Use registros de auditoría para realizar un seguimiento y supervisar eventos en Microsoft Intune

  • Artículo
  • 2 minutos para leer

Los registros de auditoría incluyen un registro de actividades que generan un cambio en Microsoft Intune. Crear, actualizar (editar), eliminar, asignar y acciones remotas crean eventos de auditoría que los administradores pueden revisar para la mayoría de las cargas de trabajo de Intune. De forma predeterminada, la auditoría está habilitada para todos los clientes. No se puede deshabilitar.

Nota

Los eventos de auditoría empezaron a grabarse en la versión de características de diciembre de 2017. Los eventos anteriores no están disponibles.

Quién Puede tener acceso a los datos?

Los usuarios con los siguientes permisos pueden revisar los registros de auditoría:

  • Administrador global
  • Administrador de servicios de Intune
  • Administradores asignados a un rol de Intune con permisos de lectura de datos de - auditoría

Registros de auditoría de cargas de trabajo de Intune

Puede revisar los registros de auditoría en el grupo de supervisión para cada carga de trabajo de Intune:

  1. Inicie sesión en el centro Microsoft Endpoint Manager administración.
  2. Seleccione Registros de auditoría de administración de > inquilinos.
  3. Para filtrar los resultados, seleccione Filtrar y refinar los resultados mediante las siguientes opciones.
    • Categoría: como Compliance, Device y Role.
    • Actividad: las opciones enumeradas aquí están restringidas por la opción elegida en Categoría.
    • Intervalo de fechas: puede elegir registros del mes, semana o día anteriores.
  4. Seleccione Aplicar.
  5. Seleccione un elemento de la lista para ver los detalles de la actividad.

Enrutar registros a Azure Monitor

Los registros de auditoría y los registros operativos también se pueden enrutar a Azure Monitor. En Registros de auditoría de administración de > inquilinos, seleccione Exportar:

Exporte los datos de registro a Azure Monitor seleccionando Exportar configuración de datos en Microsoft Intune y Endpoint Manager centro de administración.

Nota

  • Para obtener más información acerca de esta característica y revisar los requisitos previos para usarla, vea enviar datos de registro al almacenamiento, los centros de eventos o el análisis de registros.

  • Iniciado por (actor) incluye información sobre quién ejecutó la tarea y dónde se ejecutó.

    Por ejemplo, si ejecuta la actividad en Intune en Azure Portal, la aplicación siempre muestra Microsoft Intune extensión del portal y el identificador de aplicación siempre usa el mismo GUID.

  • La sección Destino(s) enumera varios destinos y las propiedades que se cambiaron.

Usar Graph API para recuperar eventos de auditoría

Para obtener información detallada sobre cómo usar la API de graph para obtener hasta un año de eventos de auditoría, vea Enumerar auditEvents.

Siguientes pasos

Enviar datos de registro a almacenamiento, centros de eventos o análisis de registros.

Revisar los registros de protección de aplicaciones cliente.