Revisión y supervisión de los registros de auditoría de Microsoft Entra

  • 6 minutos

Registros de auditoría

Los registros de auditoría de Microsoft Entra proporcionan registros de las actividades del sistema para el cumplimiento. Para acceder al informe de auditoría, seleccione Registros de auditoría en la sección Supervisión de Microsoft Entra ID.

Un registro de auditoría tiene una vista de lista predeterminada que muestra:

  • Fecha y hora en que se produjo el evento

  • Servicio que ha registrado la repetición

  • Categoría y nombre de la actividad (qué)

  • Estado de la actividad (correcto o incorrecto)

  • Destino

  • Iniciador o actor (quién) de una actividad

    Captura de pantalla de los registros de auditoría disponibles que puede revisar para asegurarse de que los sistemas se ejecutan de forma eficaz.

Puede personalizar la vista de lista, haga clic en Columnas en la barra de herramientas.

Captura de pantalla de las columnas Auditoría, por lo que puede elegir los datos específicos que necesita ver en el informe.

Esto le permite mostrar los campos adicionales o quitar los campos que ya se están mostrando.

Captura de pantalla del cuadro de diálogo Quitar campos. Configure los informes para mostrar y revisar solo los datos que necesita.

Seleccione un elemento de la vista de lista para obtener información más detallada.

Captura de pantalla del cuadro de diálogo Seleccionar elemento. ¿Qué información detallada necesita?

Filtrado de registros de auditoría

Puede filtrar los datos de auditoría por los siguientes campos:

  • Servicio

  • Category

  • Actividad

  • Status

  • Destino

  • Iniciado por (actor)

  • Intervalo de fechas

    Captura de pantalla del cuadro de diálogo Filter object (Filtrar objeto). Use los filtros para organizar y revisar los datos.

El filtro Service (Servicio) le permite seleccionar los siguientes servicios de una lista desplegable:

  • All
  • Experiencia de usuario de administración de Microsoft Entra
  • Revisiones de acceso
  • Account Provisioning (Aprovisionamiento de cuentas)
  • Proxy de aplicación
  • Métodos de autenticación
  • B2C
  • Acceso condicional
  • Core Directory (Directorio principal)
  • Administración de derechos
  • Autenticación híbrida
  • Identity Protection (Protección de identidad)
  • Invited Users (Usuarios invitados)
  • MIM Service (Servicio MIM)
  • MyApps
  • PIM
  • Self-service Group Management (Administración de grupos de autoservicio)
  • Self-service Password Management (Administración de contraseñas de autorservicio)
  • Términos de uso

El filtro Category (Categoría) le permite seleccionar uno de los filtros siguientes:

  • All
  • Unidad administrativa
  • ApplicationManagement
  • Autenticación
  • Autorización
  • Contacto
  • Dispositivo
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Etiqueta
  • Otros
  • PermissionGrantPolicy
  • Directiva
  • ResourceManagement
  • RoleManagement
  • UserManagement

El filtro Activity (Actividad) se basa en la selección de la categoría y el tipo de recurso de actividad que realice. Puede seleccionar la actividad específica que desea ver o elegir todas.

Puede obtener la lista de todas las actividades de auditoría mediante Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

El filtro Status (Estado) le permite filtrar en función del estado de una operación de auditoría. El estado puede ser uno de los siguientes:

  • All
  • Correcto
  • Error

El filtro Target (Destino) le permite buscar un destino determinado por nombre o nombre principal de usuario (UPN). El nombre de destino y el UPN distinguen mayúsculas de minúsculas.

El filtro Iniciado por (Initiated by) le permite definir por qué empieza el nombre de un actor o un nombre principal universal (UPN). El nombre y el UPN distinguen mayúsculas de minúsculas.

El filtro Intervalo de fechas permite definir un período de tiempo para los datos devueltos. Los valores posibles son:

  • 7 días
  • 24 horas
  • Personalizado

Cuando se selecciona un intervalo de tiempo personalizado, puede configurar una hora de inicio y una hora de finalización.

También puede descargar los datos filtrados, hasta 250 000 registros, si selecciona el botón Download (Descargar). Puede descargar los registros en formato CSV o JSON. El número de registros que se puede descargar también está restringido por las directivas de retención de informes de Microsoft Entra.

Captura de pantalla de la descarga de datos. Obtenga los datos en un archivo CSV o JSON para que le ayude a trabajar sin conexión.

Métodos abreviados de los registros de auditoría

Además de Microsoft Entra ID, Azure Portal proporciona dos puntos de entrada adicionales para auditar datos:

  • Usuarios y grupos
  • Aplicaciones empresariales

Registros de auditoría de los usuarios y grupos

Con los informes de auditoría basadas en grupos y usuarios, puede obtener respuestas a preguntas como:

  • ¿Qué tipos de actualizaciones se han aplicado a los usuarios?
  • ¿Cuántos usuarios han cambiado?
  • ¿Cuántas contraseñas han cambiado?
  • ¿Qué ha hecho un administrador en un directorio?
  • ¿Cuáles son los grupos que se han agregado?
  • ¿Hay grupos con cambios de pertenencia?
  • ¿Se han cambiado los propietarios de un grupo?
  • ¿Qué licencias se han asignado a un grupo o un usuario?

Si quiere revisar solo los datos de auditoría relacionados con los usuarios, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Usuarios. Este punto de entrada tiene UserManagement como categoría preseleccionada.

Captura de pantalla del cuadro de diálogo Usuario. Puede elegir usuarios específicos para administrar.

Si quiere revisar solo los datos de auditoría relacionados con los grupos, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Grupos. Este punto de entrada tiene GroupManagement como categoría preseleccionada.

Captura de pantalla de Filtrar grupos. Puede configurar los detalles de administración de grupos para la auditoría.

Registros de auditoría de aplicaciones empresariales

Con los informes de auditoría basadas en aplicaciones, puede obtener respuestas a preguntas tales como:

  • ¿Qué aplicaciones se han agregado o actualizado?
  • ¿Qué aplicaciones se han quitado?
  • ¿Ha cambiado la entidad de servicio de una aplicación?
  • ¿Se han cambiado los nombres de las aplicaciones?
  • ¿Quién dio el consentimiento a una aplicación?

Si quiere revisar los datos de auditoría relacionados con las aplicaciones, encontrará una vista filtrada en Registros de auditoría en la sección Actividad de la pantalla Aplicaciones empresariales. Este punto de entrada tiene la opción Aplicaciones empresariales preseleccionada en Tipo de aplicación.

Captura de pantalla de los Registros de aplicaciones empresariales para la auditoría. Puede y debe auditar todos los detalles.

Registros de actividad de Microsoft 365

Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. Aunque los registros de actividad de Microsoft 365 y Microsoft Entra comparten muchos de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365. También puede tener acceso a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.