Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Auditoría de Microsoft Purview (Standard) y Auditoría (Premium) permiten buscar registros de auditoría de las actividades que los usuarios y administradores realizan en diferentes servicios de Microsoft. Dado que Audit (Standard) está habilitado de forma predeterminada para la mayoría de las organizaciones de Microsoft 365, solo tiene que completar algunos pasos antes de que usted y otros usuarios de su organización puedan buscar en el registro de auditoría. Para usar características disponibles solo en Auditoría (Premium), debe completar algunos pasos de configuración más.
Para obtener más información sobre las funcionalidades auditoría (Standard) y auditoría (Premium), consulte Soluciones de auditoría de Microsoft Purview.
Paso 1: Comprobar la suscripción y facturación de la organización
Las licencias para auditoría (Standard) y auditoría (Premium) requieren la suscripción de organización adecuada que proporciona acceso a la herramienta de búsqueda de registros de auditoría y licencias por usuario necesarias para registrar y conservar registros de auditoría.
Cuando un usuario o administrador realiza una actividad auditada, el sistema genera un registro de auditoría y lo almacena en el registro de auditoría de su organización. En Auditoría (Standard) y Auditoría (Premium), puede conservar y buscar registros de auditoría en el registro de auditoría durante 180 días.
Importante
El período de retención predeterminado de Auditoría (Standard) ha cambiado de 90 días a 180 días. Los registros de auditoría (Standard) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (Standard) que se generan el 17 de octubre de 2023 o después de este, siguen la nueva retención predeterminada de 180 días.
Para obtener una lista de los requisitos de suscripción y licencias para estas soluciones de auditoría, consulte los requisitos de suscripción de Auditoría (Standard) y Auditoría (Premium).
Para auditar las interacciones de los usuarios con datos de inteligencia artificial que no son de Microsoft 365, que incluye información de otras aplicaciones de IA generativas de Microsoft y aplicaciones de inteligencia artificial externa conectadas, debe habilitar la facturación de pago por uso para su organización. Este tipo de datos incluye Copilot en Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio y cualquier aplicación de inteligencia artificial conectada o en la nube.
Paso 2: asignar permisos para buscar en el registro de auditoría
A los administradores y miembros de los equipos de investigación se les debe asignar el rol Ver solo registros de auditoría o Registros de auditoría en el portal de Microsoft Purview para buscar o exportar el registro de auditoría. De forma predeterminada, la página Grupos de roles del portal de Microsoft Purview asigna estos roles a los grupos de roles Lector de auditoría y Administrador de auditoría .
Nota:
Actualmente, se requieren permisos del Centro de administración de Exchange para habilitar o deshabilitar la auditoría y para acceder a los cmdlets de auditoría. Use los roles Registros de auditoría y Registros de auditoría de solo vista existentes en el Centro de administración de Exchange para conceder acceso a los cmdlets de auditoría. Use el rol Registros de auditoría existente en el Centro de administración de Exchange para conceder acceso para habilitar o deshabilitar la auditoría.
También puede crear grupos de roles personalizados con la capacidad de buscar en el registro de auditoría agregando los roles Registros de auditoría de solo vista o Registros de auditoría a un grupo de roles personalizado. Para obtener más información, consulte Permisos en el portal de Microsoft Purview.
Nota:
El acceso a la Graph API de búsqueda de auditoría requiere que se configuren permisos adicionales en Microsoft Graph. Para obtener más información, vea Permisos en la Graph API de búsqueda de auditoría.
Asignación de permisos a registros de auditoría de ámbito
Para buscar o exportar el registro de auditoría, los administradores o miembros de los equipos de investigación deben estar asignados a al menos uno de los siguientes grupos de roles relacionados con la auditoría en el portal de Microsoft Purview:
- Administrador de auditoría: un usuario asignado al grupo de roles administrador de auditoría puede buscar y exportar el registro de auditoría y administrar la configuración de auditoría para el inquilino (por ejemplo, habilitar o deshabilitar el registro de auditoría). Este grupo de roles concede al usuario los roles Registros de auditoría de solo vista y Registros de auditoría .
- Lector de auditoría: un usuario asignado al grupo de roles Lector de auditoría solo puede buscar y exportar el registro de auditoría. No pueden habilitar ni deshabilitar el registro de auditoría. Este grupo de roles concede al usuario el rol Registros de auditoría de solo vista.
Paso 3: Habilitar eventos SearchQueryInitiated
Debe habilitar explícitamente dos eventos (SearchQueryInitiatedExchange y SearchQueryInitiatedSharePoint) para el registro cuando los usuarios realizan búsquedas en Exchange Online y SharePoint.
Para permitir que estos dos eventos se auditan para los usuarios, ejecute el siguiente cmdlet (para cada usuario) en Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
En un entorno multigeográfico, debe ejecutar el comando Set-Mailbox en el bosque de dominio en el que se encuentra el buzón del usuario. Para identificar la ubicación del buzón del usuario, ejecute el siguiente cmdlet:
Get-Mailbox <user identity> | FL MailboxLocations
Si anteriormente ejecutó el cmdlet para habilitar la auditoría de consultas de búsqueda en un bosque distinto del bosque donde se encuentra el buzón del usuario, quite el valor SearchQueryInitiated del buzón del usuario. Para quitar el valor, ejecute Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. A continuación, agréguelo al buzón del usuario en el bosque donde se encuentra el buzón del usuario.
Nota:
Estos cmdlets de PowerShell solo son válidos para eventos SearchQueryInitiated y no se aplican a otros eventos del registro de auditoría.
Paso 4: Configurar auditoría (Premium) para los usuarios
Sugerencia
Las organizaciones que usan Auditoría (Standard) pueden omitir este paso.
Las características de auditoría (Premium), como la capacidad de registrar información inteligente, requieren una licencia E5 adecuada asignada a los usuarios. Además, debe habilitar el plan de servicio o aplicación auditoría avanzada para esos usuarios.
Para habilitar el plan del servicio auditoría avanzada para los usuarios, complete los pasos siguientes para cada usuario:
- En el Centro de administración de Microsoft 365, vaya a Usuarios>usuarios activos y seleccione un usuario.
- En la página flotante propiedades de usuario, seleccione Licencias y aplicaciones.
- En la sección Licencias , compruebe que al usuario se le asigna una licencia E5 o que se le asigna una licencia de complemento adecuada. Para obtener una lista de licencias que admiten Audit (Premium), consulte Requisitos de licencias de auditoría.
- Expanda la sección Aplicaciones y seleccione la casilla Auditoría avanzada de Microsoft 365 .
- Seleccione Guardar cambios. El registro de conclusiones de auditoría (Premium) comienza en un plazo de 24 horas.
Si personaliza las acciones de buzón que han iniciado sesión en buzones de usuario o buzones compartidos, los nuevos eventos de auditoría (Premium) publicados por Microsoft no se auditan automáticamente en esos buzones. Para información sobre cómo cambiar las acciones de buzón de correo que se auditan para cada tipo de inicio de sesión, consulte la sección "Cambiar o restaurar acciones de buzón registradas de forma predeterminada" en Administrar la auditoría de buzón.
Paso 5: Configurar directivas de retención de auditoría en Auditoría (Premium)
Sugerencia
Las organizaciones que usan Auditoría (Standard) pueden omitir este paso.
Además de la directiva predeterminada que conserva Microsoft Entra identificador, Exchange, OneDrive y registros de auditoría de SharePoint durante un año, las organizaciones que usan Auditoría (Premium) pueden crear directivas de retención de registros de auditoría para cumplir los requisitos de las operaciones de seguridad, TI y equipos de cumplimiento de su organización.
Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Paso 6: Búsqueda de eventos auditados
Ahora que tiene Audit (Standard) o Audit (Premium) configurados para su organización, está listo para buscar el registro de auditoría en el portal de Microsoft Purview. Para obtener instrucciones detalladas, consulte Búsqueda en el registro de auditoría.