Compartir a través de

Obtener registros de auditoría de Windows 365

  • Artículo

Los registros de auditoría de Windows 365 incluyen un registro de actividades que generan un cambio en un PC en la nube. Las acciones de creación, actualización (edición), eliminación, asignación y remotas crean eventos de auditoría que los administradores pueden revisar para la mayoría de las acciones de PC en la nube que se realizan mediante Graph. La auditoría está habilitada de forma predeterminada para todos los clientes. No se puede deshabilitar.

¿Quién puede tener acceso a los datos?

Los usuarios con los siguientes permisos pueden revisar los registros de auditoría:

  • Administrador global
  • Administrador del servicio de Intune
  • Administradores asignados a un rol de Intune con los permisos Datos de auditoría: Lectura

Envío de registros de auditoría de Windows 365 a la configuración de diagnóstico en Azure Monitor

La configuración de diagnóstico de Azure Monitor le permite exportar los registros y las métricas de la plataforma al destino que prefiera. Puede crear hasta cinco configuraciones de diagnóstico diferentes para enviar diferentes registros y métricas a destinos independientes. Para más información, consulte Configuración de diagnóstico en Azure Monitor.

Para crear una configuración de diagnóstico para enviar registros

  1. Asegúrese de que tiene una cuenta de Azure.
  2. Inicie sesión en el centro de administración de Microsoft Intune y seleccioneConfiguración de diagnóstico de informes> (en Azure Monitor)>Agregar configuración de diagnóstico.
  3. En Registros, seleccione Windows365AuditLogs.
  4. En Detalles del destino, seleccione el destino y proporcione los detalles.
  5. Seleccione Guardar.

Uso de Graph API y PowerShell para recuperar eventos de auditoría

Para obtener eventos de registro de auditoría para el inquilino de Windows 365, siga estos pasos:

Instalar el SDK

  1. En PowerShell, ejecute este comando: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Ejecute este comando para comprobar la instalación: Get-InstalledModule Microsoft.Graph.Beta
  3. Para obtener todos los puntos de conexión de Graph de PC en la nube, ejecute este comando: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Iniciar sesión

  1. Ejecute cualquiera de estos dos comandos:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. En la página web resultante, inicie sesión en el inquilino con una cuenta de usuario que tenga los permisos de lectura o escritura adecuados.
  3. Cambie al entorno beta de Graph mediante este comando: Select-MgProfile -Name "beta"

Obtención de datos de auditoría

Hay varias maneras de ver los datos de auditoría.

Obtener toda la lista de eventos de auditoría, incluido el actor de auditoría

Para obtener toda la lista de eventos de auditoría, incluyendo al actor (persona que realizó la acción), use el siguiente comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Obtener una lista de eventos de auditoría

Para obtener una lista de eventos de auditoría sin el actor de auditoría, use el siguiente comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Para obtener todos los eventos, use el parámetro -All:Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Para obtener solo los N eventos principales, use los parámetros siguientes: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Obtención de un único evento por identificador de evento

Puede usar el siguiente comando para obtener un evento de auditoría único, donde deberá proporcionar el {id. de evento}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Siguientes pasos

Continuidad empresarial y recuperación ante desastres.