Búsqueda del registro de auditoría en el portal de cumplimiento
Nota
Microsoft 365 cumplimiento ahora se denomina Microsoft Purview y las soluciones dentro del área de cumplimiento se han cambiado de nombre. Para obtener más información sobre Microsoft Purview, consulte el anuncio del blog.
¿Necesita averiguar si un usuario ha visto un documento determinado o si ha purgado un elemento de su buzón? De ser así, puede usar la herramienta de búsqueda del registro de auditoría en el portal de cumplimiento de Microsoft Purview para buscar el registro de auditoría unificado para ver la actividad de los usuarios y administradores en su organización. Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los usuarios de tu organización pueden usar la herramienta de búsqueda de registro de auditoría para buscar, ver y exportar (a un archivo CSV) los registros de auditoría de estas operaciones.
Servicios de Microsoft 365 que admiten la auditoría
¿Por qué un registro de auditoría unificado? Porque puede buscar actividades realizadas en diferentes servicios de Microsoft 365 en el registro de auditoría. En la tabla siguiente se enumeran los servicios y características de Microsoft 365 (en orden alfabético) compatibles con el registro de auditoría unificado.
| Servicio o característica de Microsoft 365 | Tipos de registro |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Cumplimiento de comunicaciones | ComplianceSuperVisionExchange |
| Explorador de contenido | LabelContentExplorer |
| Conectores de datos | ComplianceConnector |
| Prevención de pérdida de datos (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| eDiscovery | Detección, AeD |
| Coincidencia exacta de datos | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Formularios | MicrosoftForms |
| Barreras de información | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirActionigation, AirManualContextigation, AirAdminActionActionActionIgation, MS365DCustomDetection |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive para la Empresa | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Cuarentena | Cuarentena |
| Directivas y etiquetas de retención | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Tipos de información confidencial | DlpSensitiveInformationType |
| Etiquetas de confidencialidad | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| SharePoint Online | SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Inteligencia sobre amenazas | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
Para más información sobre las operaciones auditadas en cada uno de los servicios enumerados en la tabla anterior, vea la sección Actividades auditadas de este artículo.
La tabla anterior también identifica el valor de tipo de registro que se usará para buscar actividades en el registro de auditoría en el servicio correspondiente mediante el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell o mediante un script de PowerShell. Algunos servicios tienen varios tipos de registro para diferentes tipos de actividades dentro del mismo servicio. Para una lista más completa de los tipos de registros de auditoría, vea elEsquema de la API de Actividad de administración de Office 365.
Para más información sobre el uso de PowerShell para buscar en el registro de auditoría, vea:
Antes de realizar búsquedas en el registro de auditoría
Lea los elementos siguientes antes de iniciar la búsqueda en el registro de auditoría.
La búsqueda en el registro de auditoría está activada de forma predeterminada para organizaciones de Microsoft 365 y Office 365 Enterprise. Para comprobar que la búsqueda de registros de auditoría está activada, puede ejecutar el comando siguiente en PowerShell de Exchange Online:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledEl valor de
Truepara la propiedad UnifiedAuditLogIngestionEnabled indica que la búsqueda de registros de auditoría está activada. Para obtener más información, consulte Desactivar o activar la búsqueda de registros de auditoría.Usted debe tener asignado el rol de Registros de auditoría o Registros de auditoría de solo lectura en Exchange Online para buscar en el registro de auditoría. De forma predeterminada, estos roles se asignan a los grupos de roles de Administración de la organización y Administración de cumplimiento en la página de permisos del centro de administración de Exchange. Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de administración de la organización en Exchange Online. Para darle a un usuario la capacidad de buscar en el registro de auditoría con el mínimo nivel de privilegios, puede crear un grupo de roles personalizado en Exchange Online, agregar el rol de Registros de auditoría o Registros de auditoría de solo lectura y, después, agregar el usuario como miembro del nuevo grupo de roles. Para obtener más información, consulteAdministrar grupos de roles en Exchange en línea.
Si asigna a un usuario el rol Registros de auditoría o Registros de auditoría de solo lectura en la página Permisos del portal de cumplimiento, no podrá buscar el registro de auditoría. Tiene que asignar los permisos en Exchange en línea. Esto se debe a que el cmdlet subyacente que se usa para buscar en el registro de auditoría es un cmdlet Exchange en línea.
Cuando un usuario o administrador realiza una actividad auditada, se genera un registro de auditoría y se almacena en el registro de auditoría de la organización. La cantidad de tiempo que se retiene un registro de auditoría (y que se puede buscar en el registro de auditoría) depende de la suscripción a Office 365 o Microsoft 365 Enterprise y, específicamente, del tipo de licencia que se ha asignado a usuarios específicos.
En el caso de los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft 365 E5 (o usuarios con una licencia de complemento de Cumplimiento de Microsoft 365 E5 o de eDiscovery y auditoría de Microsoft 365 E5), los registros de auditoría de Azure Active Directory, Exchange y la actividad de SharePoint se conservan durante un año de forma predeterminada. Las organizaciones también pueden crear directivas de retención de registros de auditoría para conservar registros de auditoría de actividades en otros servicios durante un año. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Nota
Si su organización ha participado en el programa de vista previa privado para la retención de registros de auditoría de un año, la duración de la retención de los registros de auditoría que se generaron antes de la fecha de lanzamiento de disponibilidad general no se restablecerá.
Para los usuarios que tengan asignadas otras licencias de Office 365 o Microsoft 365 (que no sean E5), los registros de auditoría se conservarán durante 90 días. Para obtener una lista de las suscripciones de Office 365 y Microsoft 365 que admiten el registro de auditoría unificado, consulte la descripción del servicio del portal de seguridad y cumplimiento.
Nota
Incluso si la auditoría de buzón está activada de forma predeterminada, es posible que observe que los eventos de auditoría del buzón de algunos usuarios no se encuentran en búsquedas de registro de auditoría en el centro de cumplimiento o a través de la API de Actividad de administración de Office 365. Para más información, consulte Más información sobre el registro de auditoría del buzón.
Si desea desactivar la búsqueda en el registro de auditoría de su organización, puede ejecutar el comando siguiente en el PowerShell remoto conectado a su organización de Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falsePara volver a activar la búsqueda de auditoría, puede ejecutar el comando siguiente en PowerShell de Exchange en línea :
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $truePara obtener más información, consulteDesactivar la búsqueda de registros de auditoría.
Como se indicó anteriormente, el cmdlet subyacente que se ha usado para buscar en el registro de auditoría es un cmdlet de Exchange en línea, que es Search-UnifiedAuditLog. Esto significa que puede usar este cmdlet para buscar en el registro de auditoría en lugar de usar la herramienta de búsqueda en la página Auditoría del portal de cumplimiento. Tiene que ejecutar este cmdlet en Exchange Online PowerShell. Para obtener más información, consulte Search-UnifiedAuditLog.
Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLog a un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.
Si desea descargar mediante programación los datos del registro de auditoría, le recomendamos que use la API de Actividad de administración de Office 365 en lugar de usar un script de PowerShell. La API de Actividad de administración de Office 365 es un servicio REST de la web que puede usar para desarrollar operaciones, soluciones de supervisión de seguridad y cumplimiento para su organización. Para obtener más información, consultela referencia de la API de Actividad de administración de Office 365.
Azure Active Directory (Azure AD) es el servicio de directorio para Microsoft 365. El registro de auditoría unificado contiene las actividades del usuario, dominio, aplicación, grupo y directorio que se realizaron en el Centro de administración de Microsoft 365 o en el portal de administración de Azure. Para obtener una lista completa de los eventos de Azure AD, consulteEventos del informe de auditoría de Azure Active Directory.
Microsoft no garantiza una hora específica después de que se produzca un evento para que el registro de auditoría correspondiente se devuelva en los resultados de una búsqueda de registros de auditoría. Para los servicios principales (como Exchange, SharePoint, OneDrive y Teams), la disponibilidad de registros de auditoría suele ser de 60 a 90 minutos después de que se produzca un evento. Para otros servicios, la disponibilidad de los registros de auditoría puede ser más larga. Sin embargo, algunos problemas que son inevitables (como una interrupción del servidor) pueden producirse fuera del servicio de auditoría que retrasa la disponibilidad de los registros de auditoría. Por estas razones, Microsoft no se compromete a un tiempo de entrega específico.
El registro de auditoría de Power BI no está habilitado de forma predeterminada. Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.
Búsquedas en el registro de auditoría
Aquí se muestra el proceso para buscar el registro de auditoría en Microsoft 365.
Paso 1: Ejecute una búsqueda de registros de auditoría
Paso 2: Vea los resultados de la búsqueda
Paso 3: Exportar los resultados de la búsqueda a un archivo
Paso 1: Ejecute una búsqueda de registros de auditoría
Vaya a https://compliance.microsoft.com e inicie sesión.
Sugerencia
Use una sesión de exploración privada (que no sea una sesión regular) para obtener acceso al portal de cumplimiento, ya que así se evita que se puedan usar las credenciales con las que ha iniciado sesión actualmente. Para abrir una sesión de exploración de InPrivate en Microsoft Edge o una sesión privada en Google Chrome (llamada ventana de incógnito), pulse CTRL + MAYÚS + N.
En el panel izquierdo del portal de cumplimiento, haga clic en Auditoría.
Aparecerá la página Auditoría.
Nota
Si se muestra el vínculo Iniciar el registro de la actividad administrativa y de usuario, haga clic en él para activar la auditoría. Si no ve este vínculo, la auditoría está habilitada para la organización.
En la pestaña Buscar,configure los siguientes criterios de búsqueda:
- Fecha de inicio y Fecha de finalización: los últimos siete días se seleccionan de manera predeterminada. Seleccione un intervalo de fecha y hora para mostrar los eventos que han sucedido en ese período. La fecha y la hora se muestran en hora local. El intervalo máximo de fecha que puede especificar es 90 días. Se muestra un error si el intervalo de fecha seleccionado es superior a 90 días.
Sugerencia
Si está usando el intervalo de fecha máximo de 90 días, seleccione la hora actual para la Fecha de inicio. De otro modo, recibirá un error que dice que la fecha de inicio es anterior a la fecha de finalización. Si ha activado la auditoría en los últimos 90 días, el intervalo máximo de fecha no puede comenzar antes de la fecha en la que se ha activado la auditoría.
Actividades: haga clic en la lista desplegable para mostrar las actividades que puede buscar. Las actividades administrativas y de usuario se organizan en grupos de actividades relacionadas. Puede seleccionar actividades específicas o puede hacer clic en el nombre del grupo de actividades para seleccionar todas las actividades del grupo. También puede hacer clic en una actividad seleccionada para borrar la selección. Después de que ejecute la búsqueda, solo se muestran las entradas seleccionadas del registro de auditoría de las actividades. Al seleccionar Mostrar los resultados de todas las actividades, se mostrarán los resultados de todas las actividades que el usuario o el grupo de usuarios seleccionado ha realizado.
Se registran más de 100 actividades de usuario y de administrador en el registro de auditoría. Haga clic en la pestaña de Actividades auditadas en el tema de este artículo para ver las descripciones de todas las actividades en cada uno de los diferentes servicios.Usuarios: haga clic en este cuadro y, luego, seleccione uno o más usuarios para mostrarles los resultados de búsqueda. Las entradas del registro de auditoría de la actividad seleccionada realizada por los usuarios que selecciona en este cuadro, se muestran en la lista de resultados. Deje este cuadro en blanco para devolver las entradas de todos los usuarios (y cuentas de servicio) de su organización.
Archivo, carpeta o sitio: escriba algunos o todos los nombres de carpeta o de archivo para buscar las actividades relacionadas con el archivo de la carpeta que contengan la palabra clave especifica. También puede especificar una dirección URL de un archivo o carpeta. Si usa una dirección URL, asegúrese de escribir la ruta de acceso de dirección URL completa o si escribe una parte de la dirección URL, no incluya ningún carácter o espacio especial (sin embargo, se admite el uso del carácter comodín (*)).
Deje este cuadro en blanco para devolver las entradas de todos los archivos y carpetas de la organización.
Sugerencia
Si busca todas las actividades relacionadas con un sitio, agregue el carácter comodín (*) después de la dirección URL para devolver todas las entradas de ese sitio; por ejemplo,
"https://contoso-my.sharepoint.com/personal*".Si busca todas las actividades relacionadas con un archivo, agregue el carácter comodín (*) antes del nombre de archivo para devolver todas las entradas de ese archivo; por ejemplo,
"*Customer_Profitability_Sample.csv".
Haga clic en Búsqueda para ejecutar la búsqueda mediante sus criterios de búsqueda.
Los resultados de la búsqueda se cargan y, después de unos minutos, se muestran en una nueva página. Cuando finaliza la búsqueda, se muestra el número de resultados que se ha encontrado. Se mostrará un máximo de 50 000 eventos en incrementos de 150 eventos. Si más de 50 000 eventos cumplen los criterios de búsqueda, solo se mostrarán los 50 000 eventos sin ordenar devueltos.
Sugerencias para buscar el registro de auditoría
Puede seleccionar actividades específicas de búsqueda haciendo clic en el nombre de la actividad. O puede buscar todas las actividades en un grupo (como Actividades de archivos y carpetas) haciendo clic en el nombre de grupo. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección. También puede usar el cuadro de búsqueda para mostrar las actividades que contengan la palabra clave que usted escriba.
Tiene que seleccionar Mostrar resultados para todas las actividades en la lista de Actividades para mostrar los eventos del registro de auditoría de administración de Exchange. Los eventos de este registro de auditoría muestran un nombre de cmdlet (por ejemplo,Set-Mailbox) en la columna de Actividad en los resultados. Para obtener más información, haga clic en la pestaña actividades auditadas de este tema y luego haga clic en actividades de administración de Exchange.
De forma similar, hay algunas actividades de auditoría que no tienen un elemento correspondiente en la lista Actividades. Si conoce el nombre de la operación para estas actividades, puede buscar todas las actividades y, a continuación, filtrar las operaciones después de exportar los resultados de la búsqueda a un archivo CSV.
Haga clic en Borrar para borrar los criterios actuales de búsqueda. El intervalo de fecha vuelve al predeterminado de los últimos siete días. También puede hacer clic en Borrar todo para mostrar los resultados de todas las actividades para cancelar todas las actividades seleccionadas.
Si se encuentran 50 000 resultados, puede suponer que probablemente existen más de 50 000 eventos que cumplen los criterios de búsqueda. Puede restringir los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados o puede exportar todos los resultados de búsqueda al seleccionar Exportar resultado>Descargar todos los resultados.
Paso 2: Ver los resultados de la búsqueda
Los resultados de una búsqueda de registro de auditoría se muestran en Resultados en la página Búsqueda de registros de auditoría. Como se mencionó anteriormente, se muestran un máximo de 50 000 eventos (más recientes) en incrementos de 150 eventos. Use la barra de desplazamiento o pulse MAYÚS + Fin para mostrar los 150 eventos siguientes.
Los resultados contienen la siguiente información sobre cada evento que la búsqueda ha devuelto:
Fecha: la fecha y la hora (en su hora local) cuando se ha realizado el evento.
Dirección IP: la dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Nota
Para ciertos servicios, el valor que se visualiza en este campo podría ser la dirección IP de una aplicación de confianza (por ejemplo, aplicaciones de Office en la web) que llama al servicio en nombre de un usuario y no de la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Asimismo, para la actividad del administrador (o la actividad que realiza una cuenta del sistema) para eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor que se muestra en este campo es
null.Usuario: el usuario (o cuenta de servicio) que ha realizado la acción que ha desencadenado el evento.
Actividad: la actividad que ha realizado el usuario. Este valor corresponde a las actividades que ha seleccionado en la lista desplegable de Actividades. Para un evento del registro de auditoría de administración de Exchange, el valor de esta columna es un cmdlet de Exchange.
Elemento: el objeto que se ha creado o modificado como resultado de la actividad correspondiente. Por ejemplo, el archivo que se ha visto o modificado, o la cuenta de usuario que se ha actualizado. No todas las actividades tienen un valor en esta columna.
Detalle: información adicional sobre una actividad. Nuevamente, no todas las actividades tendrán un valor.
Sugerencia
Haga clic en un encabezado de columna en Resultados para ordenarlos. Puede ordenar los resultados de A a Z o de Z a A. Haga clic en el encabezado Fecha para ordenar los resultados del más antiguo al más nuevo o al revés.
Ver los detalles de un evento específico
Puede ver más detalles sobre un evento al hacer clic en el registro de eventos de la lista de resultados de búsqueda. Se muestra una página de control flotante que contiene las propiedades detalladas del registro de eventos. Las propiedades que se muestran dependen del servicio en el que se produce el evento.
Paso 3: Exportar los resultados de la búsqueda a un archivo
Puede exportar los resultados de una búsqueda de registro de auditoría a un archivo de valores separados por comas (CSV) en su computadora local. Puede abrir este archivo en Microsoft Excel y usar características como buscar, ordenar, filtrar y dividir una sola columna (que contiene múltiples propiedades) en columnas múltiples.
Ejecute una búsqueda de registro de auditoría, y luego revise los criterios de búsqueda hasta que tenga los resultados deseados.
En la página de resultados de la búsqueda, haga clic en Exportar > Descargar todos los resultados.
Todas las entradas del registro de auditoría que cumplen los criterios de búsqueda, se exportan a un archivo CSV. Los datos sin procesar del registro de auditoría se guardan en un archivo CSV. Se incluye información adicional de la entrada del registro de auditoría en una columna denominada AuditData en el archivo CSV.
Importante
Puede descargar un máximo de 50 000 entradas en un archivo CSV desde una única búsqueda de registros de auditoría. Si se descargan 50 000 entradas en el archivo CSV, probablemente puede suponer que existen más de 50 000 eventos que cumplen los criterios de búsqueda. Para exportar más de este límite, pruebe a usar un intervalo de fecha para reducir el número de entradas de registro de auditoría. Puede que tenga que ejecutar varias búsquedas con intervalos de fecha de menor tamaño para exportar más de 50 000 entradas.
Una vez completado el proceso de exportación, se muestra un mensaje en la parte superior de la ventana que le pide que abra el archivo CSV y lo guarde en el equipo local. También puede acceder al archivo CSV en la carpeta de Descargas.
Obtener más información sobre exportar y visualizar resultados de la búsqueda del registro de auditoría
Al descargar todos los resultados de la búsqueda, el archivo CSV contiene las columnas CreationDate, UserIds, Operations y AuditData. La columna AuditData contiene información adicional sobre cada evento (similar a la información detallada que se muestra en la página de control flotante al ver los resultados de la búsqueda en el portal de cumplimiento). Los datos en esta columna se componen de un objeto JSON que contiene varias propiedades del registro de auditoría. Cada propiedad: valor par del objeto JSON es separado por una coma. Puede usar la herramienta de transformación de JSON en el editor de Power Query en Excel para dividir la columna AuditData en columnas múltiples de forma que cada propiedad del objeto JSON tenga su propia columna. Esto le permitirá ordenar y filtrar en una o más de estas propiedades. Para obtener instrucciones paso a paso para usar el editor de Power Query para transformar el objeto JSON, consulteexportar, configurar y ver los archivos de registros de auditoría.
Después de que divida la columna AuditData, puede filtrar en la columna de Operaciones para mostrar las propiedades detalladas de un tipo de actividad específico.
Cuando descargue todos los resultados de una consulta de búsqueda que contenga eventos de diferentes servicios, la columna AuditData del archivo CSV contiene diferentes propiedades en función del servicio en que se ha realizado la acción. Por ejemplo, las entradas de los registros de auditoría de Exchange y Azure AD incluyen una propiedad denominada ResultStatus que indica si la acción se ha realizado correctamente o no. Esta propiedad no se incluye para los eventos en SharePoint. De manera similar, los eventos de SharePoint tienen una propiedad que identifica la dirección URL del sitio para las actividades relacionadas con la carpeta y el archivo. Para mitigar este comportamiento, considere la posibilidad de usar diferentes búsquedas para exportar los resultados de las actividades de un único servicio.
Para obtener una descripción de las propiedades que se enumeran en la columna AuditData del archivo CSV cuando descarga todos los resultados, y el servicio al que se aplica cada uno, consulte Propiedades detalladas del registro de auditoría.
Actividades auditadas
Las tablas de esta sección describen las actividades que se auditan en Microsoft 365. Puede buscar estos eventos al buscar el registro de auditoría en el portal de seguridad y cumplimiento.
En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico. La tabla incluye el nombre sencillo que se muestra en la lista desplegable de Actividades y el nombre de la operación correspondiente que aparece en la información detallada de una grabación de auditoría y en el archivo CSV cuando exporta los resultados de búsqueda. Para ver descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoría
Haga clic en uno de los vínculos siguientes para ir a una tabla en particular.
Actividades de páginas y archivos
En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint en línea y OneDrive para la empresa.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Archivo al que se tiene acceso | FileAccessed | El usuario o una cuenta de sistema obtiene acceso a un archivo. Una vez que un usuario accede a un archivo, el evento FileAccessed no se vuelve a registrar para el mismo usuario durante los próximos cinco minutos. |
| (ninguno) | FileAccessedExtended | Esto está relacionado con la actividad "Archivo accedido" (FileAccessed). Un evento de FileAccessedExtended se registra cuando la misma persona obtiene continuamente un archivo durante un período prolongado (hasta 3 horas). El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante). |
| Se ha cambiado la etiqueta de retención de un archivo | ComplianceSettingChanged | Se aplicó o se quitó una etiqueta de retención de un documento. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje. |
| Estado de registro cambiado a bloqueado | LockRecord | El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha siso bloqueado. Esto significa que el documento no se puede modificar ni eliminar. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
| Cambiado el estado del registro a bloqueado | UnlockRecord | El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha sido bloqueado. Esto significa que el documento puede ser modificado o eliminado. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
| Archivo verificado | FileCheckedIn | El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos. |
| Archivo extraído del repositorio | FileCheckedOut | El usuario extrae un documento ubicado en una biblioteca de documentos. Los usuarios pueden extraer y modificar documentos que se han compartido con ellos. |
| Archivo copiado | FileCopied | El usuario copia un documento desde un sitio. El archivo copiado puede guardarse en otra carpeta en el sitio. |
| Archivo eliminado | FileDeleted | El usuario elimina un documento de un sitio. |
| Archivo eliminado de la papelera de reciclaje | FileDeletedFirstStageRecycleBin | El usuario elimina un archivo de la papelera de reciclaje de un sitio. |
| Archivo eliminado de la papelera de reciclaje de segundo nivel | FileDeletedSecondStageRecycleBin | El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio. |
| Archivo eliminado marcado como un registro | RecordDelete | Se eliminó un documento o un correo electrónico que se marcó como un registro. Un documento se considera un registro cuando se le aplica una etiqueta de retención que marca el contenido como un registro. |
| Desfase detectado de la sensibilidad del documento | DocumentSensitivityMismatchDetected | El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General. Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa). |
| Malware detectado en archivo | FileMalwareDetected | El antivirus de SharePoint detecta el malware en un archivo. |
| Extracción del archivo descartada | FileCheckOutDiscarded | El usuario descarta (o deshace) un archivo extraído. Esto significa que los cambios que se realizaron en el archivo cuando estaba desprotegido se descartan y no se guardan en la versión del documento de la biblioteca de documentos. |
| Archivo descargado | FileDownloaded | El usuario descarga un documento de un sitio. |
| Archivo modificado | FileModified | La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio. El sistema espera cinco minutos antes de que registre otro evento FileModified cuando el mismo usuario modifique el contenido o las propiedades del mismo documento. |
| (ninguno) | FileModifiedExtended | Esto está relacionado con la actividad "Archivo modificado" (FileModified). Un evento de FileModifiedExtended se registra cuando la misma persona modifica continuamente un archivo durante un período prolongado (hasta 3 horas). El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento FileModified inicial (el más importante). |
| Archivo movido | FileMoved | El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación. |
| (ninguno) | FilePreviewed | El usuario obtiene la vista previa de un documento de SharePoint o de OneDrive para un sitio de Empresas. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes. |
| Consulta de búsqueda realizada | SearchQueryPerformed | La cuenta de usuario o de sistema realiza una búsqueda en SharePoint o OneDrive para la Empresa. Entre los escenarios comunes en los que una cuenta de servicio realiza una consulta de búsqueda se incluyen la aplicación de suspensiones de eDiscovery y de una directiva de retención a sitios y cuentas de OneDrive, y la aplicación automática de las etiquetas de retención o sensibilidad al contenido del sitio. |
| Se ha reciclado un archivo | FileRecycled | El usuario mueve un archivo a la Papelera de reciclaje de SharePoint. |
| Se ha reciclado una carpeta | FolderRecycled | El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint. |
| Todas las versiones menores del archivo recicladas | FileVersionsAllMinorsRecycled | El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
| Todas las versiones del archivo recicladas | FileVersionsAllRecycled | El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
| Versión del archivo reciclada | FileVersionRecycled | El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio. |
| Archivo al que se le ha cambiado el nombre | FileRenamed | El usuario cambia el nombre de un documento en un sitio. |
| Archivo restaurado | FileRestored | El usuario restaura un documento de la papelera de reciclaje de un sitio. |
| Archivo cargado | FileUploaded | El usuario carga un documento a una carpeta de un sitio. |
| Página visualizada | PageViewed | El usuario visualiza una página en un sitio. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos. Una vez que un usuario visualiza una página, el evento PageViewed no se vuelve a registrar para el mismo usuario durante los próximos cinco minutos. |
| (ninguno) | PageViewedExtended | Esto está relacionado con la actividad "página visualizada" (PageViewed). Un evento PageViewedExtended se registra cuando la misma persona visualiza continuamente una página web durante un período prolongado (hasta 3 horas). El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento inicial PageViewed(el más importante). |
| Ver señalado por el cliente | ClientViewSignaled | El cliente de un usuario (como un sitio web o una aplicación móvil) ha señalado que el usuario ha visto la página indicada. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página. Nota: Como el cliente señaliza eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no pueda registrar el evento y, por lo tanto, puede que no aparezca en el registro de auditoría. También es posible que la información del registro de auditoría no sea confiable. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa. El sistema espera cinco minutos antes de que registre el mismo evento cuando el cliente del mismo usuario indica que el usuario ha visualizado de nuevo la página. |
| (ninguno) | PagePrefetched | El cliente de un usuario (como el sitio web o la aplicación móvil) ha solicitado la página indicada para ayudar a mejorar el rendimiento si el usuario la explora. Este evento se registra para indicar que el contenido de la página se ha servido para el cliente del usuario. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página. Cuando el cliente muestra el contenido de la página (de acuerdo con la solicitud del usuario), debe generarse un evento ClientViewSignaled. No todos los clientes son compatibles con la búsqueda previa, y por lo tanto, algunas actividades que se buscan previamente se pueden registrar como eventos PageViewed. |
Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed
¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?
No sabemos de escenarios donde las acciones no relacionadas con el usuario generan eventos como estos. Las acciones de usuario como abrir una tarjeta de Perfil de usuario (haciendo clic en su nombre o dirección de correo electrónico en un mensaje en Outlook en la Web) generan eventos similares.
¿Las llamadas a OneDriveMpc-Transform_Thumbnail siempre son desencadenadas por el usuario intencionalmente?
No. Sin embargo, los eventos similares se pueden registrar como resultado de la búsqueda previa del explorador.
Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?
No. Es posible que el evento se haya registrado como resultado de la búsqueda previa en el explorador.
¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?
Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo). Aunque estos eventos están diseñados para alinearse con la vista previa frente a la intención de acceso, la distinción de eventos no es una garantía de la intención del usuario.
El usuario app@sharepoint en los registros de auditoría
En los registros de auditoría para actividades de archivo (y otras actividades relacionadas con SharePoint), puede que el usuario que aparezca como el autor de la actividad (identificado en los campos usuario y seudónimo) es app@sharepoint. Esto indica que el "usuario" que llevó a cabo la actividad era una aplicación. En este caso, se otorgó a la aplicación permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación. Esto indica que la autenticación presentada en SharePoint para realizar una acción la realizó una aplicación, en lugar de un usuario. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.
Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso". Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.
Aquí se muestran algunos otros escenarios en los que se puede identificar app@sharepoint en un registro de auditoría como el usuario que realizó una actividad:
Grupos de Microsoft 365. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint. Estas tareas se ejecutan en una aplicación en nombre del usuario que creó el grupo.
Microsoft Teams. De forma similar a los grupos de Microsoft 365, los registros de auditoría se generan para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint cuando se crea un equipo.
Características de cumplimiento. Cuando un administrador implementa características de cumplimiento, como directivas de retención, suspensiones de eDiscovery y etiquetas de sensibilidad de aplicación automática.
En estas y otras situaciones, verá que se crearon varios registros de auditoría con app@sharepoint como usuario específico en un período de tiempo breve, a menudo con unos pocos segundos de separación. Esto indica que se activaron probablemente por la misma tarea iniciada por el usuario. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.
Actividades de carpetas
La siguiente tabla describe las actividades de archivos y páginas en SharePoint en línea y OneDrive para empresas. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Carpeta copiada | FolderCopied | El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o en OneDrive para Empresas. |
| Carpeta creada | FolderCreated | El usuario crea una carpeta en un sitio. |
| Carpeta eliminada | FolderDeleted | El usuario elimina una carpeta de un sitio. |
| Carpeta eliminada de la papelera de reciclaje | FolderDeletedFirstStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de un sitio. |
| Carpeta eliminada de la papelera de reciclaje de segundo nivel | FolderDeletedSecondStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio. |
| Carpeta modificada | FolderModified | El usuario modifica una carpeta en un sitio. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades. |
| Carpeta movida | FolderMoved | El usuario mueve una carpeta a una ubicación diferente del sitio. |
| Carpeta con el nombre cambiado | FolderRenamed | El usuario cambia el nombre de una carpeta en un sitio. |
| Carpeta restaurada | FolderRestored | El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio. |
Lista de actividades de SharePoint
En la siguiente tabla se describen las actividades relacionadas cuando los usuarios interactúan con listas y elementos de lista en SharePoint en línea. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Lista creada | ListCreated | Un usuario ha creado una lista de SharePoint. |
| Columna de lista creada | ListColumnCreated | Un usuario ha creado una columna de lista de SharePoint. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint. |
| Lista de tipo de contenido de lista creado | ListContentTypeCreated | Un usuario creó un tipo de contenido de lista. Un tipo de contenido de lista es un tipo de contenido que está asociado a una o más listas de SharePoint. |
| Lista de ítems creada | ListItemCreated | Un usuario creó un elemento en una lista de SharePoint existente. |
| Una columna de sitio creada. | SiteColumnCreated | Un usuario ha creado una columna de sitio de SharePoint. Una columna de sitio es una columna que no está adjunta a una lista. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada. |
| Tipo de contenido de sitio creado | Sitio de ContentType creado | Tipo de contenido de sitio creado por un usuario. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal. |
| Lista eliminada | ListDeleted | Un usuario borró una lista de SharePoint. |
| Eliminar Columna de lista | Columna de lista eliminada | Un usuario borró una columna de lista de SharePoint. |
| Lista de tipo de contenido eliminado | ListContentTypeDeleted | Un usuario borró una lista de tipo de contenido. |
| Eliminar Lista de elementos | Lista de elementos eliminada | Un usuario borró una lista de elementos de SharePoint. |
| Columna de sitio eliminada. | SiteColumnDeleted | Un usuario borró una columna de sitio de SharePoint. |
| Tipo de contenido de sitio eliminado | SiteContentTypeDeleted | Un usuario borró un sitio de tipo de contenido. |
| Lista de elementos reciclados | ListItemRecycled | Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje. |
| Lista restaurada | ListRestored | Un usuario restauró una lista de SharePoint a la papelera de reciclaje. |
| Lista de elementos restaurada | ListItemRestored | Un usuario restauró una lista de SharePoint de la papelera de reciclaje. |
| Lista actualizada | ListUpdated | Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades. |
| Columna de lista actualizada | ListColumnUpdated | Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades. |
| Lista de tipo de contenido actualizado | ListContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades. |
| Lista de elementos actualizada | ListItemUpdated | Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades. |
| Una columna de sitio actualizada. | SiteColumnUpdated | Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades. |
| Tipo de contenido de sitio actualizado | SiteContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades. |
| Elemento de lista visualizado | ListItemViewed | Un usuario ha visto un elemento de lista de SharePoint. Una vez que un usuario visualiza un elemento de lista, el evento ListItemViewed no se vuelve a registrar para el mismo usuario durante los próximos cinco minutos. |
Actividades de solicitud de acceso y uso compartido
La siguiente tabla describe las actividades de solicitud de acceso y uso compartido de usuarios en SharePoint en línea y OneDrive para empresas. Para los eventos compartidos, la columna de Detalles según los Resultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.
Nota
Los usuarios pueden ser miembros o invitados basados en la propiedad UserType del objeto de usuario. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Nivel de permiso agregado a la colección de sitios | PermissionLevelAdded | Un nivel de permisos se agregó a una colección de sitios. |
| Solicitud de acceso aceptada | AccessRequestAccepted | Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso. |
| Invitación de uso compartido aceptada | SharingInvitationAccepted | El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
| Invitación de uso compartido bloqueada | SharingInvitationBlocked | Una invitación para uso compartido enviada por un usuario de su organización está bloqueada por una directiva de uso compartido externa que permite o deniega el uso compartido externo en función del dominio del usuario de destino. En este caso, la invitación de uso compartido se bloqueó por el siguiente motivo: El dominio del usuario de destino no está incluido en la lista de dominios permitidos. O bien: El dominio del usuario de destino está incluido en la lista de dominios bloqueados. Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint en línea y OneDrive para Empresas. |
| Solicitud de acceso creada | AccessRequestCreated | El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder. |
| Vínculo creado que se puede compartir de la empresa | CompanyLinkCreated | El usuario ha creado un vínculo empresarial de recursos. los vínculos empresariales solo pueden usarse por los miembros de su organización. No pueden ser usados por invitados. |
| Vínculo anónimo creado | AnonymousLinkCreated | El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse. |
| Vínculo de seguridad creado | SecureLinkCreated | Se ha creado un vínculo de uso compartido seguro para este elemento. |
| Invitación de uso compartido creada | SharingInvitationCreated | El usuario ha compartido un recurso en o con un usuario que no está en el directorio de su organización. |
| Vínculo de seguridad eliminado | SecureLinkDeleted | Un vínculo para uso compartido seguro se ha eliminado. |
| Solicitud de acceso denegada | AccessRequestDenied | Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado. |
| Vínculo quitado que se puede compartir de la empresa | CompanyLinkRemoved | El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
| Vínculo anónimo quitado | AnonymousLinkRemoved | El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
| Sitio, carpeta o archivo compartidos | SharingSet | El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive con un usuario en el directorio de la organización. El valor de la columna Detalles para esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado. Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
| Solicitud de acceso actualizada | AccessRequestUpdated | Se actualizó una solicitud de acceso a un elemento. |
| Vínculo anónimo actualizado | AnonymousLinkUpdated | El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda. |
| Invitación de uso compartido actualizada | SharingInvitationUpdated | Se actualizó una invitación para uso compartido externo. |
| Vínculo anónimo usado | AnonymousLinkUsed | Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario. |
| Sitio, carpeta o archivo no compartido | SharingRevoked | El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario. |
| Vínculo usado que se puede compartir de la empresa | CompanyLinkUsed | El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa. |
| Vínculo seguro usado | SecureLinkUsed | Un usuario usó un vínculo seguro. |
| Usuario añadido a vínculo seguro | AddedToSecureLink | Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
| Usuario quitado de un vínculo seguro | RemovedFromSecureLink | Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
| Invitación de uso compartido retirada | SharingInvitationRevoked | El usuario ha retirado una invitación de uso compartido a un recurso. |
Actividades de sincronización
La siguiente tabla enumera la sincronización de archivos de actividades en SharePoint en línea y OneDrive para empresas.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Equipo permitido para sincronizar archivos | ManagedSyncClientAllowed | El usuario establece correctamente una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede tener acceso a las bibliotecas de documentos de su organización. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
| Computadora bloqueada de los archivos de sincronización | UnmanagedSyncClientBlocked | El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es un miembro del dominio de la organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede tener acceso a las bibliotecas de documentos de su organización. La relación de sincronización no se permite y el equipo del usuario está bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
| Archivos descargados al equipo | FileSyncDownloadedFull | El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe). |
| Cambios de archivos descargados al equipo | FileSyncDownloadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe). |
| Archivos cargados a la biblioteca de documentos | FileSyncUploadedFull | El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe). |
| Cambios de archivos cargados a la biblioteca de documentos | FileSyncUploadedPartial | Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe). |
Actividades de sitios de permisos
La siguiente tabla enumera eventos relacionan asignar permisos en SharePoint con usar grupos para dar (y revocar) acceso a sitios. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Administradores de la colección de sitios agregados | SiteCollectionAdminAdded | El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365). |
| Usuario o grupo agregado al grupo de SharePoint | AddedToGroup | El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido. |
| Herencia de nivel de permisos interrumpida | PermissionLevelsInheritanceBroken | Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario. |
| Herencia de uso compartido interrumpida | SharingInheritanceBroken | Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario. |
| Grupo creado | GroupAdded | El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido. |
| Grupo eliminado | GroupRemoved | El usuario elimina un grupo de un sitio. |
| Configuración de solicitud de acceso modificada | WebRequestAccessModified | La configuración de solicitud de acceso fueron modificadas en un sitio. |
| Configuración modificada "los miembros pueden compartir" | WebMembersCanShareModified | Los miembros pueden compartir la configuración se ha modificado en un sitio. |
| Nivel de permiso modificado en una colección de sitios | PermissionLevelModified | Un nivel de permisos se modificó en una colección de sitios. |
| Permisos de sitio modificados | SitePermissionsModified | El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos son removidos de un grupo. NOTA: esta operación está en desuso en SharePoint Online. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con permisos, como Administrador de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint, Usuario con permiso para crear grupos, Grupo creado y Grupo eliminado. |
| Nivel de permiso eliminado de la colección de sitios | PermissionLevelRemoved | Un nivel de permisos se eliminó de una colección de sitios. |
| Administradores de la colección de sitios removidos | SiteCollectionAdminRemoved | El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades. |
| Usuario o grupo removido al grupo de SharePoint | RemovedFromGroup | El usuario ha removido un miembro o invitado de un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido. |
| Permisos de administrador del sitio solicitados | SiteAdminChangeRequest | Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios. |
| Herencia de uso compartido restaurada | SharingInheritanceReset | Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario. |
| Grupo actualizado | GroupUpdated | El administrador o el propietario cambia la configuración de un grupo para un sitio. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia. |
Actividades de administración del sitio
En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint en línea. Como se ha explicado anteriormente, los registros de auditoría de algunas actividades de SharePoint indicarán que el usuario app@sharepoint ha realizado la actividad en nombre de usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Ubicación de datos añadidos permitidos | AllowedDataLocationAdded | Un administrador global o de SharePoint ha agregado una ubicación de datos permitida en un entorno multi geo. |
| Agente de usuario exento agregado | ExemptUserAgentSet | El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint. |
| Se ha agregado el administrador de ubicación geográfica | GeoAdminAdded | Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación. |
| Usuario permitido para crear grupos | AllowGroupCreationSet | El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio. |
| Desplazamiento geográfico de sitio cancelado | SiteGeoMoveCancelled | Un administrador global o de SharePoint canceló correctamente un desplazamiento geográfica de un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
| Normativa de uso compartido cambiada | SharingPolicyChanged | Un administrador global o de SharePoint cambió una directiva de uso compartido de SharePoint mediante el Centro de administración de Microsoft 365, el Centro de administración de SharePoint o el Shell de SharePoint Online Management. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización. La normativa cambiada se identifica en el campo ModifiedProperties en las propiedades detalladas del registro de eventos. |
| Directiva de acceso del dispositivo cambiada | DeviceAccessPolicyChanged | Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados. |
| Agente de usuario exento cambiado | CustomizeExemptUsers | El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML en lugar de como una página web completa. Esto acelera la indexación de formularios de InfoPath. |
| Directiva de acceso de red cambiada | NetworkAccessPolicyChanged | Un administrador global o de SharePoint cambió la normativa de acceso basado en la ubicación (también denominada un límite de red de confianza) en el Centro de administración SharePoint o mediante el PowerShell de SharePoint en línea. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, consulte Controlar el acceso a datos de SharePoint en línea y OneDrive en función de las ubicaciones de red. |
| Desplazamiento geográfico de sitio completado | SiteGeoMoveCompleted | El desplazamiento geográfico de un sitio que fue programado por un administrador global de su organización se ha completado correctamente. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
| Conexión a enviar creada | SendToConnectionAdded | Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada. |
| Colección de sitios creada | SiteCollectionCreated | Un administrador global o de SharePoint crea una colección de sitios en su organización de SharePoint en línea o un usuario aplica el sitio de OneDrive para empresas. |
| Orphaned hub site borrado | HubSiteOrphanHubDeleted | Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original |
| Conexión a enviar eliminada | SendToConnectionRemoved | El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint. |
| Sitio eliminado | SiteDeleted | El administrador del sitio elimina un sitio. |
| Vista previa del documento habilitada | PreviewModeEnabledSet | El administrador del sitio habilita la vista previa del documento para un sitio. |
| Flujo de trabajo heredado habilitado | LegacyWorkflowEnabledSet | El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint. |
| Petición a Office habilitada | OfficeOnDemandSet | El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas. |
| Origen de resultados habilitado para las búsquedas de personas | PeopleResultsScopeSet | El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio. |
| Fuentes RSS habilitadas | NewsFeedEnabledSet | El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint. |
| Sitio unido al centro del sitio | HubSiteJoined | El propietario de un sitio lo asocia a un sitio central. |
| Cuota de colección de sitios modificada | SiteCollectionQuotaModified | El administrador del sitio modifica la cuota de una colección de sitios. |
| Sitio central registrado | HubSiteRegistered | Un administrador global o de SharePoint crea un sitio central. El resultado es que el sitio se registra para ser un sitio central. |
| Ubicación de datos permitidos removidos | AllowedDataLocationDeleted | Un administrador global o de SharePoint ha removido una ubicación de datos permitida en un entorno multi geográfico. |
| Se ha removido el administrador de ubicación geográfica | GeoAdminDeleted | Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación. |
| Sitio renombrado | SiteRenamed | El administrador o el propietario del sitio cambia el nombre de un sitio |
| Desplazamiento geográfico de sitio programado | SiteGeoMoveScheduled | Un administrador global o de SharePoint desplazó geográficamente con éxito un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online. |
| Establecer sitio del host | HostSiteSet | Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive para empresas. |
| Configurar una cuota de almacenamiento para una ubicación geográfica | GeoQuotaAllocated | Un administrador global o de SharePoint configuró cuota de almacenamiento para ubicación geográfica en un entorno multi geográfico. |
| Sitio no unido desde el sitio central. | HubSiteUnjoined | El propietario de un sitio lo disocia de un sitio a un sitio central. |
| Sitio central no registrado | HubSiteUnregistered | Un administrador global o de SharePoint elimina el registro del sitio como un sitio central. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central. |
Actividades de buzón de Exchange
La siguiente tabla enumera las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo. Las actividades de buzón realizadas por el propietario del buzón, usuario delegado o administrador se registran automáticamente en el registro de auditoría durante un máximo de 90 días. Es posible para un administrador desactivar el registro de auditoría de buzón para todos los usuarios de su organización. En este caso, no se registra ninguna acción de cualquier usuario en el buzón. Para más información, consulte Administrar auditoría del buzón..
También puede buscar actividades de buzón usando el cmdlet Search-MailboxAuditLogen el PowerShell de Exchange en línea.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Elementos de buzón a los que se ha accedido | MailItemsAccessed | Se han leído mensajes o se obtuvo acceso a los mensajes del buzón. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables. Para más información, vea la sección "Eventos de auditoría (Premium)" enAuditoría (Premium). |
| Permisos de buzón de delegado agregados | Add-MailboxPermission | Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón. El registro de auditoría de esta actividad también se genera cuando una cuenta del sistema del servicio Microsoft 365 realiza tareas de mantenimiento periódicamente en nombre de su organización. Una tarea común que realiza una cuenta del sistema es actualizar los permisos de los buzones del sistema. Para obtener más información, vea Cuentas del sistema en Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange. |
| Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendario | UpdateCalendarDelegation | Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón. |
| Se agregaron permisos a la carpeta | AddFolderPermissions | Se ha agregado un permiso de carpeta. Los permisos de carpetas controlan qué usuarios de la organización pueden tener acceso a las carpetas de un buzón de correo y los mensajes ubicados en esas carpetas. |
| Mensajes copiados a otra carpeta | Copiar | Se ha copiado un mensaje a otra carpeta. |
| Elementos del buzón creado | Crear | Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva solicitud de reunión. No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta del buzón. |
| Nueva regla de bandeja de entrada creada en la aplicación web de Outlook | New-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook. |
| Mensajes eliminados de la carpeta elementos eliminados | SoftDelete | Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr. |
| Mensaje etiquetado como un registro | ApplyRecordLabel | Un mensaje se clasificó como un registro. Esto tiene lugar cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manual o automáticamente a un mensaje. |
| Mensajes movidos a otra carpeta | Mover | Se ha movido un mensaje a otra carpeta. |
| Mensajes movidos a la carpeta Elementos eliminados | MoveToDeletedItems | Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados. |
| Permiso de carpeta modificada | UpdateFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen. |
| Regla de bandeja de entrada modificada de la aplicación web de Outlook | Set-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook. |
| Mensajes que se han purgado del buzón | HardDelete | Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón). |
| Permisos de buzón de delegado quitados | Remove-MailboxPermission | Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido. |
| Permisos quitados de la carpeta | RemoveFolderPermissions | Se ha quitado un permiso de carpeta. Los permisos de carpetas controlan qué usuarios de la organización pueden tener acceso a las carpetas de un buzón de correo y los mensajes ubicados en esas carpetas. |
| Enviar mensaje | Enviar | Un mensaje ha sido enviado, respondido o reenviado. Esta actividad solo se registra para los usuarios que tengan una licencia de Office 365 o Microsoft 365 E5. Para más información, vea la sección "Eventos de auditoría (Premium)" enAuditoría (Premium). |
| Mensaje enviado mediante los permisos de Enviar como | SendAs | Un mensaje se ha enviado con el permiso enviar como. Esto significa que otro usuario ha enviado el mensaje como si proviniera del propietario del buzón. |
| Mensaje enviado mediante los permisos en nombre de | SendOnBehalf | Un mensaje se envió mediante el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje en nombre del propietario del buzón. El mensaje indica el destinatario en nombre de quien se envió el mensaje y quién lo envió realmente. |
| Reglas de la bandeja de entrada actualizadas desde el cliente de Outlook | UpdateInboxRules | El propietario de un buzón u otro usuario con acceso al buzón creó, modificó o quitó una regla de la bandeja de entrada mediante el cliente de Outlook. |
| Mensaje actualizado | Actualizar | Un mensaje o sus propiedades han cambiado. |
| Usuario que ha iniciado sesión en un buzón | MailboxLogin | El usuario inició sesión en su buzón. |
| Etiquetar mensaje como un registro | Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro. |
Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange
En los registros de auditoría de algunas actividades del buzón de correo (especialmente Add-MailboxPermissions), puede observar que el usuario que realizó la actividad (y se identifica en los campos User y UserId) es NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange. Servicehost). Esto indica que el “usuario” que realizó la actividad era una cuenta del sistema en el servicio Exchange en la nube de Microsoft. Esta cuenta del sistema suele realizar tareas de mantenimiento programadas en nombre de su organización. Por ejemplo, una actividad auditada común realizada por NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) es actualizar los permisos en DiscoverySearchMailbox, que es un buzón de correo del sistema. El propósito de esta actualización es comprobar que el permiso FullAccess (que es el valor predeterminado) está asignado al grupo de roles Administración de detección para DiscoverySearchMailbox. Esto garantiza que los administradores de eDiscovery puedan realizar las tareas necesarias en su organización.
Otra cuenta de usuario del sistema que puede identificarse en un registro de auditoría para Add-MailboxPermission es Administrator@apcprd03.prod.outlook.com. Esta cuenta de servicio también se incluye en los registros de auditoría del buzón de correo relacionados con la comprobación y actualización del permiso FullAccess que se asigna al grupo de roles Administración de detección para el buzón de correo del sistema DiscoverySearchMailbox. En concreto, los registros de auditoría que identifican la cuenta Administrator@apcprd03.prod.outlook.com se desencadenan normalmente cuando el personal de soporte técnico de Microsoft ejecuta una herramienta de diagnóstico de roles RBAC en nombre de su organización.
Actividades de administración de usuarios
En la tabla siguiente se enumeran las actividades de administración de los usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario por medio del Centro de administración de Microsoft 365 o del portal de administración de Azure.
Nota
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Actividad | Operación | Descripción |
|---|---|---|
| Usuario agregado | Agregar usuario. | Secreó una cuenta de usuario. |
| Licencia de usuario cambiada | Cambiar licencia de usuario. | La licencia que se ha asignado a un usuario ha cambiado. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado. |
| Contraseña de usuario cambiada | Cambiar contraseña de usuario. | El usuario cambia su contraseña. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña. También puede realizar un seguimiento de la actividad de restablecimiento de contraseña de autoservicio de Azure Active Directory. Para obtener más información, consulte Opciones de creación de informes para la administración de contraseñas de Azure AD. |
| Usuario eliminado | Eliminar usuario. | Se ha eliminado una cuenta de usuario. |
| Restablecer contraseña de usuario | Restablecer contraseña de usuario. | El administrador restablece la contraseña de un usuario. |
| Establecer una propiedad que fuerce al usuario a cambiar la contraseña | Forzar el cambio de la contraseña de usuario. | Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Microsoft 365. |
| Establecer propiedades de licencia | Establecer propiedades de licencia. | Un administrador modificó las propiedades de una licencia asignada a un usuario. |
| Usuario actualizado | Actualizar usuario. | Un administrador cambió una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que pueden actualizarse, consulte la sección "Actualizar atributos de usuario" en Eventos de informe de auditoría de Azure Active Directory. |
Actividades de administración de grupos de Azure AD
En la siguiente tabla se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario agrega o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el Portal de administración de Azure. Para obtener más información sobre los grupos de Microsoft 365, consulte Ver, crear y eliminar grupos en el Centro de administración de Microsoft 365.
Nota
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Grupo agregado | Agregar grupo. | Se ha creado un grupo. |
| Miembro agregado a un grupo | Agregar miembro a un grupo. | Un miembro se ha agregado a un grupo. |
| Grupo eliminado | Eliminar grupo. | Se ha eliminado un grupo. |
| Miembro quitado de un grupo | Quitar miembro de un grupo. | Un miembro se ha quitado de un grupo. |
| Grupo actualizado | Actualizar grupo. | Una propiedad de un grupo se ha cambiado. |
Actividades de administración de aplicaciones
En la siguiente tabla se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación que se ha registrado en Azure AD. Cualquier aplicación que se base en Azure AD para la autenticación debe registrarse en el directorio.
Nota
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Entrada de delegación agregada | Agregar entrada de delegación. | Un permiso de autenticación se ha creado o concedido a una aplicación en Azure AD. |
| Servicio principal agregado | Agregar entidad de servicio. | Una aplicación se ha registrado en Azure AD. Una aplicación es representada mediante un servicio principal en el directorio. |
| Credenciales agregadas a una entidad de servicio | Agregar credenciales de entidad de servicio. | Las credenciales se han agregado a una entidad de servicio en Azure AD. Una entidad de servicio representa una aplicación del directorio. |
| Entrada de delegación removida | Quitar entrada de delegación. | Un permiso de autenticación se ha removido de una aplicación en Azure AD. |
| Entidad de servicio removida del directorio | Quitar entidad de servicio. | Una aplicación se ha eliminado o no se ha su registro de Azure AD. Una aplicación es representada mediante un servicio principal en el directorio. |
| Credenciales removidas de un servicio principal | Quitar credenciales de entidad de servicio. | Las credenciales se han removido de un servicio principal en Azure AD. Una entidad de servicio representa una aplicación del directorio. |
| Establecer entrada de delegación | Establecer entrada de delegación. | Un permiso de autenticación se ha actualizado en una aplicación en Azure AD. |
Actividades de administración de roles
En la siguiente tabla se enumeran las actividades de administración de roles de Azure AD que se registran cuando un administrador controla los roles de administración en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Agregar miembro a un rol | Agregar miembro a un rol. | Se ha agregado un usuario a un rol de administrador en Microsoft 365. |
| Se ha removido un usuario de un rol de directorio | Quitar miembro de un rol. | Se ha eliminado un usuario desde un rol de administrador en Microsoft 365. |
| Establecer la información de contacto de la empresa | Establecer la información de contacto de la empresa. | Se han actualizado las preferencias de contacto en el nivel de la empresa para su organización. Esto incluye las direcciones de correo electrónico para el correo electrónico relacionado con las suscripciones enviado por Microsoft 365 y notificaciones técnicas sobre los servicios. |
Actividades de administración de directorios
En la siguiente tabla se enumeran las actividades relacionadas con los dominios y los directorios de Azure AD que se registran cuando un administrador gestiona la organización en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota
Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Dominio agregado a la empresa | Agregar dominio a la empresa. | Se ha agregado un dominio a la organización. |
| Se ha agregado un socio al directorio | Agregar asociado a la empresa. | Se ha agregado un socio (administrador delegado) a la organización. |
| Dominio removido de la empresa | Quitar dominio de la empresa. | Se ha quitado un dominio de la organización. |
| Se ha removido un socio del directorio | Quitar asociado de la empresa. | Se ha quitado un socio (administrador delegado) de la organización. |
| Establecer información de la organización | Establecer la información de la empresa. | Se ha actualizado la información de la empresa para la organización. Esto incluye las direcciones de correo electrónico para el correo electrónico relacionado con las suscripciones enviado por Microsoft 365 y notificaciones técnicas sobre los servicios de Microsoft 365. |
| Establecer autenticación de dominio | Establecer autenticación de dominio. | Se ha cambiado la configuración de la autenticación de dominio de la organización. |
| Se ha actualizado la configuración de federación para un dominio | Establecer la configuración de federación en un dominio. | Se ha cambiado la configuración de federación (uso compartido externo) de la organización. |
| Establecer normativas de contraseña | Establecer la directiva de contraseña. | Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización. |
| Sincronización de Azure AD activada | Establecer la marca DirSyncEnabled. | Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD. |
| Dominio actualizado | Actualizar dominio. | Se ha actualizado la configuración de un dominio en la organización. |
| Dominio comprobado | Comprobar dominio. | Se ha comprobado que su organización es la propietaria de un dominio. |
| Se ha comprobado el dominio comprobado por correo electrónico | Verificar el dominio comprobado por correo electrónico. | Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio. |
Actividades de eDiscovery
Las actividades de búsqueda de contenido y relacionadas con la exhibición de documentos electrónicos que se llevan a cabo en el portal de seguridad y cumplimiento o mediante la ejecución de los cmdlets de PowerShell correspondientes se registran en el registro de auditoría. Esto incluye las siguientes actividades:
Crear y administrar casos de exhibición de documentos electrónicos
Crear, iniciar y editar búsquedas de contenido
Realizar acciones de búsqueda de contenido, como la vista previa, la exportación y la eliminación de resultados de búsqueda
Configurar el filtrado de permisos para la búsqueda de contenido
Administrar el rol de administrador de la exhibición de documentos electrónicos
Para obtener una lista y una descripción detallada de las actividades de eDiscovery que están registradas, vea Buscar actividades de eDiscovery en el registro de auditoría.
Nota
Los eventos resultantes de las actividades enumeradas en Actividades de Discovery y Actividades de eDiscovery (Premium) en la lista desplegable de Actividades pueden tardan hasta 30 minutos en aparecer en los resultados de búsqueda. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.
Actividades de eDiscovery (Premium)
También puede buscar actividades en el registro de auditoría en eDiscovery de Microsoft Purview (Premium). Para obtener una descripción de estas actividades, vea la sección "Actividades de eDiscovery (Premium)" en Buscar actividades de eDiscovery en el registro de auditoría.
Actividades de Power BI
Puede buscar el registro de auditoría actividades en Power BI. Para obtener información sobre las actividades de Power BI, consulte la sección "Actividades auditadas por Power BI"en el uso de la auditoría en su organización.
El registro de auditoría de Power BI no está habilitado de forma predeterminada. Para buscar actividades de Power BI en el registro de auditoría, debe habilitar la auditoría en el portal de administración de Power BI. Para obtener instrucciones, consulte la sección "registros de auditoría"en el portal de administración de Power BI.
Actividades de Workplace Analytics
Workplace Analytics ofrece información sobre cómo colaboran los grupos en la organización. En la siguiente tabla se enumeran las actividades realizadas por los usuarios que tengan asignado el rol de administrador o de analista en Workplace Analytics. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis. Los usuarios que tengan asignado el rol de administrador pueden configurar las opciones de privacidad y los valores predeterminados del sistema y podrán preparar, cargar y comprobar datos en la organización en Workplace Analytics Para obtener más información, consulteWorkplace Analytics.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Vínculo de acceso de OData | AccessedOdataLink | El analista ha accedido al vínculo OData para una consulta. |
| Consulta cancelada | CanceledQuery | El analista canceló una consulta en ejecución. |
| Exclusión de reuniones creada | MeetingExclusionCreated | El analista creó una regla de exclusión de la reunión. |
| Resultado eliminado | DeletedResult | El analista ha eliminado un resultado de la consulta. |
| Reporte descargado | DownloadedReport | El analista ha descargado un archivo de resultado de la consulta. |
| Consulta ejecutada | ExecutedQuery | El analista ha ejecutado una consulta. |
| Configuración de acceso a datos actualizada | UpdatedDataAccessSetting | Configuración de acceso a datos de administrador actualizada |
| Configuración de privacidad actualizada | UpdatedPrivacySetting | Configuración de Privacidad de administrador actualizada; por ejemplo, grupo de tamaño mínimo. |
| Datos de la organización cargados. | UploadedOrgData | Archivo de datos de la organización cargado por el administrador. |
| Usuario que ha iniciado sesión* | UserLoggedIn | Un usuario ha iniciado sesión en su cuenta de usuario de Microsoft 365. |
| Usuario que ha cerrado sesión* | UserLoggedOff | Un usuario ha cerrado sesión en su cuenta de usuario de Microsoft 365. |
| Explorar vista | ViewedExplore | El analista visualizó una o más pestañas de la página de exploración. |
Nota
*Estas son actividades de inicio y cierre de sesión de Azure Active Directory. Estas actividades se registran incluso si no tiene Workplace Analytics activado en su organización. Para obtener más información acerca de las actividades de inicio de sesión del usuario, consulte Registros de inicios de sesión en Azure Active Directory.
Actividades de Microsoft Teams
Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams. Teams es un espacio de trabajo de Microsoft 365 orientado en el chat. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para obtener descripciones de las actividades de Teams que se auditan, consulte Buscar eventos en el registro de auditoría de Microsoft Teams.
Actividades de Microsoft Teams para Sanidad
Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar el registro de auditoría para las actividades relacionadas con el uso de la aplicación Pacientes. Si su entorno está configurado para admitir la aplicación Pacientes, un grupo adicional de actividad está disponible para estas actividades en la lista del selector Actividades.
Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.
Actividades de Turnos en Microsoft Teams
Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría actividades relacionadas con el uso de la aplicación Turnos. Si su entorno está configurado para admitir la aplicación Turnos, habrá disponible un grupo adicional de esas actividades en la lista del selector Actividades.
Para obtener una descripción de las actividades de la aplicación Turnos, consulte Buscar eventos en el registro de auditoría de Microsoft Teams.
Actividades de Yammer
En la siguiente tabla, se enumeran las actividades de usuario y de administrador de Yammer que se registran en el registro de auditoría. Para devolver las actividades relacionadas con Yammer del registro de auditoría, tiene que seleccionar Mostrar resultados de todas las actividades en la lista Actividades. Use los cuadros de intervalo de fecha y la lista Usuarios para restringir los resultados de la búsqueda.
Nota
Algunas actividades de auditoría de Yammer solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para más información sobre las actividades que solo están disponibles en Auditoría (Premium), vea Auditoría (Premium) en Microsoft 365. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Directiva de retención de datos cambiada | SoftDeleteSettingsUpdated | Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a Eliminación permanente o Eliminación temporal. Solo los administradores superiores pueden realizar esta operación. |
| Configuración de red cambiada | NetworkConfigurationUpdated | Un administrador superior o de red cambió la configuración de la red de Yammer. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat. |
| Configuración del perfil de red cambiada | ProcessProfileFields | Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red. |
| Modo de contenido privado cambiado | SupervisorAdminToggled | Un administrador superior activa o desactiva el Modo de contenido privado. Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación. |
| Configuración de seguridad cambiada | NetworkSecurityConfigurationUpdated | Un administrador superior actualizó la configuración de seguridad de la red de Yammer. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP. Solo los administradores superiores pueden realizar esta operación. |
| Archivo creado | FileCreated | El usuario cargó un archivo. |
| Grupo creado | GroupCreation | El usuario crea un grupo. |
| Mensaje creado * | MessageCreated | El usuario creó un mensaje. |
| Grupo eliminado | GroupDeletion | Se eliminó un grupo de Yammer. |
| Mensaje eliminado | MessageDeleted | El usuario eliminó un mensaje. |
| Archivo descargado | FileDownloaded | El usuario descargó un archivo. |
| Datos exportados | DataExport | Un administrador superior exportó datos de la red de Yammer. Solo los administradores superiores pueden realizar esta operación. |
| No ha podido acceder a la comunidad* | CommunityAccessFailure | El usuario no pudo acceder a una comunidad. |
| No se ha podido acceder al archivo* | FileAccessFailure | El usuario no pudo acceder a un archivo. |
| No se ha podido acceder al mensaje* | MessageAccessFailure | El usuario no pudo acceder a un mensaje. |
| Archivo compartido | FileShared | Un usuario compartió un archivo con otro usuario. |
| Usuario de red suspendido | NetworkUserSuspended | Un administrador de red o superior suspendió (desactivó) un usuario de Yammer. |
| Usuario suspendido | UserSuspension | Se suspendió una cuenta de usuario (se desactivó). |
| Descripción del archivo actualizado | FileUpdateDescription | Un usuario cambió la descripción de un archivo. |
| Nombre de archivo actualizado | FileUpdateName | Un usuario cambió el nombre de un archivo. |
| Mensaje actualizado* | MessageUpdated | El usuario actualizó un mensaje. |
| Archivo visualizado | FileVisited | Un usuario visualizó un archivo. |
| Mensaje visto* | MessageViewed | El usuario vio un mensaje. |
Actividades en Microsoft Power Automate
Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo. Para más información sobre las auditorías de actividades de Power Automate, consulte el blog Eventos de auditoría de Power Automate ahora disponible en el portal de cumplimiento.
Actividades en Microsoft Power Apps
Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación. La asignación de permisos a las aplicaciones también se audita. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.
Actividades de Microsoft Stream
Puede buscar el registro de auditoría para actividades en Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream" en Registros de auditoría en Microsoft Stream.
Actividades del explorador de contenido
En la tabla siguiente, se enumeran las actividades del explorador de contenido que se registran en el registro de auditoría. El explorador de contenido, al que se accede en la herramienta de clasificación de datos en el portal de cumplimiento. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Archivo al que se ha accedido | LabelContentExplorerAccessedItem | Un administrador (o un usuario que sea miembro del grupo de roles de Visor de contenido del explorador de contenido) usa el explorador de contenido para ver un mensaje de correo electrónico o un documento de OneDrive o SharePoint. |
Actividades de cuarentena
En la tabla siguiente se enumeran las actividades de cuarentena que puede buscar en el registro de auditoría. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Mensaje de cuarentena eliminado | QuarantineDelete | Un usuario eliminó un mensaje de correo que se consideró peligroso. |
| Mensaje de cuarentena exportado | QuarantineExport | Un usuario exportó un mensaje de correo que se consideró peligroso. |
| Vista previa de mensaje de cuarentena | QuarantinePreview | Un usuario consultó una vista previa de un mensaje de correo que se consideró peligroso. |
| Mensaje de cuarentena liberado | QuarantineRelease | Un usuario liberó de la cuarentena un mensaje de correo que se consideró peligroso. |
| Vista de encabezado mensaje de cuarentena | QuarantineViewHeader | Un usuario vio el encabezado de un mensaje de correo que se consideró peligroso. |
Actividades de Microsoft Forms
En las tablas de esta sección se indican las actividades de usuario y administrador de Microsoft Forms que se registran en el registro de auditoría. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas utilizado para recopilar datos para su análisis. A continuación, en las descripciones, algunas operaciones contienen parámetros de actividad adicionales.
Si se lleva a cabo una actividad de Forms por parte de un coautor o alguien que responde anónimamente, se registrará de forma ligeramente distinta. Para obtener más información, consulte la sección actividades de Forms que realizan los coautores y las personas que responden anónimamente.
Nota
Algunas actividades de auditoría de Forms solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para más información sobre las actividades que solo están disponibles en Auditoría (Premium), vea Auditoría (Premium) en Microsoft 365. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Comentario creado | CreateComment | El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario. |
| Formulario creado | CreateForm | Un nuevo formulario ha sido creado por el propietario. Propiedad DataMode:string indica que el formulario actual está configurado para sincronizarse con un libro de Excel nuevo o existente si el valor de propiedad es igual a DataSync. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual. |
| Formulario editado | EditForm | Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita. La propiedad EditOperation:string indica el nombre de la operación de edición. Las posibles operaciones son: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice -UploadFormImage/Bing/Onedrive - UploadQuestionImage -Cambiar tema FormImage incluye cualquier lugar dentro de los formularios en los que el usuario pueda subir una imagen, como en la cadena de consulta o como tema en la imagen de fondo. |
| Formulario movido | MoveForm | Un formulario ha sido movido por el propietario. La propiedad DestinationUserId: la cadena indica el ID de usuario de la persona que ha movido el formulario. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado. La propiedad IsDelegateAccess:boolean indica que la acción de movimiento del formulario actual se realiza a través de la página del delegado de administrador. |
| Formulario eliminado | DeleteForm | Propietario del formulario elimina un formulario. Esto incluye SoftDelete (opción de eliminación usada y formulario movido a la papelera de reciclaje) y HardDelete (la papelera de reciclaje está vacía). |
| Formulario visto (tiempo de diseño) | ViewForm | Un formulario existente ha sido abierto por el propietario para su edición. La propiedad AccessDenied:boolean indica que se ha denegado el acceso del formulario actual debido a la comprobación de permisos. La propiedad FromSummaryLink:boolean indica que la solicitud actual procede de la página de vínculo de resumen. |
| Vista previa del formulario | PreviewForm | Un formulario ha sido previsualizado por el propietario con la función vista previa. |
| Formulario exportado | ExportForm | Los resultados han sido exportado a Excel por el propietario del formulario. La propiedad ExportFormat:string indicará si el archivo de Excel se puede descargar o ver en línea. |
| Formulario de participación permitida para su copia | AllowShareFormForCopy | Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla. Este evento es registrado cuando el propietario del formulario hace clic para generar una dirección URL en la plantilla. |
| Formulario de participación no permitida para su copia | DisallowShareFormForCopy | El propietario del formulario ha eliminado el vínculo en la plantilla. |
| Coautor de formulario agregado | AddFormCoauthor | Para ayudar a diseñar y ver respuestas el usuario utiliza un vínculo de colaboración. Este evento es registrado cuando un usuario utiliza una dirección URL de colisión (no ocurre cuando se genera la URL de colisión por primera vez). |
| Coautor de formulario quitado | RemoveFormCoauthor | El propietario del formulario ha eliminado el vínculo de colaboración. |
| Página de respuesta visualizada | ViewRuntimeForm | El usuario ha abierto una página de respuesta para su visualización. Este evento es registrado independientemente de si el usuario envía una respuesta o no. |
| Respuesta creada | CreateResponse | Es similar a recibir una nueva respuesta. Un usuario ha enviado una respuesta a un formulario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad de ResponderId será nula. |
| Respuesta actualizada | UpdateResponse | El propietario del formulario ha actualizado un comentario o la puntuación en un cuestionario. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad de ResponderId será nula. |
| Eliminar todas las respuestas | DeleteAllResponses | Todos los datos de respuesta han sido eliminadas por el propietario del formulario |
| Respuesta eliminada | DeleteResponse | El propietario del formulario ha eliminado una respuesta. La propiedad ResponseId:string indicará la respuesta que está siendo eliminada. |
| Respuestas vistas | ViewResponses | El propietario del formulario ha visualizado la lista agregada de respuestas. La Propiedad ViewType: la cadena indica si el propietario del formulario está visualizando la lista detallada o agregada. |
| Respuesta vista | ViewResponse | El propietario del formulario visualiza una respuesta concreta. La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado. Para un respondedor anónimo, la propiedad de ResponderId será nula. |
| Vínculo de resumen creado | GetSummaryLink | El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos. |
| Vínculo de resumen eliminado | DeleteSummaryLink | El enlace de resumen de resultados ha sido eliminado por el propietario del formulario. |
| Estado de phishing actualizado del formulario | UpdatePhishingStatus | Este evento se registra cada vez que se cambie el valor detallado del estado de seguridad interna, independientemente de que ha cambiado el estado de seguridad final (por ejemplo, el formulario ahora está cerrado o abierto). Esto significa que usted puede ver los eventos duplicados sin un cambio final en el Estado de Seguridad. Los posibles valores de estado de este evento son: -Deseche el -Derribado por la administración -Administrador desbloqueado -Bloqueado automáticamente -Desbloqueado automáticamente -El cliente informó -Restablecer informe de cliente |
| Estado de phising de usuario actualizado | UpdateUserPhishingStatus | Este evento se registra cuando se cambia el valor del estado de seguridad de usuario. El valor del estado del usuario en el registro de auditoría es confirmado como Phisher cuando el usuario ha creado un formulario de phishing que ha sido retirado por el equipo de seguridad de Microsoft Online. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal. |
| Invitación a Forms Pro enviada | ProInvitation | El usuario hace clic para activar la versión de prueba Pro. |
| Configuración de formulario actualizada* | UpdateFormSetting | El propietario del formulario actualiza una o varias opciones de configuración del formulario. La propiedad FormSettingName:string indica el nombre de la configuración confidencial actualizada. La propiedad NewFormSettings:string indica el nombre de la configuración actualizada y el nuevo valor. La propiedad thankYouMessageContainsLink:boolean indica que el mensaje de agradecimiento actualizado contiene un vínculo URL. |
| Configuración del usuario actualizada | UpdateUserSetting | La configuración del usuario ha sido actualizada por el propietario del formulario. La propiedad UserSettingName: la cadena indica el nombre y el nuevo valor de la configuración |
| Formularios en la lista* | ListForms | La lista de formularios está siendo visualizada por el propietario. La propiedad ViewType:string indicará sobre la visualización que busca el propietario del formulario: todos los formularios, compartidos conmigo o en grupos |
| Respuesta enviada | SubmitResponse | Un usuario envía una respuesta sobre un formulario. La propiedad IsInternalForm:boolean indicará si el respondedor está dentro de la misma organización que el propietario del formulario. |
| Configuración de cualquier persona puede responder habilitada* | AllowAnonymousResponse | El propietario del formulario activa la configuración, lo que permite que cualquier usuario responda al formulario. |
| Configuración de cualquier persona puede responder deshabilitada* | DisallowAnonymousResponse | El propietario del formulario desactiva la configuración, lo que permite que cualquier usuario responda al formulario. |
| Configuración de personas específicas que pueden responder habilitada* | EnableSpecificResponse | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
| Configuración de solo personas específicas pueden responder deshabilitada* | DisableSpecificResponse | El propietario del formulario desactiva la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
| Se ha añadido respondedor específico* | AddSpecificResponder | El propietario del formulario añade al nuevo usuario o grupo a la lista respondedores específica. |
| Se ha quitado respondedor específico* | RemoveSpecificResponder | El propietario del formulario elimina un nuevo usuario o grupo de la lista respondedores específica. |
| Colaboración deshabilitada* | DisableCollaboration | El propietario del formulario desactiva la configuración de colaboración en el formulario. |
| Colaboración en cuenta profesional o educativa de Office 365 habilitada* | EnableWorkOrSchoolCollaboration | El propietario del formulario activa el ajuste que permite a los usuarios con una cuenta profesional o educativa de Microsoft 365 ver y editar el formulario. |
| Colaboración de personas en mi organización habilitada* | EnableSameOrgCollaboration | El propietario del formulario activa la configuración que permite a los usuarios de la organización actual ver y editar el formulario. |
| Colaboración con personas específicas habilitada* | EnableSpecificCollaboaration | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual vean y editen el formulario. |
| Conectado al libro de Excel* | ConnectToExcelWorkbook | Conectado el formulario a un libro de Excel. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual. |
| Se ha creado una colección | CollectionCreated | El propietario del formulario ha creado una colección. |
| Se ha actualizado una colección | CollectionUpdated | El propietario del formulario ha actualizado una propiedad de la colección. |
| Se ha eliminado la colección de la papelera de reciclaje | CollectionHardDeleted | El propietario del formulario ha eliminado de forma permanente una colección de la papelera de reciclaje. |
| Se ha movido la colección a la papelera de reciclaje | CollectionSoftDeleted | El propietario del formulario ha movido una colección a la papelera de reciclaje. |
| Se ha cambiado el nombre de una colección | CollectionRenamed | El propietario del formulario ha cambiado el nombre de una colección. |
| Se ha movido un formulario a la colección | MovedFormIntoCollection | El propietario del formulario ha movido un formulario a una colección. |
| Se ha movido un formulario fuera de la colección | MovedFormOutofCollection | El propietario del formulario ha movido un formulario fuera de una colección. |
Actividades de Forms que realizan los coautores y respondedores anónimos
Forms es compatible con la colaboración cuando se diseñan formularios y al analizar las respuestas. Un colaborador de formulario se conoce como coautor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario. Forms también permite crear un formulario que se puede responder de forma anónima. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.
En la siguiente tabla se describen las actividades y la información de auditoría del registro de auditoría en relación con las actividades realizadas por los coautores y respondedores anónimos.
| Tipo de actividad | Usuario interno o externo | Identificador de usuario que ha iniciado sesión | Organización que ha iniciado sesión | Tipo de usuario de Forms |
|---|---|---|---|---|
| Actividades de coautoría | Interno | UPN | Organización del propietario del formulario | Coautor |
| Actividades de coautoría | Externo | UPN |
Organización del coautor |
Coautor |
| Actividades de coautoría | Externo | urn:forms:coauthor#a0b1c2d3@forms.office.com(La segunda parte del Id. es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario |
Coautor |
| Actividades de respuesta | Externo | UPN |
Organización del usuario que responde |
Responder |
| Actividades de respuesta | Externo | urn:forms:external#a0b1c2d3@forms.office.com(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario | Responder |
| Actividades de respuesta | Anónimo | urn:forms:anonymous#a0b1c2d3@forms.office.com(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios) |
Organización del propietario del formulario | Responder |
Actividades de la etiqueta de confidencialidad
En la tabla siguiente se enumeran los eventos resultantes del uso de etiquetas de confidencialidad.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Etiqueta de confidencialidad aplicada al sitio | SensitivityLabelApplied | Se ha aplicado una etiqueta de confidencialidad a un sitio de SharePoint o Teams. |
| Etiqueta de confidencialidad eliminada del sitio | SensitivityLabelRemoved | Se ha quitado una etiqueta de confidencialidad de un sitio de SharePoint o Teams. |
| Etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelApplied | Se ha aplicado una etiqueta de confidencialidad a un documento mediante Aplicaciones de Microsoft 365, Office en la Web o una directiva de etiquetado automático. |
| Se ha cambiado la etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelChanged SensitivityLabelUpdated |
Se ha aplicado una etiqueta de confidencialidad diferente a un documento. Las operaciones de esta actividad son diferentes en función de cómo se cambió la etiqueta: - Office en la Web o una directiva de etiquetado automático (FileSensitivityLabelChanged) - Aplicaciones de Microsoft 365 (SensitivityLabelUpdated) |
| Etiqueta de confidencialidad modificada en un sitio | SensitivityLabelChanged | Se ha aplicado una etiqueta de confidencialidad diferente a un sitio de SharePoint o Teams. |
| Etiqueta de confidencialidad eliminada del sitio | FileSensitivityLabelRemoved | Se ha quitado una etiqueta de confidencialidad de un documento con aplicaciones de Microsoft 365, Office en la web, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile. |
Actividades de las directivas y etiquetas de retención
En la tabla siguiente se describen las actividades de configuración de las directivas de retención y las etiquetas de retención cuando se crearon, reconfiguraron o eliminaron.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Modificación de la pertenencia al ámbito de adaptación | ApplicableAdaptiveScopeChange | Los usuarios, sitios o grupos se agregaron o quitaron del ámbito de adaptación. Estos cambios son los resultados de ejecutar la consulta del ámbito. Dado que los cambios se inician en el sistema, el usuario notificado se muestra como un GUID en lugar de como una cuenta de usuario. |
| Opciones configuradas para una directiva de retención | NewRetentionComplianceRule | El administrador estableció la configuración de retención para una nueva directiva de retención. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule. |
| Ámbito de adaptación creado | NewAdaptiveScope | El administrador creó un ámbito de adaptación. |
| Etiqueta de retención creada | NewComplianceTag | El administrador creó una etiqueta de retención nueva. |
| Directiva de retención creada | NewRetentionCompliancePolicy | El administrador creó una nueva directiva de retención. |
| Ámbito de adaptación eliminado | RemoveAdaptiveScope | El administrador eliminó un ámbito de adaptación. |
| Configuración eliminada de una directiva de retención | RemoveRetentionComplianceRule |
El administrador eliminó las opciones de configuración de una directiva de retención. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule. |
| Etiqueta de retención eliminada | RemoveComplianceTag | El administrador eliminó una etiqueta de retención. |
| Directiva de retención eliminada | RemoveRetentionCompliancePolicy |
El administrador eliminó una directiva de retención. |
| Opción de registro normativo habilitada para etiquetas de retención |
SetRestrictiveRetentionUI | El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario. |
| Ámbito de adaptación actualizado | SetAdaptiveScope | El administrador cambió la descripción o consulta de un ámbito de adaptación existente. |
| Configuración actualizada para una directiva de retención | SetRetentionComplianceRule | El administrador cambió la configuración de retención de una directiva de retención existente. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule. |
| Etiqueta de retención actualizada | SetComplianceTag | El administrador actualizó una etiqueta de retención existente. |
| Directiva de retención actualizada | SetRetentionCompliancePolicy | El administrador actualizó una política de retención existente. Las actualizaciones que desencadenan este evento incluyen la inclusión o exclusión de ubicaciones de contenido a las que se aplica la política de retención. |
Actividades de correo de informe de tareas pendientes
En la tabla siguiente se enumeran las actividades del correo de Informe de tareas pendientes que se registran en el registro de auditoría de Microsoft 365. Para obtener más información acerca del correo de Informe de tareas pendientes, consulte:
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración actualizada de privacidad de la organización | UpdatedOrganizationBriefingSettings | El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes. |
| Configuración actualizada de privacidad del usuario | UpdatedUserBriefingSettings | Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes. |
Actividades de MyAnalytics
En la tabla siguiente se enumeran las actividades de MyAnalytics que se registran en el registro de auditoría de Microsoft 365. Para más información sobre MyAnalytics, consulte MyAnalytics para administradores.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración actualizada de MyAnalytics de la organización | UpdatedOrganizationMyAnalyticsSettings | Configuración a nivel de la organización de actualizaciones de administrador para MyAnalytics. |
| Actualización de la configuración de MyAnalytics del usuario | UpdatedUserMyAnalyticsSettings | Configuración de usuario de actualizaciones de administrador para MyAnalytics |
Actividades de barreras de información
En la tabla siguiente se enumeran las actividades en las barreras de información que se registran en el registro de auditoría de Microsoft 365. Para mayor información sobre las barreras de información, consulte Aprender sobre las barreras de información en Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Añadir segmentos a un sitio | SegmentsAdded | Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio. |
| Segmentos cambiados de un sitio | SegmentsChanged | Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio. |
| Segmentos quitados de un sitio | SegmentsRemoved | Un administrador global o SharePoint quitó uno o más segmentos de barreras de información desde un sitio. |
Actividades de revisión para eliminación
En la tabla siguiente se enumeran las actividades que realizó un revisor para eliminación cuando un elemento alcanzó el final de su período de retención configurado. Para obtener más información, vea Vista y eliminación de contenido.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Eliminación aprobada | ApproveDisposal | Un revisor de eliminación aprobó la eliminación del elemento para moverlo a la siguiente fase de eliminación. Si el elemento estaba en fase única o final de la revisión de eliminación, la aprobación para eliminación marcó el elemento como apto para su eliminación permanente. |
| Período de retención extendido | ExtendRetention | Un revisor de disposición extendió el período de retención del elemento. |
| Elemento etiquetado de nuevo | RelabelItem | Un revisor de eliminación reetiquetó la etiqueta de retención. |
| Revisores agregados | AddReviewer | Un revisor de eliminación agregó uno o más usuarios a la fase actual de la revisión para eliminación. |
Actividades del cumplimiento de comunicaciones
En la tabla siguiente se enumeran las actividades de cumplimiento de comunicaciones que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Obtener información sobre el cumplimiento de comunicaciones en Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Actualización de directiva | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Un administrador de cumplimiento de comunicaciones ha realizado una actualización de directiva. |
| Coincidencia de directiva | SupervisionRuleMatch | Un usuario ha enviado un mensaje que coincide con la condición de una directiva. |
| Etiqueta aplicada a los mensajes | SupervisoryReviewTag | Las etiquetas se aplican a los mensajes o se resuelven los mensajes. |
Actividades de informe
En la tabla siguiente se enumeran las actividades de los informes de uso que se registran en el registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración de privacidad del informe de uso actualizada | UpdateUsageReportsPrivacySetting | El administrador ha actualizado la configuración de privacidad de los informes de uso. |
Registro de auditoría de administración de Exchange
El proceso de registro de auditoría del administrador de Exchange (que está habilitado de manera predeterminada en Microsoft 365) registra un evento en el registro de auditoría cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en la organización de Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange. Los cmdlets que comienzan con el verbo Get-, Search- o Test-, no se registran en el registro de auditoría. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.
Importante
Algunos cmdlets de Exchange Online que no se archivan en el registro de auditoría de administración de Exchange (o en el registro de auditoría). Muchos de estos cmdlets se relacionan con el mantenimiento del servicio de Exchange en línea y los ejecuta el personal del centro de datos de Microsoft o las cuentas de servicio. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos". Si hay un cmdlet de Exchange Online que no se está auditando, envíe una solicitud de cambio de diseño (DCR) a Soporte técnico de Microsoft.
Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:
Para devolver las entradas del registro de auditoría de administrador Exchange, tiene que seleccionar Mostrar resultados para todas las actividades en la lista Actividades. Use los cuadros de intervalo de fecha y la lista de Usuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.
Para mostrar eventos del registro de auditoría de administración de Exchange, haga clic en la columna Actividad para ordenar los nombres de cmdlet en orden alfabético.
Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, puede exportar los resultados de la búsqueda seleccionando la opción Descargar todos los resultados. Para obtener más información, consulte Exportar, configurar y ver registros del registro de auditoría.
También puede usar el
Search-UnifiedAuditLog -RecordType ExchangeAdmincomando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange. Se puede tardar hasta 30 minutos después de ejecutar el cmdlet de Exchange para que se devuelva la entrada del registro de auditoría correspondiente en los resultados de la búsqueda. Para obtener más información, consulte Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLog a un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.También puede ver los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un Search-AdminAuditLog en PowerShell en Exchange en línea. Esta es una buena forma de buscar específicamente la actividad que realizan los administradores de Exchange Online. Para obtener instrucciones, consulte:
Tenga en cuenta que las mismas actividades de administrador de Exchange se registran tanto en el registro de auditoría de administración de Exchange como en el registro de auditoría.
Actividades del portal de mensajes cifrados
Los registros de acceso están disponibles para los mensajes encriptados a través del portal de mensajes encriptados que permite a su organización determinar cuándo los mensajes son leídos, y reenviados por sus destinatarios externos. Para obtener más información sobre la activación y el uso de los registros de actividad del portal de mensajes cifrados, consulte Registro de actividad del portal de mensajes cifrado.
Cada entrada de auditoría para un mensaje rastreado contendrá los siguientes campos:
- MessageID: contiene el ID del mensaje que está siendo rastreando. Es el identificador clave utilizado para seguir un mensaje a través del sistema.
- Destinatario: lista de todas las direcciones de correo electrónico de los destinatarios.
- Remitente: dirección de correo electrónico de origen.
- AuthenticationMethod: describe el método de autenticación para acceder al mensaje, por ejemplo OTP, Yahoo, Gmail o Microsoft..
- AuthenticationStatus: contiene un valor que indica que la autenticación tuvo éxito o falló.
- OperationStatus : indica si la operación señalada tuvo éxito o fracasó.
- AttachmentName: nombre del archivo adjunto.
- OperationProperties: una lista de propiedades opcionales, por ejemplo el número de códigos de acceso OTP enviados, o el asunto del correo electrónico.
Preguntas más frecuentes
¿Qué servicios de Microsoft 365 se auditan actualmente?
Se auditan los servicios más usados, como Exchange Online, SharePoint Online, OneDrive para la Empresa, Azure Active Directory, Microsoft Teams, Dynamics 365, Microsoft Defender para Office 365 y Power BI. Consulte el principio de este artículo para obtener una lista de los servicios que se van a auditar.
¿Qué actividades audita el servicio de auditoría en Microsoft 365?
Vea la secciónActividades auditadas de este artículo para ver la lista y la descripción de las actividades que se auditan.
¿Cuánto tiempo tarda un registro de auditoría en disponible después de que se produzca un evento?
Los datos más auditados están disponibles un máximo de 30 minutos pero puede tomar 24 horas después de que se produzca el evento para el registro de auditoría correspondiente para ser mostrado los resultados de búsqueda. Consulte la tabla de la sección Antes de realizar búsquedas en el registro de auditoría de este artículo, donde se muestra el tiempo que tardan en estar disponibles los eventos de los diferentes servicios.
¿Durante cuánto tiempo se conservan los registros de auditoría?
Como se ha explicado anteriormente, los registros de auditoría para las actividades que realizan los usuarios que tienen asignada una licencia de Office 365 E5 o Microsoft E5 (o los usuarios con una licencia del complemento de Microsoft 365 E5) se conservan durante un año. Para todas las demás suscripciones que admiten el registro de auditoría unificado, los registros de auditoría se conservan durante 90 días.
¿Puedo tener acceso a los datos de auditoría mediante programación?
Sí. La API de Actividad de administración de Office 365 se usa para capturar los registros de auditoría mediante programación. Para empezar, consulte Empezar con el APÏ de Office 365 Management.
¿Hay otras formas de obtener registros de auditoría que no sean en el portal de seguridad y cumplimiento o con la API de Actividad de administración de Office 365?
No. Éstas son las dos únicas formas de obtener datos del servicio de auditoría.
¿Necesito habilitar individualmente la auditoría en cada servicio en el que deseo capturar registros de auditoría?
En la mayoría de los servicios, la auditoría se habilita de forma predeterminada tras activarla inicialmente para la organización (como se describe en la sección Antes de realizar búsquedas en el registro de auditoría de este artículo).
¿El servicio de auditoría admite la con la desduplicación de registros?
No. La canalización del servicio de auditoría se produce casi en tiempo real y, por lo tanto, no es compatible con la desduplicación.
¿Dónde se almacenan los datos de auditoría?
Actualmente, tenemos auditorías de canalización de implementaciones en las regiones NA (Norteamérica), EMEA (Europa, Oriente Medio y África) y APAC (Asia Pacífico). Los inquilinos alojados en estas regiones tendrán sus datos de auditoría almacenados en la región. En el caso de los inquilinos multigeográficos, los datos de auditoría recopilados de todas las regiones del inquilino solo se almacenarán en la región principal del inquilino. Sin embargo, es posible que flujos los datos en estas zonas para equilibrar la carga y solo durante las cuestiones de sitio en directo. Cuando realizamos estas actividades, los datos en tránsito se encriptan.
¿Está la auditoría de datos encriptada?
Los datos de auditoría se almacenan en buzones de Exchange (datos en reposo) en la misma región donde se implementa la canalización de auditoría unificada. Exchange no cifra los datos de los buzones en reposo. Sin embargo, el cifrado de nivel de servicio cifra todos los datos de los buzones, ya que los servidores de Exchange en centros de datos de Microsoft se cifran mediante BitLocker. Para obtener más información, consulte Cifrado de Microsoft 365 para Skype Empresarial, OneDrive para la Empresa, SharePoint Online y Exchange Online.
Los datos de correo en tránsito siempre se cifran.