Informes de actividad de auditoría en el portal de Azure Active DirectoryAudit activity reports in the Azure Active Directory portal

Con los informes de Azure Active Directory (Azure AD), puede obtener toda la información que necesita para determinar cómo funciona el entorno.With Azure Active Directory (Azure AD) reports, you can get the information you need to determine how your environment is doing.

Esta arquitectura de informes consta de los siguientes componentes:The reporting architecture consists of the following components:

  • ActividadActivity
    • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.Sign-ins – The sign-ins report provides information about the usage of managed applications and user sign-in activities.
    • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.Examples of audit logs include changes made to any resources within Azure AD like adding or removing users, apps, groups, roles and policies.
    • Los registros de aprovisionamiento - Registros de aprovisionamiento permiten a los clientes supervisar la actividad del servicio de aprovisionamiento, como la creación de un grupo en ServiceNow o un usuario importado desde Workday.Provisioning logs - Provisioning logs allow customers to monitor activity by the provisioning service, such as the creation of a group in ServiceNow or a user imported from Workday.
  • SeguridadSecurity
    • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
    • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

En este artículo se proporciona información general del informe de auditoría.This article gives you an overview of the audit report.

¿Quién puede acceder a los datos?Who can access the data?

  • Los usuarios con los roles Administrador de seguridad, Lector de seguridad, Lector de informes, Lector global o Administrador globalUsers in the Security Administrator, Security Reader, Report Reader , Global Reader or Global Administrator roles

Registros de auditoríaAudit logs

Los registros de auditoría de Azure AD proporcionan registros de las actividades del sistema de cara al cumplimiento.The Azure AD audit logs provide records of system activities for compliance. Para acceder al informe de auditoría, seleccione Registros de auditoría en la sección Supervisión de Azure Active Directory.To access the audit report, select Audit logs in the Monitoring section of Azure Active Directory.

Un registro de auditoría tiene una vista de lista predeterminada que muestra:An audit log has a default list view that shows:

  • la fecha y hora de la repeticiónthe date and time of the occurrence
  • el servicio que ha registrado la repeticiónthe service that logged the occurrence
  • la categoría y el nombre de la actividad (qué)the category and name of the activity (what)
  • el estado de la actividad (correcto o incorrecto)the status of the activity (success or failure)
  • el destinothe target
  • el iniciador o actor (quién) de una actividadthe initiator / actor (who) of an activity

Registros de auditoríaAudit logs

Puede personalizar la vista de lista, haga clic en Columnas en la barra de herramientas.You can customize the list view by clicking Columns in the toolbar.

Columnas de auditoríaAudit columns

Esto le permite mostrar los campos adicionales o quitar los campos que ya se están mostrando.This enables you to display additional fields or remove fields that are already displayed.

Quitar camposRemove fields

Seleccione un elemento de la vista de lista para obtener información más detallada.Select an item in the list view to get more detailed information.

seleccionar elementoselect item

Filtrado de registros de auditoríaFiltering audit logs

Puede filtrar los datos de auditoría por los siguientes campos:You can filter the audit data on the following fields:

  • ServicioService
  • CategoryCategory
  • ActividadActivity
  • StatusStatus
  • DestinoTarget
  • Iniciado por (actor)Initiated by (Actor)
  • Intervalo de fechasDate range

Objeto de filtroFilter object

El filtro Service (Servicio) le permite seleccionar los siguientes servicios de una lista desplegable:The Service filter allows you to select from a drop-down list of the following services:

  • AllAll
  • Experiencia de usuario de administración de AADAAD Management UX
  • Revisiones de accesoAccess Reviews
  • Account Provisioning (Aprovisionamiento de cuentas)Account Provisioning
  • Proxy de aplicaciónApplication Proxy
  • Métodos de autenticaciónAuthentication Methods
  • B2CB2C
  • Acceso condicionalConditional Access
  • Core Directory (Directorio principal)Core Directory
  • Administración de derechosEntitlement Management
  • Autenticación híbridaHybrid Authentication
  • Protección de identidadIdentity Protection
  • Invited Users (Usuarios invitados)Invited Users
  • MIM Service (Servicio MIM)MIM Service
  • MyAppsMyApps
  • PIMPIM
  • Self-service Group Management (Administración de grupos de autoservicio)Self-service Group Management
  • Self-service Password Management (Administración de contraseñas de autorservicio)Self-service Password Management
  • Términos de usoTerms of Use

El filtro Category (Categoría) le permite seleccionar uno de los filtros siguientes:The Category filter enables you to select one of the following filters:

  • AllAll
  • AdministrativeUnitAdministrativeUnit
  • ApplicationManagementApplicationManagement
  • AuthenticationAuthentication
  • AuthorizationAuthorization
  • ContactoContact
  • DispositivoDevice
  • DeviceConfigurationDeviceConfiguration
  • DirectoryManagementDirectoryManagement
  • EntitlementManagementEntitlementManagement
  • GroupManagementGroupManagement
  • KerberosDomainKerberosDomain
  • KeyManagementKeyManagement
  • EtiquetaLabel
  • OtrosOther
  • PermissionGrantPolicyPermissionGrantPolicy
  • DirectivaPolicy
  • ResourceManagementResourceManagement
  • RoleManagementRoleManagement
  • UserManagementUserManagement

El filtro Activity (Actividad) se basa en la selección de la categoría y el tipo de recurso de actividad que realice.The Activity filter is based on the category and activity resource type selection you make. Puede seleccionar la actividad específica que desea ver o elegir todas.You can select a specific activity you want to see or choose all.

Puede obtener la lista de todas las actividades de auditoría mediante Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=betaYou can get the list of all Audit Activities using the Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

El filtro Status (Estado) le permite filtrar en función del estado de una operación de auditoría.The Status filter allows you to filter based on the status of an audit operation. El estado puede ser uno de los siguientes:The status can be one of the following:

  • AllAll
  • CorrectoSuccess
  • ErrorFailure

El filtro Target (Destino) le permite buscar un destino determinado por nombre o nombre principal de usuario (UPN).The Target filter allows you to search for a particular target by the starting of the name or user principal name (UPN). El nombre de destino y el UPN distinguen mayúsculas de minúsculas.The target name and UPN are case-sensitive.

El filtro Iniciado por (Initiated by) le permite definir por qué empieza el nombre de un actor o un nombre principal universal (UPN).The Initiated by filter enables you to define what an actor's name or a universal principal name (UPN) starts with. El nombre y el UPN distinguen mayúsculas de minúsculas.The name and UPN are case-sensitive.

El filtro Date range (Intervalo de fechas) permite definir un período de tiempo para los datos devueltos.The Date range filter enables to you to define a timeframe for the returned data.
Los valores posibles son:Possible values are:

  • 7 días7 days
  • 24 horas24 hours
  • PersonalizadoCustom

Cuando se selecciona un intervalo de tiempo personalizado, puede configurar una hora de inicio y una hora de finalización.When you select a custom timeframe, you can configure a start time and an end time.

También puede descargar los datos filtrados, hasta 250 000 registros, si selecciona el botón Download (Descargar).You can also choose to download the filtered data, up to 250,000 records, by selecting the Download button. Puede descargar los registros en formato CSV o JSON.You can download the logs in either CSV or JSON format. El número de registros que se puede descargar también está restringido por las directivas de retención de informes de Azure Active Directory.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Descarga de datosDownload data

Métodos abreviados de los registros de auditoríaAudit logs shortcuts

Además de Azure Active Directory, Azure Portal proporciona dos puntos de entrada adicionales para auditar datos:In addition to Azure Active Directory, the Azure portal provides you with two additional entry points to audit data:

  • Usuarios y gruposUsers and groups
  • Aplicaciones empresarialesEnterprise applications

Registros de auditoría de los usuarios y gruposUsers and groups audit logs

Con los informes de auditoría basadas en grupos y usuarios, puede obtener respuestas a preguntas como:With user and group-based audit reports, you can get answers to questions such as:

  • ¿Qué tipos de actualizaciones se han aplicado a los usuarios?What types of updates have been applied to users?

  • ¿Cuántos usuarios han cambiado?How many users were changed?

  • ¿Cuántas contraseñas han cambiado?How many passwords were changed?

  • ¿Qué ha hecho un administrador en un directorio?What has an administrator done in a directory?

  • ¿Cuáles son los grupos que se han agregado?What are the groups that have been added?

  • ¿Hay grupos con cambios de pertenencia?Are there groups with membership changes?

  • ¿Se han cambiado los propietarios del grupo?Have the owners of group been changed?

  • ¿Qué licencias se han asignado a un grupo o un usuario?What licenses have been assigned to a group or a user?

Si quiere revisar solo los datos de auditoría relacionados con los usuarios, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Usuarios. Este punto de entrada tiene UserManagement como categoría preseleccionada.If you want to review only auditing data that is related to users, you can find a filtered view under Audit logs in the Monitoring section of the Users tab. This entry point has UserManagement as preselected category.

UserUser

Si quiere revisar solo los datos de auditoría relacionados con los grupos, puede encontrar una vista filtrada en Registros de auditoría en la sección Supervisión de la pestaña Grupos. Este punto de entrada tiene GroupManagement como categoría preseleccionada.If you want to review only auditing data that is related to groups, you can find a filtered view under Audit logs in the Monitoring section of the Groups tab. This entry point has GroupManagement as preselected category.

Grupos de filtroFilter groups

Registros de auditoría de aplicaciones empresarialesEnterprise applications audit logs

Con los informes de auditoría basadas en aplicaciones, puede obtener respuestas a preguntas tales como:With application-based audit reports, you can get answers to questions such as:

  • ¿Qué aplicaciones se han agregado o actualizado?What applications have been added or updated?
  • ¿Qué aplicaciones se han quitado?What applications have been removed?
  • ¿Ha cambiado la entidad de servicio de una aplicación?Has a service principal for an application changed?
  • ¿Se han cambiado los nombres de las aplicaciones?Have the names of applications been changed?
  • ¿Quién dio el consentimiento a una aplicación?Who gave consent to an application?

Si quiere revisar los datos de auditoría relacionados con las aplicaciones, puede encontrar una vista filtrada en Registros de auditoría en la sección Actividad de la hoja Aplicaciones empresariales.If you want to review audit data related to your applications, you can find a filtered view under Audit logs in the Activity section of the Enterprise applications blade. Este punto de entrada tiene la opción Aplicaciones empresariales preseleccionada en Tipo de aplicación.This entry point has Enterprise applications preselected as the Application Type.

Aplicaciones empresarialesEnterprise applications

Registros de actividad de Microsoft 365Microsoft 365 activity logs

Puede ver los registros de actividad de Microsoft 365 desde el Centro de administración de Microsoft 365.You can view Microsoft 365 activity logs from the Microsoft 365 admin center. Aunque los registros de actividad de Microsoft 365 y Azure AD comparten muchos de los recursos del directorio, solo el Centro de administración de Microsoft 365 proporciona una vista completa de los registros de actividad de Microsoft 365.Even though Microsoft 365 activity and Azure AD activity logs share a lot of the directory resources, only the Microsoft 365 admin center provides a full view of the Microsoft 365 activity logs.

También puede acceder a los registros de actividad de Microsoft 365 mediante programación con las API de administración de Office 365.You can also access the Microsoft 365 activity logs programmatically by using the Office 365 Management APIs.

Pasos siguientesNext steps