Revisión y supervisión de los registros de auditoría de Microsoft Entra

  • 6 minutos

Registros de auditoría

Los registros de auditoría de Microsoft Entra proporcionan registros de las actividades del sistema para el cumplimiento. Para acceder al informe de auditoría, seleccione Registros de auditoría en la sección Supervisión de Microsoft Entra ID.

Un registro de auditoría tiene una vista de lista predeterminada que muestra:

  • Fecha y hora en que se produjo el evento

  • Servicio que ha registrado la repetición

  • Categoría y nombre de la actividad (qué)

  • Estado de la actividad (correcto o incorrecto)

  • Destino

  • Iniciador o actor (quién) de una actividad

    Screenshot of the available Audit logs you can review to ensure your systems are running effectively.

Puede personalizar la vista de lista, haga clic en Columnas en la barra de herramientas.

Screenshot of the Audit columns, so you can pick the specific data you need to see in your report.

Esto le permite mostrar los campos adicionales o quitar los campos que ya se están mostrando.

Screenshot of the Remove fields dialog. Set up the reports to show and review just the data you need.

Seleccione un elemento de la vista de lista para obtener información más detallada.

Screenshot of the select item dialog. What detailed information do you need?

Filtrado de registros de auditoría

Puede filtrar los datos de auditoría por los siguientes campos:

  • Servicio

  • Category

  • Actividad

  • Status

  • Destino

  • Iniciado por (actor)

  • Intervalo de fechas

    Screenshot of the Filter object dialog. Use the filters to organize and review the data.

El filtro Service (Servicio) le permite seleccionar los siguientes servicios de una lista desplegable:

  • All
  • Experiencia de usuario de administración de Microsoft Entra
  • Revisiones de acceso
  • Account Provisioning (Aprovisionamiento de cuentas)
  • Proxy de aplicación
  • Métodos de autenticación
  • B2C
  • Acceso condicional
  • Core Directory (Directorio principal)
  • Administración de derechos
  • Autenticación híbrida
  • Protección de identidad
  • Invited Users (Usuarios invitados)
  • MIM Service (Servicio MIM)
  • MyApps
  • PIM
  • Self-service Group Management (Administración de grupos de autoservicio)
  • Self-service Password Management (Administración de contraseñas de autorservicio)
  • Términos de uso

El filtro Category (Categoría) le permite seleccionar uno de los filtros siguientes:

  • All
  • Unidad administrativa
  • ApplicationManagement
  • Authentication
  • Authorization
  • Contacto
  • Dispositivo
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Etiqueta
  • Otros
  • PermissionGrantPolicy
  • Directiva
  • ResourceManagement
  • RoleManagement
  • UserManagement

El filtro Activity (Actividad) se basa en la selección de la categoría y el tipo de recurso de actividad que realice. Puede seleccionar la actividad específica que desea ver o elegir todas.

Puede obtener la lista de todas las actividades de auditoría mediante Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

El filtro Status (Estado) le permite filtrar en función del estado de una operación de auditoría. El estado puede ser uno de los siguientes:

  • All
  • Correcto
  • Error

El filtro Target (Destino) le permite buscar un destino determinado por nombre o nombre principal de usuario (UPN). El nombre de destino y el UPN distinguen mayúsculas de minúsculas.

El filtro Iniciado por (Initiated by) le permite definir por qué empieza el nombre de un actor o un nombre principal universal (UPN). El nombre y el UPN distinguen mayúsculas de minúsculas.

El filtro Intervalo de fechas permite definir un período de tiempo para los datos devueltos. Los valores posibles son:

  • 7 días
  • 24 horas
  • Personalizado

Cuando se selecciona un intervalo de tiempo personalizado, puede configurar una hora de inicio y una hora de finalización.

También puede descargar los datos filtrados, hasta 250 000 registros, si selecciona el botón Download (Descargar). Puede descargar los registros en formato CSV o JSON. El número de registros que se puede descargar también está restringido por las directivas de retención de informes de Microsoft Entra.

Screenshot of the Download data. Get the data in a CSV or JSON file to help you work offline.

Métodos abreviados de los registros de auditoría

Además de Microsoft Entra ID, Azure Portal proporciona dos puntos de entrada adicionales para auditar datos:

  • Usuarios y grupos
  • Aplicaciones empresariales

Registros de auditoría de los usuarios y grupos

Con los informes de auditoría basadas en grupos y usuarios, puede obtener respuestas a preguntas como:

  • ¿Qué tipos de actualizaciones se han aplicado a los usuarios?
  • ¿Cuántos usuarios han cambiado?
  • ¿Cuántas contraseñas han cambiado?
  • ¿Qué ha hecho un administrador en un directorio?
  • ¿Cuáles son los grupos que se han agregado?
  • ¿Hay grupos con cambios de pertenencia?
  • ¿Se han cambiado los propietarios de un grupo?
  • ¿Qué licencias se han asignado a un grupo o un usuario?

Si quiere revisar solo los datos de auditoría relacionados con los usuarios, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Usuarios. Este punto de entrada tiene UserManagement como categoría preseleccionada.

Screenshot of the User dialog. You can pick specific users to manage.

Si quiere revisar solo los datos de auditoría relacionados con los grupos, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Grupos. Este punto de entrada tiene GroupManagement como categoría preseleccionada.

Screenshot of the Filter groups. You can set up group management details for auditing.

Registros de auditoría de aplicaciones empresariales

Con los informes de auditoría basadas en aplicaciones, puede obtener respuestas a preguntas tales como:

  • ¿Qué aplicaciones se han agregado o actualizado?
  • ¿Qué aplicaciones se han quitado?
  • ¿Ha cambiado la entidad de servicio de una aplicación?
  • ¿Se han cambiado los nombres de las aplicaciones?
  • ¿Quién dio el consentimiento a una aplicación?

Si quiere revisar los datos de auditoría relacionados con las aplicaciones, encontrará una vista filtrada en Registros de auditoría en la sección Actividad de la pantalla Aplicaciones empresariales. Este punto de entrada tiene la opción Aplicaciones empresariales preseleccionada en Tipo de aplicación.

Screenshot of the Enterprise applications logs for auditing. You can and should audit all details.

Registros de actividad de Microsoft 365

Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. Aunque los registros de actividad de Microsoft 365 y Microsoft Entra comparten muchos de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365. También puede tener acceso a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.