Activar o desactivar la auditoría

  • Artículo

El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Sin embargo, al configurar una nueva organización de Microsoft 365, debe comprobar el estado de auditoría de su organización. Para obtener instrucciones, consulte la sección Verify the auditing status for your organization (Comprobar el estado de auditoría de su organización ) de este artículo.

Cuando la auditoría está activada en el portal de cumplimiento Microsoft Purview, la actividad de usuario y administrador de su organización se registra en el registro de auditoría y se conserva automáticamente durante 180 días. La retención (duración) de los datos de auditoría se inicia cuando se agrega al registro de auditoría y se conserva en función de las directivas de retención del registro de auditoría y la licencia asignada a los usuarios.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Los cambios en las directivas de concesión de licencias o retención de usuarios también cambian la fecha de expiración de los datos de auditoría.

Su organización puede tener motivos para no querer registrar y conservar los datos de registro de auditoría. En estos casos, un administrador global puede desactivar la auditoría en Microsoft 365 para su organización. Para obtener instrucciones, consulte la sección Desactivar auditoría de este artículo.

Importante

Si desactiva la auditoría en Microsoft 365, no puede usar la API de actividad de administración de Office 365 ni Microsoft Sentinel para acceder a los datos o registros de auditoría de su organización. Desactivar la auditoría siguiendo los pasos descritos en este artículo significa que no se devolverá ningún resultado al buscar en el registro de auditoría mediante el portal de cumplimiento o al ejecutar el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Antes de activar o desactivar la auditoría

  • Debe tener asignado el rol Registros de auditoría en el portal de cumplimiento Microsoft Purview para activar o desactivar la auditoría en su organización de Microsoft 365. De forma predeterminada, este rol se asigna a los grupos de roles Administrador de auditoría, Administración de la organización y Administrador de seguridad en la página Permisos del portal de cumplimiento.

  • Para obtener instrucciones paso a paso sobre cómo buscar en el registro de auditoría, consulte Búsqueda en el registro de auditoría.

  • Para obtener más información sobre la API de actividad de administración de Microsoft 365, consulte Introducción a las API de administración de Microsoft 365.

Comprobación del estado de auditoría de la organización

Para comprobar que la auditoría está activada para su organización, puede ejecutar el siguiente comando en Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Un valor de True para la propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está activada. Un valor de False indica que la auditoría no está activada.

Importante

Asegúrese de ejecutar el comando anterior en Exchange Online PowerShell. Aunque el cmdlet Get-AdminAuditLogConfig también está disponible en PowerShell de cumplimiento de seguridad & , la propiedad UnifiedAuditLogIngestionEnabled siempre Falsees , incluso cuando la auditoría está activada.

Activar la auditoría

Si la auditoría no está activada para su organización, puede activarla en el portal de cumplimiento o mediante Exchange Online PowerShell. Puede tardar varias horas después de activar la auditoría antes de poder devolver resultados al buscar en el registro de auditoría.

Uso del portal de cumplimiento para activar la auditoría

  1. En el portal de cumplimiento Microsoft Purview en https://compliance.microsoft.com, vaya a Auditoría de soluciones>. O bien, para ir directamente a la página Auditoría , use https://compliance.microsoft.com/auditlogsearch.

  2. Si la auditoría no está activada para su organización, se muestra un banner que le pide que empiece a grabar la actividad de usuario y administrador.

    Banner en la página Auditoría.

  3. Seleccione el banner Iniciar grabación de actividad de usuario y administrador .

    El cambio puede tardar hasta 60 minutos en surtir efecto.

Uso de PowerShell para activar la auditoría

  1. Conéctese al PowerShell de Exchange Online.

  2. Ejecute el siguiente comando de PowerShell para activar la auditoría.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Se muestra un mensaje que indica que el cambio puede tardar hasta 60 minutos en surtir efecto.

Desactivar la auditoría

Tiene que usar Exchange Online PowerShell para desactivar la auditoría.

  1. Conéctese al PowerShell de Exchange Online.

  2. Ejecute el siguiente comando de PowerShell para desactivar la auditoría.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Después de un tiempo, compruebe que la auditoría está desactivada (deshabilitada). Hay dos formas de hacerlo:

    • En Exchange Online PowerShell, ejecute el siguiente comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      El valor de para False la propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está desactivada.

    • Vaya a la página Auditoría del portal de cumplimiento.

      Si la auditoría no está activada para su organización, se muestra un banner que le pide que empiece a grabar la actividad de usuario y administrador.

Registros de auditoría al cambiar el estado de la auditoría

Los cambios en el estado de auditoría de la organización se auditan por sí mismos. Esto significa que los registros de auditoría se registran cuando la auditoría está activada o desactivada. Puede buscar estos registros de auditoría en el registro de auditoría del administrador de Exchange.

Para buscar en el registro de auditoría del administrador de Exchange los registros de auditoría que se generan al activar o desactivar la auditoría, ejecute el siguiente comando en Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Los registros de auditoría de estos eventos contienen información sobre cuándo se cambió el estado de auditoría, el administrador que lo cambió y la dirección IP del equipo que se usó para realizar el cambio. En las capturas de pantalla siguientes se muestran los registros de auditoría que corresponden a cambiar el estado de auditoría de la organización.

Registro de auditoría para activar la auditoría

Registro de auditoría para activar la auditoría

El valor de en Confirm la propiedad CmdletParameters indica que el registro de auditoría unificado se ha activado en el portal de cumplimiento o mediante la ejecución del cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Registro de auditoría para desactivar la auditoría

Registro de auditoría para desactivar la auditoría

El valor de Confirm no se incluye en la propiedad CmdletParameters . Esto indica que el registro de auditoría unificado se ha desactivado mediante la ejecución del comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Para obtener más información sobre cómo buscar en el registro de auditoría del administrador de Exchange, consulte Search-AdminAuditLog.