Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En las tablas de este artículo se describen las actividades registradas en el registro de auditoría de Microsoft 365. Para buscar estas actividades, busque el registro de auditoría en el portal de Microsoft Purview.
El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Si la auditoría no está activada para su organización, aparece un banner que le pide que empiece a grabar la actividad de usuario y administrador. Para obtener instrucciones, consulte Activación de la auditoría.
En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico. Las tablas incluyen el nombre descriptivo que se muestra en la lista desplegable Actividades (o que están disponibles en PowerShell) y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda. Para obtener descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoría.
Sugerencia
Seleccione uno de los vínculos de la lista En este artículo en la parte superior de este artículo para ir directamente a una tabla de productos específica.
Actividades de administración de aplicaciones
En la tabla siguiente se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación registrada en Microsoft Entra ID. Debe registrar cualquier aplicación que se base en Microsoft Entra ID para la autenticación en el directorio.
Nota:
Los nombres de operación enumerados en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Credenciales agregadas a una entidad de servicio | Agregar credenciales de entidad de servicio. | Las credenciales se agregaron a una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación en el directorio. |
| Entrada de delegación agregada | Agregar entrada de delegación. | Se ha creado o concedido un permiso de autenticación a una aplicación en Microsoft Entra ID. |
| Servicio principal agregado | Agregar entidad de servicio. | Se registró una aplicación en Microsoft Entra ID. Una entidad de servicio representa una aplicación en el directorio. |
| Entidad de servicio removida del directorio | Quitar entidad de servicio. | Se ha eliminado o anulado el registro de una aplicación de Microsoft Entra ID. Una entidad de servicio representa una aplicación en el directorio. |
| Credenciales removidas de un servicio principal | Quitar credenciales de entidad de servicio. | Las credenciales se quitaron de una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación en el directorio. |
| Entrada de delegación removida | Quitar entrada de delegación. | Se quitó un permiso de autenticación de una aplicación en Microsoft Entra ID. |
| Establecer entrada de delegación | Establecer entrada de delegación. | Se actualizó un permiso de autenticación para una aplicación en Microsoft Entra ID. |
Actividades de correo de informe de tareas pendientes
En la tabla siguiente se enumeran las actividades del correo electrónico de información que los registros de auditoría de Microsoft 365. Para obtener más información acerca del correo de informe de tareas pendientes, consulte:
- Información general sobre el correo de informe de tareas pendientes
- Configurar el correo de informe de tareas pendientes
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración actualizada de privacidad de la organización | UpdatedOrganizationBriefingSettings | El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes. |
| Configuración actualizada de privacidad del usuario | UpdatedUserBriefingSettings | Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes. |
Actividades del cumplimiento de comunicaciones
En la tabla siguiente se enumeran las actividades de cumplimiento de comunicaciones que registra el registro de auditoría de Microsoft 365. Para obtener más información, consulte Más información sobre Cumplimiento de comunicaciones de Microsoft Purview.
Nota:
Puede ver estas actividades cuando use el cmdlet de PowerShell Search-UnifiedAuditLog . No puede ver estas actividades en la lista desplegable Actividades .
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Coincidencia de directiva | SupervisionRuleMatch | Un usuario envió un mensaje que coincide con la condición de una directiva. |
| Actualización de directiva | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Un administrador de cumplimiento de comunicaciones realizó una actualización de directiva. |
| Etiqueta aplicada a los mensajes | SupervisoryReviewTag | Las etiquetas se aplican a los mensajes o se resuelven los mensajes. |
Actividades del Administrador de cumplimiento
En la tabla siguiente se enumeran las operaciones y actividades que registra el registro de auditoría cuando un administrador administra la configuración en el Administrador de cumplimiento. Para obtener más información, consulte Información sobre el Administrador de cumplimiento.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Cambio de roles | ComplianceManagerRolesChange | Un administrador cambió los roles de los usuarios. |
| Cambio de nivel de automatización de inquilinos | ComplianceManagerAutomationLevelChange | Un administrador ha cambiado el nivel de automatización de la organización en todas las acciones. |
| Prueba del cambio de automatización del origen | ComplianceManagerAutomationChange | Un administrador cambió la configuración de automatización del origen de prueba. |
Actividades del explorador de contenido
En la tabla siguiente se enumeran las actividades del Explorador de contenido registradas en el registro de auditoría de Microsoft 365. Puede acceder al explorador de contenido en la herramienta Clasificaciones de datos en el portal de Microsoft Purview. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Archivo al que se ha accedido | LabelContentExplorerAccessedItem | Un administrador (o un usuario que sea miembro del grupo de roles de Visor de contenido del explorador de contenido) usa el explorador de contenido para ver un mensaje de correo electrónico o un documento de OneDrive o SharePoint. |
Actividades de investigaciones de seguridad de datos (versión preliminar)
Investigaciones de seguridad de datos (versión preliminar) proporciona herramientas de investigación eficaces que pueden requerir la capacidad de auditar las actividades para garantizar un uso seguro y aprobado de la solución. Para cumplir estos requisitos, los registros de auditoría unificados Investigaciones de seguridad de datos actividades (versión preliminar).
En la tabla siguiente se enumeran las actividades de Investigaciones de seguridad de datos (versión preliminar) que los registros de auditoría de Microsoft 365. Para obtener más información, vea Más información sobre Investigaciones de seguridad de datos de Microsoft Purview (versión preliminar).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Vista de ejemplo de DSI cancelada | DSISampleViewCancelled | Un usuario canceló una vista de ejemplo. |
| Vista de estadísticas de DSI canceladas | DSIStatisticsViewCancelled | Un usuario canceló un trabajo de estadísticas. |
| Investigación de DSI creada | CreatedDSIInvestigation | Un usuario ha creado una investigación. |
| Investigación de DSI eliminada | DeletedDSIInvestigation | Un usuario eliminó una investigación. |
| Comentarios de IA de DSI proporcionados | DSIAIFeedbackProvided | Un usuario proporcionó comentarios sobre IA. |
| Lista de investigación de DSI vista | DSIInvestigationListViewed | Un usuario ha visto la lista de investigaciones. |
| Búsqueda de DSI agregada | DSIPurviewSearchAdded | Un usuario agregó una búsqueda. |
| Búsqueda de DSI actualizada | DSIPurviewSearchUpdated | Un usuario ha actualizado una búsqueda. |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | Un usuario ha visto los resultados del examen. |
| Obtención de una investigación de DSI | GetDSIInvestigation | Un usuario ha visto una investigación. |
| Obtención de la búsqueda de DSI | GetSearchDSIInversión | Un usuario ha visto una búsqueda. |
| Investigación creada a partir de Defender XDR | DSIInvestigationCreatedFromXDR | Un usuario ha creado una investigación a partir de Defender XDR. |
| Investigación creada a partir de Purview IRM | DSIInvestigationCreatedFromIRM | Un usuario ha creado una investigación a partir de Administración de riesgos internos de Microsoft Purview. |
| Elemento agregado a la mitigación | DSIItemAddedToMitigation | Un usuario agregó un elemento al plan de mitigación de una investigación. |
| Lista de planes de mitigación visualizada | DSIMitigationPlanListVIewed | Un usuario ha visto la lista del plan de mitigación. |
| Trabajo de categorización iniciado | DSIInvestigationCategorizationJobSubmitted | Un usuario inició un trabajo de categorización. |
| Trabajo de sondeo iniciado | DSIProbeJobSubmitted | Un usuario inició un trabajo de examen. |
| Trabajo de vectorización iniciado | DSIinvestigationVectorizationJobSubmitted | Un usuario ha indicado un trabajo de vectorización. |
| Adición de búsqueda de DSI enviada al trabajo de conjunto de pruebas | DSIPurviewSearchAddToEvidenceSetJobSubmitted | Un usuario agregó datos buscados a un ámbito de investigación. |
| Trabajo de ejemplo de búsqueda de DSI enviado | DSIPurviewSearchSampleJobSubmitted | Un usuario inició un trabajo de ejemplo. |
| Trabajo de estadísticas de búsqueda de DSI enviado | DSIPurviewSearchStatisticsJobSubmitted | Un usuario inició un trabajo de estadísticas. |
| Investigación de DSI actualizada | UpdatedDSIInvestigation | Un usuario ha actualizado una investigación. |
| Miembros de investigación de DSI actualizados | DSIInvestigationMembersUpdated | Un usuario actualizó los miembros de una investigación. |
| Estado actualizado del elemento del plan de mitigación | DSIMitigationItemStatusUpdated | Un usuario actualizó el estado de un elemento en el plan de mitigación de una investigación. |
| Archivo cargado para la búsqueda de DSI | DSIPurviewSearchUploadFile | Un usuario cargó un archivo para buscar. |
| Se inició la búsqueda de vectores | DSIVectorSearchStarted | Un usuario ejecutó una búsqueda de vectores. |
| Errores de procesamiento de datos vistos para un conjunto de pruebas de DSI | DSIInvestigationSettingsUpdated | Una configuración de investigación actualizada por el usuario. |
| Visualización de la configuración predeterminada de investigación de DSI | DSIInvestigationSettingsDefaultViewed | Un usuario ha visto la configuración de la investigación. |
| Documento de conjunto de pruebas de DSI visto | DSIEvidenceSetDocumentViewed | Un usuario ha visto un documento en una investigación. |
| Visualización de la configuración de investigación de DSI | DSIInvestigationSettingsViewed | Un usuario ha visto la configuración de la investigación. |
| Resultados de ejemplo de DSI vistos | DSISampleResultsViewed | Un usuario ha visto los resultados de ejemplo. |
| Estado de ejemplo de DSI visto | DSISampleStatusViewed | Un usuario ha visto el estado de un trabajo de ejemplo. |
| Visualización de los resultados de las estadísticas de DSI | DSIStatisticsResultsViewed | Un usuario ha visto las estadísticas de búsqueda. |
| Elemento visto del plan de mitigación | DSIItemViewedFromMitigation | Un usuario ha visto un elemento del plan de mitigación de una investigación. |
Actividades de administración de directorios
En la tabla siguiente se enumeran Microsoft Entra directorio y actividades relacionadas con el dominio que se registran cuando un administrador administra su organización en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota:
Los nombres de operación enumerados en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado un socio al directorio | Agregar asociado a la empresa. | Se ha agregado un socio (administrador delegado) a la organización. |
| Dominio agregado a la empresa | Agregar dominio a la empresa. | Se ha agregado un dominio a la organización. |
| Se ha removido un socio del directorio | Quitar asociado de la empresa. | Se ha quitado un socio (administrador delegado) de la organización. |
| Dominio removido de la empresa | Quitar dominio de la empresa. | Se ha quitado un dominio de la organización. |
| Establecer información de la organización | Establecer la información de la empresa. | Se ha actualizado la información de empresa de la organización. Incluye direcciones de correo electrónico para el correo electrónico relacionado con la suscripción enviado por Microsoft 365 y notificaciones técnicas sobre los servicios de Microsoft 365. |
| Establecer autenticación de dominio | Establecer autenticación de dominio. | Se ha cambiado la configuración de la autenticación de dominio de la organización. |
| Establecer normativas de contraseña | Establecer la directiva de contraseña. | Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización. |
| Activado Sincronización de Azure AD | Establecer la marca DirSyncEnabled. | Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD. |
| Dominio actualizado | Actualizar dominio. | Se ha actualizado la configuración de un dominio en la organización. |
| Se ha actualizado la configuración de federación para un dominio | Establecer la configuración de federación en un dominio. | Se ha cambiado la configuración de federación (uso compartido externo) de la organización. |
| Dominio comprobado | Comprobar dominio. | Se ha comprobado que su organización era el propietario de un dominio. |
| Se ha comprobado el dominio comprobado por correo electrónico | Verificar el dominio comprobado por correo electrónico. | Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio. |
Actividades de revisión para eliminación
En la tabla siguiente se enumeran las actividades que un revisor de eliminación tomó cuando un elemento alcanzó el final de su período de retención configurado, o un elemento se movió automáticamente a la siguiente fase de eliminación o se eliminó permanentemente como resultado de la aplicación automática.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Revisores agregados | AddReviewer | Un revisor de eliminación agregó uno o más usuarios a la fase actual de la revisión para eliminación. |
| Eliminación aprobada | ApproveDisposal | Para la aprobación manual: un revisor de disposición aprobó la eliminación del elemento para moverlo a la siguiente fase de eliminación. Si el elemento estaba en fase única o final de la revisión de eliminación, la aprobación para eliminación marcó el elemento como apto para su eliminación permanente. Para la aplicación automática: no se realizó ninguna acción manual dentro del período de tiempo de autoaplicación configurado, por lo que el elemento se movió automáticamente a la siguiente fase de eliminación. Si el elemento estaba en la única o última fase de la revisión de eliminación, el elemento se convirtió automáticamente en apto para su eliminación permanente. |
| Período de retención extendido | ExtendRetention | Un revisor de disposición extendió el período de retención del elemento. |
| Elemento etiquetado de nuevo | RelabelItem | Un revisor de eliminación reetiquetó la etiqueta de retención. |
Actividades de eDiscovery
El registro de auditoría registra las actividades de eDiscovery que realiza en el portal de Microsoft Purview. Registra eventos cuando los administradores o administradores de eDiscovery (o cualquier permiso de exhibición de documentos electrónicos asignados por el usuario) realizan las siguientes tareas en el portal de Microsoft Purview:
- Creación y administración de casos de eDiscovery.
- La creación y edición busca casos de exhibición de documentos electrónicos.
- Realizar acciones de búsqueda, como generar estadísticas, ejemplos y exportar desde la búsqueda.
- La creación, edición y eliminación contiene casos de eDiscovery.
- Crear conjuntos de revisión y realizar actividades de revisión en casos de eDiscovery.
Para obtener más información sobre cómo buscar en el registro de auditoría, los permisos necesarios y exportar los resultados de búsqueda, consulte Búsqueda en el registro de auditoría.
Búsqueda y visualización de actividades de exhibición de documentos electrónicos
El registro de auditoría registra las actividades de eDiscovery que realiza en el portal de Microsoft Purview o en PowerShell. Para buscar actividades de eDiscovery, vea Buscar actividades de exhibición de documentos electrónicos en el registro de auditoría.
Actividades de eDiscovery
En la tabla siguiente se describen las actividades de eDiscovery que se registran cuando un administrador o administrador de eDiscovery realiza una actividad relacionada con eDiscovery mediante el portal de Microsoft Purview. Algunas actividades realizadas en la experiencia de usuario clásica de eDiscovery pueden devolverse al buscar actividades en esta lista.
Nota:
Hemos implementado el campo ip del cliente para todas las actividades realizadas en la nueva experiencia de exhibición de documentos electrónicos. Para distinguir las actividades realizadas en la nueva experiencia de las de la experiencia clásica, compruebe la presencia del campo IP de cliente en la entrada de auditoría. (En la imagen siguiente, la primera entrada es el caso de eDiscovery eliminado en la nueva experiencia de usuario moderna y las otras dos entradas sin direcciones IP son ux clásicas).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado un favorito | FavoriteSet | El usuario establece un caso en favorito. |
| Búsqueda de Purview agregada | PurviewSearchAdded | Se ha creado una nueva búsqueda. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso y el nombre de búsqueda que se creó. |
| Se ha agregado un conjunto de revisión | ReviewSetAdded | El usuario creó un conjunto de revisiones. |
| Se ha agregado la búsqueda guardada de un conjunto de revisión. | ReviewSetSavedSearchAdded | Los filtros guardados creados por el usuario en un conjunto de revisión. La actividad de auditoría incluye el nombre del conjunto de revisión, el nombre de filtros guardados y la consulta usada. |
| Plantilla de etiqueta agregada | TagTemplateAdded | Plantilla de etiqueta creada por el usuario en la configuración de eDiscovery. |
| Vista de ejemplo cancelada | SampleViewCancelled | Vista de ejemplo cancelada por el usuario. La actividad de auditoría incluye el nombre, el identificador, la consulta y la configuración asociada de la búsqueda cancelada. |
| Vista de estadísticas canceladas | StatisticsViewCancelled | Vista de estadísticas canceladas por el usuario. La actividad de auditoría incluye el nombre, el identificador, la consulta y la configuración asociada de la búsqueda cancelada. |
| Se ha cambiado el caso de eDiscovery | CaseUpdated | Se ha actualizado un caso de eDiscovery. |
| Se ha cambiado la suspensión en el caso de eDiscovery | HoldUpdated | La suspensión se modificó o editó. Esta actividad de auditoría incluye el nombre de suspensión, el identificador y los orígenes de datos y los valores de consulta específicos que se modificaron. |
| Caso de exhibición de documentos electrónicos cerrado | CaseClosed | Se cerró un caso de eDiscovery. |
| Conjunto de revisión copiado | ReviewSetCopied | El usuario desencadena el proceso "Agregar a otro conjunto de revisión". |
| Caso de eDiscovery creado | CaseAdded | Se ha agregado un nuevo caso de eDiscovery. |
| Suspensión creada en el caso de eDiscovery | HoldCreated | Se ha creado una nueva suspensión. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso y el nombre de suspensión que se creó. |
| Caso de eDiscovery eliminado | CaseRemoved | Se eliminó un caso de exhibición de documentos electrónicos. Debe quitar cualquier retención asociada al caso para poder eliminar el caso. |
| Archivo eliminado para la búsqueda de Purview | PurviewSearchDeleteFile | El usuario eliminó un archivo de una búsqueda. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso, el nombre de búsqueda, el identificador de búsqueda y el identificador del archivo que el usuario eliminó. |
| Suspensión eliminada en el caso de eDiscovery | HoldRemoved | Se eliminó una suspensión asociada a un caso de exhibición de documentos electrónicos. Al eliminar una suspensión, se liberan todas las ubicaciones de contenido de la suspensión. |
| Búsqueda de Purview eliminada | PurviewSearchDeleted | Se eliminó una búsqueda. Esta actividad incluye el nombre de caso eliminado, el identificador de caso y el nombre de búsqueda. |
| Trabajo de exportación de búsqueda de Purview eliminado | PurviewSearchExportJobDeleted | Se eliminó una exportación de la búsqueda. Esta actividad incluye el nombre de exportación eliminado, la información del caso en el que se incluye la exportación, el usuario y la marca de tiempo de eliminación. |
| Favorito quitado | FavoriteRemoved | El usuario quitó un caso de favoritos. |
| Se ha quitado la búsqueda guardada de un conjunto de revisión. | ReviewSetSavedSearchRemoved | Los filtros guardados eliminados por el usuario en un conjunto de revisión. |
| Plantilla de etiqueta eliminada | TagTemplateRemoved | El usuario quitó una plantilla de etiqueta en la configuración de eDiscovery. La actividad de auditoría incluye el nombre y el identificador de objeto de la plantilla de etiqueta eliminada. |
| Caso de exhibición de documentos electrónicos reabierto | CaseReopened | Se ha vuelto a abrir un caso de exhibición de documentos electrónicos. |
| Sincronización de distribución reintenida para suspensión | HoldRetryDistributionSync | La "directiva de reintento" desencadenada por el usuario en una suspensión. |
| Acciones recuperadas para todos los conjuntos de revisión | GetActionsForAllReviewSets | El usuario ha visto una lista de acciones asociadas a todos los conjuntos de revisión en un caso |
| Se recuperó toda la acción para suspensión | GetActionsForAllHolds | El usuario ha visto una lista de acciones asociadas a todas las retenciones en un caso. La actividad de auditoría incluye el nombre del caso, el identificador, el nombre de suspensión, el identificador y el nombre de la lista de acciones. |
| Se recuperó toda la acción para la búsqueda | GetActionsForSearch | El usuario ha visto una lista de acciones (como las exportaciones) asociadas a una búsqueda. La actividad de auditoría incluye el nombre del caso, el identificador, el nombre de búsqueda, el identificador y el nombre de la lista de acciones. |
| Se recuperaron todas las acciones para todas las exportaciones. | GetActionsForAllExports | El usuario ha visto una lista de exportaciones en un caso. La actividad de auditoría incluye el nombre de caso, el identificador, la configuración de mayúsculas y minúsculas y la lista de nombres de exportación vistos. |
| Se recuperaron todas las acciones para el caso | GetActionsForCase | El usuario ha visto una lista de acciones (como las exportaciones) asociadas a un caso de exhibición de documentos electrónicos. |
| Se recuperaron todas las acciones para suspensión | GetActionsForHold | El usuario ha visto una lista de acciones asociadas a una suspensión. |
| Se recuperaron todas las acciones del conjunto de revisión | GetActionsForReviewSet | El usuario ha visto una lista de acciones (como las exportaciones) asociadas a un conjunto de revisión. La actividad de auditoría incluye el nombre del caso, el identificador, el nombre del conjunto de revisión, el identificador y el nombre de la lista de acciones. |
| Acción única recuperada para mayúsculas y minúsculas | GetSingleActionForCase | El usuario ha visto una sola acción asociada a un caso de exhibición de documentos electrónicos. Por ejemplo, el usuario ha visto el proceso de exportación en el administrador de procesos. La actividad de auditoría incluye el nombre del caso, el identificador y la configuración y el identificador asociados al proceso. |
| Acción única recuperada para suspensión | GetSingleActionForHold | El usuario ha visto una sola acción asociada a una suspensión. |
| Acción única recuperada para el conjunto de revisión | GetSingleActionForReviewSet | El usuario ha visto una sola acción asociada a un conjunto de revisión. |
| Acción única recuperada para la búsqueda | GetSingleActionForSearch | El usuario ha visto una sola acción asociada a una búsqueda. Por ejemplo, el usuario ha visto el proceso de exportación en el administrador de procesos de la búsqueda. La actividad de auditoría incluye el nombre del caso, el identificador y la configuración y el identificador asociados al proceso. |
| Envío de un nuevo trabajo de algo | AlgoJobSubmitted | El usuario ejecutó análisis en los documentos de un conjunto de revisión. |
| Envío de un nuevo trabajo de grabación | BurnJobSubmitted | El usuario convirtió todos los documentos redactados en un conjunto de revisión en archivos PDF. |
| Agregar búsqueda de purview enviada para revisar el trabajo establecido | PurviewSearchAddToReviewSetJobSubmitted | El usuario desencadenó un proceso de "agregar para revisar el conjunto" desde una búsqueda. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos específicos y los valores de consulta asociados a la búsqueda. También incluye el complemento pertinente para revisar la configuración de procesos establecida usada. |
| Trabajo de exportación de búsqueda de Purview enviado | PurviewSearchExportJobSubmitted | El usuario desencadenó un proceso de "exportación" desde una búsqueda. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos específicos y los valores de consulta asociados a la búsqueda. También incluye la configuración del proceso de exportación pertinente usada y el nombre de exportación. |
| Trabajo de ejemplo de búsqueda de Purview enviado | PurviewSearchSampleJobSubmitted | El usuario desencadenó un proceso de "generar ejemplo" a partir de una búsqueda. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos específicos y los valores de consulta asociados a la búsqueda. También incluye la configuración de proceso de ejemplo pertinente usada. |
| Trabajo de estadísticas de búsqueda de Purview enviado | PurviewSearchStatisticsJobSubmitted | El usuario desencadenó un proceso de "generar estadísticas" a partir de una búsqueda. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos específicos y los valores de consulta asociados a la búsqueda. También incluye la configuración de proceso de estadísticas pertinente usada. |
| Trabajo de exportación del conjunto de revisión enviado | ReviewSetExportJobSubmitted | Documentos exportados del conjunto de revisión. Esta actividad de auditoría incluye el nombre del conjunto de revisión, la lista de identificadores de documentos que se exportan y la configuración del proceso de exportación pertinente. |
| Documentos etiquetados por identificador para un conjunto de revisión | ReviewSetDocumentsTaggedById | Las etiquetas aplicadas por el usuario a documentos específicos de un conjunto de revisión. La actividad de auditoría incluye el nombre del caso, el nombre del conjunto de revisión y la lista de elementos que se etiquetan. |
| Documentos etiquetados por consulta para un conjunto de revisión | ReviewSetDocumentsTaggedByQuery | El usuario aplicó etiquetas a documentos específicos en un conjunto de revisión después de filtrar por consulta. La actividad de auditoría incluye el nombre del caso, el nombre del conjunto de revisión y la lista de elementos que se etiquetan. |
| Miembros de casos actualizados | CaseMembersUpdated | Se actualizó la pertenencia a casos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le asignan los permisos necesarios. |
| Configuración actualizada del caso | CaseSettingsUpdated | Los usuarios modificaron la configuración de una carcaza. La configuración de casos incluye información de casos, acceso a características premium, permisos de caso y configuración que controlan el comportamiento de búsqueda y análisis. |
| Notas actualizadas de un conjunto de revisión | ReviewSetNotesUpdated | Nota actualizada por el usuario para un documento de conjunto de revisión. |
| Búsqueda de Purview actualizada | PurviewSearchUpdated | La búsqueda se modificó o editó. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos y los valores de consulta específicos que se modificaron. |
| Conjunto de revisión actualizado | ReviewSetUpdated | El usuario actualizó el conjunto de revisión, como el nombre y la descripción del conjunto de revisión. |
| Anotación actualizada del conjunto de revisión | ReviewSetAnnotationsUpdated | El usuario anotó un documento en un conjunto de revisiones. Esta actividad de auditoría incluye el nombre del conjunto de revisión y otra información, como el identificador de documento anotado. |
| Se ha actualizado la búsqueda guardada de un conjunto de revisión. | ReviewSetSavedSearchUpdated | Filtros guardados modificados por el usuario en un conjunto de revisión. La actividad de auditoría incluye el nombre del conjunto de revisión, el nombre de filtros guardados y la consulta usada. |
| Plantilla de etiqueta actualizada | TagTemplateUpdated | El usuario ha actualizado una plantilla de etiqueta en la configuración de eDiscovery. La actividad de auditoría incluye el nombre y el identificador de objeto de la plantilla de etiqueta actualizada. |
| Etiquetas actualizadas | TagsUpdated | Etiquetas de conjunto de revisión actualizadas por el usuario en un caso. |
| Etiquetas actualizadas para una plantilla de etiquetas | TagTemplateTagsUpdated | Etiquetas actualizadas por el usuario para una plantilla de etiquetas. La actividad de auditoría incluye el nombre y el identificador de las etiquetas de plantilla de etiquetas actualizadas. |
| Configuración de inquilino actualizada | TenantSettingsUpdated | El usuario ha actualizado la configuración de la organización de eDiscovery. |
| Archivo cargado para la búsqueda de Purview | PurviewSearchUploadFile | El usuario cargó un archivo para buscar por archivo. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso, el nombre de búsqueda, el identificador de búsqueda y el nombre del archivo que cargó el usuario. |
| Informe de datos adjuntos del conjunto de revisión de análisis visto | AlgoGetReviewSetAttachmentsReport | Informe de datos adjuntos de análisis vistos por el usuario. Esta actividad de auditoría incluye el nombre y el identificador del conjunto de casos y revisiones. |
| Informe de documentos de conjuntos de revisión de análisis vistos | AlgoGetReviewSetDocumentsReport | Informe de documento de análisis visto por el usuario. |
| Informe de correo electrónico del conjunto de revisión de análisis visto | AlgoGetReviewSetEmailsReport | Informe de correo electrónico de análisis visto por el usuario. |
| Informe del conjunto de revisión de análisis visto | AlgoGetReviewSetReport | Informe de análisis visto por el usuario en un conjunto de revisión. Esta actividad de auditoría incluye el nombre y el identificador del conjunto de mayúsculas y minúsculas, así como el tipo de informe. |
| Informe del conjunto de revisión de análisis visto por tipo de archivo | AlgoGetReviewSetReportByFileType | Gráfico de informe de análisis visto por el usuario por tipo de archivo. |
| Informe de conjuntos de revisión de análisis vistos por origen | AlgoGetReviewSetReportBySource | Documento de análisis visto por el usuario por origen. Esta actividad de auditoría incluye el nombre y el identificador del conjunto de casos y revisiones. |
| Metadatos de casos vistos | CaseMetadataViewed | Se han visto metadatos sobre un caso de eDiscovery. |
| Configuración de casos vistos | CaseSettingsViewed | El usuario ha visto la configuración de un caso. La configuración de casos incluye información de casos, acceso a características premium, permisos de caso y configuración que controlan el comportamiento de búsqueda y análisis. |
| Errores de procesamiento de datos vistos para un conjunto de revisión | ReviewSetDataProcessingErrorViewed | El usuario ha visto los errores de procesamiento en un conjunto de revisión. |
| Visualización de la configuración predeterminada de casos | CaseSettingsDefaultViewed | Valor predeterminado de mayúsculas y minúsculas visto. |
| Caso de exhibición de documentos electrónicos vistos | CaseViewed | Un usuario ha visto un caso de exhibición de documentos electrónicos en el portal de Microsoft Purview. El registro de auditoría de este evento incluye el nombre, la configuración del caso y el identificador de caso del caso que se ha visto. |
| Lista de casos de exhibición de documentos electrónicos vistos | CaseListViewed | Esta actividad se registra cuando un usuario ha visto una lista de casos de exhibición de documentos electrónicos. El registro de auditoría incluye el nombre y el identificador de los casos que se han visto en la lista de casos. |
| Lista de favoritos vistos | FavoriteListViewed | El usuario ha visto una lista de casos favoritos. |
| Suspensión vista | HoldViewed | El usuario ha visto una retención dentro de un caso. Esta actividad de auditoría incluye el nombre de suspensión y el identificador que ha visto el usuario. También incluye los orígenes de datos específicos y los valores de consulta dentro de la suspensión que ha visto el usuario. |
| Lista de suspensión vista | HoldListViewed | El usuario ha visto la lista de retenciones dentro de un caso. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso y la lista de nombres de retenciones e identificadores que el usuario ha visto. |
| Resultados de retención visualizados | HoldResultsViewed | El usuario ha visto los resultados de la suspensión. La actividad de auditoría incluye el nombre de caso, el identificador de caso, el nombre de suspensión y el identificador de suspensión. |
| Estado de suspensión visualizado | HoldStatusViewed | Estado de la suspensión vista por el usuario. La actividad de auditoría incluye el nombre de caso, el identificador de caso, el nombre de suspensión y el identificador de suspensión. |
| Se visualiza si se cambia la configuración de análisis | AlgoIsSettingChanged | Esta actividad de auditoría incluye el nombre y el identificador del conjunto de casos y revisiones. |
| Recuento de carga visualizado en caso | LoadCountInCaseViewed | El usuario ha visto el recuento de conjuntos de carga en un caso. |
| Lista de carga vista | LoadListViewed | El usuario ha visto una lista de conjuntos de carga en el conjunto de revisión. |
| Búsqueda de Purview vista | PurviewSearchViewed | El usuario ha visto una búsqueda específica. Esta actividad de auditoría incluye el nombre de búsqueda, el identificador y los orígenes de datos específicos y los valores de consulta dentro de la búsqueda que ha visto el usuario. |
| Lista de búsqueda de Purview vista | PurviewSearchListViewed | El usuario ha visto la lista de búsquedas dentro de un caso. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso y la lista de nombres de búsqueda e identificador que el usuario ha visto. |
| Informe de consulta visualizado para un conjunto de revisión | ReviewSetQueryReportViewed | Informe de consulta visto por el usuario dentro de un conjunto de revisión. |
| Documento de conjunto de revisión visto | ReviewSetDocumentViewed | El usuario ha visto un documento dentro de un conjunto de revisión. Esta actividad de auditoría incluye el nombre del caso, el identificador de caso, el nombre del conjunto de revisión, el identificador del conjunto de revisión y otra información, como el identificador del documento visto. |
| Lista de conjuntos de revisión vistos | ReviewSetListViewed | El usuario ha visto la lista de conjuntos de revisión en un caso. |
| Resumen del conjunto de revisión visto | ReviewSetSummaryViewed | El usuario ha visto la información general de un conjunto de revisión. |
| Resultados de ejemplo vistos | SampleResultsViewed | Vista de resultados de ejemplo de búsqueda vista por el usuario. |
| Estado de ejemplo visto | SampleStatusViewed | Estado de la vista de ejemplo de búsqueda vista por el usuario. La actividad de auditoría incluye el nombre, el identificador, la consulta y la configuración asociada de la búsqueda. |
| Visualización de la lista de búsqueda guardada para un conjunto de revisión | ReviewSetSavedSearchListViewed | El usuario ha visto una lista de filtros guardados en un conjunto de revisión. La actividad de auditoría incluye el nombre del conjunto de revisión y el nombre de la lista de filtros guardados vistos. |
| Recuento de búsquedas visualizadas para un conjunto de revisión | ReviewSetSearchCountViewed | El usuario ejecutó una búsqueda dentro de un conjunto de revisión y ha visto el recuento devuelto. La actividad de auditoría incluye el nombre del caso, el nombre del conjunto de revisión y el recuento de elementos devueltos en los resultados de la búsqueda. |
| Opciones de búsqueda visualizadas para un conjunto de revisión | ReviewSetSearchOptionsViewed | El usuario ha visto la configuración de un conjunto de revisión. La actividad de auditoría incluye el nombre del caso y el nombre del conjunto de revisión. |
| Ver los resultados de búsqueda de un conjunto de revisión | ReviewSetSearchRun | El usuario ejecutó una búsqueda dentro de un conjunto de revisión. La actividad de auditoría incluye el nombre del caso, el nombre del conjunto de revisión y la lista de elementos devueltos en los resultados de la búsqueda. |
| Resultados de estadísticas visualizadas | StatisticsResultsViewed | El usuario ha visto los resultados de las estadísticas de búsqueda. |
| Estado de las estadísticas visualizadas | StatisticsStatusViewed | Estado de la vista de estadísticas de búsqueda vista por el usuario. La actividad de auditoría incluye el nombre, el identificador, la consulta y la configuración asociada de la búsqueda. |
| Lista de plantillas de etiquetas vistas | TagTemplateListViewed | El usuario ha visto la lista de plantillas de etiquetas en la configuración de eDiscovery. La actividad de auditoría incluye la lista de plantillas de etiquetas vistas. |
| Etiquetas visualizadas | EtiquetasViewed | Etiquetas de conjunto de revisión vistas por el usuario en un caso. |
| Etiquetas visualizadas para una plantilla de etiquetas | TagTemplateTagsViewed | Etiquetas visualizadas por el usuario para una plantilla de etiquetas. La actividad de auditoría incluye el nombre y el identificador de las etiquetas de plantilla de etiquetas visualizadas. |
| Configuración de inquilino visualizada | TenantSettingsViewed | El usuario ha visto la configuración de la organización de eDiscovery. La actividad de auditoría contiene información sobre los valores de configuración. |
Propiedades detalladas de las actividades de eDiscovery
En la tabla siguiente se describen las propiedades que se incluyen en la página de control flotante de una actividad de exhibición de documentos electrónicos enumerada en los resultados de la búsqueda. Estas propiedades también se incluyen en el archivo CSV al exportar los resultados de la búsqueda de registros de auditoría. Un registro de auditoría para una actividad de exhibición de documentos electrónicos no incluye todas las propiedades detalladas enumeradas en la tabla siguiente.
Sugerencia
Al exportar los resultados de la búsqueda, el archivo CSV contiene una columna denominada AudtiData, que contiene las propiedades detalladas descritas en la tabla siguiente en una propiedad multivalor. Puede usar la característica Power Query en Excel para dividir esta columna en varias columnas de modo que cada propiedad tenga su propia columna. Esta configuración le permite ordenar y filtrar una o varias de estas propiedades. Para obtener más información, vea Buscar en el registro de auditoría.
| Propiedad | Description |
|---|---|
| CaseId | Identidad (GUID) del caso de exhibición de documentos electrónicos creado, cambiado o eliminado. |
| CaseName | Nombre del caso de eDiscovery creado, cambiado o eliminado. |
| ClientApplication | Las actividades de cmdlet de eDiscovery tienen un valor de EMC para esta propiedad. Este valor indica que la actividad se realizó mediante la GUI del portal de Microsoft Purview o ejecutando el cmdlet en PowerShell. |
| ClientIP | La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. |
| ClientRequestId | En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
| CmdletVersion | Número de compilación de la versión del portal de Microsoft Purview que se ejecuta en su organización. |
| CreationTime | Fecha y hora de creación en hora universal coordinada (UTC) para la actividad. |
| DataSources | Lista de identificadores de origen, nombre de origen y detalles de ubicación asociados a la actividad. |
| EffectiveOrganization | Nombre de la organización de Microsoft 365. |
| ExportName | Nombre de la exportación de eDiscovery. |
| ExtendedProperties | Propiedades adicionales relacionadas con la actividad eDiscovery. Por ejemplo, cuando se actualizan los miembros del caso, este campo contiene la información actualizada de los miembros del caso; o cuando se actualiza la descripción del conjunto de revisión, este campo contiene la descripción actualizada del conjunto de revisión actualizada por el usuario. |
| Id. | Identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría. |
| Elemento | Nombre del elemento asociado a la actividad. Por ejemplo, este campo contiene el nombre del documento visto cuando un usuario ve un documento de conjunto de revisión. |
| JobId | GUID del proceso de eDiscovery. |
| ObjectId | GUID del objeto (por ejemplo, un conjunto de búsqueda, suspensión o revisión) creado, al que se accede o se ha cambiado por la actividad que aparece en la propiedad Operation . |
| ObjectName | El nombre del objeto (por ejemplo, un conjunto de búsqueda, retención o revisión) creado, al que se accede o se ha cambiado por la actividad que aparece en la propiedad Operation. |
| ObjectType | Tipo de objeto eDiscovery creado, eliminado o modificado. Por ejemplo, una acción de búsqueda (generar resultados de ejemplo o desencadenar una exportación desde la búsqueda) se muestra como Búsqueda en este campo. |
| Operación | Nombre de la operación que corresponde a la actividad eDiscovery que se realizó. |
| OrganizationId | GUID de la organización de Microsoft 365. |
| QueryFiles | Nombre del archivo de entrada usado para generar la consulta. Esta propiedad es específica de la búsqueda por gesto de archivo. |
| QueryId | GUID de la consulta asociada a la actividad. |
| QueryText | Texto de consulta asociado a la actividad, como un proceso de estadísticas de búsqueda o agregar para revisar el proceso. |
| RecordType | El tipo de operación indicado por el registro. |
| ResultStatus | Si la acción (especificada en la propiedad Operation) se realizó correctamente o no. |
| Configuraciones | Configuración aplicada a la actividad eDiscovery. |
| StartTime | Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos. |
| UserCancelled | Si el usuario canceló la actividad específica. |
| UserId | El usuario que realizó la actividad (especificada en la propiedad Operation) que provocó que se registrara el registro. |
| UserKey | Un id. alternativo para el usuario identificado en la propiedad id. de usuario. En el caso de las actividades de eDiscovery, el valor de esta propiedad suele ser el mismo que la propiedad UserId. |
| UserServicePlan | La suscripción que usa la organización. En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco. |
| UserType | El tipo de usuario que llevó a cabo la operación. Los siguientes valores indican el tipo de usuario. 0 Un usuario normal. 2 Administrador de la organización. 3 Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. 4 Una cuenta del sistema. 5 Una aplicación. 6 Una entidad de servicio. |
| Versión | Número de versión de la actividad (identificada por la propiedad Operation) que se registra. |
| Carga de trabajo | El servicio donde se produjo la actividad. |
Actividades del portal de mensajes cifrados
Su organización puede acceder a los registros de mensajes cifrados a través del portal de mensajes cifrados. Estos registros le ayudan a determinar cuándo los destinatarios externos leen y reenvía mensajes. Para obtener más información sobre la activación y el uso de los registros de actividad del portal de mensajes cifrados, consulte Registro de actividad del portal de mensajes cifrado.
Cada entrada de auditoría de un mensaje de seguimiento contiene los campos siguientes:
- MessageID: contiene el identificador del mensaje al que se realiza el seguimiento. Identificador de clave que se usa para seguir un mensaje a través del sistema.
- Destinatario: lista de todas las direcciones de correo electrónico del destinatario.
- Remitente: dirección de correo electrónico de origen.
- AuthenticationMethod: describe el método de autenticación para acceder al mensaje, como OTP, Yahoo, Gmail o Microsoft.
- AuthenticationStatus: contiene un valor que indica que la autenticación se realizó correctamente o no.
- OperationStatus: indica si la operación indicada se realizó correctamente o no.
- AttachmentName: nombre de los datos adjuntos.
- OperationProperties: una lista de propiedades opcionales. Por ejemplo, el número de códigos de acceso de OTP enviados o el asunto del correo electrónico.
Actividades de administración de Exchange
El registro de auditoría del administrador de Exchange (que está habilitado de forma predeterminada en Microsoft 365) registra un evento en el registro de auditoría cuando un administrador (o permisos administrativos asignados por el usuario) realiza un cambio en la organización Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange. Los cmdlets que comienzan por los verbos Get-, Search-oTest- no se registran en el registro de auditoría. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.
Importante
Algunos cmdlets de Exchange Online no se registran en el registro de auditoría del administrador de Exchange (o en el registro de auditoría). Muchos de estos cmdlets están relacionados con el mantenimiento del servicio Exchange Online y los ejecutan el personal del centro de datos de Microsoft o las cuentas de servicio. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos". Si hay un cmdlet de Exchange Online que no se audita, envíe una solicitud de cambio de diseño (DCR) a Soporte técnico de Microsoft.
Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:
- Use los cuadros de intervalo de fecha y la lista deUsuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.
- Para mostrar eventos del registro de auditoría de administración de Exchange, seleccione la columna Actividad para ordenar los nombres de cmdlet en orden alfabético.
- Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados. Para más información, consulteExportar, configurar y ver registros de registro de auditoría
- También puede usar el
Search-UnifiedAuditLog -RecordType ExchangeAdmincomando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange. Puede tardar hasta 30 minutos después de ejecutar un cmdlet de Exchange para que la entrada de registro de auditoría correspondiente se devuelva en los resultados de la búsqueda. Para obtener más información, consulte Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.
Actividades de buzón de Exchange
En la tabla siguiente se enumeran las actividades registradas en el registro de auditoría de Microsoft 365. El registro de auditoría de buzones registra automáticamente las actividades de buzón realizadas por el propietario del buzón, un usuario delegado o un administrador en el registro de auditoría durante un máximo de 180 días. Un administrador puede desactivar el registro de auditoría de buzones para todos los usuarios de la organización. En este caso, no se registra ninguna acción de cualquier usuario en el buzón. Para más información, consulte Administrar auditoría del buzón..
Importante
El período de retención predeterminado de Auditoría (Standard) ha cambiado de 90 días a 180 días. Los registros de auditoría (Standard) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (Standard) generados el 17 de octubre de 2023 o después de este, siguen la nueva retención predeterminada de 180 días.
También puede buscar actividades de buzón mediante el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Datos adjuntos de buzones de correo a los que se ha accedido | AttachmentAccess | Se ha accedido a los datos adjuntos de un mensaje. |
| Carpeta de buzón a la que se ha accedido | FolderBind | Se tuvo acceso a una carpeta de buzón de correo. Esta acción también se registra cuando el administrador o un delegado abren el buzón de correo. Se consolidan los registros de auditoría de las acciones de enlace de carpetas realizadas por los delegados. Se genera un registro de auditoría para el acceso a carpetas individuales en un período de 24 horas. |
| Elementos de buzón a los que se ha accedido | MailItemsAccessed | Se han leído mensajes o se obtuvo acceso a los mensajes del buzón. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables. |
| Mensaje al que se ha accedido | MessageBind | Un administrador ha visto un mensaje en el panel de vista previa o lo ha abierto. Este valor solo está disponible para los usuarios sin licencias E5/A5/G5. |
| Permisos de buzón de delegado agregados | Add-MailboxPermission | Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón. El registro de auditoría de esta actividad también se genera cuando una cuenta del sistema del servicio Microsoft 365 realiza tareas de mantenimiento periódicamente en nombre de su organización. Una tarea común que realiza una cuenta del sistema es actualizar los permisos de los buzones del sistema. Para obtener más información, vea Cuentas del sistema en Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange. |
| Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendario | UpdateCalendarDelegation | Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón. |
| Se agregaron permisos a la carpeta | AddFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. |
| Mensajes copiados a otra carpeta | Copiar | Se ha copiado un mensaje a otra carpeta. |
| Elementos del buzón creado | Crear | Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva solicitud de reunión. No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo. |
| Nueva regla de bandeja de entrada creada en la aplicación web de Outlook | New-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook. |
| Eliminar elemento de etiqueta de limpieza de prioridad | PriorityCleanupDelete | Se elimina el elemento con una etiqueta de tipo Limpieza de prioridad. |
| Mensajes eliminados de la carpeta elementos eliminados | SoftDelete | Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr. |
| Etiquetar mensaje como un registro | Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro. | |
| Elemento etiquetado como registro | ApplyRecord | Un elemento se etiqueta como un registro. |
| Mensaje etiquetado como un registro | ApplyRecordLabel | Un mensaje se clasificó como un registro. Se produce cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manualmente o automáticamente a un mensaje. |
| Permiso de carpeta modificada | ModifyFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen. |
| Regla de bandeja de entrada modificada de la aplicación web de Outlook | Set-InboxRule | El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook. |
| Mensajes movidos a otra carpeta | Mover | Se ha movido un mensaje a otra carpeta. |
| Mensajes movidos a la carpeta Elementos eliminados | MoveToDeletedItems | Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados. |
| Realización de una consulta de búsqueda | SharepointSearchQueryInitiated | El usuario realiza una búsqueda en SharePoint. |
| Conservar elemento de buzón | PreservedMailItemProactively | El elemento de correo se conserva de forma proactiva. La conservación proactiva es una característica de Administración del ciclo de vida de Microsoft Purview (DLM), donde los correos eliminados por los usuarios de riesgo del inquilino se conservan en el contenedor de memoria. |
| Etiqueta de limpieza de prioridad aplicada | ApplyPriorityCleanup | La etiqueta Limpieza de prioridad se aplica a un elemento. |
| Etiqueta de limpieza de prioridad aplicada en el elemento de Exchange | ApplyPriorityCleanup | Se aplica una etiqueta de retención para la limpieza de prioridad a un elemento en Exchange |
| Mensajes que se han purgado del buzón | HardDelete | Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón). |
| Permisos de buzón de delegado quitados | Remove-MailboxPermission | Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido. |
| Permisos quitados de la carpeta | RemoveFolderPermissions | Un permiso de la carpeta se ha removido. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. |
| Buscar elementos en un buzón | SearchQueryInitiated | Una persona usa Outlook (Windows, Mac, iOS, Android o Outlook en la Web) o la aplicación Correo para Windows 10 para buscar elementos en un buzón. |
| Enviar mensaje | Enviar | Se envió, respondió o reenvió un mensaje. |
| Mensaje enviado mediante los permisos de Enviar como | SendAs | Un mensaje se ha enviado con el permiso Enviar como. Esto significa que otro usuario envió el mensaje como si viniera del propietario del buzón. |
| Mensaje enviado mediante los permisos en nombre de | SendOnBehalf | Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje a nombre del propietario del buzón. Mensaje al destinatario al que se envió el mensaje en nombre de y que realmente envió el mensaje. |
| Actualizar etiqueta de elemento | UpdateComplianceTag | Cuando la etiqueta se aplica a un elemento. |
| Reglas de la bandeja de entrada actualizadas desde el cliente de Outlook | UpdateInboxRules | El propietario de un buzón u otro usuario con acceso al buzón creó, modificó o quitó una regla de la bandeja de entrada mediante el cliente de Outlook. |
| Mensaje actualizado | Actualizar | Un mensaje o sus propiedades han cambiado. |
| Usuario que ha iniciado sesión en un buzón | MailboxLogin | El usuario inició sesión en su buzón. |
Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange
En los registros de auditoría de algunas actividades de buzón de correo (especialmente Add-MailboxPermissions), es posible que observe que el usuario que realizó la actividad (y se identifica en los campos User y UserId) es NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Esta cuenta del sistema en el servicio Exchange en la nube de Microsoft realiza tareas de mantenimiento programadas en nombre de su organización. Por ejemplo, una actividad auditada común realizada por la cuenta NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) está actualizando los permisos en DiscoverySearchMailbox, que es un buzón del sistema. El propósito de esta actualización es comprobar que el permiso FullAccess (que es el valor predeterminado) está asignado al grupo de roles Administración de detección para DiscoverySearchMailbox. Esta actualización garantiza que los administradores de eDiscovery puedan realizar las tareas necesarias en su organización.
Otra cuenta de usuario del sistema que podría identificarse en un registro de auditoría para Add-MailboxPermission es Administrator@apcprd03.prod.outlook.com. Esta cuenta de servicio también se incluye en los registros de auditoría de buzones relacionados con la comprobación y actualización del permiso FullAccess asignado al grupo de roles Administración de detección para el buzón del sistema DiscoverySearchMailbox. En concreto, los registros de auditoría que identifican la Administrator@apcprd03.prod.outlook.com cuenta se desencadenan normalmente cuando el personal de soporte técnico de Microsoft ejecuta una herramienta de diagnóstico de control de acceso basado en rol en nombre de su organización.
Actividades de páginas y archivos
En la tabla siguiente se describen las actividades de archivo y página en SharePoint y OneDrive que los registros de registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| (ninguno) | FileAccessedExtended | Esta actividad está relacionada con la actividad "Accessed file" (FileAccessed). Un evento FileAccessedExtended se registra cuando la misma persona accede continuamente a un archivo durante un período prolongado (hasta tres horas). El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Este enfoque ayuda a reducir el ruido de varios registros FileAccessed para lo que es esencialmente la misma actividad de usuario y le permite centrarse en el evento inicial (y más importante) FileAccessed. |
| (ninguno) | FileModifiedExtended | Esta actividad está relacionada con la actividad "Archivo modificado" (FileModified). Se registra un evento FileModifiedExtended cuando la misma persona modifica continuamente un archivo durante un período prolongado (hasta tres horas). El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Este enfoque ayuda a reducir el ruido de varios registros FileModified para lo que es esencialmente la misma actividad de usuario y le permite centrarse en el evento Inicial (y más importante) FileModified. |
| (ninguno) | FilePreviewed | El usuario obtiene una vista previa de los archivos en un sitio de SharePoint o OneDrive. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes. |
| (ninguno) | PagePrefetched | El cliente de un usuario (como el sitio web o la aplicación móvil) solicita la página indicada para ayudar a mejorar el rendimiento si el usuario busca en ella. Este evento se registra para indicar que el contenido de la página se sirve al cliente del usuario. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página. Cuando el cliente representa el contenido de la página (según la solicitud del usuario), debe generar un evento ClientViewSignaled. No todos los clientes admiten que indiquen una captura previa y, por lo tanto, algunas actividades capturadas previamente podrían registrarse en su lugar como eventos PageViewed. |
| (ninguno) | PageViewedExtended | Esta actividad está relacionada con la actividad "Página vista" (PageViewed). Un evento PageViewedExtended se registra cuando la misma persona ve continuamente una página web durante un período prolongado (hasta tres horas). El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Este enfoque ayuda a reducir el ruido de varios registros PageViewed para lo que es esencialmente la misma actividad de usuario y le permite centrarse en el evento PageViewed inicial (y más importante). |
| Archivo al que se tiene acceso | FileAccessed | Cuenta de sistema o usuario que tiene acceso al archivo. Una vez que un usuario accede a un archivo, el sistema no vuelve a registrar el evento FileAccessed para el mismo usuario y archivo durante los próximos cinco minutos. |
| Estado de registro cambiado a bloqueado | LockRecord | Estado del registro de una etiqueta de retención que clasifica un documento como un registro bloqueado. Este estado significa que el documento no se modificó ni eliminó. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
| Cambiado el estado del registro a bloqueado | UnlockRecord | Estado del registro de una etiqueta de retención que clasifica un documento cuando se desbloquea un registro. Este estado significa que el documento se puede modificar o eliminar. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento. |
| Se ha cambiado la etiqueta de retención de un archivo | ComplianceSettingChanged | Una etiqueta de retención se aplica a un documento o se quita de él. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje. |
| Archivo verificado | FileCheckedIn | El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos. |
| Archivo extraído del repositorio | FileCheckedOut | El usuario extrae un documento ubicado en una biblioteca de documentos. Los usuarios pueden desteger y realizar cambios en los documentos que se comparten con ellos. |
| Archivo copiado | FileCopied | El usuario copia un documento desde un sitio. El archivo copiado puede guardarse en otra carpeta en el sitio. |
| Archivo eliminado | FileDeleted | El usuario elimina un documento de un sitio. |
| Archivo eliminado de la papelera de reciclaje | FileDeletedFirstStageRecycleBin | El usuario elimina un archivo de la papelera de reciclaje de un sitio. |
| Archivo eliminado de la papelera de reciclaje de segundo nivel | FileDeletedSecondStageRecycleBin | El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio. |
| Archivo eliminado marcado como un registro | RecordDelete | Se elimina un documento o correo electrónico marcado como registro. Un elemento se considera un registro cuando se aplica al contenido una etiqueta de retención que marca los elementos como un registro. |
| Desfase detectado de la sensibilidad del documento | DocumentSensitivityMismatchDetected | El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General. Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa). |
| Malware detectado en archivo | FileMalwareDetected | El antivirus de SharePoint detecta el malware en un archivo. |
| Extracción del archivo descartada | FileCheckOutDiscarded | El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos. |
| Archivo descargado | FileDownloaded | El usuario descarga un documento de un sitio. |
| Archivo modificado | FileModified | La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio. El sistema espera cinco minutos antes de que registre otro evento FileModified cuando el mismo usuario modifique el contenido o las propiedades del mismo documento. |
| Archivo movido | FileMoved | El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación. |
| Consulta de búsqueda realizada | SearchQueryPerformed | La cuenta de usuario o sistema realiza una búsqueda en SharePoint o OneDrive. Algunos escenarios comunes en los que una cuenta de servicio realiza una consulta de búsqueda incluyen la aplicación de una directiva de retención y retención de eDiscovery a sitios y cuentas de OneDrive, y la aplicación automática de etiquetas de retención o confidencialidad al contenido del sitio. Para habilitar el registro de esta actividad, consulte Introducción a las soluciones de auditoría. |
| Archivo de movimiento de limpieza de prioridad a la papelera de reciclaje | PriorityCleanupFileRecycled | Un elemento se mueve a la papelera de reciclaje de la fase 2 mediante una directiva de limpieza de prioridad en OneDrive o SharePoint Online. |
| Eliminación permanente de la limpieza de prioridad del archivo | PriorityCleanupFileDeleted | Una directiva de limpieza de prioridad elimina permanentemente un elemento en OneDrive o SharePoint Online. |
| Se ha reciclado un archivo | FileRecycled | El usuario mueve un archivo a la Papelera de reciclaje de SharePoint. |
| Se ha reciclado una carpeta | FolderRecycled | El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint. |
| Todas las versiones menores del archivo recicladas | FileVersionsAllMinorsRecycled | El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
| Todas las versiones del archivo recicladas | FileVersionsAllRecycled | El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio. |
| Versión del archivo reciclada | FileVersionRecycled | El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio. |
| Archivo al que se le ha cambiado el nombre | FileRenamed | El usuario cambia el nombre de un documento. |
| Archivo restaurado | FileRestored | El usuario restaura un documento de la papelera de reciclaje de un sitio. |
| Archivo cargado | FileUploaded | El usuario carga un documento a una carpeta de un sitio. |
| Ver señalado por el cliente | ClientViewSignaled | El cliente de un usuario (como el sitio web o la aplicación móvil) indica que el usuario ve la página indicada. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página. NOTA: Dado que el cliente señala los eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no registre el evento y, por lo tanto, no aparezca en el registro de auditoría. También es posible que la información del registro de auditoría no sea de confianza. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa. El sistema espera cinco minutos antes de que registre el mismo evento cuando el cliente del mismo usuario indica que el usuario vuelve a ver la página. |
| Página visualizada | PageViewed | El usuario visualiza una página en un sitio. Esta actividad no incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos. Una vez que un usuario ve una página, el sistema no vuelve a registrar el evento PageViewed para el mismo usuario y página durante los próximos cinco minutos. |
Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed
¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?
No somos conscientes de los escenarios en los que las acciones que no son de usuario generan eventos como estos. Las acciones de usuario como abrir una tarjeta de perfil de usuario (seleccionando su nombre o dirección de correo electrónico en un mensaje en Outlook en la Web) generan eventos similares.
¿El usuario siempre desencadena las llamadas al OneDriveMpc-Transform_Thumbnail intencionadamente?
No. Pero la captura previa del explorador puede dar lugar a eventos similares.
Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?
No. La captura previa del explorador podría registrar el evento.
¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?
Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo). Aunque estos eventos están diseñados para alinearse con la intención de vista previa frente a la de acceso, la distinción de eventos no es una garantía de la intención del usuario.
El usuario app@sharepoint en los registros de auditoría
En los registros de auditoría de algunas actividades de archivo (y otras actividades relacionadas con SharePoint), es posible que observe que el usuario que realizó la actividad (identificado en los campos User y UserId) está app@sharepoint. Este usuario significa que una aplicación realizó la actividad. En este caso, a la aplicación se le concedieron permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o una cuenta de OneDrive) en nombre de un usuario, administrador o servicio. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación. Este usuario significa que una aplicación, en lugar de un usuario, presentó la autenticación a SharePoint para realizar una acción. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.
Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso". Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.
Estos son algunos otros escenarios en los que app@sharepoint pueden identificarse en un registro de auditoría como el usuario que realizó una actividad:
- Grupos de Microsoft 365. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint. Una aplicación realiza estas tareas en nombre del usuario que creó el grupo.
- Microsoft Teams. Como ocurre en los grupos de Microsoft 365, cuando se crea un equipo se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.
- Características de cumplimiento. Cuando un administrador implementa características de cumplimiento, como directivas de retención, retenciones de exhibición de documentos electrónicos y etiquetas de confidencialidad de aplicación automática.
En estos y otros escenarios, también puede observar que se crearon varios registros de auditoría con app@sharepoint como el usuario especificado en un breve período de tiempo, a menudo en unos segundos entre sí. Este patrón también significa que probablemente se desencadenaron mediante la misma tarea iniciada por el usuario. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.
Actividades de carpetas
En la tabla siguiente se describen las actividades de carpeta de SharePoint y OneDrive registradas en el registro de auditoría de Microsoft 365. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Carpeta copiada | FolderCopied | El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o OneDrive. |
| Carpeta creada | FolderCreated | El usuario crea una carpeta en un sitio. |
| Carpeta eliminada | FolderDeleted | El usuario elimina una carpeta de un sitio. |
| Carpeta eliminada de la papelera de reciclaje | FolderDeletedFirstStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de un sitio. |
| Carpeta eliminada de la papelera de reciclaje de segundo nivel | FolderDeletedSecondStageRecycleBin | El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio. |
| Carpeta modificada | FolderModified | El usuario modifica una carpeta en un sitio. Esta acción incluye el cambio de los metadatos de carpeta, como el cambio de etiquetas y propiedades. |
| Carpeta movida | FolderMoved | El usuario mueve una carpeta a una ubicación diferente del sitio. |
| Carpeta con el nombre cambiado | FolderRenamed | El usuario cambia el nombre de una carpeta en un sitio. |
| Carpeta restaurada | FolderRestored | El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio. |
Actividades de barreras de información
En la tabla siguiente se enumeran las actividades de Barreras de información que los registros de auditoría de Microsoft 365. Para obtener más información sobre las barreras de información, consulte Más información sobre las barreras de información en Microsoft 365.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Modo de barrera de información aplicada al sitio | SiteIBModeSet | Un administrador global o de SharePoint aplicó un modo al sitio. |
| Segmentos aplicados al sitio | SiteIBSegmentsSet | Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio. |
| Se ha cambiado la configuración de AppBypassInformationBarrier para el inquilino. | AppBypassInformationBarrier | Un administrador global o de SharePoint cambió el acceso a las aplicaciones para sitios de SharePoint. |
| Se ha cambiado el modo de barrera de información del sitio | SiteIBModeChanged | Un administrador global o de SharePoint actualizó el modo del sitio. |
| Segmentos modificados del sitio | SiteIBSegmentsChanged | Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio. |
| Barreras de información deshabilitadas para SharePoint y OneDrive | SPOIBIsDisabled | Una barrera de información deshabilitada de SharePoint o un administrador global para SharePoint y OneDrive en la organización. |
| Barreras de información habilitadas para SharePoint y OneDrive | SPOIBIsEnabled | Una barrera de información deshabilitada de SharePoint o un administrador global para SharePoint y OneDrive en la organización. |
| Informe de información sobre barreras de información completado | InformationBarriersInsightsReportCompleted | El sistema completa la compilación del informe de información de barreras de información. |
| Informe de información sobre barreras de información consultada en la sección de OneDrive | InformationBarriersInsightsReportOneDriveSectionQueried | Un administrador consulta el informe de información de barreras de información para las cuentas de OneDrive. |
| Informe de información sobre barreras de información programado | InformationBarriersInsightsReportSchedule | Un administrador programa el informe de información de barreras de información. |
| Informe de sharePoint de informe de barreras de información consultado | InformationBarriersInsightsReportSharePointSectionQueried | Un administrador consulta el informe de información de barreras de información para sitios de SharePoint. |
| Segmento quitado del sitio | SiteIBSegmentsRemoved | Un administrador global o de SharePoint quita uno o varios segmentos de barreras de información de un sitio. |
Administración de Microsoft 365 actividades de administración de agentes del Centro.
En la tabla siguiente se enumeran las actividades de administración de agentes que los registros de auditoría de Microsoft 365. Para obtener más información, consulte Administración de agentes de Microsoft 365 Copilot en el Centro de administración de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Agente bloqueado | BlockedAgent | Un administrador bloqueó un agente. Se impide que los usuarios de la organización usen el agente. |
| Agente eliminado | DeletedAgent | Un administrador eliminó un agente compartido que elimina los archivos subyacentes y el agente. |
| Agente implementado | DeployedAgent | Un administrador implementó un agente. El agente se activa y se puede usar para usuarios, grupos o toda la organización específicos. |
| Agente eliminado | RemovedAgent | Un administrador quitó un agente instalado anteriormente para toda la organización o para usuarios y grupos específicos. |
| Agente desbloqueado | UnblockedAgent | Un administrador ha desbloqueado un agente bloqueado anteriormente. |
| Agente actualizado | UpdatedAgent | Un administrador actualizó un agente personalizado cargando el archivo de manifiesto más reciente. |
| Se ha actualizado la configuración del agente de nivel de inquilino | UpdatedTenantSettings | Una configuración de nivel de inquilino actualizada por el administrador que se aplica a los agentes. |
Actividades de actualización en la nube de Aplicaciones Microsoft 365 Administración Services
En la tabla siguiente se enumeran las actividades para los cambios de configuración y las acciones desencadenadas en el servicio Cloud Update que los registros de registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración del dispositivo actualizada | updateddeviceconfiguration | Se ha desencadenado una acción para un dispositivo administrado por Cloud Update. Esta acción incluye desencadenar una reversión, reanudar un dispositivo revertido o cambiar el canal de actualización. |
| Configuración del perfil actualizada | updatedprofileconfiguration | Se ha cambiado la configuración de un perfil de Actualización en la nube. Este cambio incluye actualizaciones del estado del perfil, fecha límite establecida, habilitación de validación de actualizaciones y oleadas configuradas y retraso de onda. |
| Configuración del inquilino actualizada | updatedtenantconfiguration | La configuración de toda la organización de Cloud Update ha cambiado. Este cambio incluye actualizaciones de exclusiones, ventanas de exclusión y generación de una nueva clave de asociación de inquilinos (TAK). |
Actividades de directivas en la nube de Aplicaciones Microsoft 365 Administración Services
En la tabla siguiente se enumeran las actividades para los cambios de configuración de directivas en el servicio de directivas en la nube que los registros de registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración de directiva creada | CreatedPolicyConfig | Se creó una nueva configuración de directiva. |
| Configuración de directiva eliminada | DeletedPolicyConfig | Se eliminó una configuración de directiva. |
| Configuración de directiva actualizada | UpdatedPolicyConfig | Se actualizó una configuración de directiva existente, por ejemplo agregando, cambiando o quitando la configuración de directiva, o cambiando el nombre, la descripción o el ámbito de la configuración de directiva. |
| Prioridad de configuración de directiva actualizada | UpdatedPolicyConfigPriority | Se cambió la prioridad de una configuración de directiva. |
actividades de Copia de seguridad Microsoft 365
En la tabla siguiente se enumeran las actividades de Copia de seguridad Microsoft 365 que los registros de auditoría de Microsoft 365. Copia de seguridad Microsoft 365 está diseñado para garantizar que los datos de su organización siempre están protegidos y se pueden recuperar fácilmente. Para obtener más información sobre Copia de seguridad Microsoft 365, consulte Información general de Copia de seguridad Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha activado una directiva de copia de seguridad | BackupPolicyActivated | Una directiva de Copia de seguridad Microsoft 365 se activa desde un estado inactivo. |
| Tarea de restauración de borrador activada | RestoreTaskActivated | Se activa una tarea de restauración de borrador para Copia de seguridad Microsoft 365. Se trata de una operación de larga duración. |
| Elemento de copia de seguridad creado | BackupItemAdded | Uno o varios elementos de copia de seguridad se agregan a una directiva de Copia de seguridad Microsoft 365. |
| Elemento de copia de seguridad quitado | BackupItemRemoved | Uno o varios elementos de copia de seguridad se quitan de una directiva de Copia de seguridad Microsoft 365. |
| Cancelar elemento de copia de seguridad fuera del panel | CancelOffboardBackupItem | Offboarding cancelado para un elemento de copia de seguridad. |
| Tarea de restauración completada | RestoreTaskCompleted | Se completa una tarea de restauración en Copia de seguridad Microsoft 365. |
| Tarea de restauración de borradores creada | DraftRestoreTaskCreated | Se crea una tarea de restauración en Copia de seguridad Microsoft 365. De forma predeterminada, la tarea de restauración se crea como borrador. |
| Se ha creado una nueva directiva de copia de seguridad | NewBackupPolicyCreated | Un Administración global creó una nueva directiva de Copia de seguridad Microsoft 365. De forma predeterminada, se crea una directiva de copia de seguridad en un estado inactivo. |
| Eliminación de una directiva de copia de seguridad | BackupPolicyDeleted | Se elimina una directiva de Copia de seguridad Microsoft 365. |
| Tarea de restauración de borrador eliminado | DraftRestoreTaskDeleted | Se elimina una tarea de restauración de borrador en Copia de seguridad Microsoft 365. |
| Edición de una directiva de copia de seguridad | BackupPolicyEdited | Se actualizó una directiva de Copia de seguridad Microsoft 365. Puede actualizar una directiva de copia de seguridad realizando cualquiera de las siguientes acciones: 1. Cambiar el nombre de la directiva. 2. Agregue una o más unidades de protección. 3. Quitar una o más unidades de protección. |
| Tarea de restauración de borrador editada | DraftRestoreTaskEdited | Se edita una tarea de restauración de borrador en Copia de seguridad Microsoft 365. |
| Elemento de copia de seguridad fuera del panel | OffboardBackupItem | El elemento de copia de seguridad se está retirando. |
| Pausado de una directiva de copia de seguridad | BackupPolicyPaused | Una directiva de Copia de seguridad Microsoft 365 está en pausa desde el estado activo. |
| Elemento de copia de seguridad obtenido mediante programación | GetBackupItem | El usuario solicita la unidad de protección de la que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365 mediante programación. |
| Obtener detalles de la directiva de copia de seguridad mediante programación | ViewBackupPolicyDetails | Se accede a los detalles de una directiva de Copia de seguridad Microsoft 365 mediante programación. |
| Obtener detalles de la tarea restaurar mediante programación | GetRestoreTaskDetails | Un usuario solicita detalles de la tarea de restauración por su identificador en Copia de seguridad Microsoft 365. |
| Se ha obtenido una lista de todas las directivas de copia de seguridad mediante programación | ListAllBackupPolicies | Un usuario obtiene mediante programación la lista de todas las directivas de copia de seguridad de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365. |
| Mediante programación se obtuvo una lista de elementos de copia de seguridad en directivas de copia de seguridad | ListAllBackupItemsInPolicies | Se solicita mediante programación una lista de todas las unidades de protección presentes en una directiva de copia de seguridad en Copia de seguridad Microsoft 365. |
| Mediante programación se obtuvo una lista de elementos de copia de seguridad en el inquilino | ListAllBackupItemsInTenant | Un usuario obtiene mediante programación la lista de todas las unidades de protección de la organización de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365. |
| Se ha obtenido una lista de elementos de copia de seguridad en la carga de trabajo mediante programación | ListAllBackupItemsInWorkload | Un usuario obtiene mediante programación la lista de todas las unidades de protección de la carga de trabajo (SharePoint, OneDrive o Exchange) de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365. |
| Mediante programación se obtuvo una lista de elementos de restauración en la tarea de restauración | GetAllRestoreArtifactsInTask | Un usuario obtiene mediante programación todos los artefactos de una tarea de restauración en Copia de seguridad Microsoft 365. |
| Mediante programación se obtuvo una lista de puntos de restauración | ListAllRestorePoints | Un usuario obtiene mediante programación todos los puntos de restauración de Copia de seguridad Microsoft 365. Los puntos de restauración representan la marca de tiempo cuando un artefacto está protegido (por directiva de protección). Solo los administradores globales tienen acceso. |
| Se ha obtenido una lista de tareas de restauración mediante programación | ListAllRestoreTasks | Un usuario obtiene mediante programación la lista de sesiones de restauración existentes en Copia de seguridad Microsoft 365. Esta lista incluye la sesión de restauración creada para cada tipo de servicio inscrito en la organización. |
| Restauración completa de la restauración de elementos | BackupItemRestoreCompleted | Se completa la restauración de un elemento del que Copia de seguridad Microsoft 365 copia de seguridad. |
| Restauración de la restauración de elementos desencadenada | BackupItemRestoreTriggered | La restauración se desencadena para un elemento del que se ha hecho una copia de seguridad con Copia de seguridad Microsoft 365. |
actividades de administración de Microsoft 365 Copilot
En la tabla siguiente se enumeran las actividades de administración relacionadas con Microsoft 365 Copilot y Microsoft 365 Copilot Chat que los registros de auditoría de Microsoft 365. Puede acceder a Copilot a través de los servicios de Microsoft. El registro de auditoría registra las actividades que muestran cómo y cuándo interactúan los usuarios con Copilot. Esta información incluye el servicio de Microsoft donde tuvo lugar la actividad y referencias a los archivos a los que se accede durante la interacción.
Para acceder al texto desde el símbolo del sistema del usuario durante la interacción, consulte Búsqueda de contenido o vea el evento de interacción de IA desde el explorador de actividad en Administración de postura de seguridad de datos para IA.
Para obtener más información sobre la auditoría y otras opciones de administración de cumplimiento para Microsoft 365 Copilot, consulte Uso de Microsoft Purview para administrar la seguridad de datos & cumplimiento de Microsoft 365 Copilot & Microsoft 365 Copilot Chat.
Para obtener más información sobre los eventos relacionados con las interacciones del usuario con la inteligencia artificial, consulte Registros de auditoría para las actividades de Copilot e IA.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de un nuevo complemento de Copilot | CreatePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha creado un nuevo complemento de Copilot. |
| Creación de una nueva libreta de mensajes de Copilot | CreatePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo promptbook en Copilot. |
| Se ha eliminado un complemento de Copilot | DeletePlugin | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un complemento de Copilot. |
| Eliminación de una libreta de mensajes de Copilot | DeletePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un promptbook de Copilot. |
| Deshabilitación de un complemento de Copilot | DisableCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado un complemento copilot. |
| Deshabilitado un promptbook de Copilot | DisablePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado una libreta de mensajes de Copilot. |
| Habilitado un complemento de Copilot | EnablePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado un complemento de Copilot. |
| Habilitado un promptbook de Copilot | EnablePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado una libreta de mensajes de Copilot. |
| Interacción con Copilot | CopilotInteraction | Un usuario (o administrador o sistema en nombre de un usuario) escribió mensajes en Copilot. |
| Se ha actualizado una configuración del complemento Copilot | UpdatePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de complemento de Copilot. |
| Se ha actualizado una configuración de la libreta de mensajes de Copilot. | UpdatePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de la libreta de mensajes de Copilot. |
| Se ha actualizado una configuración de Copilot | UpdateTenantSettings | Un administrador (o sistema en nombre de un administrador) ha actualizado una configuración de Copilot. |
Microsoft 365 Copilot actividades de mensajes programadas
La Consultas programada de Copilot permite a los usuarios automatizar las solicitudes de Copilot para que se ejecuten según una programación definida en Microsoft 365 Copilot chat. En la tabla siguiente se enumeran las actividades registradas en el registro de auditoría de Microsoft 365. Los administradores pueden administrar esta característica en su organización. Para obtener más información, consulte Administración de solicitudes programadas para Microsoft 365 Copilot.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de un símbolo del sistema programado | ScheduledPromptCreated | Un usuario programó un consulta de Copilot desde Microsoft 365 Copilot Chat (Office.com chat). |
| Eliminación de un símbolo del sistema programado | ScheduledPromptDeleted | Un usuario elimina un símbolo del sistema programado de la ventana de administración. El símbolo del sistema se quita de la lista y ya no se ejecuta. |
| Ejecución de un símbolo del sistema programado | ScheduledPromptExecute | Se ha registrado al principio de cada ejecución programada. No confirma que se haya completado el mensaje. |
Microsoft Defender para punto de conexión actividades de configuración general
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración general registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre la configuración Microsoft Defender para punto de conexión, consulte Configuración general de Defender para punto de conexión.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Retención de datos modificada | ChangeDataRetention | Se ha editado la configuración de retención de datos de Defender para punto de conexión. |
| Paquete de offboarding descargado | DownloadOffboardingPkg | Descargó el paquete usado para quitar dispositivos de Defender para punto de conexión. |
| Paquete de incorporación descargado | DownloadOnboardingPkg | Descargó el paquete usado para incorporar dispositivos a Defender para punto de conexión. |
| Establecer características avanzadas | SetAdvancedFeatures | Se han cambiado las características avanzadas de Defender para punto de conexión, lo que permite controles más precisos durante un incidente. Solo la configuración de las características avanzadas que están disponibles con carácter general se registra en el registro de auditoría de Microsoft 365. |
Microsoft Defender para punto de conexión actividades de configuración de indicadores
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración del indicador que registra el registro de auditoría de Microsoft 365. Para obtener más información sobre los indicadores de Microsoft Defender para punto de conexión, consulte Administración de indicadores.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Indicador agregado | AddIndicator | Se ha creado un nuevo indicador de riesgo que se usa para realizar un seguimiento de los ataques y eventos. |
| Indicador eliminado | DeleteIndicator | Se ha quitado un indicador de riesgo. |
| Indicador editado | EditIndicator | Se ha editado un indicador de compromiso. |
Microsoft Defender para punto de conexión actividades de acciones de respuesta
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión acciones de respuesta, incluida la respuesta dinámica, que los registros de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender para punto de conexión acciones de respuesta, consulte Realizar acciones de respuesta en un dispositivo.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Paquete de investigación recopilado | CollectInvestigationPackage | Se recopila información sobre un dispositivo que se usa para comprender las herramientas y técnicas de ataque. |
| Registros recopilados | LogsCollection | Información de registro recopilada sobre Defender para punto de conexión. |
| Archivo descargado | DownloadFile | Descargó un archivo sospechoso para una investigación más detallada. |
| Dispositivo aislado | IsolateDevice | Aísla un dispositivo de la red, lo que ayuda a evitar que se propaguen ataques. |
| Dispositivo fuera de la placa | DeviceOffBoarding | Se quitó un dispositivo de Defender para punto de conexión. |
| Examen del antivirus ejecutado | RunAntiVirusScan | Ejecutó Microsoft Defender examen antivirus en un dispositivo. |
| Ejecución del vínculo obtener archivo de respuesta en directo | LiveResponseGetFile | Abrió una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo. |
| API de respuesta dinámica ejecutada | RunLiveResponseApi | Abrió una sesión de respuesta dinámica a través de una llamada API, abriendo un shell remoto en un dispositivo. |
| Ejecución de la sesión de respuesta en directo | RunLiveResponseSession | Ejecutó una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo. |
| Liberado del aislamiento | ReleaseFromIsolation | Se ha agregado un dispositivo aislado de nuevo a la red. |
| Restricciones de aplicación eliminadas | RemoveAppRestrictions | Permitir que se ejecute una aplicación. |
| Ejecución de aplicaciones restringidas | RestrictAppExecution | Impedir que se ejecute una aplicación malintencionada. |
| Archivo detenido y en cuarentena | StopAndQuarantineFile | Poner en cuarentena un archivo sospechoso para su análisis posterior. |
Microsoft Defender para punto de conexión actividades de configuración de roles
En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración de roles que los registros de auditoría de Microsoft 365. Para obtener más información sobre los roles de Microsoft Defender para punto de conexión, consulte Creación y administración de roles para el control de acceso basado en roles.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Rol agregado | AddRole | Se han agregado nuevos permisos y roles de seguridad. |
| Rol eliminado | DeleteRole | Se han quitado los roles de seguridad y los permisos. |
| Rol editado | EditRole | Permisos y roles de seguridad editados. |
actividades de Microsoft Defender para expertos
En la tabla siguiente se enumeran las actividades de Microsoft Defender Experts que los registros de auditoría de Microsoft 365. Para obtener más información sobre los expertos de Microsoft Defender, consulte Más información sobre Expertos de Microsoft Defender para XDR y Más información sobre Microsoft Defender Expertos en caza.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha creado el permiso de analista de expertos de Defender | DefenderExpertsAnalystPermissionCreated | Un administrador concedió uno o varios permisos de rol a los analistas de Expertos de Defender para investigar incidentes o corregir amenazas. |
| Permiso de analista de expertos de Defender modificado | DefenderExpertsAnalystPermissionModified | Permisos de rol modificados por el administrador para que los analistas de Expertos de Defender investiguen incidentes o corrijan amenazas. |
actividades de Microsoft Defender for Identity
En la tabla siguiente se enumeran las actividades de Microsoft Defender for Identity que los registros de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado el destinatario de la notificación de alerta | AlertNotificationsRecipientAdded | Se agregó un destinatario a la configuración de notificación de alertas de seguridad. |
| Configuración de exclusiones agregada | ExclusionConfigurationAdded | Se agregó una exclusión global para una alerta o para una entidad. |
| Se ha agregado el destinatario de la notificación de problemas de mantenimiento | MonitoringAlertNotificationRecipientAdded | Se agregó un destinatario a la configuración de notificación de problemas de mantenimiento. |
| Acción de corrección agregada | RemediationActionAdded | Se agregó una acción de corrección a la cola. |
| Sensor agregado | SensorCreado | Se ha agregado un nuevo sensor. |
| Área de trabajo creada | Área de trabajoCreada | Se creó el área de trabajo. |
| Destinatario de notificación de alerta eliminada | AlertNotificationsRecipientDeleted | Se quitó un destinatario de la configuración de notificación de alertas de seguridad. |
| Configuración de exclusiones eliminadas | ExclusionConfigurationDeleted | Se eliminó una exclusión global para una alerta o para una entidad. |
| Destinatario de notificación de problemas de mantenimiento eliminados | MonitoringAlertNotificationRecipientDeleted | Se quitó un destinatario de la configuración de notificación de problemas de salud. |
| Área de trabajo eliminada | WorkspaceDeleted | Se eliminó el área de trabajo. |
| Excel de cobertura del controlador de dominio descargado | DomainControllerCoverageExcelDownloaded | Se descargó el archivo de Excel de cobertura del controlador de dominio. |
| Reporte descargado | ReportDownloaded | Se descargó un informe. |
| Excel de alerta de seguridad descargada | AlertExcelDownloaded | Se descargó el archivo detallado de Excel de una alerta. |
| Clave de implementación del sensor regenerada | SensorDeploymentAccessKeyUpdated | Se ha regenerado la clave de acceso de los sensores. |
| Sensor quitado | SensorDeleted | Se eliminó un sensor. |
| Clave de implementación del sensor recuperada | SensorDeploymentAccessKeyReceived | Se recuperó la clave de acceso de los sensores. |
| Configuración de umbral de alerta actualizada | WorkspaceAlertThresholdLevelUpdated | Se actualizó la configuración de umbrales de alertas. |
| Se ha actualizado la configuración de la cuenta de servicios de directorio | DirectoryServicesAccountConfigurationUpdated | Se modificó el conjunto de cuentas de servicios de directorio. |
| Se ha actualizado la configuración de corrección de entidades | EntityRemediatorConfigurationUpdated | Se modificó el modo Administrar cuentas de acción. |
| Etiquetas de entidad actualizadas | TaggingConfigurationUpdated | Se agregó o quitó una etiqueta de una entidad. |
| Configuración de exclusiones actualizada | ExclusionConfigurationUpdated | Se actualizó una exclusión global para una alerta o para una entidad. |
| Problema de mantenimiento actualizado | MonitoringAlertUpdated | Se modificó un problema de mantenimiento. |
| Acción de corrección actualizada | RemediationActionUpdated | Se completó una acción de corrección. |
| Se ha actualizado la configuración de la acción de corrección. | RemediationActionConfigurationUpdated | Se modificó el conjunto Administrar cuentas de acción. |
| Configuración actualizada del reportero | ReporterConfigurationUpdated | Se modificó la programación de un informe. |
| Configuración de notificación de seguridad actualizada | NotificationConfigurationUpdated | Se modificó la configuración de las notificaciones de alertas de seguridad o problemas de mantenimiento. |
| Configuración del sensor actualizada | SensorConfigurationUpdated | Se actualizó la configuración de un sensor. |
| Modo de activación de sensores actualizado | SensorActivationMethodConfigurationUpdated | Se modificó el modo de activación de sensores. |
| Configuración de reenvío de Syslog actualizada | SyslogServiceConfigurationUpdated | Se modificó la configuración de reenvío de Syslog. |
| Se ha actualizado la configuración de RBAC unificada | URbacAuthorizationStatusChanged | Se modificó la configuración de Access Control basada en rol unificado. |
| Configuración de VPN actualizada | VpnConfigurationUpdated | Se modificó la configuración de VPN (contabilidad de radio). |
Microsoft Defender XDR actividades de detección personalizadas
En la tabla siguiente se enumeran las actividades de detección personalizadas para Microsoft Defender XDR registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender XDR detecciones personalizadas, vea Crear y administrar reglas de detecciones personalizadas.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha cambiado el estado de la regla de detección personalizada | ChangeCustomDetectionRuleStatus | Se ha desactivado o activado una regla de detección personalizada. |
| Regla de detección personalizada creada | CreateCustomDetection | Se creó una nueva regla de detección personalizada. |
| Regla de detección personalizada eliminada | DeleteCustomDetection | Se quitó una regla de detección personalizada. |
| Regla de detección personalizada editada | EditCustomDetection | Se modificó una regla de detección personalizada. |
| Regla de detección personalizada ejecutada | RunCustomDetection | Se ejecutó manualmente una regla de detección personalizada. |
Microsoft Defender XDR actividades de incidentes
En la tabla siguiente se enumeran las actividades de incidentes de Microsoft Defender XDR registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre los incidentes en Microsoft Defender XDR, consulte Información general sobre incidentes.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado un comentario al incidente. | AddCommentToIncident. | Se ha agregado un comentario al incidente. |
| Se han agregado etiquetas al incidente. | AddTagsToIncident | Se han agregado etiquetas al incidente. |
| Usuario asignado al incidente | AssignUserToIncident | Usuario asignado al incidente. |
| Edición de la clasificación de incidentes | EditIncidentClassification | Edite la clasificación de incidentes. |
| Etiquetas eliminadas del incidente | RemoveTagsFromIncident | Se han quitado las etiquetas del incidente. |
| Usuario sin asignar al incidente | UnAssignUserFromIncident | Usuario sin asignar al incidente. |
| Estado de incidentes actualizado | UpdateIncidentStatus | Estado de incidentes actualizado. |
Microsoft Defender XDR actividades de regla de supresión
En la tabla siguiente se enumeran las actividades de las reglas de supresión de Microsoft Defender XDR registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre las reglas de supresión en Microsoft Defender XDR, vea Administrar reglas de supresión.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Regla de supresión creada | CreateSuppressionRule | Regla de supresión de alertas creada. |
| Regla de supresión eliminada | DeleteSuppressionRule | Regla de supresión de alertas eliminada. |
| Regla de supresión deshabilitada | DisableSuppressionRule | Regla de supresión de alertas deshabilitada. |
| Regla de supresión editada | EditSuppressionRule | Regla de supresión de alertas eliminada. |
| Regla de supresión habilitada | EnableSuppressionRule | Regla de supresión de alertas habilitada. |
Actividades de WebContentFiltering de Microsoft Edge
En la tabla siguiente se enumeran las actividades de exploración de Microsoft Edge registradas en el registro de auditoría de Microsoft 365 para la característica WebContentFiltering. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo .csv al exportar los resultados de la búsqueda.
Buscar en el registro de auditoría describe cómo puede buscar en los registros de auditoría desde el portal de Microsoft Purview. Los usuarios deben ser administradores globales o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Use el filtro Actividades para buscar actividades específicas. Para enumerar todas las actividades WebContentFiltering, elija WebContentFiltering en el filtro Tipo de registro . Use los cuadros de intervalo de fechas y la lista Usuarios para limitar aún más los resultados de búsqueda si es necesario.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Navegación url permitida en Microsoft Edge | URLNavigationAllowed | El usuario ha explorado una dirección URL. |
| Navegación url bloqueada en Microsoft Edge | URLNavigationBlocked | La directiva WebContentFiltering bloquea la dirección URL examinada. |
Microsoft Entra actividades de administración de grupos
En la tabla siguiente se enumeran las actividades de administración de grupos que el registro de auditoría de Microsoft 365 registra cuando un administrador o un usuario crea o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el portal de administración de Azure. Para obtener más información sobre los grupos de Microsoft 365, consulte Ver, crear y eliminar grupos en el Centro de administración de Microsoft 365.
Nota:
Los nombres de operación enumerados en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Grupo agregado | AddGroup | Se ha creado un grupo. |
| Miembro agregado a un grupo | AddMemberToGroup. | Un miembro se ha agregado a un grupo. |
| Grupo eliminado | Eliminar grupo. | Se ha eliminado un grupo. |
| Miembro quitado de un grupo | RemoveMemberFromGroup. | Un miembro se ha quitado de un grupo. |
| Grupo actualizado | UpdateGroup. | Una propiedad de un grupo se ha cambiado. |
Microsoft Entra actividades de detección de riesgos
En la tabla siguiente se enumeran las actividades de detección de riesgos registradas en el registro de auditoría de Microsoft 365 al usar Microsoft Entra ID Protection. Para obtener más información sobre la detección de riesgos, consulte Más información sobre las detecciones de riesgos.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Detección de inicio de sesión en peligro | CompromisedSignIn | Las detecciones de riesgo de inicio de sesión representan la probabilidad de que una solicitud de autenticación determinada no sea el propietario autorizado de la cuenta. |
| Detección de usuarios en peligro | CompromisedUser | Las detecciones de riesgo de usuario pueden marcar una cuenta de usuario legítima como en riesgo, cuando un posible actor de amenazas obtiene acceso a una cuenta poniendo en peligro sus credenciales o cuando detecta algún tipo de actividad de usuario anómala. |
Actividades de Microsoft Fabric
En la tabla siguiente se muestran las actividades de Microsoft Fabric en Power BI que los registros de auditoría de Microsoft 365. Puede buscar el registro de auditoría actividades en Power BI. Para obtener información sobre la configuración de auditoría, consulte Configuración de inquilinos de auditoría y uso.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de la asignación de autenticación entre inquilinos | CreateCrossTenantAuthMapping | Cree una asignación de usuario para la característica de autenticación entre inquilinos. |
| Eliminación de un flujo de tareas | DeletedTaskFlow | Se ha eliminado un flujo de tareas. |
| Enumerar todas las asignaciones de autenticación entre inquilinos | ListCrossTenantAuthMappings | Enumera las asignaciones de autenticación entre inquilinos en un inquilino. |
Actividades de Microsoft Forms
En la tabla siguiente se muestran las actividades de usuario y administrador en Microsoft Forms que los registros de auditoría de Microsoft 365. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas que puede usar para recopilar datos para su análisis. Algunas operaciones incluyen parámetros de actividad adicionales, como se indica en las descripciones.
Si un coautor o un respondedor anónimo realiza una actividad forms, el registro de auditoría la registra de forma ligeramente diferente. Para obtener más información, consulte la sección actividades de Forms que realizan los coautores y las personas que responden anónimamente.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Coautor de formulario agregado | AddFormCoauthor | Un usuario usa un vínculo de colaboración para ayudar a diseñar el formulario o ver las respuestas. Este evento se registra cuando un usuario usa una dirección URL de colaboración (no cuando se genera la dirección URL de colaboración por primera vez). |
| Respondedor específico agregado | AddSpecificResponder | El propietario del formulario añade al nuevo usuario o grupo a la lista respondedores específica. |
| Formulario de participación permitida para su copia | AllowShareFormForCopy | Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla. Este evento se registra cuando el propietario del formulario selecciona para generar la dirección URL de la plantilla. |
| Conectado al libro de Excel | ConnectToExcelWorkbook | Conectado el formulario a un libro de Excel. La propiedad ExcelWorkbookLink:string es el identificador de libro de Excel asociado del formulario actual. |
| Se ha creado una colección | CollectionCreated | El propietario del formulario ha creado una colección. |
| Comentario creado | CreateComment | El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario. |
| Formulario creado | CreateForm | Un nuevo formulario ha sido creado por el propietario. La propiedad DataMode:string es el formulario actual establecido para sincronizarse con un libro de Excel nuevo o existente si el valor de la propiedad es igual a DataSync. La propiedad ExcelWorkbookLink:string es el identificador de libro de Excel asociado del formulario actual. |
| Respuesta creada | CreateResponse | Es similar a recibir una nueva respuesta. Un usuario envió una respuesta a un formulario. Property ResponseId:string y Property ResponderId:string es el resultado que se está viendo. Para un respondedor anónimo, la propiedad ResponderId es null. |
| Vínculo de resumen creado | GetSummaryLink | El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos. |
| Eliminar todas las respuestas | DeleteAllResponses | Todos los datos de respuesta han sido eliminadas por el propietario del formulario |
| Se ha eliminado la colección de la papelera de reciclaje | CollectionHardDeleted | El propietario del formulario ha eliminado de forma permanente una colección de la papelera de reciclaje. |
| Formulario eliminado | DeleteForm | Un formulario ha sido eliminado por el propietario. Esta acción incluye SoftDelete (opción de eliminación usada y el formulario movido a la papelera de reciclaje) y HardDelete (papelera de reciclaje está vacía). |
| Respuesta eliminada | DeleteResponse | El propietario del formulario ha eliminado una respuesta. La propiedad ResponseId:string es la respuesta que se va a eliminar. |
| Vínculo de resumen eliminado | DeleteSummaryLink | El enlace de resumen de resultados ha sido eliminado por el propietario del formulario. |
| La configuración de cualquier persona que pueda responder está deshabilitada | DisallowAnonymousResponse | El propietario del formulario desactiva la configuración que permite a cualquier usuario responder al formulario. |
| Colaboración deshabilitada | DisableCollaboration | El propietario del formulario desactiva la configuración de colaboración en el formulario. |
| La configuración de personas específicas que pueden responder está deshabilitada | DisableSpecificResponse | El propietario del formulario desactiva la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
| Formulario de participación no permitida para su copia | DisallowShareFormForCopy | El propietario del formulario ha eliminado el vínculo en la plantilla. |
| Formulario editado | EditForm | Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita. La propiedad EditOperation:string es el nombre de la operación de edición. Las posibles operaciones son: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice -UploadFormImage/Bing/Onedrive - UploadQuestionImage -Cambiar tema FormImage incluye cualquier lugar dentro de Forms donde el usuario puede cargar una imagen, como en una consulta o como tema en segundo plano. |
| Configuración de cualquier persona puede responder habilitada | AllowAnonymousResponse | El propietario del formulario activa la configuración que permite que cualquier persona responda al formulario. |
| La colaboración de cuenta profesional o educativa de Office 365 está habilitada | EnableWorkOrSchoolCollaboration | El propietario del formulario activa el ajuste que permite a los usuarios con una cuenta profesional o educativa de Microsoft 365 ver y editar el formulario. |
| La colaboración de personas en mi organización está habilitada | EnableSameOrgCollaboration | El propietario del formulario activa la configuración que permite a los usuarios de la organización actual ver y editar el formulario. |
| La configuración de personas específicas que puedan responder está habilitada | EnableSpecificResponse | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario. |
| La colaboración con personas específicas está habilitada | EnableSpecificCollaboaration | El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual vean y editen el formulario. |
| Formulario exportado | ExportForm | Los resultados han sido exportado a Excel por el propietario del formulario. La propiedad ExportFormat:string es si el archivo de Excel es Download o Online. |
| Formularios en la lista | ListForms | La lista de formularios está siendo visualizada por el propietario. Property ViewType:string es la vista que el propietario del formulario está examinando: Todos los formularios, Compartidos conmigo o Formularios de grupo |
| Se ha movido un formulario a la colección | MovedFormIntoCollection | El propietario del formulario ha movido un formulario a una colección. |
| Se ha movido un formulario fuera de la colección | MovedFormOutofCollection | El propietario del formulario ha movido un formulario fuera de una colección. |
| Se ha movido la colección a la papelera de reciclaje | CollectionSoftDeleted | El propietario del formulario ha movido una colección a la papelera de reciclaje. |
| Formulario movido | MoveForm | Un formulario ha sido movido por el propietario. La propiedad DestinationUserId:string es el identificador de usuario de la persona que movió el formulario. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado. La propiedad IsDelegateAccess:boolean es la acción de movimiento de formulario actual que se realiza a través de la página de delegado de administración. |
| Vista previa del formulario | PreviewForm | El propietario del formulario obtiene una vista previa de un formulario mediante la función Preview. |
| Coautor de formulario quitado | RemoveFormCoauthor | El propietario del formulario ha eliminado el vínculo de colaboración. |
| Respondedor específico quitado | RemoveSpecificResponder | El propietario del formulario elimina un nuevo usuario o grupo de la lista respondedores específica. |
| Se ha cambiado el nombre de una colección | CollectionRenamed | El propietario del formulario ha cambiado el nombre de una colección. |
| Invitación a Forms Pro enviada | ProInvitation | El usuario selecciona para activar una prueba pro. |
| Respuesta enviada | SubmitResponse | Un usuario envía una respuesta sobre un formulario. La propiedad IsInternalForm:boolean es si el respondedor está dentro de la misma organización que el propietario del formulario. |
| Se ha actualizado una colección | CollectionUpdated | El propietario del formulario ha actualizado una propiedad de la colección. |
| Estado de phishing actualizado del formulario | UpdatePhishingStatus | Este evento se registra cada vez que se cambia el valor detallado del estado de seguridad interno, independientemente de si este cambio afecta al estado de seguridad final (por ejemplo, el formulario ahora es Cerrado o Abierto). Este cambio puede dar lugar a eventos duplicados sin un cambio final de estado de seguridad. Los posibles valores de estado de este evento son: -Deseche el -Derribado por la administración -Administrador desbloqueado -Bloqueado automáticamente -Desbloqueado automáticamente -El cliente informó -Restablecer informe de cliente |
| Configuración de formulario actualizada | UpdateFormSetting | El propietario del formulario actualiza una o varias opciones de configuración del formulario. La propiedad FormSettingName:string se actualiza el nombre de la configuración confidencial. La propiedad NewFormSettings:string se actualiza el nombre de la configuración y el nuevo valor. La propiedad thankYouMessageContainsLink:boolean se ha actualizado y el mensaje de agradecimiento contiene un vínculo url. |
| Respuesta actualizada | UpdateResponse | El propietario del formulario actualizó un comentario o una puntuación en una prueba. Property ResponseId:string y Property ResponderId:string es el resultado que se está viendo. Para un respondedor anónimo, la propiedad ResponderId es null. |
| Estado de phising de usuario actualizado | UpdateUserPhishingStatus | Este evento se registra cada vez que cambia el valor del estado de seguridad del usuario. El valor del estado del usuario en el registro de auditoría se confirma como Phisher cuando el usuario creó un formulario de suplantación de identidad (phishing) que el equipo de seguridad de Microsoft Online quitó. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal. |
| Configuración del usuario actualizada | UpdateUserSetting | La configuración del usuario ha sido actualizada por el propietario del formulario. La propiedad UserSettingName:string es el nombre y el nuevo valor de la configuración. |
| Formulario visto (tiempo de diseño) | ViewForm | Un formulario existente ha sido abierto por el propietario para su edición. La propiedad AccessDenied:boolean es que se deniega el acceso al formulario actual debido a la comprobación de permisos. La propiedad FromSummaryLink:boolean es la solicitud actual procedente de la página de vínculo de resumen. |
| Respuesta vista | ViewResponse | El propietario del formulario visualiza una respuesta concreta. Property ResponseId:string y Property ResponderId:string es el resultado que se está viendo. Para un respondedor anónimo, la propiedad ResponderId es null. |
| Página de respuesta visualizada | ViewRuntimeForm | El usuario abrió una página de respuesta para verla. Este evento es registrado independientemente de si el usuario envía una respuesta o no. |
| Respuestas vistas | ViewResponses | El propietario del formulario ha visualizado la lista agregada de respuestas. La propiedad ViewType:string es si el propietario del formulario está viendo Detalle o Agregado |
Actividades de Forms que realizan los coautores y respondedores anónimos
Los formularios admiten la colaboración al diseñar formularios y analizar respuestas. Un colaborador de formulario se conoce como coautor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario. Forms también permite crear un formulario que se puede responder de forma anónima. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.
En la tabla siguiente se describen las actividades de auditoría y la información registradas en el registro de auditoría de Microsoft 365 para las actividades realizadas por coautores y respondedores anónimos.
| Tipo de actividad | Usuario interno o externo | Identificador de usuario que ha iniciado sesión | Organización que ha iniciado sesión | Tipo de usuario de Forms |
|---|---|---|---|---|
| Actividades de coautoría | Externo | urn:forms:coauthor#a0b1c2d3@forms.office.com(La segunda parte del identificador es un hash, que difiere para los distintos usuarios) |
Organización del propietario del formulario |
Coautor |
| Actividades de coautoría | Externo | UPN |
Organización del coautor |
Coautor |
| Actividades de coautoría | Interno | UPN | Organización del propietario del formulario | Coautor |
| Actividades de respuesta | Anónimo | urn:forms:anonymous#a0b1c2d3@forms.office.com(La segunda parte del identificador de usuario es un hash, que difiere para los distintos usuarios) |
Organización del propietario del formulario | Responder |
| Actividades de respuesta | Externo | urn:forms:external#a0b1c2d3@forms.office.com(La segunda parte del identificador de usuario es un hash, que difiere para los distintos usuarios) |
Organización del propietario del formulario | Responder |
| Actividades de respuesta | Externo | UPN |
Organización del usuario que responde |
Responder |
Conexión de datos de Microsoft Graph
En la tabla siguiente se enumeran las actividades de usuario y administrador de Microsoft Graph Data Connect registradas en el registro de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Aprobación o denegación de una aplicación | ConsentModificationRequest | Un usuario realizó una solicitud de modificación de consentimiento. |
| Extracción ejecutada | DataAccessRequestOperation | Un usuario realizó una extracción. Se excluyen los conjuntos de datos de asociados y las ejecuciones de ISV. |
actividades de Microsoft Places Directory
En la tabla siguiente se enumeran las actividades de administración de Microsoft Places Directory que los registros de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de un lugar | CreatedPlace | Un administrador realizó una operación para crear lugares. |
| Eliminación de un lugar | DeletedPlace | Un administrador realizó una operación para eliminar lugares. |
| Se ha actualizado un lugar | UpdatedPlace | Un administrador realizó una operación para actualizar lugares. |
actividades de Microsoft Planner
En la tabla siguiente se enumeran las actividades de usuario y administrador en Microsoft Planner que los registros de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Nota:
La actividad de cartera en Planner se registra con Microsoft Project para la actividad de hoja de ruta web. Para obtener más información, consulte la sección Actividades de Microsoft Project para la web.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado un miembro a una lista | RosterMemberAdded | Se agregó un miembro a una lista. Si la operación de adición era ResultStatus.Failure o ResultStatus.AuthorizationFailure, memberIds es una lista de identificadores de miembro intentados. |
| Asignación de una tarea | TaskAssigned | Un usuario o una aplicación modificaron al asignador de una tarea. Podría tratarse de una tarea sin asignar asignada o una tarea asignada con un nuevo asignado. |
| Completado una tarea | TaskCompleted | Una tarea se ha marcado como completada por un usuario o una aplicación. |
| Copia de un plan | PlanCopied | Un usuario o una aplicación copió un plan. Si la operación de copia era ResultStatus.Failure o ResultStatus.Failure, newPlanId es null, newContainerType es ContainerType.Invalid y newContainerId es null. |
| Creación de un objetivo | GoalCreated | Un objetivo lo creó un usuario o una aplicación. Si la operación de creación era ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId es null y PlanId es null. |
| Creación de un plan | PlanCreado | Un usuario o una aplicación crearon un plan. Si la operación de creación era ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId es null, ContainerType es ContainerType.Invalid y ContainerId es null. |
| Creación de una lista | RosterCreated | Un usuario o una aplicación crearon una lista. Si la operación de creación era ResultStatus.Failure o ResultStatus.AuthorizationFailure, objectId es null, MemberIds es una cadena vacía. |
| Creación de una tarea | TaskCreated | Un usuario o una aplicación crearon una tarea. Si la operación de creación era ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId es null y PlanId es null. |
| Eliminación de un objetivo | GoalDeleted | Un objetivo lo eliminó un usuario o una aplicación. |
| Eliminación de un plan | PlanDeleted | Un usuario o una aplicación eliminaron un plan. |
| Eliminación de una lista | RosterDeleted | Un usuario o una aplicación eliminaron una lista. |
| Eliminación de una tarea | TaskDeleted | Un usuario o una aplicación eliminaron una tarea. |
| Modificación de un objetivo | GoalModified | Un objetivo fue modificado por un usuario o una aplicación. |
| Modificación de un plan | PlanModified | Un usuario o una aplicación modificaron un plan. |
| Modificación de una tarea | TaskModified | Un usuario o una aplicación modificaron una tarea. |
| Leer un objetivo | GoalRead | Un objetivo lo leyó un usuario o una aplicación. Si la operación de lectura era ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId es null. |
| Leer una lista de objetivos | GoalListRead | Un usuario o una aplicación consultaron una lista de objetivos. Si la operación de consulta era ResultStatus.Failure o ResultStatus.AuthorizationFailure, GoalList es una cadena vacía. |
| Leer una lista de planes | PlanListRead | Un usuario o una aplicación consultaron una lista de planes. Si la operación de consulta era ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList es una cadena vacía. |
| Leer una lista de tareas | TaskListRead | Un usuario o una aplicación consultaron una lista de tareas. Si la operación de consulta era ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList es una cadena vacía. |
| Leer un plan | PlanRead | Un usuario o una aplicación leyeron un plan. Si la operación de lectura era ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType es ContainerType.Invalid y ContainerId es null. |
| Leer una tarea | TaskRead | Un usuario o una aplicación leyeron una tarea. Si la operación de lectura era ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId es null. |
| Se ha quitado un miembro a una lista | RosterMemberDeleted | Un miembro se quitó de una lista. Si la operación de eliminación era ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds es la lista de identificadores de miembro intentados. |
| Se ha actualizado la etiqueta de confidencialidad de una lista | RosterSensitivityLabelUpdated | Un usuario o una aplicación actualiza la etiqueta de confidencialidad de una lista. |
| Configuración de inquilino actualizada | TenantSettingsUpdated | La configuración de la organización la actualiza un administrador de la organización. Si la operación de actualización era ResultStatus.Failure o ResultStatus.AuthorizationFailure, objectId es la configuración original y TenantSettings es la configuración de la organización que se ha intentado. |
Actividades en Microsoft Power Apps
Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación. La asignación de permisos a las aplicaciones también se audita. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.
Nota:
Los eventos de auditoría de directivas de alerta (alerta de protección) (RecordType:45) no se admiten actualmente para PowerApps.
Actividades en Microsoft Power Automate
Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo.
Actividades de Microsoft Project para la web
Puede buscar en el registro de auditoría actividades en Microsoft Project para la web. Microsoft Project para la web se basa en Microsoft Dataverse y tiene un proyecto de Power App asociado. Para habilitar la auditoría para escenarios en los que el usuario usa Microsoft Dataverse o Project Power App, consulte la guía de la pestaña Auditoría de configuración del sistema . Para obtener una lista de las entidades relacionadas con Project para la web, consulte la guía Exportar datos de usuario de Project para la web.
Para obtener información sobre Microsoft Project para la web, consulte Microsoft Project para la web.
Nota:
La auditoría de eventos para las actividades de Microsoft Project para la web requiere una licencia de Project Plan 1 de pago (o superior).
En la tabla siguiente se enumeran las actividades web de Microsoft Project registradas en el registro de auditoría de Microsoft 365:
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Proyecto creado | ProjectCreated | Un usuario o una aplicación crearon un proyecto. |
| Hoja de ruta creada | RoadmapCreated | Un usuario o una aplicación crearon una hoja de ruta o una cartera. |
| Elemento de hoja de ruta creada | RoadmapItemCreated | Un usuario o una aplicación ha creado un elemento de hoja de ruta o de cartera. |
| Tarea creada | TaskCreated | Un usuario o una aplicación crearon una tarea. |
| Proyecto eliminado | ProjectDeleted | Un usuario o aplicación eliminó un proyecto. |
| Hoja de ruta eliminada | RoadmapDeleted | Un usuario o una aplicación eliminó una hoja de ruta o una cartera. |
| Elemento de hoja de ruta eliminada | RoadmapItemDeleted | Un usuario o una aplicación eliminó un elemento de hoja de ruta o cartera. |
| Tarea eliminada | TaskDeleted | Un usuario o aplicación eliminó una tarea. |
| Proyecto al que se ha accedido | ProjectAccessed | Un usuario o aplicación leyó un proyecto. |
| Se ha accedido a la casa del proyecto | ProjectListAccessed | Un usuario ha consultado una lista de proyectos o hojas de ruta. |
| Mapa de ruta al que se accede | RoadmapAccessed | Un usuario o una aplicación leyó una hoja de ruta o una cartera. |
| Elemento de hoja de ruta al que se ha accedido | RoadmapItemAccessed | Un usuario o aplicación leyó un elemento de hoja de ruta o de cartera. |
| Tarea a la que se tiene acceso | TaskAccessed | Un usuario o aplicación leyó una tarea. |
| Proyecto actualizado | ProjectUpdated | Un usuario o aplicación modificó un proyecto. |
| Se ha actualizado la configuración del proyecto | ProjectForTheWebProjectSettings | Un administrador actualizó la configuración del proyecto. |
| Hoja de ruta actualizada | RoadmapUpdated | Un usuario o una aplicación modificó una hoja de ruta o una cartera. |
| Elemento de hoja de ruta actualizada | RoadmapItemUpdated | Un usuario o aplicación modificó un elemento de hoja de ruta o de cartera. |
| Configuración actualizada del plan de desarrollo | ProjectForTheWebRoadmaptSettings | Un plan de desarrollo o una configuración de cartera actualizados por el administrador. |
| Tarea actualizada | TaskUpdated | Un usuario o aplicación modificó una tarea. |
actividades de solución de Auditoría de Microsoft Purview
En la tabla siguiente se enumeran las actividades asociadas a las soluciones de auditoría en el portal de Microsoft Purview y la Graph API de búsqueda de auditoría. La carga de trabajo SecurityComplianceCenter audita estas actividades. Para obtener más información, vea Buscar en el registro de auditoría.
No se auditan las actividades de búsqueda y exportación que usan Search-UnifiedAuditLog .
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Búsqueda de auditoría cancelada | AuditSearchCancelled | Se canceló un trabajo de búsqueda de auditoría. |
| Búsqueda de auditoría completada | AuditSearchCompleted | Se completó un trabajo de búsqueda de auditoría. |
| Búsqueda de auditoría creada | AuditSearchCreated | Se envió una nueva solicitud de búsqueda de auditoría. |
| Auditoría de búsqueda eliminada | AuditSearchDeleted | Se eliminó un trabajo de búsqueda de auditoría. |
| Auditar el trabajo de exportación de búsqueda completado | AuditSearchExportJobCompleted | Se completó el trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría. |
| Auditar el trabajo de exportación de búsqueda creado | AuditSearchExportJobCreated | Se creó un trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría. |
| Auditar los resultados de exportación de búsqueda descargados | AuditSearchExportResultsDownloaded | Se descargaron los resultados de la búsqueda de una consulta de búsqueda de auditoría. |
Actividades de gobernanza de Microsoft Purview
En la tabla siguiente se enumeran las actividades de gobernanza de Microsoft Purview registradas en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Soluciones de gobernanza de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Recurso o entidad creada | EntityCreated | Se creó o agregó un nuevo recurso o entidad a un recurso existente. |
| Clasificación agregada | ClassificationAdded | Se han agregado clasificaciones a la entidad de recurso. |
| Definición de clasificación creada | ClassificationDefinitionCreated | Creó un tipo de clasificación. |
| Definición de clasificación eliminada | ClassificationDefinitionDeleted | Se ha eliminado un tipo de clasificación. |
| Definición de clasificación actualizada | ClassificationDefinitionUpdated | Se ha actualizado un tipo de clasificación. |
| Clasificación eliminada | ClassificationDeleted | Clasificaciones eliminadas de la entidad de recurso. |
| Clasificación actualizada | ClassificationUpdated | Clasificaciones actualizadas en la entidad de recurso. |
| Entidad eliminada | EntityDeleted | Se eliminó un recurso o entidad de un recurso existente. |
| Entidad actualizada | EntityUpdated | Incluye: actualización de atributos, actualización de atributos empresariales, información de recopilación (solo incluye identificador de colección), actualización de contactos, customAttributes, jerarquía, homeId, etiquetas, sourceDetails |
| Término de glosario asignado | GlosarioTermAssigned | Términos asignados a la entidad de recurso. |
| Término de glosario creado | GlosarioTermCreado | Se ha creado un término. |
| Término del glosario eliminado | GlosarioTermDeleted | Se ha eliminado un término. |
| Término del glosario desasociado | GlosarioTermDisassociated | Términos desasociados de la entidad de recurso. |
| Término del glosario actualizado | GlosarioTermUpdated | Se ha actualizado un término. |
| Etiqueta de confidencialidad cambiada | SensitivityLabelChanged | Se agregó, actualizó o eliminó la etiqueta de confidencialidad. |
Actividades de clasificación a petición de Microsoft Purview
En la tabla siguiente se enumeran las actividades de la clasificación a petición de Microsoft Purview que los registros de auditoría de Microsoft 365. Para obtener más información sobre la clasificación a petición, consulte Información sobre la clasificación a petición en Microsoft Purview.
Nota:
Estas actividades de auditoría solo están disponibles en Auditoría (Premium). Debe tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Archivo clasificado como parte de un examen de clasificación a petición | DataScanClassification | El archivo se evaluó para el contenido confidencial como parte de un examen de clasificación a petición para SharePoint o OneDrive. |
| Archivo clasificado en el dispositivo como parte de un examen de clasificación a petición | SensitiveInfoDiscovered | El archivo se evaluó para el contenido confidencial como parte de un examen de clasificación a petición para dispositivos de punto de conexión. |
| Archivo desclasificado como parte de un examen de clasificación a petición | DataScanDeClassification | El archivo ya no coincide con los tipos de información confidencial definidos en el examen de clasificación a petición correspondiente desencadenado para las ubicaciones de SharePoint o OneDrive. |
administración de agentes de Microsoft Security Copilot
En la tabla siguiente se enumeran las operaciones de administración del agente en Security Copilot que los registros de auditoría de Microsoft 365. Estas actividades caracterizan las actividades de los agentes y los componentes necesarios para que funcionen, como los desencadenadores. Para obtener más información sobre Security Copilot administración de agentes, consulte introducción a los agentes de Microsoft Security Copilot.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha creado un nuevo agente de Security Copilot | CreateCopilotAgent | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo agente de Security Copilot. |
| Se ha creado un nuevo desencadenador de agente de Security Copilot | CreateCopilotforSecurityAgentTrigger | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo promptbook en Copilot. |
| Eliminación de un agente de Security Copilot | DeleteCopilotAgent | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un agente de Security Copilot. |
| Se ha eliminado un desencadenador de agente de Security Copilot | DeleteCopilotForSecurityAgentTrigger | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un desencadenador de Security Copilot. |
| Se ha actualizado una configuración de agente de Security Copilot | UpdateCopilotAgent | Un usuario (o administrador o sistema en nombre de un usuario) actualizó una configuración de agente de Security Copilot. |
| Se ha actualizado un desencadenador de agente de Security Copilot | UpdateCopilotforSecurityAgentTrigger | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de desencadenador de agente de Security Copilot. |
interacciones Microsoft Security Copilot
En la tabla siguiente se enumeran los tipos de interacciones del usuario con los componentes de inteligencia artificial en Security Copilot que los registros de auditoría de Microsoft 365. Estas operaciones representan mensajes individuales, experiencias insertadas o flujos de trabajo agente. Para obtener más información sobre las interacciones Security Copilot, consulte Información general sobre los agentes de Security Copilot y Microsoft Security Copilot.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Interacción con Copilot | CopilotInteraction | Un usuario (o administrador o sistema en nombre de un usuario) escribió mensajes en Copilot o en un agente. |
administración de la plataforma de Microsoft Security Copilot
En la tabla siguiente se enumeran las operaciones de administración de un Security Copilot y sus componentes que los registros de auditoría de Microsoft 365. Estas operaciones representan la configuración de inquilinos o áreas de trabajo o componentes de inteligencia artificial, como complementos y promptbooks. Para obtener más información sobre los elementos de administración de Security Copilot, consulte ¿Qué es Microsoft Security Copilot?
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de un nuevo complemento de Copilot | CreatePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha creado un nuevo complemento de Copilot. |
| Creación de una nueva libreta de mensajes de Copilot | CreatePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo promptbook en Copilot. |
| Se ha eliminado un complemento de Copilot | DeletePlugin | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un complemento de Copilot. |
| Eliminación de una libreta de mensajes de Copilot | DeletePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un promptbook de Copilot. |
| Deshabilitación de un complemento de Copilot | DisableCopilotPlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado un complemento copilot. |
| Deshabilitado un promptbook de Copilot | DisablePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado una libreta de mensajes de Copilot. |
| Habilitado un complemento de Copilot | EnablePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado un complemento de Copilot. |
| Habilitado un promptbook de Copilot | EnablePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado una libreta de mensajes de Copilot. |
| Se ha actualizado una configuración del complemento Copilot | UpdatePlugin | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de complemento de Copilot. |
| Se ha actualizado una configuración de la libreta de mensajes de Copilot. | UpdatePromptBook | Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de la libreta de mensajes de Copilot. |
| Se ha actualizado una configuración de Copilot | UpdateTenantSettings | Un administrador (o sistema en nombre de un administrador) ha actualizado una configuración de Copilot. |
Microsoft Sentinel actividades de herramientas de inteligencia artificial
En la tabla siguiente se enumeran las actividades relacionadas con la herramienta de inteligencia artificial en Microsoft Sentinel lago de datos registrado en el registro de auditoría de Microsoft 365. Para obtener más información sobre las herramientas de MCP en Microsoft Sentinel lago de datos, consulte Recopilación de herramientas en Microsoft Sentinel servidor MCP.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Ejecución de la herramienta de inteligencia artificial completada | SentinelAIToolRunCompleted | Microsoft Sentinel ejecución de la herramienta de inteligencia artificial completada |
| Herramienta de inteligencia artificial creada | SentinelAIToolCreated | El usuario crea una herramienta de inteligencia artificial Microsoft Sentinel |
| Ejecución de la herramienta de inteligencia artificial iniciada | SentinelAIToolRunStarted | Microsoft Sentinel se inició la ejecución de la herramienta de inteligencia artificial |
Microsoft Sentinel actividades de cuadernos de Data Lake
En la tabla siguiente se enumeran las actividades del cuaderno de Microsoft Sentinel Data lake registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre los cuadernos de Microsoft Sentinel data lake, consulte Uso de cuadernos en Microsoft Sentinel data lake.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Eliminación de una tabla personalizada | CustomTableDelete | El usuario eliminó una tabla como parte de la ejecución de su cuaderno. |
| Leer de la tabla | TableRead | El usuario lee una tabla como parte de la ejecución de su cuaderno. |
| Sesión iniciada | SessionStarted | El usuario inició una sesión de cuaderno. |
| Sesión detenida | SessionStopped | El usuario detuvo una sesión de cuaderno. |
| Escrito en una tabla personalizada | CustomTableWrite | El usuario escribió en una tabla como parte de la ejecución de su cuaderno. |
Microsoft Sentinel actividades de trabajo de Data Lake
En la tabla siguiente se enumeran las actividades de trabajo en Microsoft Sentinel lago de datos que los registros de auditoría de Microsoft 365. Para obtener más información sobre los trabajos en Microsoft Sentinel lago de datos, consulte Creación y administración de trabajos de Jupyter Notebook (versión preliminar) y Creación de trabajos de KQL en el lago de datos Microsoft Sentinel (versión preliminar).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Completado un trabajo ejecutar adhoc | JobRunAdhocCompleted | Ejecución de trabajos ad hoc completada. |
| Finalización de una ejecución de trabajo programada | JobRunScheduledCompleted | Ejecución programada del trabajo completada. |
| Trabajo creado | JobCreated | Se crea un trabajo. |
| Eliminación de una tabla personalizada | CustomTableDelete | Como parte de una ejecución de trabajo, se eliminó la tabla personalizada. |
| Trabajo eliminado | JobDeleted | Se elimina un trabajo. |
| Trabajo deshabilitado | JobDisabled | El trabajo está deshabilitado. |
| Trabajo habilitado | JobEnabled | Se vuelve a habilitar un trabajo deshabilitado. |
| Ejecutó un trabajo adhoc | JobRunAdhoc | El trabajo se desencadena manualmente y se inicia la ejecución. |
| Ejecutó un trabajo según la programación | JobRunScheduled | La ejecución del trabajo se desencadena debido a la programación. |
| Leer de la tabla | TableRead | Como parte de la ejecución del trabajo, se lee una tabla. |
| Se ha detenido la ejecución de un trabajo | JobRunStopped | El usuario cancela o detiene manualmente una ejecución de trabajo en curso. |
| Trabajo actualizado | JobUpdated | La definición del trabajo o los detalles de configuración y programación del trabajo si se actualizan. |
| Escrito en una tabla personalizada | CustomTableWrite | Como parte de la ejecución del trabajo, los datos se escribieron en una tabla personalizada. |
Microsoft Sentinel actividades de KQL del lago de datos
En la tabla siguiente se enumeran las actividades de KQL en Microsoft Sentinel lago de datos que los registros de auditoría de Microsoft 365. Para obtener más información sobre KQL en Microsoft Sentinel lago de datos, vea KQL y el lago de datos Microsoft Sentinel (versión preliminar).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Consulta de KQL completada | KQLQueryCompleted | El usuario ejecuta consultas interactivas a través de KQL en los datos de su lago de datos Microsoft Sentinel. |
Microsoft Sentinel actividades de incorporación de data lake
En la tabla siguiente se enumeran las actividades de incorporación Microsoft Sentinel data lake registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre la incorporación a Microsoft Sentinel lago de datos, consulte Incorporación a Microsoft Sentinel lago de datos (versión preliminar).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha cambiado la suscripción de Sentinel lake | SentinelLakeSubscriptionChanged | El usuario modificó el identificador de suscripción de facturación o el grupo de recursos asociado al lago de datos. |
| Datos incorporados para Sentinel lago | SentinelLakeDefaultDataOnboarded | Durante la incorporación, se registran los datos predeterminados incorporados. |
| Configurar Sentinel lago | SentinelLakeSetup | En el momento de la incorporación, se configura Microsoft Sentinel lago de datos y se registran los detalles. |
Microsoft Sentinel actividades de grafos
En la tabla siguiente se enumeran las actividades de grafo de Microsoft Sentinel registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Sentinel gráfico, consulte ¿Qué es Microsoft Sentinel Graph? (versión preliminar).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de un escenario de grafo | GraphScenarioCreated | El usuario creó una instancia de grafo para un escenario de grafo predefinido. |
| Eliminación de un escenario de grafo | GraphScenarioDeleted | El usuario eliminó o deshabilite una instancia de grafo para un escenario de grafo predefinido. |
| Ejecución de una consulta de grafo | GraphQueryRun | El usuario ejecutó una consulta de grafo. |
Actividades de Microsoft Stream
Puede buscar el registro de auditoría para actividades en Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream" en Registros de auditoría en Microsoft Stream.
Actividades de Microsoft Teams
En la tabla siguiente se enumeran las actividades de Microsoft Teams registradas en el registro de auditoría de Microsoft 365. Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams. Teams es un espacio de trabajo de Microsoft 365 orientado en el chat. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para obtener instrucciones de búsqueda más detalladas, consulte Buscar en el registro de auditoría eventos en Microsoft Teams.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Aceptar mensaje | UserAccepted | Acepte un nuevo mensaje de una persona con la que nunca estableció contacto. |
| Bot agregado al equipo | BotAddedToTeam | Un usuario agrega un bot a un equipo. |
| Canal agregado | ChannelAdded | Un usuario agrega un canal a un equipo. |
| Conector agregado | ConnectorAdded | Un usuario agrega un conector a un canal. |
| Se han agregado detalles sobre la reunión 9 de Teams. | MeetingDetail | Teams agregó información sobre una reunión, incluida la hora de inicio, la hora de finalización, la dirección URL para unirse a la reunión y la hora de inicio y detención de la grabación para la reunión. |
| Se agregó información sobre los participantes de la reunión 9 | MeetingParticipantDetail | Teams agregó información sobre los participantes de una reunión, incluido el identificador de usuario de cada participante, la hora en que un participante se unió a la reunión, la hora en que un participante salió de la reunión y la hora de inicio/detención de una grabación de reunión por parte del usuario. También puede ver registros con marcas de tiempo e información sobre: - Quién se unió a una reunión - Dónde se produjo el uso compartido de pantalla - Quién inició el recurso compartido de pantalla - Cuando se produjo el uso compartido de pantalla - Cuando se detuvo el uso compartido de pantalla - Cuando se activó el control de toma, entrega o solicitud - Si se aceptaron estas solicitudes de control - Quién aceptó estas solicitudes de control - Con quién se ha compartido el contenido |
| Miembros agregados 6, 8 | MemberAdded | El propietario de un equipo agrega miembros a un equipo, canal o chat de grupo. |
| Pestaña agregada | TabAdded | Un usuario agrega una pestaña a un canal. |
| Etiqueta de confidencialidad aplicada | SensitivityLabelApplied | Un usuario o organizador de reuniones aplicó una etiqueta de confidencialidad a una reunión de Teams. |
| Solicitud aprobada | ApprovedRequest | Después de que el usuario vea los detalles de la solicitud de aprobación, la aprobó. |
| Bloquear usuario | UserBlocked | Impedir que un usuario le envíe mensajes. |
| Solicitud de aprobación cancelada | CanceledApprovalRequest | El usuario canceló una solicitud de aprobación que realizó. |
| Aprobación cancelada de forma asincrónica | CancelledApprovalAsync | El usuario cancela una solicitud de aprobación de forma asincrónica. |
| Configuración de canal cambiada | ChannelSettingChanged | La operación ChannelSettingChanged se registra cuando se realizan las siguientes actividades por un miembro del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
| Configuración de organización cambiada | TeamsTenantSettingChanged | La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams en toda la organización. Para más información, consulte Administración de la configuración de Teams para su organización. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
| Rol cambiado de miembros del equipo | MemberRoleChanged | El propietario del equipo cambia el rol de los miembros del equipo. Los valores siguientes indican el tipo de rol asignado al usuario. 1 - El rol Miembro. 2 - El rol propietario. 3 - El rol invitado. La propiedad Members también incluye el nombre de la organización y la dirección de correo electrónico del miembro. |
| Etiqueta de confidencialidad modificada | SensitivityLabelChanged | Un usuario cambió una etiqueta de confidencialidad en una reunión de Teams. |
| Configuración de equipo cambiada | TeamSettingChanged | La operación TeamSettingChanged se registra cuando se realizan las siguientes actividades por el dueño del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
|
| Creación de una instancia de plantilla con ámbito de organización | CreateOrgScopedTemplateInstance | El usuario creó una instancia de plantilla con ámbito de organización. |
| Creación de una instancia de plantilla con ámbito de equipo | CreateTeamScopedTemplateInstance | El usuario creó una instancia de plantilla con ámbito de equipo. |
| Creación de una solicitud de actualización | CreateUpdateRequest | El usuario ha creado una nueva plantilla de actualización. |
| Creado un chat 1, 6 | ChatCreated | Se creó un chat de Teams. |
| Aprobación creada | CreatedApproval | El usuario ha creado una nueva solicitud de aprobación. |
| Aprobación creada de forma asincrónica | CreatedApprovalAsync | El usuario crea una nueva solicitud de aprobación de forma asincrónica. |
| Trabajo de exportación creado | CreatedExportJob | El usuario creó un trabajo de exportación. |
| Aprovisionamiento creado | CreatedProvisioning | Aprovisionamiento creado por el usuario de la instancia de CDS (Common Data Service). |
| Equipo creado | TeamCreated | El usuario crea un equipo. |
| Eliminación de la solicitud de actualización | DeleteUpdateRequest | El usuario elimina una plantilla de actualización. |
| Se ha eliminado un mensaje 2 | MessageDeleted | Se eliminó un mensaje en un chat o canal. |
| Eliminación de todas las aplicaciones de la organización | DeletedAllOrganizationApps | Se eliminaron todas las aplicaciones de la organización del catálogo. |
| Aplicación eliminada | AppDeletedFromCatalog | Se eliminó una aplicación del catálogo. |
| Canal eliminado | ChannelDeleted | Un usuario elimina un canal de un equipo. |
| Equipo eliminado | TeamDeleted | Un propietario de equipo elimina un equipo. |
| Intento de suplantación detectado | TeamsImpersonationDetected | Se detecta que un remitente de mensajes externos tiene una posible actividad de suplantación. |
| Archivo descargado | DownloadedFile | El usuario descargó el archivo adjunto a una solicitud de aprobación. |
| Edición de la instancia de plantilla con ámbito de organización | EditOrgScopedTemplateInstance | El usuario editó una instancia de plantilla con ámbito de organización. |
| Edición de la instancia de plantilla con ámbito de equipo | EditTeamScopedTemplateInstance | El usuario editó una instancia de plantilla con ámbito de equipo. |
| Editar solicitud de actualización | EditUpdateRequest | El usuario abre el Asistente para editar plantillas y selecciona el botón Guardar para confirmar cualquier actualización o habilitar o deshabilitar plantillas. |
| Edición de un mensaje con un vínculo de dirección URL en Teams | MessageEditedHasLink | Un usuario edita un mensaje y le agrega un vínculo de dirección URL en Teams. |
| Solicitud de aprobación editada | EditApprovalRequest | El usuario realizó una acción de edición en una solicitud de aprobación. |
| Mensajes exportados 1,2 | MensajesExportados | Se exportaron mensajes de chat o de canal. |
| Grabaciones exportadas 1 | GrabaciónExportado | Se exportaron grabaciones de chat. |
| Transcripciones exportadas 1 | TranscripcionesExportadas | Se exportaron transcripciones de chat. |
| No se pudo validar la invitación al canal compartido 3 | FailedValidation | Un usuario responde a una invitación a un canal compartido, pero la invitación no pudo validarse. |
| Captura de todo el contenido hospedado de un mensaje1 | MessageHostedContentsListed | Se recuperó todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código. |
| Chat capturado 1 | ChatRetrieved | Se recuperó un chat de Microsoft Teams. |
| Obtención de una instancia de plantilla con ámbito de organización | GetOrgScopedTemplateInstance | El usuario capturó una instancia de plantilla con ámbito de organización. |
| Obtención de una instancia de plantilla con ámbito de equipo | GetTeamScopedTemplateInstance | El usuario capturó una instancia de plantilla con ámbito de equipo. |
| Operación async | GotAsyncOperation | El usuario obtuvo una entidad de operación asincrónica. |
| Aplicación instalada | AppInstalled | Se instaló una aplicación. |
| Acción realizada en la tarjeta | PerformedCardAction | Un usuario tomó medidas en una tarjeta adaptable dentro de un chat. Los bots suelen usar tarjetas adaptables para permitir la visualización enriquecida de información e interacción en los chats. Solo las acciones de entrada insertadas en una tarjeta adaptable dentro de un chat están disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario, como "Ver resultado", que abre un cuadro de diálogo, o las acciones de usuario dentro de los diálogos no están disponibles en el registro de auditoría. |
| Rellenar notas generadas por IA en el chat | AINotesUpdate | Las notas generadas por IA se rellenaron para un chat de grupo. |
| Rellenar notas generadas por IA en reuniones en directo | LiveNotesUpdate | Las notas generadas por IA se rellenaron para una reunión en directo. |
| Mensaje nuevo publicado 3,4,6, 8 | MessageSent | Se ha publicado un nuevo mensaje en un chat o canal. |
| Aplicación publicada | AppPublishedToCatalog | Se agregó una aplicación al catálogo. |
| Leer un mensaje 1 | MessageRead | Se recuperó un mensaje de un chat o canal. |
| Lectura del contenido hospedado de un mensaje 1 | MessageHostedContentRead | Se recuperó el contenido hospedado en un mensaje, como una imagen o un fragmento de código. |
| Solicitud de aprobación reasignada | ReasignadoApprovalRequest | El usuario ha reasignado una solicitud de aprobación a otro usuario. |
| Solicitud de aprobación rechazada | RejectedApprovalRequest | Después de que el usuario vea los detalles de la solicitud de aprobación, la rechazó. |
| Bot quitado del equipo | BotRemovedFromTeam | Un usuario quita un bot de un equipo. |
| Conector quitado | ConnectorRemoved | Un usuario quita un conector de un canal. |
| Miembros eliminados 6, 8 | MemberRemoved | El propietario de un equipo quita a los miembros de un equipo, canal o chat de grupo. |
| Etiqueta de confidencialidad eliminada | SensitivityLabelRemoved | Un usuario quitó una etiqueta de confidencialidad de una reunión de Teams. |
| Se ha quitado el uso compartido del canal de equipo 3. | TerminatedSharing | Un equipo o propietario del canal ha deshabilitado el uso compartido de un canal compartido. |
| Pestaña removida | TabRemoved | Un usuario quita una pestaña de un canal. |
| Respuesta a la aprobación | RespondedToApproval | El usuario tomó medidas en una solicitud de aprobación. |
| Respuesta a la invitación para el canal compartido 3 | InviteeResponded | Un usuario respondió a una invitación de canal compartido. |
| Respuesta a la invitación al canal compartido 3 | ChannelOwnerResponded | Un propietario del canal respondió a una respuesta de un usuario que respondió a una invitación de canal compartido. |
| Respuesta con respuesta personalizada | RespondedWithCustomResponse | El usuario respondió con un texto de respuesta personalizado a una solicitud de aprobación. |
| Uso compartido restaurado del canal de equipo 3 | SharingRestored | Un equipo o propietario del canal ha vuelto a habilitar el uso compartido para un canal compartido. |
| Mensajes recuperados 1 | MessagesListed | Se recuperaron los mensajes de un chat o canal. |
| Contenido confidencial compartido | SensitiveContentShared | Se registra cuando la opción Detectar contenido confidencial durante la reunión de uso compartido de pantalla está habilitada para una reunión de Teams y, dentro de esa reunión, se muestra contenido confidencial (por ejemplo, números de tarjeta de crédito, números de cuenta bancaria, números de seguridad social y números de identificación similares) en la pantalla durante una sesión de uso compartido de pantalla. Para más información, consulte Administración de si las reuniones de su organización pueden detectar contenido confidencial durante el uso compartido de pantalla. |
| Enviar un mensaje con un vínculo de dirección URL en Teams | MessageCreatedHasLink | Un usuario envía un mensaje que contiene un vínculo de dirección URL en Teams. |
| Notificación de cambio enviada para la creación de mensajes 1 | MessageCreatedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un nuevo mensaje. |
| Notificación de cambio enviada para la eliminación de mensajes 1 | MessageDeletedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado. |
| Notificación de cambio enviada para la actualización de mensajes 1 | MessageUpdatedNotification | Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje actualizado. |
| Invitación enviada para el canal compartido 3 | InviteSent | Un propietario o miembro del canal envía una invitación a un canal compartido. Las invitaciones a canales compartidos se pueden enviar a personas ajenas a la organización si la directiva de canal está configurada para compartir el canal con usuarios externos. |
| Enviar actualización | SubmitUpdate | El usuario envió una nueva actualización. |
| Suscripción a las notificaciones de cambio de mensaje 1 | SubscribedToMessages | Una aplicación de agente de escucha creó una suscripción para recibir notificaciones de cambios para los mensajes. |
| Acción de Administración de Teams | TeamsAdminAction | Se registra cuando un administrador de Teams realiza acciones como actualizar, agregar o eliminar configuraciones relacionadas con Teams mediante herramientas de administración como PowerShell, Administración Center, API, etc. |
| Creación de subprocesos sondeadas | CreateThreadProbe | Un usuario sondeó si puede crear un chat con los usuarios de su organización. Las propiedades siguientes se rellenan para cada una de estas actividades: Actividad: nombre de esta actividad, CreateThreadProbe. CorrelationId: identificador de solicitud único para el registro de auditoría. CreationTime: la hora a la que se creó el registro de auditoría. ExtraProperties**: contiene un único par clave-valor que describe el entorno donde se inició la solicitud de sondeo. Id. : identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría. OrganizationId: el GUID de la organización de Microsoft 365. ParticipantInfo: contiene una lista de pares objectId y tenantId que describen el conjunto de usuarios de destino en el que el usuario iniciador (usuario UserKey) inició el sondeo. En otras palabras, se trata del conjunto de usuarios con el que el usuario iniciador quiere crear un subproceso. Solo contiene usuarios de su organización. RecordType: tipo de operación indicado por el registro. UserID: nombre principal del usuario que inició el sondeo. UserKey: GUID del usuario que inició el sondeo. UserSIPDomain: dominio SIP del usuario que inició el sondeo. UserTenantId:El inquilino del usuario que inició el sondeo. UserType: el tipo del usuario que inició el sondeo. Solo toma el valor 0, que representa un usuario normal de AAD. Versión: número de versión de la actividad (identificada por la propiedad Operation) que se registra. Carga de trabajo: el servicio donde se produjo la actividad. |
| Desbloquear usuario | UserUnblocked | Desbloquee un usuario que se bloqueó anteriormente. |
| Aplicación desinstalada | AppUninstalled | Se ha desinstalado una aplicación. |
| Se ha actualizado un chat 1 | ChatUpdated | Se actualizó un chat de Teams. |
| Se ha actualizado un mensaje 1 | MessageUpdated | Se actualizó un mensaje de un chat o canal. |
| Aplicación actualizada | AppUpdatedInCatalog | Se actualizó una aplicación en el catálogo. |
| Solicitud de aprobación actualizada de forma asincrónica | UpdatedApprovalRequestAsync | El usuario tomó medidas en una solicitud de aprobación de forma asincrónica. |
| Conector actualizado | ConnectorUpdated | Un usuario ha modificado un conector en un canal. |
| Pestaña actualizada | TabUpdated | Un usuario ha modificado una pestaña en un canal. |
| Aplicación actualizada | AppUpgraded | Una aplicación se actualizó a su versión más reciente en el catálogo. |
| Usuario que ha iniciado sesión en Equipos | TeamsSessionStarted | Un usuario inicia sesión en un cliente de Microsoft Teams. Este evento no captura las actividades de actualización de tokens. |
| Ver solicitud de aprobación | ViewApprovalRequest | El usuario realiza una solicitud para ver una solicitud de aprobación. |
| Ver actualización | ViewUpdate | El usuario ve los detalles de la actualización. |
| Solicitud de aprobación vista | ViewedApprovalRequest | El usuario ve los detalles de la solicitud de aprobación desde la tarjeta adaptable o dentro de la aplicación. |
| Aprobación vista con campo adicional | ViewedApprovalWithAdditionalField | El usuario ve los detalles de la solicitud de aprobación que contiene al menos un campo de texto modificable. |
| Aprobación vista con solicitud de grupo | ViewedApprovalWithGroupRequest | El usuario ve los detalles de la solicitud de aprobación con un grupo incluido. |
Nota:
1 Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a un Graph API de Microsoft. Si la operación se realiza en el cliente de Teams, no se registra un registro de auditoría.
2 Este evento solo está disponible en Auditoría (Premium). Esto significa que se debe asignar a los usuarios la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría (Premium), consulte Auditoría (Premium) en Microsoft Purview. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
3 Este evento está en versión preliminar pública.
4Este evento se genera para el chat solo si hay invitados, usuarios federados o anónimos.
5 Este evento no está disponible actualmente en las organizaciones Government Community Cloud (GCC), Government Community Cloud High (GCC-High) y Department of Defense (DoD).
6 Este evento se incluye en todos los inquilinos participantes para los chats federados.
7 Este evento tiene información de dominio participante para los chats federados 1:1.
8 Este evento se incluye en todas las conversaciones de chat entre usuarios externos de Teams administrados por una organización y usuarios externos de Teams no administrados por una organización.
9 Este evento no está disponible actualmente en government community cloud (GCC), pero está disponible en las organizaciones Government Community Cloud High (GCC-High) y Department of Defense (DoD).
Actividades de Microsoft Teams para Sanidad
Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con la aplicación Pacientes. Si el entorno está configurado para admitir la aplicación Pacientes, hay disponible un grupo de actividad adicional para estas actividades en la lista Selector de actividades .
Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.
Actividades de Turnos en Microsoft Teams
En la tabla siguiente se enumeran las actividades de la aplicación Shift en Microsoft Teams registradas en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con la aplicación Shifts. Si el entorno está configurado para admitir aplicaciones Shifts, la lista Selector de actividades incluye un grupo de actividades adicional para estas actividades.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Mensaje de desplazamiento desactivado aceptado | OffShiftDialogAccepted | Un usuario ha confirmado el mensaje de desactivación de turnos para acceder a Teams después de las horas de turno. |
| Se agregó el turno abierto | OpenShiftAdded | Un usuario agregó un turno abierto a un grupo de programación. |
| Grupo de programación agregado | ScheduleGroupAdded | Un usuario agregó un nuevo grupo de programación a la programación. |
| Desplazamiento agregado | MayúsAgregar | Un usuario agregó un turno. |
| Solicitud de desplazamiento agregada | RequestAdded | Un usuario agregó una solicitud de turno. |
| Entrada de reloj de hora agregada | TimeClockEntryAdded | Un usuario agregó una nueva entrada de reloj de hora manual en la hoja de horas. |
| Tiempo de expiración agregado | TimeOffAdded | Un usuario agregó tiempo de inaprovisionamiento en la programación. |
| Integración de la fuerza de trabajo agregada | WorkforceIntegrationAdded | La aplicación Shifts se integra con un sistema de terceros. |
| Solicitud de desplazamiento cancelada | RequestCancelled | Un usuario canceló una solicitud de turno. |
| Configuración de programación modificada | ScheduleSettingChanged | Un usuario cambió una configuración en La configuración de turnos. |
| Se ha cronometrado con el reloj de hora | ClockedIn | Un usuario ha cronometrado con el reloj de hora. |
| Se ha agotado el reloj con el reloj de hora | ClockedOut | Un usuario ha agotado el tiempo de reloj con el reloj de hora. |
| Desplazamiento abierto eliminado | OpenShiftDeleted | Un usuario eliminó un turno abierto de un grupo de programación. |
| Grupo de programación eliminado | ScheduleGroupDeleted | Un usuario eliminó un grupo de programación de la programación. |
| Desplazamiento eliminado | ShiftDeleted | Un usuario eliminó un turno. |
| Entrada de reloj de hora eliminada | TimeClockEntryDeleted | Un usuario eliminó una entrada de reloj de hora en la hoja de tiempo. |
| Tiempo de expiración eliminado | TimeOffDeleted | Un usuario eliminó el tiempo de expiración. |
| Turno abierto editado | OpenShiftEdited | Un usuario editó un turno abierto en un grupo de programación. |
| Grupo de programación editado | ScheduleGroupEdited | Un usuario editó un grupo de programación. |
| Desplazamiento editado | MayúsEdited | Un usuario editó un turno. |
| Entrada de reloj de hora editada | TimeClockEntryEdited | Un usuario editó una entrada de reloj de hora en la hoja de horas. |
| Tiempo de expiración editado | TimeOffEdited | Tiempo de expiración de edición del usuario. |
| Interrupción finalizada mediante el reloj de hora | BreakEnded | Un usuario finalizó una interrupción durante una sesión de reloj de hora activa. |
| Respuesta a la solicitud de cambio | RequestRespondedTo | Un usuario respondió a una solicitud de turno. |
| Programación compartida | ScheduleShared | Un usuario ha compartido una programación de equipo para un intervalo de fechas. |
| Inicio de la interrupción mediante el reloj de hora | BreakStarted | Un usuario inició una interrupción durante una sesión de reloj de hora activa. |
| Se retiró la programación | ScheduleWithdrawn | Un usuario retiró una programación publicada. |
Actividades de Novedades de Microsoft Teams
En la tabla siguiente se enumeran las actividades de la aplicación Novedades en Microsoft Teams registradas en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación Novedades en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con la aplicación Novedades. Si el entorno está configurado para admitir Novedades aplicaciones, la lista Selector de actividades incluye un grupo de actividades adicional para estas actividades.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Creación de una solicitud de actualización | CreateUpdateRequest | Un usuario ha creado una solicitud de actualización. |
| Edición de una solicitud de actualización | EditUpdateRequest | Un usuario abre el flujo de trabajo de edición de solicitudes y selecciona Guardar para confirmar y guardar los cambios, o habilita o deshabilita la solicitud de actualización directamente. |
| Envío de una actualización | SubmitUpdate | Un usuario envió una actualización. |
| Ver los detalles de una actualización | ViewUpdate | Un usuario ve los detalles de la actualización. |
Actividades pendientes de Microsoft
En la tabla siguiente se enumeran las actividades de Microsoft To Do que los registros de auditoría de Microsoft 365. Para obtener más información sobre Microsoft To Do, consulte Compatibilidad con Microsoft To Do.
Nota:
Para auditar eventos de actividades de Microsoft To Do, necesita una licencia de Project Plan 1 de pago (o superior) además de la licencia de Microsoft 365 pertinente que incluya derechos a Audit (Standard).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Vínculo de uso compartido aceptado en la carpeta | AcceptedSharingLinkOnFolder | Vínculo de uso compartido aceptado para una carpeta. |
| Datos adjuntos creados | AttachmentCreated | Se creó un archivo adjunto para una tarea. |
| Datos adjuntos eliminados | AttachmentDeleted | Se eliminó un archivo adjunto. |
| Datos adjuntos actualizados | AttachmentUpdated | Se ha actualizado un archivo adjunto. |
| Vínculo compartido de uso compartido de carpetas | FolderSharingLinkShared | Se ha creado un vínculo de uso compartido para una carpeta. |
| Entidad vinculada creada | LinkedEntityCreated | Se creó una entidad vinculada de tarea. |
| Entidad vinculada eliminada | LinkedEntityDeleted | Se eliminó una entidad vinculada. |
| Entidad vinculada actualizada | LinkedEntityUpdated | Se actualizó una entidad vinculada. |
| SubTask creado | SubTaskCreated | Se creó una subtarea. |
| SubTask eliminado | SubTaskDeleted | Se eliminó una subtarea. |
| SubTask actualizado | SubTaskUpdated | Se actualizó una subtarea. |
| Tarea creada | TaskCreated | Se creó una tarea. |
| Tarea eliminada | TaskDeleted | Se eliminó una tarea. |
| Lectura de tareas | TaskRead | Se leyó una tarea. |
| Tarea actualizada | TaskUpdated | Se actualizó una tarea. |
| TaskList creado | TaskListCreated | Se creó una lista de tareas. |
| TaskList read | TaskListRead | Se leyó una lista de tareas. |
| TaskList actualizado | TaskListUpdated | Se actualizó una lista de tareas. |
| Invitado por el usuario | UserInvited | Usuario invitado a una carpeta. |
actividades de Microsoft Viva Insights
Viva Insights proporciona información sobre cómo colaboran los grupos en toda la organización. En la tabla siguiente se enumeran las actividades registradas en el registro de auditoría de Microsoft 365 que los usuarios asignados a los roles administrador o analista de Viva Insights realizan. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis. Los usuarios asignados al rol Administrador pueden configurar los valores predeterminados de privacidad y del sistema, y pueden preparar, cargar y comprobar los datos de la organización en Viva Insights. Para obtener más información, consulte Introducción a Microsoft Viva Insights.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Vínculo de acceso de OData | AccessedOdataLink | El analista ha accedido al vínculo OData para una consulta. |
| Se ha agregado el acceso de delegado | AddDelegates | Un usuario agregó acceso delegado para información de la organización o panel de Copilot. |
| Consulta cancelada | CanceledQuery | El analista canceló una consulta en ejecución. |
| Exclusión de reuniones creada | MeetingExclusionCreated | El analista creó una regla de exclusión de la reunión. |
| Resultado eliminado | DeletedResult | El analista ha eliminado un resultado de la consulta. |
| Reporte descargado | DownloadedReport | El analista ha descargado un archivo de resultado de la consulta. |
| Consulta ejecutada | ExecutedQuery | El analista ha ejecutado una consulta. |
| Configuración de CXO modificada | ModifiedCXOSettings | Este evento registra la asignación o eliminación de usuarios o grupos para acceder al panel de Microsoft 365 Copilot. |
| Lista de exclusión modificada mediante el grupo entra | ModifiedExclusionListUsingEntraGroup | Este evento registra los cambios en la lista de exclusión mediante el grupo Entra en el panel de Copilot. |
| Tamaño mínimo de grupo modificado | ModifiedMinimumGroupSize | Este evento registra las modificaciones en el tamaño mínimo del grupo de la organización para generar información en el panel de Copilot y el análisis avanzado de Viva Insights. |
| Se ha quitado el acceso de delegado | RemoveDelegates | Un usuario quitó el acceso delegado para información de la organización o el panel de Copilot. |
| Configuración de acceso a datos actualizada | UpdatedDataAccessSetting | Configuración de acceso a datos de administrador actualizada |
| Datos de la organización cargados. | UploadedOrgData | Archivo de datos de la organización cargado por el administrador. |
| Usuario que ha iniciado sesión* | UserLoggedIn | Un usuario ha iniciado sesión en su cuenta de usuario de Microsoft 365. |
| Explorar vista | ViewedExplore | El analista visualizó una o más pestañas de la página de exploración. |
Nota:
*Cuando un usuario inicia sesión, se crea un evento de actividad de inicio de sesión de Microsoft Entra. Esta actividad se registra incluso si no activa Viva Insights en su organización. Para obtener más información sobre las actividades de inicio de sesión de usuario, consulte Inicio de sesión en Microsoft Entra ID.
Actividades de información personal
En la tabla siguiente se enumeran las actividades de información personal registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre información personal, consulte Administración guía de información personal.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración actualizada de MyAnalytics de la organización | UpdatedOrganizationMyAnalyticsSettings | Administración actualiza la configuración de nivel de organización para obtener información personal. |
| Actualización de la configuración de MyAnalytics del usuario | UpdatedUserMyAnalyticsSettings | Administración actualiza la configuración del usuario para obtener información personal. |
Actividades de cuarentena
En la tabla siguiente se enumeran las actividades de cuarentena registradas en el registro de auditoría de Microsoft 365. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Mensaje de cuarentena eliminado | QuarantineDeleteMessage | Un administrador o usuario eliminó un mensaje de correo electrónico que era perjudicial. |
| Solicitud de liberación de mensajes de cuarentena denegados | QuarantineReleaseRequestDeny | Denegación de administración de una solicitud de versión de un usuario para un mensaje de correo electrónico que era perjudicial. |
| Mensaje de cuarentena exportado | QuarantineExport | Un administrador o usuario exportó un mensaje de correo electrónico que era perjudicial. |
| Vista previa de mensaje de cuarentena | QuarantinePreview | Un administrador o usuario obtuvo una vista previa de un mensaje de correo electrónico que era perjudicial. |
| Mensaje de cuarentena de solicitud de versión | QuarantineReleaseRequest | Un usuario solicitó el lanzamiento de un mensaje de correo electrónico que fuera perjudicial. |
| Mensaje de cuarentena liberado | QuarantineRelease | Un administrador o usuario publicó un mensaje de correo electrónico de la cuarentena que era perjudicial. |
| Vista de encabezado mensaje de cuarentena | QuarantineViewHeader | Un administrador o usuario ha visto el encabezado de un mensaje de correo electrónico que era perjudicial. |
Actividades de informe
En la tabla siguiente se enumeran las actividades de los informes de uso registrados en el registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Configuración de privacidad del informe de uso actualizada | UpdateUsageReportsPrivacySetting | El administrador ha actualizado la configuración de privacidad de los informes de uso. |
Actividades de las directivas y etiquetas de retención
En la tabla siguiente se enumeran las actividades de configuración registradas en el registro de auditoría de Microsoft 365 para las directivas de retención y las etiquetas de retención al crearlas, volver a configurarlas o eliminarlas.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Modificación de la pertenencia al ámbito de adaptación | ApplicableAdaptiveScopeChange | Los usuarios, sitios o grupos se agregaron o quitaron del ámbito de adaptación. Estos cambios son el resultado de la ejecución de la consulta del ámbito. Dado que los cambios se inician en el sistema, el usuario notificado se muestra como un GUID en lugar de como una cuenta de usuario. |
| Opciones configuradas para una directiva de retención | NewRetentionComplianceRule | El administrador estableció la configuración de retención para una nueva directiva de retención. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule. |
| Ámbito de adaptación creado | NewAdaptiveScope | El administrador creó un ámbito de adaptación. |
| Etiqueta de retención creada | NewComplianceTag | El administrador creó una etiqueta de retención nueva. |
| Directiva de retención creada | NewRetentionCompliancePolicy | El administrador creó una nueva directiva de retención. |
| Ámbito de adaptación eliminado | RemoveAdaptiveScope | El administrador eliminó un ámbito de adaptación. |
| Etiqueta de retención eliminada | RemoveComplianceTag | El administrador eliminó una etiqueta de retención. |
| Directiva de retención eliminada | RemoveRetentionCompliancePolicy |
El administrador eliminó una directiva de retención. |
| Configuración eliminada de una directiva de retención | RemoveRetentionComplianceRule |
El administrador eliminó las opciones de configuración de una directiva de retención. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule. |
| Opción de registro normativo habilitada para etiquetas de retención |
SetRestrictiveRetentionUI | El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario. |
| Etiqueta de limpieza de prioridad aplicada en el archivo | PriorityCleanupTagApplied | Una etiqueta de retención para la limpieza de prioridad se aplica a un elemento en OneDrive o SharePoint (incluye el reemplazo de etiquetas) |
| Elemento de correo electrónico retenido de forma proactiva | ExchangeDataProactivelyPreserved | La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en Exchange. |
| Archivo retenido de forma proactiva | SharePointDataProactivelyPreserved | La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en SharePoint o OneDrive. |
| Ámbito de adaptación actualizado | SetAdaptiveScope | El administrador cambió la descripción o consulta de un ámbito de adaptación existente. |
| Etiqueta de retención actualizada | SetComplianceTag | El administrador actualizó una etiqueta de retención existente. |
| Directiva de retención actualizada | SetRetentionCompliancePolicy | El administrador actualizó una directiva de retención existente. Las actualizaciones que desencadenan este evento incluyen agregar o excluir ubicaciones de contenido a las que se aplica la directiva de retención. |
| Configuración actualizada para una directiva de retención | SetRetentionComplianceRule | El administrador cambió la configuración de retención de una directiva de retención existente. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule. |
Actividades de administración de roles
En la tabla siguiente se enumeran Microsoft Entra actividades de administración de roles registradas en el registro de auditoría de Microsoft 365 cuando un administrador administra los roles de administrador en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.
Nota:
Los nombres de operación enumerados en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Agregar miembro a un rol | Agregar miembro a un rol. | Se ha agregado un usuario a un rol de administrador en Microsoft 365. |
| Se ha removido un usuario de un rol de directorio | Quitar miembro de un rol. | Se ha eliminado un usuario desde un rol de administrador en Microsoft 365. |
| Establecer la información de contacto de la empresa | Establecer la información de contacto de la empresa. | Se han actualizado las preferencias de contacto a nivel empresarial de la organización. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios. |
Actividades de tipos de información confidencial
En la tabla siguiente se enumeran los eventos de auditoría de las actividades registradas en el registro de auditoría de Microsoft 365 que implican la creación y actualización de tipos de información confidencial.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha creado un nuevo tipo de información confidencial | CreateRulePackage/EditRulePackage* | Se creó un nuevo tipo de información confidencial. Esta información incluye los SIT creados mediante la copia de un SIT de fábrica. Nota: Esta actividad aparece en las actividades de auditoría "Paquete de reglas creadas" o "Paquete de reglas editado". |
| Eliminación de un tipo de información confidencial | EditRulePackage/RemoveRulePackage | Se eliminó un tipo de información confidencial existente. Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado" o "Paquete de reglas quitado". |
| Editado un tipo de información confidencial | EditRulePackage | Se editó un tipo de información confidencial existente. Esta información puede incluir operaciones como agregar o quitar un patrón y editar la expresión regular o la palabra clave asociada al tipo de información confidencial. Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado". |
Actividades de la etiqueta de confidencialidad
En la tabla siguiente se enumeran los eventos registrados en el registro de auditoría de Microsoft 365 que resultan del uso de etiquetas de confidencialidad con contenedores y elementos administrados por Microsoft Purview. Los contenedores incluyen sitios de SharePoint, sitios de Teams y áreas de trabajo Loop. Los elementos incluyen documentos, correos electrónicos, eventos de calendario, componentes y páginas Loop y páginas de Copilot. Para las directivas de etiquetado automático, los elementos también incluyen archivos y recursos de datos en Mapa de datos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelApplied SensitivityLabelApplied |
Se aplicó una etiqueta de confidencialidad a un elemento mediante aplicaciones de Microsoft 365, Office para la Web, el panel de detalles de una biblioteca de documentos de SharePoint o desde la pestaña Archivos de Teams o una directiva de etiquetado automático. Las operaciones de esta actividad son diferentes en función de cómo se aplicó la etiqueta: - Office para la Web, panel de detalles de una biblioteca de documentos de SharePoint o la pestaña Archivos de Teams, o una directiva de etiquetado automático (FileSensitivityLabelApplied) - Aplicaciones de Microsoft 365 (SensitivityLabelApplied) |
| Etiqueta de confidencialidad aplicada al sitio | SiteSensitivityLabelApplied | Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint, a un sitio de Teams que no está conectado a grupos o a un área de trabajo de Loop. |
| Se ha cambiado la etiqueta de confidencialidad aplicada al archivo | FileSensitivityLabelChanged SensitivityLabelUpdated |
Se aplicó una etiqueta de confidencialidad diferente a un elemento. Las operaciones de esta actividad son diferentes en función de cómo se cambió la etiqueta: - Office para la Web, panel de detalles de una biblioteca de documentos de SharePoint o la pestaña Archivos de Teams, o una directiva de etiquetado automático (FileSensitivityLabelChanged) - Aplicaciones de Microsoft 365 (SensitivityLabelUpdated) |
| Etiqueta de confidencialidad modificada en un sitio | SiteSensitivityLabelChanged | Se aplicó una etiqueta de confidencialidad diferente a un sitio de SharePoint, a un sitio de Teams que no está conectado a grupos o a un área de trabajo de Loop. |
| No se pudo aplicar la etiqueta de confidencialidad del archivo | FileSensitivityLabelAppliedFailed | No se pudo aplicar una etiqueta de confidencialidad a un elemento mediante Office para la Web, el panel de detalles de una biblioteca de documentos de SharePoint, la pestaña Archivos de Teams o una directiva de etiquetado automático. |
| No se pudo cambiar la etiqueta de confidencialidad del archivo | FileSensitivityLabelChangedFailed | No se pudo aplicar una etiqueta de confidencialidad diferente a un elemento mediante Office para la Web, el panel de detalles de una biblioteca de documentos de SharePoint o desde la pestaña Archivos de Teams o una directiva de etiquetado automático. |
| No se pudo quitar la etiqueta de confidencialidad de archivos | FileSensitivityLabelRemovedFailed | No se pudo quitar una etiqueta de confidencialidad de un elemento mediante Office para la Web, el panel de detalles de una biblioteca de documentos de SharePoint, la pestaña Archivos de Teams o una directiva de etiquetado automático. |
| Etiqueta de confidencialidad eliminada del sitio | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Se quitó una etiqueta de confidencialidad de un elemento mediante aplicaciones de Microsoft 365, Office para la Web, el panel de detalles de una biblioteca de documentos de SharePoint o la pestaña Archivos de Teams, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile. Las operaciones de esta actividad son diferentes en función de cómo se haya quitado la etiqueta: - Office para la Web, panel de detalles de una biblioteca de documentos de SharePoint o la pestaña Archivos en Teams, o una directiva de etiquetado automático (FileSensitivityLabelRemoved) - Aplicaciones de Microsoft 365 (SensitivityLabelRemoved) |
| Etiqueta de confidencialidad eliminada del sitio | SiteSensitivityLabelRemoved | Se quitó una etiqueta de confidencialidad de un sitio de SharePoint, un sitio de Teams que no está conectado a grupos o un área de trabajo de Loop. |
En la tabla siguiente se enumeran las descripciones de los valores registrados en el registro de auditoría de Microsoft 365 incluidos en la propiedad FailureReason para las actividades de auditoría que registran errores para aplicar, cambiar o quitar etiquetas de confidencialidad. Estas propiedades no están disponibles para otras actividades de etiqueta de confidencialidad:
| FailureReason (propiedad) | Descripción de la propiedad |
|---|---|
| CannotOverrideCurrentLabel | No se asignó una etiqueta de confidencialidad al archivo porque la etiqueta de confidencialidad aplicada actualmente tiene una prioridad mayor. |
| DowngradeJustificationTextMissing | La etiqueta de confidencialidad no se asignó al archivo porque se requiere texto de justificación para esta operación. |
| FileEncrypted | No se asignó una etiqueta de confidencialidad al archivo porque está cifrada. |
| FileExtensionNotSupported | No se asignó una etiqueta de confidencialidad al archivo porque el tipo de archivo no es compatible con esta operación. |
| FileLockedOrCheckedOut | No se asignó una etiqueta de confidencialidad al archivo porque está bloqueada o desprotegida. |
| FileNotFound | No se asignó una etiqueta de confidencialidad al archivo porque no está disponible. |
| FileNotSupported | No se asignó una etiqueta de confidencialidad al archivo porque no admite esta operación. |
| FileTooLarge | No se asignó una etiqueta de confidencialidad al archivo porque es demasiado grande para admitir esta operación. |
| InvalidArgument | No se asignó una etiqueta de confidencialidad al archivo porque algunos parámetros proporcionados para realizar esta operación no son válidos. |
| LabelIdNotFound | No se asignó una etiqueta de confidencialidad al archivo porque la etiqueta de confidencialidad proporcionada no está disponible o no es válida. |
| LabelNotSupported | No se asignó una etiqueta de confidencialidad al archivo porque no se admite la etiqueta de confidencialidad proporcionada. |
| LabelOperationsDisabled | No se asignó una etiqueta de confidencialidad al archivo porque la operación de etiqueta de confidencialidad está deshabilitada en el archivo. |
| MinorVersionLimitExceeded | No se asignó una etiqueta de confidencialidad al archivo porque se superó el límite de versión. |
| UnauthorizedAccessException | No se asignó una etiqueta de confidencialidad al archivo porque el usuario actual no está autorizado para realizar esta operación. |
| Unknown | No se asignó una etiqueta de confidencialidad al archivo debido a un error interno. |
| ZeroByteFileError | No se asignó una etiqueta de confidencialidad al archivo porque la operación no se puede realizar en un archivo de cero bytes. |
Información de auditoría adicional para etiquetas de confidencialidad:
- Cuando se usan etiquetas de confidencialidad para Grupos de Microsoft 365 y, por tanto, sitios de Teams que están conectados a grupos, las etiquetas se auditan con la administración de grupos en Microsoft Entra ID. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID.
- Cuando use etiquetas de confidencialidad para invitaciones a reuniones de Teams y opciones de reunión y chat de Teams, consulte Búsqueda en el registro de auditoría de eventos en Microsoft Teams.
- Cuando use etiquetas de confidencialidad con Power BI, consulte Esquema de auditoría para etiquetas de confidencialidad en Power BI.
- Cuando use etiquetas de confidencialidad con Microsoft Defender para aplicaciones en la nube, consulte Administración de aplicaciones conectadas y la información de etiquetado para las acciones de gobernanza de archivos.
Lista de actividades de SharePoint
En la tabla siguiente se describen las actividades registradas en el registro de auditoría de Microsoft 365 relacionadas con cuándo los usuarios interactúan con listas y elementos de lista en SharePoint. Los registros de auditoría de algunas actividades de SharePoint muestran que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Lista creada | ListCreated | Un usuario ha creado una lista de SharePoint. |
| Columna de lista creada | ListColumnCreated | Un usuario ha creado una columna de lista de SharePoint. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint. |
| Lista de tipo de contenido de lista creado | ListContentTypeCreated | Lista de tipo de contenido creado por un usuario. Una lista de tipo de contenido es un tipo de contenido que está adjunta a una o más listas de SharePoint. |
| Lista de ítems creada | ListItemCreated | Un usuario creó un elemento en una lista de SharePoint existente. |
| Una columna de sitio creada. | SiteColumnCreated | Un usuario ha creado una columna de sitio de SharePoint. Una columna de sitio es una columna que no está adjunta a una lista. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada. |
| Tipo de contenido de sitio creado | Sitio de ContentType creado | Tipo de contenido de sitio creado por un usuario. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal. |
| Lista eliminada | ListDeleted | Un usuario borró una lista de SharePoint. |
| Eliminar Columna de lista | Columna de lista eliminada | Un usuario borró una columna de lista de SharePoint. |
| Lista de tipo de contenido eliminado | ListContentTypeDeleted | Un usuario borró una lista de tipo de contenido. |
| Eliminar Lista de elementos | Lista de elementos eliminada | Un usuario borró una lista de elementos de SharePoint. |
| Columna de sitio eliminada. | SiteColumnDeleted | Un usuario borró una columna de sitio de SharePoint. |
| Tipo de contenido de sitio eliminado | SiteContentTypeDeleted | Un usuario borró un sitio de tipo de contenido. |
| Lista de elementos reciclados | ListItemRecycled | Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje. |
| Lista restaurada | ListRestored | Un usuario restauró una lista de SharePoint a la papelera de reciclaje. |
| Lista de elementos restaurada | ListItemRestored | Un usuario restauró una lista de SharePoint de la papelera de reciclaje. |
| Lista actualizada | ListUpdated | Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades. |
| Columna de lista actualizada | ListColumnUpdated | Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades. |
| Lista de tipo de contenido actualizado | ListContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades. |
| Lista de elementos actualizada | ListItemUpdated | Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades. |
| Vista de lista actualizada | ListViewUpdated | Un usuario actualizó una vista de lista de SharePoint modificando una o varias propiedades. |
| Una columna de sitio actualizada. | SiteColumnUpdated | Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades. |
| Tipo de contenido de sitio actualizado | SiteContentTypeUpdated | Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades. |
Actividades de solicitud de acceso y uso compartido
En la tabla siguiente se enumeran las actividades de uso compartido de usuarios y solicitud de acceso en SharePoint y OneDrive registradas en el registro de auditoría de Microsoft 365. Para los eventos compartidos, la columna deDetallessegún losResultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.
Nota:
Los usuarios pueden ser miembros o invitados en función de la propiedad UserType del objeto user. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tiene una cuenta en el directorio, es posible que los recursos se compartan directamente con ellos (sin necesidad de una invitación).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Solicitud de acceso aceptada | AccessRequestAccepted | Se aceptó una solicitud de acceso a un sitio, carpeta o documento y se concedió acceso al usuario solicitante. |
| Invitación de uso compartido aceptada | SharingInvitationAccepted | El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
| Nivel de permiso agregado a la colección de sitios | PermissionLevelAdded | Un nivel de permisos se agregó a una colección de sitios. |
| Invitación de uso compartido bloqueada | SharingInvitationBlocked | Una invitación para compartir enviada por un usuario de su organización está bloqueada por una normativa de uso compartido externa que permite o niega el uso compartido externo basándose en el dominio del usuario de destino. En este caso, la invitación para compartir se bloqueó porque: El dominio del usuario de destino no está incluido en la lista de dominios permitidos. O bien: El dominio del usuario de destino está incluido en la lista de dominios bloqueados. Para obtener más información sobre cómo permitir o bloquear el uso compartido externo en función de dominios, vea Uso compartido de dominios restringidos en SharePoint y OneDrive. |
| Vínculo creado que se puede compartir de la empresa | CompanyLinkCreated | El usuario ha creado un vínculo empresarial de recursos. Los vínculos de toda la empresa solo los pueden usar los miembros de la organización. No pueden ser usados por invitados. |
| Solicitud de acceso creada | AccessRequestCreated | El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder. |
| Vínculo anónimo creado | AnonymousLinkCreated | El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse. |
| Vínculo de seguridad creado | SecureLinkCreated | Se ha creado un vínculo de uso compartido seguro para este elemento. |
| Invitación de uso compartido creada | SharingInvitationCreated | El usuario ha compartido un recurso en SharePoint o OneDrive con un usuario que no está en el directorio de su organización. |
| Vínculo de seguridad eliminado | SecureLinkDeleted | Un vínculo para uso compartido seguro se ha eliminado. |
| Solicitud de acceso denegada | AccessRequestDenied | Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado. |
| Vínculo quitado que se puede compartir de la empresa | CompanyLinkRemoved | El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
| Vínculo anónimo quitado | AnonymousLinkRemoved | El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso. |
| Sitio, carpeta o archivo compartidos | SharingSet | El usuario (miembro o invitado) ha compartido un archivo, una carpeta o un sitio en SharePoint o OneDrive con un usuario en el directorio de la organización. El valor de la columna Detallespara esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado. Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario a los recursos. Por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso. |
| Sitio, carpeta o archivo no compartido | SharingRevoked | El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario. |
| Solicitud de acceso actualizada | AccessRequestUpdated | Se actualizó una solicitud de acceso a un elemento. |
| Vínculo anónimo actualizado | AnonymousLinkUpdated | El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda. |
| Invitación de uso compartido actualizada | SharingInvitationUpdated | Se actualizó una invitación para uso compartido externo. |
| Vínculo usado que se puede compartir de la empresa | CompanyLinkUsed | El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa. |
| Vínculo anónimo usado | AnonymousLinkUsed | Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario. |
| Vínculo seguro usado | SecureLinkUsed | Un usuario usó un vínculo seguro. |
| Usuario añadido a vínculo seguro | AddedToSecureLink | Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
| Usuario quitado de un vínculo seguro | RemovedFromSecureLink | Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro. |
| Invitación de uso compartido retirada | SharingInvitationRevoked | El usuario ha retirado una invitación de uso compartido a un recurso. |
Actividades de administración del sitio
En la tabla siguiente se enumeran los eventos resultantes de las tareas de administración del sitio en SharePoint y se registran en el registro de auditoría de Microsoft 365. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Ubicación de datos añadidos permitidos | AllowedDataLocationAdded | Un administrador global o de SharePoint agregó una ubicación de datos permitida en un entorno multigeo. |
| Agente de usuario exento agregado | ExemptUserAgentSet | El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint. |
| Se ha agregado el administrador de ubicación geográfica | GeoAdminAdded | Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación. |
| Usuario permitido para crear grupos | AllowGroupCreationSet | El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio. |
| Aplicar tema a una web | WebThemeApplied | Un administrador global de SharePoint o un propietario del sitio aplicó un tema web. |
| Desplazamiento geográfico de sitio cancelado | SiteGeoMoveCancelled | Un administrador global o de SharePoint canceló un movimiento geográfico del sitio de SharePoint o OneDrive. La funcionalidad multigeo permite que una organización abarque varias zonas geográficas del centro de datos de Microsoft, que se denominan geoáreas. Para obtener más información, vea Funcionalidades multigeográficas en OneDrive y SharePoint. |
| Normativa de uso compartido cambiada | SharingPolicyChanged | Un administrador global o de SharePoint ha cambiado una directiva de uso compartido de SharePoint mediante el Centro de administración de Microsoft 365, el Centro de administración de SharePoint o el Shell de administración de SharePoint. Cualquier cambio en la configuración de la directiva de uso compartido de su organización se registra. La normativa cambiada se identifica en el campoModifiedProperties en las propiedades detalladas del registro de eventos. |
| Directiva de acceso del dispositivo cambiada | DeviceAccessPolicyChanged | Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados. |
| Agente de usuario exento cambiado | CustomizeExemptUsers | El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario especificado como exento encuentra un formulario de InfoPath, el formulario se devuelve como un archivo XML, en lugar de una página web completa. Esto acelera la indexación de formularios de InfoPath. |
| Directiva de acceso de red cambiada | NetworkAccessPolicyChanged | Un administrador global o de SharePoint cambió la directiva de acceso basada en ubicación (también denominada límite de red de confianza) en el Centro de administración de SharePoint o mediante SharePoint PowerShell. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, vea Control del acceso a datos de SharePoint y OneDrive en función de la ubicación de red. |
| Trabajo de migración completado | MigrationJobCompleted | Un trabajo de migración completado. |
| Desplazamiento geográfico de sitio completado | SiteGeoMoveCompleted | Un traslado geográfico de sitio que un administrador global de la organización programó completado. La funcionalidad multigeo permite que una organización abarque varias zonas geográficas del centro de datos de Microsoft, que se denominan geoáreas. Para obtener más información, vea Funcionalidades multigeográficas en OneDrive y SharePoint. |
| Creación de un tema para todo el inquilino | TenantWideThemeCreated | Un administrador de SharePoint, un administrador global o un administrador de marca creó un tema personalizado aplicado en todos los sitios de SharePoint de la organización. |
| Conexión a enviar creada | SendToConnectionAdded | Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada. |
| Colección de sitios creada | SiteCollectionCreated | Un administrador global o de SharePoint crea una colección de sitios en la organización de SharePoint o un usuario aprovisiona su sitio de OneDrive. |
| Eliminación del tema de todo el inquilino | TenantWideThemeDeleted | Un administrador de SharePoint, un administrador global o un administrador de marca eliminó un tema personalizado aplicado en todos los sitios de SharePoint de su organización. |
| Orphaned hub site borrado | HubSiteOrphanHubDeleted | Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original |
| Conexión a enviar eliminada | SendToConnectionRemoved | El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint. |
| Sitio eliminado | SiteDeleted | El administrador del sitio elimina un sitio. |
| Vista previa del documento habilitada | PreviewModeEnabledSet | El administrador del sitio habilita la vista previa del documento para un sitio. |
| Flujo de trabajo heredado habilitado | LegacyWorkflowEnabledSet | El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio. Los administradores globales también pueden habilitar flujos de trabajo para toda la organización en el Centro de administración de SharePoint. |
| Petición a Office habilitada | OfficeOnDemandSet | El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas. |
| Origen de resultados habilitado para las búsquedas de personas | PeopleResultsScopeSet | El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio. |
| Fuentes RSS habilitadas | NewsFeedEnabledSet | El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint. |
| Sitio unido al centro del sitio | HubSiteJoined | El propietario de un sitio lo asocia a un sitio central. |
| Cuota de colección de sitios modificada | SiteCollectionQuotaModified | El administrador del sitio modifica la cuota de una colección de sitios. |
| Eliminar sitio de forma permanente | SitePermanentlyDeleted | Un administrador global o de SharePoint elimina permanentemente un sitio de SharePoint Administración Sitios eliminados del Centro. |
| Sitio central registrado | HubSiteRegistered | Un administrador global o de SharePoint crea un sitio central. El resultado es que el sitio se registra para ser un sitio central. |
| Ubicación de datos permitidos removidos | AllowedDataLocationDeleted | Un administrador global o de SharePoint quitó una ubicación de datos permitida en un entorno multigeo. |
| Se ha removido el administrador de ubicación geográfica | GeoAdminDeleted | Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación. |
| Sitio renombrado | SiteRenamed | El administrador o el propietario del sitio cambia el nombre de un sitio |
| Restaurar sitio | SiteRestored | Un administrador global o de SharePoint restaura un sitio desde SharePoint Administración Sitios eliminados del Centro. |
| Desplazamiento geográfico de sitio programado | SiteGeoMoveScheduled | Un administrador global o de SharePoint programó un movimiento geográfico de sitio de SharePoint o OneDrive. La funcionalidad multigeo permite que una organización abarque varias zonas geográficas del centro de datos de Microsoft, que se denominan geoáreas. Para obtener más información, vea Funcionalidades multigeográficas en OneDrive y SharePoint. |
| Establecer sitio del host | HostSiteSet | Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive. |
| Configurar una cuota de almacenamiento para una ubicación geográfica | GeoQuotaAllocated | Un administrador global o de SharePoint configuró la cuota de almacenamiento para una ubicación geográfica en un entorno multigeo. |
| Sitio no unido desde el sitio central. | HubSiteUnjoined | El propietario de un sitio lo disocia de un sitio a un sitio central. |
| Sitio central no registrado | HubSiteUnregistered | Un administrador global o de SharePoint elimina el registro del sitio como un sitio central. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central. |
| Actualizar la configuración DisableSiteBranding | UpdateDisableSiteBranding | Un administrador global o de SharePoint habilita o deshabilita la personalización de marca del sitio. |
| Actualizar el tema de todo el inquilino | TenantWideThemeUpdated | Un administrador de SharePoint, un administrador global o un administrador de marca ha actualizado un tema personalizado aplicado en todos los sitios de SharePoint de la organización. |
Actividades de sitios de permisos
En la tabla siguiente se enumeran los eventos relacionados con la asignación de permisos en SharePoint y el uso de grupos para conceder (y revocar) acceso a los sitios registrados en el registro de auditoría de Microsoft 365. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Administradores de la colección de sitios agregados | SiteCollectionAdminAdded | El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365). |
| Usuario o grupo agregado al grupo de SharePoint | AddedToGroup | El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esta acción puede ser intencionada o el resultado de otra actividad, como un evento de uso compartido. |
| Herencia de nivel de permisos interrumpida | PermissionLevelsInheritanceBroken | Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario. |
| Herencia de uso compartido interrumpida | SharingInheritanceBroken | Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario. |
| Grupo creado | GroupAdded | El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo de sistema al sitio de OneDrive del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido. |
| Grupo eliminado | GroupRemoved | El usuario elimina un grupo de un sitio. |
| Configuración modificada "los miembros pueden compartir" | WebMembersCanShareModified | Los miembros pueden compartir la configuración se ha modificado en un sitio. |
| Configuración de solicitud de acceso modificada | WebRequestAccessModified | La configuración de solicitud de acceso fueron modificadas en un sitio. |
| Nivel de permiso modificado en una colección de sitios | PermissionLevelModified | Un nivel de permisos se modificó en una colección de sitios. |
| Permisos de sitio modificados | SitePermissionsModified | El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos son removidos de un grupo. NOTA: Esta operación está en desuso en SharePoint. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint,Usuario permitido para crear grupos, Grupo creado y Grupo eliminado. |
| Nivel de permiso eliminado de la colección de sitios | PermissionLevelRemoved | Un nivel de permisos se eliminó de una colección de sitios. |
| Administradores de la colección de sitios removidos | SiteCollectionAdminRemoved | El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades. |
| Usuario o grupo removido al grupo de SharePoint | RemovedFromGroup | El usuario ha removido un miembro o invitado de un grupo de SharePoint. Esta acción puede ser intencionada o el resultado de otra actividad, como un evento no compartido. |
| Permisos de administrador del sitio solicitados | SiteAdminChangeRequest | Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios. |
| Herencia de uso compartido restaurada | SharingInheritanceReset | Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario. |
| Grupo actualizado | GroupUpdated | El administrador o el propietario cambia la configuración de un grupo para un sitio. Este cambio puede incluir el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia. |
Actividades de sincronización
En la tabla siguiente se enumeran las actividades de sincronización de archivos registradas en el registro de auditoría de Microsoft 365 para SharePoint y OneDrive.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Equipo permitido para sincronizar archivos | ManagedSyncClientAllowed | El usuario estableció una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
| Computadora bloqueada de los archivos de sincronización | UnmanagedSyncClientBlocked | El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es miembro del dominio de su organización o es miembro de un dominio que no se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que pueden acceder a las bibliotecas de documentos de su organización. No se permite la relación de sincronización y el equipo del usuario no puede sincronizar, descargar o cargar archivos en una biblioteca de documentos. Para obtener más información sobre esta característica, vea Usar cmdlets de PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros. |
| Cambios de archivos descargados al equipo | FileSyncDownloadedPartial | Este evento está en desuso junto con la aplicación de Sincronización de OneDrive antigua (Groove.exe). |
| Archivos descargados al equipo | FileSyncDownloadedFull | El usuario descargó un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive mediante Sincronización de OneDrive aplicación (OneDrive.exe). |
| Cambios de archivos cargados a la biblioteca de documentos | FileSyncUploadedPartial | Este evento está en desuso junto con la aplicación de Sincronización de OneDrive antigua (Groove.exe). |
| Archivos cargados a la biblioteca de documentos | FileSyncUploadedFull | El usuario cargó un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive mediante Sincronización de OneDrive aplicación (OneDrive.exe). |
Actividades de SystemSync
En la tabla siguiente se enumeran las actividades de SystemSync registradas en el registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Uso compartido de datos creado | DataShareCreated | Cuando el usuario creó la exportación de datos. |
| Uso compartido de datos eliminado | DataShareDeleted | Cuando el usuario eliminó la exportación de datos. |
| Descargar copia de Lake Data | DownloadCopyOfLakeData | Cuando se descarga la copia de Lake Data. |
| Generar una copia de Lake Data | GenerateCopyOfLakeData | Cuando se genera la copia de Lake Data. |
Actividades de clasificador entrenables
En la tabla siguiente se enumeran las actividades de clasificadores que se pueden entrenar registradas en el registro de auditoría de Microsoft 365.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Modelo de clasificación de datos de Purview creado | ModelCreate | Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo modelo entrenable en La clasificación de datos de Purview. |
| Modelo de clasificación de datos de Purview eliminado | Modelupdate | Un usuario (o administrador o sistema en nombre de un usuario) actualizó un nuevo modelo que se puede entrenar en Clasificación de datos de Purview. |
| Modelo de clasificación de datos de Purview publicado | ModelPublish | Un usuario (o administrador o sistema en nombre de un usuario) publicó un nuevo modelo entrenable en La clasificación de datos de Purview. |
| Modelo de clasificación de datos de Purview actualizado | ModelDelete | Un usuario (o administrador o sistema en nombre de un usuario) eliminó un nuevo modelo entrenable en La clasificación de datos de Purview. |
Actividades de administración de impresión universal
En la tabla siguiente se enumeran las actividades registradas en el registro de auditoría de Microsoft 365 cuando se realizan acciones en impresoras, conectores, recursos compartidos de impresora y configuración de nivel de inquilino mediante el servicio de impresión universal .
| Actividad | Operación | Descripción |
|---|---|---|
| Se ha agregado acceso de grupo al recurso compartido de impresora. | ShareAccessControlGroupAdded | Se concede acceso a un grupo a un recurso compartido de impresora. |
| Se ha agregado un miembro a la impresora de impresión de extracción. | PullPrintPrinterMemberAdded | Se agrega un miembro a un grupo de impresoras de impresión de extracción para el control de acceso. |
| Se ha agregado acceso de usuario al recurso compartido de impresora. | ShareAccessControlUserAdded | A un usuario se le concede acceso a un recurso compartido de impresora. |
| Recurso compartido de impresora creado | ShareCreated | Se crea un recurso compartido de impresora, lo que permite que varios usuarios accedan a la impresora. |
| Impresora de impresión de extracción creada | PullPrintPrinterCreated | Se crea una impresora virtual de impresión de extracción para una liberación de impresión segura. |
| Recurso compartido de impresora eliminado | ShareDeleted | Se elimina un recurso compartido de impresora, lo que elimina el acceso compartido. |
| Impresora de impresión de extracción eliminada | PullPrintPrinterDeleted | Una impresora virtual de impresión de extracción se elimina de la impresión universal. |
| Acceso de permiso a todos deshabilitado para el recurso compartido de impresora | ShareAccessControlAllowAllDisabled | El acceso universal al recurso compartido de impresora está deshabilitado. |
| Impresoras de inclusión deshabilitadas | PullPrintPrinterIncludeAllPrintersDisabled | Todas las impresoras se excluyen de la configuración de impresión de extracción. |
| Reporte descargado | ReportDownloaded | Se descarga un informe de Impresión universal para su análisis o auditoría. |
| Acceso de todos los permitidos habilitado para el recurso compartido de impresora | ShareAccessControlAllowAllEnabled | A todos los usuarios se les permite acceder al recurso compartido de impresora. |
| Impresoras de inclusión habilitadas | PullPrintPrinterIncludeAllPrintersEnabled | Todas las impresoras se incluyen en la configuración de impresión de extracción. |
| Configuración de impresora modificada | PrinterSettingsModified | La configuración de la impresora se actualiza en Impresión universal. |
| Configuración modificada del recurso compartido de impresora | ShareSettingsModified | La configuración de un recurso compartido de impresora se actualiza en Impresión universal. |
| Configuración modificada de la impresora de impresión de extracción | PullPrintPrinterSettingsModified | La configuración de una impresora de impresión de extracción se actualiza en Impresión universal. |
| Configuración de impresión del inquilino modificada | TenantPrintSettingsModified | La configuración de impresión de nivel de inquilino se actualiza en Impresión universal. |
| Conector registrado | Conector Registrado | El conector está registrado con impresión universal, lo que permite la comunicación entre las impresoras y el servicio en la nube. |
| Impresora registrada | PrinterRegistered | Una impresora está registrada con impresión universal, por lo que está disponible para la impresión basada en la nube. |
| Se quitó el acceso de grupo del recurso compartido de impresora | ShareAccessControlGroupRemoved | Se quita el acceso de un grupo a un recurso compartido de impresora. |
| Miembro quitado de la impresora de impresión de extracción | PullPrintPrinterMemberRemoved | Un miembro se quita de un grupo de impresoras de impresión de extracción. |
| Se quitó el acceso de usuario del recurso compartido de impresora | ShareAccessControlUserRemoved | Se quita el acceso de un usuario a un recurso compartido de impresora. |
| Impresora intercambiada | PrinterSwapped | Una impresora se reemplaza o se intercambia con otro dispositivo en impresión universal. |
| Conector no registrado | ConnectorUnregistered | El conector no se ha registrado de la impresión universal, lo que elimina su capacidad de administrar impresoras. |
| Impresora no registrada | PrinterUnregistered | Se quita una impresora de impresión universal, lo que hace que no esté disponible para la impresión basada en la nube. |
Actividades de trabajos de impresión universal
En la tabla siguiente se enumeran las actividades registradas en el registro de auditoría de Microsoft 365 cuando se realizan acciones en trabajos de impresión mediante el servicio de impresión universal .
| Actividad** | Operación | Descripción |
|---|---|---|
| Trabajo de impresión anulado | PrintJobAborted | El trabajo de impresión se finaliza inesperadamente debido a un error o una interrupción. |
| Trabajo de impresión confirmado | PrintJobAcknowledged | La impresora reconoce el trabajo de impresión, lo que indica que la impresora ha recibido y está lista para procesar el trabajo de impresión. |
| Trabajo de impresión cancelado | PrintJobCanceled | El usuario o el sistema cancela el trabajo de impresión antes de la finalización. |
| Trabajo de impresión completado | PrintJobCompleted | El trabajo de impresión finaliza correctamente y todas las páginas se imprimen. |
| Documento de trabajo de impresión capturado | PrintJobDocumentFetched | La impresora o el conector de impresión universal recuperan un documento de trabajo de impresión. |
| Trabajo de impresión enviado | PrintJobCreated | El trabajo de impresión se envía a la cola de impresión, lo que indica el inicio del proceso de impresión. |
| Documento de trabajo de impresión cargado | PrintJobDocumentUploaded | Un documento de trabajo de impresión se carga correctamente en impresión universal. |
Actividades de administración de usuarios
En la tabla siguiente se enumeran las actividades de administración de usuarios registradas en el registro de auditoría de Microsoft 365 cuando un administrador agrega o cambia una cuenta de usuario mediante el Centro de administración de Microsoft 365 o el portal de administración de Azure.
Nota:
Los nombres de operación enumerados en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.
| Actividad | Operación | Descripción |
|---|---|---|
| Usuario agregado | Agregar usuario. | Se crea una cuenta de usuario. |
| Licencia de usuario cambiada | Cambiar licencia de usuario. | La licencia asignada a un usuario ha cambiado. Para ver qué licencias se cambiaron, consulte la actividad de usuario actualizada correspondiente. |
| Contraseña de usuario cambiada | Cambiar contraseña de usuario. | El usuario cambia su contraseña. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña. También puede realizar un seguimiento de la actividad de autoservicio de restablecimiento de contraseña en Microsoft Entra ID. Para obtener más información, consulte Opciones de informes para Microsoft Entra administración de contraseñas. |
| Usuario eliminado | Eliminar usuario. | Se ha eliminado una cuenta de usuario. |
| Restablecer contraseña de usuario | Restablecer contraseña de usuario. | El administrador restablece la contraseña de un usuario. |
| Establecer propiedades de licencia | Establecer propiedades de licencia. | El administrador modificó las propiedades de una licencia asignada a un usuario. |
| Establecer una propiedad que fuerce al usuario a cambiar la contraseña | Forzar el cambio de la contraseña de usuario. | Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Microsoft 365. |
| Usuario actualizado | Actualizar usuario. | Un administrador cambia una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que se pueden actualizar, consulte la sección "Actualizar atributos de usuario" de Microsoft Entra auditar eventos de informe. |
Actividades de Viva Glint
En la tabla siguiente se enumeran las actividades de usuario y administrador en Viva Glint que los registros de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo .csv al exportar los resultados de la búsqueda.
Buscar en el registro de auditoría explica cómo puede buscar registros de auditoría en el portal de Microsoft Purview. Para acceder a los registros de auditoría, debe ser un administrador global o tener permisos de lectura de auditoría. Use el filtro Actividades para buscar actividades específicas y enumerar todas las actividades de Viva Glint eligiendo VivaGlint en el filtro Tipo de registro . Use los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Se ha agregado Administración de empresa | AddCompanyAdmin | Se agregó un usuario al rol de Administración de empresa. |
| Se ha agregado el usuario de soporte técnico. | AddSupportUser | Se agregó un usuario al rol Usuario de soporte técnico. |
| Rol de usuario asignado | AssignRole | Un usuario se asigna a un nuevo rol. |
| Detalles del cliente modificados | ClientDetailsChanged | Cambie la actividad en Configuración general de Viva Glint o Configuración avanzada: Detalles. |
| Empresa Administración ha iniciado sesión | AdminLogin | Un usuario de company Administración ha iniciado sesión en Viva Glint. |
| Administración de la empresa que ha cerrado la sesión | AdminLogout | Un usuario de la empresa Administración ha cerrado sesión en Viva Glint. |
| Rol de usuario creado | RoleCreated | Actividad de creación de roles de usuario de Glint. |
| Acceso de soporte técnico eliminado | GlintSupportAccessDeleted | Se quitó un usuario del rol Usuario de soporte técnico. |
| Sistema eliminado | GlintSystemDeleted | Se eliminó el sistema Viva Glint. |
| Usuario eliminado | GlintUserDeleted | Actividad de eliminación de usuarios de Viva Glint. |
| Acceso de configuración avanzada deshabilitado | UserAdvConfigDisabled | Una empresa Administración usuario deshabilitó el acceso a Advanced Configuration en Viva Glint. |
| Acceso de configuración avanzada habilitado | UserAdvConfigEnabled | Una empresa Administración acceso de configuración avanzada habilitada por el usuario en Viva Glint. |
| Trabajo de Data Apps ejecutado | GlintDataAppsJobRun | Aplicación de datos de configuración avanzada Viva Glint y actividad de carga. |
| Comentarios de Glint 360 exportados | GlintFeedbackProgramExport | Actividad de exportación de datos del programa de comentarios Viva Glint 360. |
| Listas de distribución de Glint exportadas | GlintUserGroupExport | Actividad de exportación de lista de distribución. |
| Personas glint exportadas | GlintUserExport | Glint Personas actividad de exportación de datos. |
| Tasa de respuesta del programa de pulsos glint exportado | GlintPulseProgramRespondentRateExport | Actividad de exportación de velocidad de respuesta del programa de pulsos glint. |
| Biblioteca de preguntas de Glint exportada | GlintQuestionExport | Actividad de exportación de la biblioteca de preguntas de Glint. |
| Programa de encuestas de Glint exportado | GlintPulseProgramExport | Actividad de exportación de contenido del programa de encuestas de Glint. |
| Rol de usuario de Glint exportado | GlintRoleExport | Actividad de exportación de datos de rol de usuario de Glint. |
| Datos de encuesta sin procesar exportados | RawSurveyReponseExport | Actividad de exportación de datos de respuesta de encuesta sin procesar. |
| Datos de usuario exportados | UserDataExport | Actividad de exportación de datos de empleados. |
| Comentarios de Glint 360 importados | GlintFeedbackProgramImport | Actividad de importación de datos del programa de comentarios 360. |
| SFTP de Glint importado | GlintRubiconImport | Actividad de importación de SFTP de datos de empleados. |
| Datos de usuario de Glint importados | GlintUserImport | Actividad de importación de datos de empleados. |
| Rol de usuario de Glint importado | GlintRoleImport | Actividad de datos de empleados de rol de usuario. |
| Se ha quitado el Administración de empresa | RemoveCompanyAdmin | Se quitó un usuario del rol de Administración de empresa. |
| Encuesta reabierta | SurveyReopen | Se ha reabierto una encuesta Viva Glint cerrada. |
| Establecer el control DSR de datos | DataDsrControlSet | Controles de datos de usuario para la eliminación de datos de la encuesta en la actividad de actualización configuración general. |
| Establecer el descarte de identificadores de empleado | DiscardingEmployeeIdsSet | Controles de datos de usuario para la reutilización del identificador de empleado en la actividad de actualización configuración general. |
| Rol de usuario sin asignar | UnassignRole | Un usuario se quita de un rol. |
| Visto como | ViewAs | Otra actividad de usuario de los administradores es "Ver como". |
actividades de Viva Goals
En la tabla siguiente se enumeran las actividades de usuario y administrador en Viva Goals que los registros de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Buscar en el registro de auditoría explica cómo puede buscar registros de auditoría en el portal de Microsoft Purview. Para acceder a los registros de auditoría, debe ser un administrador global o tener permisos de lectura de auditoría. Puede usar el filtro Actividades para buscar actividades específicas. Para enumerar todas las actividades Viva Goals, elija VivaGoals en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Panel creado | Panel creado | El usuario creó un nuevo panel en Viva Goals |
| Panel eliminado | Panel eliminado | El usuario eliminó un panel en Viva Goals. |
| Panel actualizado | Panel actualizado | El usuario actualizó un panel en Viva Goals |
| Datos exportados | Datos exportados | Lista exportada por el usuario de OKR o lista de usuarios de una organización en Viva Goals. |
| Directiva de objetivos actualizada | Directiva de objetivos actualizada | El administrador global modificó la directiva o la configuración en el nivel de organización en Viva Goals. Por ejemplo, el administrador global ha configurado quién puede crear organizaciones en Viva Goals. |
| OKR o proyecto creado | OKR o proyecto creado | El usuario creó un OKR o un proyecto en Viva Goals. |
| OKR o Proyecto eliminado | OKR o Proyecto eliminado | El usuario eliminó un OKR o un proyecto. |
| OKR o Project actualizados | OKR o Project actualizados | El usuario o una integración en Viva Goals modificaron un OKR o un proyecto. |
| Organización creada | Organización creada | Administración o el usuario creó una nueva organización en Viva Goals. |
| Integraciones de la organización actualizadas | Integraciones de la organización actualizadas | El usuario (normalmente propietarios o administradores de la organización) configuró una integración de terceros o actualizó una integración de terceros existente para una organización en Viva Goals. |
| Configuración de la organización actualizada | Configuración de la organización actualizada | El usuario (normalmente propietarios o administradores de la organización) actualizó la configuración específica de la organización en Viva Goals. |
| Equipo agregado | Equipo agregado | Se creó un nuevo equipo dentro de una organización en Viva Goals. |
| Equipo eliminado | Equipo eliminado | El usuario eliminó un equipo de una organización en Viva Goals. |
| Equipo actualizado | Equipo actualizado | Se modificó o actualizó un equipo de una organización en Viva Goals. |
| Usuario agregado | Usuario agregado | Se agregó un nuevo usuario a una organización en Viva Goals. |
| Usuario desactivado | Usuario desactivado | Un usuario se ha desactivado en una organización. |
| Usuario eliminado | Usuario eliminado | Un usuario se eliminó de una organización en Viva Goals. |
| Usuario que ha iniciado sesión | Usuario que ha iniciado sesión | El usuario ha iniciado sesión en Viva Goals. |
actividades de Viva Engage
En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Engage registradas en el registro de auditoría de Microsoft 365. Para devolver actividades relacionadas con Viva Engage del registro de auditoría, seleccione Mostrar resultados para todas las actividades en la lista Actividades. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.
Nota:
Algunas actividades de auditoría de Viva Engage solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Comunicador corporativo agregado | AddUserRole | Un usuario se asigna como comunicador corporativo. |
| Directiva de uso personalizada modificada | UsagePolicyUpdated | Un administrador de inquilinos actualiza una directiva de uso personalizada. |
| Directiva de retención de datos cambiada | SoftDeleteSettingsUpdated | Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a eliminación permanente o eliminación temporal. Solo los administradores superiores pueden realizar esta operación. |
| Configuración de red cambiada | NetworkConfigurationUpdated | El administrador comprobado o de red cambia la configuración de la red de Viva Engage. Este cambio incluye establecer el intervalo para exportar datos y habilitar el chat. |
| Configuración del perfil de red cambiada | ProcessProfileFields | Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red. |
| Modo de contenido privado cambiado | SupervisorAdminToggled | El administrador comprobado activa o desactiva el modo de contenido privado . Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación. |
| Configuración de seguridad cambiada | NetworkSecurityConfigurationUpdated | El administrador comprobado actualiza la configuración de seguridad de la red de Viva Engage. Esta actualización incluye la configuración de directivas de expiración de contraseñas y restricciones en las direcciones IP. Solo los administradores superiores pueden realizar esta operación. |
| Conversación cerrada | CloseConversation | Se cerró el subproceso Viva Engage, lo que impidió que los usuarios le respondieran. Esta acción está disponible para un administrador, comunicador corporativo o delegado de usuario. |
| Conversación abierta | OpenConversation | Se abrió la conversación del subproceso Viva Engage, lo que permite a los usuarios responder al subproceso. Esta acción está disponible para un administrador, comunicaciones corporativas o un delegado de usuario. |
| Creación de un segmento | SegmentCreated | Administración crea una segmentación. |
| Archivo creado | FileCreated | El usuario cargó un archivo. |
| Grupo creado | GroupCreation | El usuario crea un grupo. |
| Mensaje creado | MessageCreation | El usuario creó un mensaje. |
| Eliminación de un segmento | SegmentDeleted | Administración elimina una segmentación. |
| Grupo eliminado | GroupDeletion | Se elimina un grupo de Viva Engage. |
| Mensaje eliminado | MessageDeleted | El usuario eliminó un mensaje. |
| Descarga de informes de administración de segmentación | SegmentationReportDownloaded | Administración se descargan los informes |
| Archivo descargado | FileDownloaded | El usuario descargó un archivo. |
| Exportación del contenido del evento | EventContentExported | El organizador de eventos exporta preguntas, respuestas, reacciones y recuentos de eventos a un ARCHIVO CSV. Esta acción solo está disponible para organizadores de eventos y coorganizador. El administrador de red puede desactivar esta característica para toda la red en la configuración de administrador de Engage. |
| Moderación de eventos habilitada | EventModerationEnabled | Moderación habilitada por el organizador de eventos para un evento. Esta acción solo está disponible para los organizadores de eventos. |
| Datos exportados | DataExport | El administrador verificado exporta Viva Engage datos de red. Solo los administradores superiores pueden realizar esta operación. |
| No se ha podido acceder al archivo | FileAccessFailure | El usuario no pudo acceder a un archivo. |
| No se pudo acceder al grupo | GroupAccessFailure | El usuario no pudo acceder a un grupo. |
| Error al acceder al subproceso | ThreadAccessFailure | El usuario no pudo acceder a un subproceso de mensaje. |
| Generación de informes de administración de segmentación | SegmentationReportGenerated | Administración usuario desencadena una generación de informes. |
| Reaccionó al mensaje | MarkedMessageChanged | El usuario reaccionó a un mensaje. |
| Quitar tema seleccionado* | RemoveCuratedTopic | El usuario quita un tema seleccionado. |
| Se quitó El comunicador corporativo | RemoveUserRole | Un usuario se quita del rol De comunicador corporativo. |
| Archivo compartido | FileShared | Un usuario compartió un archivo con otro usuario. |
| Usuario de red suspendido | NetworkUserSuspended | El administrador de red o verificado suspende (desactiva) a un usuario de Viva Engage. |
| Usuario suspendido | UserSuspension | Se suspendió una cuenta de usuario (se desactivó). |
| Aceptación de la directiva de uso de inquilinos | UsagePolicyAcceptance | Un usuario acepta una directiva de uso específica de la organización. |
| Subproceso silenciado | AdminThreadMuted | Un subproceso fue silenciado por el administrador o la alerta de inspección (usuario del sistema). Una alerta de inspección se produce cuando un subproceso se marca para un tema determinado (establecido por el administrador) y el sistema cambia automáticamente. |
| Subproceso sin conmutar | AdminThreadUnmuted | Administración un subproceso sin conmutar. |
| Descripción del archivo actualizado | FileUpdateDescription | Un usuario cambió la descripción de un archivo. |
| Nombre de archivo actualizado | FileUpdateName | Un usuario cambió el nombre de un archivo. |
| Mensaje actualizado | MessageUpdated | El usuario actualizó un mensaje. |
| Asignación de roles actualizada para la Administración de red | NetworkAdminUpdated | Un usuario se promueve o degrada al rol de Administración de red. |
| Asignación de roles actualizada para Administración verificados | NetworkVerifiedAdminUpdated | Un usuario se promociona o degrada al rol Administración Comprobado. |
| Archivo visualizado | FileVisited | Un usuario visualizó un archivo. |
| Subproceso visto | ThreadViewed | El usuario ve un subproceso de mensaje. |
Actividades de Viva Pulse
En la tabla siguiente se enumeran las actividades de usuario y administración de Viva Pulse registradas en el registro de auditoría de Microsoft 365. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.
Buscar en el registro de auditoría explica cómo puede buscar registros de auditoría en el portal de Microsoft Purview. Para acceder a los registros de auditoría, debe ser un administrador global o tener permisos de lectura de auditoría. Puede usar el filtro Actividades para buscar actividades específicas. Para enumerar todas las actividades de Viva Pulse, elija VivaPulse en el filtro Tipo de registro . También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Administración eliminados los datos de un usuario | PulseDeleteUserData | Administración ha eliminado los datos de un usuario. |
| Administración configuración actualizada del inquilino | PulseTenantSettingsUpdate | Administración ha actualizado una configuración de organización para Viva Pulse. |
| Conversación confidencial iniciada | PulseConfidentialConversationStarted | El autor inició una conversación confidencial. |
| Mensaje de conversación eliminado | PulseConfidentialConversationMessageDeleted | El usuario eliminó un mensaje de conversación. |
| Respuesta de conversación agregada | PulseConfidentialConversationResponded | El autor o destinatario respondió en una conversación. |
| El usuario canceló una encuesta de Pulse | PulseCancel | El usuario ha cancelado una encuesta de Pulse. |
| El usuario ha creado un borrador de Pulse | PulseCreateDraft | El usuario ha creado un borrador de Pulse. |
| El usuario ha creado una encuesta de Pulse | PulseCreate | Se ha creado una nueva solicitud de comentarios de Viva Pulse. |
| El usuario eliminó un borrador de Pulse | PulseDeleteDraft | El usuario eliminó un borrador de Pulse. |
| El usuario eliminó una pregunta para la biblioteca | PulseQuestionDeleted | El usuario ha quitado una pregunta para la biblioteca de preguntas de pulsos. |
| El usuario ha ampliado la fecha límite de la encuesta de pulsos | PulseExtendDeadline | El usuario ha ampliado la fecha límite para la solicitud de comentarios de Viva Pulse existente. |
| Usuario invitado a usuarios adicionales a la encuesta de Pulse | PulseInvite | El usuario ha invitado a usuarios adicionales a una solicitud de comentarios de Viva Pulse existente. |
| El usuario solicita una exportación de datos de pulso | PulseDataExport | Administración o autor solicitan una operación de exportación de pulsos. |
| El usuario ha compartido un informe de pulsos | PulseShareResults | El usuario ha compartido los resultados de los comentarios de Viva Pulse con otros usuarios. |
| Respuesta enviada por el usuario a una encuesta de pulsos | PulseSubmit | Administración o el usuario proporcionaron comentarios para una solicitud de comentarios de Viva Pulse. |
Windows 365 actividades de caja de seguridad del cliente
En la tabla siguiente se enumeran las actividades de usuario y administrador en Windows 365 caja de seguridad del cliente que los registros de auditoría de Microsoft 365. Para devolver Windows 365 actividades relacionadas con la caja de seguridad del cliente del registro de auditoría, seleccione Windows365CustomerLockbox en Tipos de registro. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.
| Nombre descriptivo | Operación | Descripción |
|---|---|---|
| Reposición del agente CMD | Operación AddDevicesToBackfill | Reposición del agente CMD en el equipo en la nube. |
| Reinstalación masiva del agente CMD | TriggerClientAgentCheckBulkAction (operación) | Reinstale de forma masiva el agente CMD a petición. |
| Comprobación de la directiva de ejecución de PowerShell | Comprobación de la directiva de ejecución de PowerShell | Compruebe la directiva de ejecución de PowerShell. |
| Creación de una solicitud de LogCollection | Creación de una solicitud de LogCollection | Cree una solicitud de recopilación de registros en el equipo en la nube. |
| Creación de nuevos elementos de trabajo (Scheduler) | Creación de nuevos elementos de trabajo (Scheduler) | Cree nuevos elementos de trabajo, como Aprovisionar, Desaprovisionar, Reprovisionar y otros. |
| Creación de una operación de acción remota en ActionModeratorService | Creación de una operación de acción remota en ActionModeratorService | Cree una acción remota mediante tenantID, workspaceID, actionType, actionParameters. |
| Creación de una solicitud vmExtension | Creación de una solicitud vmextention | Crea solicitudes de extensión de máquina virtual para ejecutar la extensión de máquina virtual con el fin de ejecutar scripts personalizados en el dispositivo cliente. |
| Ejecución de AppHealthPlugin | Ejecución de AppHealthPlugin | Ejecute AppHealthPlugin. |
| Instalación del agente de Escritorio remoto | Instalación del agente de Escritorio remoto | Instale el agente de Escritorio remoto en el dispositivo del usuario. |
| Comandos de ejecución de OCE en la máquina virtual | Comandos de ejecución de OCE en la máquina virtual | Ejecute comandos por tenantID, lista deviceID y script. |
| Operación posterior a la acción remota | Operación posterior a la acción remota | Después de la acción remota, además de sondear el resultado de la operación GetActions. |
| Reinstalación del agente CMD | Operación AddDevicesToReinstall | Vuelva a instalar el agente CMD a petición. |
| Ejecución de la extensión AADJ híbrida | Ejecución de la extensión AADJ híbrida | Ejecute la extensión AADJ híbrida en el dispositivo del usuario. |
| Desencadene la comprobación controlada del agente CMD. | Desencadene la comprobación controlada del agente CMD. | Desencadene la comprobación controlada del agente CMD en un dispositivo específico. |
| Desencadenamiento de la corrección de dispositivos | Desencadenamiento de la corrección de dispositivos | Desencadene la corrección del dispositivo. |
| Desencadenar acción genérica | Desencadenar acción genérica | Desencadenar la acción del dispositivo para el usuario. |
| Desencadenamiento de una acción genérica por SaaF | Desencadenamiento de una acción genérica por SaaF | Desencadenar la acción del dispositivo (Redestinación, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para el usuario. |
| Desencadenamiento de una acción genérica con opciones | Desencadenamiento de una acción genérica con opciones | Desencadene la acción del dispositivo con parámetros de opción, más eficaces que la acción genérica del desencadenador. |
| Orquestador del desencadenador | Orquestador del desencadenador | Orquestador de desencadenadores para el usuario. |
| Carga de la carpeta en el blob | Carga de la carpeta en el blob | Comprima y cargue la carpeta del dispositivo del cliente en el blob. |