Actividades del registro de auditoría

Artículo
04/11/2024

En las tablas de este artículo se describen las actividades auditadas en Microsoft 365. Para buscar estas actividades, busque el registro de auditoría en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview.

En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico. Las tablas incluyen el nombre descriptivo que se muestra en la lista desplegable Actividades (o que están disponibles en PowerShell) y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda. Para obtener descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoría.

Sugerencia

Seleccione uno de los vínculos de la lista En este artículo en la parte superior de este artículo para ir directamente a una tabla de productos específica.

Actividades de administración de aplicaciones

En la tabla siguiente se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación registrada en Microsoft Entra ID. Cualquier aplicación que se base en Microsoft Entra ID para la autenticación debe registrarse en el directorio.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Nombre descriptivo	Operación	Descripción
Entrada de delegación agregada	Agregar entrada de delegación.	Se ha creado o concedido un permiso de autenticación a una aplicación en Microsoft Entra ID.
Servicio principal agregado	Agregar entidad de servicio.	Se registró una aplicación en Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio.
Credenciales agregadas a una entidad de servicio	Agregar credenciales de entidad de servicio.	Las credenciales se agregaron a una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio.
Entrada de delegación removida	Quitar entrada de delegación.	Se quitó un permiso de autenticación de una aplicación en Microsoft Entra ID.
Entidad de servicio removida del directorio	Quitar entidad de servicio.	Se ha eliminado o anulado el registro de una aplicación de Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio.
Credenciales removidas de un servicio principal	Quitar credenciales de entidad de servicio.	Las credenciales se quitaron de una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio.
Establecer entrada de delegación	Establecer entrada de delegación.	Se actualizó un permiso de autenticación para una aplicación en Microsoft Entra ID.

Microsoft Entra actividades de administración de grupos

En la siguiente tabla se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario agrega o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el Portal de administración de Azure. Para obtener más información sobre los grupos de Microsoft 365, consulte Ver, crear y eliminar grupos en el Centro de administración de Microsoft 365.

Nota:

Nombre descriptivo	Operación	Descripción
Grupo agregado	Agregar grupo.	Se ha creado un grupo.
Miembro agregado a un grupo	Agregar miembro a un grupo.	Un miembro se ha agregado a un grupo.
Grupo eliminado	Eliminar grupo.	Se ha eliminado un grupo.
Miembro quitado de un grupo	Quitar miembro de un grupo.	Un miembro se ha quitado de un grupo.
Grupo actualizado	Actualizar grupo.	Una propiedad de un grupo se ha cambiado.

Actividades de correo de informe de tareas pendientes

En la tabla siguiente se enumeran las actividades del correo electrónico de briefing que se registran en el registro de auditoría de Microsoft 365. Para obtener más información acerca del correo de informe de tareas pendientes, consulte:

Nombre descriptivo	Operación	Descripción
Configuración actualizada de privacidad de la organización	UpdatedOrganizationBriefingSettings	El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes.
Configuración actualizada de privacidad del usuario	UpdatedUserBriefingSettings	Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes.

Actividades del cumplimiento de comunicaciones

En la tabla siguiente se enumeran las actividades de cumplimiento de comunicaciones que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Más información sobre Cumplimiento de comunicaciones de Microsoft Purview.

Nota:

Estas actividades están disponibles cuando se usa el cmdlet de PowerShell Búsqueda-UnifiedAuditLog. Estas actividades no están disponibles en la lista desplegable Actividades .

Nombre descriptivo	Operación	Descripción
Actualización de directiva	SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted	Un administrador de cumplimiento de comunicaciones ha realizado una actualización de directiva.
Coincidencia de directiva	SupervisionRuleMatch	Un usuario ha enviado un mensaje que coincide con la condición de una directiva.
Etiqueta aplicada a los mensajes	SupervisoryReviewTag	Las etiquetas se aplican a los mensajes o se resuelven los mensajes.

Actividades del explorador de contenido

En la tabla siguiente, se enumeran las actividades del explorador de contenido que se registran en el registro de auditoría. Explorador de contenido, al que se accede en la herramienta Clasificaciones de datos en el portal de Microsoft Purview y en el portal de cumplimiento. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.

Actividades de Copilot

En la tabla siguiente se enumeran las actividades de Microsoft 365 Copilot que se registran en el registro de auditoría. Se puede acceder a Copilot en los servicios de Microsoft 365. Las actividades incluyen cómo y cuándo interactúan los usuarios con Copilot. Esto incluye el servicio de Microsoft 365 donde tuvo lugar la actividad y las referencias a los archivos a los que se accede durante la interacción. Para obtener más información sobre los eventos de interacción de Copilot y un ejemplo de esquema, consulte Introducción a los eventos de interacción de Copilot.

Para obtener acceso al texto desde el símbolo del sistema del usuario durante la interacción, vea Content Búsqueda (Contenido Búsqueda). Para obtener más información sobre Copilot, consulte Proteger y administrar Microsoft 365 Copilot mediante Microsoft Purview.

Nombre descriptivo	Operación	Descripción
Interacción con Copilot	CopilotInteraction	Un usuario, administrador o sistema en nombre de un usuario, escribió mensajes en Copilot.

Actividades de administración de directorios

En la tabla siguiente se enumeran Microsoft Entra directorio y actividades relacionadas con el dominio que se registran cuando un administrador administra su organización en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.

Nota:

Nombre descriptivo	Operación	Descripción
Dominio agregado a la empresa	Agregar dominio a la empresa.	Se ha agregado un dominio a la organización.
Se ha agregado un socio al directorio	Agregar asociado a la empresa.	Se ha agregado un socio (administrador delegado) a la organización.
Dominio removido de la empresa	Quitar dominio de la empresa.	Se ha quitado un dominio de la organización.
Se ha removido un socio del directorio	Quitar asociado de la empresa.	Se ha quitado un socio (administrador delegado) de la organización.
Establecer información de la organización	Establecer la información de la empresa.	Se ha actualizado la información de empresa de la organización. Incluye direcciones de correo electrónico para el correo electrónico relacionado con la suscripción enviado por Microsoft 365 y notificaciones técnicas sobre los servicios de Microsoft 365.
Establecer autenticación de dominio	Establecer autenticación de dominio.	Se ha cambiado la configuración de la autenticación de dominio de la organización.
Se ha actualizado la configuración de federación para un dominio	Establecer la configuración de federación en un dominio.	Se ha cambiado la configuración de federación (uso compartido externo) de la organización.
Establecer normativas de contraseña	Establecer la directiva de contraseña.	Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización.
Activado Sincronización de Azure AD	Establecer la marca DirSyncEnabled.	Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD.
Dominio actualizado	Actualizar dominio.	Se ha actualizado la configuración de un dominio en la organización.
Dominio comprobado	Comprobar dominio.	Se ha comprobado que su organización es la propietaria de un dominio.
Se ha comprobado el dominio comprobado por correo electrónico	Verificar el dominio comprobado por correo electrónico.	Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio.

Actividades de revisión para eliminación

En la tabla siguiente se enumeran las actividades que un revisor de eliminación tomó cuando un elemento alcanzó el final de su período de retención configurado, o un elemento se movió automáticamente a la siguiente fase de eliminación o se eliminó permanentemente como resultado de la aprobación automática.

Nombre descriptivo	Operación	Descripción
Eliminación aprobada	ApproveDisposal	Para la aprobación manual: un revisor de disposición aprobó la eliminación del elemento para moverlo a la siguiente fase de eliminación. Si el elemento estaba en fase única o final de la revisión de eliminación, la aprobación para eliminación marcó el elemento como apto para su eliminación permanente. Para la aprobación automática: no se ha realizado ninguna acción manual dentro del período de tiempo de aprobación automática configurado para que el elemento se mueva automáticamente a la siguiente fase de eliminación. Si el elemento estaba en la única o última fase de la revisión de eliminación, el elemento se convirtió automáticamente en apto para su eliminación permanente.
Período de retención extendido	ExtendRetention	Un revisor de disposición extendió el período de retención del elemento.
Elemento etiquetado de nuevo	RelabelItem	Un revisor de eliminación reetiquetó la etiqueta de retención.
Revisores agregados	AddReviewer	Un revisor de eliminación agregó uno o más usuarios a la fase actual de la revisión para eliminación.

Actividades de eDiscovery

El contenido Búsqueda y las actividades relacionadas con eDiscovery que se realizan en el portal de Microsoft Purview y en el portal de cumplimiento, o mediante la ejecución de los cmdlets de PowerShell correspondientes, se registran en el registro de auditoría. Incluye las siguientes actividades:

Crear y administrar casos de exhibición de documentos electrónicos
Crear, iniciar y editar búsquedas de contenido
Realizar acciones de búsqueda de contenido, como la vista previa, la exportación y la eliminación de resultados de búsqueda
Configurar el filtrado de permisos para la búsqueda de contenido
Administrar el rol de administrador de la exhibición de documentos electrónicos

Para obtener una lista y una descripción detallada de las actividades de eDiscovery que están registradas, vea Buscar actividades de eDiscovery en el registro de auditoría.

Nota:

Las actividades resultantes de las actividades enumeradas en las actividades de exhibición de documentos electrónicos y las actividades de exhibición de documentos electrónicos (Premium) de la lista desplegable Actividades tardan hasta 30 minutos en mostrarse en los resultados de la búsqueda. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.

Actividades de eDiscovery (Premium)

También puede buscar actividades en el registro de auditoría en eDiscovery de Microsoft Purview (Premium). Para obtener una descripción de estas actividades, vea la sección "Actividades de eDiscovery (Premium)" en Buscar actividades de eDiscovery en el registro de auditoría.

Actividades del portal de mensajes cifrados

Los registros de acceso están disponibles para los mensajes encriptados a través del portal de mensajes encriptados que permite a su organización determinar cuándo los mensajes son leídos, y reenviados por sus destinatarios externos. Para obtener más información sobre la activación y el uso de los registros de actividad del portal de mensajes cifrados, consulte Registro de actividad del portal de mensajes cifrado.

Cada entrada de auditoría de un mensaje de seguimiento contiene los campos siguientes:

MessageID: contiene el identificador del mensaje al que se realiza el seguimiento. Identificador de clave que se usa para seguir un mensaje a través del sistema.
Destinatario: lista de todas las direcciones de correo electrónico del destinatario.
Remitente: dirección de correo electrónico de origen.
AuthenticationMethod: describe el método de autenticación para acceder al mensaje, por ejemplo, OTP, Yahoo, Gmail o Microsoft.
AuthenticationStatus: contiene un valor que indica que la autenticación se realizó correctamente o no.
OperationStatus: indica si la operación indicada se realizó correctamente o no.
AttachmentName: nombre de los datos adjuntos.
OperationProperties: una lista de propiedades opcionales. Por ejemplo, el número de códigos de acceso de OTP enviados o el asunto del correo electrónico.

Actividades de administración de Exchange

El proceso de registro de auditoría del administrador de Exchange (que está habilitado de manera predeterminada en Microsoft 365) registra un evento en el registro de auditoría cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en la organización de Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange. Los cmdlets que comienzan con los verbos Get-, Búsqueda-oTest- no se registran en el registro de auditoría. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.

Importante

Algunos cmdlets de Exchange Online que no se archivan en el registro de auditoría de administración de Exchange (o en el registro de auditoría). Muchos de estos cmdlets se relacionan con el mantenimiento del servicio de Exchange en línea y los ejecuta el personal del centro de datos de Microsoft o las cuentas de servicio. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos". Si hay un cmdlet de Exchange Online que no se está auditando, envíe una solicitud de cambio de diseño (DCR) a Soporte técnico de Microsoft.

Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:

Use los cuadros de intervalo de fecha y la lista deUsuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.
Para mostrar eventos del registro de auditoría de administración de Exchange, seleccione la columna Actividad para ordenar los nombres de cmdlet en orden alfabético.
Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados. Para más información, consulteExportar, configurar y ver registros de registro de auditoría
También puede usar el Search-UnifiedAuditLog -RecordType ExchangeAdmin comando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange. Se puede tardar hasta 30 minutos después de ejecutar el cmdlet de Exchange para que se devuelva la entrada del registro de auditoría correspondiente en los resultados de la búsqueda. Para obtener más información, consulte Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.
También puede ver los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un Search-AdminAuditLog en PowerShell en Exchange en línea. El registro de auditoría es una buena manera de buscar específicamente la actividad realizada por Exchange Online administradores. Para obtener instrucciones, consulte:
- Ver el registro de auditoría del administrador
- Search-AdminAuditLog
Tenga en cuenta que las mismas actividades de administrador de Exchange se registran tanto en el registro de auditoría de administración de Exchange como en el registro de auditoría.

Actividades de buzón de Exchange

La siguiente tabla enumera las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo. Las actividades de buzón realizadas por el propietario del buzón, un usuario delegado o un administrador se registran automáticamente en el registro de auditoría durante un máximo de 180 días. Es posible para un administrador desactivar el registro de auditoría de buzón para todos los usuarios de su organización. En este caso, no se registra ninguna acción de cualquier usuario en el buzón. Para más información, consulte Administrar auditoría del buzón..

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

También puede buscar actividades de buzón usando el cmdlet Search-MailboxAuditLogen el PowerShell de Exchange en línea.

Nombre descriptivo	Operación	Descripción
Elementos de buzón a los que se ha accedido	MailItemsAccessed	Se han leído mensajes o se obtuvo acceso a los mensajes del buzón. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables. Para obtener más información, vea Auditoría (Premium).
Permisos de buzón de delegado agregados	Add-MailboxPermission	Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón. El registro de auditoría de esta actividad también se genera cuando una cuenta del sistema del servicio Microsoft 365 realiza tareas de mantenimiento periódicamente en nombre de su organización. Una tarea común que realiza una cuenta del sistema es actualizar los permisos de los buzones del sistema. Para obtener más información, vea Cuentas del sistema en Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange.
Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendario	UpdateCalendarDelegation	Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón.
Se agregaron permisos a la carpeta	AddFolderPermissions	Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.
Mensajes copiados a otra carpeta	Copiar	Se ha copiado un mensaje a otra carpeta.
Elementos del buzón creado	Crear	Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva solicitud de reunión. No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo.
Nueva regla de bandeja de entrada creada en la aplicación web de Outlook	New-InboxRule	El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook.
Mensajes eliminados de la carpeta elementos eliminados	SoftDelete	Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr.
Mensaje etiquetado como un registro	ApplyRecordLabel	Un mensaje se clasificó como un registro. Se produce cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manualmente o automáticamente a un mensaje.
Mensajes movidos a otra carpeta	Mover	Se ha movido un mensaje a otra carpeta.
Mensajes movidos a la carpeta Elementos eliminados	MoveToDeletedItems	Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados.
Permiso de carpeta modificada	UpdateFolderPermissions	Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen.
Regla de bandeja de entrada modificada de la aplicación web de Outlook	Set-InboxRule	El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook.
Mensajes que se han purgado del buzón	HardDelete	Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón).
Permisos de buzón de delegado quitados	Remove-MailboxPermission	Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido.
Permisos quitados de la carpeta	RemoveFolderPermissions	Un permiso de la carpeta se ha removido. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.
Enviar mensaje	Enviar	Un mensaje ha sido enviado, respondido o reenviado. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5. Para obtener más información, vea Auditoría (Premium).
Mensaje enviado mediante los permisos de Enviar como	SendAs	Un mensaje se ha enviado con el permiso Enviar como. Esto significa que otro usuario envió el mensaje como si viniera del propietario del buzón.
Mensaje enviado mediante los permisos en nombre de	SendOnBehalf	Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje a nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.
Reglas de la bandeja de entrada actualizadas desde el cliente de Outlook	UpdateInboxRules	El propietario de un buzón u otro usuario con acceso al buzón creó, modificó o quitó una regla de la bandeja de entrada mediante el cliente de Outlook.
Mensaje actualizado	Actualizar	Un mensaje o sus propiedades han cambiado.
Usuario que ha iniciado sesión en un buzón	MailboxLogin	El usuario inició sesión en su buzón.
Etiquetar mensaje como un registro		Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro.

Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange

En los registros de auditoría de algunas actividades del buzón de correo (especialmente Add-MailboxPermissions), puede observar que el usuario que realizó la actividad (y se identifica en los campos User y UserId) es NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange. Servicehost). Esto indica que el “usuario” que realizó la actividad era una cuenta del sistema en el servicio Exchange en la nube de Microsoft. Esta cuenta del sistema suele realizar tareas de mantenimiento programadas en nombre de su organización. Por ejemplo, una actividad auditada común realizada por NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) es actualizar los permisos en DiscoverySearchMailbox, que es un buzón de correo del sistema. El propósito de esta actualización es comprobar que el permiso FullAccess (que es el valor predeterminado) está asignado al grupo de roles Administración de detección para DiscoverySearchMailbox. Garantiza que los administradores de eDiscovery puedan realizar las tareas necesarias en su organización.

Otra cuenta de usuario del sistema que se puede identificar en un registro de auditoría para Add-MailboxPermission es Administrator@apcprd03.prod.outlook.com. Esta cuenta de servicio también se incluye en los registros de auditoría del buzón de correo relacionados con la comprobación y actualización del permiso FullAccess que se asigna al grupo de roles Administración de detección para el buzón de correo del sistema DiscoverySearchMailbox. En concreto, los registros de auditoría que identifican la Administrator@apcprd03.prod.outlook.com cuenta se desencadenan normalmente cuando el personal de soporte técnico de Microsoft ejecuta una herramienta de diagnóstico de control de acceso basado en rol en nombre de su organización.

Actividades de páginas y archivos

En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint en línea y OneDrive para la empresa.

Nombre descriptivo	Operación	Descripción
Archivo al que se tiene acceso	FileAccessed	Cuenta de sistema o usuario que tiene acceso al archivo. Una vez que un usuario accede a un archivo, el evento FileAccessed no vuelve a registrarse para el mismo usuario para el mismo archivo durante los próximos cinco minutos.
(ninguno)	FileAccessedExtended	Esto está relacionado con la actividad "Archivo al que se tiene acceso" (FileAccessed). Se registra un evento FileAccessedExtended cuando la misma persona tiene acceso continuamente a un archivo durante un largo período (hasta 3 horas). El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante).
Se ha cambiado la etiqueta de retención de un archivo	ComplianceSettingChanged	Se aplicó o se quitó una etiqueta de retención de un documento. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje.
Estado de registro cambiado a bloqueado	LockRecord	El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha siso bloqueado. Esto significa que el documento no se puede modificar ni eliminar. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.
Cambiado el estado del registro a bloqueado	UnlockRecord	El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha sido bloqueado. Esto significa que el documento puede ser modificado o eliminado. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.
Archivo verificado	FileCheckedIn	El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos.
Archivo extraído del repositorio	FileCheckedOut	El usuario extrae un documento ubicado en una biblioteca de documentos. Los usuarios pueden extraer y modificar documentos que se han compartido con ellos.
Archivo copiado	FileCopied	El usuario copia un documento desde un sitio. El archivo copiado puede guardarse en otra carpeta en el sitio.
Archivo eliminado	FileDeleted	El usuario elimina un documento de un sitio.
Archivo eliminado de la papelera de reciclaje	FileDeletedFirstStageRecycleBin	El usuario elimina un archivo de la papelera de reciclaje de un sitio.
Archivo eliminado de la papelera de reciclaje de segundo nivel	FileDeletedSecondStageRecycleBin	El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio.
Archivo eliminado marcado como un registro	RecordDelete	Se eliminó un documento o un correo electrónico que se marcó como un registro. Un documento se considera un registro cuando se le aplica una etiqueta de retención que marca el contenido como un registro.
Desfase detectado de la sensibilidad del documento	DocumentSensitivityMismatchDetected	El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General. Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa).
Malware detectado en archivo	FileMalwareDetected	El antivirus de SharePoint detecta el malware en un archivo.
Extracción del archivo descartada	FileCheckOutDiscarded	El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.
Archivo descargado	FileDownloaded	El usuario descarga un documento de un sitio.
Archivo modificado	FileModified	La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio. El sistema espera cinco minutos antes de que registre otro evento FileModified cuando el mismo usuario modifique el contenido o las propiedades del mismo documento.
(ninguno)	FileModifiedExtended	Esto está relacionado con la actividad "Archivo modificado" (FileModified). Se registra un evento FileModifiedExtended cuando la misma persona modifica constantemente un archivo durante un largo período de tiempo (hasta 3 horas). El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento FileModified inicial (el más importante).
Archivo movido	FileMoved	El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación.
(ninguno)	FilePreviewed	El usuario obtiene la vista previa de un documento de SharePoint o de OneDrive para un sitio de Empresas. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes.
Consulta de búsqueda realizada	SearchQueryPerformed	La cuenta del sistema o el usuario lleva a cabo una búsqueda en SharePoint o OneDrive para la Empresa. Entre los escenarios comunes en los que una cuenta de servicio lleva a cabo una consulta de búsqueda se incluye aplicar una directiva de retención de eDiscovery a los sitios y cuentas de OneDrive, y aplicar automáticamente etiquetas de retención o confidencialidad al contenido del sitio.
Se ha reciclado un archivo	FileRecycled	El usuario mueve un archivo a la Papelera de reciclaje de SharePoint.
Se ha reciclado una carpeta	FolderRecycled	El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint.
Todas las versiones menores del archivo recicladas	FileVersionsAllMinorsRecycled	El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.
Todas las versiones del archivo recicladas	FileVersionsAllRecycled	El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.
Versión del archivo reciclada	FileVersionRecycled	El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio.
Archivo al que se le ha cambiado el nombre	FileRenamed	El usuario cambia el nombre de un documento.
Archivo restaurado	FileRestored	El usuario restaura un documento de la papelera de reciclaje de un sitio.
Archivo cargado	FileUploaded	El usuario carga un documento a una carpeta de un sitio.
Página visualizada	PageViewed	El usuario visualiza una página en un sitio. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos. Una vez que un usuario ve una página, el evento PageViewed no vuelve a registrarse para el mismo usuario para la misma página durante los próximos cinco minutos.
(ninguno)	PageViewedExtended	Esto está relacionado con la actividad "Página visualizada" (PageViewed). Se registra un evento PageViewedExtended cuando la misma persona visualiza continuamente una página web durante un periodo extendido (hasta 3 horas). El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento inicial PageViewed(el más importante).
Ver señalado por el cliente	ClientViewSignaled	El cliente de un usuario (como un sitio web o una aplicación móvil) ha señalado que el usuario ha visto la página indicada. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página. Nota: Como el cliente señaliza eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no pueda registrar el evento y, por lo tanto, puede que no aparezca en el registro de auditoría. También es posible que la información del registro de auditoría no sea confiable. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa. El sistema espera cinco minutos antes de que registre el mismo evento cuando el cliente del mismo usuario indica que el usuario ha visualizado de nuevo la página.
(ninguno)	PagePrefetched	El cliente de un usuario (como el sitio web o la aplicación móvil) ha solicitado la página indicada para ayudar a mejorar el rendimiento si el usuario la explora. Este evento se registra para indicar que el contenido de la página se ha servido para el cliente del usuario. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página. Cuando el cliente muestra el contenido de la página (de acuerdo con la solicitud del usuario), debe generarse un evento ClientViewSignaled. No todos los clientes son compatibles con la búsqueda previa, y por lo tanto, algunas actividades que se buscan previamente se pueden registrar como eventos PageViewed.

Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed

¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?

No sabemos de escenarios donde las acciones no relacionadas con el usuario generen eventos como estos. Las acciones de usuario como abrir una tarjeta de perfil de usuario (seleccionando su nombre o dirección de correo electrónico en un mensaje de Outlook en la Web) generarían eventos similares.

¿Las llamadas a OneDriveMpc-Transform_Thumbnail siempre son desencadenadas por el usuario intencionalmente?

No. Sin embargo, algunos eventos similares pueden registrarse como resultado de la búsqueda previa del explorador.

Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?

No. Es posible que el evento se haya registrado como resultado de la búsqueda previa del explorador.

¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?

Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo). Aunque estos eventos están diseñados para alinearse con la vista previa frente a la intención de acceso, la distinción de eventos no es una garantía de la intención del usuario.

El usuario app@sharepoint en los registros de auditoría

En los registros de auditoría para actividades de archivo (y otras actividades relacionadas con SharePoint), puede que el usuario que aparezca como el autor de la actividad (identificado en los campos usuario y seudónimo) es app@sharepoint. Esto indica que el "usuario" que llevó a cabo la actividad era una aplicación. En este caso, se otorgó a la aplicación permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación. Esto indica que la autenticación presentada en SharePoint para realizar una acción la realizó una aplicación, en lugar de un usuario. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.

Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso". Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.

Aquí se muestran algunos otros escenarios en los que se puede identificar app@sharepoint en un registro de auditoría como el usuario que realizó una actividad:

Grupos de Microsoft 365. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint. Estas tareas se ejecutan en una aplicación en nombre del usuario que creó el grupo.
Microsoft Teams. Como ocurre en los grupos de Microsoft 365, cuando se crea un equipo se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.
Características de cumplimiento. Estas se dan cuando un administrador implementa características de cumplimiento, como directivas de retención, suspensiones de eDiscovery y etiquetas de confidencialidad de aplicación automática.

En estas y otras situaciones, verá que se crearon varios registros de auditoría con app@sharepoint como usuario específico en un período de tiempo breve, a menudo con unos pocos segundos de separación. Esto indica que se activaron probablemente por la misma tarea iniciada por el usuario. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.

Actividades de carpetas

La siguiente tabla describe las actividades de archivos y páginas en SharePoint en línea y OneDrive para empresas. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo	Operación	Descripción
Carpeta copiada	FolderCopied	El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o en OneDrive para Empresas.
Carpeta creada	FolderCreated	El usuario crea una carpeta en un sitio.
Carpeta eliminada	FolderDeleted	El usuario elimina una carpeta de un sitio.
Carpeta eliminada de la papelera de reciclaje	FolderDeletedFirstStageRecycleBin	El usuario elimina una carpeta de la papelera de reciclaje de un sitio.
Carpeta eliminada de la papelera de reciclaje de segundo nivel	FolderDeletedSecondStageRecycleBin	El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio.
Carpeta modificada	FolderModified	El usuario modifica una carpeta en un sitio. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades.
Carpeta movida	FolderMoved	El usuario mueve una carpeta a una ubicación diferente del sitio.
Carpeta con el nombre cambiado	FolderRenamed	El usuario cambia el nombre de una carpeta en un sitio.
Carpeta restaurada	FolderRestored	El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio.

Actividades de barreras de información

En la tabla siguiente se enumeran las actividades en las barreras de información que se registran en el registro de auditoría de Microsoft 365. Para mayor información sobre las barreras de información, consulte Aprender sobre las barreras de información en Microsoft 365.

Nombre descriptivo	Operación	Descripción
Se ha cambiado la configuración de AppBypassInformationBarrier para el inquilino.	AppBypassInformationBarrier	Un administrador global o de SharePoint ha cambiado el acceso a las aplicaciones para los sitios de SharePoint.
Modo de barrera de información aplicada al sitio	SiteIBModeSet	Un administrador global o de SharePoint ha aplicado un modo al sitio.
Segmentos aplicados al sitio	SiteIBSegmentsSet	Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio.
Se ha cambiado el modo de barrera de información del sitio	SiteIBModeChanged	Un administrador global o de SharePoint ha actualizado el modo del sitio.
Segmentos modificados del sitio	SiteIBSegmentsChanged	Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio.
Barreras de información deshabilitadas para SharePoint y OneDrive	SPOIBIsDisabled	Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización.
Barreras de información habilitadas para SharePoint y OneDrive	SPOIBIsEnabled	Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización.
Informe de información sobre barreras de información completado	InformationBarriersInsightsReportCompleted	El sistema completa la compilación del informe de información de barreras de información.
Informe de información sobre barreras de información consultada en la sección de OneDrive	InformationBarriersInsightsReportOneDriveSectionQueried	Un administrador consulta el informe de información de barreras de información para las cuentas de OneDrive.
Informe de información sobre barreras de información programado	InformationBarriersInsightsReportSchedule	Un administrador programa el informe de información de barreras de información.
Informe de sharePoint de informe de barreras de información consultado	InformationBarriersInsightsReportSharePointSectionQueried	Un administrador consulta el informe de información de barreras de información para sitios de SharePoint.
Segmento quitado del sitio	SiteIBSegmentsRemoved	Un administrador global o SharePoint quitó uno o más segmentos de barreras de información desde un sitio.

Microsoft Defender para punto de conexión actividades de configuración general

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración general que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre la configuración Microsoft Defender para punto de conexión, consulte Configuración general de Defender para punto de conexión.

Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo	Operación	Descripción
Paquete de offboarding descargado	DownloadOffboardingPkg	Descargó el paquete usado para quitar dispositivos de Defender para punto de conexión.
Paquete de incorporación descargado	DownloadOnboardingPkg	Descargó el paquete usado para incorporar dispositivos a Defender para punto de conexión.
Retención de datos modificada	ChangeDataRetention	Se ha editado la configuración de retención de datos de Defender para punto de conexión.
Establecer características avanzadas	SetAdvancedFeatures	Se han cambiado las características avanzadas de Defender para punto de conexión, lo que permite controles más precisos durante un incidente. Solo la configuración de las características avanzadas que están disponibles con carácter general se registra en el registro de auditoría de Microsoft 365.

Microsoft Defender para punto de conexión actividades de configuración de indicadores

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración del indicador que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los indicadores de Microsoft Defender para punto de conexión, consulte Administración de indicadores.

Nombre descriptivo	Operación	Descripción
Indicador agregado	AddIndicator	Ha creado un nuevo indicador de riesgo que puede usar para realizar un seguimiento de los ataques y eventos.
Indicador editado	EditIndicator	Editó un indicador de compromiso.
Indicador eliminado	DeleteIndicator	Se quitó un indicador de compromiso.

Microsoft Defender para punto de conexión actividades de acciones de reponse

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión acciones de respuesta que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender para punto de conexión acciones de repetición, consulte Realizar acciones de respuesta en un dispositivo.

Nombre descriptivo	Operación	Descripción
Paquete de investigación recopilado	CollectInvestigationPackage	Se recopila información sobre un dispositivo que se usa para comprender las herramientas y técnicas de ataque.
Examen del antivirus ejecutado	RunAntiVirusScan	Ejecutó Microsoft Defender examen antivirus en un dispositivo.
Ejecución de aplicaciones restringidas	RestrictAppExecution	Impedir que se ejecute una aplicación malintencionada.
Restricciones de aplicación eliminadas	RemoveAppRestrictions	Permitir que se ejecute una aplicación.
Dispositivo aislado	IsolateDevice	Aísla un dispositivo de la red, lo que ayuda a evitar que se propaguen ataques.
Liberado del aislamiento	ReleaseFromIsolation	Se ha agregado un dispositivo aislado de nuevo a la red.
Archivo detenido y en cuarentena	StopAndQuarantineFile	Poner en cuarentena un archivo suspicous para su análisis posterior.
Archivo descargado	DownloadFile	Descargó un archivo sospechoso para una investigación más detallada.
Dispositivo fuera de la placa	DeviceOffBoarding	Se quitó un dispositivo de Defender para punto de conexión.
API de respuesta en directo ejecutada	RunLiveResponseApi	Abrió una sesión de respuesta dinámica a través de una llamada API, abriendo un shell remoto en un dispositivo.
Registros recopilados	LogsCollection	Información de registro recopilada sobre Defender para punto de conexión.
Ejecución del vínculo obtener archivo de respuesta en directo	LiveResponseGetFile	Abrió una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo.

Microsoft Defender para punto de conexión actividades de configuración de roles

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración de roles que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los roles de Microsoft Defender para punto de conexión, consulte Creación y administración de roles para el control de acceso basado en roles.

Nombre descriptivo	Operación	Descripción
AddRole	Rol agregado	Se han agregado nuevos permisos y roles de seguridad.
EditRole	Rol editado	Permisos y roles de seguridad editados.
DeleteRole	Rol eliminado	Se han quitado los roles de seguridad y los permisos.

actividades de Microsoft Defender para expertos

En la tabla siguiente se enumeran las actividades de los expertos de Microsoft Defender que han iniciado sesión en el registro de auditoría de Microsoft 365. Para obtener más información sobre los expertos de Microsoft Defender, consulte Más información sobre los expertos de Microsoft Defender para XDR y Más información sobre Expertos de detección de Microsoft Defender

Nombre descriptivo	Operación	Descripción
Se ha creado el permiso de analista de expertos de Defender	DefenderExpertsAnalystPermissionCreated	Un administrador concedió uno o varios permisos de rol a los analistas de Expertos de Defender para investigar incidentes o corregir amenazas.
Permiso de analista de expertos de Defender modificado	DefenderExpertsAnalystPermissionModified	Permisos de rol modificados por el administrador para que los analistas de Expertos de Defender investiguen incidentes o corrijan amenazas.

actividades de Microsoft Defender for Identity

En la tabla siguiente se enumeran las actividades de Microsoft Defender for Identity que se registran en el registro de auditoría de Microsoft 365.

Para ver Microsoft Defender for Identity actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo	Operación	Descripción
Etiquetas de entidad actualizadas	TaggingConfigurationUpdated	Se agregó o quitó una etiqueta de una entidad.
Configuración de exclusiones agregada	ExclusionConfigurationAdded	Se agregó una exclusión global para una alerta o para una entidad.
Configuración de exclusiones actualizada	ExclusionConfigurationUpdated	Se actualizó una exclusión global para una alerta o para una entidad.
Configuración de exclusiones eliminadas	ExclusionConfigurationDeleted	Se eliminó una exclusión global para una alerta o para una entidad.
Configuración de umbral de alerta actualizada	WorkspaceAlertThresholdLevelUpdated	Se actualizó la configuración de umbrales de alertas.
Excel de alerta de seguridad descargada	AlertExcelDownloaded	Se descargó el archivo detallado de Excel de una alerta.
Acción de corrección agregada	RemediationActionAdded	Se agregó una acción de corrección a la cola.
Acción de corrección actualizada	RemediationActionUpdated	Se completó una acción de corrección.
Configuración del sensor actualizada	SensorConfigurationUpdated	Se actualizó la configuración de un sensor.
Sensor agregado	SensorCreado	Se ha agregado un nuevo sensor.
Sensor quitado	SensorDeleted	Se eliminó un sensor.
Clave de implementación del sensor recuperada	SensorDeploymentAccessKeyReceived	Se recuperó la clave de acceso de los sensores.
Clave de implementación del sensor regenerada	SensorDeploymentAccessKeyUpdated	Se ha regenerado la clave de acceso de los sensores.
Excel de cobertura del controlador de dominio descargado	DomainControllerCoverageExcelDownloaded	Se descargó el archivo de Excel de cobertura del controlador de dominio.
Se ha actualizado la configuración de la cuenta de servicios de directorio	DirectoryServicesAccountConfigurationUpdated	Se modificó el conjunto de cuentas de servicios de directorio.
Se ha actualizado la configuración de la acción de corrección.	RemediationActionConfigurationUpdated	Se modificó el conjunto Administrar cuentas de acción.
Se ha actualizado la configuración de corrección de entidades	EntityRemediatorConfigurationUpdated	Se modificó el modo Administrar cuentas de acción.
Problema de mantenimiento actualizado	MonitoringAlertUpdated	Se modificó un problema de mantenimiento.
Reporte descargado	ReportDownloaded	Se descargó un informe.
Configuración actualizada del reportero	ReporterConfigurationUpdated	Se modificó la programación de un informe.
Configuración de reenvío de Syslog actualizada	SyslogServiceConfigurationUpdated	Se modificó la configuración de reenvío de Syslog.
Configuración de notificación de seguridad actualizada	NotificationConfigurationUpdated	Se modificó la configuración de las notificaciones de alertas de seguridad o problemas de mantenimiento.
Se ha agregado el destinatario de la notificación de alerta	AlertNotificationsRecipientAdded	Se agregó un destinatario a la configuración de notificación de alertas de seguridad.
Destinatario de notificación de alerta eliminada	AlertNotificationsRecipientDeleted	Se quitó un destinatario de la configuración de notificación de alertas de seguridad.
Se ha agregado el destinatario de la notificación de problemas de mantenimiento	MonitoringAlertNotificationRecipientAdded	Se agregó un destinatario a la configuración de notificación de problemas de mantenimiento.
Destinatario de notificación de problemas de mantenimiento eliminados	MonitoringAlertNotificationRecipientDeleted	Se quitó un destinatario de la configuración de notificación de problemas de salud.
Configuración de VPN actualizada	VpnConfigurationUpdated	Se modificó la configuración de VPN (contabilidad de radio).
Se ha actualizado la configuración de RBAC unificada	URbacAuthorizationStatusChanged	Se modificó la configuración de Access Control basada en rol unificado.
Área de trabajo creada	Área de trabajoCreada	Se creó el área de trabajo.
Área de trabajo eliminada	WorkspaceDeleted	Se eliminó el área de trabajo.

Microsoft Defender XDR actividades de detección personalizadas

En la tabla siguiente se enumeran las actividades de detección personalizadas para Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender XDR detecciones personalizadas, vea Crear y administrar reglas de detecciones personalizadas.

Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo	Operación	Descripción
Regla de detección personalizada creada	CreateCustomDetection	Se creó una nueva regla de detección personalizada.
Regla de detección personalizada editada	EditCustomDetection	Se modificó una regla de detección personalizada.
Se ha cambiado el estado de la regla de detección personalizada	ChangeCustomDetectionRuleStatus	Se ha desactivado o activado una regla de detección personalizada.
Regla de detección personalizada ejecutada	RunCustomDetection	Se ejecutó manualmente una regla de detección personalizada.
Regla de detección personalizada eliminada	DeleteCustomDetection	Se quitó una regla de detección personalizada.

Microsoft Defender XDR actividades de incidentes

En la tabla siguiente se enumeran las actividades de incidentes de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los incidentes en Microsoft Defender XDR, consulte Información general sobre incidentes.

Nombre descriptivo	Operación	Descripción
Se ha agregado un comentario al incidente.	AddCommentToIncident.	Se ha agregado un comentario al incidente.
Usuario asignado al incidente	AssignUserToIncident	Usuario asignado al incidente.
Usuario sin asignar al incidente	UnAssignUserFromIncident	Usuario sin asignar al incidente.
Estado de incidentes actualizado	UpdateIncidentStatus	Estado de incidentes actualizado.
Edición de la clasificación de incidentes	EditIncidentClassification	Edite la clasificación de incidentes.
Se ha agregado tage al incidente.	AddTagsToIncident	Se ha agregado el escenario al incidente.
Etiquetas eliminadas del incidente	RemoveTagsFromIncident	Se han quitado las etiquetas del incidente.

Microsoft Defender XDR actividades de regla de supresión

En la tabla siguiente se enumeran las actividades para las reglas de supresión de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre las reglas de supresión en Microsoft Defender XDR, vea Administrar reglas de supresión.

Nombre descriptivo	Operación	Descripción
Regla de supresión creada	CreateSuppressionRule	Regla de supresión de alertas creada.
Regla de supresión editada	EditSuppressionRule	Regla de supresión de alerta eliminada.
Regla de supresión habilitada	EnableSuppressionRule	Regla de supresión de alerta habilitada.
Regla de supresión deshabilitada	DisableSuppressionRule	Regla de supresión de alerta deshabilitada.
Regla de supresión eliminada	DeleteSuppressionRule	Regla de supresión de alerta eliminada.

Actividades de Microsoft Fabric

Puede buscar el registro de auditoría actividades en Power BI. Para obtener información sobre la configuración de auditoría, consulte Configuración de inquilinos de auditoría y uso.

El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Si la auditoría no está activada para su organización, aparece un banner que le pide que empiece a grabar la actividad de usuario y administrador. Para obtener instrucciones, consulte Activación de la auditoría.

Actividades de Microsoft Forms

En las tablas de esta sección se indican las actividades de usuario y administrador de Microsoft Forms que se registran en el registro de auditoría. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas utilizado para recopilar datos para su análisis. A continuación, en las descripciones, algunas operaciones contienen parámetros de actividad adicionales.

Si un coautor o un respondedor anónimo realizan una actividad de Forms, se registra de forma ligeramente diferente. Para obtener más información, consulte la sección actividades de Forms que realizan los coautores y las personas que responden anónimamente.

Nota:

Algunas actividades de auditoría de Forms solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.

En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).

Nombre descriptivo	Operación	Descripción
Comentario creado	CreateComment	El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario.
Formulario creado	CreateForm	Un nuevo formulario ha sido creado por el propietario. Propiedad DataMode:string indica que el formulario actual está configurado para sincronizarse con un libro de Excel nuevo o existente si el valor de propiedad es igual a DataSync. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual.
Formulario editado	EditForm	Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita. La propiedad EditOperation:string indica el nombre de la operación de edición. Las posibles operaciones son: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice -UploadFormImage/Bing/Onedrive - UploadQuestionImage -Cambiar tema FormImage incluye cualquier lugar dentro de los formularios en los que el usuario pueda subir una imagen, como en la cadena de consulta o como tema en la imagen de fondo.
Formulario movido	MoveForm	Un formulario ha sido movido por el propietario. La propiedad DestinationUserId: la cadena indica el ID de usuario de la persona que ha movido el formulario. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado. La propiedad IsDelegateAccess:boolean indica que la acción de movimiento del formulario actual se realiza a través de la página del delegado de administrador.
Formulario eliminado	DeleteForm	Un formulario ha sido eliminado por el propietario. Esto incluye SoftDelete (eliminar la opción utilizada y mover el formulario a la papelera de reciclaje) y HardDelete (Se vacía la papelera de reciclaje).
Formulario visto (tiempo de diseño)	ViewForm	Un formulario existente ha sido abierto por el propietario para su edición. La propiedad AccessDenied:boolean indica que se ha denegado el acceso del formulario actual debido a la comprobación de permisos. La propiedad FromSummaryLink:boolean indica que la solicitud actual procede de la página de vínculo de resumen.
Vista previa del formulario	PreviewForm	Un formulario ha sido previsualizado por el propietario con la función vista previa.
Formulario exportado	ExportForm	Los resultados han sido exportado a Excel por el propietario del formulario. La propiedad ExportFormat:string indicará si el archivo de Excel se puede descargar o ver en línea.
Formulario de participación permitida para su copia	AllowShareFormForCopy	Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla. Este evento se registra cuando el propietario del formulario selecciona para generar la dirección URL de la plantilla.
Formulario de participación no permitida para su copia	DisallowShareFormForCopy	El propietario del formulario ha eliminado el vínculo en la plantilla.
Coautor de formulario agregado	AddFormCoauthor	Para ayudar a diseñar y ver respuestas el usuario utiliza un vínculo de colaboración. Este evento es registrado cuando un usuario utiliza una dirección URL de colisión (no ocurre cuando se genera la URL de colisión por primera vez).
Coautor de formulario quitado	RemoveFormCoauthor	El propietario del formulario ha eliminado el vínculo de colaboración.
Página de respuesta visualizada	ViewRuntimeForm	El usuario ha abierto una página de respuesta para su visualización. Este evento es registrado independientemente de si el usuario envía una respuesta o no.
Respuesta creada	CreateResponse	Es similar a recibir una nueva respuesta. Un usuario ha enviado una respuesta a un formulario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad de ResponderId será nula.
Respuesta actualizada	UpdateResponse	El propietario del formulario ha actualizado un comentario o la puntuación en un cuestionario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad ResponderId es null.
Eliminar todas las respuestas	DeleteAllResponses	Todos los datos de respuesta han sido eliminadas por el propietario del formulario
Respuesta eliminada	DeleteResponse	El propietario del formulario ha eliminado una respuesta. La propiedad ResponseId:string indicará la respuesta que está siendo eliminada.
Respuestas vistas	ViewResponses	El propietario del formulario ha visualizado la lista agregada de respuestas. La Propiedad ViewType: la cadena indica si el propietario del formulario está visualizando la lista detallada o agregada.
Respuesta vista	ViewResponse	El propietario del formulario visualiza una respuesta concreta. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad ResponderId es null.
Vínculo de resumen creado	GetSummaryLink	El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos.
Vínculo de resumen eliminado	DeleteSummaryLink	El enlace de resumen de resultados ha sido eliminado por el propietario del formulario.
Estado de phishing actualizado del formulario	UpdatePhishingStatus	Este evento se registra cada vez que se cambie el valor detallado del estado de seguridad interna, independientemente de que ha cambiado el estado de seguridad final (por ejemplo, el formulario ahora está cerrado o abierto). Esto significa que usted puede ver los eventos duplicados sin un cambio final en el Estado de Seguridad. Los posibles valores de estado de este evento son: -Deseche el -Derribado por la administración -Administrador desbloqueado -Bloqueado automáticamente -Desbloqueado automáticamente -El cliente informó -Restablecer informe de cliente
Estado de phising de usuario actualizado	UpdateUserPhishingStatus	Este evento se registra cuando se cambia el valor del estado de seguridad de usuario. El valor del estado del usuario en el registro de auditoría es confirmado como Phisher cuando el usuario ha creado un formulario de phishing que ha sido retirado por el equipo de seguridad de Microsoft Online. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal.
Invitación a Forms Pro enviada	ProInvitation	El usuario selecciona para activar una prueba pro.
Configuración de formulario actualizada^*	UpdateFormSetting	El propietario del formulario actualiza una o varias opciones de configuración del formulario. La propiedad FormSettingName:string indica el nombre de la configuración confidencial actualizada. La propiedad NewFormSettings:string indica el nombre de la configuración actualizada y el nuevo valor. La propiedad thankYouMessageContainsLink:boolean indica que el mensaje de agradecimiento actualizado contiene un vínculo URL.
Configuración del usuario actualizada	UpdateUserSetting	La configuración del usuario ha sido actualizada por el propietario del formulario. La propiedad UserSettingName: la cadena indica el nombre y el nuevo valor de la configuración
Formularios en la lista^*	ListForms	La lista de formularios está siendo visualizada por el propietario. La propiedad ViewType:string indicará sobre la visualización que busca el propietario del formulario: todos los formularios, compartidos conmigo o en grupos
Respuesta enviada	SubmitResponse	Un usuario envía una respuesta sobre un formulario. La propiedad IsInternalForm:boolean indicará si el respondedor está dentro de la misma organización que el propietario del formulario.
Configuración de cualquier persona puede responder habilitada^*	AllowAnonymousResponse	El propietario del formulario activa la configuración, lo que permite que cualquier usuario responda al formulario.
Configuración de cualquier persona puede responder deshabilitada^*	DisallowAnonymousResponse	El propietario del formulario desactiva la configuración, lo que permite que cualquier usuario responda al formulario.
Configuración de personas específicas que pueden responder habilitada^*	EnableSpecificResponse	El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario.
Configuración de solo personas específicas pueden responder deshabilitada^*	DisableSpecificResponse	El propietario del formulario desactiva la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario.
Se ha añadido respondedor específico^*	AddSpecificResponder	El propietario del formulario añade al nuevo usuario o grupo a la lista respondedores específica.
Se ha quitado respondedor específico^*	RemoveSpecificResponder	El propietario del formulario elimina un nuevo usuario o grupo de la lista respondedores específica.
Colaboración deshabilitada^*	DisableCollaboration	El propietario del formulario desactiva la configuración de colaboración en el formulario.
Colaboración en cuenta profesional o educativa de Office 365 habilitada^*	EnableWorkOrSchoolCollaboration	El propietario del formulario activa el ajuste que permite a los usuarios con una cuenta profesional o educativa de Microsoft 365 ver y editar el formulario.
Colaboración de personas en mi organización habilitada^*	EnableSameOrgCollaboration	El propietario del formulario activa la configuración que permite a los usuarios de la organización actual ver y editar el formulario.
Colaboración con personas específicas habilitada^*	EnableSpecificCollaboaration	El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual vean y editen el formulario.
Conectado al libro de Excel^*	ConnectToExcelWorkbook	Conectado el formulario a un libro de Excel. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual.
Se ha creado una colección	CollectionCreated	El propietario del formulario ha creado una colección.
Se ha actualizado una colección	CollectionUpdated	El propietario del formulario ha actualizado una propiedad de la colección.
Se ha eliminado la colección de la papelera de reciclaje	CollectionHardDeleted	El propietario del formulario ha eliminado de forma permanente una colección de la papelera de reciclaje.
Se ha movido la colección a la papelera de reciclaje	CollectionSoftDeleted	El propietario del formulario ha movido una colección a la papelera de reciclaje.
Se ha cambiado el nombre de una colección	CollectionRenamed	El propietario del formulario ha cambiado el nombre de una colección.
Se ha movido un formulario a la colección	MovedFormIntoCollection	El propietario del formulario ha movido un formulario a una colección.
Se ha movido un formulario fuera de la colección	MovedFormOutofCollection	El propietario del formulario ha movido un formulario fuera de una colección.

Actividades de Forms que realizan los coautores y respondedores anónimos

Forms es compatible con la colaboración cuando se diseñan formularios y al analizar las respuestas. Un colaborador de formulario se conoce como coautor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario. Forms también permite crear un formulario que se puede responder de forma anónima. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.

En la siguiente tabla se describen las actividades y la información de auditoría del registro de auditoría en relación con las actividades realizadas por los coautores y respondedores anónimos.

Tipo de actividad	Usuario interno o externo	Identificador de usuario que ha iniciado sesión	Organización que ha iniciado sesión	Tipo de usuario de Forms
Actividades de coautoría	Interno	UPN	Organización del propietario del formulario	Coautor
Actividades de coautoría	Externo	UPN	Organización del coautor	Coautor
Actividades de coautoría	Externo	`urn:forms:coauthor#a0b1c2d3@forms.office.com` (La segunda parte del Id. es un hash, que será diferente para distintos usuarios)	Organización del propietario del formulario	Coautor
Actividades de respuesta	Externo	UPN	Organización del usuario que responde	Responder
Actividades de respuesta	Externo	`urn:forms:external#a0b1c2d3@forms.office.com` (La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)	Organización del propietario del formulario	Responder
Actividades de respuesta	Anónimo	`urn:forms:anonymous#a0b1c2d3@forms.office.com` (La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)	Organización del propietario del formulario	Responder

Conexión de datos de Microsoft Graph

En la tabla siguiente se enumeran las actividades de usuario y administrador en Microsoft Graph Data Connect que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nombre descriptivo	Operación	Descripción
Aprobación o denegación de una aplicación	ConsentModificationRequest	Un usuario realizó una solicitud de modificación de consentimiento.
Extracción ejecutada	DataAccessRequestOperation	Un usuario realizó una extracción. Se excluyen los conjuntos de datos de asociados y las ejecuciones de ISV.

actividades de Microsoft Planner

En la tabla siguiente se enumeran las actividades de usuario y administrador de Microsoft Planner que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nombre descriptivo	Operación	Descripción
Leer un plan	PlanRead	Un usuario o una aplicación leen un plan. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid y ContainerId indica null.
Creación de un plan	PlanCreado	Un usuario o una aplicación crean un plan. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid y ContainerId indica null.
Modificación de un plan	PlanModified	Un usuario o una aplicación modifica un plan.
Eliminación de un plan	PlanDeleted	Un usuario o una aplicación eliminan un plan.
Copia de un plan	PlanCopied	Un usuario o una aplicación copia un plan. Si la operación de copia es ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid y newContainerId indica null.
Leer una tarea	TaskRead	Un usuario o una aplicación leen una tarea. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null.
Creación de una tarea	TaskCreated	Un usuario o una aplicación crean una tarea. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null y PlanId indica null.
Modificación de una tarea	TaskModified	Un usuario o una aplicación modifican una tarea.
Eliminación de una tarea	TaskDeleted	Un usuario o una aplicación elimina una tarea.
Asignación de una tarea	TaskAssigned	Un usuario o una aplicación modifican al asignador de una tarea. Puede ser una tarea sin asignar que se asigna o una tarea asignada tiene un nuevo asignado.
Completado una tarea	TaskCompleted	Un usuario o una aplicación marcan una tarea como completada.
Creación de una lista	RosterCreated	Un usuario o una aplicación crean una lista. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una cadena vacía.
Eliminación de una lista	RosterDeleted	Un usuario o una aplicación elimina una lista.
Se ha agregado un miembro a una lista	RosterMemberAdded	Se agrega un miembro a una lista. Si la operación de adición es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados.
Se ha quitado un miembro a una lista	RosterMemberDeleted	Un miembro se quita de una lista. Si la operación de eliminación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados.
Leer una lista de planes	PlanListRead	Un usuario o una aplicación consulta una lista de planes. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una cadena vacía.
Leer una lista de tareas	TaskListRead	Un usuario o una aplicación consultan una lista de tareas. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una cadena vacía.
Configuración de inquilino actualizada	TenantSettingsUpdated	Un administrador de inquilinos actualiza la configuración del inquilino. Si la operación de actualización es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica la configuración original y TenantSettings indica que se ha intentado la configuración del inquilino.
Se ha actualizado la etiqueta de confidencialidad de una lista	RosterSensitivityLabelUpdated	Un usuario o una aplicación actualiza la etiqueta de confidencialidad de una lista.

Actividades en Microsoft Power Apps

Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación. La asignación de permisos a las aplicaciones también se audita. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.

Nota:

Los eventos de auditoría de directivas de alerta (alerta de protección) (RecordType:45) no se admiten actualmente para PowerApps.

Actividades en Microsoft Power Automate

Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo. Para obtener información sobre la auditoría de actividades de Power Automate, consulte el blog Eventos de auditoría de Power Automate ahora disponibles en el portal de cumplimiento.

Actividades de gobernanza de Microsoft Purview

En la tabla siguiente se enumeran las actividades de gobernanza de Microsoft Purview que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Soluciones de gobernanza de Microsoft Purview.

Nombre descriptivo	Operación	Descripción
Recurso o entidad creada	EntityCreated	Se crea o se agrega un nuevo recurso o entidad a un recurso existente.
Clasificación agregada	ClassificationAdded	Agregue clasificaciones a la entidad de recurso.
Definición de clasificación creada	ClassificationDefinitionCreated	Cree un tipo de clasificación.
Definición de clasificación eliminada	ClassificationDefinitionDeleted	Elimine un tipo de clasificación.
Definición de clasificación actualizada	ClassificationDefinitionUpdated	Actualice un tipo de clasificación.
Clasificación eliminada	ClassificationDeleted	Elimine las clasificaciones de la entidad de recurso.
Clasificación actualizada	ClassificationUpdated	Actualice las clasificaciones en la entidad de recurso.
Entidad eliminada	EntityDeleted	Un recurso o entidad se elimina de un recurso existente.
Entidad actualizada	EntityUpdated	Incluye: actualización de atributos, actualización de atributos empresariales, información de recopilación (solo incluye identificador de colección), actualización de contactos, customAttributes, jerarquía, homeId, etiquetas, sourceDetails
Término de glosario asignado	GlosarioTermAssigned	Asigne términos a la entidad de recurso.
Término de glosario creado	GlosarioTermCreado	Cree un término.
Término del glosario eliminado	GlosarioTermDeleted	Elimine un término.
Término del glosario desasociado	GlosarioTermDisassociated	Desasociar términos de la entidad de recurso.
Término del glosario actualizado	GlosarioTermUpdated	Actualice un término.
Etiqueta de confidencialidad cambiada	SensitivityLabelChanged	La etiqueta de confidencialidad se agrega, actualiza o elimina.

Actividades de Microsoft Project para la web

Puede buscar en el registro de auditoría actividades en Microsoft Project para la web. Microsoft Project para la web se basa en Microsoft Dataverse y tiene un proyecto de Power App asociado. Para habilitar la auditoría para escenarios en los que el usuario usa Microsoft Dataverse o Project Power App, consulte la guía de la pestaña Auditoría de configuración del sistema . Para obtener una lista de las entidades relacionadas con Project para la web, consulte la guía Exportar datos de usuario de Project para la web.

Para obtener información sobre Microsoft Project para la web, consulte Microsoft Project para la web.

Nota:

Los eventos de auditoría de las actividades de Microsoft Project para la web requieren una licencia de Project Plan 1 de pago (o superior) además de la licencia de Microsoft 365 pertinente que incluya derechos a Auditoría (Premium).

Nombre descriptivo	Operación	Descripción
Proyecto creado	ProjectCreated	Un usuario o aplicación crea un proyecto.
Hoja de ruta creada	RoadmapCreated	Un usuario o aplicación crea una hoja de ruta.
Elemento de hoja de ruta creada	RoadmapItemCreated	Un usuario o aplicación crea un elemento de hoja de ruta.
Tarea creada	TaskCreated	Un usuario o aplicación crea una tarea.
Proyecto eliminado	ProjectDeleted	Un usuario o aplicación elimina un proyecto.
Hoja de ruta eliminada	RoadmapDeleted	Un usuario o aplicación elimina una hoja de ruta.
Elemento de hoja de ruta eliminada	RoadmapItemDeleted	Un usuario o aplicación elimina un elemento de hoja de ruta.
Tarea eliminada	TaskDeleted	Un usuario o aplicación elimina una tarea.
Proyecto al que se ha accedido	ProjectAccessed	Un proyecto es de lectura o aplicación.
Se ha accedido a la casa del proyecto	ProjectListAccessed	Un usuario consulta una lista de proyectos o hojas de ruta.
Mapa de ruta al que se accede	RoadmapAccessed	Un usuario o una aplicación leen un mapa de ruta.
Elemento de hoja de ruta al que se ha accedido	RoadmapItemAccessed	Un usuario o aplicación lee un elemento de hoja de ruta.
Tarea a la que se tiene acceso	TaskAccessed	Un usuario o aplicación lee una tarea.
Se ha actualizado la configuración del proyecto	ProjectForTheWebProjectSettings	Un administrador actualiza la configuración del proyecto.
Hoja de ruta actualizada	RoadmapUpdated	Un usuario o aplicación modifica un mapa de ruta.
Elemento de hoja de ruta actualizada	RoadmapItemUpdated	Un usuario o aplicación modifica un elemento de hoja de ruta.
Configuración actualizada del plan de desarrollo	ProjectForTheWebRoadmaptSettings	Un administrador actualiza la configuración de la hoja de ruta.
Tarea actualizada	TaskUpdated	Un usuario o aplicación modifica una tarea.
Proyecto actualizado	ProjectUpdated	Un usuario o aplicación modifica un proyecto.

Actividades de Microsoft Stream

Puede buscar el registro de auditoría para actividades en Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream" en Registros de auditoría en Microsoft Stream.

Actividades de Microsoft Teams

En la tabla siguiente se enumeran las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams. Teams es un espacio de trabajo de Microsoft 365 orientado en el chat. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para obtener instrucciones de búsqueda más detalladas, consulte Búsqueda el registro de auditoría de eventos en Microsoft Teams.

Nombre descriptivo	Operación	Descripción
Bot agregado al equipo	BotAddedToTeam	Un usuario agrega un bot a un equipo.
Canal agregado	ChannelAdded	Un usuario agrega un canal a un equipo.
Conector agregado	ConnectorAdded	Un usuario agrega un conector a un canal.
Se han agregado detalles sobre la reunión ^2,⁵ de Teams.	MeetingDetail	Teams agregó información sobre una reunión, incluida la hora de inicio, la hora de finalización y la dirección URL para unirse a la reunión.
Se agregó información sobre los participantes de la reunión ^2,⁵	MeetingParticipantDetail	Teams agregó información sobre los participantes de una reunión, incluido el identificador de usuario de cada participante, la hora en que un participante se unió a la reunión y el momento en que un participante salió de la reunión.
Miembros agregados ^5,⁶	MemberAdded	El propietario de un equipo agrega miembros a un equipo, canal o chat de grupo.
Pestaña agregada	TabAdded	Un usuario agrega una pestaña a un canal.
Etiqueta de confidencialidad aplicada	SensitivityLabelApplied	Un usuario o organizador de reuniones aplicó una etiqueta de confidencialidad a una reunión de Teams.
Configuración de canal cambiada	ChannelSettingChanged	La operación ChannelSettingChanged se registra cuando se realizan las siguientes actividades por un miembro del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis en la columna Elemento de los resultados de búsqueda del registro de auditoría. Cambia el nombre de un canal de equipo (nombre del canal) Cambia la descripción de un canal de equipo (descripción del canal)
Configuración de organización cambiada	TeamsTenantSettingChanged	La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams en toda la organización. Para más información, consulte Administración de la configuración de Teams para su organización. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría. Habilita o deshabilita Teams para la organización (Microsoft Teams). Habilita o deshabilita la interoperabilidad entre Microsoft Teams y Skype Empresarial para la organización (Skype Empresarial interoperabilidad). Habilita o deshabilita la vista del organigrama en los clientes de Microsoft Teams (vista Organigrama). Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones privadas (programación de reuniones privadas). Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones de canal (programación de reuniones de canal). Habilita o deshabilita las videollamadas en las reuniones de Teams (vídeo para reuniones de Skype). Habilita o deshabilita el uso compartido de pantalla en reuniones de Microsoft Teams para la organización (uso compartido de pantalla para reuniones de Skype). Habilita o deshabilita esa capacidad para agregar imágenes animadas (denominadas Giphys) a conversaciones de Teams (imágenes animadas). Cambia la configuración de clasificación de contenido de la organización (Clasificación de contenido). La clasificación de contenido restringe el tipo de imagen animada que se puede mostrar en las conversaciones. Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes personalizables (denominadas memes personalizados) desde Internet a conversaciones de equipo (imágenes personalizables de Internet). Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes editables (denominadas pegatinas) a conversaciones de equipo (imágenes editables). Habilita o deshabilita esa capacidad para que los miembros del equipo usen bots en chats y canales de Microsoft Teams (bots de toda la organización). Habilita bots específicos para Microsoft Teams. Esto no incluye a T-Bot, que es el robot de ayuda de Microsoft Teams que está disponible cuando se habilitan los bots para la organización (Bots individuales). Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen extensiones o pestañas (extensiones o pestañas). Habilita o deshabilita la carga lateral de bots propietarios para Microsoft Teams (carga lateral de bots). Habilita o deshabilita la capacidad de los usuarios para enviar mensajes de correo electrónico a un canal de Microsoft Teams (correo electrónico del canal).
Rol cambiado de miembros del equipo	MemberRoleChanged	El propietario del equipo cambia el rol de los miembros del equipo. Los valores siguientes indican el tipo de rol asignado al usuario. 1 : indica el rol Miembro. 2 : indica el rol Propietario. 3- Indica el rol del invitado. La propiedad Members también incluye el nombre de la organización y la dirección de correo electrónico del miembro.
Configuración de equipo cambiada	TeamSettingChanged	La operación TeamSettingChanged se registra cuando se realizan las siguientes actividades por el dueño del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría. Cambia el tipo de acceso de un equipo. Teams se puede establecer como privado o público (tipo de acceso de equipo). Si un equipo es privado (valor predeterminado), los usuarios pueden acceder al equipo solo por invitación. Cuando un equipo es público, puede verlo cualquier persona. Cambia la clasificación de información de un equipo (clasificación de equipo). Por ejemplo, los datos de equipo se pueden clasificar como impacto empresarial alto, impacto empresarial medio o impacto empresarial bajo. Cambia el nombre de un equipo (nombre del equipo). Cambia la descripción del equipo (descripción del equipo). Cambios realizados en la configuración del equipo. Para acceder a esta configuración, el propietario del equipo puede hacer clic con el botón derecho en un equipo, seleccionar Administrar equipo y, a continuación, seleccionar la pestaña Configuración . Para estas actividades, el nombre de la configuración que se cambió se muestra en la columna Elemento de los resultados de la búsqueda del registro de auditoría.
Etiqueta de confidencialidad modificada	SensitivityLabelChanged	Un usuario cambió una etiqueta de confidencialidad en una reunión de Teams.
Creado un chat ^1,²	ChatCreated	Se creó un chat de Teams.
Equipo creado	TeamCreated	El usuario crea un equipo.
Se ha eliminado un mensaje ²	MessageDeleted	Se eliminó un mensaje en un chat o canal.
Eliminación de todas las aplicaciones de la organización	DeletedAllOrganizationApps	Se eliminaron todas las aplicaciones de la organización del catálogo.
Aplicación eliminada	AppDeletedFromCatalog	Se ha eliminado una aplicación del catálogo.
Canal eliminado	ChannelDeleted	Un usuario elimina un canal de un equipo.
Equipo eliminado	TeamDeleted	Un propietario de equipo elimina un equipo.
Editado un mensaje con un vínculo de dirección URL en Teams ⁵	MessageEditedHasLink	Un usuario edita un mensaje y le agrega un vínculo de dirección URL en Teams.
Mensajes exportados ^1,²	MensajesExportados	Se exportaron mensajes de chat o de canal.
Grabaciones exportadas	GrabaciónExportado	Se exportaron grabaciones de chat.
Transcripciones exportadas	TranscripcionesExportadas	Se exportaron transcripciones de chat.
No se pudo validar la invitación al canal ^{compartido 3}	FailedValidation	Un usuario responde a una invitación a un canal compartido, pero la invitación no pudo validarse.
Chat capturado ^1,²	ChatRetrieved	Se recuperó un chat de Microsoft Teams.
Captura de todo el contenido hospedado de un mensaje^1,²	MessageHostedContentsListed	Se recuperó todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código.
Aplicación instalada	AppInstalled	Se instaló una aplicación.
Acción realizada en la tarjeta	PerformedCardAction	Un usuario tomó medidas en una tarjeta adaptable dentro de un chat. Los bots suelen usar tarjetas adaptables para permitir la visualización enriquecida de información e interacción en los chats. Nota: Solo las acciones de entrada insertadas en una tarjeta adaptable dentro de un chat estarán disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario, como "Ver resultado", que abrirá un cuadro de diálogo, o las acciones de usuario dentro de los diálogos no estarán disponibles en el registro de auditoría.
Publicado un nuevo mensaje ^1,^2,^5,⁶	MessageSent	Se ha publicado un nuevo mensaje en un chat o canal.
Aplicación publicada	AppPublishedToCatalog	Se agregó una aplicación al catálogo.
Leer un mensaje ^1,²	MessageRead	Se recuperó un mensaje de un chat o canal.
Leer contenido hospedado de un mensaje ^1,²	MessageHostedContentRead	Se recuperó el contenido hospedado en un mensaje, como una imagen o un fragmento de código.
Bot quitado del equipo	BotRemovedFromTeam	Un usuario quita un bot de un equipo.
Conector quitado	ConnectorRemoved	Un usuario quita un conector de un canal.
Miembros quitados	MemberRemoved	El propietario de un equipo quita a los miembros de un equipo, canal o chat de grupo.
Etiqueta de confidencialidad eliminada	SensitivityLabelRemoved	Un usuario quitó una etiqueta de confidencialidad de una reunión de Teams.
Se ha quitado el uso compartido del canal ^{de equipo 3}.	TerminatedSharing	Un equipo o propietario del canal ha deshabilitado el uso compartido de un canal compartido.
Uso compartido restaurado del canal ^{de equipo 3}	SharingRestored	Un equipo o propietario del canal ha vuelto a habilitar el uso compartido para un canal compartido.
Pestaña removida	TabRemoved	Un usuario quita una pestaña de un canal.
Respuesta a la invitación para el canal ^{compartido 3}	InviteeResponded	Un usuario respondió a una invitación de canal compartido.
Respuesta a la invitación al canal ^{compartido 3}	ChannelOwnerResponded	Un propietario del canal respondió a una respuesta de un usuario que respondió a una invitación de canal compartido.
Mensajes recuperados ^1,²	MessagesListed	Se recuperaron los mensajes de un chat o canal.
Envío de un mensaje con un vínculo de dirección URL en Teams ⁵	MessageCreatedHasLink	Un usuario envía un mensaje que contiene un vínculo de dirección URL en Teams.
Notificación de cambio enviada para la creación ^{de mensajes 1,}²	MessageCreatedNotification	Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un nuevo mensaje.
Notificación de cambio enviada para la eliminación ^{de mensajes 1,}²	MessageDeletedNotification	Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado.
Notificación de cambio enviada para la actualización ^{de mensajes 1,}²	MessageUpdatedNotification	Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje actualizado.
Invitación enviada para el canal compartido ³	InviteSent	Un propietario o miembro del canal envía una invitación a un canal compartido. Las invitaciones a canales compartidos se pueden enviar a personas ajenas a la organización si la directiva de canal está configurada para compartir el canal con usuarios externos.
Suscripción a las notificaciones de cambio de mensaje ^1,²	SubscribedToMessages	Una aplicación de agente de escucha creó una suscripción para recibir notificaciones de cambios para los mensajes.
Aplicación desinstalada	AppUninstalled	Se ha desinstalado una aplicación.
Aplicación actualizada	AppUpdatedInCatalog	Se actualizó una aplicación en el catálogo.
Se ha actualizado un chat ^1,²	ChatUpdated	Se actualizó un chat de Teams.
Se ha actualizado un mensaje ^1,²	MessageUpdated	Se actualizó un mensaje de un chat o canal.
Conector actualizado	ConnectorUpdated	Un usuario ha modificado un conector en un canal.
Pestaña actualizada	TabUpdated	Un usuario ha modificado una pestaña en un canal.
Aplicación actualizada	AppUpgraded	Una aplicación se actualizó a su versión más reciente en el catálogo.
Usuario que ha iniciado sesión en Equipos	TeamsSessionStarted	Un usuario inicia sesión en un cliente de Microsoft Teams. Este evento no captura las actividades de actualización de tokens.
Mensaje nuevo ^{publicado 3,}^4,^5,⁶	MessageSent	Se ha publicado un nuevo mensaje en un chat o canal. Este evento es una característica premium con detalles de licencia que se van a definir.

Nota:

¹ Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a un Graph API de Microsoft. Si la operación se realiza en el cliente de Teams, no se registrará un registro de auditoría.
² Este evento solo está disponible en Auditoría (Premium). Esto significa que se debe asignar a los usuarios la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría (Premium), consulte Auditoría (Premium) en Microsoft Purview. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
³ Este evento está en versión preliminar pública.
⁴Este evento se genera para el chat solo si hay invitados, usuarios federados o anónimos.
⁵ Este evento no está disponible actualmente en las organizaciones Government Community Cloud (GCC), Government Community Cloud High (GCC-High) y Department of Defense (DoD).
⁶ Este evento se incluye en todos los inquilinos participantes para los chats federados.
⁷ Este evento tiene información de dominio participante para los chats federados 1:1.

Actividades de Microsoft Teams para Sanidad

Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar el registro de auditoría para las actividades relacionadas con el uso de la aplicación Pacientes. Si su entorno está configurado para admitir la aplicación Pacientes, un grupo adicional de actividad está disponible para estas actividades en la lista del selector Actividades.

Actividades de Microsoft Teams para Atención sanitaria en la lista del selector Actividades.

Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.

Actividades de Turnos en Microsoft Teams

En la tabla siguiente se enumeran las actividades de la aplicación Shift en Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría actividades relacionadas con el uso de la aplicación Turnos. Si su entorno está configurado para admitir la aplicación Turnos, habrá disponible un grupo adicional de esas actividades en la lista del selector Actividades.

Nombre descriptivo	Operación	Descripción
Grupo de programación agregado	ScheduleGroupAdded	Un usuario agrega correctamente un nuevo grupo de programación a la programación.
Grupo de programación editado	ScheduleGroupEdited	Un usuario edita correctamente un grupo de programación.
Grupo de programación eliminado	ScheduleGroupDeleted	Un usuario elimina correctamente un grupo de programación de la programación.
Se retiró la programación	ScheduleWithdrawn	Un usuario retira correctamente una programación publicada.
Desplazamiento agregado	MayúsAgregar	Un usuario agrega correctamente un turno.
Desplazamiento editado	MayúsEdited	Un usuario edita correctamente un turno.
Desplazamiento eliminado	ShiftDeleted	Un usuario elimina correctamente un turno.
Tiempo de expiración agregado	TimeOffAdded	Un usuario agrega correctamente tiempo de expiración en la programación.
Tiempo de expiración editado	TimeOffEdited	Un usuario edita correctamente el tiempo de expiración.
Tiempo de expiración eliminado	TimeOffDeleted	Un usuario elimina correctamente el tiempo de expiración.
Se agregó el turno abierto	OpenShiftAdded	Un usuario agrega correctamente un turno abierto a un grupo de programación.
Turno abierto editado	OpenShiftEdited	Un usuario edita correctamente un turno abierto en un grupo de programación.
Desplazamiento abierto eliminado	OpenShiftDeleted	Un usuario elimina correctamente un turno abierto de un grupo de programación.
Programación compartida	ScheduleShared	Un usuario ha compartido correctamente una programación de equipo para un intervalo de fechas.
Se ha cronometrado con el reloj de hora	ClockedIn	Un usuario realiza correctamente el reloj en el uso del reloj de hora.
Se ha agotado el reloj con el reloj de hora	ClockedOut	Un usuario cierra el reloj correctamente con Reloj de hora.
Inicio de la interrupción mediante el reloj de hora	BreakStarted	Un usuario inicia correctamente una interrupción durante una sesión de reloj de hora activa.
Interrupción finalizada mediante el reloj de hora	BreakEnded	Un usuario finaliza correctamente una interrupción durante una sesión de reloj de hora activa.
Entrada de reloj de hora agregada	TimeClockEntryAdded	Un usuario agrega correctamente una nueva entrada manual de reloj de hora en la hoja de horas.
Entrada de reloj de hora editada	TimeClockEntryEdited	Un usuario edita correctamente una entrada de reloj de hora en la hoja de horas.
Entrada de reloj de hora eliminada	TimeClockEntryDeleted	Un usuario elimina correctamente una entrada de reloj de hora en la hoja de horas.
Solicitud de desplazamiento agregada	RequestAdded	Un usuario agregó una solicitud de turno.
Respuesta a la solicitud de cambio	RequestRespondedTo	Un usuario respondió a una solicitud de turno.
Solicitud de desplazamiento cancelada	RequestCancelled	Un usuario canceló una solicitud de turno.
Configuración de programación modificada	ScheduleSettingChanged	Un usuario cambia una configuración en La configuración de desplazamientos.
Integración de la fuerza de trabajo agregada	WorkforceIntegrationAdded	La aplicación Shifts se integra con un sistema de terceros.
Mensaje de desplazamiento desactivado aceptado	OffShiftDialogAccepted	Un usuario confirma el mensaje fuera de turno para acceder a Teams después de las horas de turno.

Actividades de Novedades de Microsoft Teams

En la tabla siguiente se muestra Novedades aplicación en las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación de Novedades en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con el uso de la aplicación de Novedades. Si el entorno está configurado para admitir Novedades aplicaciones, hay disponible un grupo de actividades adicional para estas actividades en la lista Selector de actividades.

Nombre descriptivo	Operación	Descripción
Creación de una solicitud de actualización	CreateUpdateRequest	Un usuario crea correctamente una solicitud de actualización.
Edición de una solicitud de actualización	EditUpdateRequest	Un usuario abre el Asistente para la edición de solicitudes y selecciona Guardar para confirmar y guardar los cambios, o habilita o deshabilita la solicitud de actualización directamente.
Envío de una actualización	SubmitUpdate	Un usuario envía correctamente una actualización.
Ver los detalles de una actualización	ViewUpdate	Un usuario ve los detalles de la actualización.

Actividades pendientes de Microsoft

En la tabla siguiente se enumeran las actividades de Microsoft To Do que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft To Do, consulte Compatibilidad con Microsoft To Do.

Nota:

Los eventos de auditoría de las actividades de Microsoft To Do requieren una licencia de Project Plan 1 de pago (o superior) además de la licencia de Microsoft 365 pertinente que incluya derechos a Auditoría (Premium).

Nombre descriptivo	Operación	Descripción
Vínculo de uso compartido aceptado en la carpeta	AcceptedSharingLinkOnFolder	Vínculo de uso compartido aceptado para una carpeta.
Datos adjuntos creados	AttachmentCreated	Se creó un archivo adjunto para una tarea.
Datos adjuntos actualizados	AttachmentUpdated	Se ha actualizado un archivo adjunto.
Datos adjuntos eliminados	AttachmentDeleted	Se eliminó un archivo adjunto.
Vínculo compartido de uso compartido de carpetas	FolderSharingLinkShared	Se ha creado un vínculo de uso compartido para una carpeta.
Entidad vinculada eliminada	LinkedEntityDeleted	Se eliminó una entidad vinculada.
Entidad vinculada actualizada	LinkedEntityUpdated	Se actualizó una entidad vinculada.
Entidad vinculada creada	LinkedEntityCreated	Se creó una entidad vinculada de tarea.
SubTask creado	SubTaskCreated	Se creó una subtarea.
SubTask eliminado	SubTaskDeleted	Se eliminó una subtarea.
SubTask actualizado	SubTaskUpdated	Se actualizó una subtarea.
Tarea creada	TaskCreated	Se creó una tarea.
Tarea eliminada	TaskDeleted	Se eliminó una tarea.
Lectura de tareas	TaskRead	Se leyó una tarea.
Tarea actualizada	TaskUpdated	Se actualizó una tarea.
TaskList creado	TaskListCreated	Se creó una lista de tareas.
TaskList read	TaskListRead	Se leyó una lista de tareas.
TaskList actualizado	TaskListUpdated	Se actualizó una lista de tareas.
Invitado por el usuario	UserInvited	Usuario invitado a una carpeta.

actividades de Microsoft Viva Insights

Viva Insights proporciona información sobre cómo colaboran los grupos en toda la organización. En la tabla siguiente se enumeran las actividades realizadas por los usuarios a las que se les asigna el rol administrador o los roles de analista en Viva Insights. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis. Los usuarios asignados al rol Administrador pueden configurar los valores predeterminados de privacidad y del sistema, y pueden preparar, cargar y comprobar los datos de la organización en Viva Insights. Para obtener más información, consulte Introducción a Microsoft Viva Insights.

Nombre descriptivo	Operación	Descripción
Vínculo de acceso de OData	AccessedOdataLink	El analista ha accedido al vínculo OData para una consulta.
Consulta cancelada	CanceledQuery	El analista canceló una consulta en ejecución.
Exclusión de reuniones creada	MeetingExclusionCreated	El analista creó una regla de exclusión de la reunión.
Resultado eliminado	DeletedResult	El analista ha eliminado un resultado de la consulta.
Reporte descargado	DownloadedReport	El analista ha descargado un archivo de resultado de la consulta.
Consulta ejecutada	ExecutedQuery	El analista ha ejecutado una consulta.
Configuración de acceso a datos actualizada	UpdatedDataAccessSetting	Configuración de acceso a datos de administrador actualizada
Configuración de privacidad actualizada	UpdatedPrivacySetting	Administración la configuración de privacidad actualizada; por ejemplo, el tamaño mínimo del grupo.
Datos de la organización cargados.	UploadedOrgData	Archivo de datos de la organización cargado por el administrador.
Usuario que ha iniciado sesión^*	UserLoggedIn	Un usuario ha iniciado sesión en su cuenta de usuario de Microsoft 365.
Usuario que ha cerrado sesión^*	UserLoggedOff	Un usuario ha cerrado sesión en su cuenta de usuario de Microsoft 365.
Explorar vista	ViewedExplore	El analista visualizó una o más pestañas de la página de exploración.

Nota:

^*cuando un usuario inicia sesión, se crea un evento de actividad de inicio de sesión y cierre de sesión de Microsoft Entra. Esta actividad se registra incluso si no tiene Viva Insights activada en su organización. Para obtener más información sobre las actividades de inicio de sesión de usuario, consulte Inicio de sesión en Microsoft Entra ID.

Actividades de información personal

En la tabla siguiente se enumeran las actividades de información personal que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre información personal, consulte Administración guía de información personal.

Nombre descriptivo	Operación	Descripción
Configuración actualizada de MyAnalytics de la organización	UpdatedOrganizationMyAnalyticsSettings	Administración actualiza la configuración de nivel de organización para obtener información personal.
Actualización de la configuración de MyAnalytics del usuario	UpdatedUserMyAnalyticsSettings	Administración actualiza la configuración del usuario para obtener información personal.

Actividades de cuarentena

En la tabla siguiente se enumeran las actividades de cuarentena que puede buscar en el registro de auditoría. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena.

Nombre descriptivo	Operación	Descripción
Mensaje de cuarentena eliminado	QuarantineDeleteMessage	Un administrador o usuario eliminó un mensaje de correo electrónico que se consideró perjudicial.
Solicitud de liberación de mensajes de cuarentena denegados	QuarantineReleaseRequestDeny	Denegación de administración de una solicitud de lanzamiento de un usuario para un mensaje de correo electrónico que se consideró perjudicial.
Mensaje de cuarentena exportado	QuarantineExport	Un administrador o usuario exportó un mensaje de correo electrónico que se consideró perjudicial.
Vista previa de mensaje de cuarentena	QuarantinePreview	Un administrador o usuario obtuvo una vista previa de un mensaje de correo electrónico que se consideró perjudicial.
Mensaje de cuarentena liberado	QuarantineRelease	Un administrador o usuario publicó un mensaje de correo electrónico de la cuarentena que se consideró perjudicial.
Mensaje de cuarentena de solicitud de versión	QuarantineReleaseRequest	Un usuario solicitó la liberación de un mensaje de correo electrónico que se consideró perjudicial.
Vista de encabezado mensaje de cuarentena	QuarantineViewHeader	Un administrador o usuario ha visto en el encabezado un mensaje de correo electrónico que se ha considerado perjudicial.

Actividades de informe

En la tabla siguiente se enumeran las actividades de los informes de uso que se registran en el registro de auditoría de Microsoft 365.

Nombre descriptivo	Operación	Descripción
Configuración de privacidad del informe de uso actualizada	UpdateUsageReportsPrivacySetting	El administrador ha actualizado la configuración de privacidad de los informes de uso.

Actividades de las directivas y etiquetas de retención

En la tabla siguiente se describen las actividades de configuración de las directivas de retención y las etiquetas de retención cuando se crearon, reconfiguraron o eliminaron.

Nombre descriptivo	Operación	Descripción
Modificación de la pertenencia al ámbito de adaptación	ApplicableAdaptiveScopeChange	Los usuarios, sitios o grupos se agregaron o quitaron del ámbito de adaptación. Estos cambios son los resultados de ejecutar la consulta del ámbito. Dado que los cambios se inician en el sistema, el usuario notificado se muestra como un GUID en lugar de como una cuenta de usuario.
Opciones configuradas para una directiva de retención	NewRetentionComplianceRule	El administrador estableció la configuración de retención para una nueva directiva de retención. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule.
Ámbito de adaptación creado	NewAdaptiveScope	El administrador creó un ámbito de adaptación.
Etiqueta de retención creada	NewComplianceTag	El administrador creó una etiqueta de retención nueva.
Directiva de retención creada	NewRetentionCompliancePolicy	El administrador creó una nueva directiva de retención.
Ámbito de adaptación eliminado	RemoveAdaptiveScope	El administrador eliminó un ámbito de adaptación.
Configuración eliminada de una directiva de retención	RemoveRetentionComplianceRule	El administrador eliminó las opciones de configuración de una directiva de retención. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule.
Etiqueta de retención eliminada	RemoveComplianceTag	El administrador eliminó una etiqueta de retención.
Directiva de retención eliminada	RemoveRetentionCompliancePolicy	El administrador eliminó una directiva de retención.
Opción de registro normativo habilitada para etiquetas de retención	SetRestrictiveRetentionUI	El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario.
Ámbito de adaptación actualizado	SetAdaptiveScope	El administrador cambió la descripción o consulta de un ámbito de adaptación existente.
Configuración actualizada para una directiva de retención	SetRetentionComplianceRule	El administrador cambió la configuración de retención de una directiva de retención existente. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule.
Etiqueta de retención actualizada	SetComplianceTag	El administrador actualizó una etiqueta de retención existente.
Directiva de retención actualizada	SetRetentionCompliancePolicy	El administrador actualizó una directiva de retención existente. Las actualizaciones que desencadenan este evento incluyen agregar o excluir ubicaciones de contenido a las que se aplica la directiva de retención.

Actividades de administración de roles

En la tabla siguiente se enumeran Microsoft Entra actividades de administración de roles que se registran cuando un administrador administra los roles de administrador en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.

Nota:

Nombre descriptivo	Operación	Descripción
Agregar miembro a un rol	Agregar miembro a un rol.	Se ha agregado un usuario a un rol de administrador en Microsoft 365.
Se ha removido un usuario de un rol de directorio	Quitar miembro de un rol.	Se ha eliminado un usuario desde un rol de administrador en Microsoft 365.
Establecer la información de contacto de la empresa	Establecer la información de contacto de la empresa.	Se han actualizado las preferencias de contacto a nivel empresarial de la organización. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios.

Actividades de tipos de información confidencial

En la tabla siguiente se describen los eventos de auditoría de las actividades que implican la creación y actualización de tipos de información confidencial.

Nombre descriptivo	Operación	Descripción
Se ha creado un nuevo tipo de información confidencial	CreateRulePackage/EditRulePackage*	Se creó un nuevo tipo de información confidencial. Esto incluye los SIT creados mediante la copia de un SIT de fábrica. Nota: Esta actividad aparece en las actividades de auditoría "Paquete de reglas creadas" o "Paquete de reglas editado".
Editado un tipo de información confidencial	EditRulePackage	Se editó un tipo de información confidencial existente. Esto puede incluir operaciones como agregar o quitar un patrón y editar la expresión regex/palabra clave asociada al tipo de información confidencial. Nota: Esta actividad aparecerá en la actividad de auditoría "Paquete de reglas editado".
Eliminación de un tipo de información confidencial	EditRulePackage/RemoveRulePackage	Se eliminó un tipo de información confidencial existente. Nota: Esta actividad aparecerá en la actividad de auditoría "Paquete de reglas editado" o "Paquete de reglas quitado".

Actividades de la etiqueta de confidencialidad

En la tabla siguiente se enumeran los eventos resultantes del uso de etiquetas de confidencialidad con sitios y elementos administrados por Microsoft Purview. Los elementos incluyen documentos, correos electrónicos y eventos de calendario. Para las directivas de etiquetado automático, los elementos también incluyen archivos y recursos de datos esquematizados en Mapa de datos de Microsoft Purview.

Nombre descriptivo	Operación	Descripción
Etiqueta de confidencialidad aplicada al sitio	SiteSensitivityLabelApplied	Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad eliminada del sitio	SiteSensitivityLabelRemoved	Se quitó una etiqueta de confidencialidad de un sitio de SharePoint o un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad aplicada al archivo	FileSensitivityLabelApplied SensitivityLabelApplied	Se aplicó una etiqueta de confidencialidad a un elemento mediante aplicaciones de Microsoft 365, Office en la Web o una directiva de etiquetado automático. Las operaciones de esta actividad son diferentes en función de cómo se aplicó la etiqueta: - Office en la Web o una directiva de etiquetado automático (FileSensitivityLabelApplied) - Aplicaciones de Microsoft 365 (SensitivityLabelApplied)
Se ha cambiado la etiqueta de confidencialidad aplicada al archivo	FileSensitivityLabelChanged SensitivityLabelUpdated	Se aplicó una etiqueta de confidencialidad diferente a un elemento. Las operaciones de esta actividad son diferentes en función de cómo se cambió la etiqueta: - Office en la Web o una directiva de etiquetado automático (FileSensitivityLabelChanged) - Aplicaciones de Microsoft 365 (SensitivityLabelUpdated)
Etiqueta de confidencialidad modificada en un sitio	SiteSensitivityLabelChanged	Se aplicó una etiqueta de confidencialidad diferente a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad eliminada del sitio	FileSensitivityLabelRemoved SensitivityLabelRemoved	Se quitó una etiqueta de confidencialidad de un elemento mediante aplicaciones de Microsoft 365, Office en la Web, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile. Las operaciones de esta actividad son diferentes en función de cómo se haya quitado la etiqueta: - Office en la Web o una directiva de etiquetado automático (FileSensitivityLabelRemoved) - Aplicaciones de Microsoft 365 (SensitivityLabelRemoved)

Información de auditoría adicional para etiquetas de confidencialidad:

Cuando se usan etiquetas de confidencialidad para Grupos de Microsoft 365 y, por tanto, sitios de Teams que están conectados a grupos, las etiquetas se auditan con la administración de grupos en Microsoft Entra ID. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID.
Cuando use etiquetas de confidencialidad para invitaciones a reuniones de Teams y opciones de reunión y chat de Teams, consulte Búsqueda el registro de auditoría para eventos en Microsoft Teams.
Cuando use etiquetas de confidencialidad con Power BI, consulte Esquema de auditoría para etiquetas de confidencialidad en Power BI.
Cuando use etiquetas de confidencialidad con Microsoft Defender para aplicaciones en la nube, consulte Administración de aplicaciones conectadas y la información de etiquetado para las acciones de gobernanza de archivos.
Al aplicar etiquetas de confidencialidad mediante el cliente o el analizador de Microsoft Purview Information Protection o el SDK de Microsoft Information Protection (MIP), consulte Referencia del registro de auditoría de Azure Information Protection.

Lista de actividades de SharePoint

En la siguiente tabla se describen las actividades relacionadas cuando los usuarios interactúan con listas y elementos de lista en SharePoint en línea. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo	Operación	Descripción
Lista creada	ListCreated	Un usuario ha creado una lista de SharePoint.
Columna de lista creada	ListColumnCreated	Un usuario ha creado una columna de lista de SharePoint. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint.
Lista de tipo de contenido de lista creado	ListContentTypeCreated	Lista de tipo de contenido creado por un usuario. Una lista de tipo de contenido es un tipo de contenido que está adjunta a una o más listas de SharePoint.
Lista de ítems creada	ListItemCreated	Un usuario creó un elemento en una lista de SharePoint existente.
Una columna de sitio creada.	SiteColumnCreated	Un usuario ha creado una columna de sitio de SharePoint. Una columna de sitio es una columna que no está adjunta a una lista. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada.
Tipo de contenido de sitio creado	Sitio de ContentType creado	Tipo de contenido de sitio creado por un usuario. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal.
Lista eliminada	ListDeleted	Un usuario borró una lista de SharePoint.
Eliminar Columna de lista	Columna de lista eliminada	Un usuario borró una columna de lista de SharePoint.
Lista de tipo de contenido eliminado	ListContentTypeDeleted	Un usuario borró una lista de tipo de contenido.
Eliminar Lista de elementos	Lista de elementos eliminada	Un usuario borró una lista de elementos de SharePoint.
Columna de sitio eliminada.	SiteColumnDeleted	Un usuario borró una columna de sitio de SharePoint.
Tipo de contenido de sitio eliminado	SiteContentTypeDeleted	Un usuario borró un sitio de tipo de contenido.
Lista de elementos reciclados	ListItemRecycled	Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje.
Lista restaurada	ListRestored	Un usuario restauró una lista de SharePoint a la papelera de reciclaje.
Lista de elementos restaurada	ListItemRestored	Un usuario restauró una lista de SharePoint de la papelera de reciclaje.
Lista actualizada	ListUpdated	Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades.
Columna de lista actualizada	ListColumnUpdated	Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades.
Lista de tipo de contenido actualizado	ListContentTypeUpdated	Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades.
Lista de elementos actualizada	ListItemUpdated	Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades.
Una columna de sitio actualizada.	SiteColumnUpdated	Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades.
Tipo de contenido de sitio actualizado	SiteContentTypeUpdated	Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades.

La siguiente tabla describe las actividades de solicitud de acceso y uso compartido de usuarios en SharePoint en línea y OneDrive para empresas. Para los eventos compartidos, la columna deDetallessegún losResultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.

Nota:

Los usuarios pueden ser miembros o invitados en función de la propiedad UserType del objeto user. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).

Nombre descriptivo	Operación	Descripción
Nivel de permiso agregado a la colección de sitios	PermissionLevelAdded	Un nivel de permisos se agregó a una colección de sitios.
Solicitud de acceso aceptada	AccessRequestAccepted	Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso.
Invitación de uso compartido aceptada	SharingInvitationAccepted	El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.
Invitación de uso compartido bloqueada	SharingInvitationBlocked	Una invitación para compartir enviada por un usuario de su organización está bloqueada por una normativa de uso compartido externa que permite o niega el uso compartido externo basándose en el dominio del usuario de destino. En este caso, la invitación para compartir se bloqueó porque: El dominio del usuario de destino no está incluido en la lista de dominios permitidos. O bien: El dominio del usuario de destino está incluido en la lista de dominios bloqueados. Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint en línea y OneDrive para Empresas.
Solicitud de acceso creada	AccessRequestCreated	El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder.
Vínculo creado que se puede compartir de la empresa	CompanyLinkCreated	El usuario ha creado un vínculo empresarial de recursos. los vínculos empresariales solo pueden usarse por los miembros de su organización. No pueden ser usados por invitados.
Vínculo anónimo creado	AnonymousLinkCreated	El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse.
Vínculo de seguridad creado	SecureLinkCreated	Se ha creado un vínculo de uso compartido seguro para este elemento.
Invitación de uso compartido creada	SharingInvitationCreated	El usuario ha compartido un recurso en o con un usuario que no está en el directorio de su organización.
Vínculo de seguridad eliminado	SecureLinkDeleted	Un vínculo para uso compartido seguro se ha eliminado.
Solicitud de acceso denegada	AccessRequestDenied	Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado.
Vínculo quitado que se puede compartir de la empresa	CompanyLinkRemoved	El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.
Vínculo anónimo quitado	AnonymousLinkRemoved	El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.
Sitio, carpeta o archivo compartidos	SharingSet	El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive con un usuario en el directorio de la organización. El valor de la columna Detallespara esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado. Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario a los recursos. Por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.
Solicitud de acceso actualizada	AccessRequestUpdated	Se actualizó una solicitud de acceso a un elemento.
Vínculo anónimo actualizado	AnonymousLinkUpdated	El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda.
Invitación de uso compartido actualizada	SharingInvitationUpdated	Se actualizó una invitación para uso compartido externo.
Vínculo anónimo usado	AnonymousLinkUsed	Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario.
Sitio, carpeta o archivo no compartido	SharingRevoked	El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario.
Vínculo usado que se puede compartir de la empresa	CompanyLinkUsed	El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa.
Vínculo seguro usado	SecureLinkUsed	Un usuario usó un vínculo seguro.
Usuario añadido a vínculo seguro	AddedToSecureLink	Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro.
Usuario quitado de un vínculo seguro	RemovedFromSecureLink	Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro.
Invitación de uso compartido retirada	SharingInvitationRevoked	El usuario ha retirado una invitación de uso compartido a un recurso.

Actividades de administración del sitio

En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint en línea. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo	Operación	Descripción
Ubicación de datos añadidos permitidos	AllowedDataLocationAdded	Un administrador global o de SharePoint ha agregado una ubicación de datos permitida en un entorno multi geo.
Agente de usuario exento agregado	ExemptUserAgentSet	El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint.
Se ha agregado el administrador de ubicación geográfica	GeoAdminAdded	Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación.
Usuario permitido para crear grupos	AllowGroupCreationSet	El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio.
Desplazamiento geográfico de sitio cancelado	SiteGeoMoveCancelled	Un administrador global o de SharePoint canceló correctamente un desplazamiento geográfica de un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Normativa de uso compartido cambiada	SharingPolicyChanged	Un administrador global o de SharePoint cambió una directiva de uso compartido de SharePoint mediante el Centro de administración de Microsoft 365, el Centro de administración de SharePoint o el Shell de SharePoint Online Management. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización. La normativa cambiada se identifica en el campoModifiedProperties en las propiedades detalladas del registro de eventos.
Directiva de acceso del dispositivo cambiada	DeviceAccessPolicyChanged	Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados.
Agente de usuario exento cambiado	CustomizeExemptUsers	El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devuelve como un archivo XML, en lugar de una página web completa. Esto acelera la indexación de formularios de InfoPath.
Directiva de acceso de red cambiada	NetworkAccessPolicyChanged	Un administrador global o de SharePoint cambió la normativa de acceso basado en la ubicación (también denominada un límite de red de confianza) en el Centro de administración SharePoint o mediante el PowerShell de SharePoint en línea. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, consulte Controlar el acceso a datos de SharePoint en línea y OneDrive en función de las ubicaciones de red.
Trabajo de migración completado	MigrationJobCompleted	Un trabajo de migración se completó correctamente.
Desplazamiento geográfico de sitio completado	SiteGeoMoveCompleted	El desplazamiento geográfico de un sitio que fue programado por un administrador global de su organización se ha completado correctamente. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Conexión a enviar creada	SendToConnectionAdded	Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.
Colección de sitios creada	SiteCollectionCreated	Un administrador global o de SharePoint crea una colección de sitios en su organización de SharePoint en línea o un usuario aplica el sitio de OneDrive para empresas.
Orphaned hub site borrado	HubSiteOrphanHubDeleted	Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original
Conexión a enviar eliminada	SendToConnectionRemoved	El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint.
Sitio eliminado	SiteDeleted	El administrador del sitio elimina un sitio.
Vista previa del documento habilitada	PreviewModeEnabledSet	El administrador del sitio habilita la vista previa del documento para un sitio.
Flujo de trabajo heredado habilitado	LegacyWorkflowEnabledSet	El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint.
Petición a Office habilitada	OfficeOnDemandSet	El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas.
Origen de resultados habilitado para las búsquedas de personas	PeopleResultsScopeSet	El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio.
Fuentes RSS habilitadas	NewsFeedEnabledSet	El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.
Sitio unido al centro del sitio	HubSiteJoined	El propietario de un sitio lo asocia a un sitio central.
Cuota de colección de sitios modificada	SiteCollectionQuotaModified	El administrador del sitio modifica la cuota de una colección de sitios.
Sitio central registrado	HubSiteRegistered	Un administrador global o de SharePoint crea un sitio central. El resultado es que el sitio se registra para ser un sitio central.
Ubicación de datos permitidos removidos	AllowedDataLocationDeleted	Un administrador global o de SharePoint ha removido una ubicación de datos permitida en un entorno multi geográfico.
Se ha removido el administrador de ubicación geográfica	GeoAdminDeleted	Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación.
Sitio renombrado	SiteRenamed	El administrador o el propietario del sitio cambia el nombre de un sitio
Desplazamiento geográfico de sitio programado	SiteGeoMoveScheduled	Un administrador global o de SharePoint desplazó geográficamente con éxito un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Establecer sitio del host	HostSiteSet	Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive para empresas.
Configurar una cuota de almacenamiento para una ubicación geográfica	GeoQuotaAllocated	Un administrador global o de SharePoint configuró cuota de almacenamiento para ubicación geográfica en un entorno multi geográfico.
Sitio no unido desde el sitio central.	HubSiteUnjoined	El propietario de un sitio lo disocia de un sitio a un sitio central.
Sitio central no registrado	HubSiteUnregistered	Un administrador global o de SharePoint elimina el registro del sitio como un sitio central. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central.

Actividades de sitios de permisos

La siguiente tabla enumera eventos relacionan asignar permisos en SharePoint con usar grupos para dar (y revocar) acceso a sitios. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo	Operación	Descripción
Administradores de la colección de sitios agregados	SiteCollectionAdminAdded	El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365).
Usuario o grupo agregado al grupo de SharePoint	AddedToGroup	El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido.
Herencia de nivel de permisos interrumpida	PermissionLevelsInheritanceBroken	Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario.
Herencia de uso compartido interrumpida	SharingInheritanceBroken	Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario.
Grupo creado	GroupAdded	El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.
Grupo eliminado	GroupRemoved	El usuario elimina un grupo de un sitio.
Configuración de solicitud de acceso modificada	WebRequestAccessModified	La configuración de solicitud de acceso fueron modificadas en un sitio.
Configuración modificada "los miembros pueden compartir"	WebMembersCanShareModified	Los miembros pueden compartir la configuración se ha modificado en un sitio.
Nivel de permiso modificado en una colección de sitios	PermissionLevelModified	Un nivel de permisos se modificó en una colección de sitios.
Permisos de sitio modificados	SitePermissionsModified	El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos son removidos de un grupo. Nota:Esta operación se ha dejado de usar en SharePoint en línea. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint,Usuario permitido para crear grupos, Grupo creado y Grupo eliminado.
Nivel de permiso eliminado de la colección de sitios	PermissionLevelRemoved	Un nivel de permisos se eliminó de una colección de sitios.
Administradores de la colección de sitios removidos	SiteCollectionAdminRemoved	El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades.
Usuario o grupo removido al grupo de SharePoint	RemovedFromGroup	El usuario ha removido un miembro o invitado de un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido.
Permisos de administrador del sitio solicitados	SiteAdminChangeRequest	Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.
Herencia de uso compartido restaurada	SharingInheritanceReset	Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario.
Grupo actualizado	GroupUpdated	El administrador o el propietario cambia la configuración de un grupo para un sitio. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.

Actividades de sincronización

La siguiente tabla enumera la sincronización de archivos de actividades en SharePoint en línea y OneDrive para empresas.

Nombre descriptivo	Operación	Descripción
Equipo permitido para sincronizar archivos	ManagedSyncClientAllowed	El usuario establece correctamente una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.
Computadora bloqueada de los archivos de sincronización	UnmanagedSyncClientBlocked	El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es miembro del dominio de su organización o es miembro de un dominio que no se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que pueden acceder a las bibliotecas de documentos de su organización. No se permite la relación de sincronización y el equipo del usuario no puede sincronizar, descargar o cargar archivos en una biblioteca de documentos. Para obtener más información sobre esta característica, vea Usar cmdlets de PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.
Archivos descargados al equipo	FileSyncDownloadedFull	El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
Cambios de archivos descargados al equipo	FileSyncDownloadedPartial	Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).
Archivos cargados a la biblioteca de documentos	FileSyncUploadedFull	El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
Cambios de archivos cargados a la biblioteca de documentos	FileSyncUploadedPartial	Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).

Actividades de SystemSync

En la tabla siguiente se enumeran las actividades de SystemSync que se registran en el registro de auditoría de Microsoft 365.

Nombre descriptivo	Operación	Descripción
Uso compartido de datos creado	DataShareCreated	Cuando el usuario crea la exportación de datos.
Uso compartido de datos eliminado	DataShareDeleted	Cuando el usuario elimina la exportación de datos.
Generar una copia de Lake Data	GenerateCopyOfLakeData	Cuando se genera la copia de Lake Data.
Descargar copia de Lake Data	DownloadCopyOfLakeData	Cuando se descarga la copia de Lake Data.

Actividades de administración de usuarios

En la tabla siguiente se enumeran las actividades de administración de los usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario por medio del Centro de administración de Microsoft 365 o del portal de administración de Azure.

Nota:

Actividad	Operación	Descripción
Usuario agregado	Agregar usuario.	Secreó una cuenta de usuario.
Licencia de usuario cambiada	Cambiar licencia de usuario.	La licencia que se ha asignado a un usuario ha cambiado. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado.
Contraseña de usuario cambiada	Cambiar contraseña de usuario.	El usuario cambia su contraseña. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña. También puede realizar un seguimiento de la actividad de autoservicio de restablecimiento de contraseña en Microsoft Entra ID. Para obtener más información, consulte Opciones de informes para Microsoft Entra administración de contraseñas.
Usuario eliminado	Eliminar usuario.	Se ha eliminado una cuenta de usuario.
Restablecer contraseña de usuario	Restablecer contraseña de usuario.	El administrador restablece la contraseña de un usuario.
Establecer una propiedad que fuerce al usuario a cambiar la contraseña	Forzar el cambio de la contraseña de usuario.	Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Microsoft 365.
Establecer propiedades de licencia	Establecer propiedades de licencia.	Un administrador modificó las propiedades de una licencia asignada a un usuario.
Usuario actualizado	Actualizar usuario.	Un administrador cambia una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que se pueden actualizar, consulte la sección "Actualizar atributos de usuario" de Microsoft Entra auditar eventos de informe.

actividades de Viva Goals

En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Goals que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Búsqueda los detalles del registro de auditoría cómo puede buscar los registros de auditoría desde el portal de Microsoft Purview y el portal de cumplimiento. El usuario debe ser un administrador global o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Puede usar el filtro Actividades para buscar actividades específicas y para enumerar todas las actividades Viva Goals puede elegir "VivaGoals" en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.

Nombre descriptivo	Operación	Descripción
Organización creada	Organización creada	Administración o el usuario ha creado una nueva organización en Viva Goals.
Usuario agregado	Usuario agregado	Se ha agregado un nuevo usuario a una organización en Viva Goals.
Usuario desactivado	Usuario desactivado	Un usuario se ha desactivado en una organización.
Usuario eliminado	Usuario eliminado	Un usuario se ha eliminado de una organización en Viva Goals.
Usuario que ha iniciado sesión	Usuario que ha iniciado sesión	El usuario ha iniciado sesión en Viva Goals.
Equipo agregado	Equipo agregado	Se ha creado un nuevo equipo dentro de una organización en Viva Goals.
Equipo actualizado	Equipo actualizado	Un equipo de una organización en Viva Goals se ha modificado o actualizado.
Equipo eliminado	Equipo eliminado	El usuario ha eliminado un equipo de una organización en Viva Goals.
Datos exportados	Datos exportados	Un usuario ha exportado una lista de OKR o una lista de usuarios de una organización en Viva Goals.
Goals directiva actualizada	Goals directiva actualizada	El administrador global ha modificado la directiva o la configuración en el nivel de inquilino en Viva Goals. Por ejemplo, el administrador global ha configurado quién puede crear organizaciones en Viva Goals.
Configuración de la organización actualizada	Configuración de la organización actualizada	El usuario (normalmente propietarios o administradores de la organización) ha actualizado la configuración específica de la organización en Viva Goals.
Integraciones de la organización actualizadas	Integraciones de la organización actualizadas	El usuario (normalmente propietarios o administradores de la organización) ha configurado una integración de terceros o ha actualizado una integración de terceros existente para una organización en Viva Goals.
OKR o proyecto creado	OKR o proyecto creado	El usuario ha creado un OKR o un proyecto en Viva Goals.
OKR o Project actualizados	OKR o Project actualizados	El usuario o una integración en Viva Goals han modificado un OKR o un proyecto.
OKR o Proyecto eliminado	OKR o Proyecto eliminado	El usuario ha eliminado un OKR o un proyecto.
Panel creado	Panel creado	El usuario ha creado un nuevo panel en Viva Goals
Panel actualizado	Panel actualizado	El usuario ha actualizado un panel en Viva Goals
Panel eliminado	Panel eliminado	El usuario ha eliminado un panel en Viva Goals.

actividades de Viva Engage

En la tabla siguiente se enumeran las actividades de usuario y administrador en Viva Engage que se registran en el registro de auditoría. Para devolver actividades relacionadas con Viva Engage del registro de auditoría, debe seleccionar Mostrar resultados para todas las actividades de la lista Actividades. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.

Nota:

Algunas actividades de auditoría de Viva Engage solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.

En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).

Nombre descriptivo	Operación	Descripción
Directiva de retención de datos cambiada	SoftDeleteSettingsUpdated	Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a eliminación permanente o eliminación temporal. Solo los administradores superiores pueden realizar esta operación.
Configuración de red cambiada	NetworkConfigurationUpdated	El administrador comprobado o de red cambia la configuración de la red de Viva Engage. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat.
Configuración del perfil de red cambiada	ProcessProfileFields	Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red.
Modo de contenido privado cambiado	SupervisorAdminToggled	El administrador comprobado activa o desactiva el modo de contenido privado . Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación.
Configuración de seguridad cambiada	NetworkSecurityConfigurationUpdated	El administrador comprobado actualiza la configuración de seguridad de la red de Viva Engage. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP. Solo los administradores superiores pueden realizar esta operación.
Archivo creado	FileCreated	El usuario cargó un archivo.
Grupo creado	GroupCreation	El usuario crea un grupo.
Mensaje creado ^*	MessageCreated	El usuario creó un mensaje.
Grupo eliminado	GroupDeletion	Se elimina un grupo de Viva Engage.
Mensaje eliminado	MessageDeleted	El usuario eliminó un mensaje.
Archivo descargado	FileDownloaded	El usuario descargó un archivo.
Datos exportados	DataExport	El administrador verificado exporta Viva Engage datos de red. Solo los administradores superiores pueden realizar esta operación.
No ha podido acceder a la comunidad^*	CommunityAccessFailure	El usuario no pudo acceder a una comunidad.
No se ha podido acceder al archivo^*	FileAccessFailure	El usuario no pudo acceder a un archivo.
No se ha podido acceder al mensaje^*	MessageAccessFailure	El usuario no pudo acceder a un mensaje.
Reaccionó al mensaje	MarkedMessageChanged	El usuario reaccionó a un mensaje.
Archivo compartido	FileShared	Un usuario compartió un archivo con otro usuario.
Usuario de red suspendido	NetworkUserSuspended	El administrador de red o verificado suspende (desactiva) a un usuario de Viva Engage.
Usuario suspendido	UserSuspension	Se suspendió una cuenta de usuario (se desactivó).
Descripción del archivo actualizado	FileUpdateDescription	Un usuario cambió la descripción de un archivo.
Nombre de archivo actualizado	FileUpdateName	Un usuario cambió el nombre de un archivo.
Mensaje actualizado^*	MessageUpdated	El usuario actualizó un mensaje.
Archivo visualizado	FileVisited	Un usuario visualizó un archivo.
Mensaje visto^*	MessageViewed	El usuario vio un mensaje.

Windows 365 actividades de caja de seguridad del cliente

En la tabla siguiente se enumeran las actividades de usuario y administrador en Windows 365 Caja de seguridad del cliente que se registran en el registro de auditoría. Para devolver Windows 365 actividades relacionadas con la caja de seguridad del cliente del registro de auditoría, seleccione Windows365CustomerLockbox en Tipos de registro. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.

Nombre descriptivo	Operación	Descripción
Desencadenamiento de la corrección de dispositivos	Desencadenamiento de la corrección de dispositivos	Desencadene la corrección del dispositivo.
Carga de la carpeta en el blob	Carga de la carpeta en el blob	Comprima y cargue la carpeta del dispositivo del cliente en el blob.
Comprobación de la directiva de ejecución de PowerShell	Comprobación de la directiva de ejecución de PowerShell	Compruebe la directiva de ejecución de PowerShell.
Instalación del agente de Escritorio remoto	Instalación del agente de Escritorio remoto	Instale el agente de Escritorio remoto en el dispositivo del usuario.
Ejecución de la extensión AADJ híbrida	Ejecución de la extensión AADJ híbrida	Ejecute la extensión AADJ híbrida en el dispositivo del usuario.
Creación de una solicitud vmExtension	Creación de una solicitud vmextention	Crea solicitudes de extensión de máquina virtual para ejecutar la extensión de máquina virtual con el fin de ejecutar scripts personalizados en el dispositivo cliente.
Orquestador del desencadenador	Orquestador del desencadenador	Orquestador de desencadenadores para el usuario.
Desencadenamiento de una acción genérica por SaaF	Desencadenamiento de una acción genérica por SaaF	Desencadenar la acción del dispositivo (Redestinación, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para el usuario.
Desencadenar acción genérica	Desencadenar acción genérica	Desencadenar la acción del dispositivo para el usuario.
Desencadenamiento de una acción genérica con opciones	Desencadenamiento de una acción genérica con opciones	Desencadene la acción del dispositivo con parámetros de opción, más eficaces que la acción genérica del desencadenador.
Creación de nuevos elementos de trabajo (Scheduler)	Creación de nuevos elementos de trabajo (Scheduler)	Cree nuevos elementos de trabajo, por ejemplo, Aprovisionar, Desaprovisionar, Reprovisionar, etc.
Operación posterior a la acción remota	Operación posterior a la acción remota	Después de la acción remota, se sondea el resultado por la operación GetActions.
Comandos de ejecución de OCE en la máquina virtual	Comandos de ejecución de OCE en la máquina virtual	Ejecute comandos por tenantID, lista deviceID y script.
Creación de una solicitud de LogCollection	Creación de una solicitud de LogCollection	Cree una solicitud de recopilación de registros en el equipo en la nube.
Desencadene la comprobación controlada del agente CMD.	Desencadene la comprobación controlada del agente CMD.	Desencadene la comprobación controlada del agente CMD en un dispositivo específico.
Ejecución de AppHealthPlugin	Ejecución de AppHealthPlugin	Ejecute AppHealthPlugin.
Reposición del agente CMD	Operación AddDevicesToBackfill	Reposición del agente CMD en el equipo en la nube.
Reinstalación del agente CMD	Operación AddDevicesToReinstall	Vuelva a instalar el agente CMD a petición.
Reinstalación masiva del agente CMD	TriggerClientAgentCheckBulkAction (operación)	Reinstale de forma masiva el agente CMD a petición.
Creación de una operación de acción remota en ActionModeratorService	Creación de una operación de acción remota en ActionModeratorService	Cree una acción remota mediante tenantID, workspaceID, actionType, actionParameters.

Actividades del registro de auditoría

Actividades de administración de aplicaciones

Microsoft Entra actividades de administración de grupos

Actividades de correo de informe de tareas pendientes

Actividades del cumplimiento de comunicaciones

Actividades del explorador de contenido

Actividades de Copilot

Actividades de administración de directorios

Actividades de revisión para eliminación

Actividades de eDiscovery

Actividades de eDiscovery (Premium)

Actividades del portal de mensajes cifrados

Actividades de administración de Exchange

Actividades de buzón de Exchange

Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange

Actividades de páginas y archivos

Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed

El usuario app@sharepoint en los registros de auditoría

Actividades de carpetas

Actividades de barreras de información

Microsoft Defender para punto de conexión actividades de configuración general

Microsoft Defender para punto de conexión actividades de configuración de indicadores

Microsoft Defender para punto de conexión actividades de acciones de reponse

Microsoft Defender para punto de conexión actividades de configuración de roles

actividades de Microsoft Defender para expertos

actividades de Microsoft Defender for Identity

Microsoft Defender XDR actividades de detección personalizadas

Microsoft Defender XDR actividades de incidentes

Microsoft Defender XDR actividades de regla de supresión

Actividades de Microsoft Fabric

Actividades de Microsoft Forms

Actividades de Forms que realizan los coautores y respondedores anónimos

Conexión de datos de Microsoft Graph

actividades de Microsoft Planner

Actividades en Microsoft Power Apps

Actividades en Microsoft Power Automate

Actividades de gobernanza de Microsoft Purview

Actividades de Microsoft Project para la web

Actividades de Microsoft Stream

Actividades de Microsoft Teams

Actividades de Microsoft Teams para Sanidad

Actividades de Turnos en Microsoft Teams

Actividades de Novedades de Microsoft Teams

Actividades pendientes de Microsoft

actividades de Microsoft Viva Insights

Actividades de información personal

Actividades de cuarentena

Actividades de informe

Actividades de las directivas y etiquetas de retención

Actividades de administración de roles

Actividades de tipos de información confidencial

Actividades de la etiqueta de confidencialidad

Lista de actividades de SharePoint

Actividades de solicitud de acceso y uso compartido

Actividades de administración del sitio

Actividades de sitios de permisos

Actividades de sincronización

Actividades de SystemSync

Actividades de administración de usuarios

actividades de Viva Goals

actividades de Viva Engage

Windows 365 actividades de caja de seguridad del cliente

Comentarios

Comentarios

Recursos adicionales