet | El usuario ha agregado documentos de un conjunto de revisiones a un conjunto de revisiones diferente. |
Datos agregados a otro conjunto de revisión | AddQueryToWorkingSet | El usuario agregó los resultados de búsqueda de una búsqueda de contenido asociada a un caso de exhibición de documentos electrónicos (Premium) a un conjunto de revisión. |
Se han agregado datos que no son de Microsoft 365 a un conjunto de revisión | AddNonOffice365DataToWorkingSet | Un usuario ha agregado datos que no son de Microsoft 365 a un conjunto de revisión. |
Documentos corregidos agregados para revisar el conjunto | AddRemediatedData | El usuario carga documentos que tuvieron errores de indexación corregidos para un conjunto de revisiones. |
Datos analizados en el conjunto de revisiones | RunAlgo | El usuario ejecutó análisis en los documentos de un conjunto de revisión. |
Documento anotados en el conjunto de revisiones | AnnotateDocument | El usuario anotó un documento en un conjunto de revisiones. La anotación incluye contenido redactado en un documento. |
Conjuntos de carga comparados | LoadComparisonJob | El usuario comparó dos conjuntos de carga distintos en un conjunto de revisiones. Un conjunto de carga es cuando los datos de una búsqueda de contenido asociados al caso se agregan a un conjunto de revisiones. |
Documentos redactados convertidos en PDF | BurnJob | El usuario convirtió todos los documentos redactados en un conjunto de revisión en archivos PDF. |
Creado el conjunto de revisiones | CreateWorkingSet | El usuario creó un conjunto de revisiones. |
Conjunto de búsqueda de revisiones creado | CreateWorkingSetSearch | El usuario creó una consulta de búsqueda para buscar en los documentos de un conjunto de revisiones. |
Etiqueta creada | CreateTag | El usuario creó un grupo de etiquetas en un conjunto de revisiones. Un grupo de etiquetas puede contener una o más etiquetas pequeñas. Las etiquetas se usan para etiquetar documentos en el conjunto de revisiones. |
Conjunto de búsqueda de revisiones creado | DeleteWorkingSetSearch | El usuario eliminó una consulta de búsqueda en un conjunto de revisiones. |
Etiquetas eliminadas | DeleteTag | El usuario eliminó un grupo de etiquetas en un conjunto de revisiones. |
Documento descargado | DownloadDocument | El usuario ha descargado un documento de un conjunto de revisiones. |
Etiqueta editada | UpdateTag | El usuario cambió una etiqueta en un conjunto de revisiones. |
Documentos exportados desde un conjunto de revisión | ExportJob | Documentos de usuario exportados desde un conjunto de revisión. |
Configuración de carcaza modificados | UpdateCaseSettings | Los usuarios modificaron la configuración de una carcaza. Las opciones de configuración de carcazas incluyen información de casos, permisos de acceso y configuraciones que controlan el comportamiento de búsqueda y análisis. |
Conjunto de búsqueda de revisiones modificado | UpdateWorkingSetSearch | El usuario editó una consulta de búsqueda en un conjunto de revisiones. |
Conjunto de búsqueda de revisiones previstas | PreviewWorkingSetSearch | Usuario obtiene una vista previa de los resultados de una consulta de búsqueda en un conjunto de revisiones. |
Documentos erróneos corregidos | ErrorRemediationJob | El usuario corrige los archivos que contienen errores de escritura.. |
Documento etiquetado | TagFiles | El usuario etiquetó un documento en un conjunto de revisiones. |
Resultados etiquetados de una consulta | TagJob | EL usuario etiqueta todos los documentos que coinciden con los criterios de la consulta de búsqueda en un conjunto de revisiones. |
Documento anotados en el conjunto de revisiones | ViewDocument | El usuario visualizó un documento en un conjunto de revisiones. |
Actividades de cmdlet de eDiscovery
En la tabla siguiente se enumeran los registros de auditoría de cmdlets que se registran cuando un administrador o usuario realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento o mediante la ejecución del cmdlet correspondiente en PowerShell de seguridad & cumplimiento. La información detallada del registro de auditoría es diferente para las actividades de cmdlet enumeradas en esta tabla y las actividades de exhibición de documentos electrónicos descritas en la sección anterior.
Como se indicó anteriormente, las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de búsqueda del registro de auditoría.
Sugerencia
Los cmdlets de la columna Operation de la tabla siguiente están vinculados al tema de ayuda de cmdlet correspondiente en TechNet. Vaya al tema de ayuda del cmdlet para obtener una descripción de los parámetros disponibles para cada cmdlet. El parámetro y el valor del parámetro que se usaron con un cmdlet se incluyen en la entrada de registro de auditoría para cada actividad de cmdlet de eDiscovery que se registra.
Nombre descriptivo | Operación (cmdlet) | Descripción |
---|---|---|
Suspensión creada en el caso de eDiscovery |
New-CaseHoldPolicy |
Se creó una suspensión para un caso de exhibición de documentos electrónicos. Se puede crear una suspensión con o sin especificar un origen de contenido. Si se especifican orígenes de contenido, se identifican en la entrada del registro de auditoría. |
Suspensión eliminada del caso de eDiscovery |
Remove-CaseHoldPolicy |
Se eliminó una suspensión asociada a un caso de exhibición de documentos electrónicos. Al eliminar una suspensión, se liberan todas las ubicaciones de contenido de la suspensión. La eliminación de la suspensión también da como resultado la eliminación de las reglas de suspensión de casos asociadas a la suspensión (vea Remove-CaseHoldRule). |
Se ha cambiado la suspensión en el caso de eDiscovery |
Set-CaseHoldPolicy |
Se ha cambiado una suspensión asociada a una exhibición de documentos electrónicos. Los posibles cambios incluyen agregar o quitar ubicaciones de contenido o desactivar (deshabilitar) la suspensión. |
Consulta de búsqueda creada para la suspensión de casos de eDiscovery |
New-CaseHoldRule |
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. |
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery |
Remove-CaseHoldRule |
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera. |
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery |
Set-CaseHoldRule |
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas. |
Caso de eDiscovery creado |
New-ComplianceCase |
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales. |
Caso de eDiscovery eliminado |
Remove-ComplianceCase |
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso. |
Se ha cambiado el caso de eDiscovery |
Set-ComplianceCase |
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado. |
Se ha agregado un miembro al caso de eDiscovery |
Add-ComplianceCaseMember |
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios. |
Se quitó el miembro del caso de eDiscovery |
Remove-ComplianceCaseMember |
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos. |
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos |
Update-ComplianceCaseMember |
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación Add-ComplianceCaseMember o Remove-ComplianceCaseMember . |
Búsqueda de contenido creada |
New-ComplianceSearch |
Se creó una nueva búsqueda de contenido. |
Búsqueda de contenido eliminado |
Remove-ComplianceSearch |
Se eliminó una búsqueda de contenido existente. |
Búsqueda de contenido modificada |
Set-ComplianceSearch |
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido que se buscan y la edición de la consulta de búsqueda. |
Búsqueda de contenido iniciada |
Start-ComplianceSearch |
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante la GUI del portal de cumplimiento, la búsqueda se inicia automáticamente. Si crea o cambia una búsqueda mediante el cmdlet New-ComplianceSearch o Set-ComplianceSearch , debe ejecutar el cmdlet Start-ComplianceSearch para iniciar la búsqueda. |
Búsqueda de contenido detenida |
Stop-ComplianceSearch |
Se detuvo una búsqueda de contenido que se estaba ejecutando. |
Acción de búsqueda de contenido creada |
New-ComplianceSearchAction |
Se creó una acción de búsqueda de contenido. Las acciones de búsqueda de contenido incluyen la vista previa de los resultados de búsqueda, la exportación de resultados de búsqueda, la preparación de los resultados de búsqueda para su análisis en eDiscovery (Premium) y la eliminación permanente de elementos que coinciden con los criterios de búsqueda de una búsqueda de contenido. |
Acción de búsqueda de contenido eliminado |
Remove-ComplianceSearchAction |
Se eliminó una acción de búsqueda de contenido. |
Filtro de permisos de búsqueda creado |
New-ComplianceSecurityFilter |
Se creó un filtro de permisos de búsqueda. |
Filtro de permisos de búsqueda eliminados |
Remove-ComplianceSecurityFilter |
Se eliminó un filtro de permisos de búsqueda. |
Filtro de permisos de búsqueda modificado |
Set-ComplianceSecurityFilter |
Se ha cambiado un filtro de permisos de búsqueda. |
Administrador de eDiscovery creado |
Add-eDiscoveryCaseAdmin |
Se agregó un usuario como administrador de exhibición de documentos electrónicos en su organización. |
Administrador de eDiscovery eliminado |
Remove-eDiscoveryCaseAdmin |
Se eliminó un administrador de exhibición de documentos electrónicos de la organización. |
Se ha cambiado la pertenencia al administrador de eDiscovery |
Update-eDiscoveryCaseAdmin |
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin . |
(ninguno) |
Get-ComplianceCase |
Esta actividad se registra cuando un usuario ha visto una lista de casos de exhibición de documentos electrónicos (estándar) o eDiscovery (Premium). Esta actividad también se registra cuando un usuario ve un caso específico en eDiscovery (Estándar). Cuando un usuario ve un caso específico, el registro de auditoría incluye la identidad del caso que se ha visto. Si el usuario solo ha visto una lista de casos, el registro de auditoría no contiene una identidad de caso. |
(ninguno) | Get-ComplianceSearch | Esta actividad se registra cuando un usuario ha visto una lista de búsquedas de contenido o búsquedas asociadas a un caso de exhibición de documentos electrónicos (estándar). Esta actividad también se registra cuando un usuario ve una búsqueda de contenido específica o ve una búsqueda específica asociada a un caso de exhibición de documentos electrónicos (estándar). Cuando un usuario ve una búsqueda específica, el registro de auditoría incluye la identidad de la búsqueda que se ha visto. Si el usuario solo ha visto una lista de búsquedas, el registro de auditoría no contiene una identidad de búsqueda. |
(ninguno) | Get-ComplianceSearchAction | Esta actividad se registra cuando un usuario ha visto una lista de acciones de búsqueda de cumplimiento (como exportaciones, vistas previas o purgas) o acciones asociadas a un caso de exhibición de documentos electrónicos (estándar). Esta actividad también se registra cuando un usuario ve una acción de búsqueda de cumplimiento específica (como una exportación) o ve una acción específica asociada a un caso de exhibición de documentos electrónicos (estándar). Cuando un usuario ve una acción de búsqueda, el registro de auditoría incluye la identidad de la acción de búsqueda que se ha visto. Si el usuario solo ha visto una lista de acciones, el registro de auditoría no contiene una identidad de acción. |
Propiedades detalladas de las actividades de eDiscovery
En la tabla siguiente se describen las propiedades que se incluyen en la página de control flotante de una actividad de exhibición de documentos electrónicos enumerada en los resultados de la búsqueda. Estas propiedades también se incluyen en el archivo CSV al exportar los resultados de la búsqueda de registros de auditoría. Un registro de auditoría para una actividad de exhibición de documentos electrónicos no incluirá todas las propiedades detalladas enumeradas en la tabla siguiente.
Sugerencia
Al exportar los resultados de la búsqueda, el archivo CSV contiene una columna denominada AudtiData, que contiene las propiedades detalladas descritas en la tabla siguiente en una propiedad de varios valores. Puede usar la característica Power Query en Excel para dividir esta columna en varias columnas de modo que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar una o varias de estas propiedades. Para obtener más información, vea Buscar en el registro de auditoría.
Propiedad | Descripción |
---|---|
Case |
Identidad (GUID) del caso de exhibición de documentos electrónicos que se creó, cambió o eliminó. |
ClientApplication |
Las actividades de cmdlet de eDiscovery tienen un valor de EMC para esta propiedad. Esto indica que la actividad se realizó mediante la GUI del portal de cumplimiento o ejecutando el cmdlet en PowerShell. |
ClientIP |
La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
ClientRequestId |
En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
CmdletVersion |
Número de compilación de la versión del portal de cumplimiento que se ejecuta en su organización. |
CreationTime |
Fecha y hora de la hora universal coordinada (UTC) cuando se completó la actividad de exhibición de documentos electrónicos. |
EffectiveOrganization |
Nombre de la organización de Microsoft 365. |
ExchangeLocations |
Los Exchange Online buzones que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
Exclusiones |
Ubicaciones de buzón o sitio que se excluyen de una búsqueda de contenido o una retención en un caso de exhibición de documentos electrónicos. |
ExtendedProperties |
Propiedades adicionales de una búsqueda de contenido, una acción de búsqueda de contenido o una suspensión en un caso de exhibición de documentos electrónicos, como el GUID del objeto y los parámetros de cmdlet y cmdlet correspondientes que se usaron cuando se realizó la actividad. |
Id |
Identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría. |
NonPIIParameters |
Una lista de los parámetros (sin ningún valor) que se usaron con el cmdlet identificado en la propiedad Operation. Los parámetros enumerados en esta propiedad son los mismos que los que aparecen en la propiedad Parameters. |
ObjectId |
GUID o nombre del objeto (por ejemplo, una búsqueda de contenido o un caso de exhibición de documentos electrónicos (estándar) que la actividad enumerada en la propiedad Operation creó, obtuvo acceso, cambió o eliminó. Este objeto también se identifica en la columna Item de los resultados de búsqueda del registro de auditoría. |
ObjectType |
Tipo de objeto eDiscovery que el usuario creó, eliminó o modificó; por ejemplo, una acción de búsqueda de contenido (vista previa, exportación o purga), un caso de exhibición de documentos electrónicos o una búsqueda de contenido. |
Operación |
Nombre de la operación que corresponde a la actividad eDiscovery que se realizó. |
OrganizationId |
GUID de la organización de Microsoft 365. |
Parameters |
Nombre y valor de los parámetros que se usaron con el cmdlet correspondiente. |
PublicFolderLocations |
Las ubicaciones de carpetas públicas de Exchange Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
Consulta |
Consulta de búsqueda asociada a la actividad, como una búsqueda de contenido o una retención basada en consultas. |
RecordType |
El tipo de operación indicado por el registro. El valor de 18 indica un evento relacionado con una actividad enumerada en la sección de actividades de cmdlets de eDiscovery . Un valor de 24 indica un evento relacionado con una actividad enumerada en la sección de actividades de exhibición de documentos electrónicos . |
ResultStatus |
Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no. |
SecurityComplianceCenterEventType |
Indica que la actividad era un evento del portal de cumplimiento. Todas las actividades de eDiscovery tendrán un valor de 0 para esta propiedad. |
SharepointLocations |
Los sitios de SharePoint Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos. |
StartTime |
Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos. |
UserId |
El usuario que realizó la actividad (especificada en la propiedad Operation) que provocó que se registrara el registro. Los registros de la actividad de exhibición de documentos electrónicos realizadas por cuentas del sistema (como NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría. |
UserKey |
Un id. alternativo para el usuario identificado en la propiedad id. de usuario. En el caso de las actividades de eDiscovery, el valor de esta propiedad suele ser el mismo que la propiedad UserId. |
UserServicePlan |
La suscripción que usa la organización. En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
UserType |
El tipo de usuario que llevó a cabo la operación. Los siguientes valores indican el tipo de usuario. 0 Un usuario normal. 2 Administrador de la organización. 3 Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. 4 Una cuenta del sistema. 5 Una aplicación. 6 Una entidad de servicio. |
Versión |
Indica el número de versión de la actividad (identificada por la propiedad Operation) que se registra. |
Carga de trabajo |
El servicio donde se produjo la actividad. Para las actividades de eDiscovery, el valor es SecurityComplianceCenter. |
Actividades del portal de mensajes cifrados
Los registros de acceso están disponibles para los mensajes encriptados a través del portal de mensajes encriptados que permite a su organización determinar cuándo los mensajes son leídos, y reenviados por sus destinatarios externos. Para obtener más información sobre la activación y el uso de los registros de actividad del portal de mensajes cifrados, consulte Registro de actividad del portal de mensajes cifrado.
Cada entrada de auditoría de un mensaje de seguimiento contiene los campos siguientes:
- MessageID: contiene el identificador del mensaje al que se realiza el seguimiento. Identificador de clave que se usa para seguir un mensaje a través del sistema.
- Destinatario: lista de todas las direcciones de correo electrónico del destinatario.
- Remitente: dirección de correo electrónico de origen.
- AuthenticationMethod: describe el método de autenticación para acceder al mensaje, por ejemplo, OTP, Yahoo, Gmail o Microsoft.
- AuthenticationStatus: contiene un valor que indica que la autenticación se realizó correctamente o no.
- OperationStatus: indica si la operación indicada se realizó correctamente o no.
- AttachmentName: nombre de los datos adjuntos.
- OperationProperties: una lista de propiedades opcionales. Por ejemplo, el número de códigos de acceso de OTP enviados o el asunto del correo electrónico.
Actividades de administración de Exchange
El proceso de registro de auditoría del administrador de Exchange (que está habilitado de manera predeterminada en Microsoft 365) registra un evento en el registro de auditoría cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en la organización de Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange. Los cmdlets que comienzan por los verbos Get-, Search-oTest- no se registran en el registro de auditoría. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.
Importante
Algunos cmdlets de Exchange Online que no se archivan en el registro de auditoría de administración de Exchange (o en el registro de auditoría). Muchos de estos cmdlets se relacionan con el mantenimiento del servicio de Exchange en línea y los ejecuta el personal del centro de datos de Microsoft o las cuentas de servicio. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos". Si hay un cmdlet de Exchange Online que no se está auditando, envíe una solicitud de cambio de diseño (DCR) a Soporte técnico de Microsoft.
Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:
- Use los cuadros de intervalo de fecha y la lista deUsuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.
- Para mostrar eventos del registro de auditoría de administración de Exchange, seleccione la columna Actividad para ordenar los nombres de cmdlet en orden alfabético.
- Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados. Para más información, consulteExportar, configurar y ver registros de registro de auditoría
- También puede usar el
Search-UnifiedAuditLog -RecordType ExchangeAdmin
comando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange. Se puede tardar hasta 30 minutos después de ejecutar el cmdlet de Exchange para que se devuelva la entrada del registro de auditoría correspondiente en los resultados de la búsqueda. Para obtener más información, consulte Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.
Actividades de buzón de Exchange
La siguiente tabla enumera las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo. Las actividades de buzón realizadas por el propietario del buzón, un usuario delegado o un administrador se registran automáticamente en el registro de auditoría durante un máximo de 180 días. Es posible para un administrador desactivar el registro de auditoría de buzón para todos los usuarios de su organización. En este caso, no se registra ninguna acción de cualquier usuario en el buzón. Para más información, consulte Administrar auditoría del buzón..
Importante
El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.
También puede buscar actividades de buzón usando el cmdlet Search-MailboxAuditLogen el PowerShell de Exchange en línea.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Elementos de buzón a los que se ha accedido | MailItemsAccessed | Se han leído mensajes o se obtuvo acceso a los mensajes del buzón. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables. |
Permisos de buzón de delegado agregados | Add-MailboxPermission | Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón. El registro de auditoría de esta actividad también se genera cuando una cuenta del sistema del servicio Microsoft 365 realiza tareas de mantenimiento periódicamente en nombre de su organización. Una tarea común que realiza una cuenta del sistema es actualizar los permisos de los buzones del sistema. Para obtener más información, vea Cuentas del sistema en Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange. |
Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendario | UpdateCalendarDelegation | Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón. |
Se agregaron permisos a la carpeta | AddFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. |
Mensajes copiados a otra carpeta | Copiar | Se ha copiado un mensaje a otra carpeta. |
Elementos del buzón creado | Crear | Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva solicitud de reunión. No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo. |
Nueva regla de bandeja de entrada creada en la aplicación web de Outlook | New-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook. |
Mensajes eliminados de la carpeta elementos eliminados | SoftDelete | Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr. |
Mensaje etiquetado como un registro | ApplyRecordLabel | Un mensaje se clasificó como un registro. Se produce cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manualmente o automáticamente a un mensaje. |
Mensajes movidos a otra carpeta | Mover | Se ha movido un mensaje a otra carpeta. |
Mensajes movidos a la carpeta Elementos eliminados | MoveToDeletedItems | Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados. |
Permiso de carpeta modificada | UpdateFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen. |
Regla de bandeja de entrada modificada de la aplicación web de Outlook | Set-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook. |
Mensajes que se han purgado del buzón | HardDelete | Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón). |
Permisos de buzón de delegado quitados | Remove-MailboxPermission | Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido. |
Permisos quitados de la carpeta | RemoveFolderPermissions | Un permiso de la carpeta se ha removido. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. |
Enviar mensaje | Enviar | Un mensaje ha sido enviado, respondido o reenviado. |
Mensaje enviado mediante los permisos de Enviar como | SendAs | Un mensaje se ha enviado con el permiso Enviar como. Esto significa que otro usuario envió el mensaje como si viniera del propietario del buzón. |
Mensaje enviado mediante los permisos en nombre de | SendOnBehalf | Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje a nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente. |
Reglas de la bandeja de entrada actualizadas desde el cliente de Outlook | UpdateInboxRules | El propietario de un buzón u otro usuario con acceso al buzón creó, modificó o quitó una regla de la bandeja de entrada mediante el cliente de Outlook. |
Mensaje actualizado | Actualizar | Un mensaje o sus propiedades han cambiado. |
Usuario que ha iniciado sesión en un buzón | MailboxLogin | El usuario inició sesión en su buzón. |
Etiquetar mensaje como un registro | Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro. |
Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange
En los registros de auditoría de algunas actividades del buzón de correo (especialmente Add-MailboxPermissions), puede observar que el usuario que realizó la actividad (y se identifica en los campos User y UserId) es NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange. Servicehost). Esto indica que el “usuario” que realizó la actividad era una cuenta del sistema en el servicio Exchange en la nube de Microsoft. Esta cuenta del sistema suele realizar tareas de mantenimiento programadas en nombre de su organización. Por ejemplo, una actividad auditada común realizada por NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) es actualizar los permisos en DiscoverySearchMailbox, que es un buzón de correo del sistema. El propósito de esta actualización es comprobar que el permiso FullAccess (que es el valor predeterminado) está asignado al grupo de roles Administración de detección para DiscoverySearchMailbox. Garantiza que los administradores de eDiscovery puedan realizar las tareas necesarias en su organización.
Otra cuenta de usuario del sistema que se puede identificar en un registro de auditoría para Add-MailboxPermission es Administrator@apcprd03.prod.outlook.com. Esta cuenta de servicio también se incluye en los registros de auditoría del buzón de correo relacionados con la comprobación y actualización del permiso FullAccess que se asigna al grupo de roles Administración de detección para el buzón de correo del sistema DiscoverySearchMailbox. En concreto, los registros de auditoría que identifican la Administrator@apcprd03.prod.outlook.com cuenta se desencadenan normalmente cuando el personal de soporte técnico de Microsoft ejecuta una herramienta de diagnóstico de control de acceso basado en rol en nombre de su organización.
Actividades de páginas y archivos
En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint en línea y OneDrive para la empresa.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Archivo al que se tiene acceso | FileAccessed | Cuenta de sistema o usuario que tiene acceso al archivo. Una vez que un usuario accede a un archivo, el evento FileAccessed no vuelve a registrarse para el mismo usuario para el mismo archivo durante los próximos cinco minutos. |
(ninguno) | FileAccessedExtended | Esto está relacionado con la actividad "Archivo al que se tiene acceso" (FileAccessed). Se registra un evento FileAccessedExtended cuando la misma persona tiene acceso continuamente a un archivo durante un largo período (hasta 3 horas). El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante). |
Se ha cambiado la etiqueta de retención de un archivo | ComplianceSettingChanged | Se aplicó o se quitó una etiqueta de retención de un documento. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje. |
Estado de registro cambiado a bloqueado | LockRecord | El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha siso bloqueado. Esto significa que el documento no se puede modificar ni eliminar. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
Cambiado el estado del registro a bloqueado | UnlockRecord | El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha sido bloqueado. Esto significa que el documento puede ser modificado o eliminado. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
Archivo verificado | FileCheckedIn | El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos. |
Archivo extraído del repositorio | FileCheckedOut | El usuario extrae un documento ubicado en una biblioteca de documentos. Los usuarios pueden extraer y modificar documentos que se han compartido con ellos. |
Archivo copiado | FileCopied | El usuario copia un documento desde un sitio. El archivo copiado puede guardarse en otra carpeta en el sitio. |
Archivo eliminado | FileDeleted | El usuario elimina un documento de un sitio. |
Archivo eliminado de la papelera de reciclaje | FileDeletedFirstStageRecycleBin | El usuario elimina un archivo de la papelera de reciclaje de un sitio. |
Archivo eliminado de la papelera de reciclaje de segundo nivel | FileDeletedSecondStageRecycleBin | El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio. |
Archivo eliminado marcado como un registro | RecordDelete | Se eliminó un documento o un correo electrónico que se marcó como un registro. Un documento se considera un registro cuando se le aplica una etiqueta de retención que marca el contenido como un registro. |
Desfase detectado de la sensibilidad del documento | DocumentSensitivityMismatchDetected | El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General. Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa). |
Malware detectado en archivo | FileMalwareDetected | El antivirus de SharePoint detecta el malware en un archivo. |
Extracción del archivo descartada | FileCheckOutDiscarded | El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos. |
Archivo descargado | FileDownloaded | El usuario descarga un documento de un sitio. |
Archivo modificado | FileModified | La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio. El sistema espera cinco minutos antes de que registre otro evento FileModified cuando el mismo usuario modifique el contenido o las propiedades del mismo documento. |
(ninguno) | FileModifiedExtended | Esto está relacionado con la actividad "Archivo modificado" (FileModified). Se registra un evento FileModifiedExtended cuando la misma persona modifica constantemente un archivo durante un largo período de tiempo (hasta 3 horas). El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento FileModified inicial (el más importante). |
Archivo movido | FileMoved | El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación. |
(ninguno) | FilePreviewed | El usuario obtiene la vista previa de un documento de SharePoint o de OneDrive para un sitio de Empresas. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes. |
Consulta de búsqueda realizada | SearchQueryPerformed | La cuenta del sistema o el usuario lleva a cabo una búsqueda en SharePoint o OneDrive para la Empresa. Algunos escenarios comunes en los que una cuenta de servicio realiza una consulta de búsqueda incluyen la aplicación de una directiva de retención y retención de eDiscovery a sitios y cuentas de OneDrive, y la aplicación automática de etiquetas de retención o confidencialidad al contenido del sitio. |
Se ha reciclado un archivo | FileRecycled | El usuario mueve un archivo a la Papelera de reciclaje de SharePoint. |
Se ha reciclado una carpeta | FolderRecycled | El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint. |
Todas las versiones menores del archivo recicladas | FileVersionsAllMinorsRecycled | El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
Todas las versiones del archivo recicladas | FileVersionsAllRecycled | El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
Versión del archivo reciclada | FileVersionRecycled | El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio. |
Archivo al que se le ha cambiado el nombre | FileRenamed | El usuario cambia el nombre de un documento. |
Archivo restaurado | FileRestored | El usuario restaura un documento de la papelera de reciclaje de un sitio. |
Archivo cargado | FileUploaded | El usuario carga un documento a una carpeta de un sitio. |
Página visualizada | PageViewed | El usuario visualiza una página en un sitio. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos. Una vez que un usuario ve una página, el evento PageViewed no vuelve a registrarse para el mismo usuario para la misma página durante los próximos cinco minutos. |
(ninguno) | PageViewedExtended | Esto está relacionado con la actividad "Página visualizada" (PageViewed). Se registra un evento PageViewedExtended cuando la misma persona visualiza continuamente una página web durante un periodo extendido (hasta 3 horas). El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento inicial PageViewed(el más importante). |
Ver señalado por el cliente | ClientViewSignaled | El cliente de un usuario (como un sitio web o una aplicación móvil) ha señalado que el usuario ha visto la página indicada. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página. Nota: Como el cliente señaliza eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no pueda registrar el evento y, por lo tanto, puede que no aparezca en el registro de auditoría. También es posible que la información del registro de auditoría no sea confiable. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa. El sistema espera cinco minutos antes de que registre el mismo evento cuando el cliente del mismo usuario indica que el usuario ha visualizado de nuevo la página. |
(ninguno) | PagePrefetched | El cliente de un usuario (como el sitio web o la aplicación móvil) ha solicitado la página indicada para ayudar a mejorar el rendimiento si el usuario la explora. Este evento se registra para indicar que el contenido de la página se ha servido para el cliente del usuario. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página. Cuando el cliente muestra el contenido de la página (de acuerdo con la solicitud del usuario), debe generarse un evento ClientViewSignaled. No todos los clientes admiten que indiquen una captura previa y, por lo tanto, algunas actividades capturadas previamente podrían registrarse en su lugar como eventos PageViewed. |
Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed
¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?
No somos conscientes de los escenarios en los que las acciones que no son de usuario generan eventos como estos. Las acciones de usuario como abrir una tarjeta de perfil de usuario (seleccionando su nombre o dirección de correo electrónico en un mensaje de Outlook en la Web) generarían eventos similares.
¿Las llamadas a OneDriveMpc-Transform_Thumbnail siempre son desencadenadas por el usuario intencionalmente?
No. Pero se pueden registrar eventos similares como resultado de la captura previa del explorador.
Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?
No. Es posible que el evento se haya registrado como resultado de la captura previa del explorador.
¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?
Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo). Aunque estos eventos están diseñados para alinearse con la vista previa frente a la intención de acceso, la distinción de eventos no es una garantía de la intención del usuario.
El usuario app@sharepoint en los registros de auditoría
En los registros de auditoría para actividades de archivo (y otras actividades relacionadas con SharePoint), puede que el usuario que aparezca como el autor de la actividad (identificado en los campos usuario y seudónimo) es app@sharepoint. Esto indica que el "usuario" que llevó a cabo la actividad era una aplicación. En este caso, se otorgó a la aplicación permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación. Esto indica que la autenticación presentada en SharePoint para realizar una acción la realizó una aplicación, en lugar de un usuario. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.
Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso". Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.
Aquí se muestran algunos otros escenarios en los que se puede identificar app@sharepoint en un registro de auditoría como el usuario que realizó una actividad:
- Grupos de Microsoft 365. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint. Estas tareas se ejecutan en una aplicación en nombre del usuario que creó el grupo.
- Microsoft Teams. Como ocurre en los grupos de Microsoft 365, cuando se crea un equipo se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.
- Características de cumplimiento. Cuando un administrador implementa características de cumplimiento, como directivas de retención, retenciones de exhibición de documentos electrónicos y etiquetas de confidencialidad de aplicación automática.
En estas y otras situaciones, verá que se crearon varios registros de auditoría con app@sharepoint como usuario específico en un período de tiempo breve, a menudo con unos pocos segundos de separación. Esto indica que se activaron probablemente por la misma tarea iniciada por el usuario. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.
Actividades de carpetas
La siguiente tabla describe las actividades de archivos y páginas en SharePoint en línea y OneDrive para empresas. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Carpeta copiada | FolderCopied | El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o en OneDrive para Empresas. |
Carpeta creada | FolderCreated | El usuario crea una carpeta en un sitio. |
Carpeta eliminada | FolderDeleted | El usuario elimina una carpeta de un sitio. |
Carpeta eliminada de la papelera de reciclaje | FolderDeletedFirstStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de un sitio. |
Carpeta eliminada de la papelera de reciclaje de segundo nivel | FolderDeletedSecondStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio. |
Carpeta modificada | FolderModified | El usuario modifica una carpeta en un sitio. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades. |
Carpeta movida | FolderMoved | El usuario mueve una carpeta a una ubicación diferente del sitio. |
Carpeta con el nombre cambiado | FolderRenamed | El usuario cambia el nombre de una carpeta en un sitio. |
Carpeta restaurada | FolderRestored | El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio. |
Actividades de barreras de información
En la tabla siguiente se enumeran las actividades en las barreras de información que se registran en el registro de auditoría de Microsoft 365. Para mayor información sobre las barreras de información, consulte Aprender sobre las barreras de información en Microsoft 365.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Se ha cambiado la configuración de AppBypassInformationBarrier para el inquilino. | AppBypassInformationBarrier | Un administrador global o de SharePoint ha cambiado el acceso a las aplicaciones para los sitios de SharePoint. |
Modo de barrera de información aplicada al sitio | SiteIBModeSet | Un administrador global o de SharePoint ha aplicado un modo al sitio. |
Segmentos aplicados al sitio | SiteIBSegmentsSet | Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio. |
Se ha cambiado el modo de barrera de información del sitio | SiteIBModeChanged | Un administrador global o de SharePoint ha actualizado el modo del sitio. |
Segmentos modificados del sitio | SiteIBSegmentsChanged | Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio. |
Barreras de información deshabilitadas para SharePoint y OneDrive | SPOIBIsDisabled | Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización. |
Barreras de información habilitadas para SharePoint y OneDrive | SPOIBIsEnabled | Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización. |
Informe de información sobre barreras de información completado | InformationBarriersInsightsReportCompleted | El sistema completa la compilación del informe de información de barreras de información. |
Informe de información sobre barreras de información consultada en la sección de OneDrive | InformationBarriersInsightsReportOneDriveSectionQueried | Un administrador consulta el informe de información de barreras de información para las cuentas de OneDrive. |
Informe de información sobre barreras de información programado | InformationBarriersInsightsReportSchedule | Un administrador programa el informe de información de barreras de información. |
Informe de sharePoint de informe de barreras de información consultado | InformationBarriersInsightsReportSharePointSectionQueried | Un administrador consulta el informe de información de barreras de información para sitios de SharePoint. |
Segmento quitado del sitio | SiteIBSegmentsRemoved | Un administrador global o SharePoint quitó uno o más segmentos de barreras de información desde un sitio. |
Microsoft Defender para punto de conexión actividades de configuración general
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración general que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre la configuración Microsoft Defender para punto de conexión, consulte Configuración general de Defender para punto de conexión.
Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Paquete de offboarding descargado | DownloadOffboardingPkg | Descargó el paquete usado para quitar dispositivos de Defender para punto de conexión. |
Paquete de incorporación descargado | DownloadOnboardingPkg | Descargó el paquete usado para incorporar dispositivos a Defender para punto de conexión. |
Retención de datos modificada | ChangeDataRetention | Se ha editado la configuración de retención de datos de Defender para punto de conexión. |
Establecer características avanzadas | SetAdvancedFeatures | Se han cambiado las características avanzadas de Defender para punto de conexión, lo que permite controles más precisos durante un incidente. Solo la configuración de las características avanzadas que están disponibles con carácter general se registra en el registro de auditoría de Microsoft 365. |
Microsoft Defender para punto de conexión actividades de configuración de indicadores
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración del indicador que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los indicadores de Microsoft Defender para punto de conexión, consulte Administración de indicadores.
Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Indicador agregado | AddIndicator | Ha creado un nuevo indicador de riesgo que puede usar para realizar un seguimiento de los ataques y eventos. |
Indicador editado | EditIndicator | Editó un indicador de compromiso. |
Indicador eliminado | DeleteIndicator | Se quitó un indicador de compromiso. |
Microsoft Defender para punto de conexión actividades de acciones de respuesta
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión acciones de respuesta, incluida la respuesta dinámica, que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender para punto de conexión acciones de respuesta, consulte Realizar acciones de respuesta en un dispositivo.
Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Paquete de investigación recopilado | CollectInvestigationPackage | Se recopila información sobre un dispositivo que se usa para comprender las herramientas y técnicas de ataque. |
Examen del antivirus ejecutado | RunAntiVirusScan | Ejecutó Microsoft Defender examen antivirus en un dispositivo. |
Ejecución de aplicaciones restringidas | RestrictAppExecution | Impedir que se ejecute una aplicación malintencionada. |
Restricciones de aplicación eliminadas | RemoveAppRestrictions | Permitir que se ejecute una aplicación. |
Dispositivo aislado | IsolateDevice | Aísla un dispositivo de la red, lo que ayuda a evitar que se propaguen ataques. |
Liberado del aislamiento | ReleaseFromIsolation | Se ha agregado un dispositivo aislado de nuevo a la red. |
Archivo detenido y en cuarentena | StopAndQuarantineFile | Poner en cuarentena un archivo sospechoso para su análisis posterior. |
Archivo descargado | DownloadFile | Descargó un archivo sospechoso para una investigación más detallada. |
Dispositivo fuera de la placa | DeviceOffBoarding | Se quitó un dispositivo de Defender para punto de conexión. |
API de respuesta dinámica ejecutada | RunLiveResponseApi | Abrió una sesión de respuesta dinámica a través de una llamada API, abriendo un shell remoto en un dispositivo. |
Registros recopilados | LogsCollection | Información de registro recopilada sobre Defender para punto de conexión. |
Ejecución del vínculo obtener archivo de respuesta en directo | LiveResponseGetFile | Abrió una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo. |
Ejecución de la sesión de respuesta en directo | RunLiveResponseSession | Ejecutó una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo. |
Microsoft Defender para punto de conexión actividades de configuración de roles
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración de roles que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los roles de Microsoft Defender para punto de conexión, consulte Creación y administración de roles para el control de acceso basado en roles.
Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
AddRole | Rol agregado | Se han agregado nuevos permisos y roles de seguridad. |
EditRole | Rol editado | Permisos y roles de seguridad editados. |
DeleteRole | Rol eliminado | Se han quitado los roles de seguridad y los permisos. |
actividades de Microsoft Defender para expertos
En la tabla siguiente se enumeran las actividades de los expertos de Microsoft Defender que han iniciado sesión en el registro de auditoría de Microsoft 365. Para obtener más información sobre los expertos de Microsoft Defender, consulte Más información sobre Expertos de Microsoft Defender para XDR y Más información sobre Expertos de detección de Microsoft Defender
Nombre descriptivo | Operación | Descripción |
---|---|---|
Se ha creado el permiso de analista de expertos de Defender | DefenderExpertsAnalystPermissionCreated | Un administrador concedió uno o varios permisos de rol a los analistas de Expertos de Defender para investigar incidentes o corregir amenazas. |
Permiso de analista de expertos de Defender modificado | DefenderExpertsAnalystPermissionModified | Permisos de rol modificados por el administrador para que los analistas de Expertos de Defender investiguen incidentes o corrijan amenazas. |
actividades de Microsoft Defender for Identity
En la tabla siguiente se enumeran las actividades de Microsoft Defender for Identity que se registran en el registro de auditoría de Microsoft 365.
Para ver Microsoft Defender for Identity actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Etiquetas de entidad actualizadas | TaggingConfigurationUpdated | Se agregó o quitó una etiqueta de una entidad. |
Configuración de exclusiones agregada | ExclusionConfigurationAdded | Se agregó una exclusión global para una alerta o para una entidad. |
Configuración de exclusiones actualizada | ExclusionConfigurationUpdated | Se actualizó una exclusión global para una alerta o para una entidad. |
Configuración de exclusiones eliminadas | ExclusionConfigurationDeleted | Se eliminó una exclusión global para una alerta o para una entidad. |
Configuración de umbral de alerta actualizada | WorkspaceAlertThresholdLevelUpdated | Se actualizó la configuración de umbrales de alertas. |
Excel de alerta de seguridad descargada | AlertExcelDownloaded | Se descargó el archivo detallado de Excel de una alerta. |
Acción de corrección agregada | RemediationActionAdded | Se agregó una acción de corrección a la cola. |
Acción de corrección actualizada | RemediationActionUpdated | Se completó una acción de corrección. |
Configuración del sensor actualizada | SensorConfigurationUpdated | Se actualizó la configuración de un sensor. |
Sensor agregado | SensorCreado | Se ha agregado un nuevo sensor. |
Sensor quitado | SensorDeleted | Se eliminó un sensor. |
Clave de implementación del sensor recuperada | SensorDeploymentAccessKeyReceived | Se recuperó la clave de acceso de los sensores. |
Clave de implementación del sensor regenerada | SensorDeploymentAccessKeyUpdated | Se ha regenerado la clave de acceso de los sensores. |
Excel de cobertura del controlador de dominio descargado | DomainControllerCoverageExcelDownloaded | Se descargó el archivo de Excel de cobertura del controlador de dominio. |
Se ha actualizado la configuración de la cuenta de servicios de directorio | DirectoryServicesAccountConfigurationUpdated | Se modificó el conjunto de cuentas de servicios de directorio. |
Se ha actualizado la configuración de la acción de corrección. | RemediationActionConfigurationUpdated | Se modificó el conjunto Administrar cuentas de acción. |
Se ha actualizado la configuración de corrección de entidades | EntityRemediatorConfigurationUpdated | Se modificó el modo Administrar cuentas de acción. |
Problema de mantenimiento actualizado | MonitoringAlertUpdated | Se modificó un problema de mantenimiento. |
Reporte descargado | ReportDownloaded | Se descargó un informe. |
Configuración actualizada del reportero | ReporterConfigurationUpdated | Se modificó la programación de un informe. |
Configuración de reenvío de Syslog actualizada | SyslogServiceConfigurationUpdated | Se modificó la configuración de reenvío de Syslog. |
Configuración de notificación de seguridad actualizada | NotificationConfigurationUpdated | Se modificó la configuración de las notificaciones de alertas de seguridad o problemas de mantenimiento. |
Se ha agregado el destinatario de la notificación de alerta | AlertNotificationsRecipientAdded | Se agregó un destinatario a la configuración de notificación de alertas de seguridad. |
Destinatario de notificación de alerta eliminada | AlertNotificationsRecipientDeleted | Se quitó un destinatario de la configuración de notificación de alertas de seguridad. |
Se ha agregado el destinatario de la notificación de problemas de mantenimiento | MonitoringAlertNotificationRecipientAdded | Se agregó un destinatario a la configuración de notificación de problemas de mantenimiento. |
Destinatario de notificación de problemas de mantenimiento eliminados | MonitoringAlertNotificationRecipientDeleted | Se quitó un destinatario de la configuración de notificación de problemas de salud. |
Configuración de VPN actualizada | VpnConfigurationUpdated | Se modificó la configuración de VPN (contabilidad de radio). |
Se ha actualizado la configuración de RBAC unificada | URbacAuthorizationStatusChanged | Se modificó la configuración de Access Control basada en rol unificado. |
Área de trabajo creada | Área de trabajoCreada | Se creó el área de trabajo. |
Área de trabajo eliminada | WorkspaceDeleted | Se eliminó el área de trabajo. |
Microsoft Defender XDR actividades de detección personalizadas
En la tabla siguiente se enumeran las actividades de detección personalizadas para Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender XDR detecciones personalizadas, vea Crear y administrar reglas de detecciones personalizadas.
Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Regla de detección personalizada creada | CreateCustomDetection | Se creó una nueva regla de detección personalizada. |
Regla de detección personalizada editada | EditCustomDetection | Se modificó una regla de detección personalizada. |
Se ha cambiado el estado de la regla de detección personalizada | ChangeCustomDetectionRuleStatus | Se ha desactivado o activado una regla de detección personalizada. |
Regla de detección personalizada ejecutada | RunCustomDetection | Se ejecutó manualmente una regla de detección personalizada. |
Regla de detección personalizada eliminada | DeleteCustomDetection | Se quitó una regla de detección personalizada. |
Microsoft Defender XDR actividades de incidentes
En la tabla siguiente se enumeran las actividades de incidentes de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los incidentes en Microsoft Defender XDR, consulte Información general sobre incidentes.
Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Se ha agregado un comentario al incidente. | AddCommentToIncident. | Se ha agregado un comentario al incidente. |
Usuario asignado al incidente | AssignUserToIncident | Usuario asignado al incidente. |
Usuario sin asignar al incidente | UnAssignUserFromIncident | Usuario sin asignar al incidente. |
Estado de incidentes actualizado | UpdateIncidentStatus | Estado de incidentes actualizado. |
Edición de la clasificación de incidentes | EditIncidentClassification | Edite la clasificación de incidentes. |
Se han agregado etiquetas al incidente. | AddTagsToIncident | Se han agregado etiquetas al incidente. |
Etiquetas eliminadas del incidente | RemoveTagsFromIncident | Se han quitado las etiquetas del incidente. |
Microsoft Defender XDR actividades de regla de supresión
En la tabla siguiente se enumeran las actividades para las reglas de supresión de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre las reglas de supresión en Microsoft Defender XDR, vea Administrar reglas de supresión.
Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Regla de supresión creada | CreateSuppressionRule | Regla de supresión de alertas creada. |
Regla de supresión editada | EditSuppressionRule | Regla de supresión de alertas eliminada. |
Regla de supresión habilitada | EnableSuppressionRule | Regla de supresión de alertas habilitada. |
Regla de supresión deshabilitada | DisableSuppressionRule | Regla de supresión de alertas deshabilitada. |
Regla de supresión eliminada | DeleteSuppressionRule | Regla de supresión de alertas eliminada. |
Microsoft Entra actividades de administración de grupos
En la siguiente tabla se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario agrega o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el Portal de administración de Azure. Para obtener más información sobre los grupos de Microsoft 365, consulte Ver, crear y eliminar grupos en el Centro de administración de Microsoft 365.
Nota:
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( .
). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" "
) que contengan el nombre de la operación.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Grupo agregado | Agregar grupo. | Se ha creado un grupo. |
Miembro agregado a un grupo | Agregar miembro a un grupo. | Un miembro se ha agregado a un grupo. |
Grupo eliminado | Eliminar grupo. | Se ha eliminado un grupo. |
Miembro quitado de un grupo | Quitar miembro de un grupo. | Un miembro se ha quitado de un grupo. |
Grupo actualizado | Actualizar grupo. | Una propiedad de un grupo se ha cambiado. |
Actividades de Microsoft Fabric
Puede buscar el registro de auditoría actividades en Power BI. Para obtener información sobre la configuración de auditoría, consulte Configuración de inquilinos de auditoría y uso.
El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Si la auditoría no está activada para su organización, aparece un banner que le pide que empiece a grabar la actividad de usuario y administrador. Para obtener instrucciones, consulte Activación de la auditoría.
Actividades de Microsoft Forms
En las tablas de esta sección se indican las actividades de usuario y administrador de Microsoft Forms que se registran en el registro de auditoría. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas utilizado para recopilar datos para su análisis. A continuación, en las descripciones, algunas operaciones contienen parámetros de actividad adicionales.
Si un coautor o un respondedor anónimo realizan una actividad de Forms, se registra de forma ligeramente diferente. Para obtener más información, consulte la sección actividades de Forms que realizan los coautores y las personas que responden anónimamente.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Comentario creado | CreateComment | El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario. |
Formulario creado | CreateForm | Un nuevo formulario ha sido creado por el propietario. Propiedad DataMode:string indica que el formulario actual está configurado para sincronizarse con un libro de Excel nuevo o existente si el valor de propiedad es igual a DataSync. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual. |
Formulario editado | EditForm | Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita. La propiedad EditOperation:string indica el nombre de la operación de edición. Las posibles operaciones son: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice -UploadFormImage/Bing/Onedrive - UploadQuestionImage -Cambiar tema FormImage incluye cualquier lugar dentro de los formularios en los que el usuario pueda subir una imagen, como en la cadena de consulta o como tema en la imagen de fondo. |
Formulario movido | MoveForm | Un formulario ha sido movido por el propietario. La propiedad DestinationUserId: la cadena indica el ID de usuario de la persona que ha movido el formulario. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado. La propiedad IsDelegateAccess:boolean indica que la acción de movimiento del formulario actual se realiza a través de la página del delegado de administrador. |
Formulario eliminado | DeleteForm | Un formulario ha sido eliminado por el propietario. Esto incluye SoftDelete (eliminar la opción utilizada y mover el formulario a la papelera de reciclaje) y HardDelete (Se vacía la papelera de reciclaje). |
Formulario visto (tiempo de diseño) | ViewForm | Un formulario existente ha sido abierto por el propietario para su edición. La propiedad AccessDenied:boolean indica que se ha denegado el acceso del formulario actual debido a la comprobación de permisos. La propiedad FromSummaryLink:boolean indica que la solicitud actual procede de la página de vínculo de resumen. |
Vista previa del formulario | PreviewForm | Un formulario ha sido previsualizado por el propietario con la función vista previa. |
Formulario exportado | ExportForm | Los resultados han sido exportado a Excel por el propietario del formulario. La propiedad ExportFormat:string indicará si el archivo de Excel se puede descargar o ver en línea. |
Formulario de participación permitida para su copia | AllowShareFormForCopy | Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla. Este evento se registra cuando el propietario del formulario selecciona para generar la dirección URL de la plantilla. |
Formulario de participación no permitida para su copia | DisallowShareFormForCopy | El propietario del formulario ha eliminado el vínculo en la plantilla. |
Coautor de formulario agregado | AddFormCoauthor | Para ayudar a diseñar y ver respuestas el usuario utiliza un vínculo de colaboración. Este evento es registrado cuando un usuario utiliza una dirección URL de colisión (no ocurre cuando se genera la URL de colisión por primera vez). |
Coautor de formulario quitado | RemoveFormCoauthor | El propietario del formulario ha eliminado el vínculo de colaboración. |
Página de respuesta visualizada | ViewRuntimeForm | El usuario ha abierto una página de respuesta para su visualización. Este evento es registrado independientemente de si el usuario envía una respuesta o no. |
Respuesta creada | CreateResponse | Es similar a recibir una nueva respuesta. Un usuario ha enviado una respuesta a un formulario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad ResponderId es null. |
Respuesta actualizada | UpdateResponse | El propietario del formulario ha actualizado un comentario o la puntuación en un cuestionario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad ResponderId es null. |
Eliminar todas las respuestas | DeleteAllResponses | Todos los datos de respuesta han sido eliminadas por el propietario del formulario |
Respuesta eliminada | DeleteResponse | El propietario del formulario ha eliminado una respuesta. La propiedad ResponseId:string indicará la respuesta que está siendo eliminada. |
Respuestas vistas | ViewResponses | El propietario del formulario ha visualizado la lista agregada de respuestas. La Propiedad ViewType: la cadena indica si el propietario del formulario está visualizando la lista detallada o agregada. |
Respuesta vista | ViewResponse | El propietario del formulario visualiza una respuesta concreta. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad ResponderId es null. |
Vínculo de resumen creado | GetSummaryLink | El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos. |
Vínculo de resumen eliminado | DeleteSummaryLink | El enlace de resumen de resultados ha sido eliminado por el propietario del formulario. |
Estado de phishing actualizado del formulario | UpdatePhishingStatus | Este evento se registra cada vez que se cambie el valor detallado del estado de seguridad interna, independientemente de que ha cambiado el estado de seguridad final (por ejemplo, el formulario ahora está cerrado o abierto). Esto significa que usted puede ver los eventos duplicados sin un cambio final en el Estado de Seguridad. Los posibles valores de estado de este evento son: -Deseche el -Derribado por la administración -Administrador desbloqueado -Bloqueado automáticamente -Desbloqueado automáticamente -El cliente informó -Restablecer informe de cliente |
Estado de phising de usuario actualizado | UpdateUserPhishingStatus | Este evento se registra cuando se cambia el valor del estado de seguridad de usuario. El valor del estado del usuario en el registro de auditoría es confirmado como Phisher cuando el usuario ha creado un formulario de phishing que ha sido retirado por el equipo de seguridad de Microsoft Online. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal. |
Invitación a Forms Pro enviada | ProInvitation | El usuario selecciona para activar una prueba pro. |
Configuración de formulario actualizada | UpdateFormSetting | El propietario del formulario actualiza una o varias opciones de configuración del formulario. La propiedad FormSettingName:string indica el nombre de la configuración confidencial actualizada. La propiedad NewFormSettings:string indica el nombre de la configuración actualizada y el nuevo valor. La propiedad thankYouMessageContainsLink:boolean indica que el mensaje de agradecimiento actualizado contiene un vínculo URL. |
Configuración del usuario actualizada | UpdateUserSetting | La configuración del usuario ha sido actualizada por el propietario del formulario. La propiedad UserSettingName: la cadena indica el nombre y el nuevo valor de la configuración |
Formularios en la lista | ListForms | La lista de formularios está siendo visualizada por el propietario. La propiedad ViewType:string indicará sobre la visualización que busca el propietario del formulario: todos los formularios, compartidos conmigo o en grupos |
Respuesta enviada | SubmitResponse | Un usuario envía una respuesta sobre un formulario. La propiedad IsInternalForm:boolean indicará si el respondedor está dentro de la misma organización que el propietario del formulario. |
Configuración de cualquier persona puede responder habilitada | AllowAnonymousResponse | El propietario del formulario activa la configuración, lo que permite que cualquier usuario responda al formulario. |
La configuración de cualquier persona que pueda responder está deshabilitada | DisallowAnonymousResponse | El propietario del formulario desactiva la configuración, lo que permite que cualquier usuario responda al formulario. |
La configuración de personas específicas que puedan responder está habilitada | EnableSpecificResponse | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
La configuración de personas específicas que pueden responder está deshabilitada | DisableSpecificResponse | El propietario del formulario desactiva la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
Respondedor específico agregado | AddSpecificResponder | El propietario del formulario añade al nuevo usuario o grupo a la lista respondedores específica. |
Respondedor específico quitado | RemoveSpecificResponder | El propietario del formulario elimina un nuevo usuario o grupo de la lista respondedores específica. |
Colaboración deshabilitada | DisableCollaboration | El propietario del formulario desactiva la configuración de colaboración en el formulario. |
La colaboración de cuenta profesional o educativa de Office 365 está habilitada | EnableWorkOrSchoolCollaboration | El propietario del formulario activa el ajuste que permite a los usuarios con una cuenta profesional o educativa de Microsoft 365 ver y editar el formulario. |
La colaboración de personas en mi organización está habilitada | EnableSameOrgCollaboration | El propietario del formulario activa la configuración que permite a los usuarios de la organización actual ver y editar el formulario. |
La colaboración con personas específicas está habilitada | EnableSpecificCollaboaration | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual vean y editen el formulario. |
Conectado al libro de Excel | ConnectToExcelWorkbook | Conectado el formulario a un libro de Excel. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual. |
Se ha creado una colección | CollectionCreated | El propietario del formulario ha creado una colección. |
Se ha actualizado una colección | CollectionUpdated | El propietario del formulario ha actualizado una propiedad de la colección. |
Se ha eliminado la colección de la papelera de reciclaje | CollectionHardDeleted | El propietario del formulario ha eliminado de forma permanente una colección de la papelera de reciclaje. |
Se ha movido la colección a la papelera de reciclaje | CollectionSoftDeleted | El propietario del formulario ha movido una colección a la papelera de reciclaje. |
Se ha cambiado el nombre de una colección | CollectionRenamed | El propietario del formulario ha cambiado el nombre de una colección. |
Se ha movido un formulario a la colección | MovedFormIntoCollection | El propietario del formulario ha movido un formulario a una colección. |
Se ha movido un formulario fuera de la colección | MovedFormOutofCollection | El propietario del formulario ha movido un formulario fuera de una colección. |
Actividades de Forms que realizan los coautores y respondedores anónimos
Forms es compatible con la colaboración cuando se diseñan formularios y al analizar las respuestas. Un colaborador de formulario se conoce como coautor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario. Forms también permite crear un formulario que se puede responder de forma anónima. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.
En la siguiente tabla se describen las actividades y la información de auditoría del registro de auditoría en relación con las actividades realizadas por los coautores y respondedores anónimos.
Tipo de actividad | Usuario interno o externo | Identificador de usuario que ha iniciado sesión | Organización que ha iniciado sesión | Tipo de usuario de Forms |
---|---|---|---|---|
Actividades de coautoría | Interno | UPN | Organización del propietario del formulario | Coautor |
Actividades de coautoría | Externo | UPN |
Organización del coautor |
Coautor |
Actividades de coautoría | Externo | urn:forms:coauthor#a0b1c2d3@forms.office.com (La segunda parte del Id. es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario |
Coautor |
Actividades de respuesta | Externo | UPN |
Organización del usuario que responde |
Responder |
Actividades de respuesta | Externo | urn:forms:external#a0b1c2d3@forms.office.com (La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario | Responder |
Actividades de respuesta | Anónimo | urn:forms:anonymous#a0b1c2d3@forms.office.com (La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario | Responder |
Conexión de datos de Microsoft Graph
En la tabla siguiente se enumeran las actividades de usuario y administrador en Microsoft Graph Data Connect que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Aprobación o denegación de una aplicación | ConsentModificationRequest | Un usuario realizó una solicitud de modificación de consentimiento. |
Extracción ejecutada | DataAccessRequestOperation | Un usuario realizó una extracción. Se excluyen los conjuntos de datos de asociados y las ejecuciones de ISV. |
actividades de Microsoft Planner
En la tabla siguiente se enumeran las actividades de usuario y administrador de Microsoft Planner que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Nota:
La actividad de cartera en Planner se registra con Microsoft Project para la actividad de hoja de ruta web. Para obtener más información, consulte la sección Actividades de Microsoft Project para la web.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Leer un plan | PlanRead | Un usuario o una aplicación leen un plan. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid y ContainerId indica null. |
Creación de un plan | PlanCreado | Un usuario o una aplicación crean un plan. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid y ContainerId indica null. |
Modificación de un plan | PlanModified | Un usuario o una aplicación modifica un plan. |
Eliminación de un plan | PlanDeleted | Un usuario o una aplicación eliminan un plan. |
Copia de un plan | PlanCopied | Un usuario o una aplicación copia un plan. Si la operación de copia es ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid y newContainerId indica null. |
Leer una tarea | TaskRead | Un usuario o una aplicación leen una tarea. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null. |
Creación de una tarea | TaskCreated | Un usuario o una aplicación crean una tarea. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null y PlanId indica null. |
Modificación de una tarea | TaskModified | Un usuario o una aplicación modifican una tarea. |
Eliminación de una tarea | TaskDeleted | Un usuario o una aplicación elimina una tarea. |
Asignación de una tarea | TaskAssigned | Un usuario o una aplicación modifican al asignador de una tarea. Puede ser una tarea sin asignar que se asigna o una tarea asignada tiene un nuevo asignado. |
Completado una tarea | TaskCompleted | Un usuario o una aplicación marcan una tarea como completada. |
Creación de una lista | RosterCreated | Un usuario o una aplicación crean una lista. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una cadena vacía. |
Eliminación de una lista | RosterDeleted | Un usuario o una aplicación elimina una lista. |
Se ha agregado un miembro a una lista | RosterMemberAdded | Se agrega un miembro a una lista. Si la operación de adición es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados. |
Se ha quitado un miembro a una lista | RosterMemberDeleted | Un miembro se quita de una lista. Si la operación de eliminación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados. |
Leer una lista de planes | PlanListRead | Un usuario o una aplicación consulta una lista de planes. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una cadena vacía. |
Leer una lista de tareas | TaskListRead | Un usuario o una aplicación consultan una lista de tareas. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una cadena vacía. |
Configuración de inquilino actualizada | TenantSettingsUpdated | Un administrador de inquilinos actualiza la configuración del inquilino. Si la operación de actualización es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica la configuración original y TenantSettings indica que se ha intentado la configuración del inquilino. |
Se ha actualizado la etiqueta de confidencialidad de una lista | RosterSensitivityLabelUpdated | Un usuario o una aplicación actualiza la etiqueta de confidencialidad de una lista. |
Actividades en Microsoft Power Apps
Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación. La asignación de permisos a las aplicaciones también se audita. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.
Nota:
Los eventos de auditoría de directivas de alerta (alerta de protección) (RecordType:45) no se admiten actualmente para PowerApps.
Actividades en Microsoft Power Automate
Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo. Para obtener información sobre la auditoría de actividades de Power Automate, consulte el blog Eventos de auditoría de Power Automate ahora disponibles en el portal de cumplimiento.
Actividades de Microsoft Project para la web
Puede buscar en el registro de auditoría actividades en Microsoft Project para la web. Microsoft Project para la web se basa en Microsoft Dataverse y tiene un proyecto de Power App asociado. Para habilitar la auditoría para escenarios en los que el usuario usa Microsoft Dataverse o Project Power App, consulte la guía de la pestaña Auditoría de configuración del sistema . Para obtener una lista de las entidades relacionadas con Project para la web, consulte la guía Exportar datos de usuario de Project para la web.
Para obtener información sobre Microsoft Project para la web, consulte Microsoft Project para la web.
Nota:
La auditoría de eventos para las actividades de Microsoft Project para la web requiere una licencia de Project Plan 1 de pago (o superior).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Proyecto creado | ProjectCreated | Un usuario o aplicación crea un proyecto. |
Hoja de ruta creada | RoadmapCreated | Un usuario o una aplicación crea una hoja de ruta o una cartera. |
Elemento de hoja de ruta creada | RoadmapItemCreated | Un usuario o una aplicación crea un elemento de hoja de ruta o de cartera. |
Tarea creada | TaskCreated | Un usuario o aplicación crea una tarea. |
Proyecto eliminado | ProjectDeleted | Un usuario o aplicación elimina un proyecto. |
Hoja de ruta eliminada | RoadmapDeleted | Un usuario o una aplicación elimina una hoja de ruta o una cartera. |
Elemento de hoja de ruta eliminada | RoadmapItemDeleted | Un usuario o una aplicación elimina un elemento de hoja de ruta o de cartera. |
Tarea eliminada | TaskDeleted | Un usuario o aplicación elimina una tarea. |
Proyecto al que se ha accedido | ProjectAccessed | Un proyecto es de lectura o aplicación. |
Se ha accedido a la casa del proyecto | ProjectListAccessed | Un usuario consulta una lista de proyectos o hojas de ruta. |
Mapa de ruta al que se accede | RoadmapAccessed | Un usuario o una aplicación leen una hoja de ruta o una cartera. |
Elemento de hoja de ruta al que se ha accedido | RoadmapItemAccessed | Un usuario o una aplicación leen un elemento de hoja de ruta o de cartera. |
Tarea a la que se tiene acceso | TaskAccessed | Un usuario o aplicación lee una tarea. |
Se ha actualizado la configuración del proyecto | ProjectForTheWebProjectSettings | Un administrador actualiza la configuración del proyecto. |
Hoja de ruta actualizada | RoadmapUpdated | Un usuario o una aplicación modifican una hoja de ruta o una cartera. |
Elemento de hoja de ruta actualizada | RoadmapItemUpdated | Un usuario o una aplicación modifica un elemento de hoja de ruta o de cartera. |
Configuración actualizada del plan de desarrollo | ProjectForTheWebRoadmaptSettings | Un administrador actualiza la configuración de la hoja de ruta o de la cartera. |
Tarea actualizada | TaskUpdated | Un usuario o aplicación modifica una tarea. |
Proyecto actualizado | ProjectUpdated | Un usuario o aplicación modifica un proyecto. |
actividades de solución de Auditoría de Microsoft Purview
En la tabla siguiente se enumeran las actividades asociadas a las soluciones de auditoría en el portal de Microsoft Purview, el portal de cumplimiento Microsoft Purview y la Graph API de búsqueda de auditoría. Estas actividades se auditan en la carga de trabajo SecurityComplianceCenter . Para obtener más información, vea Buscar en el registro de auditoría.
No se auditan las actividades de búsqueda y exportación realizadas mediante Search-UnifiedAuditLog .
Nombre descriptivo | Operación | Descripción |
---|---|---|
Búsqueda de auditoría creada | AuditSearchCreated | Se envía una nueva solicitud de búsqueda de auditoría. |
Búsqueda de auditoría completada | AuditSearchCompleted | Se completa un trabajo de búsqueda de auditoría. |
Búsqueda de auditoría cancelada | AuditSearchCancelled | Se cancela un trabajo de búsqueda de auditoría. |
Auditoría de búsqueda eliminada | AuditSearchDeleted | Se elimina un trabajo de búsqueda de auditoría. |
Auditar el trabajo de exportación de búsqueda creado | AuditSearchExportJobCreated | Se crea un trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría. |
Auditar el trabajo de exportación de búsqueda completado | AuditSearchExportJobCompleted | Se completa el trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría. |
Auditar los resultados de exportación de búsqueda descargados | AuditSearchExportResultsDownloaded | Se descargaron los resultados de la búsqueda de una consulta de búsqueda de auditoría. |
Actividades de gobernanza de Microsoft Purview
En la tabla siguiente se enumeran las actividades de gobernanza de Microsoft Purview que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Soluciones de gobernanza de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Recurso o entidad creada | EntityCreated | Se crea o se agrega un nuevo recurso o entidad a un recurso existente. |
Clasificación agregada | ClassificationAdded | Agregue clasificaciones a la entidad de recurso. |
Definición de clasificación creada | ClassificationDefinitionCreated | Cree un tipo de clasificación. |
Definición de clasificación eliminada | ClassificationDefinitionDeleted | Elimine un tipo de clasificación. |
Definición de clasificación actualizada | ClassificationDefinitionUpdated | Actualice un tipo de clasificación. |
Clasificación eliminada | ClassificationDeleted | Elimine las clasificaciones de la entidad de recurso. |
Clasificación actualizada | ClassificationUpdated | Actualice las clasificaciones en la entidad de recurso. |
Entidad eliminada | EntityDeleted | Un recurso o entidad se elimina de un recurso existente. |
Entidad actualizada | EntityUpdated | Incluye: actualización de atributos, actualización de atributos empresariales, información de recopilación (solo incluye identificador de colección), actualización de contactos, customAttributes, jerarquía, homeId, etiquetas, sourceDetails |
Término de glosario asignado | GlosarioTermAssigned | Asigne términos a la entidad de recurso. |
Término de glosario creado | GlosarioTermCreado | Cree un término. |
Término del glosario eliminado | GlosarioTermDeleted | Elimine un término. |
Término del glosario desasociado | GlosarioTermDisassociated | Desasociar términos de la entidad de recurso. |
Término del glosario actualizado | GlosarioTermUpdated | Actualice un término. |
Etiqueta de confidencialidad cambiada | SensitivityLabelChanged | La etiqueta de confidencialidad se agrega, actualiza o elimina. |
Actividades de Microsoft Stream
Puede buscar el registro de auditoría para actividades en Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream" en Registros de auditoría en Microsoft Stream.
Actividades de Microsoft Teams
En la tabla siguiente se enumeran las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams. Teams es un espacio de trabajo de Microsoft 365 orientado en el chat. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para obtener instrucciones de búsqueda más detalladas, consulte Buscar en el registro de auditoría eventos en Microsoft Teams.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Bot agregado al equipo | BotAddedToTeam | Un usuario agrega un bot a un equipo. |
Canal agregado | ChannelAdded | Un usuario agrega un canal a un equipo. |
Conector agregado | ConnectorAdded | Un usuario agrega un conector a un canal. |
Se han agregado detalles sobre la reunión 9 de Teams. | MeetingDetail | Teams agregó información sobre una reunión, incluida la hora de inicio, la hora de finalización y la dirección URL para unirse a la reunión. |
Se agregó información sobre los participantes de la reunión 9 | MeetingParticipantDetail | Teams agregó información sobre los participantes de una reunión, incluido el identificador de usuario de cada participante, la hora en que un participante se unió a la reunión y el momento en que un participante salió de la reunión. |
Miembros agregados 6, 8 | MemberAdded | El propietario de un equipo agrega miembros a un equipo, canal o chat de grupo. |
Pestaña agregada | TabAdded | Un usuario agrega una pestaña a un canal. |
Etiqueta de confidencialidad aplicada | SensitivityLabelApplied | Un usuario o organizador de reuniones aplicó una etiqueta de confidencialidad a una reunión de Teams. |
Configuración de canal cambiada | ChannelSettingChanged | La operación ChannelSettingChanged se registra cuando se realizan las siguientes actividades por un miembro del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
Configuración de organización cambiada | TeamsTenantSettingChanged | La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams en toda la organización. Para más información, consulte Administración de la configuración de Teams para su organización. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
Rol cambiado de miembros del equipo | MemberRoleChanged | El propietario del equipo cambia el rol de los miembros del equipo. Los valores siguientes indican el tipo de rol asignado al usuario. 1 : indica el rol Miembro. 2 : indica el rol Propietario. 3- Indica el rol del invitado. La propiedad Members también incluye el nombre de la organización y la dirección de correo electrónico del miembro. |
Configuración de equipo cambiada | TeamSettingChanged | La operación TeamSettingChanged se registra cuando se realizan las siguientes actividades por el dueño del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
Etiqueta de confidencialidad modificada | SensitivityLabelChanged | Un usuario cambió una etiqueta de confidencialidad en una reunión de Teams. |
Creación de un chat 1 | ChatCreated | Se creó un chat de Teams. |
Equipo creado | TeamCreated | El usuario crea un equipo. |
Se ha eliminado un mensaje 2 | MessageDeleted | Se eliminó un mensaje en un chat o canal. |
Eliminación de todas las aplicaciones de la organización | DeletedAllOrganizationApps | Se eliminaron todas las aplicaciones de la organización del catálogo. |
Aplicación eliminada | AppDeletedFromCatalog | Se ha eliminado una aplicación del catálogo. |
Canal eliminado | ChannelDeleted | Un usuario elimina un canal de un equipo. |
Equipo eliminado | TeamDeleted | Un propietario de equipo elimina un equipo. |
Edición de un mensaje con un vínculo de dirección URL en Teams | MessageEditedHasLink | Un usuario edita un mensaje y le agrega un vínculo de dirección URL en Teams. |
Mensajes exportados 1,2 | MensajesExportados | Se exportaron mensajes de chat o de canal. |
Grabaciones exportadas 1 | GrabaciónExportado | Se exportaron grabaciones de chat. |
Transcripciones exportadas 1 | TranscripcionesExportadas | Se exportaron transcripciones de chat. |
No se pudo validar la invitación al canal compartido 3 | FailedValidation | Un usuario responde a una invitación a un canal compartido, pero la invitación no pudo validarse. |
Chat capturado 1 | ChatRetrieved | Se recuperó un chat de Microsoft Teams. |
Captura de todo el contenido hospedado de un mensaje1 | MessageHostedContentsListed | Se recuperó todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código. |
Aplicación instalada | AppInstalled | Se instaló una aplicación. |
Acción realizada en la tarjeta | PerformedCardAction | Un usuario tomó medidas en una tarjeta adaptable dentro de un chat. Los bots suelen usar tarjetas adaptables para permitir la visualización enriquecida de información e interacción en los chats. Nota: Solo las acciones de entrada insertadas en una tarjeta adaptable dentro de un chat estarán disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario, como "Ver resultado", que abrirá un cuadro de diálogo, o las acciones de usuario dentro de los diálogos no estarán disponibles en el registro de auditoría. |
Publicado un nuevo mensaje 1, 6, 8 | MessageSent | Se ha publicado un nuevo mensaje en un chat o canal. |
Aplicación publicada | AppPublishedToCatalog | Se agregó una aplicación al catálogo. |
Leer un mensaje 1 | MessageRead | Se recuperó un mensaje de un chat o canal. |
Lectura del contenido hospedado de un mensaje 1 | MessageHostedContentRead | Se recuperó el contenido hospedado en un mensaje, como una imagen o un fragmento de código. |
Bot quitado del equipo | BotRemovedFromTeam | Un usuario quita un bot de un equipo. |
Conector quitado | ConnectorRemoved | Un usuario quita un conector de un canal. |
Miembros eliminados 8 | MemberRemoved | El propietario de un equipo quita a los miembros de un equipo, canal o chat de grupo. |
Etiqueta de confidencialidad eliminada | SensitivityLabelRemoved | Un usuario quitó una etiqueta de confidencialidad de una reunión de Teams. |
Se ha quitado el uso compartido del canal de equipo 3. | TerminatedSharing | Un equipo o propietario del canal ha deshabilitado el uso compartido de un canal compartido. |
Uso compartido restaurado del canal de equipo 3 | SharingRestored | Un equipo o propietario del canal ha vuelto a habilitar el uso compartido para un canal compartido. |
Pestaña removida | TabRemoved | Un usuario quita una pestaña de un canal. |
Respuesta a la invitación para el canal compartido 3 | InviteeResponded | Un usuario respondió a una invitación de canal compartido. |
Respuesta a la invitación al canal compartido 3 | ChannelOwnerResponded | Un propietario del canal respondió a una respuesta de un usuario que respondió a una invitación de canal compartido. |
Mensajes recuperados 1 | MessagesListed | Se recuperaron los mensajes de un chat o canal. |
Enviar un mensaje con un vínculo de dirección URL en Teams | MessageCreatedHasLink | Un usuario envía un mensaje que contiene un vínculo de dirección URL en Teams. |
Notificación de cambio enviada para la creación de mensajes 1 | MessageCreatedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un nuevo mensaje. |
Notificación de cambio enviada para la eliminación de mensajes 1 | MessageDeletedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado. |
Notificación de cambio enviada para la actualización de mensajes 1 | MessageUpdatedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje actualizado. |
Invitación enviada para el canal compartido 3 | InviteSent | Un propietario o miembro del canal envía una invitación a un canal compartido. Las invitaciones a canales compartidos se pueden enviar a personas ajenas a la organización si la directiva de canal está configurada para compartir el canal con usuarios externos. |
Suscripción a las notificaciones de cambio de mensaje 1 | SubscribedToMessages | Una aplicación de agente de escucha creó una suscripción para recibir notificaciones de cambios para los mensajes. |
Aplicación desinstalada | AppUninstalled | Se ha desinstalado una aplicación. |
Aplicación actualizada | AppUpdatedInCatalog | Se actualizó una aplicación en el catálogo. |
Se ha actualizado un chat 1 | ChatUpdated | Se actualizó un chat de Teams. |
Se ha actualizado un mensaje 1 | MessageUpdated | Se actualizó un mensaje de un chat o canal. |
Conector actualizado | ConnectorUpdated | Un usuario ha modificado un conector en un canal. |
Pestaña actualizada | TabUpdated | Un usuario ha modificado una pestaña en un canal. |
Aplicación actualizada | AppUpgraded | Una aplicación se actualizó a su versión más reciente en el catálogo. |
Usuario que ha iniciado sesión en Equipos | TeamsSessionStarted | Un usuario inicia sesión en un cliente de Microsoft Teams. Este evento no captura las actividades de actualización de tokens. |
Mensaje nuevo publicado 3,4,6, 8 | MessageSent | Se ha publicado un nuevo mensaje en un chat o canal. |
Nota:
1 Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a un Graph API de Microsoft. Si la operación se realiza en el cliente de Teams, no se registrará un registro de auditoría.
2 Este evento solo está disponible en Auditoría (Premium). Esto significa que se debe asignar a los usuarios la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría (Premium), consulte Auditoría (Premium) en Microsoft Purview. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
3 Este evento está en versión preliminar pública.
4Este evento se genera para el chat solo si hay invitados, usuarios federados o anónimos.
5 Este evento no está disponible actualmente en las organizaciones Government Community Cloud (GCC), Government Community Cloud High (GCC-High) y Department of Defense (DoD).
6 Este evento se incluye en todos los inquilinos participantes para los chats federados.
7 Este evento tiene información de dominio participante para los chats federados 1:1.
8 Este evento se incluye en todas las conversaciones de chat entre usuarios externos de Teams administrados por una organización y usuarios externos de Teams no administrados por una organización.
9 Este evento no está disponible actualmente en las organizaciones government community cloud (GCC) y departamento de defensa (DoD).
Actividades de Microsoft Teams para Sanidad
Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar el registro de auditoría para las actividades relacionadas con el uso de la aplicación Pacientes. Si su entorno está configurado para admitir la aplicación Pacientes, un grupo adicional de actividad está disponible para estas actividades en la lista del selector Actividades.
Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.
Actividades de Turnos en Microsoft Teams
En la tabla siguiente se enumeran las actividades de la aplicación Shift en Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría actividades relacionadas con el uso de la aplicación Turnos. Si su entorno está configurado para admitir la aplicación Turnos, habrá disponible un grupo adicional de esas actividades en la lista del selector Actividades.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Grupo de programación agregado | ScheduleGroupAdded | Un usuario agrega correctamente un nuevo grupo de programación a la programación. |
Grupo de programación editado | ScheduleGroupEdited | Un usuario edita correctamente un grupo de programación. |
Grupo de programación eliminado | ScheduleGroupDeleted | Un usuario elimina correctamente un grupo de programación de la programación. |
Se retiró la programación | ScheduleWithdrawn | Un usuario retira correctamente una programación publicada. |
Desplazamiento agregado | MayúsAgregar | Un usuario agrega correctamente un turno. |
Desplazamiento editado | MayúsEdited | Un usuario edita correctamente un turno. |
Desplazamiento eliminado | ShiftDeleted | Un usuario elimina correctamente un turno. |
Tiempo de expiración agregado | TimeOffAdded | Un usuario agrega correctamente tiempo de expiración en la programación. |
Tiempo de expiración editado | TimeOffEdited | Un usuario edita correctamente el tiempo de expiración. |
Tiempo de expiración eliminado | TimeOffDeleted | Un usuario elimina correctamente el tiempo de expiración. |
Se agregó el turno abierto | OpenShiftAdded | Un usuario agrega correctamente un turno abierto a un grupo de programación. |
Turno abierto editado | OpenShiftEdited | Un usuario edita correctamente un turno abierto en un grupo de programación. |
Desplazamiento abierto eliminado | OpenShiftDeleted | Un usuario elimina correctamente un turno abierto de un grupo de programación. |
Programación compartida | ScheduleShared | Un usuario ha compartido correctamente una programación de equipo para un intervalo de fechas. |
Se ha cronometrado con el reloj de hora | ClockedIn | Un usuario realiza correctamente el reloj en el uso del reloj de hora. |
Se ha agotado el reloj con el reloj de hora | ClockedOut | Un usuario cierra el reloj correctamente con Reloj de hora. |
Inicio de la interrupción mediante el reloj de hora | BreakStarted | Un usuario inicia correctamente una interrupción durante una sesión de reloj de hora activa. |
Interrupción finalizada mediante el reloj de hora | BreakEnded | Un usuario finaliza correctamente una interrupción durante una sesión de reloj de hora activa. |
Entrada de reloj de hora agregada | TimeClockEntryAdded | Un usuario agrega correctamente una nueva entrada manual de reloj de hora en la hoja de horas. |
Entrada de reloj de hora editada | TimeClockEntryEdited | Un usuario edita correctamente una entrada de reloj de hora en la hoja de horas. |
Entrada de reloj de hora eliminada | TimeClockEntryDeleted | Un usuario elimina correctamente una entrada de reloj de hora en la hoja de horas. |
Solicitud de desplazamiento agregada | RequestAdded | Un usuario agregó una solicitud de turno. |
Respuesta a la solicitud de cambio | RequestRespondedTo | Un usuario respondió a una solicitud de turno. |
Solicitud de desplazamiento cancelada | RequestCancelled | Un usuario canceló una solicitud de turno. |
Configuración de programación modificada | ScheduleSettingChanged | Un usuario cambia una configuración en La configuración de desplazamientos. |
Integración de la fuerza de trabajo agregada | WorkforceIntegrationAdded | La aplicación Shifts se integra con un sistema de terceros. |
Mensaje de desplazamiento desactivado aceptado | OffShiftDialogAccepted | Un usuario confirma el mensaje fuera de turno para acceder a Teams después de las horas de turno. |
Actividades de Novedades de Microsoft Teams
En la tabla siguiente se muestra Novedades aplicación en las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación de Novedades en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con el uso de la aplicación de Novedades. Si el entorno está configurado para admitir Novedades aplicaciones, hay disponible un grupo de actividades adicional para estas actividades en la lista Selector de actividades.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Creación de una solicitud de actualización | CreateUpdateRequest | Un usuario crea correctamente una solicitud de actualización. |
Edición de una solicitud de actualización | EditUpdateRequest | Un usuario abre el Asistente para la edición de solicitudes y selecciona Guardar para confirmar y guardar los cambios, o habilita o deshabilita la solicitud de actualización directamente. |
Envío de una actualización | SubmitUpdate | Un usuario envía correctamente una actualización. |
Ver los detalles de una actualización | ViewUpdate | Un usuario ve los detalles de la actualización. |
Actividades pendientes de Microsoft
En la tabla siguiente se enumeran las actividades de Microsoft To Do que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft To Do, consulte Compatibilidad con Microsoft To Do.
Nota:
Los eventos de auditoría de las actividades de Microsoft To Do requieren una licencia de Project Plan 1 de pago (o superior) además de la licencia de Microsoft 365 pertinente que incluya derechos a Auditoría (Premium).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Vínculo de uso compartido aceptado en la carpeta | AcceptedSharingLinkOnFolder | Vínculo de uso compartido aceptado para una carpeta. |
Datos adjuntos creados | AttachmentCreated | Se creó un archivo adjunto para una tarea. |
Datos adjuntos actualizados | AttachmentUpdated | Se ha actualizado un archivo adjunto. |
Datos adjuntos eliminados | AttachmentDeleted | Se eliminó un archivo adjunto. |
Vínculo compartido de uso compartido de carpetas | FolderSharingLinkShared | Se ha creado un vínculo de uso compartido para una carpeta. |
Entidad vinculada eliminada | LinkedEntityDeleted | Se eliminó una entidad vinculada. |
Entidad vinculada actualizada | LinkedEntityUpdated | Se actualizó una entidad vinculada. |
Entidad vinculada creada | LinkedEntityCreated | Se creó una entidad vinculada de tarea. |
SubTask creado | SubTaskCreated | Se creó una subtarea. |
SubTask eliminado | SubTaskDeleted | Se eliminó una subtarea. |
SubTask actualizado | SubTaskUpdated | Se actualizó una subtarea. |
Tarea creada | TaskCreated | Se creó una tarea. |
Tarea eliminada | TaskDeleted | Se eliminó una tarea. |
Lectura de tareas | TaskRead | Se leyó una tarea. |
Tarea actualizada | TaskUpdated | Se actualizó una tarea. |
TaskList creado | TaskListCreated | Se creó una lista de tareas. |
TaskList read | TaskListRead | Se leyó una lista de tareas. |
TaskList actualizado | TaskListUpdated | Se actualizó una lista de tareas. |
Invitado por el usuario | UserInvited | Usuario invitado a una carpeta. |
actividades de Microsoft Viva Insights
Viva Insights proporciona información sobre cómo colaboran los grupos en toda la organización. En la tabla siguiente se enumeran las actividades realizadas por los usuarios a las que se les asigna el rol administrador o los roles de analista en Viva Insights. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis. Los usuarios asignados al rol Administrador pueden configurar los valores predeterminados de privacidad y del sistema, y pueden preparar, cargar y comprobar los datos de la organización en Viva Insights. Para obtener más información, consulte Introducción a Microsoft Viva Insights.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Vínculo de acceso de OData | AccessedOdataLink | El analista ha accedido al vínculo OData para una consulta. |
Se ha agregado el acceso de delegado | AddDelegates | Un usuario agregó acceso delegado para información de la organización o panel de Copilot. |
Consulta cancelada | CanceledQuery | El analista canceló una consulta en ejecución. |
Exclusión de reuniones creada | MeetingExclusionCreated | El analista creó una regla de exclusión de la reunión. |
Resultado eliminado | DeletedResult | El analista ha eliminado un resultado de la consulta. |
Reporte descargado | DownloadedReport | El analista ha descargado un archivo de resultado de la consulta. |
Consulta ejecutada | ExecutedQuery | El analista ha ejecutado una consulta. |
Se ha quitado el acceso de delegado | RemoveDelegates | Un usuario quitó el acceso delegado para información de la organización o el panel de Copilot. |
Configuración de acceso a datos actualizada | UpdatedDataAccessSetting | Configuración de acceso a datos de administrador actualizada |
Configuración de privacidad actualizada | UpdatedPrivacySetting | Administración la configuración de privacidad actualizada; por ejemplo, el tamaño mínimo del grupo. |
Datos de la organización cargados. | UploadedOrgData | Archivo de datos de la organización cargado por el administrador. |
Usuario que ha iniciado sesión* | UserLoggedIn | Un usuario ha iniciado sesión en su cuenta de usuario de Microsoft 365. |
Usuario que ha cerrado sesión* | UserLoggedOff | Un usuario ha cerrado sesión en su cuenta de usuario de Microsoft 365. |
Explorar vista | ViewedExplore | El analista visualizó una o más pestañas de la página de exploración. |
Nota:
*cuando un usuario inicia sesión, se crea un evento de actividad de inicio de sesión y cierre de sesión de Microsoft Entra. Esta actividad se registra incluso si no tiene Viva Insights activada en su organización. Para obtener más información sobre las actividades de inicio de sesión de usuario, consulte Inicio de sesión en Microsoft Entra ID.
Actividades de información personal
En la tabla siguiente se enumeran las actividades de información personal que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre información personal, consulte Administración guía de información personal.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Configuración actualizada de MyAnalytics de la organización | UpdatedOrganizationMyAnalyticsSettings | Administración actualiza la configuración de nivel de organización para obtener información personal. |
Actualización de la configuración de MyAnalytics del usuario | UpdatedUserMyAnalyticsSettings | Administración actualiza la configuración del usuario para obtener información personal. |
Actividades de cuarentena
En la tabla siguiente se enumeran las actividades de cuarentena que puede buscar en el registro de auditoría. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Mensaje de cuarentena eliminado | QuarantineDeleteMessage | Un administrador o usuario eliminó un mensaje de correo electrónico que se consideró perjudicial. |
Solicitud de liberación de mensajes de cuarentena denegados | QuarantineReleaseRequestDeny | Denegación de administración de una solicitud de lanzamiento de un usuario para un mensaje de correo electrónico que se consideró perjudicial. |
Mensaje de cuarentena exportado | QuarantineExport | Un administrador o usuario exportó un mensaje de correo electrónico que se consideró perjudicial. |
Vista previa de mensaje de cuarentena | QuarantinePreview | Un administrador o usuario obtuvo una vista previa de un mensaje de correo electrónico que se consideró perjudicial. |
Mensaje de cuarentena liberado | QuarantineRelease | Un administrador o usuario publicó un mensaje de correo electrónico de la cuarentena que se consideró perjudicial. |
Mensaje de cuarentena de solicitud de versión | QuarantineReleaseRequest | Un usuario solicitó la liberación de un mensaje de correo electrónico que se consideró perjudicial. |
Vista de encabezado mensaje de cuarentena | QuarantineViewHeader | Un administrador o usuario ha visto en el encabezado un mensaje de correo electrónico que se ha considerado perjudicial. |
Actividades de informe
En la tabla siguiente se enumeran las actividades de los informes de uso que se registran en el registro de auditoría de Microsoft 365.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Configuración de privacidad del informe de uso actualizada | UpdateUsageReportsPrivacySetting | El administrador ha actualizado la configuración de privacidad de los informes de uso. |
Actividades de las directivas y etiquetas de retención
En la tabla siguiente se describen las actividades de configuración de las directivas de retención y las etiquetas de retención cuando se crearon, reconfiguraron o eliminaron.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Modificación de la pertenencia al ámbito de adaptación | ApplicableAdaptiveScopeChange | Los usuarios, sitios o grupos se agregaron o quitaron del ámbito de adaptación. Estos cambios son los resultados de ejecutar la consulta del ámbito. Dado que los cambios se inician en el sistema, el usuario notificado se muestra como un GUID en lugar de como una cuenta de usuario. |
Opciones configuradas para una directiva de retención | NewRetentionComplianceRule | El administrador estableció la configuración de retención para una nueva directiva de retención. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule. |
Ámbito de adaptación creado | NewAdaptiveScope | El administrador creó un ámbito de adaptación. |
Etiqueta de retención creada | NewComplianceTag | El administrador creó una etiqueta de retención nueva. |
Directiva de retención creada | NewRetentionCompliancePolicy | El administrador creó una nueva directiva de retención. |
Ámbito de adaptación eliminado | RemoveAdaptiveScope | El administrador eliminó un ámbito de adaptación. |
Configuración eliminada de una directiva de retención | RemoveRetentionComplianceRule |
El administrador eliminó las opciones de configuración de una directiva de retención. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule. |
Etiqueta de retención eliminada | RemoveComplianceTag | El administrador eliminó una etiqueta de retención. |
Directiva de retención eliminada | RemoveRetentionCompliancePolicy |
El administrador eliminó una directiva de retención. |
Opción de registro normativo habilitada para etiquetas de retención |
SetRestrictiveRetentionUI | El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario. |
Elemento de correo electrónico retenido de forma proactiva | ExchangeDataProactivelyPreserved | La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en Exchange. |
Archivo retenido de forma proactiva | SharePointDataProactivelyPreserved | La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en SharePoint o OneDrive. |
Ámbito de adaptación actualizado | SetAdaptiveScope | El administrador cambió la descripción o consulta de un ámbito de adaptación existente. |
Configuración actualizada para una directiva de retención | SetRetentionComplianceRule | El administrador cambió la configuración de retención de una directiva de retención existente. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule. |
Etiqueta de retención actualizada | SetComplianceTag | El administrador actualizó una etiqueta de retención existente. |
Directiva de retención actualizada | SetRetentionCompliancePolicy | El administrador actualizó una directiva de retención existente. Las actualizaciones que desencadenan este evento incluyen agregar o excluir ubicaciones de contenido a las que se aplica la directiva de retención. |
Actividades de administración de roles
En la tabla siguiente se enumeran Microsoft Entra actividades de administración de roles que se registran cuando un administrador administra los roles de administrador en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota:
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( .
). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" "
) que contengan el nombre de la operación.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Agregar miembro a un rol | Agregar miembro a un rol. | Se ha agregado un usuario a un rol de administrador en Microsoft 365. |
Se ha removido un usuario de un rol de directorio | Quitar miembro de un rol. | Se ha eliminado un usuario desde un rol de administrador en Microsoft 365. |
Establecer la información de contacto de la empresa | Establecer la información de contacto de la empresa. | Se han actualizado las preferencias de contacto a nivel empresarial de la organización. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios. |
Actividades de tipos de información confidencial
En la tabla siguiente se describen los eventos de auditoría de las actividades que implican la creación y actualización de tipos de información confidencial.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Se ha creado un nuevo tipo de información confidencial | CreateRulePackage/EditRulePackage* | Se creó un nuevo tipo de información confidencial. Esto incluye los SIT creados mediante la copia de un SIT de fábrica. Nota: Esta actividad aparece en las actividades de auditoría "Paquete de reglas creadas" o "Paquete de reglas editado". |
Editado un tipo de información confidencial | EditRulePackage | Se editó un tipo de información confidencial existente. Esto puede incluir operaciones como agregar o quitar un patrón y editar la expresión regex/palabra clave asociada al tipo de información confidencial. Nota: Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado". |
Eliminación de un tipo de información confidencial | EditRulePackage/RemoveRulePackage | Se eliminó un tipo de información confidencial existente. Nota: Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado" o "Paquete de reglas quitado". |
Actividades de la etiqueta de confidencialidad
En la tabla siguiente se enumeran los eventos resultantes del uso de etiquetas de confidencialidad con sitios y elementos administrados por Microsoft Purview. Los elementos incluyen documentos, correos electrónicos y eventos de calendario. Para las directivas de etiquetado automático, los elementos también incluyen archivos y recursos de datos esquematizados en Mapa de datos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Etiqueta de confidencialidad aplicada al sitio | SiteSensitivityLabelApplied | Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos. |
Etiqueta de confidencialidad eliminada del sitio | SiteSensitivityLabelRemoved | Se quitó una etiqueta de confidencialidad de un sitio de SharePoint o un sitio de Teams que no está conectado a grupos. |
Etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelApplied SensitivityLabelApplied |
Se aplicó una etiqueta de confidencialidad a un elemento mediante aplicaciones de Microsoft 365, Office para la Web o una directiva de etiquetado automático. Las operaciones de esta actividad son diferentes en función de cómo se aplicó la etiqueta: - Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelApplied) - Aplicaciones de Microsoft 365 (SensitivityLabelApplied) |
Se ha cambiado la etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelChanged SensitivityLabelUpdated |
Se aplicó una etiqueta de confidencialidad diferente a un elemento. Las operaciones de esta actividad son diferentes en función de cómo se cambió la etiqueta: - Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelChanged) - Aplicaciones de Microsoft 365 (SensitivityLabelUpdated) |
Etiqueta de confidencialidad modificada en un sitio | SiteSensitivityLabelChanged | Se aplicó una etiqueta de confidencialidad diferente a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos. |
Etiqueta de confidencialidad eliminada del sitio | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Se quitó una etiqueta de confidencialidad de un elemento mediante aplicaciones de Microsoft 365, Office para la Web, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile. Las operaciones de esta actividad son diferentes en función de cómo se haya quitado la etiqueta: - Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelRemoved) - Aplicaciones de Microsoft 365 (SensitivityLabelRemoved) |
Información de auditoría adicional para etiquetas de confidencialidad:
- Cuando se usan etiquetas de confidencialidad para Grupos de Microsoft 365 y, por tanto, sitios de Teams que están conectados a grupos, las etiquetas se auditan con la administración de grupos en Microsoft Entra ID. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID.
- Cuando use etiquetas de confidencialidad para invitaciones a reuniones de Teams y opciones de reunión y chat de Teams, consulte Búsqueda en el registro de auditoría de eventos en Microsoft Teams.
- Cuando use etiquetas de confidencialidad con Power BI, consulte Esquema de auditoría para etiquetas de confidencialidad en Power BI.
- Cuando use etiquetas de confidencialidad con Microsoft Defender para aplicaciones en la nube, consulte Administración de aplicaciones conectadas y la información de etiquetado para las acciones de gobernanza de archivos.
- Al aplicar etiquetas de confidencialidad mediante el cliente o el analizador de Microsoft Purview Information Protection o el SDK de Microsoft Information Protection (MIP), consulte Referencia del registro de auditoría de Azure Information Protection.
Lista de actividades de SharePoint
En la siguiente tabla se describen las actividades relacionadas cuando los usuarios interactúan con listas y elementos de lista en SharePoint en línea. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Lista creada | ListCreated | Un usuario ha creado una lista de SharePoint. |
Columna de lista creada | ListColumnCreated | Un usuario ha creado una columna de lista de SharePoint. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint. |
Lista de tipo de contenido de lista creado | ListContentTypeCreated | Lista de tipo de contenido creado por un usuario. Una lista de tipo de contenido es un tipo de contenido que está adjunta a una o más listas de SharePoint. |
Lista de ítems creada | ListItemCreated | Un usuario creó un elemento en una lista de SharePoint existente. |
Una columna de sitio creada. | SiteColumnCreated | Un usuario ha creado una columna de sitio de SharePoint. Una columna de sitio es una columna que no está adjunta a una lista. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada. |
Tipo de contenido de sitio creado | Sitio de ContentType creado | Tipo de contenido de sitio creado por un usuario. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal. |
Lista eliminada | ListDeleted | Un usuario borró una lista de SharePoint. |
Eliminar Columna de lista | Columna de lista eliminada | Un usuario borró una columna de lista de SharePoint. |
Lista de tipo de contenido eliminado | ListContentTypeDeleted | Un usuario borró una lista de tipo de contenido. |
Eliminar Lista de elementos | Lista de elementos eliminada | Un usuario borró una lista de elementos de SharePoint. |
Columna de sitio eliminada. | SiteColumnDeleted | Un usuario borró una columna de sitio de SharePoint. |
Tipo de contenido de sitio eliminado | SiteContentTypeDeleted | Un usuario borró un sitio de tipo de contenido. |
Lista de elementos reciclados | ListItemRecycled | Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje. |
Lista restaurada | ListRestored | Un usuario restauró una lista de SharePoint a la papelera de reciclaje. |
Lista de elementos restaurada | ListItemRestored | Un usuario restauró una lista de SharePoint de la papelera de reciclaje. |
Lista actualizada | ListUpdated | Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades. |
Columna de lista actualizada | ListColumnUpdated | Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades. |
Lista de tipo de contenido actualizado | ListContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades. |
Lista de elementos actualizada | ListItemUpdated | Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades. |
Vista de lista actualizada | ListViewUpdated | Un usuario actualizó una vista de lista de SharePoint modificando una o varias propiedades. |
Una columna de sitio actualizada. | SiteColumnUpdated | Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades. |
Tipo de contenido de sitio actualizado | SiteContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades. |
Actividades de solicitud de acceso y uso compartido
La siguiente tabla describe las actividades de solicitud de acceso y uso compartido de usuarios en SharePoint en línea y OneDrive para empresas. Para los eventos compartidos, la columna deDetallessegún losResultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.
Nota:
Los usuarios pueden ser miembros o invitados en función de la propiedad UserType del objeto user. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Nivel de permiso agregado a la colección de sitios | PermissionLevelAdded | Un nivel de permisos se agregó a una colección de sitios. |
Solicitud de acceso aceptada | AccessRequestAccepted | Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso. |
Invitación de uso compartido aceptada | SharingInvitationAccepted | El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
Invitación de uso compartido bloqueada | SharingInvitationBlocked | Una invitación para compartir enviada por un usuario de su organización está bloqueada por una normativa de uso compartido externa que permite o niega el uso compartido externo basándose en el dominio del usuario de destino. En este caso, la invitación para compartir se bloqueó porque: El dominio del usuario de destino no está incluido en la lista de dominios permitidos. O bien: El dominio del usuario de destino está incluido en la lista de dominios bloqueados. Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint en línea y OneDrive para Empresas. |
Solicitud de acceso creada | AccessRequestCreated | El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder. |
Vínculo creado que se puede compartir de la empresa | CompanyLinkCreated | El usuario ha creado un vínculo empresarial de recursos. los vínculos empresariales solo pueden usarse por los miembros de su organización. No pueden ser usados por invitados. |
Vínculo anónimo creado | AnonymousLinkCreated | El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse. |
Vínculo de seguridad creado | SecureLinkCreated | Se ha creado un vínculo de uso compartido seguro para este elemento. |
Invitación de uso compartido creada | SharingInvitationCreated | El usuario ha compartido un recurso en o con un usuario que no está en el directorio de su organización. |
Vínculo de seguridad eliminado | SecureLinkDeleted | Un vínculo para uso compartido seguro se ha eliminado. |
Solicitud de acceso denegada | AccessRequestDenied | Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado. |
Vínculo quitado que se puede compartir de la empresa | CompanyLinkRemoved | El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
Vínculo anónimo quitado | AnonymousLinkRemoved | El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
Sitio, carpeta o archivo compartidos | SharingSet | El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive con un usuario en el directorio de la organización. El valor de la columna Detallespara esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado. Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario a los recursos. Por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
Solicitud de acceso actualizada | AccessRequestUpdated | Se actualizó una solicitud de acceso a un elemento. |
Vínculo anónimo actualizado | AnonymousLinkUpdated | El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda. |
Invitación de uso compartido actualizada | SharingInvitationUpdated | Se actualizó una invitación para uso compartido externo. |
Vínculo anónimo usado | AnonymousLinkUsed | Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario. |
Sitio, carpeta o archivo no compartido | SharingRevoked | El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario. |
Vínculo usado que se puede compartir de la empresa | CompanyLinkUsed | El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa. |
Vínculo seguro usado | SecureLinkUsed | Un usuario usó un vínculo seguro. |
Usuario añadido a vínculo seguro | AddedToSecureLink | Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
Usuario quitado de un vínculo seguro | RemovedFromSecureLink | Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
Invitación de uso compartido retirada | SharingInvitationRevoked | El usuario ha retirado una invitación de uso compartido a un recurso. |
Actividades de administración del sitio
En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint en línea. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Ubicación de datos añadidos permitidos | AllowedDataLocationAdded | Un administrador global o de SharePoint ha agregado una ubicación de datos permitida en un entorno multi geo. |
Agente de usuario exento agregado | ExemptUserAgentSet | El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint. |
Se ha agregado el administrador de ubicación geográfica | GeoAdminAdded | Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación. |
Usuario permitido para crear grupos | AllowGroupCreationSet | El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio. |
Desplazamiento geográfico de sitio cancelado | SiteGeoMoveCancelled | Un administrador global o de SharePoint canceló correctamente un desplazamiento geográfica de un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
Normativa de uso compartido cambiada | SharingPolicyChanged | Un administrador global o de SharePoint cambió una directiva de uso compartido de SharePoint mediante el Centro de administración de Microsoft 365, el Centro de administración de SharePoint o el Shell de SharePoint Online Management. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización. La normativa cambiada se identifica en el campoModifiedProperties en las propiedades detalladas del registro de eventos. |
Directiva de acceso del dispositivo cambiada | DeviceAccessPolicyChanged | Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados. |
Agente de usuario exento cambiado | CustomizeExemptUsers | El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devuelve como un archivo XML, en lugar de una página web completa. Esto acelera la indexación de formularios de InfoPath. |
Directiva de acceso de red cambiada | NetworkAccessPolicyChanged | Un administrador global o de SharePoint cambió la normativa de acceso basado en la ubicación (también denominada un límite de red de confianza) en el Centro de administración SharePoint o mediante el PowerShell de SharePoint en línea. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, consulte Controlar el acceso a datos de SharePoint en línea y OneDrive en función de las ubicaciones de red. |
Trabajo de migración completado | MigrationJobCompleted | Un trabajo de migración se completó correctamente. |
Desplazamiento geográfico de sitio completado | SiteGeoMoveCompleted | El desplazamiento geográfico de un sitio que fue programado por un administrador global de su organización se ha completado correctamente. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
Conexión a enviar creada | SendToConnectionAdded | Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada. |
Colección de sitios creada | SiteCollectionCreated | Un administrador global o de SharePoint crea una colección de sitios en su organización de SharePoint en línea o un usuario aplica el sitio de OneDrive para empresas. |
Orphaned hub site borrado | HubSiteOrphanHubDeleted | Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original |
Conexión a enviar eliminada | SendToConnectionRemoved | El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint. |
Sitio eliminado | SiteDeleted | El administrador del sitio elimina un sitio. |
Vista previa del documento habilitada | PreviewModeEnabledSet | El administrador del sitio habilita la vista previa del documento para un sitio. |
Flujo de trabajo heredado habilitado | LegacyWorkflowEnabledSet | El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint. |
Petición a Office habilitada | OfficeOnDemandSet | El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas. |
Origen de resultados habilitado para las búsquedas de personas | PeopleResultsScopeSet | El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio. |
Fuentes RSS habilitadas | NewsFeedEnabledSet | El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint. |
Sitio unido al centro del sitio | HubSiteJoined | El propietario de un sitio lo asocia a un sitio central. |
Cuota de colección de sitios modificada | SiteCollectionQuotaModified | El administrador del sitio modifica la cuota de una colección de sitios. |
Sitio central registrado | HubSiteRegistered | Un administrador global o de SharePoint crea un sitio central. El resultado es que el sitio se registra para ser un sitio central. |
Ubicación de datos permitidos removidos | AllowedDataLocationDeleted | Un administrador global o de SharePoint ha removido una ubicación de datos permitida en un entorno multi geográfico. |
Se ha removido el administrador de ubicación geográfica | GeoAdminDeleted | Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación. |
Sitio renombrado | SiteRenamed | El administrador o el propietario del sitio cambia el nombre de un sitio |
Desplazamiento geográfico de sitio programado | SiteGeoMoveScheduled | Un administrador global o de SharePoint desplazó geográficamente con éxito un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
Establecer sitio del host | HostSiteSet | Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive para empresas. |
Configurar una cuota de almacenamiento para una ubicación geográfica | GeoQuotaAllocated | Un administrador global o de SharePoint configuró cuota de almacenamiento para ubicación geográfica en un entorno multi geográfico. |
Sitio no unido desde el sitio central. | HubSiteUnjoined | El propietario de un sitio lo disocia de un sitio a un sitio central. |
Sitio central no registrado | HubSiteUnregistered | Un administrador global o de SharePoint elimina el registro del sitio como un sitio central. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central. |
Actividades de sitios de permisos
La siguiente tabla enumera eventos relacionan asignar permisos en SharePoint con usar grupos para dar (y revocar) acceso a sitios. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Administradores de la colección de sitios agregados | SiteCollectionAdminAdded | El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365). |
Usuario o grupo agregado al grupo de SharePoint | AddedToGroup | El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido. |
Herencia de nivel de permisos interrumpida | PermissionLevelsInheritanceBroken | Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario. |
Herencia de uso compartido interrumpida | SharingInheritanceBroken | Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario. |
Grupo creado | GroupAdded | El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido. |
Grupo eliminado | GroupRemoved | El usuario elimina un grupo de un sitio. |
Configuración de solicitud de acceso modificada | WebRequestAccessModified | La configuración de solicitud de acceso fueron modificadas en un sitio. |
Configuración modificada "los miembros pueden compartir" | WebMembersCanShareModified | Los miembros pueden compartir la configuración se ha modificado en un sitio. |
Nivel de permiso modificado en una colección de sitios | PermissionLevelModified | Un nivel de permisos se modificó en una colección de sitios. |
Permisos de sitio modificados | SitePermissionsModified | El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos son removidos de un grupo. Nota:Esta operación se ha dejado de usar en SharePoint en línea. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint,Usuario permitido para crear grupos, Grupo creado y Grupo eliminado. |
Nivel de permiso eliminado de la colección de sitios | PermissionLevelRemoved | Un nivel de permisos se eliminó de una colección de sitios. |
Administradores de la colección de sitios removidos | SiteCollectionAdminRemoved | El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades. |
Usuario o grupo removido al grupo de SharePoint | RemovedFromGroup | El usuario ha removido un miembro o invitado de un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido. |
Permisos de administrador del sitio solicitados | SiteAdminChangeRequest | Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios. |
Herencia de uso compartido restaurada | SharingInheritanceReset | Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario. |
Grupo actualizado | GroupUpdated | El administrador o el propietario cambia la configuración de un grupo para un sitio. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia. |
Actividades de sincronización
La siguiente tabla enumera la sincronización de archivos de actividades en SharePoint en línea y OneDrive para empresas.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Equipo permitido para sincronizar archivos | ManagedSyncClientAllowed | El usuario establece correctamente una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
Computadora bloqueada de los archivos de sincronización | UnmanagedSyncClientBlocked | El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es miembro del dominio de su organización o es miembro de un dominio que no se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que pueden acceder a las bibliotecas de documentos de su organización. No se permite la relación de sincronización y el equipo del usuario no puede sincronizar, descargar o cargar archivos en una biblioteca de documentos. Para obtener más información sobre esta característica, vea Usar cmdlets de PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
Archivos descargados al equipo | FileSyncDownloadedFull | El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe). |
Cambios de archivos descargados al equipo | FileSyncDownloadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe). |
Archivos cargados a la biblioteca de documentos | FileSyncUploadedFull | El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe). |
Cambios de archivos cargados a la biblioteca de documentos | FileSyncUploadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe). |
Actividades de SystemSync
En la tabla siguiente se enumeran las actividades de SystemSync que se registran en el registro de auditoría de Microsoft 365.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Uso compartido de datos creado | DataShareCreated | Cuando el usuario crea la exportación de datos. |
Uso compartido de datos eliminado | DataShareDeleted | Cuando el usuario elimina la exportación de datos. |
Generar una copia de Lake Data | GenerateCopyOfLakeData | Cuando se genera la copia de Lake Data. |
Descargar copia de Lake Data | DownloadCopyOfLakeData | Cuando se descarga la copia de Lake Data. |
Actividades de administración de usuarios
En la tabla siguiente se enumeran las actividades de administración de los usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario por medio del Centro de administración de Microsoft 365 o del portal de administración de Azure.
Nota:
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( .
). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" "
) que contengan el nombre de la operación.
Actividad | Operación | Descripción |
---|---|---|
Usuario agregado | Agregar usuario. | Secreó una cuenta de usuario. |
Licencia de usuario cambiada | Cambiar licencia de usuario. | La licencia que se ha asignado a un usuario ha cambiado. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado. |
Contraseña de usuario cambiada | Cambiar contraseña de usuario. | El usuario cambia su contraseña. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña. También puede realizar un seguimiento de la actividad de autoservicio de restablecimiento de contraseña en Microsoft Entra ID. Para obtener más información, consulte Opciones de informes para Microsoft Entra administración de contraseñas. |
Usuario eliminado | Eliminar usuario. | Se ha eliminado una cuenta de usuario. |
Restablecer contraseña de usuario | Restablecer contraseña de usuario. | El administrador restablece la contraseña de un usuario. |
Establecer una propiedad que fuerce al usuario a cambiar la contraseña | Forzar el cambio de la contraseña de usuario. | Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Microsoft 365. |
Establecer propiedades de licencia | Establecer propiedades de licencia. | Un administrador modificó las propiedades de una licencia asignada a un usuario. |
Usuario actualizado | Actualizar usuario. | Un administrador cambia una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que se pueden actualizar, consulte la sección "Actualizar atributos de usuario" de Microsoft Entra auditar eventos de informe. |
actividades de Viva Goals
En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Goals que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Busque en los detalles del registro de auditoría cómo puede buscar los registros de auditoría desde el portal de Microsoft Purview y el portal de cumplimiento. El usuario debe ser un administrador global o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Puede usar el filtro Actividades para buscar actividades específicas y para enumerar todas las actividades Viva Goals puede elegir "VivaGoals" en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Organización creada | Organización creada | Administración o el usuario ha creado una nueva organización en Viva Goals. |
Usuario agregado | Usuario agregado | Se ha agregado un nuevo usuario a una organización en Viva Goals. |
Usuario desactivado | Usuario desactivado | Un usuario se ha desactivado en una organización. |
Usuario eliminado | Usuario eliminado | Un usuario se ha eliminado de una organización en Viva Goals. |
Usuario que ha iniciado sesión | Usuario que ha iniciado sesión | El usuario ha iniciado sesión en Viva Goals. |
Equipo agregado | Equipo agregado | Se ha creado un nuevo equipo dentro de una organización en Viva Goals. |
Equipo actualizado | Equipo actualizado | Un equipo de una organización en Viva Goals se ha modificado o actualizado. |
Equipo eliminado | Equipo eliminado | El usuario ha eliminado un equipo de una organización en Viva Goals. |
Datos exportados | Datos exportados | Un usuario ha exportado una lista de OKR o una lista de usuarios de una organización en Viva Goals. |
Goals directiva actualizada | Goals directiva actualizada | El administrador global ha modificado la directiva o la configuración en el nivel de inquilino en Viva Goals. Por ejemplo, el administrador global ha configurado quién puede crear organizaciones en Viva Goals. |
Configuración de la organización actualizada | Configuración de la organización actualizada | El usuario (normalmente propietarios o administradores de la organización) ha actualizado la configuración específica de la organización en Viva Goals. |
Integraciones de la organización actualizadas | Integraciones de la organización actualizadas | El usuario (normalmente propietarios o administradores de la organización) ha configurado una integración de terceros o ha actualizado una integración de terceros existente para una organización en Viva Goals. |
OKR o proyecto creado | OKR o proyecto creado | El usuario ha creado un OKR o un proyecto en Viva Goals. |
OKR o Project actualizados | OKR o Project actualizados | El usuario o una integración en Viva Goals han modificado un OKR o un proyecto. |
OKR o Proyecto eliminado | OKR o Proyecto eliminado | El usuario ha eliminado un OKR o un proyecto. |
Panel creado | Panel creado | El usuario ha creado un nuevo panel en Viva Goals |
Panel actualizado | Panel actualizado | El usuario ha actualizado un panel en Viva Goals |
Panel eliminado | Panel eliminado | El usuario ha eliminado un panel en Viva Goals. |
actividades de Viva Engage
En la tabla siguiente se enumeran las actividades de usuario y administrador en Viva Engage que se registran en el registro de auditoría. Para devolver actividades relacionadas con Viva Engage del registro de auditoría, debe seleccionar Mostrar resultados para todas las actividades de la lista Actividades. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.
Nota:
Algunas actividades de auditoría de Viva Engage solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).
Nombre descriptivo | Operación | Descripción |
---|---|---|
Directiva de retención de datos cambiada | SoftDeleteSettingsUpdated | Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a eliminación permanente o eliminación temporal. Solo los administradores superiores pueden realizar esta operación. |
Configuración de red cambiada | NetworkConfigurationUpdated | El administrador comprobado o de red cambia la configuración de la red de Viva Engage. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat. |
Configuración del perfil de red cambiada | ProcessProfileFields | Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red. |
Modo de contenido privado cambiado | SupervisorAdminToggled | El administrador comprobado activa o desactiva el modo de contenido privado . Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación. |
Configuración de seguridad cambiada | NetworkSecurityConfigurationUpdated | El administrador comprobado actualiza la configuración de seguridad de la red de Viva Engage. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP. Solo los administradores superiores pueden realizar esta operación. |
Archivo creado | FileCreated | El usuario cargó un archivo. |
Grupo creado | GroupCreation | El usuario crea un grupo. |
Mensaje creado | MessageCreation | El usuario creó un mensaje. |
Grupo eliminado | GroupDeletion | Se elimina un grupo de Viva Engage. |
Mensaje eliminado | MessageDeleted | El usuario eliminó un mensaje. |
Archivo descargado | FileDownloaded | El usuario descargó un archivo. |
Datos exportados | DataExport | El administrador verificado exporta Viva Engage datos de red. Solo los administradores superiores pueden realizar esta operación. |
No ha podido acceder a la comunidad | CommunityAccessFailure | El usuario no pudo acceder a una comunidad. |
No se ha podido acceder al archivo | FileAccessFailure | El usuario no pudo acceder a un archivo. |
No se ha podido acceder al mensaje | MessageAccessFailure | El usuario no pudo acceder a un mensaje. |
Reaccionó al mensaje | MarkedMessageChanged | El usuario reaccionó a un mensaje. |
Quitar tema seleccionado* | RemoveCuratedTopic | El usuario quita un tema seleccionado. |
Archivo compartido | FileShared | Un usuario compartió un archivo con otro usuario. |
Usuario de red suspendido | NetworkUserSuspended | El administrador de red o verificado suspende (desactiva) a un usuario de Viva Engage. |
Usuario suspendido | UserSuspension | Se suspendió una cuenta de usuario (se desactivó). |
Descripción del archivo actualizado | FileUpdateDescription | Un usuario cambió la descripción de un archivo. |
Nombre de archivo actualizado | FileUpdateName | Un usuario cambió el nombre de un archivo. |
Mensaje actualizado | MessageUpdated | El usuario actualizó un mensaje. |
Archivo visualizado | FileVisited | Un usuario visualizó un archivo. |
Mensaje visto | MessageViewed | El usuario vio un mensaje. |
actividades de pulse de Viva
En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Pulse que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Busque en los detalles del registro de auditoría cómo puede buscar los registros de auditoría desde el portal de Microsoft Purview y el portal de cumplimiento. El usuario debe ser un administrador global o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Puede usar el filtro Actividades para buscar actividades específicas y enumerar todas las actividades Viva Pulse, puede elegir VivaPulse en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Respuesta enviada por el usuario a una encuesta de pulsos | PulseSubmit | Administración o los comentarios proporcionados por el usuario para una solicitud de comentarios Viva Pulse. |
El usuario ha creado una encuesta de Pulse | PulseCreate | Se crea una nueva solicitud de comentarios Viva Pulse. |
El usuario ha ampliado la fecha límite de la encuesta de pulsos | PulseExtendDeadline | Se ha ampliado la fecha límite para la solicitud de comentarios Viva Pulse existente. |
Usuario invitado a usuarios adicionales a la encuesta de Pulse | PulseInvite | Se invitó a otros usuarios a una solicitud de comentarios Viva Pulse existente. |
El usuario canceló una encuesta de Pulse | PulseCancel | El usuario ha cancelado una encuesta de Pulse. |
El usuario ha compartido un informe de pulsos | PulseShareResults | Viva resultado de los comentarios de Pulse se ha compartido con los usuarios. |
El usuario ha creado un borrador de Pulse | PulseCreateDraft | El usuario ha creado un borrador de Pulse. |
El usuario eliminó un borrador de Pulse | PulseDeleteDraft | El usuario eliminó un borrador de Pulse. |
Administración eliminar los datos de un usuario | PulseDeleteUserData | Administración ha eliminado los datos de un usuario. |
Administración configuración actualizada del inquilino | PulseTenantSettingsUpdate | Administración ha actualizado una configuración de organización para Viva Pulse. |
Windows 365 actividades de caja de seguridad del cliente
En la tabla siguiente se enumeran las actividades de usuario y administrador en Windows 365 Caja de seguridad del cliente que se registran en el registro de auditoría. Para devolver Windows 365 actividades relacionadas con la caja de seguridad del cliente del registro de auditoría, seleccione Windows365CustomerLockbox en Tipos de registro. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.
Nombre descriptivo | Operación | Descripción |
---|---|---|
Desencadenamiento de la corrección de dispositivos | Desencadenamiento de la corrección de dispositivos | Desencadene la corrección del dispositivo. |
Carga de la carpeta en el blob | Carga de la carpeta en el blob | Comprima y cargue la carpeta del dispositivo del cliente en el blob. |
Comprobación de la directiva de ejecución de PowerShell | Comprobación de la directiva de ejecución de PowerShell | Compruebe la directiva de ejecución de PowerShell. |
Instalación del agente de Escritorio remoto | Instalación del agente de Escritorio remoto | Instale el agente de Escritorio remoto en el dispositivo del usuario. |
Ejecución de la extensión AADJ híbrida | Ejecución de la extensión AADJ híbrida | Ejecute la extensión AADJ híbrida en el dispositivo del usuario. |
Creación de una solicitud vmExtension | Creación de una solicitud vmextention | Crea solicitudes de extensión de máquina virtual para ejecutar la extensión de máquina virtual con el fin de ejecutar scripts personalizados en el dispositivo cliente. |
Orquestador del desencadenador | Orquestador del desencadenador | Orquestador de desencadenadores para el usuario. |
Desencadenamiento de una acción genérica por SaaF | Desencadenamiento de una acción genérica por SaaF | Desencadenar la acción del dispositivo (Redestinación, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para el usuario. |
Desencadenar acción genérica | Desencadenar acción genérica | Desencadenar la acción del dispositivo para el usuario. |
Desencadenamiento de una acción genérica con opciones | Desencadenamiento de una acción genérica con opciones | Desencadene la acción del dispositivo con parámetros de opción, más eficaces que la acción genérica del desencadenador. |
Creación de nuevos elementos de trabajo (Scheduler) | Creación de nuevos elementos de trabajo (Scheduler) | Cree nuevos elementos de trabajo, por ejemplo, Aprovisionar, Desaprovisionar, Reprovisionar, etc. |
Operación posterior a la acción remota | Operación posterior a la acción remota | Después de la acción remota, además de sondear el resultado de la operación GetActions. |
Comandos de ejecución de OCE en la máquina virtual | Comandos de ejecución de OCE en la máquina virtual | Ejecute comandos por tenantID, lista deviceID y script. |
Creación de una solicitud de LogCollection | Creación de una solicitud de LogCollection | Cree una solicitud de recopilación de registros en el equipo en la nube. |
Desencadene la comprobación controlada del agente CMD. | Desencadene la comprobación controlada del agente CMD. | Desencadene la comprobación controlada del agente CMD en un dispositivo específico. |
Ejecución de AppHealthPlugin | Ejecución de AppHealthPlugin | Ejecute AppHealthPlugin. |
Reposición del agente CMD | Operación AddDevicesToBackfill | Reposición del agente CMD en el equipo en la nube. |
Reinstalación del agente CMD | Operación AddDevicesToReinstall | Vuelva a instalar el agente CMD a petición. |
Reinstalación masiva del agente CMD | TriggerClientAgentCheckBulkAction (operación) | Reinstale de forma masiva el agente CMD a petición. |
Creación de una operación de acción remota en ActionModeratorService | Creación de una operación de acción remota en ActionModeratorService | Cree una acción remota mediante tenantID, workspaceID, actionType, actionParameters. |