Buscar eventos en el registro de auditoría en Microsoft Teams

  • Artículo
  • 18 minutos para leer
  • Se aplica a:
    Microsoft Teams

Importante

El Centro de administración de Microsoft Teams está reemplazando gradualmente al Centro de administración de Skype Empresarial y estamos migrando la configuración de Teams a él desde el Centro de administración de Microsoft 365. Cuando se migra una configuración, recibe una notificación y, a continuación, se le dirige a la ubicación de la configuración en el Centro de administración de Teams. Para obtener más información, vea Administrar Teams durante la transición al Centro de administración de Teams.

El registro de auditoría puede ayudarle a investigar actividades específicas en Microsoft 365 servicios. Para Microsoft Teams, estas son algunas de las actividades que se auditan:

  • Creación de equipos
  • Eliminación de equipos
  • Agregación de canales
  • Canal eliminado
  • Configuración del canal cambiada

Para obtener una lista completa de Teams actividades que se auditan, vea Teams actividades y turnos en Teams actividades.

Nota

Los eventos de auditoría de canales privados también se registran tal y como están para equipos y canales estándar.

Activar la auditoría en Microsoft Teams

Antes de poder ver los datos de auditoría, primero debe activar la auditoría en el Centro de cumplimiento de Microsoft 365. Para obtener más información, vea Activar o desactivar la auditoría.

Importante

Los datos de auditoría solo están disponibles desde el punto en que ha activado la auditoría.

Recuperar datos de Microsoft Teams del registro de auditoría

  1. Para recuperar registros de auditoría para Teams actividades, vaya a https://compliance.microsoft.com Auditoría y seleccione Auditoría.

  2. En la página Buscar, filtre las actividades, las fechas y los usuarios que desea auditar.

  3. Exporte los resultados a Excel para continuar el análisis.

Para obtener instrucciones paso a paso, vea Buscar el registro de auditoría en el centro de cumplimiento.

Importante

Los datos de auditoría solo están visibles en el registro de auditoría si la auditoría está activada.

La duración del tiempo que un registro de auditoría se conserva y se puede buscar en el registro de auditoría depende de su suscripción Microsoft 365 o Office 365 y, específicamente, del tipo de licencia que se asigna a los usuarios. Para obtener más información, vea la descripción del servicio & centro de cumplimiento.

Sugerencias para buscar en el registro de auditoría

Estas son sugerencias para buscar Teams actividades en el registro de auditoría.

Captura de pantalla de la página de búsqueda del registro de auditoría en el centro de cumplimiento

  • Puede seleccionar actividades específicas para las que buscar haciendo clic en la casilla situada junto a una o más actividades. Si se selecciona una actividad, puede hacer clic en ella para cancelar la selección. También puede usar el cuadro de búsqueda para mostrar las actividades que contienen la palabra clave que escribe.

    Captura de pantalla de la lista desplegable de actividades en la página de búsqueda del registro de auditoría

  • Para mostrar los eventos de las actividades que se ejecutan con cmdlets, seleccione Mostrar resultados para todas las actividades de la lista Actividades. Si conoce el nombre de la operación para estas actividades, pónselo en el cuadro de búsqueda para mostrar la actividad y, después, selecciónelo.

  • Para borrar los criterios de búsqueda actuales, haga clic en Borrar todo. El intervalo de fechas vuelve al valor predeterminado de los últimos siete días.

  • Si se encuentran 5.000 resultados, es probable que suponga que hay más de 5 000 eventos que cumplen los criterios de búsqueda. Puede refinar los criterios de búsqueda y volver a ejecutar la búsqueda para devolver menos resultados, o puede exportar todos los resultados de búsqueda seleccionando Exportar > Descargar todos los resultados. Para obtener instrucciones paso a paso para exportar registros de auditoría, vea Exportar los resultados de búsqueda a un archivo.

Consulte este vídeo para usar la búsqueda de registros de audio. Únase a Ansuman Acharya, un administrador de programas para Teams, ya que muestra cómo realizar una búsqueda de registro de auditoría para Teams.

Teams actividades

Esta es una lista de todos los eventos que se registran para las actividades de usuario y administrador en Teams en el registro Microsoft 365 auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nombre descriptivo Operación Descripción
Bot agregado al equipo BotAddedToTeam Un usuario agrega un bot a un equipo.
Agregación de canales Canal agregado Un usuario agrega un canal a un equipo.
Conector agregado Conector agregado Un usuario agrega un conector a un canal.
Se han agregado detalles sobre Teams reunión 2 MeetingDetail Teams información agregada sobre una reunión, incluida la hora de inicio, la hora de finalización y la dirección URL para unirse a la reunión.
Información agregada sobre los participantes de la reunión 2 MeetingParticipantDetail Teams información sobre los participantes de una reunión, incluido el id. de usuario de cada participante, la hora en que un participante se unió a la reunión y la hora en que un participante abandonó la reunión.
Miembros agregados Miembro agregado El propietario de un equipo agrega miembros a un equipo, canal o chat grupal.
Pestaña Agregado Pestaña Agregada Un usuario agrega una pestaña a un canal.
Configuración del canal cambiada ChannelSettingChanged La operación ChannelSettingChanged se registra cuando un miembro del equipo realiza las siguientes actividades. Para cada una de estas actividades, se muestra una descripción de la configuración que se ha cambiado (se muestra entre paréntesis en la columna Elemento en los resultados de búsqueda del registro de auditoría.
  • Cambia el nombre de un canal de grupo (nombre del canal)
  • Cambiar la descripción de un canal de grupo (Descripción del canal)
Configuración de la organización cambiada TeamsTenantSettingChanged La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams organización. Para obtener más información, vea Administrar Teams configuración de su organización.
Para cada una de estas actividades, se muestra una descripción de la configuración que se modificó (se muestra entre paréntesis) en la columna Elemento en los resultados de la búsqueda del registro de auditoría.
  • Habilita o deshabilita Teams para la organización (Microsoft Teams).
  • Habilita o deshabilita la interoperabilidad entre Microsoft Teams y Skype Empresarial para la organización (Skype Empresarial interoperabilidad).
  • Habilita o deshabilita la vista organigrama en Microsoft Teams (vista Organigrama).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo programe reuniones privadas (programación de reuniones privadas).
  • Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones del canal (programación de reuniones del canal).
  • Habilita o deshabilita las videollamadas en Teams reuniones (Vídeo para Skype reuniones).
  • Habilita o deshabilita el uso compartido de pantalla en Microsoft Teams reuniones de la organización (uso compartido de pantalla para Skype reuniones).
  • Habilita o deshabilita esa capacidad para agregar imágenes animadas (denominadas Giphys) a Teams conversaciones (imágenes animadas).
  • Cambia la configuración de clasificación de contenido de la organización (Clasificación de contenido). La clasificación de contenido restringe el tipo de imagen animada que se puede mostrar en las conversaciones.
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes personalizables (denominadas memes personalizados) desde Internet a las conversaciones del equipo (imágenes personalizables desde Internet).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes editables (denominadas adhesivos) a las conversaciones del equipo (imágenes editables).
  • Habilita o deshabilita esa capacidad para que los miembros del equipo usen bots en Microsoft Teams chats y canales (bots para toda la organización).
  • Habilita bots específicos para Microsoft Teams. Esto no incluye el T-Bot, que es Teams bot de ayuda que está disponible cuando los bots están habilitados para la organización (bots individuales).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen extensiones o pestañas (extensiones o pestañas).
  • Habilita o deshabilita la carga lateral de bots propietarios para Microsoft Teams (carga lateral de bots).
  • Habilita o deshabilita la capacidad de los usuarios para enviar mensajes de correo electrónico a un canal Microsoft Teams (correo electrónico del canal).
Rol cambiado de los miembros del equipo MemberRoleChanged El propietario de un equipo cambia el rol de los miembros de un equipo. Los siguientes valores indican el tipo de rol asignado al usuario.

1: indica el rol de miembro.
2: indica el rol propietario.
3: indica el rol de invitado.

La propiedad Miembros también incluye el nombre de su organización y la dirección de correo electrónico del miembro.
Configuración de equipo cambiada TeamSettingChanged La operación TeamSettingChanged se registra cuando un propietario del equipo realiza las siguientes actividades. Para cada una de estas actividades, se muestra una descripción de la configuración que se modificó (se muestra entre paréntesis) en la columna Elemento en los resultados de la búsqueda del registro de auditoría.
  • Cambia el tipo de acceso de un equipo. Teams puede establecerse como privada o pública (tipo de acceso de equipo). Cuando un equipo es privado (la configuración predeterminada), los usuarios solo pueden acceder al equipo por invitación. Cuando un equipo es público, es reconocible por cualquier persona.
  • Cambia la clasificación de información de un equipo (clasificación de equipo). Por ejemplo, los datos de grupo se pueden clasificar como impacto empresarial alto, impacto empresarial medio o bajo impacto empresarial.
  • Cambia el nombre de un equipo (nombre del equipo).
  • Cambia la descripción del equipo (descripción del equipo).
  • Cambios realizados en la configuración del equipo. Para acceder a esta configuración, el propietario del equipo puede hacer clic con el botón derecho en un equipo, seleccionar Administrar equipo y, a continuación, hacer clic en Configuración pestaña. Para estas actividades, el nombre de la configuración que se modificó se muestra en la columna Elemento en los resultados de búsqueda del registro de auditoría.
Crear un chat 1, 2 ChatCreado Se Teams un chat de Teams usuario.
Equipo creado TeamCreated Un usuario crea un equipo.
Eliminado un mensaje MessageDeleted Se eliminó un mensaje en un chat o canal.
Se eliminaron todas las aplicaciones de la organización DeletedAllOrganizationApps Eliminó todas las aplicaciones de la organización del catálogo.
Aplicación eliminada AppDeletedFromCatalog Se ha eliminado una aplicación del catálogo.
Canal eliminado ChannelDeleted Un usuario elimina un canal de un equipo.
Equipo eliminado TeamDeleted El propietario de un equipo elimina un equipo.
Editó un mensaje con un vínculo url en Teams MessageEditedHasLink Un usuario edita un mensaje y agrega un vínculo url a él en Teams.
Mensajes exportados 1, 2 MensajesExportados Se exportaron mensajes de chat o canal.
Chat de captura 1, 2 ChatRetrieved Se Microsoft Teams un chat de Microsoft Teams.
Se ha obtenido todo el contenido hospedado de un mensaje1, 2 MessageHostedContentsListed Se ha recuperado todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código.
Aplicación instalada AppInstalled Se instaló una aplicación.
Acción realizada en la tarjeta PerformedCardAction Un usuario realizó acciones en una tarjeta adaptable dentro de un chat. Los bots suelen usar las tarjetas adaptables para permitir la visualización enriquecida de información e interacción en chats.

Nota: Solo las acciones de entrada en línea en una tarjeta adaptable dentro de un chat estarán disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario como "Ver resultado", que abrirá un cuadro de diálogo, o las acciones de usuario dentro de los cuadros de diálogo no estarán disponibles en el registro de auditoría.
Publicado un nuevo mensaje 1, 2 MessageSent Se publicó un mensaje nuevo en un chat o canal.
Aplicación publicada AppPublishedToCatalog Se ha agregado una aplicación al catálogo.
Leer un mensaje 1, 2 MessageRead Se ha recuperado un mensaje de un chat o canal.
Leer contenido hospedado de un mensaje 1, 2 MessageHostedContentRead Se ha recuperado el contenido hospedado en un mensaje, como una imagen o un fragmento de código.
Bot quitado del equipo BotRemovedFromTeam Un usuario quita un bot de un equipo.
Conector quitado ConnectorRemoved Un usuario quita un conector de un canal.
Miembros eliminados MemberRemoved El propietario de un equipo quita los miembros de un equipo, canal o chat grupal.
Pestaña Quitado TabRemoved Un usuario quita una pestaña de un canal.
Mensajes recuperados 1, 2 MensajesListed Se recuperaron los mensajes de un chat o canal.
Se ha enviado un mensaje con un vínculo url en Teams MessageCreatedHasLink Un usuario envía un mensaje que contiene un vínculo url en Teams.
Notificación de cambio enviada para la creación de mensajes 1, 2 MessageCreatedNotification Se envió una notificación de cambio para notificar un mensaje nuevo a una aplicación de escucha suscrita.
Notificación de cambio enviada para la eliminación de mensajes 1, 2 MessageDeletedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado.
Notificación de cambio enviada para la actualización de mensajes 1, 2 MessageUpdatedNotification Se envió una notificación de cambio para notificar un mensaje actualizado a una aplicación de escucha suscrita.
Suscribirse a las notificaciones de cambio de mensaje 1, 2 SubscribedToMessages Una aplicación de escucha creó una suscripción para recibir notificaciones de cambio de mensajes.
Aplicación desinstalada AppUninstalled Se ha desinstalado una aplicación.
Aplicación actualizada AppUpdatedInCatalog Se actualizó una aplicación en el catálogo.
Actualizado un chat 1, 2 ChatUpdated Se ha Teams un chat de Teams.
Actualizado un mensaje 1, 2 MessageUpdated Se actualizó un mensaje de un chat o canal.
Conector actualizado ConnectorUpdated Un usuario modificó un conector en un canal.
Pestaña Actualizada TabUpdated Un usuario modificó una pestaña en un canal.
Aplicación actualizada AppUpgraded Una aplicación se actualizó a su versión más reciente del catálogo.
El usuario ha iniciado sesión en Teams TeamsSessionStarted Un usuario inicia sesión en un Microsoft Teams usuario. Este evento no captura las actividades de actualización de tokens.

Nota

1 Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a una API Graph Microsoft. Si la operación se realiza en el Teams, no se registrará un registro de auditoría

2 Este evento solo está disponible en Auditoría avanzada. Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría avanzada, vea Auditoría avanzada en Microsoft 365. Para obtener los requisitos de licencias de auditoría avanzada, vea Soluciones de auditoría en Microsoft 365.

Turnos en Teams actividades

(en la versión preliminar)

Si su organización usa la aplicación Turnos en Teams, puede buscar en el registro de auditoría actividades relacionadas con la aplicación Turnos. Esta es una lista de todos los eventos que se registran para las actividades de Turnos en Teams en el Microsoft 365 registro de auditoría.

Nombre descriptivo Operación Descripción
Grupo de programación agregado ScheduleGroupAdded Un usuario agrega correctamente un nuevo grupo de programación a la programación.
Grupo de programación editado ScheduleGroupEdited Un usuario edita correctamente un grupo de programación.
Grupo de programación eliminado ScheduleGroupDeleted Un usuario elimina correctamente un grupo de programación de la programación.
Retirar la programación ScheduleWithdrawn Un usuario retira correctamente una programación publicada.
Turno agregado Mayús Agregado Un usuario agrega correctamente un turno.
Turno editado MayúsEdited Un usuario edita correctamente un turno.
Turno eliminado MayúsDeleted Un usuario elimina correctamente un turno.
Tiempo añadido de descanso TimeOffAdded Un usuario agrega correctamente el tiempo libre en la programación.
Tiempo libre editado TimeOffEdited Un usuario edita correctamente los permisos.
Tiempo de espera eliminado TimeOffDeleted Un usuario elimina correctamente el tiempo libre.
Se ha agregado el turno de apertura OpenShift Agregado Un usuario agrega correctamente un turno abierto a un grupo de programación.
Turno abierto editado OpenShiftEdited Un usuario edita correctamente un turno abierto en un grupo de programación.
Turno abierto eliminado OpenShiftDeleted Un usuario elimina correctamente un turno abierto de un grupo de programación.
Programación compartida ScheduleShared Un usuario compartió correctamente una programación de grupo para un intervalo de fechas.
Reloj en el que se usa reloj de hora ClockedIn Un usuario puede usar el reloj de hora correctamente.
Reloj de salida con reloj de tiempo ClockedOut Un usuario se desahora correctamente con el reloj de hora.
Interrupción iniciada con reloj de hora BreakStarted Un usuario inicia correctamente un salto durante una sesión activa del reloj de hora.
Interrupción finalizada con reloj de hora BreakEnded Un usuario termina correctamente un salto durante una sesión activa del reloj de hora.
Entrada de reloj de hora agregada TimeClockEntryAdded Un usuario agrega correctamente una nueva entrada manual del reloj de tiempo en la hoja de horas.
Entrada de reloj de hora editada TimeClockEntryEdited Un usuario edita correctamente una entrada de reloj de hora en hoja de horas.
Entrada de reloj de hora eliminada TimeClockEntryDeleted Un usuario elimina correctamente una entrada de reloj de hora en hoja de horas.
Solicitud de turno agregada Solicitud agregada Un usuario agregó una solicitud de turno.
Respuesta a la solicitud de turno RequestRespondedTo Un usuario respondió a una solicitud de turno.
Solicitud de turno cancelada RequestCancelled Un usuario ha cancelado una solicitud de turno.
Configuración de programación cambiada ScheduleSettingChanged Un usuario cambia una configuración en la configuración de Turnos.
Integración de fuerza laboral agregada WorkforceIntegrationAdded La aplicación Turnos está integrada con un sistema de terceros.
Mensaje de turno desactivado aceptado OffShiftDialogAccepted Un usuario reconoce el mensaje de turno libre para acceder a Teams horas de turno.

Office 365 API de actividad de administración

Puede usar la API Office 365 actividad de administración para recuperar información sobre Teams eventos. Para obtener más información sobre el esquema api de actividad de administración para Teams, vea Teams esquema.

Atribución en Teams registros de auditoría

Los cambios de pertenencia a Teams (como usuarios agregados o eliminados) realizados a través de Azure Active Directory (Azure AD), un portal de administración de Microsoft 365 o la API Microsoft 365 Grupos Graph aparecerán en Teams auditar mensajes y en el canal General con una atribución a un propietario existente del equipo, y no al iniciador real de la acción. En estos escenarios, consulte Azure AD o Microsoft 365 de auditoría del grupo para ver la información relevante.

Usar Cloud App Security para establecer directivas de actividad

Con Microsoft Cloud App Security integración, puede establecer directivas de actividad para exigir una amplia gama de procesos automatizados con las API del proveedor de aplicaciones. Estas directivas le permiten supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad.

Después de establecer una directiva de detección de actividad, comienza a generar alertas. Las alertas solo se generan en las actividades que se producen después de crear la directiva. Estos son algunos escenarios de ejemplo para cómo puede usar directivas de actividad en Cloud App Security para supervisar Teams actividades.

Escenario de usuario externo

Un escenario en el que puede que desee estar atento, desde una perspectiva empresarial, es la adición de usuarios externos a su entorno Teams empresa. Si los usuarios externos están habilitados, supervisar su presencia es una buena idea. Puede usar Cloud App Security identificar amenazas potenciales.

Directiva para supervisar la adición de usuarios externos.

La captura de pantalla de esta directiva para supervisar la adición de usuarios externos le permite nombrar la directiva, establecer la gravedad según las necesidades de su empresa, establecerla como (en este caso) una sola actividad y, a continuación, establecer los parámetros que supervisarán específicamente solo la adición de usuarios no internos y limitar esta actividad a Teams.

Los resultados de esta directiva se pueden ver en el registro de actividades:

Eventos desencadenados por la directiva de usuarios externos.

Aquí puede revisar coincidencias con la directiva que ha establecido y realizar los ajustes necesarios, o exportar los resultados para usarlos en otro lugar.

Escenario de eliminación masiva

Como se mencionó anteriormente, puede supervisar escenarios de eliminación. Es posible crear una directiva que supervise la eliminación masiva de Teams sitios. En este ejemplo, se configura una directiva basada en alertas para detectar la eliminación masiva de equipos en un intervalo de 30 minutos.

Directiva que muestra la configuración de una directiva para la detección masiva de eliminación de equipos.

Como se muestra en la captura de pantalla, puede establecer muchos parámetros diferentes para esta directiva para supervisar las eliminaciones de Teams, incluida la gravedad, la acción única o repetida, y los parámetros que limitan esto Teams la eliminación del sitio. Esto se puede hacer independientemente de una plantilla, o es posible que tenga una plantilla creada para basar esta directiva en, dependiendo de las necesidades de la organización.

Después de establecer una directiva que funcione para su empresa, puede revisar los resultados del registro de actividades a medida que se desencadenan los eventos:

Eventos de captura de pantalla desencadenados por eliminaciones masivas.

Puede filtrar hacia abajo hasta la directiva que haya establecido para ver los resultados de esa directiva. Si los resultados que está obteniendo en el registro de actividades no son satisfactorios (tal vez está viendo una gran cantidad de resultados, o nada en absoluto), esto puede ayudarle a ajustar la consulta para que sea más relevante para lo que necesita que haga.

Escenario de alerta y gobierno

Puede establecer alertas y enviar correos electrónicos a administradores y otros usuarios cuando se desencadene una directiva de actividad. Puede establecer acciones de gobierno automatizadas como suspender un usuario o hacer que un usuario vuelva a iniciar sesión de forma automatizada. En este ejemplo se muestra cómo se puede suspender una cuenta de usuario cuando se desencadena una directiva de actividad y se determina que un usuario eliminó dos o más equipos en 30 minutos.

Captura de pantalla de alertas y acciones de gobierno para una directiva de actividad.

Usar Cloud App Security para establecer directivas de detección de anomalías

Las directivas de detección de anomalías en Cloud App Security proporcionan análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) de forma que pueda ejecutar inmediatamente la detección avanzada de amenazas en todo el entorno de la nube. Como están habilitadas automáticamente, las nuevas directivas de detección de anomalías proporcionan resultados inmediatos al proporcionar detecciones inmediatas, dirigidas a numerosas anomalías conductuales entre los usuarios y los equipos y dispositivos conectados a su red. Además, las nuevas directivas exponen más datos del motor de detección de Cloud App Security, para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.

Estamos trabajando para integrar Teams eventos en directivas de detección de anomalías. Por ahora, puede configurar directivas de detección de anomalías para otros productos Office y realizar acciones en los usuarios que coincidan con dichas directivas.