Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Sin embargo, al configurar una nueva organización de Microsoft 365, compruebe el estado de auditoría de su organización. Para obtener instrucciones, consulte la sección Verify the auditing status for your organization (Comprobar el estado de auditoría de su organización ) de este artículo.
Al activar la auditoría en el portal de Microsoft Purview, el registro de auditoría registra la actividad de usuario y administrador de su organización y la conserva automáticamente durante 180 días. La retención (duración) de los datos de auditoría se inicia cuando se agrega al registro de auditoría y se conserva en función de las directivas de retención del registro de auditoría y la licencia asignada a los usuarios.
Importante
La auditoría no está habilitada de forma predeterminada para las licencias de pequeñas y medianas empresas (SMB), incluidos Microsoft 365 Empresa Básico, Business Standard y Business Premium. Además, los inquilinos no administrados que usan pruebas gratuitas de licencias empresariales no tienen habilitada la auditoría de forma predeterminada. En ambos casos, debe habilitar manualmente la auditoría para su organización.
Los cambios en las directivas de concesión de licencias o retención de usuarios también cambian la fecha de expiración de los datos de auditoría.
Es posible que su organización tenga motivos para no querer registrar y conservar los datos de registro de auditoría. En estos casos, un administrador global puede desactivar la auditoría en Microsoft 365 para su organización. Para obtener instrucciones, consulte la sección Desactivar auditoría de este artículo.
Importante
Si desactiva la auditoría en Microsoft 365, no puede usar la API de actividad de administración de Office 365 ni Microsoft Sentinel para acceder a los datos o registros de auditoría de su organización. Al desactivar la auditoría, las búsquedas del registro de auditoría en Microsoft Purview no devuelven ningún resultado. La ejecución del cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell tampoco devuelve ningún resultado.
Antes de activar o desactivar la auditoría
Debe tener asignado el rol Registros de auditoría en Exchange Online para activar o desactivar la auditoría. De forma predeterminada, los grupos de roles Administración de cumplimiento y Administración de la organización de la página Permisos del Centro de administración de Exchange tienen este rol.
- Para obtener instrucciones paso a paso sobre cómo buscar en el registro de auditoría, consulte Búsqueda en el registro de auditoría.
- Para obtener más información sobre la API de actividad de administración de Microsoft 365, consulte Introducción a las API de administración de Microsoft 365.
Comprobación del estado de auditoría de la organización
Para comprobar que la auditoría está activada para su organización, ejecute el siguiente comando en Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Un valor de True para la propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está activada. Un valor de False indica que la auditoría no está activada.
Importante
Asegúrese de ejecutar el comando anterior en Exchange Online PowerShell. Aunque el cmdlet Get-AdminAuditLogConfig también está disponible en PowerShell de cumplimiento de seguridad &, la propiedad UnifiedAuditLogIngestionEnabled siempre Falsees , incluso cuando la auditoría está activada.
Activar la auditoría
Si la auditoría no está activada para su organización, actíela en el portal de Microsoft Purview o mediante Exchange Online PowerShell. Puede tardar varias horas después de activar la auditoría antes de poder devolver los resultados al buscar en el registro de auditoría.
Complete los pasos siguientes para activar la auditoría:
- Inicie sesión en el portal de Microsoft Purview.
- Seleccione la tarjeta Auditar solución. Si no se muestra la tarjeta Auditar solución, seleccione Ver todas las soluciones y, a continuación, seleccione Auditar en la sección Núcleo .
- Si la auditoría no está activada para su organización, se muestra un banner que le pide que empiece a grabar la actividad de usuario y administrador.
- Seleccione el banner Iniciar grabación de actividad de usuario y administrador .
El cambio puede tardar hasta 60 minutos en surtir efecto.
Uso de PowerShell para activar la auditoría
Ejecute el siguiente comando de PowerShell para activar la auditoría.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueSe muestra un mensaje que indica que el cambio puede tardar hasta 60 minutos en surtir efecto.
Desactivar la auditoría
Use Exchange Online PowerShell para desactivar la auditoría.
Ejecute el siguiente comando de PowerShell para desactivar la auditoría.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseDespués de un tiempo, compruebe que la auditoría está desactivada (deshabilitada). Puede hacer esto de dos maneras:
En Exchange Online PowerShell, ejecute el siguiente comando:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledEl valor de para
Falsela propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está desactivada.Vaya a la página Auditoría del portal de Microsoft Purview.
Si la auditoría no está activada para su organización, un banner le pedirá que empiece a grabar la actividad de usuario y administrador.
Registros de auditoría al cambiar el estado de la auditoría
La organización audita los cambios en el estado de auditoría. Este proceso audita los cambios en el estado de auditoría. Los registros de auditoría se registran cuando la auditoría está activada o desactivada. Puede buscar estos registros de auditoría en el registro de auditoría del administrador de Exchange.
Para buscar en el registro de auditoría del administrador de Exchange los registros de auditoría que se generan al activar o desactivar la auditoría, ejecute el siguiente comando en Exchange Online PowerShell:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Los registros de auditoría de estos eventos contienen información sobre cuándo se cambió el estado de auditoría, el administrador que lo cambió y la dirección IP del equipo que se usó para realizar el cambio. En las capturas de pantalla siguientes se muestran los registros de auditoría que corresponden a cambiar el estado de auditoría de la organización.
Registro de auditoría para Set-AdminAuditLogConfig
Busque el valor de resultado de UnifiedAuditLogIngestionEnabled en la propiedad AuditData . Este valor indica si el registro de auditoría unificado se ha activado o desactivado en el portal de Microsoft Purview o mediante la ejecución del cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .
Para obtener más información sobre cómo buscar en el registro de auditoría del administrador de Exchange, consulte Search-UnifiedAuditLog.