Activar o desactivar la auditoría

  • Artículo

El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Sin embargo, al configurar una nueva organización de Microsoft 365, debe comprobar el estado de auditoría de su organización. Para obtener instrucciones, consulte la sección Verify the auditing status for your organization (Comprobar el estado de auditoría de su organización ) de este artículo.

Cuando la auditoría está activada en el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview, la actividad de usuario y administrador de su organización se registra en el registro de auditoría y se conserva automáticamente durante 180 días. La retención (duración) de los datos de auditoría se inicia cuando se agrega al registro de auditoría y se conserva en función de las directivas de retención del registro de auditoría y la licencia asignada a los usuarios.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Los cambios en las directivas de concesión de licencias o retención de usuarios también cambian la fecha de expiración de los datos de auditoría.

Su organización puede tener motivos para no querer registrar y conservar los datos de registro de auditoría. En estos casos, un administrador global puede desactivar la auditoría en Microsoft 365 para su organización. Para obtener instrucciones, consulte la sección Desactivar auditoría de este artículo.

Importante

Si desactiva la auditoría en Microsoft 365, no puede usar la API de actividad de administración de Office 365 ni Microsoft Sentinel para acceder a los datos o registros de auditoría de su organización. Desactivar la auditoría siguiendo los pasos de este artículo significa que no se devolverá ningún resultado al buscar en el registro de auditoría mediante el portal de Microsoft Purview o el portal de cumplimiento, o al ejecutar el cmdlet Búsqueda-UnifiedAuditLog en Exchange Online PowerShell.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Antes de activar o desactivar la auditoría

Debe tener asignado el rol Registros de auditoría en Exchange Online para activar o desactivar la auditoría. De forma predeterminada, este rol se asigna a los grupos de roles Administración de cumplimiento y Administración de la organización en la página Permisos del Centro de administración de Exchange.

Comprobación del estado de auditoría de la organización

Para comprobar que la auditoría está activada para su organización, puede ejecutar el siguiente comando en Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Un valor de True para la propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está activada. Un valor de False indica que la auditoría no está activada.

Importante

Asegúrese de ejecutar el comando anterior en Exchange Online PowerShell. Aunque el cmdlet Get-AdminAuditLogConfig también está disponible en PowerShell de cumplimiento de seguridad &, la propiedad UnifiedAuditLogIngestionEnabled siempre Falsees , incluso cuando la auditoría está activada.

Activar la auditoría

Si la auditoría no está activada para su organización, puede activarla en el portal de Microsoft Purview o en el portal de cumplimiento, o mediante Exchange Online PowerShell. Puede tardar varias horas después de activar la auditoría antes de poder devolver resultados al buscar en el registro de auditoría.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Complete los pasos siguientes para activar la auditoría:

  1. Inicie sesión en el portal de Microsoft Purview.
  2. Seleccione la tarjeta Auditar solución. Si no se muestra la tarjeta Auditar solución, seleccione Ver todas las soluciones y, a continuación, seleccione Auditar en la sección Núcleo .
  3. Si la auditoría no está activada para su organización, se muestra un banner que le pide que empiece a grabar la actividad de usuario y administrador.
  4. Seleccione el banner Iniciar grabación de actividad de usuario y administrador .

El cambio puede tardar hasta 60 minutos en surtir efecto.

Uso de PowerShell para activar la auditoría

  1. Conéctese al PowerShell de Exchange Online.

  2. Ejecute el siguiente comando de PowerShell para activar la auditoría.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Se muestra un mensaje que indica que el cambio puede tardar hasta 60 minutos en surtir efecto.

Desactivar la auditoría

Tiene que usar Exchange Online PowerShell para desactivar la auditoría.

  1. Conéctese al PowerShell de Exchange Online.

  2. Ejecute el siguiente comando de PowerShell para desactivar la auditoría.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Después de un tiempo, compruebe que la auditoría está desactivada (deshabilitada). Hay dos formas de hacerlo:

    • En Exchange Online PowerShell, ejecute el siguiente comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      El valor de para False la propiedad UnifiedAuditLogIngestionEnabled indica que la auditoría está desactivada.

    • Vaya a la página Auditoría del portal de cumplimiento.

      Si la auditoría no está activada para su organización, se muestra un banner que le pide que empiece a grabar la actividad de usuario y administrador.

Registros de auditoría al cambiar el estado de la auditoría

Los cambios en el estado de auditoría de la organización se auditan por sí mismos. Esto significa que los registros de auditoría se registran cuando la auditoría está activada o desactivada. Puede buscar estos registros de auditoría en el registro de auditoría del administrador de Exchange.

Para buscar en el registro de auditoría del administrador de Exchange los registros de auditoría que se generan al activar o desactivar la auditoría, ejecute el siguiente comando en Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Los registros de auditoría de estos eventos contienen información sobre cuándo se cambió el estado de auditoría, el administrador que lo cambió y la dirección IP del equipo que se usó para realizar el cambio. En las capturas de pantalla siguientes se muestran los registros de auditoría que corresponden a cambiar el estado de auditoría de la organización.

Registro de auditoría para activar la auditoría

Registro de auditoría para activar la auditoría

El valor de en Confirm la propiedad CmdletParameters indica que el registro de auditoría unificado se ha activado en el portal de Microsoft Purview o en el portal de cumplimiento, o mediante la ejecución del cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Registro de auditoría para desactivar la auditoría

Registro de auditoría para desactivar la auditoría

El valor de Confirm no se incluye en la propiedad CmdletParameters . Esto indica que el registro de auditoría unificado se ha desactivado mediante la ejecución del comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Para obtener más información sobre cómo buscar en el registro de auditoría del administrador de Exchange, consulte Búsqueda-AdminAuditLog.