Uso de registros de auditoría para realizar un seguimiento y supervisar eventos en Microsoft Intune
Los registros de auditoría incluyen un registro de actividades que generan un cambio en Microsoft Intune. Crear, actualizar (editar), eliminar, asignar y acciones remotas crean eventos de auditoría que los administradores pueden revisar para la mayoría de las cargas de trabajo de Intune. La auditoría está habilitada de forma predeterminada para todos los clientes. No se puede deshabilitar.
¿Quién puede tener acceso a los datos?
Los usuarios con los siguientes permisos pueden revisar los registros de auditoría:
- Administrador global
- Administrador del servicio de Intune
- Administradores asignados a un rol de Intune con permisos delecturade datos - de auditoría
Registros de auditoría para cargas de trabajo de Intune
Puede revisar los registros de auditoría en el grupo de supervisión para cada carga de trabajo de Intune:
- Inicie sesión en el Centro de administración de Microsoft Intune.
- Seleccione Administración de inquilinos>Registros de auditoría.
- Para filtrar los resultados, seleccione Filtrar y refine los resultados con las siguientes opciones.
- Categoría: como Cumplimiento, Dispositivo y Rol.
- Actividad: las opciones enumeradas aquí están restringidas por la opción elegida en Categoría.
- Intervalo de fechas: puede elegir los registros del mes, la semana o el día anteriores.
- Seleccione Aplicar.
- Seleccione un elemento de la lista para ver los detalles de la actividad.
Para obtener información relacionada sobre los registros de auditoría, consulte Información adicional.
Enrutamiento de registros a Azure Monitor
Los registros de auditoría y los registros operativos también se pueden enrutar a Azure Monitor. En Registrosde auditoríade administración> de inquilinos, seleccione Exportar:
Nota:
Para obtener más información sobre esta característica y revisar los requisitos previos para usarla, consulte Envío de datos de registro al almacenamiento, event hubs o log analytics.
Iniciado por (actor) incluye información sobre quién ejecutó la tarea y dónde se ejecutó.
Por ejemplo, si ejecuta la actividad en Intune en el Azure Portal, La aplicación siempre muestra Microsoft Intune extensión del portal y el identificador de aplicación siempre usa el mismo GUID.
En la sección Destinos se enumeran varios destinos y las propiedades que se han cambiado.
Uso de Graph API para recuperar eventos de auditoría
Para obtener más información sobre cómo usar graph API para obtener hasta un año de eventos de auditoría, consulte Enumerar auditEvents.
Siguientes pasos
- Envío de datos de registro al almacenamiento, event hubs o log analytics
- Revisión de los registros de protección de aplicaciones cliente
Información adicional
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de