Auditoría de eventos de administrador en Microsoft Entra Connect Sync (versión preliminar pública)
En enero de 2025, publicamos una nueva versión (2.4.129.0) de Microsoft Entra Connect Sync. Esta versión contiene una actualización de la auditoría que está habilitada de forma predeterminada. Con esta actualización, ahora puede supervisar los eventos y la actividad del administrador. En el siguiente artículo se describe cómo deshabilitar la característica de auditoría.
Cómo desactivar manualmente la auditoría de eventos del administrador
Para deshabilitar la auditoría de eventos de administrador, siga estos pasos:
- Abra el Editor del Registro - Presione Win + R para abrir el cuadro de diálogo 'Ejecutar'.
- Escriba regedit y presione Entrar para iniciar el Editor del Registro. Confirme las indicaciones de seguridad para continuar.
- Vaya a la ruta de acceso siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect.
- Modifique o cree el valor AuditEventLogging haciendo clic con el botón derecho en la clave de Azure AD Connect, seleccione Nuevo ->Valor DWORD (32-bit) si el valor AuditEventLogging aún no existe.
- Nombre el nuevo DWORD como AuditEventLogging.
- Haga doble clic en la entrada AuditEventLogging y escriba 0 para deshabilitar el registro de eventos de auditoría. Escriba 1 para volver a habilitarlo.
Cómo usar PowerShell para deshabilitar la auditoría de eventos de administrador
También puede usar PowerShell para deshabilitar el registro de auditoría de eventos de administrador. Use el siguiente script.
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
Lista de eventos registrados
La tabla siguiente es una lista de eventos que se registran con la nueva característica de auditoría. Para ver los eventos, use el Visor de eventos y busque en el registro de aplicaciones.
| EventID | Nombre del Evento | Descripción |
|---|---|---|
| 2503 | Agregar, actualizar o eliminar directorios | Proporciona el nombre del directorio afectado. |
| 2504 | Habilitar el modo de configuración rápida | Este evento se registrará cuando el administrador seleccione "Configuración rápida" |
| 2505 | Habilitar o deshabilitar dominios y unidades organizativas para la sincronización | Muestra una lista de todos los dominios conectados a Connect Sync |
| 2506 | Habilitar o deshabilitar la sincronización de PHS | Muestra que la sincronización de hash de contraseñas está habilitada o deshabilitada |
| 2507 | Habilitar o deshabilitar el inicio de sincronización después de la instalación | El evento se registra cuando la sincronización está habilitada o deshabilitada cuando se realiza la instalación |
| 2508 | Creación de una cuenta DE ADDS | Muestra la cuenta creada necesaria para conectarse al nuevo directorio agregado. |
| 2509 | Uso de la cuenta de ADDS existente | Muestra el nombre de la cuenta usada para conectarse al directorio. |
| 2510 | Crear, actualizar o eliminar regla de sincronización personalizada | Muestra el nombre de la regla de sincronización que ha cambiado junto con información sobre lo que ha cambiado. |
| 2511 | Habilitar o deshabilitar el filtrado basado en dominio | Muestra que el filtrado de dominios está seleccionado y enumera los dominios seleccionados |
| 2512 | Habilitar o deshabilitar el filtrado basado en unidades organizativas | Muestra que el filtrado basado en unidades organizativas está seleccionado y enumera las unidades organizativas seleccionadas |
| 2513 | Se ha cambiado el método del usuario Sign-In | Muestra el método de inicio de sesión antiguo y el nuevo |
| 2514 | Configuración de una nueva granja de ADFS | Muestra el nombre del servicio de federación |
| 2515 | Habilitar o deshabilitar el inicio de sesión único | Muestra el cambio en la autenticación única |
| 2516 | Instalación del servidor proxy de aplicación web | Muestra los servidores de ADFS seleccionados y el nombre de usuario de administrador de dominio |
| 2517 | Establecer permisos | Muestra el permiso de sincronización de AD específico cambiado |
| 2518 | Cambio de las credenciales del conector ADDS | Muestra que se han cambiado las credenciales del conector ADDS |
| 2519 | Reinicializar la contraseña de la cuenta del conector Entra ID | Muestra que se ha restablecido la contraseña de la cuenta de servicio de sincronización de AD |
| 2520 | Instalación del servidor ADFS | Muestra el servidor seleccionado |
| 2521 | Establecimiento de la cuenta de servicio de ADFS | Especifica si es administrado por grupo o usuario de dominio. Incluye el nombre de usuario del administrador |