¿Qué son los registros de auditoría de Microsoft Entra?
Los registros de actividad de Microsoft Entra incluyen registros de auditoría, que son informes completos sobre cada evento registrado en Microsoft Entra ID. Los cambios en las aplicaciones, grupos, usuarios y licencias se capturan en los registros de auditoría de Microsoft Entra.
También hay otros dos registros de actividad disponibles para ayudar a supervisar el estado del inquilino:
- Inicios de sesión : Información sobre los inicios de sesión y cómo los usuarios emplean los recursos.
- Aprovisionamiento : actividades realizadas por el servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de Workday.
En este artículo se proporciona información general sobre los registros de auditoría, incluidos los requisitos necesarios para acceder a ellos y la información que proporcionan.
Requisitos de licencia y rol
Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.
| Registro o informe | Roles | Licencias |
|---|---|---|
| Auditoría | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Inicios de sesión | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Aprovisionamiento | Lector de informes Lector de seguridad Administrador de seguridad Lector global Operador de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Microsoft Entra ID P1 o P2 |
| Registros de auditoría de atributos de seguridad personalizados* | Administrador del registro de atributos Lector de registro de atributos |
Todas las ediciones de Microsoft Entra ID |
| Uso y conclusiones | Lector de informes Lector de seguridad Administrador de seguridad |
Microsoft Entra ID P1 o P2 |
| Protección de identidad** | Administrador de seguridad Operador de seguridad Lector de seguridad Lector global |
Microsoft Entra ID Free Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2 |
| Registros de actividad de Microsoft Graph | Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente |
Microsoft Entra ID P1 o P2 |
*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.
**El nivel de acceso y las funcionalidades de Identity Protection varían con el rol y la licencia. Para más información, consulte los requisitos de licencia de Identity Protection.
¿Qué se puede hacer con los registros de auditoría?
Los registros de auditoría de Microsoft Entra ID proporcionan acceso a los registros de actividad del sistema, a menudo necesarios para el cumplimiento. Puede obtener respuestas a preguntas relacionadas con usuarios, grupos y aplicaciones.
Usuarios:
- ¿Qué tipos de cambios se aplicaron recientemente a los usuarios?
- ¿Cuántos usuarios han cambiado?
- ¿Cuántas contraseñas han cambiado?
Grupos:
- ¿Qué grupos se agregaron recientemente?
- ¿Se han cambiado los propietarios del grupo?
- ¿Qué licencias son a un grupo o usuario?
Aplicaciones:
- ¿Qué aplicaciones se actualizaron o eliminaron?
- ¿Ha cambiado la entidad de servicio de una aplicación?
- ¿Se han cambiado los nombres de las aplicaciones?
Atributos de seguridad personalizados:
- ¿Qué cambios se realizaron en las definiciones o asignaciones de atributos de seguridad personalizados?
- ¿Qué actualizaciones se realizaron en los conjuntos de atributos?
- ¿Qué valores de atributos personalizados se asignaron a un usuario?
Nota:
Las entradas de los registros de auditoría se generan por el sistema y no se pueden cambiar ni eliminar.
¿Qué muestran los registros?
Los registros de auditoría se muestran de forma predeterminada en la pestaña Directorio, que muestra la siguiente información:
- Fecha y hora en que se produjo el evento
- Servicio que ha registrado la repetición
- Categoría y nombre de la actividad (qué)
- Estado de la actividad (correcto o incorrecto)
Una segunda pestaña de Seguridad personalizada muestra los registros de auditoría de los atributos de seguridad personalizados. Para ver los datos de esta pestaña, se debe tener el rol Administrador de registro de atributos o Lector de registro de atributos. Este registro de auditoría muestra todas las actividades relacionadas con los atributos de seguridad personalizados. Para obtener más información, consulte Qué son los atributos de seguridad personalizados.
Registros de actividad de Microsoft 365
Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. Aunque los registros de actividad de Microsoft 365 y Microsoft Entra comparten varios de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.
También puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.
La mayoría de las suscripciones independientes o agrupadas de Microsoft 365 tienen dependencias de back-end en algunos subsistemas dentro del límite del centro de datos de Microsoft 365. Las dependencias necesitan la escritura diferida de cierta información para mantener los directorios sincronizados y, básicamente, para ayudar a habilitar la incorporación sin complicaciones en una suscripción para participar en Exchange Online. Para estas escrituras diferidas, las entradas del registro de auditoría muestran las acciones realizadas por "Microsoft Substrate Management". Estas entradas del registro de auditoría hacen referencia a las operaciones de creación, actualización y eliminación ejecutadas por Exchange Online para Microsoft Entra ID. Las entradas son informativas y no se necesita ninguna acción.