¿Qué son los registros de auditoría de Microsoft Entra?
Los registros de actividad de Microsoft Entra incluyen registros de auditoría, que son informes completos sobre cada evento registrado en Microsoft Entra ID. Los cambios en las aplicaciones, grupos, usuarios y licencias se capturan en los registros de auditoría de Microsoft Entra.
También hay otros dos registros de actividad disponibles para ayudar a supervisar el estado del inquilino:
- Inicios de sesión : Información sobre los inicios de sesión y cómo los usuarios emplean los recursos.
- Aprovisionamiento: actividades realizadas por el servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado de Workday.
En este artículo se proporciona información general de los registros de auditoría, como la información que proporcionan y a qué tipos de preguntas pueden responder.
¿Qué se puede hacer con los registros de auditoría?
Los registros de auditoría de Microsoft Entra ID proporcionan acceso a los registros de actividad del sistema, a menudo necesarios para el cumplimiento. Puede obtener respuestas a preguntas relacionadas con usuarios, grupos y aplicaciones.
Usuarios:
- ¿Qué tipos de cambios se aplicaron recientemente a los usuarios?
- ¿Cuántos usuarios han cambiado?
- ¿Cuántas contraseñas han cambiado?
Grupos:
- ¿Qué grupos se agregaron recientemente?
- ¿Se han cambiado los propietarios del grupo?
- ¿Qué licencias son a un grupo o usuario?
Aplicaciones:
- ¿Qué aplicaciones se actualizaron o eliminaron?
- ¿Ha cambiado la entidad de servicio de una aplicación?
- ¿Se han cambiado los nombres de las aplicaciones?
Atributos de seguridad personalizados:
- ¿Qué cambios se realizaron en las definiciones o asignaciones de atributos de seguridad personalizados?
- ¿Qué actualizaciones se realizaron en los conjuntos de atributos?
- ¿Qué valores de atributos personalizados se asignaron a un usuario?
Nota:
Las entradas de los registros de auditoría se generan por el sistema y no se pueden cambiar ni eliminar.
¿Qué muestran los registros?
Los registros de auditoría se muestran de forma predeterminada en la pestaña Directorio, que muestra la siguiente información:
- Fecha y hora en que se produjo el evento
- Servicio que ha registrado la repetición
- Categoría y nombre de la actividad (qué)
- Estado de la actividad (correcto o incorrecto)
Una segunda pestaña de Seguridad personalizada muestra los registros de auditoría de los atributos de seguridad personalizados. Para ver los datos de esta pestaña, se debe tener el rol Administrador de registro de atributos o Lector de registro de atributos. Este registro de auditoría muestra todas las actividades relacionadas con los atributos de seguridad personalizados. Para obtener más información, consulte Qué son los atributos de seguridad personalizados.
Registros de actividad de Microsoft 365
Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365. Aunque los registros de actividad de Microsoft 365 y Microsoft Entra comparten varios de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.
También puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.
La mayoría de las suscripciones independientes o agrupadas de Microsoft 365 tienen dependencias de back-end en algunos subsistemas dentro del límite del centro de datos de Microsoft 365. Las dependencias necesitan la escritura diferida de cierta información para mantener los directorios sincronizados y, básicamente, para ayudar a habilitar la incorporación sin complicaciones en una suscripción para participar en Exchange Online. Para estas escrituras diferidas, las entradas del registro de auditoría muestran las acciones realizadas por "Microsoft Substrate Management". Estas entradas del registro de auditoría hacen referencia a las operaciones de creación, actualización y eliminación ejecutadas por Exchange Online para Microsoft Entra ID. Las entradas son informativas y no se necesita ninguna acción.