Obtener registros de auditoría de Windows 365
Los registros de auditoría de Windows 365 incluyen un registro de actividades que generan un cambio en un PC en la nube. Las acciones de creación, actualización (edición), eliminación, asignación y remotas crean eventos de auditoría que los administradores pueden revisar para la mayoría de las acciones de PC en la nube que se realizan mediante Graph. La auditoría está habilitada de forma predeterminada para todos los clientes. No se puede deshabilitar.
¿Quién puede tener acceso a los datos?
Los usuarios con los siguientes permisos pueden revisar los registros de auditoría:
- Administrador del servicio de Intune
- Administrador global
- Administradores asignados a un rol de Intune con los permisos Datos de auditoría: Lectura
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Envío de registros de auditoría de Windows 365 a la configuración de diagnóstico en Azure Monitor
La configuración de diagnóstico de Azure Monitor le permite exportar los registros y las métricas de la plataforma al destino que prefiera. Puede crear hasta cinco configuraciones de diagnóstico diferentes para enviar diferentes registros y métricas a destinos independientes. Para más información, consulte Configuración de diagnóstico en Azure Monitor.
Para crear una configuración de diagnóstico para enviar registros
- Asegúrese de que tiene una cuenta de Azure.
- Inicie sesión en el centro de administración de Microsoft Intune y seleccioneConfiguración de diagnóstico de informes> (en Azure Monitor)>Agregar configuración de diagnóstico.
- En Registros, seleccione Windows365AuditLogs.
- En Detalles del destino, seleccione el destino y proporcione los detalles.
- Haga clic en Guardar.
Uso de Graph API y PowerShell para recuperar eventos de auditoría
Para obtener eventos de registro de auditoría para el inquilino de Windows 365, siga estos pasos:
Instalar el SDK
- En PowerShell, ejecute este comando:
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber - Ejecute este comando para comprobar la instalación:
Get-InstalledModule Microsoft.Graph.Beta - Para obtener todos los puntos de conexión de Graph de PC en la nube, ejecute este comando:
Get-Command -Module Microsoft.Graph* *virtualEndpoint*
Iniciar sesión
- Ejecute cualquiera de estos dos comandos:
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"Connect-MgGraph -Scopes "CloudPC.Read.All"
- En la página web resultante, inicie sesión en el inquilino con una cuenta de usuario que tenga los permisos de lectura o escritura adecuados.
- Cambie al entorno beta de Graph mediante este comando:
Select-MgProfile -Name "beta"
Obtención de datos de auditoría
Hay varias maneras de ver los datos de auditoría.
Obtener toda la lista de eventos de auditoría, incluido el actor de auditoría
Para obtener toda la lista de eventos de auditoría, incluyendo al actor (persona que realizó la acción), use el siguiente comando:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
Obtener una lista de eventos de auditoría
Para obtener una lista de eventos de auditoría sin el actor de auditoría, use el siguiente comando:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
Para obtener todos los eventos, use el parámetro -All:Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All
Para obtener solo los N eventos principales, use los parámetros siguientes: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}
Obtención de un único evento por identificador de evento
Puede usar el siguiente comando para obtener un evento de auditoría único, donde deberá proporcionar el {id. de evento}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}