Compartir a través de


¿Qué son los registros de auditoría de Microsoft Entra?

Los registros de actividad de Microsoft Entra incluyen registros de auditoría, que son informes completos sobre cada evento registrado en Microsoft Entra ID. Los cambios en las aplicaciones, grupos, usuarios y licencias se capturan en los registros de auditoría de Microsoft Entra.

También hay otros dos registros de actividad disponibles para ayudar a supervisar el estado del inquilino:

  • Inicios de sesión: información sobre los inicios de sesión y cómo los usuarios emplean los recursos.
  • Aprovisionamiento: actividades realizadas por el servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de Workday.

En este artículo se proporciona información general sobre los registros de auditoría, incluidos los requisitos necesarios para acceder a ellos y la información que proporcionan.

Requisitos de licencia y rol

Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Registro o informe Roles Licencias
Registros de auditoría Lector de informes
Lector de seguridad
Administrador de seguridad
Todas las ediciones de Microsoft Entra ID
Registros de inicio de sesión Lector de informes
Lector de seguridad
Administrador de seguridad
Todas las ediciones de Microsoft Entra ID
Registros de aprovisionamiento Lector de informes
Lector de seguridad
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Microsoft Entra ID P1 o P2
Registros de auditoría de atributos de seguridad personalizados* Administrador del registro de atributos
Lector de registro de atributos
Todas las ediciones de Microsoft Entra ID
Estado Lector de informes
Lector de seguridad
Administrador del departamento de soporte técnico
Microsoft Entra ID P1 o P2
Protección de id. de Microsoft Entra** Administrador de seguridad
Operador de seguridad
Lector de seguridad
Lector global
Microsoft Entra ID Gratis
Aplicaciones de Microsoft 365
Microsoft Entra ID P1 o P2
Registros de actividad de Microsoft Graph Administrador de seguridad
Permisos para acceder a los datos en el destino de registro correspondiente
Microsoft Entra ID P1 o P2
Uso y conclusiones Lector de informes
Lector de seguridad
Administrador de seguridad
Microsoft Entra ID P1 o P2

*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.

**El nivel de acceso y las funcionalidades de Protección de id. de Microsoft Entra varían con el rol y la licencia. Para más información, vea los requisitos de licencia de Protección de id..

¿Qué se puede hacer con los registros de auditoría?

Los registros de auditoría de Microsoft Entra ID proporcionan acceso a los registros de actividad del sistema, a menudo necesarios para el cumplimiento. Puede obtener respuestas a preguntas relacionadas con usuarios, grupos y aplicaciones.

Usuarios:

  • ¿Qué tipos de cambios se aplicaron recientemente a los usuarios?
  • ¿Cuántos usuarios han cambiado?
  • ¿Cuántas contraseñas han cambiado?

Grupos:

  • ¿Qué grupos se agregaron recientemente?
  • ¿Se han cambiado los propietarios del grupo?
  • ¿Qué licencias se conceden a un grupo o usuario?

Aplicaciones:

  • ¿Qué aplicaciones se actualizaron o eliminaron?
  • ¿Ha cambiado la entidad de servicio de una aplicación?
  • ¿Se han cambiado los nombres de las aplicaciones?

Atributos de seguridad personalizados:

  • ¿Qué cambios se realizaron en las definiciones o asignaciones de atributos de seguridad personalizados?
  • ¿Qué actualizaciones se realizaron en los conjuntos de atributos?
  • ¿Qué valores de atributos personalizados se asignaron a un usuario?

Nota

Las entradas de los registros de auditoría se generan por el sistema y no se pueden cambiar ni eliminar.

¿Qué muestran los registros?

Los registros de auditoría se muestran de forma predeterminada en la pestaña Directorio, que muestra la siguiente información:

  • Fecha y hora en que se produjo el evento
  • Servicio que ha registrado la repetición
  • Categoría y nombre de la actividad (qué)
  • Estado de la actividad (correcto o incorrecto)

Una segunda pestaña de Seguridad personalizada muestra los registros de auditoría de los atributos de seguridad personalizados. Para ver los datos de esta pestaña, se debe tener el rol Administrador de registro de atributos o Lector de registro de atributos. Este registro de auditoría muestra todas las actividades relacionadas con los atributos de seguridad personalizados. Para obtener más información, consulte Qué son los atributos de seguridad personalizados.

Captura de pantalla de los registros de auditoría, con las pestañas Directorio y Seguridad personalizada resaltadas.

Registros de actividad de Microsoft 365

Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. Aunque los registros de actividad de Microsoft 365 y Microsoft Entra comparten varios de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.

También puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.

La mayoría de las suscripciones independientes o agrupadas de Microsoft 365 tienen dependencias de back-end en algunos subsistemas dentro del límite del centro de datos de Microsoft 365. Las dependencias necesitan la escritura diferida de cierta información para mantener los directorios sincronizados y, básicamente, para ayudar a habilitar la incorporación sin problemas en una suscripción para participar en Exchange Online. Para estas escrituras diferidas, las entradas del registro de auditoría muestran las acciones realizadas por “Microsoft Substrate Management”. Estas entradas del registro de auditoría hacen referencia a las operaciones de creación, actualización y eliminación ejecutadas por Exchange Online para Microsoft Entra ID. Las entradas son informativas y no se necesita ninguna acción.