Compartir vía


Actividades del registro de auditoría

En las tablas de este artículo se describen las actividades auditadas en Microsoft 365. Para buscar estas actividades, busque el registro de auditoría en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview.

En estas tablas se agrupan actividades relacionadas o las actividades de un servicio específico. Las tablas incluyen el nombre descriptivo que se muestra en la lista desplegable Actividades (o que están disponibles en PowerShell) y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda. Para obtener descripciones de la información detallada, consulte Propiedades detalladas del registro de auditoría.

Sugerencia

Seleccione uno de los vínculos de la lista En este artículo en la parte superior de este artículo para ir directamente a una tabla de productos específica.

Actividades de administración de aplicaciones

En la tabla siguiente se enumeran las actividades de administración de aplicaciones que se registran cuando un administrador agrega o cambia una aplicación registrada en Microsoft Entra ID. Cualquier aplicación que se base en Microsoft Entra ID para la autenticación debe registrarse en el directorio.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Nombre descriptivo Operación Descripción
Entrada de delegación agregada Agregar entrada de delegación. Se ha creado o concedido un permiso de autenticación a una aplicación en Microsoft Entra ID.
Servicio principal agregado Agregar entidad de servicio. Se registró una aplicación en Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio.
Credenciales agregadas a una entidad de servicio Agregar credenciales de entidad de servicio. Las credenciales se agregaron a una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio.
Entrada de delegación removida Quitar entrada de delegación. Se quitó un permiso de autenticación de una aplicación en Microsoft Entra ID.
Entidad de servicio removida del directorio Quitar entidad de servicio. Se ha eliminado o anulado el registro de una aplicación de Microsoft Entra ID. Una aplicación es representada mediante un servicio principal en el directorio.
Credenciales removidas de un servicio principal Quitar credenciales de entidad de servicio. Las credenciales se quitaron de una entidad de servicio en Microsoft Entra ID. Una entidad de servicio representa una aplicación del directorio.
Establecer entrada de delegación Establecer entrada de delegación. Se actualizó un permiso de autenticación para una aplicación en Microsoft Entra ID.

Actividades de correo de informe de tareas pendientes

En la tabla siguiente se enumeran las actividades del correo electrónico de briefing que se registran en el registro de auditoría de Microsoft 365. Para obtener más información acerca del correo de informe de tareas pendientes, consulte:

Nombre descriptivo Operación Descripción
Configuración actualizada de privacidad de la organización UpdatedOrganizationBriefingSettings El administrador actualiza la configuración de privacidad de la organización para el correo de informe de tareas pendientes.
Configuración actualizada de privacidad del usuario UpdatedUserBriefingSettings Configuración de privacidad del usuario de actualizaciones de administrador para el correo de informe de tareas pendientes.

Actividades del cumplimiento de comunicaciones

En la tabla siguiente se enumeran las actividades de cumplimiento de comunicaciones que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Más información sobre Cumplimiento de comunicaciones de Microsoft Purview.

Nota:

Estas actividades están disponibles cuando se usa el cmdlet de PowerShell Search-UnifiedAuditLog . Estas actividades no están disponibles en la lista desplegable Actividades .

Nombre descriptivo Operación Descripción
Actualización de directiva SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Un administrador de cumplimiento de comunicaciones ha realizado una actualización de directiva.
Coincidencia de directiva SupervisionRuleMatch Un usuario ha enviado un mensaje que coincide con la condición de una directiva.
Etiqueta aplicada a los mensajes SupervisoryReviewTag Las etiquetas se aplican a los mensajes o se resuelven los mensajes.

Actividades del Administrador de cumplimiento

En la tabla siguiente se enumeran las operaciones y actividades que se registran cuando un administrador administra la configuración en el Administrador de cumplimiento. Para obtener más información, consulte Información sobre el Administrador de cumplimiento.

Nombre descriptivo Operación Descripción
Cambio de roles ComplianceManagerRolesChange Un administrador cambió los roles de los usuarios.
Cambio de nivel de automatización de inquilinos ComplianceManagerAutomationLevelChange Un administrador cambió el nivel de automatización del inquilino en todas las acciones.
Prueba del cambio de automatización del origen ComplianceManagerAutomationChange Un administrador cambió la configuración de automatización del origen de prueba.

Actividades del explorador de contenido

En la tabla siguiente, se enumeran las actividades del explorador de contenido que se registran en el registro de auditoría. Explorador de contenido, al que se accede en la herramienta Clasificaciones de datos en el portal de Microsoft Purview y en el portal de cumplimiento. Para obtener más información, consulte Usar el explorador de contenido de clasificación de datos.

Nombre descriptivo Operación Descripción
Archivo al que se ha accedido LabelContentExplorerAccessedItem Un administrador (o un usuario que sea miembro del grupo de roles de Visor de contenido del explorador de contenido) usa el explorador de contenido para ver un mensaje de correo electrónico o un documento de OneDrive o SharePoint.

Actividades de Copilot

En la tabla siguiente se enumeran las actividades de Microsoft 365 Copilot y Microsoft Copilot que se registran en el registro de auditoría. Se puede acceder a Copilot en todos los servicios de Microsoft. Las actividades incluyen cómo y cuándo interactúan los usuarios con Copilot. Esto incluye el servicio de Microsoft donde tuvo lugar la actividad y las referencias a los archivos a los que se accede durante la interacción. Para obtener más información sobre los eventos de interacción de Copilot y un ejemplo de esquema, consulte Introducción a los eventos de interacción de Copilot.

Para acceder al texto desde el símbolo del sistema del usuario durante la interacción, consulte Búsqueda de contenido o vea el evento de interacción de IA desde el explorador de actividad en Administración de posturas de seguridad de datos para IA.

Para obtener más información sobre la auditoría y otras opciones de administración de cumplimiento para Copilot, consulte Microsoft Purview admite la administración de cumplimiento para Copilot.

Nombre descriptivo Operación Descripción
Creación de un nuevo complemento de Copilot CreateCopilotPlugin Un usuario (o administrador o sistema en nombre de un usuario) ha creado un nuevo complemento de Copilot.
Creación de una nueva libreta de mensajes de Copilot CreateCopilotPromptBook Un usuario (o administrador o sistema en nombre de un usuario) creó un nuevo promptbook en Copilot.
Se ha eliminado un complemento de Copilot DeleteCopilotPlugin Un usuario (o administrador o sistema en nombre de un usuario) eliminó un complemento de Copilot.
Eliminación de una libreta de mensajes de Copilot DeleteCopilotPromptBook Un usuario (o administrador o sistema en nombre de un usuario) eliminó un promptbook de Copilot.
Deshabilitación de un complemento de Copilot DisableCopilotPlugin Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado un complemento copilot.
Deshabilitado un promptbook de Copilot DisableCopilotPromptBook Un usuario (o administrador o sistema en nombre de un usuario) ha deshabilitado una libreta de mensajes de Copilot.
Habilitado un complemento de Copilot EnableCopilotPlugin Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado un complemento de Copilot.
Habilitado un promptbook de Copilot EnableCopilotPromptBook Un usuario (o administrador o sistema en nombre de un usuario) ha habilitado una libreta de mensajes de Copilot.
Interacción con Copilot CopilotInteraction Un usuario (o administrador o sistema en nombre de un usuario) escribió mensajes en Copilot.
Se ha actualizado una configuración del complemento Copilot UpdateCopilotPlugin Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de complemento de Copilot.
Se ha actualizado una configuración de la libreta de mensajes de Copilot. UpdateCopilotPromptBook Un usuario (o administrador o sistema en nombre de un usuario) ha actualizado una configuración de la libreta de mensajes de Copilot.
Se ha actualizado una configuración de Copilot UpdateCopilotSettings Un administrador (o sistema en nombre de un administrador) ha actualizado una configuración de Copilot.

Actividades de administración de directorios

En la tabla siguiente se enumeran Microsoft Entra directorio y actividades relacionadas con el dominio que se registran cuando un administrador administra su organización en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Nombre descriptivo Operación Descripción
Dominio agregado a la empresa Agregar dominio a la empresa. Se ha agregado un dominio a la organización.
Se ha agregado un socio al directorio Agregar asociado a la empresa. Se ha agregado un socio (administrador delegado) a la organización.
Dominio removido de la empresa Quitar dominio de la empresa. Se ha quitado un dominio de la organización.
Se ha removido un socio del directorio Quitar asociado de la empresa. Se ha quitado un socio (administrador delegado) de la organización.
Establecer información de la organización Establecer la información de la empresa. Se ha actualizado la información de empresa de la organización. Incluye direcciones de correo electrónico para el correo electrónico relacionado con la suscripción enviado por Microsoft 365 y notificaciones técnicas sobre los servicios de Microsoft 365.
Establecer autenticación de dominio Establecer autenticación de dominio. Se ha cambiado la configuración de la autenticación de dominio de la organización.
Se ha actualizado la configuración de federación para un dominio Establecer la configuración de federación en un dominio. Se ha cambiado la configuración de federación (uso compartido externo) de la organización.
Establecer normativas de contraseña Establecer la directiva de contraseña. Se han cambiado las restricciones de caracteres y longitud de las contraseñas de usuario de la organización.
Activado Sincronización de Azure AD Establecer la marca DirSyncEnabled. Se ha establecido la propiedad que habilita un directorio para la Sincronización de Azure AD.
Dominio actualizado Actualizar dominio. Se ha actualizado la configuración de un dominio en la organización.
Dominio comprobado Comprobar dominio. Se ha comprobado que su organización es la propietaria de un dominio.
Se ha comprobado el dominio comprobado por correo electrónico Verificar el dominio comprobado por correo electrónico. Se ha usado la verificación de correo electrónico para comprobar que su organización es la propietaria de un dominio.

Actividades de revisión para eliminación

En la tabla siguiente se enumeran las actividades que un revisor de eliminación tomó cuando un elemento alcanzó el final de su período de retención configurado, o un elemento se movió automáticamente a la siguiente fase de eliminación o se eliminó permanentemente como resultado de la aplicación automática.

Nombre descriptivo Operación Descripción
Eliminación aprobada ApproveDisposal Para la aprobación manual: un revisor de disposición aprobó la eliminación del elemento para moverlo a la siguiente fase de eliminación. Si el elemento estaba en fase única o final de la revisión de eliminación, la aprobación para eliminación marcó el elemento como apto para su eliminación permanente.

Para la aplicación automática: no se realizó ninguna acción manual dentro del período de tiempo de autoaplicación configurado, por lo que el elemento se movió automáticamente a la siguiente fase de eliminación. Si el elemento estaba en la única o última fase de la revisión de eliminación, el elemento se convirtió automáticamente en apto para su eliminación permanente.
Período de retención extendido ExtendRetention Un revisor de disposición extendió el período de retención del elemento.
Elemento etiquetado de nuevo RelabelItem Un revisor de eliminación reetiquetó la etiqueta de retención.
Revisores agregados AddReviewer Un revisor de eliminación agregó uno o más usuarios a la fase actual de la revisión para eliminación.

Actividades de eDiscovery

Actividades relacionadas con la búsqueda de contenido y eDiscovery (para Microsoft Purview eDiscovery (Standard) y Microsoft Purview eDiscovery (Premium)) que se realizan en el portal de Microsoft Purview, el portal de cumplimiento Microsoft Purview, o mediante la ejecución de los cmdlets de PowerShell correspondientes, se registran en el registro de auditoría. Los eventos se registran cuando los administradores o administradores de eDiscovery (o los permisos de exhibición de documentos electrónicos asignados por el usuario) realizan las siguientes tareas de búsqueda de contenido y exhibición de contenido (Standard) en los portales:

  • Crear y administrar casos de eDiscovery (Standard) y eDiscovery (Premium).
  • Creación, inicio y edición de búsquedas de contenido.
  • Realizar acciones de búsqueda, como obtener una vista previa, exportar y eliminar resultados de búsqueda.
  • Administración de custodios y conjuntos de revisión en eDiscovery (Premium).
  • Configuración del filtrado de permisos para la búsqueda de contenido.
  • Administración del rol administrador de eDiscovery.

Para obtener más información sobre cómo buscar en el registro de auditoría, los permisos necesarios y exportar los resultados de búsqueda, consulte Búsqueda en el registro de auditoría.

Nota:

Las actividades resultantes de las actividades enumeradas en las actividades de exhibición de documentos electrónicos y las actividades de exhibición de documentos electrónicos (Premium) de la lista desplegable Actividades tardan hasta 30 minutos en mostrarse en los resultados de la búsqueda. Por el contrario, lleva hasta 24 horas para los eventos correspondientes de actividades cmdlet de eDiscovery que aparezcan en los resultados de búsqueda.

Búsqueda de contenido y eDiscovery (Standard) actividades

En la tabla siguiente se describen las actividades búsqueda de contenido y exhibición de documentos electrónicos (Standard) que se registran cuando un administrador o administrador de eDiscovery realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento. Algunas actividades realizadas en eDiscovery (Premium) pueden devolverse al buscar actividades en esta lista.

Nota:

Las actividades de eDiscovery descritas en esta sección proporcionan información similar a las actividades de cmdlet de eDiscovery descritas en la sección siguiente. Se recomienda usar las actividades de exhibición de documentos electrónicos que se describen en esta sección, ya que aparecerán en los resultados de la búsqueda del registro de auditoría en un plazo de 30 minutos. Las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de la búsqueda de registros de auditoría.

Nombre descriptivo Operación Cmdlet correspondiente Descripción
Se ha agregado un miembro al caso de eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios.
Búsqueda de contenido modificada
SearchUpdated
Set-ComplianceSearch
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido o la edición de la consulta de búsqueda.
Se ha cambiado la pertenencia al administrador de eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación CaseAdminAdded.
Se ha cambiado el caso de eDiscovery
CaseUpdated
Set-ComplianceCase
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado.
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos
CaseMemberUpdated
Update-ComplianceCaseMember
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación CaseMemberAdded o CaseMemberRemoved.
Filtro de permisos de búsqueda modificado
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Se ha cambiado un filtro de permisos de búsqueda.
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery
HoldUpdated
Set-CaseHoldRule
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas.
Elemento de vista previa de búsqueda de contenido descargado
PreviewItemDownloaded
N/D
Un usuario descargó un elemento en su equipo local (seleccionando el vínculo Descargar elemento original ) al obtener una vista previa de los resultados de la búsqueda.
Elemento de vista previa de búsqueda de contenido enumerado
PreviewItemListed
N/D
Un usuario seleccionó Vista previa de los resultados de búsqueda para mostrar la página de resultados de búsqueda de vista previa, que muestra hasta 1000 elementos a partir de los resultados de una búsqueda.
Búsqueda de contenido creada
SearchCreated
New-ComplianceSearch
Se creó una nueva búsqueda de contenido.
Administrador de eDiscovery creado
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Se agregó un usuario como administrador de exhibición de documentos electrónicos en la organización.
Caso de eDiscovery creado
CaseAdded
New-ComplianceCase
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales.
Filtro de permisos de búsqueda creado
SearchPermissionCreated
New-ComplianceSecurityFilter
Se creó un filtro de permisos de búsqueda.
Consulta de búsqueda creada para la suspensión de casos de eDiscovery
HoldCreated
New-CaseHoldRule
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos.
Búsqueda de contenido eliminado
SearchRemoved
Remove-ComplianceSearch
Se eliminó una búsqueda de contenido existente.
Administrador de eDiscovery eliminado
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Se eliminó un administrador de exhibición de documentos electrónicos de la organización.
Caso de eDiscovery eliminado
CaseRemoved
Remove-ComplianceCase
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso.
Filtro de permisos de búsqueda eliminados
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Se eliminó un filtro de permisos de búsqueda.
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery
HoldRemoved
Remove-CaseHoldRule
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera.
Exportación descargada de la búsqueda de contenido
SearchExportDownloaded
N/D
Un usuario descargó los resultados de una búsqueda de contenido en su equipo local. Se debe iniciar una exportación iniciada de la actividad de búsqueda de contenido antes de que se puedan descargar los resultados de la búsqueda.
Resultados en vista previa de la búsqueda de contenido
SearchPreviewed
N/D
Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido.
Resultados purgados de la búsqueda de contenido
SearchResultsPurged
New-ComplianceSearchAction
Un usuario purgue los resultados de una búsqueda de contenido mediante la ejecución del comando New-ComplianceSearchAction -Purge .
Se ha quitado el análisis de la búsqueda de contenido.
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Se eliminó una acción de preparación de búsqueda de contenido (para preparar los resultados de búsqueda para eDiscovery (Premium)). Si la acción de preparación tenía menos de dos semanas de antigüedad, los resultados de búsqueda preparados para eDiscovery (Premium) se eliminaron del área de almacenamiento de Microsoft Azure. Si la acción de preparación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de preparación correspondiente.
Se quitó la exportación de la búsqueda de contenido
RemovedSearchExported
Remove-ComplianceSearchAction
Se eliminó una acción de exportación de búsqueda de contenido. Si la acción de exportación tenía menos de dos semanas de antigüedad, se eliminaron los resultados de búsqueda cargados en el área de almacenamiento de Microsoft Azure. Si la acción de exportación era anterior a 2 semanas, este evento indica que solo se eliminó la acción de exportación correspondiente.
Se quitó el miembro del caso de eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos.
Se han quitado los resultados de la vista previa de la búsqueda de contenido
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Se eliminó una acción de vista previa de búsqueda de contenido.
Acción de purga eliminada realizada en la búsqueda de contenido
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Se eliminó una acción de purga de búsqueda de contenido.
Informe de búsqueda eliminado
SearchReportRemoved
Remove-ComplianceSearchAction
Se eliminó una acción de informe de exportación de búsqueda de contenido.
Análisis iniciado de la búsqueda de contenido
SearchResultsSentToZoom
New-ComplianceSearchAction
Los resultados de una búsqueda de contenido se prepararon para su análisis en eDiscovery (Premium).
Búsqueda de contenido iniciada
SearchStarted
Start-ComplianceSearch
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante el portal de cumplimiento, la búsqueda se inicia automáticamente.
Exportación iniciada de la búsqueda de contenido
SearchExported
New-ComplianceSearchAction
Un usuario exportó los resultados de una búsqueda de contenido.
Informe de exportación iniciado
SearchReport
New-ComplianceSearchAction
Un usuario exportó un informe de búsqueda de contenido.
Búsqueda de contenido detenida
SearchStopped
Stop-ComplianceSearch
Un usuario detuvo una búsqueda de contenido.
(ninguno) CaseViewed Get-ComplianceCase Un usuario ha visto un caso de exhibición de documentos electrónicos (Standard) en el portal de cumplimiento. El registro de auditoría de este evento incluye el nombre del caso que se ha visto.
(ninguno) SearchViewed Get-ComplianceSearch Un usuario ha visto una búsqueda de contenido en el portal de cumplimiento accediendo a la búsqueda en la pestaña Búsquedas en un caso de exhibición de documentos electrónicos (Standard) o accediendo a ella en la página Búsqueda de contenido. El registro de auditoría de este evento incluye la identidad de la búsqueda que se ha visto.
(ninguno) ViewedSearchExported Get-ComplianceSearchAction -Export Un usuario ha visto una exportación de búsqueda de contenido en el portal de cumplimiento accediendo a la exportación en la pestaña Exportaciones de la página Búsqueda de contenido . Esta actividad también se registra cuando un usuario ve una exportación asociada a un caso de exhibición de documentos electrónicos (Standard).
(ninguno) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Un usuario ha obtenido una vista previa de los resultados de una búsqueda de contenido en el portal de cumplimiento. Esta actividad también se registra cuando un usuario obtiene una vista previa de los resultados de una búsqueda asociada a un caso de exhibición de documentos electrónicos (Standard).

Actividades de eDiscovery (Premium)

En la tabla siguiente se describen las actividades de eDiscovery (Premium) registradas en el registro de auditoría. Estas actividades se pueden usar para ayudarle a realizar un seguimiento de la progresión de la actividad en un caso de exhibición de documentos electrónicos (Premium).

Nombre descriptivo Operación Descripción
Agregar datos a otro conjunto de revisión AddWorkingSetQueryToWorkingSet El usuario ha agregado documentos de un conjunto de revisiones a un conjunto de revisiones diferente.
Datos agregados a otro conjunto de revisión AddQueryToWorkingSet El usuario agregó los resultados de búsqueda de una búsqueda de contenido asociada a un caso de exhibición de documentos electrónicos (Premium) a un conjunto de revisión.
Se han agregado datos que no son de Microsoft 365 a un conjunto de revisión AddNonOffice365DataToWorkingSet Un usuario ha agregado datos que no son de Microsoft 365 a un conjunto de revisión.
Documentos corregidos agregados para revisar el conjunto AddRemediatedData El usuario carga documentos que tuvieron errores de indexación corregidos para un conjunto de revisiones.
Datos analizados en el conjunto de revisiones RunAlgo El usuario ejecutó análisis en los documentos de un conjunto de revisión.
Documento anotados en el conjunto de revisiones AnnotateDocument El usuario anotó un documento en un conjunto de revisiones. La anotación incluye contenido redactado en un documento.
Conjuntos de carga comparados LoadComparisonJob El usuario comparó dos conjuntos de carga distintos en un conjunto de revisiones. Un conjunto de carga es cuando los datos de una búsqueda de contenido asociados al caso se agregan a un conjunto de revisiones.
Documentos redactados convertidos en PDF BurnJob El usuario convirtió todos los documentos redactados en un conjunto de revisión en archivos PDF.
Creado el conjunto de revisiones CreateWorkingSet El usuario creó un conjunto de revisiones.
Conjunto de búsqueda de revisiones creado CreateWorkingSetSearch El usuario creó una consulta de búsqueda para buscar en los documentos de un conjunto de revisiones.
Etiqueta creada CreateTag El usuario creó un grupo de etiquetas en un conjunto de revisiones. Un grupo de etiquetas puede contener una o más etiquetas pequeñas. Las etiquetas se usan para etiquetar documentos en el conjunto de revisiones.
Conjunto de búsqueda de revisiones creado DeleteWorkingSetSearch El usuario eliminó una consulta de búsqueda en un conjunto de revisiones.
Etiquetas eliminadas DeleteTag El usuario eliminó un grupo de etiquetas en un conjunto de revisiones.
Documento descargado DownloadDocument El usuario ha descargado un documento de un conjunto de revisiones.
Etiqueta editada UpdateTag El usuario cambió una etiqueta en un conjunto de revisiones.
Documentos exportados desde un conjunto de revisión ExportJob Documentos de usuario exportados desde un conjunto de revisión.
Configuración de carcaza modificados UpdateCaseSettings Los usuarios modificaron la configuración de una carcaza. Las opciones de configuración de carcazas incluyen información de casos, permisos de acceso y configuraciones que controlan el comportamiento de búsqueda y análisis.
Conjunto de búsqueda de revisiones modificado UpdateWorkingSetSearch El usuario editó una consulta de búsqueda en un conjunto de revisiones.
Conjunto de búsqueda de revisiones previstas PreviewWorkingSetSearch Usuario obtiene una vista previa de los resultados de una consulta de búsqueda en un conjunto de revisiones.
Documentos erróneos corregidos ErrorRemediationJob El usuario corrige los archivos que contienen errores de escritura..
Documento etiquetado TagFiles El usuario etiquetó un documento en un conjunto de revisiones.
Resultados etiquetados de una consulta TagJob EL usuario etiqueta todos los documentos que coinciden con los criterios de la consulta de búsqueda en un conjunto de revisiones.
Documento anotados en el conjunto de revisiones ViewDocument El usuario visualizó un documento en un conjunto de revisiones.

Actividades de cmdlet de eDiscovery

En la tabla siguiente se enumeran los registros de auditoría de cmdlets que se registran cuando un administrador o usuario realiza una actividad relacionada con eDiscovery mediante el portal de cumplimiento o mediante la ejecución del cmdlet correspondiente en PowerShell de seguridad & cumplimiento. La información detallada del registro de auditoría es diferente para las actividades de cmdlet enumeradas en esta tabla y las actividades de exhibición de documentos electrónicos descritas en la sección anterior.

Como se indicó anteriormente, las actividades de cmdlet de eDiscovery pueden tardar hasta 24 horas en aparecer en los resultados de búsqueda del registro de auditoría.

Sugerencia

Los cmdlets de la columna Operation de la tabla siguiente están vinculados al tema de ayuda de cmdlet correspondiente en TechNet. Vaya al tema de ayuda del cmdlet para obtener una descripción de los parámetros disponibles para cada cmdlet. El parámetro y el valor del parámetro que se usaron con un cmdlet se incluyen en la entrada de registro de auditoría para cada actividad de cmdlet de eDiscovery que se registra.

Nombre descriptivo Operación (cmdlet) Descripción
Suspensión creada en el caso de eDiscovery
New-CaseHoldPolicy
Se creó una suspensión para un caso de exhibición de documentos electrónicos. Se puede crear una suspensión con o sin especificar un origen de contenido. Si se especifican orígenes de contenido, se identifican en la entrada del registro de auditoría.
Suspensión eliminada del caso de eDiscovery
Remove-CaseHoldPolicy
Se eliminó una suspensión asociada a un caso de exhibición de documentos electrónicos. Al eliminar una suspensión, se liberan todas las ubicaciones de contenido de la suspensión. La eliminación de la suspensión también da como resultado la eliminación de las reglas de suspensión de casos asociadas a la suspensión (vea Remove-CaseHoldRule).
Se ha cambiado la suspensión en el caso de eDiscovery
Set-CaseHoldPolicy
Se ha cambiado una suspensión asociada a una exhibición de documentos electrónicos. Los posibles cambios incluyen agregar o quitar ubicaciones de contenido o desactivar (deshabilitar) la suspensión.
Consulta de búsqueda creada para la suspensión de casos de eDiscovery
New-CaseHoldRule
Se creó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos.
Consulta de búsqueda eliminada para la suspensión de casos de eDiscovery
Remove-CaseHoldRule
Se eliminó una retención basada en consultas asociada a un caso de exhibición de documentos electrónicos. La eliminación de la consulta de la suspensión suele ser el resultado de eliminar una suspensión. Cuando se elimina una consulta de suspensión o suspensión, se liberan las ubicaciones de contenido que estaban en espera.
Se ha cambiado la consulta de búsqueda para la suspensión de mayúsculas y minúsculas de eDiscovery
Set-CaseHoldRule
Se cambió una suspensión basada en consultas asociada a un caso de exhibición de documentos electrónicos. Los posibles cambios incluyen la edición de la consulta o el intervalo de fechas para una retención basada en consultas.
Caso de eDiscovery creado
New-ComplianceCase
Se creó un caso de eDiscovery. Cuando se crea un caso, solo tiene que darle un nombre. Otras tareas relacionadas con casos, como agregar miembros, crear retenciones y crear búsquedas de contenido asociadas al caso, provocan que se registren eventos adicionales.
Caso de eDiscovery eliminado
Remove-ComplianceCase
Se eliminó un caso de exhibición de documentos electrónicos. Cualquier retención asociada al caso debe quitarse antes de que se pueda eliminar el caso.
Se ha cambiado el caso de eDiscovery
Set-ComplianceCase
Se cambió un caso de eDiscovery. Los cambios incluyen el cierre de un caso abierto o la reapertura de un caso cerrado.
Se ha agregado un miembro al caso de eDiscovery
Add-ComplianceCaseMember
Se agregó un usuario como miembro de un caso de exhibición de documentos electrónicos. Como miembro de un caso, un usuario puede realizar varias tareas relacionadas con casos en función de si se le han asignado los permisos necesarios.
Se quitó el miembro del caso de eDiscovery
Remove-ComplianceCaseMember
Un usuario se quitó como miembro de un caso de exhibición de documentos electrónicos.
Se ha cambiado la pertenencia a casos de exhibición de documentos electrónicos
Update-ComplianceCaseMember
Se cambió la lista de pertenencia de un caso de exhibición de documentos electrónicos. Esta actividad se registra cuando todos los miembros se reemplazan por un grupo de nuevos usuarios. Si se agrega o quita un solo miembro, se registra la operación Add-ComplianceCaseMember o Remove-ComplianceCaseMember .
Búsqueda de contenido creada
New-ComplianceSearch
Se creó una nueva búsqueda de contenido.
Búsqueda de contenido eliminado
Remove-ComplianceSearch
Se eliminó una búsqueda de contenido existente.
Búsqueda de contenido modificada
Set-ComplianceSearch
Se ha cambiado una búsqueda de contenido existente. Los cambios pueden incluir la adición o eliminación de ubicaciones de contenido que se buscan y la edición de la consulta de búsqueda.
Búsqueda de contenido iniciada
Start-ComplianceSearch
Se inició una búsqueda de contenido. Al crear o cambiar una búsqueda de contenido mediante la GUI del portal de cumplimiento, la búsqueda se inicia automáticamente. Si crea o cambia una búsqueda mediante el cmdlet New-ComplianceSearch o Set-ComplianceSearch , debe ejecutar el cmdlet Start-ComplianceSearch para iniciar la búsqueda.
Búsqueda de contenido detenida
Stop-ComplianceSearch
Se detuvo una búsqueda de contenido que se estaba ejecutando.
Acción de búsqueda de contenido creada
New-ComplianceSearchAction
Se creó una acción de búsqueda de contenido. Las acciones de búsqueda de contenido incluyen la vista previa de los resultados de búsqueda, la exportación de resultados de búsqueda, la preparación de los resultados de búsqueda para su análisis en eDiscovery (Premium) y la eliminación permanente de elementos que coinciden con los criterios de búsqueda de una búsqueda de contenido.
Acción de búsqueda de contenido eliminado
Remove-ComplianceSearchAction
Se eliminó una acción de búsqueda de contenido.
Filtro de permisos de búsqueda creado
New-ComplianceSecurityFilter
Se creó un filtro de permisos de búsqueda.
Filtro de permisos de búsqueda eliminados
Remove-ComplianceSecurityFilter
Se eliminó un filtro de permisos de búsqueda.
Filtro de permisos de búsqueda modificado
Set-ComplianceSecurityFilter
Se ha cambiado un filtro de permisos de búsqueda.
Administrador de eDiscovery creado
Add-eDiscoveryCaseAdmin
Se agregó un usuario como administrador de exhibición de documentos electrónicos en su organización.
Administrador de eDiscovery eliminado
Remove-eDiscoveryCaseAdmin
Se eliminó un administrador de exhibición de documentos electrónicos de la organización.
Se ha cambiado la pertenencia al administrador de eDiscovery
Update-eDiscoveryCaseAdmin
Se ha cambiado la lista de administradores de exhibición de documentos electrónicos de la organización. Esta actividad se registra cuando la lista de administradores de exhibición de documentos electrónicos se reemplaza por un grupo de nuevos usuarios. Si se agrega o quita un único usuario, se registra la operación Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin .
(ninguno) Get-ComplianceCase
Esta actividad se registra cuando un usuario ha visto una lista de casos de exhibición de documentos electrónicos (Standard) o eDiscovery (Premium). Esta actividad también se registra cuando un usuario ve un caso específico en eDiscovery (Standard). Cuando un usuario ve un caso específico, el registro de auditoría incluye la identidad del caso que se ha visto. Si el usuario solo ha visto una lista de casos, el registro de auditoría no contiene una identidad de caso.
(ninguno) Get-ComplianceSearch Esta actividad se registra cuando un usuario ha visto una lista de búsquedas de contenido o búsquedas asociadas a un caso de exhibición de documentos electrónicos (Standard). Esta actividad también se registra cuando un usuario ve una búsqueda de contenido específica o ve una búsqueda específica asociada a un caso de exhibición de documentos electrónicos (Standard). Cuando un usuario ve una búsqueda específica, el registro de auditoría incluye la identidad de la búsqueda que se ha visto. Si el usuario solo ha visto una lista de búsquedas, el registro de auditoría no contiene una identidad de búsqueda.
(ninguno) Get-ComplianceSearchAction Esta actividad se registra cuando un usuario ha visto una lista de acciones de búsqueda de cumplimiento (como exportaciones, vistas previas o purgas) o acciones asociadas a un caso de eDiscovery (Standard). Esta actividad también se registra cuando un usuario ve una acción de búsqueda de cumplimiento específica (como una exportación) o ve una acción específica asociada a un caso de exhibición de documentos electrónicos (Standard). Cuando un usuario ve una acción de búsqueda, el registro de auditoría incluye la identidad de la acción de búsqueda que se ha visto. Si el usuario solo ha visto una lista de acciones, el registro de auditoría no contiene una identidad de acción.

Propiedades detalladas de las actividades de eDiscovery

En la tabla siguiente se describen las propiedades que se incluyen en la página de control flotante de una actividad de exhibición de documentos electrónicos enumerada en los resultados de la búsqueda. Estas propiedades también se incluyen en el archivo CSV al exportar los resultados de la búsqueda de registros de auditoría. Un registro de auditoría para una actividad de exhibición de documentos electrónicos no incluirá todas las propiedades detalladas enumeradas en la tabla siguiente.

Sugerencia

Al exportar los resultados de la búsqueda, el archivo CSV contiene una columna denominada AudtiData, que contiene las propiedades detalladas descritas en la tabla siguiente en una propiedad de varios valores. Puede usar la característica Power Query en Excel para dividir esta columna en varias columnas de modo que cada propiedad tenga su propia columna. Esto le permitirá ordenar y filtrar una o varias de estas propiedades. Para obtener más información, vea Buscar en el registro de auditoría.

Propiedad Descripción
Case
Identidad (GUID) del caso de exhibición de documentos electrónicos que se creó, cambió o eliminó.
ClientApplication
Las actividades de cmdlet de eDiscovery tienen un valor de EMC para esta propiedad. Esto indica que la actividad se realizó mediante la GUI del portal de cumplimiento o ejecutando el cmdlet en PowerShell.
ClientIP
La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
ClientRequestId
En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco.
CmdletVersion
Número de compilación de la versión del portal de cumplimiento que se ejecuta en su organización.
CreationTime
Fecha y hora de la hora universal coordinada (UTC) cuando se completó la actividad de exhibición de documentos electrónicos.
EffectiveOrganization
Nombre de la organización de Microsoft 365.
ExchangeLocations
Los Exchange Online buzones que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
Exclusiones
Ubicaciones de buzón o sitio que se excluyen de una búsqueda de contenido o una retención en un caso de exhibición de documentos electrónicos.
ExtendedProperties
Propiedades adicionales de una búsqueda de contenido, una acción de búsqueda de contenido o una suspensión en un caso de exhibición de documentos electrónicos, como el GUID del objeto y los parámetros de cmdlet y cmdlet correspondientes que se usaron cuando se realizó la actividad.
Id
Identificador de la entrada del informe. El identificador identifica de forma única la entrada del registro de auditoría.
NonPIIParameters
Una lista de los parámetros (sin ningún valor) que se usaron con el cmdlet identificado en la propiedad Operation. Los parámetros enumerados en esta propiedad son los mismos que los que aparecen en la propiedad Parameters.
ObjectId
GUID o nombre del objeto (por ejemplo, una búsqueda de contenido o un caso de exhibición de documentos electrónicos (Standard) que la actividad enumerada en la propiedad Operation creó, obtuvo acceso, cambió o eliminó. Este objeto también se identifica en la columna Item de los resultados de búsqueda del registro de auditoría.
ObjectType
Tipo de objeto eDiscovery que el usuario creó, eliminó o modificó; por ejemplo, una acción de búsqueda de contenido (vista previa, exportación o purga), un caso de exhibición de documentos electrónicos o una búsqueda de contenido.
Operación
Nombre de la operación que corresponde a la actividad eDiscovery que se realizó.
OrganizationId
GUID de la organización de Microsoft 365.
Parameters
Nombre y valor de los parámetros que se usaron con el cmdlet correspondiente.
PublicFolderLocations
Las ubicaciones de carpetas públicas de Exchange Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
Consulta
Consulta de búsqueda asociada a la actividad, como una búsqueda de contenido o una retención basada en consultas.
RecordType
El tipo de operación indicado por el registro. El valor de 18 indica un evento relacionado con una actividad enumerada en la sección de actividades de cmdlets de eDiscovery . Un valor de 24 indica un evento relacionado con una actividad enumerada en la sección de actividades de exhibición de documentos electrónicos .
ResultStatus
Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no.
SecurityComplianceCenterEventType
Indica que la actividad era un evento del portal de cumplimiento. Todas las actividades de eDiscovery tendrán un valor de 0 para esta propiedad.
SharepointLocations
Los sitios de SharePoint Online que se incluyen en una búsqueda de contenido o se colocan en espera en un caso de exhibición de documentos electrónicos.
StartTime
Fecha y hora de la hora universal coordinada (UTC) cuando se inició la actividad de exhibición de documentos electrónicos.
UserId
El usuario que realizó la actividad (especificada en la propiedad Operation) que provocó que se registrara el registro. Los registros de la actividad de exhibición de documentos electrónicos realizadas por cuentas del sistema (como NT AUTHORITY\SYSTEM) también se incluyen en el registro de auditoría.
UserKey
Un id. alternativo para el usuario identificado en la propiedad id. de usuario. En el caso de las actividades de eDiscovery, el valor de esta propiedad suele ser el mismo que la propiedad UserId.
UserServicePlan
La suscripción que usa la organización. En el caso de las actividades de exhibición de documentos electrónicos, esta propiedad suele estar en blanco.
UserType
El tipo de usuario que llevó a cabo la operación. Los siguientes valores indican el tipo de usuario.
0 Un usuario normal. 2 Administrador de la organización. 3 Una cuenta de sistema de centro de datos o administrador del centro de datos de Microsoft. 4 Una cuenta del sistema. 5 Una aplicación. 6 Una entidad de servicio.
Versión
Indica el número de versión de la actividad (identificada por la propiedad Operation) que se registra.
Carga de trabajo
El servicio donde se produjo la actividad. Para las actividades de eDiscovery, el valor es SecurityComplianceCenter.

Actividades del portal de mensajes cifrados

Los registros de acceso están disponibles para los mensajes encriptados a través del portal de mensajes encriptados que permite a su organización determinar cuándo los mensajes son leídos, y reenviados por sus destinatarios externos. Para obtener más información sobre la activación y el uso de los registros de actividad del portal de mensajes cifrados, consulte Registro de actividad del portal de mensajes cifrado.

Cada entrada de auditoría de un mensaje de seguimiento contiene los campos siguientes:

  • MessageID: contiene el identificador del mensaje al que se realiza el seguimiento. Identificador de clave que se usa para seguir un mensaje a través del sistema.
  • Destinatario: lista de todas las direcciones de correo electrónico del destinatario.
  • Remitente: dirección de correo electrónico de origen.
  • AuthenticationMethod: describe el método de autenticación para acceder al mensaje, por ejemplo, OTP, Yahoo, Gmail o Microsoft.
  • AuthenticationStatus: contiene un valor que indica que la autenticación se realizó correctamente o no.
  • OperationStatus: indica si la operación indicada se realizó correctamente o no.
  • AttachmentName: nombre de los datos adjuntos.
  • OperationProperties: una lista de propiedades opcionales. Por ejemplo, el número de códigos de acceso de OTP enviados o el asunto del correo electrónico.

Actividades de administración de Exchange

El proceso de registro de auditoría del administrador de Exchange (que está habilitado de manera predeterminada en Microsoft 365) registra un evento en el registro de auditoría cuando un administrador (o un usuario al que se le han asignado permisos administrativos) realiza un cambio en la organización de Exchange Online. Los cambios que se han realizado mediante el Centro de administración de Exchange o mediante la ejecución de un cmdlet en PowerShell en Exchange en línea se registran en el registro de auditoría del administrador de Exchange. Los cmdlets que comienzan por los verbos Get-, Search-oTest- no se registran en el registro de auditoría. Para obtener más información detallada sobre el registro de auditoría del administrador en Exchange, consulte Registro de auditoría de administrador.

Importante

Algunos cmdlets de Exchange Online que no se archivan en el registro de auditoría de administración de Exchange (o en el registro de auditoría). Muchos de estos cmdlets se relacionan con el mantenimiento del servicio de Exchange en línea y los ejecuta el personal del centro de datos de Microsoft o las cuentas de servicio. Estos cmdlets no se registran porque darían un gran número de eventos de auditoría "ruidosos". Si hay un cmdlet de Exchange Online que no se está auditando, envíe una solicitud de cambio de diseño (DCR) a Soporte técnico de Microsoft.

Aquí se muestran algunas sugerencias para buscar actividades de administrador de Exchange al buscar en el registro de auditoría:

  • Use los cuadros de intervalo de fecha y la lista deUsuarios para restringir los resultados de búsqueda para los cmdlets que se ejecutan mediante un administrador de Exchange específico dentro de un rango de fecha específico.
  • Para mostrar eventos del registro de auditoría de administración de Exchange, seleccione la columna Actividad para ordenar los nombres de cmdlet en orden alfabético.
  • Para obtener información sobre qué cmdlet se ha ejecutado, qué parámetros y valores de parámetro se han usado y qué objetos se han visto afectados, tendrá que exportar los resultados de búsqueda y seleccionar la opción Descargar todos los resultados. Para más información, consulteExportar, configurar y ver registros de registro de auditoría
  • También puede usar el Search-UnifiedAuditLog -RecordType ExchangeAdmin comando de PowerShell Exchange en línea para devolver solo los registros de auditoría del registro de auditoría de administración de Exchange. Se puede tardar hasta 30 minutos después de ejecutar el cmdlet de Exchange para que se devuelva la entrada del registro de auditoría correspondiente en los resultados de la búsqueda. Para obtener más información, consulte Search-UnifiedAuditLog. Para obtener información sobre cómo exportar los resultados de búsqueda devueltos por el cmdlet Search-UnifiedAuditLoga un archivo CSV, consulte la sección "sugerencias para exportar y ver el registro de auditoría" exportar, configurar y ver el registro de auditoría registros.

Actividades de buzón de Exchange

La siguiente tabla enumera las actividades que pueden registrarse mediante el registro de auditoría del buzón de correo. Las actividades de buzón realizadas por el propietario del buzón, un usuario delegado o un administrador se registran automáticamente en el registro de auditoría durante un máximo de 180 días. Es posible para un administrador desactivar el registro de auditoría de buzón para todos los usuarios de su organización. En este caso, no se registra ninguna acción de cualquier usuario en el buzón. Para más información, consulte Administrar auditoría del buzón..

Importante

El período de retención predeterminado de Auditoría (Standard) ha cambiado de 90 días a 180 días. Los registros de auditoría (Standard) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (Standard) generados a partir del 17 de octubre de 2023 siguen la nueva retención predeterminada de 180 días.

También puede buscar actividades de buzón usando el cmdlet Search-MailboxAuditLogen el PowerShell de Exchange en línea.

Nombre descriptivo Operación Descripción
Elementos de buzón a los que se ha accedido MailItemsAccessed Se han leído mensajes o se obtuvo acceso a los mensajes del buzón. Los registros de auditoría de esta actividad se activan de una de estas dos maneras: cuando un cliente de correo (por ejemplo, Outlook) realiza una operación de vinculación en mensajes o cuando los protocolos de correo (como Exchange ActiveSync o IMAP) sincronizan elementos en una carpeta de correo. Analizar los registros de auditoría de esta actividad es útil al investigar cuentas de correo electrónico vulnerables.
Permisos de buzón de delegado agregados Add-MailboxPermission Un administrador asignó el permiso de FullAccess del buzón a un usuario (conocido como delegado) para el buzón de otra persona. El permiso FullAccess permite al delegado abrir el buzón de la otra persona, así como leer y administrar el contenido del buzón. El registro de auditoría de esta actividad también se genera cuando una cuenta del sistema del servicio Microsoft 365 realiza tareas de mantenimiento periódicamente en nombre de su organización. Una tarea común que realiza una cuenta del sistema es actualizar los permisos de los buzones del sistema. Para obtener más información, vea Cuentas del sistema en Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange.
Se ha agregado o quitado un usuario con acceso delegado a la carpeta calendario UpdateCalendarDelegation Se ha agregado o quitado un usuario como delegado hacia el calendario del buzón de otro usuario. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón.
Se agregaron permisos a la carpeta AddFolderPermissions Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.
Mensajes copiados a otra carpeta Copiar Se ha copiado un mensaje a otra carpeta.
Elementos del buzón creado Crear Se crea un elemento en la carpeta de Calendario, Contactos, Notas o Tareas en el buzón. Por ejemplo, se crea una nueva solicitud de reunión. No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo.
Nueva regla de bandeja de entrada creada en la aplicación web de Outlook New-InboxRule El propietario de un buzón u otro usuario con acceso al buzón creó una regla de la bandeja de entrada en la aplicación web de Outlook.
Mensajes eliminados de la carpeta elementos eliminados SoftDelete Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Estos elementos se mueven a la carpeta Elementos recuperables. Los mensajes también se mueven a la carpeta elementos recuperables cuando un usuario lo selecciona y presiona Mayús+Supr.
Mensaje etiquetado como un registro ApplyRecordLabel Un mensaje se clasificó como un registro. Se produce cuando una etiqueta de retención que clasifica el contenido como un registro se aplica manualmente o automáticamente a un mensaje.
Mensajes movidos a otra carpeta Mover Se ha movido un mensaje a otra carpeta.
Mensajes movidos a la carpeta Elementos eliminados MoveToDeletedItems Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados.
Permiso de carpeta modificada UpdateFolderPermissions Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso a las carpetas del buzón de correo y los mensajes que contienen.
Regla de bandeja de entrada modificada de la aplicación web de Outlook Set-InboxRule El propietario de un buzón u otro usuario con acceso al buzón modificó una regla de la bandeja de entrada usando la aplicación web de Outlook.
Mensajes que se han purgado del buzón HardDelete Un mensaje se ha purgado de la carpeta Elementos recuperables (eliminado permanentemente del buzón).
Permisos de buzón de delegado quitados Remove-MailboxPermission Un administrador quitó el permiso FullAccess (que se asignó a un delegado) del buzón de una persona. Una vez que se haya quitado el permiso FullAccess, el delegado no podrá abrir el buzón de la otra persona ni acceder a ningún contenido.
Permisos quitados de la carpeta RemoveFolderPermissions Un permiso de la carpeta se ha removido. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.
Enviar mensaje Enviar Un mensaje ha sido enviado, respondido o reenviado.
Mensaje enviado mediante los permisos de Enviar como SendAs Un mensaje se ha enviado con el permiso Enviar como. Esto significa que otro usuario envió el mensaje como si viniera del propietario del buzón.
Mensaje enviado mediante los permisos en nombre de SendOnBehalf Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje a nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.
Reglas de la bandeja de entrada actualizadas desde el cliente de Outlook UpdateInboxRules El propietario de un buzón u otro usuario con acceso al buzón creó, modificó o quitó una regla de la bandeja de entrada mediante el cliente de Outlook.
Mensaje actualizado Actualizar Un mensaje o sus propiedades han cambiado.
Usuario que ha iniciado sesión en un buzón MailboxLogin El usuario inició sesión en su buzón.
Etiquetar mensaje como un registro Un usuario ha aplicado una etiqueta de retención a un mensaje de correo electrónico y esa etiqueta está configurada para marcar el elemento como un registro.

Cuentas del sistema en los registros de auditoría del buzón de correo de Exchange

En los registros de auditoría de algunas actividades del buzón de correo (especialmente Add-MailboxPermissions), puede observar que el usuario que realizó la actividad (y se identifica en los campos User y UserId) es NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange. Servicehost). Esto indica que el “usuario” que realizó la actividad era una cuenta del sistema en el servicio Exchange en la nube de Microsoft. Esta cuenta del sistema suele realizar tareas de mantenimiento programadas en nombre de su organización. Por ejemplo, una actividad auditada común realizada por NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) es actualizar los permisos en DiscoverySearchMailbox, que es un buzón de correo del sistema. El propósito de esta actualización es comprobar que el permiso FullAccess (que es el valor predeterminado) está asignado al grupo de roles Administración de detección para DiscoverySearchMailbox. Garantiza que los administradores de eDiscovery puedan realizar las tareas necesarias en su organización.

Otra cuenta de usuario del sistema que se puede identificar en un registro de auditoría para Add-MailboxPermission es Administrator@apcprd03.prod.outlook.com. Esta cuenta de servicio también se incluye en los registros de auditoría del buzón de correo relacionados con la comprobación y actualización del permiso FullAccess que se asigna al grupo de roles Administración de detección para el buzón de correo del sistema DiscoverySearchMailbox. En concreto, los registros de auditoría que identifican la Administrator@apcprd03.prod.outlook.com cuenta se desencadenan normalmente cuando el personal de soporte técnico de Microsoft ejecuta una herramienta de diagnóstico de control de acceso basado en rol en nombre de su organización.

Actividades de páginas y archivos

En la siguiente tabla se describen las actividades de archivos y páginas en SharePoint en línea y OneDrive para la empresa.

Nombre descriptivo Operación Descripción
Archivo al que se tiene acceso FileAccessed Cuenta de sistema o usuario que tiene acceso al archivo. Una vez que un usuario accede a un archivo, el evento FileAccessed no vuelve a registrarse para el mismo usuario para el mismo archivo durante los próximos cinco minutos.
(ninguno) FileAccessedExtended Esto está relacionado con la actividad "Archivo al que se tiene acceso" (FileAccessed). Se registra un evento FileAccessedExtended cuando la misma persona tiene acceso continuamente a un archivo durante un largo período (hasta 3 horas).

El objetivo del registro de eventos FileAccessedExtended es reducir el número de eventos FileAccessed que se registran cuando se tiene acceso continuamente a un archivo. Esto ayuda a reducir el ruido de varios registros FileAccessed para lo que básicamente es la misma actividad de usuario y le permite centrarse en el evento FileAccessed inicial (el más importante).
Se ha cambiado la etiqueta de retención de un archivo ComplianceSettingChanged Se aplicó o se quitó una etiqueta de retención de un documento. Este evento se activa cuando una etiqueta de retención es aplicada manual o automáticamente a un mensaje.
Estado de registro cambiado a bloqueado LockRecord El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha siso bloqueado. Esto significa que el documento no se puede modificar ni eliminar. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.
Cambiado el estado del registro a bloqueado UnlockRecord El estado de registro de una etiqueta de retención que clasifica un documento como un registro ha sido bloqueado. Esto significa que el documento puede ser modificado o eliminado. Solo los usuarios que tengan al menos asignado el permiso de colaborador para un sitio podrán cambiar el estado de registro de un documento.
Archivo verificado FileCheckedIn El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos.
Archivo extraído del repositorio FileCheckedOut El usuario extrae un documento ubicado en una biblioteca de documentos. Los usuarios pueden extraer y modificar documentos que se han compartido con ellos.
Archivo copiado FileCopied El usuario copia un documento desde un sitio. El archivo copiado puede guardarse en otra carpeta en el sitio.
Archivo eliminado FileDeleted El usuario elimina un documento de un sitio.
Archivo eliminado de la papelera de reciclaje FileDeletedFirstStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de un sitio.
Archivo eliminado de la papelera de reciclaje de segundo nivel FileDeletedSecondStageRecycleBin El usuario elimina un archivo de la papelera del segundo nivel de la papelera de reciclaje de un sitio.
Archivo eliminado marcado como un registro RecordDelete Se eliminó un documento o un correo electrónico que se marcó como un registro. Un documento se considera un registro cuando se le aplica una etiqueta de retención que marca el contenido como un registro.
Desfase detectado de la sensibilidad del documento DocumentSensitivityMismatchDetected El usuario carga un documento a un sitio protegido con una etiqueta de confidencialidad y el documento tiene una etiqueta de confidencialidad de mayor prioridad que la que se aplica al sitio. Por ejemplo, un documento con la etiqueta Confidential se carga en un sitio con la etiqueta General.

Este evento no se activa si el documento tiene una etiqueta de confidencialidad de menor prioridad que la que se ha aplicado al sitio. Por ejemplo, un documento con la etiqueta General se carga en un sitio con la etiqueta Confidential. Para obtener más información sobre la prioridad de las etiquetas de confidencialidad, vea prioridad de etiquetas (el orden importa).
Malware detectado en archivo FileMalwareDetected El antivirus de SharePoint detecta el malware en un archivo.
Extracción del archivo descartada FileCheckOutDiscarded El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.
Archivo descargado FileDownloaded El usuario descarga un documento de un sitio.
Archivo modificado FileModified La cuenta del sistema o usuario modifica el contenido o las propiedades de un documento ubicado en un sitio. El sistema espera cinco minutos antes de que registre otro evento FileModified cuando el mismo usuario modifique el contenido o las propiedades del mismo documento.
(ninguno) FileModifiedExtended Esto está relacionado con la actividad "Archivo modificado" (FileModified). Se registra un evento FileModifiedExtended cuando la misma persona modifica constantemente un archivo durante un largo período de tiempo (hasta 3 horas).

El objetivo del registro de eventos FileModifiedExtended es reducir el número de eventos FileModified que se registran cuando se modifica continuamente un archivo. Esto ayuda a reducir el ruido de varios registros de FileModified para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento FileModified inicial (el más importante).
Archivo movido FileMoved El usuario mueve un documento de su ubicación actual en un sitio a una nueva ubicación.
(ninguno) FilePreviewed El usuario obtiene la vista previa de un documento de SharePoint o de OneDrive para un sitio de Empresas. Estos sucesos suelen producirse en grandes volúmenes basándose en una sola actividad, como ver una galería de imágenes.
Consulta de búsqueda realizada SearchQueryPerformed La cuenta del sistema o el usuario lleva a cabo una búsqueda en SharePoint o OneDrive para la Empresa. Algunos escenarios comunes en los que una cuenta de servicio realiza una consulta de búsqueda incluyen la aplicación de una directiva de retención y retención de eDiscovery a sitios y cuentas de OneDrive, y la aplicación automática de etiquetas de retención o confidencialidad al contenido del sitio. Para habilitar el registro de esta actividad, consulte Introducción a las soluciones de auditoría.
Se ha reciclado un archivo FileRecycled El usuario mueve un archivo a la Papelera de reciclaje de SharePoint.
Se ha reciclado una carpeta FolderRecycled El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint.
Todas las versiones menores del archivo recicladas FileVersionsAllMinorsRecycled El usuario elimina todas las versiones secundarias del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.
Todas las versiones del archivo recicladas FileVersionsAllRecycled El usuario elimina todas las versiones del historial de versiones de un archivo. Las versiones eliminadas se mueven a la Papelera de reciclaje del sitio.
Versión del archivo reciclada FileVersionRecycled El usuario elimina una versión del historial de versiones de un archivo. La versión eliminada se mueve a la Papelera de reciclaje del sitio.
Archivo al que se le ha cambiado el nombre FileRenamed El usuario cambia el nombre de un documento.
Archivo restaurado FileRestored El usuario restaura un documento de la papelera de reciclaje de un sitio.
Archivo cargado FileUploaded El usuario carga un documento a una carpeta de un sitio.
Página visualizada PageViewed El usuario visualiza una página en un sitio. No incluye el uso de un explorador web para ver los archivos ubicados en una biblioteca de documentos. Una vez que un usuario ve una página, el evento PageViewed no vuelve a registrarse para el mismo usuario para la misma página durante los próximos cinco minutos.
(ninguno) PageViewedExtended Esto está relacionado con la actividad "Página visualizada" (PageViewed). Se registra un evento PageViewedExtended cuando la misma persona visualiza continuamente una página web durante un periodo extendido (hasta 3 horas).

El objetivo del registro de eventos PageViewedExtended es reducir el número de eventos PageViewed que se registran cuando se visualiza una página continuamente. Esto ayuda a reducir el ruido de varios registros de PageViewed para lo que básicamente es la misma actividad de usuario, y le permite centrarse en el evento inicial PageViewed(el más importante).
Ver señalado por el cliente ClientViewSignaled El cliente de un usuario (como un sitio web o una aplicación móvil) ha señalado que el usuario ha visto la página indicada. Esta actividad a menudo se registra después de un evento de PagePrefetched para una página.

Nota: Como el cliente señaliza eventos ClientViewSignaled, en lugar del servidor, es posible que el servidor no pueda registrar el evento y, por lo tanto, puede que no aparezca en el registro de auditoría. También es posible que la información del registro de auditoría no sea confiable. Sin embargo, dado que la identidad del usuario se valida por el token usado para crear la señal, la identidad del usuario que aparece en el registro de auditoría correspondiente es precisa. El sistema espera cinco minutos antes de que registre el mismo evento cuando el cliente del mismo usuario indica que el usuario ha visualizado de nuevo la página.
(ninguno) PagePrefetched El cliente de un usuario (como el sitio web o la aplicación móvil) ha solicitado la página indicada para ayudar a mejorar el rendimiento si el usuario la explora. Este evento se registra para indicar que el contenido de la página se ha servido para el cliente del usuario. Este evento no es una indicación definitiva de que el usuario ha navegado hasta la página.

Cuando el cliente muestra el contenido de la página (de acuerdo con la solicitud del usuario), debe generarse un evento ClientViewSignaled. No todos los clientes admiten que indiquen una captura previa y, por lo tanto, algunas actividades capturadas previamente podrían registrarse en su lugar como eventos PageViewed.

Preguntas más frecuentes sobre los eventos FileAccessed y FilePreviewed

¿Podrían algunas actividades no relacionadas con el usuario desencadenar los registros de auditoría de FilePreviewed que contienen un agente de usuario como "OneDriveMpc-Transform_Thumbnail"?

No somos conscientes de los escenarios en los que las acciones que no son de usuario generan eventos como estos. Las acciones de usuario como abrir una tarjeta de perfil de usuario (seleccionando su nombre o dirección de correo electrónico en un mensaje de Outlook en la Web) generarían eventos similares.

¿Las llamadas a OneDriveMpc-Transform_Thumbnail siempre son desencadenadas por el usuario intencionalmente?

No. Pero se pueden registrar eventos similares como resultado de la captura previa del explorador.

Si vemos que un evento de FilePreviewed proviene de una dirección IP registrada por Microsoft, ¿significa que la vista previa se mostró en la pantalla del dispositivo del usuario?

No. Es posible que el evento se haya registrado como resultado de la captura previa del explorador.

¿Hay algún escenario en el que se generen eventos FileAccessed cuando un usuario obtiene una vista previa de un documento?

Tanto el evento FilePreviewed como el FileAccessed indican que la llamada de un usuario condujo a la lectura del archivo (o una lectura de la representación en miniatura del archivo). Aunque estos eventos están diseñados para alinearse con la vista previa frente a la intención de acceso, la distinción de eventos no es una garantía de la intención del usuario.

El usuario app@sharepoint en los registros de auditoría

En los registros de auditoría para actividades de archivo (y otras actividades relacionadas con SharePoint), puede que el usuario que aparezca como el autor de la actividad (identificado en los campos usuario y seudónimo) es app@sharepoint. Esto indica que el "usuario" que llevó a cabo la actividad era una aplicación. En este caso, se otorgó a la aplicación permisos en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Este proceso de conceder permisos a una aplicación se denomina acceso a SharePoint solo para aplicación. Esto indica que la autenticación presentada en SharePoint para realizar una acción la realizó una aplicación, en lugar de un usuario. Por este motivo, el usuario app@sharepoint se identifica en ciertos registros de auditoría. Para obtener más información, lea Conceder acceso a SharePoint solo para aplicación.

Por ejemplo, app@sharepoint se identifica por lo general como el usuario para los eventos "Ha realizado una consulta de búsqueda" y "Archivo al que se obtuvo acceso". Esto se debe a que una aplicación que tenga acceso a SharePoint solo para aplicación, realiza consultas de búsqueda y obtiene acceso a los archivos cuando se apliquen directivas de retención a sitios y cuentas de OneDrive.

Aquí se muestran algunos otros escenarios en los que se puede identificar app@sharepoint en un registro de auditoría como el usuario que realizó una actividad:

  • Grupos de Microsoft 365. Cuando un usuario o un administrador crea un grupo nuevo, se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint. Estas tareas se ejecutan en una aplicación en nombre del usuario que creó el grupo.
  • Microsoft Teams. Como ocurre en los grupos de Microsoft 365, cuando se crea un equipo se generan registros de auditoría para crear una colección de sitios, actualizar listas y agregar miembros a un grupo de SharePoint.
  • Características de cumplimiento. Cuando un administrador implementa características de cumplimiento, como directivas de retención, retenciones de exhibición de documentos electrónicos y etiquetas de confidencialidad de aplicación automática.

En estas y otras situaciones, verá que se crearon varios registros de auditoría con app@sharepoint como usuario específico en un período de tiempo breve, a menudo con unos pocos segundos de separación. Esto indica que se activaron probablemente por la misma tarea iniciada por el usuario. Además, los campos ApplicationDisplayName y EventData del registro de auditoría pueden ayudarle a identificar el escenario o la aplicación que desencadenó el evento.

Actividades de carpetas

La siguiente tabla describe las actividades de archivos y páginas en SharePoint en línea y OneDrive para empresas. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo Operación Descripción
Carpeta copiada FolderCopied El usuario copia una carpeta de un sitio a otra ubicación en SharePoint o en OneDrive para Empresas.
Carpeta creada FolderCreated El usuario crea una carpeta en un sitio.
Carpeta eliminada FolderDeleted El usuario elimina una carpeta de un sitio.
Carpeta eliminada de la papelera de reciclaje FolderDeletedFirstStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de un sitio.
Carpeta eliminada de la papelera de reciclaje de segundo nivel FolderDeletedSecondStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio.
Carpeta modificada FolderModified El usuario modifica una carpeta en un sitio. Esto incluye la modificación de los metadatos de carpeta, como el cambio de etiquetas y propiedades.
Carpeta movida FolderMoved El usuario mueve una carpeta a una ubicación diferente del sitio.
Carpeta con el nombre cambiado FolderRenamed El usuario cambia el nombre de una carpeta en un sitio.
Carpeta restaurada FolderRestored El usuario restaura una carpeta eliminada de la papelera de reciclaje de un sitio.

Actividades de barreras de información

En la tabla siguiente se enumeran las actividades en las barreras de información que se registran en el registro de auditoría de Microsoft 365. Para mayor información sobre las barreras de información, consulte Aprender sobre las barreras de información en Microsoft 365.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Se ha cambiado la configuración de AppBypassInformationBarrier para el inquilino. AppBypassInformationBarrier Un administrador global o de SharePoint ha cambiado el acceso a las aplicaciones para los sitios de SharePoint.
Modo de barrera de información aplicada al sitio SiteIBModeSet Un administrador global o de SharePoint ha aplicado un modo al sitio.
Segmentos aplicados al sitio SiteIBSegmentsSet Un SharePoint, administrador global o propietario de un sitio agregó uno o más segmentos de barreras de información a un sitio.
Se ha cambiado el modo de barrera de información del sitio SiteIBModeChanged Un administrador global o de SharePoint ha actualizado el modo del sitio.
Segmentos modificados del sitio SiteIBSegmentsChanged Un administrador global o SharePoint cambió uno o más segmentos de barreras de información para un sitio.
Barreras de información deshabilitadas para SharePoint y OneDrive SPOIBIsDisabled Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización.
Barreras de información habilitadas para SharePoint y OneDrive SPOIBIsEnabled Un administrador global o de SharePoint ha deshabilitado las barreras de información para SharePoint y OneDrive en la organización.
Informe de información sobre barreras de información completado InformationBarriersInsightsReportCompleted El sistema completa la compilación del informe de información de barreras de información.
Informe de información sobre barreras de información consultada en la sección de OneDrive InformationBarriersInsightsReportOneDriveSectionQueried Un administrador consulta el informe de información de barreras de información para las cuentas de OneDrive.
Informe de información sobre barreras de información programado InformationBarriersInsightsReportSchedule Un administrador programa el informe de información de barreras de información.
Informe de sharePoint de informe de barreras de información consultado InformationBarriersInsightsReportSharePointSectionQueried Un administrador consulta el informe de información de barreras de información para sitios de SharePoint.
Segmento quitado del sitio SiteIBSegmentsRemoved Un administrador global o SharePoint quitó uno o más segmentos de barreras de información desde un sitio.

Actividades de actualización en la nube de Aplicaciones Microsoft 365 Administración Services

En la tabla siguiente se enumeran las actividades para los cambios de configuración y las acciones desencadenadas en el servicio Cloud Update que se capturan en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Configuración del dispositivo actualizada updateddeviceconfiguration Se ha desencadenado una acción para un dispositivo administrado por Cloud Update. Esto incluye desencadenar una reversión, reanudar un dispositivo revertido o cambiar el canal de actualización.
Configuración del perfil actualizada updatedprofileconfiguration La configuración de un perfil de Actualización en la nube ha cambiado. Esto incluye los cambios en el estado del perfil, la fecha límite establecida, la habilitación de validación de actualizaciones y las ondas configuradas y el retraso de onda.
Configuración del inquilino actualizada updatedtenantconfiguration La configuración de todo el inquilino de Cloud Update ha cambiado. Esto incluye el cambio de exclusiones, las ventanas de exclusión y la generación de una nueva clave de asociación de inquilinos (TAK).

Actividades de directivas en la nube de Aplicaciones Microsoft 365 Administración Services

En la tabla siguiente se enumeran las actividades para los cambios de configuración de directivas en el servicio de directivas en la nube que se capturan en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Configuración de directiva creada CreatedPolicyConfig Se creó una nueva configuración de directiva.
Configuración de directiva eliminada DeletedPolicyConfig Se eliminó una configuración de directiva.
Configuración de directiva actualizada UpdatedPolicyConfig Se actualizó una configuración de directiva existente, por ejemplo agregando, cambiando o quitando la configuración de directiva, o cambiando el nombre, la descripción o el ámbito de la configuración de directiva.
Prioridad de configuración de directiva actualizada UpdatedPolicyConfigPriority Se cambió la prioridad de una configuración de directiva.

actividades de Copia de seguridad Microsoft 365

En la tabla siguiente se enumeran las actividades de Copia de seguridad Microsoft 365 que se registran en el registro de auditoría de Microsoft 365. Copia de seguridad Microsoft 365 está diseñado para garantizar que los datos de su organización siempre están protegidos y se pueden recuperar fácilmente. Para obtener más información sobre Copia de seguridad Microsoft 365, consulte Información general de Copia de seguridad Microsoft 365.

Nombre descriptivo Operación Descripción
Se ha activado una directiva de copia de seguridad BackupPolicyActivated Una directiva de Copia de seguridad Microsoft 365 se activa desde un estado inactivo.
Tarea de restauración de borrador activada RestoreTaskActivated Se activa una tarea de restauración de borrador para Copia de seguridad Microsoft 365. Es una operación de larga duración.
Elemento de copia de seguridad creado BackupItemAdded Uno o varios elementos de copia de seguridad se agregan a una directiva de Copia de seguridad Microsoft 365.
Elemento de copia de seguridad quitado BackupItemRemoved Uno o varios elementos de copia de seguridad se quitan de una directiva de Copia de seguridad Microsoft 365.
Tarea de restauración completada RestoreTaskCompleted Se completa una tarea de restauración en Copia de seguridad Microsoft 365.
Tarea de restauración de borradores creada DraftRestoreTaskCreated Se crea una tarea de restauración en Copia de seguridad Microsoft 365. De forma predeterminada, la tarea de restauración se crea como borrador.
Se ha creado una nueva directiva de copia de seguridad NewBackupPolicyCreated Un Administración global ha creado una nueva directiva de Copia de seguridad Microsoft 365. De forma predeterminada, se crea una directiva de copia de seguridad en un estado inactivo.
Eliminación de una directiva de copia de seguridad BackupPolicyDeleted Se elimina una directiva de Copia de seguridad Microsoft 365.
Tarea de restauración de borrador eliminado DraftRestoreTaskDeleted Se elimina una tarea de restauración de borrador en Copia de seguridad Microsoft 365.
Edición de una directiva de copia de seguridad BackupPolicyEdited Se actualiza una directiva de Copia de seguridad Microsoft 365. Las directivas de copia de seguridad se actualizan mediante cualquiera de las siguientes acciones:

1. Cambiar el nombre de la directiva.
2. Agregue una o más unidades de protección.
3. Quitar una o más unidades de protección.
Tarea de restauración de borrador editada DraftRestoreTaskEdited Se edita una tarea de restauración de borrador en Copia de seguridad Microsoft 365.
Pausado de una directiva de copia de seguridad BackupPolicyPaused Una directiva de Copia de seguridad Microsoft 365 está en pausa desde el estado activo.
Programatically got Backup Item GetBackupItem El usuario solicita la unidad de protección de la que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365 mediante programación.
Obtener detalles de la directiva de copia de seguridad mediante programación ViewBackupPolicyDetails Se accede a los detalles de una directiva de Copia de seguridad Microsoft 365 mediante programación.
Obtener detalles de la tarea restaurar mediante programación GetRestoreTaskDetails Un usuario solicita detalles de la tarea de restauración por su identificador en Copia de seguridad Microsoft 365.
Se ha obtenido una lista de todas las directivas de copia de seguridad mediante programación ListAllBackupPolicies Un usuario obtiene mediante programación la lista de todas las directivas de copia de seguridad de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365.
Mediante programación se obtuvo una lista de elementos de copia de seguridad en directivas de copia de seguridad ListAllBackupItemsInPolicies Se solicita mediante programación una lista de todas las unidades de protección presentes en una directiva de copia de seguridad en Copia de seguridad Microsoft 365.
Mediante programación se obtuvo una lista de elementos de copia de seguridad en el inquilino ListAllBackupItemsInTenant Un usuario obtiene mediante programación la lista de todas las unidades de protección de la organización de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365.
Se ha obtenido una lista de elementos de copia de seguridad en la carga de trabajo mediante programación ListAllBackupItemsInWorkload Un usuario obtiene mediante programación la lista de todas las unidades de protección de la carga de trabajo (SharePoint, OneDrive o Exchange) de las que se ha hecho una copia de seguridad mediante Copia de seguridad Microsoft 365.
Mediante programación se obtuvo una lista de elementos de restauración en la tarea de restauración GetAllRestoreArtifactsInTask Un usuario obtiene mediante programación todos los artefactos de una tarea de restauración en Copia de seguridad Microsoft 365.
Mediante programación se obtuvo una lista de puntos de restauración ListAllRestorePoints Un usuario obtiene mediante programación todos los puntos de restauración de Copia de seguridad Microsoft 365. Los puntos de restauración representan la marca de tiempo cuando un artefacto está protegido (por directiva de protección). Solo los administradores globales tienen acceso.
Se ha obtenido una lista de tareas de restauración mediante programación ListAllRestoreTasks Un usuario obtiene mediante programación la lista de sesiones de restauración existentes en Copia de seguridad Microsoft 365. Esto incluye la sesión de restauración creada para cada tipo de servicio inscrito en la organización.
Restauración completa de la restauración de elementos BackupItemRestoreCompleted Se completa la restauración de un elemento del que Copia de seguridad Microsoft 365 copia de seguridad.
Restauración de la restauración de elementos desencadenada BackupItemRestoreTriggered La restauración se desencadena para un elemento del que se ha hecho una copia de seguridad con Copia de seguridad Microsoft 365.

Microsoft Defender para punto de conexión actividades de configuración general

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración general que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre la configuración Microsoft Defender para punto de conexión, consulte Configuración general de Defender para punto de conexión.

Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Paquete de offboarding descargado DownloadOffboardingPkg Descargó el paquete usado para quitar dispositivos de Defender para punto de conexión.
Paquete de incorporación descargado DownloadOnboardingPkg Descargó el paquete usado para incorporar dispositivos a Defender para punto de conexión.
Retención de datos modificada ChangeDataRetention Se ha editado la configuración de retención de datos de Defender para punto de conexión.
Establecer características avanzadas SetAdvancedFeatures Se han cambiado las características avanzadas de Defender para punto de conexión, lo que permite controles más precisos durante un incidente. Solo la configuración de las características avanzadas que están disponibles con carácter general se registra en el registro de auditoría de Microsoft 365.

Microsoft Defender para punto de conexión actividades de configuración de indicadores

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración del indicador que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los indicadores de Microsoft Defender para punto de conexión, consulte Administración de indicadores.

Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Indicador agregado AddIndicator Ha creado un nuevo indicador de riesgo que puede usar para realizar un seguimiento de los ataques y eventos.
Indicador editado EditIndicator Editó un indicador de compromiso.
Indicador eliminado DeleteIndicator Se quitó un indicador de compromiso.

Microsoft Defender para punto de conexión actividades de acciones de respuesta

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión acciones de respuesta, incluida la respuesta dinámica, que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender para punto de conexión acciones de respuesta, consulte Realizar acciones de respuesta en un dispositivo.

Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Paquete de investigación recopilado CollectInvestigationPackage Se recopila información sobre un dispositivo que se usa para comprender las herramientas y técnicas de ataque.
Examen del antivirus ejecutado RunAntiVirusScan Ejecutó Microsoft Defender examen antivirus en un dispositivo.
Ejecución de aplicaciones restringidas RestrictAppExecution Impedir que se ejecute una aplicación malintencionada.
Restricciones de aplicación eliminadas RemoveAppRestrictions Permitir que se ejecute una aplicación.
Dispositivo aislado IsolateDevice Aísla un dispositivo de la red, lo que ayuda a evitar que se propaguen ataques.
Liberado del aislamiento ReleaseFromIsolation Se ha agregado un dispositivo aislado de nuevo a la red.
Archivo detenido y en cuarentena StopAndQuarantineFile Poner en cuarentena un archivo sospechoso para su análisis posterior.
Archivo descargado DownloadFile Descargó un archivo sospechoso para una investigación más detallada.
Dispositivo fuera de la placa DeviceOffBoarding Se quitó un dispositivo de Defender para punto de conexión.
API de respuesta dinámica ejecutada RunLiveResponseApi Abrió una sesión de respuesta dinámica a través de una llamada API, abriendo un shell remoto en un dispositivo.
Registros recopilados LogsCollection Información de registro recopilada sobre Defender para punto de conexión.
Ejecución del vínculo obtener archivo de respuesta en directo LiveResponseGetFile Abrió una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo.
Ejecución de la sesión de respuesta en directo RunLiveResponseSession Ejecutó una sesión de respuesta dinámica, abriendo un shell remoto en un dispositivo.

Microsoft Defender para punto de conexión actividades de configuración de roles

En la tabla siguiente se enumeran las actividades de Microsoft Defender para punto de conexión configuración de roles que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los roles de Microsoft Defender para punto de conexión, consulte Creación y administración de roles para el control de acceso basado en roles.

Para ver Microsoft Defender para punto de conexión actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
AddRole Rol agregado Se han agregado nuevos permisos y roles de seguridad.
EditRole Rol editado Permisos y roles de seguridad editados.
DeleteRole Rol eliminado Se han quitado los roles de seguridad y los permisos.

actividades de Microsoft Defender para expertos

En la tabla siguiente se enumeran las actividades de los expertos de Microsoft Defender que han iniciado sesión en el registro de auditoría de Microsoft 365. Para obtener más información sobre los expertos de Microsoft Defender, consulte Más información sobre Expertos de Microsoft Defender para XDR y Más información sobre Expertos de detección de Microsoft Defender

Nombre descriptivo Operación Descripción
Se ha creado el permiso de analista de expertos de Defender DefenderExpertsAnalystPermissionCreated Un administrador concedió uno o varios permisos de rol a los analistas de Expertos de Defender para investigar incidentes o corregir amenazas.
Permiso de analista de expertos de Defender modificado DefenderExpertsAnalystPermissionModified Permisos de rol modificados por el administrador para que los analistas de Expertos de Defender investiguen incidentes o corrijan amenazas.

actividades de Microsoft Defender for Identity

En la tabla siguiente se enumeran las actividades de Microsoft Defender for Identity que se registran en el registro de auditoría de Microsoft 365.

Para ver Microsoft Defender for Identity actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Etiquetas de entidad actualizadas TaggingConfigurationUpdated Se agregó o quitó una etiqueta de una entidad.
Configuración de exclusiones agregada ExclusionConfigurationAdded Se agregó una exclusión global para una alerta o para una entidad.
Configuración de exclusiones actualizada ExclusionConfigurationUpdated Se actualizó una exclusión global para una alerta o para una entidad.
Configuración de exclusiones eliminadas ExclusionConfigurationDeleted Se eliminó una exclusión global para una alerta o para una entidad.
Configuración de umbral de alerta actualizada WorkspaceAlertThresholdLevelUpdated Se actualizó la configuración de umbrales de alertas.
Excel de alerta de seguridad descargada AlertExcelDownloaded Se descargó el archivo detallado de Excel de una alerta.
Acción de corrección agregada RemediationActionAdded Se agregó una acción de corrección a la cola.
Acción de corrección actualizada RemediationActionUpdated Se completó una acción de corrección.
Configuración del sensor actualizada SensorConfigurationUpdated Se actualizó la configuración de un sensor.
Sensor agregado SensorCreado Se ha agregado un nuevo sensor.
Sensor quitado SensorDeleted Se eliminó un sensor.
Clave de implementación del sensor recuperada SensorDeploymentAccessKeyReceived Se recuperó la clave de acceso de los sensores.
Clave de implementación del sensor regenerada SensorDeploymentAccessKeyUpdated Se ha regenerado la clave de acceso de los sensores.
Modo de activación de sensores actualizado SensorActivationMethodConfigurationUpdated Se modificó el modo de activación de sensores.
Excel de cobertura del controlador de dominio descargado DomainControllerCoverageExcelDownloaded Se descargó el archivo de Excel de cobertura del controlador de dominio.
Se ha actualizado la configuración de la cuenta de servicios de directorio DirectoryServicesAccountConfigurationUpdated Se modificó el conjunto de cuentas de servicios de directorio.
Se ha actualizado la configuración de la acción de corrección. RemediationActionConfigurationUpdated Se modificó el conjunto Administrar cuentas de acción.
Se ha actualizado la configuración de corrección de entidades EntityRemediatorConfigurationUpdated Se modificó el modo Administrar cuentas de acción.
Problema de mantenimiento actualizado MonitoringAlertUpdated Se modificó un problema de mantenimiento.
Reporte descargado ReportDownloaded Se descargó un informe.
Configuración actualizada del reportero ReporterConfigurationUpdated Se modificó la programación de un informe.
Configuración de reenvío de Syslog actualizada SyslogServiceConfigurationUpdated Se modificó la configuración de reenvío de Syslog.
Configuración de notificación de seguridad actualizada NotificationConfigurationUpdated Se modificó la configuración de las notificaciones de alertas de seguridad o problemas de mantenimiento.
Se ha agregado el destinatario de la notificación de alerta AlertNotificationsRecipientAdded Se agregó un destinatario a la configuración de notificación de alertas de seguridad.
Destinatario de notificación de alerta eliminada AlertNotificationsRecipientDeleted Se quitó un destinatario de la configuración de notificación de alertas de seguridad.
Se ha agregado el destinatario de la notificación de problemas de mantenimiento MonitoringAlertNotificationRecipientAdded Se agregó un destinatario a la configuración de notificación de problemas de mantenimiento.
Destinatario de notificación de problemas de mantenimiento eliminados MonitoringAlertNotificationRecipientDeleted Se quitó un destinatario de la configuración de notificación de problemas de salud.
Configuración de VPN actualizada VpnConfigurationUpdated Se modificó la configuración de VPN (contabilidad de radio).
Se ha actualizado la configuración de RBAC unificada URbacAuthorizationStatusChanged Se modificó la configuración de Access Control basada en rol unificado.
Área de trabajo creada Área de trabajoCreada Se creó el área de trabajo.
Área de trabajo eliminada WorkspaceDeleted Se eliminó el área de trabajo.

Microsoft Defender XDR actividades de detección personalizadas

En la tabla siguiente se enumeran las actividades de detección personalizadas para Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft Defender XDR detecciones personalizadas, vea Crear y administrar reglas de detecciones personalizadas.

Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Regla de detección personalizada creada CreateCustomDetection Se creó una nueva regla de detección personalizada.
Regla de detección personalizada editada EditCustomDetection Se modificó una regla de detección personalizada.
Se ha cambiado el estado de la regla de detección personalizada ChangeCustomDetectionRuleStatus Se ha desactivado o activado una regla de detección personalizada.
Regla de detección personalizada ejecutada RunCustomDetection Se ejecutó manualmente una regla de detección personalizada.
Regla de detección personalizada eliminada DeleteCustomDetection Se quitó una regla de detección personalizada.

Microsoft Defender XDR actividades de incidentes

En la tabla siguiente se enumeran las actividades de incidentes de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre los incidentes en Microsoft Defender XDR, consulte Información general sobre incidentes.

Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Se ha agregado un comentario al incidente. AddCommentToIncident. Se ha agregado un comentario al incidente.
Usuario asignado al incidente AssignUserToIncident Usuario asignado al incidente.
Usuario sin asignar al incidente UnAssignUserFromIncident Usuario sin asignar al incidente.
Estado de incidentes actualizado UpdateIncidentStatus Estado de incidentes actualizado.
Edición de la clasificación de incidentes EditIncidentClassification Edite la clasificación de incidentes.
Se han agregado etiquetas al incidente. AddTagsToIncident Se han agregado etiquetas al incidente.
Etiquetas eliminadas del incidente RemoveTagsFromIncident Se han quitado las etiquetas del incidente.

Microsoft Defender XDR actividades de regla de supresión

En la tabla siguiente se enumeran las actividades para las reglas de supresión de Microsoft Defender XDR que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre las reglas de supresión en Microsoft Defender XDR, vea Administrar reglas de supresión.

Para ver Microsoft Defender XDR actividades, el registro de auditoría unificado debe estar habilitado en el portal de Microsoft Defender XDR. Para obtener más información, vea Habilitar el registro de auditoría unificado.

Nombre descriptivo Operación Descripción
Regla de supresión creada CreateSuppressionRule Regla de supresión de alertas creada.
Regla de supresión editada EditSuppressionRule Regla de supresión de alertas eliminada.
Regla de supresión habilitada EnableSuppressionRule Regla de supresión de alertas habilitada.
Regla de supresión deshabilitada DisableSuppressionRule Regla de supresión de alertas deshabilitada.
Regla de supresión eliminada DeleteSuppressionRule Regla de supresión de alertas eliminada.

Microsoft Entra actividades de administración de grupos

En la siguiente tabla se enumeran las actividades de administración de grupos que se registran cuando un administrador o un usuario agrega o cambia un grupo de Microsoft 365 o cuando un administrador crea un grupo de seguridad mediante el Centro de administración de Microsoft 365 o el Portal de administración de Azure. Para obtener más información sobre los grupos de Microsoft 365, consulte Ver, crear y eliminar grupos en el Centro de administración de Microsoft 365.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Nombre descriptivo Operación Descripción
Grupo agregado Agregar grupo. Se ha creado un grupo.
Miembro agregado a un grupo Agregar miembro a un grupo. Un miembro se ha agregado a un grupo.
Grupo eliminado Eliminar grupo. Se ha eliminado un grupo.
Miembro quitado de un grupo Quitar miembro de un grupo. Un miembro se ha quitado de un grupo.
Grupo actualizado Actualizar grupo. Una propiedad de un grupo se ha cambiado.

Actividades de Microsoft Fabric

Puede buscar el registro de auditoría actividades en Power BI. Para obtener información sobre la configuración de auditoría, consulte Configuración de inquilinos de auditoría y uso.

El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365. Si la auditoría no está activada para su organización, aparece un banner que le pide que empiece a grabar la actividad de usuario y administrador. Para obtener instrucciones, consulte Activación de la auditoría.

Actividades de Microsoft Forms

En las tablas de esta sección se indican las actividades de usuario y administrador de Microsoft Forms que se registran en el registro de auditoría. Microsoft Forms es una herramienta de formularios, cuestionarios y encuestas utilizado para recopilar datos para su análisis. A continuación, en las descripciones, algunas operaciones contienen parámetros de actividad adicionales.

Si un coautor o un respondedor anónimo realizan una actividad de Forms, se registra de forma ligeramente diferente. Para obtener más información, consulte la sección actividades de Forms que realizan los coautores y las personas que responden anónimamente.

Nombre descriptivo Operación Descripción
Comentario creado CreateComment El propietario del formulario ha añadido comentarios o puntuaciones a un cuestionario.
Formulario creado CreateForm Un nuevo formulario ha sido creado por el propietario.

Propiedad DataMode:string indica que el formulario actual está configurado para sincronizarse con un libro de Excel nuevo o existente si el valor de propiedad es igual a DataSync. La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual.
Formulario editado EditForm Al crear, eliminar o editar una pregunta, el propietario del formulario lo edita. La propiedad EditOperation:string indica el nombre de la operación de edición. Las posibles operaciones son:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
-UploadFormImage/Bing/Onedrive
- UploadQuestionImage
-Cambiar tema

FormImage incluye cualquier lugar dentro de los formularios en los que el usuario pueda subir una imagen, como en la cadena de consulta o como tema en la imagen de fondo.
Formulario movido MoveForm Un formulario ha sido movido por el propietario.

La propiedad DestinationUserId: la cadena indica el ID de usuario de la persona que ha movido el formulario. La propiedad NewFormId: la cadena es el nuevo ID para el formulario recién copiado. La propiedad IsDelegateAccess:boolean indica que la acción de movimiento del formulario actual se realiza a través de la página del delegado de administrador.
Formulario eliminado DeleteForm Un formulario ha sido eliminado por el propietario. Esto incluye SoftDelete (eliminar la opción utilizada y mover el formulario a la papelera de reciclaje) y HardDelete (Se vacía la papelera de reciclaje).
Formulario visto (tiempo de diseño) ViewForm Un formulario existente ha sido abierto por el propietario para su edición.

La propiedad AccessDenied:boolean indica que se ha denegado el acceso del formulario actual debido a la comprobación de permisos. La propiedad FromSummaryLink:boolean indica que la solicitud actual procede de la página de vínculo de resumen.
Vista previa del formulario PreviewForm Un formulario ha sido previsualizado por el propietario con la función vista previa.
Formulario exportado ExportForm Los resultados han sido exportado a Excel por el propietario del formulario.

La propiedad ExportFormat:string indicará si el archivo de Excel se puede descargar o ver en línea.
Formulario de participación permitida para su copia AllowShareFormForCopy Para compartir el formulario con otros usuarios el propietario ha creado un vínculo en una plantilla. Este evento se registra cuando el propietario del formulario selecciona para generar la dirección URL de la plantilla.
Formulario de participación no permitida para su copia DisallowShareFormForCopy El propietario del formulario ha eliminado el vínculo en la plantilla.
Coautor de formulario agregado AddFormCoauthor Para ayudar a diseñar y ver respuestas el usuario utiliza un vínculo de colaboración. Este evento es registrado cuando un usuario utiliza una dirección URL de colisión (no ocurre cuando se genera la URL de colisión por primera vez).
Coautor de formulario quitado RemoveFormCoauthor El propietario del formulario ha eliminado el vínculo de colaboración.
Página de respuesta visualizada ViewRuntimeForm El usuario ha abierto una página de respuesta para su visualización. Este evento es registrado independientemente de si el usuario envía una respuesta o no.
Respuesta creada CreateResponse Es similar a recibir una nueva respuesta. Un usuario ha enviado una respuesta a un formulario.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.

Para un respondedor anónimo, la propiedad ResponderId es null.
Respuesta actualizada UpdateResponse El propietario del formulario ha actualizado un comentario o la puntuación en un cuestionario.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.

Para un respondedor anónimo, la propiedad ResponderId es null.
Eliminar todas las respuestas DeleteAllResponses Todos los datos de respuesta han sido eliminadas por el propietario del formulario
Respuesta eliminada DeleteResponse El propietario del formulario ha eliminado una respuesta.

La propiedad ResponseId:string indicará la respuesta que está siendo eliminada.
Respuestas vistas ViewResponses El propietario del formulario ha visualizado la lista agregada de respuestas.

La Propiedad ViewType: la cadena indica si el propietario del formulario está visualizando la lista detallada o agregada.
Respuesta vista ViewResponse El propietario del formulario visualiza una respuesta concreta.

La propiedad ResponseId:string y la propiedad ResponderId:string indican el resultado que está siendo visualizado.

Para un respondedor anónimo, la propiedad ResponderId es null.
Vínculo de resumen creado GetSummaryLink El propietario del formulario ha creado un vínculo de resumen de resultados para ser compartidos.
Vínculo de resumen eliminado DeleteSummaryLink El enlace de resumen de resultados ha sido eliminado por el propietario del formulario.
Estado de phishing actualizado del formulario UpdatePhishingStatus Este evento se registra cada vez que se cambie el valor detallado del estado de seguridad interna, independientemente de que ha cambiado el estado de seguridad final (por ejemplo, el formulario ahora está cerrado o abierto). Esto significa que usted puede ver los eventos duplicados sin un cambio final en el Estado de Seguridad. Los posibles valores de estado de este evento son:
-Deseche el
-Derribado por la administración
-Administrador desbloqueado
-Bloqueado automáticamente
-Desbloqueado automáticamente
-El cliente informó
-Restablecer informe de cliente
Estado de phising de usuario actualizado UpdateUserPhishingStatus Este evento se registra cuando se cambia el valor del estado de seguridad de usuario. El valor del estado del usuario en el registro de auditoría es confirmado como Phisher cuando el usuario ha creado un formulario de phishing que ha sido retirado por el equipo de seguridad de Microsoft Online. Si un administrador desbloquea al usuario, el valor de estado del usuario se establece en Restablecer como usuario normal.
Invitación a Forms Pro enviada ProInvitation El usuario selecciona para activar una prueba pro.
Configuración de formulario actualizada UpdateFormSetting El propietario del formulario actualiza una o varias opciones de configuración del formulario.

La propiedad FormSettingName:string indica el nombre de la configuración confidencial actualizada. La propiedad NewFormSettings:string indica el nombre de la configuración actualizada y el nuevo valor. La propiedad thankYouMessageContainsLink:boolean indica que el mensaje de agradecimiento actualizado contiene un vínculo URL.
Configuración del usuario actualizada UpdateUserSetting La configuración del usuario ha sido actualizada por el propietario del formulario.

La propiedad UserSettingName: la cadena indica el nombre y el nuevo valor de la configuración
Formularios en la lista ListForms La lista de formularios está siendo visualizada por el propietario.

La propiedad ViewType:string indicará sobre la visualización que busca el propietario del formulario: todos los formularios, compartidos conmigo o en grupos
Respuesta enviada SubmitResponse Un usuario envía una respuesta sobre un formulario.

La propiedad IsInternalForm:boolean indicará si el respondedor está dentro de la misma organización que el propietario del formulario.
Configuración de cualquier persona puede responder habilitada AllowAnonymousResponse El propietario del formulario activa la configuración, lo que permite que cualquier usuario responda al formulario.
La configuración de cualquier persona que pueda responder está deshabilitada DisallowAnonymousResponse El propietario del formulario desactiva la configuración, lo que permite que cualquier usuario responda al formulario.
La configuración de personas específicas que puedan responder está habilitada EnableSpecificResponse El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario.
La configuración de personas específicas que pueden responder está deshabilitada DisableSpecificResponse El propietario del formulario desactiva la configuración para permitir que solo personas específicas o grupos específicos de la organización actual respondan al formulario.
Respondedor específico agregado AddSpecificResponder El propietario del formulario añade al nuevo usuario o grupo a la lista respondedores específica.
Respondedor específico quitado RemoveSpecificResponder El propietario del formulario elimina un nuevo usuario o grupo de la lista respondedores específica.
Colaboración deshabilitada DisableCollaboration El propietario del formulario desactiva la configuración de colaboración en el formulario.
La colaboración de cuenta profesional o educativa de Office 365 está habilitada EnableWorkOrSchoolCollaboration El propietario del formulario activa el ajuste que permite a los usuarios con una cuenta profesional o educativa de Microsoft 365 ver y editar el formulario.
La colaboración de personas en mi organización está habilitada EnableSameOrgCollaboration El propietario del formulario activa la configuración que permite a los usuarios de la organización actual ver y editar el formulario.
La colaboración con personas específicas está habilitada EnableSpecificCollaboaration El propietario del formulario activa la configuración para permitir que solo personas específicas o grupos específicos de la organización actual vean y editen el formulario.
Conectado al libro de Excel ConnectToExcelWorkbook Conectado el formulario a un libro de Excel.

La propiedad ExcelWorkbookLink:string indica el Id. de libro de Excel asociado del formulario actual.
Se ha creado una colección CollectionCreated El propietario del formulario ha creado una colección.
Se ha actualizado una colección CollectionUpdated El propietario del formulario ha actualizado una propiedad de la colección.
Se ha eliminado la colección de la papelera de reciclaje CollectionHardDeleted El propietario del formulario ha eliminado de forma permanente una colección de la papelera de reciclaje.
Se ha movido la colección a la papelera de reciclaje CollectionSoftDeleted El propietario del formulario ha movido una colección a la papelera de reciclaje.
Se ha cambiado el nombre de una colección CollectionRenamed El propietario del formulario ha cambiado el nombre de una colección.
Se ha movido un formulario a la colección MovedFormIntoCollection El propietario del formulario ha movido un formulario a una colección.
Se ha movido un formulario fuera de la colección MovedFormOutofCollection El propietario del formulario ha movido un formulario fuera de una colección.

Actividades de Forms que realizan los coautores y respondedores anónimos

Forms es compatible con la colaboración cuando se diseñan formularios y al analizar las respuestas. Un colaborador de formulario se conoce como coautor. Los coautores pueden hacer todo lo que puede hacer el propietario de un formulario, excepto eliminar o mover un formulario. Forms también permite crear un formulario que se puede responder de forma anónima. Esto significa que no es necesario que la persona que responde haya iniciado sesión en la organización para responder a un formulario.

En la siguiente tabla se describen las actividades y la información de auditoría del registro de auditoría en relación con las actividades realizadas por los coautores y respondedores anónimos.

Tipo de actividad Usuario interno o externo Identificador de usuario que ha iniciado sesión Organización que ha iniciado sesión Tipo de usuario de Forms
Actividades de coautoría Interno UPN Organización del propietario del formulario Coautor
Actividades de coautoría Externo UPN
Organización del coautor
Coautor
Actividades de coautoría Externo urn:forms:coauthor#a0b1c2d3@forms.office.com
(La segunda parte del Id. es un hash, que será diferente para distintos usuarios)
Organización del propietario del formulario
Coautor
Actividades de respuesta Externo UPN
Organización del usuario que responde
Responder
Actividades de respuesta Externo urn:forms:external#a0b1c2d3@forms.office.com
(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)
Organización del propietario del formulario Responder
Actividades de respuesta Anónimo urn:forms:anonymous#a0b1c2d3@forms.office.com
(La segunda parte del Id. de usuario es un hash, que será diferente para distintos usuarios)
Organización del propietario del formulario Responder

Conexión de datos de Microsoft Graph

En la tabla siguiente se enumeran las actividades de usuario y administrador en Microsoft Graph Data Connect que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nombre descriptivo Operación Descripción
Aprobación o denegación de una aplicación ConsentModificationRequest Un usuario realizó una solicitud de modificación de consentimiento.
Extracción ejecutada DataAccessRequestOperation Un usuario realizó una extracción. Se excluyen los conjuntos de datos de asociados y las ejecuciones de ISV.

actividades de Microsoft Planner

En la tabla siguiente se enumeran las actividades de usuario y administrador de Microsoft Planner que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Nota:

La actividad de cartera en Planner se registra con Microsoft Project para la actividad de hoja de ruta web. Para obtener más información, consulte la sección Actividades de Microsoft Project para la web.

Nombre descriptivo Operación Descripción
Leer un plan PlanRead Un usuario o una aplicación leen un plan. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid y ContainerId indica null.
Creación de un plan PlanCreado Un usuario o una aplicación crean un plan. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid y ContainerId indica null.
Modificación de un plan PlanModified Un usuario o una aplicación modifica un plan.
Eliminación de un plan PlanDeleted Un usuario o una aplicación eliminan un plan.
Copia de un plan PlanCopied Un usuario o una aplicación copia un plan. Si la operación de copia es ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid y newContainerId indica null.
Leer una tarea TaskRead Un usuario o una aplicación leen una tarea. Si la operación de lectura es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null.
Creación de una tarea TaskCreated Un usuario o una aplicación crean una tarea. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null y PlanId indica null.
Modificación de una tarea TaskModified Un usuario o una aplicación modifican una tarea.
Eliminación de una tarea TaskDeleted Un usuario o una aplicación elimina una tarea.
Asignación de una tarea TaskAssigned Un usuario o una aplicación modifican al asignador de una tarea. Puede ser una tarea sin asignar que se asigna o una tarea asignada tiene un nuevo asignado.
Completado una tarea TaskCompleted Un usuario o una aplicación marcan una tarea como completada.
Creación de una lista RosterCreated Un usuario o una aplicación crean una lista. Si la operación de creación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una cadena vacía.
Eliminación de una lista RosterDeleted Un usuario o una aplicación elimina una lista.
Se ha agregado un miembro a una lista RosterMemberAdded Se agrega un miembro a una lista. Si la operación de adición es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados.
Se ha quitado un miembro a una lista RosterMemberDeleted Un miembro se quita de una lista. Si la operación de eliminación es ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica la lista de identificadores de miembro intentados.
Leer una lista de planes PlanListRead Un usuario o una aplicación consulta una lista de planes. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una cadena vacía.
Leer una lista de tareas TaskListRead Un usuario o una aplicación consultan una lista de tareas. Si la operación de consulta es ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una cadena vacía.
Configuración de inquilino actualizada TenantSettingsUpdated Un administrador de inquilinos actualiza la configuración del inquilino. Si la operación de actualización es ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica la configuración original y TenantSettings indica que se ha intentado la configuración del inquilino.
Se ha actualizado la etiqueta de confidencialidad de una lista RosterSensitivityLabelUpdated Un usuario o una aplicación actualiza la etiqueta de confidencialidad de una lista.

Actividades en Microsoft Power Apps

Puede buscar el registro de auditorías para actividades relacionadas con aplicaciones en PowerApps. Entre estas actividades se incluyen la creación, el lanzamiento y la publicación de una aplicación. La asignación de permisos a las aplicaciones también se audita. Para obtener una descripción de todas las actividades de Power Apps, consulte Registro de actividades para Power Apps.

Nota:

Los eventos de auditoría de directivas de alerta (alerta de protección) (RecordType:45) no se admiten actualmente para PowerApps.

Actividades en Microsoft Power Automate

Puede buscar el registro de auditoría para actividades en Power Automate (antes llamado Microsoft Flow). Entre estas actividades se incluyen la creación, edición y eliminación de flujos, y cambios en los permisos de flujo. Para obtener información sobre la auditoría de actividades de Power Automate, consulte el blog Eventos de auditoría de Power Automate ahora disponibles en el portal de cumplimiento.

Actividades de Microsoft Project para la web

Puede buscar en el registro de auditoría actividades en Microsoft Project para la web. Microsoft Project para la web se basa en Microsoft Dataverse y tiene un proyecto de Power App asociado. Para habilitar la auditoría para escenarios en los que el usuario usa Microsoft Dataverse o Project Power App, consulte la guía de la pestaña Auditoría de configuración del sistema . Para obtener una lista de las entidades relacionadas con Project para la web, consulte la guía Exportar datos de usuario de Project para la web.

Para obtener información sobre Microsoft Project para la web, consulte Microsoft Project para la web.

Nota:

La auditoría de eventos para las actividades de Microsoft Project para la web requiere una licencia de Project Plan 1 de pago (o superior).

Nombre descriptivo Operación Descripción
Proyecto creado ProjectCreated Un usuario o aplicación crea un proyecto.
Hoja de ruta creada RoadmapCreated Un usuario o una aplicación crea una hoja de ruta o una cartera.
Elemento de hoja de ruta creada RoadmapItemCreated Un usuario o una aplicación crea un elemento de hoja de ruta o de cartera.
Tarea creada TaskCreated Un usuario o aplicación crea una tarea.
Proyecto eliminado ProjectDeleted Un usuario o aplicación elimina un proyecto.
Hoja de ruta eliminada RoadmapDeleted Un usuario o una aplicación elimina una hoja de ruta o una cartera.
Elemento de hoja de ruta eliminada RoadmapItemDeleted Un usuario o una aplicación elimina un elemento de hoja de ruta o de cartera.
Tarea eliminada TaskDeleted Un usuario o aplicación elimina una tarea.
Proyecto al que se ha accedido ProjectAccessed Un proyecto es de lectura o aplicación.
Se ha accedido a la casa del proyecto ProjectListAccessed Un usuario consulta una lista de proyectos o hojas de ruta.
Mapa de ruta al que se accede RoadmapAccessed Un usuario o una aplicación leen una hoja de ruta o una cartera.
Elemento de hoja de ruta al que se ha accedido RoadmapItemAccessed Un usuario o una aplicación leen un elemento de hoja de ruta o de cartera.
Tarea a la que se tiene acceso TaskAccessed Un usuario o aplicación lee una tarea.
Se ha actualizado la configuración del proyecto ProjectForTheWebProjectSettings Un administrador actualiza la configuración del proyecto.
Hoja de ruta actualizada RoadmapUpdated Un usuario o una aplicación modifican una hoja de ruta o una cartera.
Elemento de hoja de ruta actualizada RoadmapItemUpdated Un usuario o una aplicación modifica un elemento de hoja de ruta o de cartera.
Configuración actualizada del plan de desarrollo ProjectForTheWebRoadmaptSettings Un administrador actualiza la configuración de la hoja de ruta o de la cartera.
Tarea actualizada TaskUpdated Un usuario o aplicación modifica una tarea.
Proyecto actualizado ProjectUpdated Un usuario o aplicación modifica un proyecto.

actividades de solución de Auditoría de Microsoft Purview

En la tabla siguiente se enumeran las actividades asociadas a las soluciones de auditoría en el portal de Microsoft Purview, el portal de cumplimiento Microsoft Purview y la Graph API de búsqueda de auditoría. Estas actividades se auditan en la carga de trabajo SecurityComplianceCenter . Para obtener más información, vea Buscar en el registro de auditoría.

No se auditan las actividades de búsqueda y exportación realizadas mediante Search-UnifiedAuditLog .

Nombre descriptivo Operación Descripción
Búsqueda de auditoría creada AuditSearchCreated Se envía una nueva solicitud de búsqueda de auditoría.
Búsqueda de auditoría completada AuditSearchCompleted Se completa un trabajo de búsqueda de auditoría.
Búsqueda de auditoría cancelada AuditSearchCancelled Se cancela un trabajo de búsqueda de auditoría.
Auditoría de búsqueda eliminada AuditSearchDeleted Se elimina un trabajo de búsqueda de auditoría.
Auditar el trabajo de exportación de búsqueda creado AuditSearchExportJobCreated Se crea un trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría.
Auditar el trabajo de exportación de búsqueda completado AuditSearchExportJobCompleted Se completa el trabajo de exportación para exportar los resultados de búsqueda de una consulta de búsqueda de auditoría.
Auditar los resultados de exportación de búsqueda descargados AuditSearchExportResultsDownloaded Se descargaron los resultados de la búsqueda de una consulta de búsqueda de auditoría.

Actividades de gobernanza de Microsoft Purview

En la tabla siguiente se enumeran las actividades de gobernanza de Microsoft Purview que se registran en el registro de auditoría de Microsoft 365. Para obtener más información, consulte Soluciones de gobernanza de Microsoft Purview.

Nombre descriptivo Operación Descripción
Recurso o entidad creada EntityCreated Se crea o se agrega un nuevo recurso o entidad a un recurso existente.
Clasificación agregada ClassificationAdded Agregue clasificaciones a la entidad de recurso.
Definición de clasificación creada ClassificationDefinitionCreated Cree un tipo de clasificación.
Definición de clasificación eliminada ClassificationDefinitionDeleted Elimine un tipo de clasificación.
Definición de clasificación actualizada ClassificationDefinitionUpdated Actualice un tipo de clasificación.
Clasificación eliminada ClassificationDeleted Elimine las clasificaciones de la entidad de recurso.
Clasificación actualizada ClassificationUpdated Actualice las clasificaciones en la entidad de recurso.
Entidad eliminada EntityDeleted Un recurso o entidad se elimina de un recurso existente.
Entidad actualizada EntityUpdated Incluye: actualización de atributos, actualización de atributos empresariales, información de recopilación (solo incluye identificador de colección), actualización de contactos, customAttributes, jerarquía, homeId, etiquetas, sourceDetails
Término de glosario asignado GlosarioTermAssigned Asigne términos a la entidad de recurso.
Término de glosario creado GlosarioTermCreado Cree un término.
Término del glosario eliminado GlosarioTermDeleted Elimine un término.
Término del glosario desasociado GlosarioTermDisassociated Desasociar términos de la entidad de recurso.
Término del glosario actualizado GlosarioTermUpdated Actualice un término.
Etiqueta de confidencialidad cambiada SensitivityLabelChanged La etiqueta de confidencialidad se agrega, actualiza o elimina.

Actividades de Microsoft Stream

Puede buscar el registro de auditoría para actividades en Microsoft Stream. Entre estas actividades se incluyen las actividades de vídeo efectuadas por los usuarios, las actividades de canal de grupo y las actividades de administración, como la administración de usuarios, administración de la configuración de la organización y exportación de informes. Para obtener una descripción de estas actividades, consulte la sección "acciones registradas en Microsoft Stream" en Registros de auditoría en Microsoft Stream.

Actividades de Microsoft Teams

En la tabla siguiente se enumeran las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Puede buscar en el registro de auditoría actividades administrativas y de usuario de Microsoft Teams. Teams es un espacio de trabajo de Microsoft 365 orientado en el chat. Trae las conversaciones en Teams, las reuniones, los archivos y las notas de un equipo en un solo lugar. Para obtener instrucciones de búsqueda más detalladas, consulte Buscar en el registro de auditoría eventos en Microsoft Teams.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Bot agregado al equipo BotAddedToTeam Un usuario agrega un bot a un equipo.
Canal agregado ChannelAdded Un usuario agrega un canal a un equipo.
Conector agregado ConnectorAdded Un usuario agrega un conector a un canal.
Se han agregado detalles sobre la reunión 9 de Teams. MeetingDetail Teams agregó información sobre una reunión, incluida la hora de inicio, la hora de finalización y la dirección URL para unirse a la reunión.
Se agregó información sobre los participantes de la reunión 9 MeetingParticipantDetail Teams agregó información sobre los participantes de una reunión, incluido el identificador de usuario de cada participante, la hora en que un participante se unió a la reunión y el momento en que un participante salió de la reunión.
Miembros agregados 6, 8 MemberAdded El propietario de un equipo agrega miembros a un equipo, canal o chat de grupo.
Pestaña agregada TabAdded Un usuario agrega una pestaña a un canal.
Etiqueta de confidencialidad aplicada SensitivityLabelApplied Un usuario o organizador de reuniones aplicó una etiqueta de confidencialidad a una reunión de Teams.
Configuración de canal cambiada ChannelSettingChanged La operación ChannelSettingChanged se registra cuando se realizan las siguientes actividades por un miembro del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Cambia el nombre de un canal de equipo (nombre del canal)
  • Cambia la descripción de un canal de equipo (descripción del canal)
Configuración de organización cambiada TeamsTenantSettingChanged La operación TeamsTenantSettingChanged se registra cuando un administrador global realiza las siguientes actividades en el Centro de administración de Microsoft 365. Estas actividades afectan a la configuración de Teams en toda la organización. Para más información, consulte Administración de la configuración de Teams para su organización.
Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Habilita o deshabilita Teams para la organización (Microsoft Teams).
  • Habilita o deshabilita la interoperabilidad entre Microsoft Teams y Skype Empresarial para la organización (Skype Empresarial interoperabilidad).
  • Habilita o deshabilita la vista del organigrama en los clientes de Microsoft Teams (vista Organigrama).
  • Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones privadas (programación de reuniones privadas).
  • Habilita o deshabilita la capacidad de los miembros del equipo para programar reuniones de canal (programación de reuniones de canal).
  • Habilita o deshabilita las videollamadas en las reuniones de Teams (vídeo para reuniones de Skype).
  • Habilita o deshabilita el uso compartido de pantalla en reuniones de Microsoft Teams para la organización (uso compartido de pantalla para reuniones de Skype).
  • Habilita o deshabilita esa capacidad para agregar imágenes animadas (denominadas Giphys) a conversaciones de Teams (imágenes animadas).
  • Cambia la configuración de clasificación de contenido de la organización (Clasificación de contenido). La clasificación de contenido restringe el tipo de imagen animada que se puede mostrar en las conversaciones.
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes personalizables (denominadas memes personalizados) desde Internet a conversaciones de equipo (imágenes personalizables de Internet).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen imágenes editables (denominadas pegatinas) a conversaciones de equipo (imágenes editables).
  • Habilita o deshabilita esa capacidad para que los miembros del equipo usen bots en chats y canales de Microsoft Teams (bots de toda la organización).
  • Habilita bots específicos para Microsoft Teams. Esto no incluye a T-Bot, que es el robot de ayuda de Microsoft Teams que está disponible cuando se habilitan los bots para la organización (Bots individuales).
  • Habilita o deshabilita la posibilidad de que los miembros del equipo agreguen extensiones o pestañas (extensiones o pestañas).
  • Habilita o deshabilita la carga lateral de bots propietarios para Microsoft Teams (carga lateral de bots).
  • Habilita o deshabilita la capacidad de los usuarios para enviar mensajes de correo electrónico a un canal de Microsoft Teams (correo electrónico del canal).
Rol cambiado de miembros del equipo MemberRoleChanged El propietario del equipo cambia el rol de los miembros del equipo. Los valores siguientes indican el tipo de rol asignado al usuario.

1 : indica el rol Miembro.
2 : indica el rol Propietario.
3- Indica el rol del invitado.

La propiedad Members también incluye el nombre de la organización y la dirección de correo electrónico del miembro.
Configuración de equipo cambiada TeamSettingChanged La operación TeamSettingChanged se registra cuando se realizan las siguientes actividades por el dueño del equipo. Para cada una de estas actividades, se muestra una descripción de la configuración que se cambió (que se muestra entre paréntesis) en la columna Elemento de los resultados de búsqueda del registro de auditoría.
  • Cambia el tipo de acceso de un equipo. Teams se puede establecer como privado o público (tipo de acceso de equipo). Si un equipo es privado (valor predeterminado), los usuarios pueden acceder al equipo solo por invitación. Cuando un equipo es público, puede verlo cualquier persona.
  • Cambia la clasificación de información de un equipo (clasificación de equipo). Por ejemplo, los datos de equipo se pueden clasificar como impacto empresarial alto, impacto empresarial medio o impacto empresarial bajo.
  • Cambia el nombre de un equipo (nombre del equipo).
  • Cambia la descripción del equipo (descripción del equipo).
  • Cambios realizados en la configuración del equipo. Para acceder a esta configuración, el propietario del equipo puede hacer clic con el botón derecho en un equipo, seleccionar Administrar equipo y, a continuación, seleccionar la pestaña Configuración . Para estas actividades, el nombre de la configuración que se cambió se muestra en la columna Elemento de los resultados de la búsqueda del registro de auditoría.
Etiqueta de confidencialidad modificada SensitivityLabelChanged Un usuario cambió una etiqueta de confidencialidad en una reunión de Teams.
Creado un chat 1, 6 ChatCreated Se creó un chat de Teams.
Equipo creado TeamCreated El usuario crea un equipo.
Se ha eliminado un mensaje 2 MessageDeleted Se eliminó un mensaje en un chat o canal.
Eliminación de todas las aplicaciones de la organización DeletedAllOrganizationApps Se eliminaron todas las aplicaciones de la organización del catálogo.
Aplicación eliminada AppDeletedFromCatalog Se ha eliminado una aplicación del catálogo.
Canal eliminado ChannelDeleted Un usuario elimina un canal de un equipo.
Equipo eliminado TeamDeleted Un propietario de equipo elimina un equipo.
Edición de un mensaje con un vínculo de dirección URL en Teams MessageEditedHasLink Un usuario edita un mensaje y le agrega un vínculo de dirección URL en Teams.
Mensajes exportados 1,2 MensajesExportados Se exportaron mensajes de chat o de canal.
Grabaciones exportadas 1 GrabaciónExportado Se exportaron grabaciones de chat.
Transcripciones exportadas 1 TranscripcionesExportadas Se exportaron transcripciones de chat.
No se pudo validar la invitación al canal compartido 3 FailedValidation Un usuario responde a una invitación a un canal compartido, pero la invitación no pudo validarse.
Chat capturado 1 ChatRetrieved Se recuperó un chat de Microsoft Teams.
Captura de todo el contenido hospedado de un mensaje1 MessageHostedContentsListed Se recuperó todo el contenido hospedado en un mensaje, como imágenes o fragmentos de código.
Aplicación instalada AppInstalled Se instaló una aplicación.
Acción realizada en la tarjeta PerformedCardAction Un usuario tomó medidas en una tarjeta adaptable dentro de un chat. Los bots suelen usar tarjetas adaptables para permitir la visualización enriquecida de información e interacción en los chats.

Nota: Solo las acciones de entrada insertadas en una tarjeta adaptable dentro de un chat estarán disponibles en el registro de auditoría. Por ejemplo, cuando un usuario envía una respuesta de sondeo en una conversación de canal en una tarjeta adaptable generada por un bot de sondeo. Las acciones de usuario, como "Ver resultado", que abrirá un cuadro de diálogo, o las acciones de usuario dentro de los diálogos no estarán disponibles en el registro de auditoría.
Publicado un nuevo mensaje 1, 6, 8 MessageSent Se ha publicado un nuevo mensaje en un chat o canal.
Rellenar notas generadas por IA en el chat AINotesUpdate Las notas generadas por IA se han rellenado para un chat de grupo.
Rellenar notas generadas por IA en reuniones en directo LiveNotesUpdate Las notas generadas por IA se han rellenado para una reunión en directo.
Aplicación publicada AppPublishedToCatalog Se agregó una aplicación al catálogo.
Leer un mensaje 1 MessageRead Se recuperó un mensaje de un chat o canal.
Lectura del contenido hospedado de un mensaje 1 MessageHostedContentRead Se recuperó el contenido hospedado en un mensaje, como una imagen o un fragmento de código.
Bot quitado del equipo BotRemovedFromTeam Un usuario quita un bot de un equipo.
Conector quitado ConnectorRemoved Un usuario quita un conector de un canal.
Miembros eliminados 6, 8 MemberRemoved El propietario de un equipo quita a los miembros de un equipo, canal o chat de grupo.
Etiqueta de confidencialidad eliminada SensitivityLabelRemoved Un usuario quitó una etiqueta de confidencialidad de una reunión de Teams.
Se ha quitado el uso compartido del canal de equipo 3. TerminatedSharing Un equipo o propietario del canal ha deshabilitado el uso compartido de un canal compartido.
Uso compartido restaurado del canal de equipo 3 SharingRestored Un equipo o propietario del canal ha vuelto a habilitar el uso compartido para un canal compartido.
Pestaña removida TabRemoved Un usuario quita una pestaña de un canal.
Respuesta a la invitación para el canal compartido 3 InviteeResponded Un usuario respondió a una invitación de canal compartido.
Respuesta a la invitación al canal compartido 3 ChannelOwnerResponded Un propietario del canal respondió a una respuesta de un usuario que respondió a una invitación de canal compartido.
Mensajes recuperados 1 MessagesListed Se recuperaron los mensajes de un chat o canal.
Enviar un mensaje con un vínculo de dirección URL en Teams MessageCreatedHasLink Un usuario envía un mensaje que contiene un vínculo de dirección URL en Teams.
Notificación de cambio enviada para la creación de mensajes 1 MessageCreatedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un nuevo mensaje.
Notificación de cambio enviada para la eliminación de mensajes 1 MessageDeletedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje eliminado.
Notificación de cambio enviada para la actualización de mensajes 1 MessageUpdatedNotification Se envió una notificación de cambio para notificar a una aplicación de escucha suscrita de un mensaje actualizado.
Invitación enviada para el canal compartido 3 InviteSent Un propietario o miembro del canal envía una invitación a un canal compartido. Las invitaciones a canales compartidos se pueden enviar a personas ajenas a la organización si la directiva de canal está configurada para compartir el canal con usuarios externos.
Suscripción a las notificaciones de cambio de mensaje 1 SubscribedToMessages Una aplicación de agente de escucha creó una suscripción para recibir notificaciones de cambios para los mensajes.
Aplicación desinstalada AppUninstalled Se ha desinstalado una aplicación.
Aplicación actualizada AppUpdatedInCatalog Se actualizó una aplicación en el catálogo.
Se ha actualizado un chat 1 ChatUpdated Se actualizó un chat de Teams.
Se ha actualizado un mensaje 1 MessageUpdated Se actualizó un mensaje de un chat o canal.
Conector actualizado ConnectorUpdated Un usuario ha modificado un conector en un canal.
Pestaña actualizada TabUpdated Un usuario ha modificado una pestaña en un canal.
Aplicación actualizada AppUpgraded Una aplicación se actualizó a su versión más reciente en el catálogo.
Usuario que ha iniciado sesión en Equipos TeamsSessionStarted Un usuario inicia sesión en un cliente de Microsoft Teams. Este evento no captura las actividades de actualización de tokens.
Mensaje nuevo publicado 3,4,6, 8 MessageSent Se ha publicado un nuevo mensaje en un chat o canal.

Nota:

1 Un registro de auditoría para este evento solo se registra cuando la operación se realiza llamando a un Graph API de Microsoft. Si la operación se realiza en el cliente de Teams, no se registrará un registro de auditoría.
2 Este evento solo está disponible en Auditoría (Premium). Esto significa que se debe asignar a los usuarios la licencia adecuada antes de que estos eventos se registren en el registro de auditoría. Para obtener más información sobre las actividades que solo están disponibles en Auditoría (Premium), consulte Auditoría (Premium) en Microsoft Purview. Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.
3 Este evento está en versión preliminar pública.
4Este evento se genera para el chat solo si hay invitados, usuarios federados o anónimos.
5 Este evento no está disponible actualmente en las organizaciones Government Community Cloud (GCC), Government Community Cloud High (GCC-High) y Department of Defense (DoD).
6 Este evento se incluye en todos los inquilinos participantes para los chats federados.
7 Este evento tiene información de dominio participante para los chats federados 1:1.
8 Este evento se incluye en todas las conversaciones de chat entre usuarios externos de Teams administrados por una organización y usuarios externos de Teams no administrados por una organización.
9 Este evento no está disponible actualmente en government community cloud (GCC), pero está disponible en las organizaciones Government Community Cloud High (GCC-High) y Department of Defense (DoD).

Actividades de Microsoft Teams para Sanidad

Si su organización usa la aplicación Pacientes en Microsoft Teams, puede buscar el registro de auditoría para las actividades relacionadas con el uso de la aplicación Pacientes. Si su entorno está configurado para admitir la aplicación Pacientes, un grupo adicional de actividad está disponible para estas actividades en la lista del selector Actividades.

Actividades de Microsoft Teams para Atención sanitaria en la lista del selector Actividades.

Para obtener una descripción de las actividades de la aplicación Pacientes, consulte Registros de auditoría de la aplicación para Pacientes.

Actividades de Turnos en Microsoft Teams

En la tabla siguiente se enumeran las actividades de la aplicación Shift en Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación Turnos en Microsoft Teams, puede buscar en el registro de auditoría actividades relacionadas con el uso de la aplicación Turnos. Si su entorno está configurado para admitir la aplicación Turnos, habrá disponible un grupo adicional de esas actividades en la lista del selector Actividades.

Nombre descriptivo Operación Descripción
Grupo de programación agregado ScheduleGroupAdded Un usuario agrega correctamente un nuevo grupo de programación a la programación.
Grupo de programación editado ScheduleGroupEdited Un usuario edita correctamente un grupo de programación.
Grupo de programación eliminado ScheduleGroupDeleted Un usuario elimina correctamente un grupo de programación de la programación.
Se retiró la programación ScheduleWithdrawn Un usuario retira correctamente una programación publicada.
Desplazamiento agregado MayúsAgregar Un usuario agrega correctamente un turno.
Desplazamiento editado MayúsEdited Un usuario edita correctamente un turno.
Desplazamiento eliminado ShiftDeleted Un usuario elimina correctamente un turno.
Tiempo de expiración agregado TimeOffAdded Un usuario agrega correctamente tiempo de expiración en la programación.
Tiempo de expiración editado TimeOffEdited Un usuario edita correctamente el tiempo de expiración.
Tiempo de expiración eliminado TimeOffDeleted Un usuario elimina correctamente el tiempo de expiración.
Se agregó el turno abierto OpenShiftAdded Un usuario agrega correctamente un turno abierto a un grupo de programación.
Turno abierto editado OpenShiftEdited Un usuario edita correctamente un turno abierto en un grupo de programación.
Desplazamiento abierto eliminado OpenShiftDeleted Un usuario elimina correctamente un turno abierto de un grupo de programación.
Programación compartida ScheduleShared Un usuario ha compartido correctamente una programación de equipo para un intervalo de fechas.
Se ha cronometrado con el reloj de hora ClockedIn Un usuario realiza correctamente el reloj en el uso del reloj de hora.
Se ha agotado el reloj con el reloj de hora ClockedOut Un usuario cierra el reloj correctamente con Reloj de hora.
Inicio de la interrupción mediante el reloj de hora BreakStarted Un usuario inicia correctamente una interrupción durante una sesión de reloj de hora activa.
Interrupción finalizada mediante el reloj de hora BreakEnded Un usuario finaliza correctamente una interrupción durante una sesión de reloj de hora activa.
Entrada de reloj de hora agregada TimeClockEntryAdded Un usuario agrega correctamente una nueva entrada manual de reloj de hora en la hoja de horas.
Entrada de reloj de hora editada TimeClockEntryEdited Un usuario edita correctamente una entrada de reloj de hora en la hoja de horas.
Entrada de reloj de hora eliminada TimeClockEntryDeleted Un usuario elimina correctamente una entrada de reloj de hora en la hoja de horas.
Solicitud de desplazamiento agregada RequestAdded Un usuario agregó una solicitud de turno.
Respuesta a la solicitud de cambio RequestRespondedTo Un usuario respondió a una solicitud de turno.
Solicitud de desplazamiento cancelada RequestCancelled Un usuario canceló una solicitud de turno.
Configuración de programación modificada ScheduleSettingChanged Un usuario cambia una configuración en La configuración de desplazamientos.
Integración de la fuerza de trabajo agregada WorkforceIntegrationAdded La aplicación Shifts se integra con un sistema de terceros.
Mensaje de desplazamiento desactivado aceptado OffShiftDialogAccepted Un usuario confirma el mensaje fuera de turno para acceder a Teams después de las horas de turno.

Actividades de Novedades de Microsoft Teams

En la tabla siguiente se muestra Novedades aplicación en las actividades de Microsoft Teams que se registran en el registro de auditoría de Microsoft 365. Si su organización usa la aplicación de Novedades en Microsoft Teams, puede buscar en el registro de auditoría las actividades relacionadas con el uso de la aplicación de Novedades. Si el entorno está configurado para admitir Novedades aplicaciones, hay disponible un grupo de actividades adicional para estas actividades en la lista Selector de actividades.

Nombre descriptivo Operación Descripción
Creación de una solicitud de actualización CreateUpdateRequest Un usuario crea correctamente una solicitud de actualización.
Edición de una solicitud de actualización EditUpdateRequest Un usuario abre el Asistente para la edición de solicitudes y selecciona Guardar para confirmar y guardar los cambios, o habilita o deshabilita la solicitud de actualización directamente.
Envío de una actualización SubmitUpdate Un usuario envía correctamente una actualización.
Ver los detalles de una actualización ViewUpdate Un usuario ve los detalles de la actualización.

Actividades pendientes de Microsoft

En la tabla siguiente se enumeran las actividades de Microsoft To Do que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre Microsoft To Do, consulte Compatibilidad con Microsoft To Do.

Nota:

Los eventos de auditoría de las actividades de Microsoft To Do requieren una licencia de Project Plan 1 de pago (o superior) además de la licencia de Microsoft 365 pertinente que incluya derechos a Auditoría (Premium).

Nombre descriptivo Operación Descripción
Vínculo de uso compartido aceptado en la carpeta AcceptedSharingLinkOnFolder Vínculo de uso compartido aceptado para una carpeta.
Datos adjuntos creados AttachmentCreated Se creó un archivo adjunto para una tarea.
Datos adjuntos actualizados AttachmentUpdated Se ha actualizado un archivo adjunto.
Datos adjuntos eliminados AttachmentDeleted Se eliminó un archivo adjunto.
Vínculo compartido de uso compartido de carpetas FolderSharingLinkShared Se ha creado un vínculo de uso compartido para una carpeta.
Entidad vinculada eliminada LinkedEntityDeleted Se eliminó una entidad vinculada.
Entidad vinculada actualizada LinkedEntityUpdated Se actualizó una entidad vinculada.
Entidad vinculada creada LinkedEntityCreated Se creó una entidad vinculada de tarea.
SubTask creado SubTaskCreated Se creó una subtarea.
SubTask eliminado SubTaskDeleted Se eliminó una subtarea.
SubTask actualizado SubTaskUpdated Se actualizó una subtarea.
Tarea creada TaskCreated Se creó una tarea.
Tarea eliminada TaskDeleted Se eliminó una tarea.
Lectura de tareas TaskRead Se leyó una tarea.
Tarea actualizada TaskUpdated Se actualizó una tarea.
TaskList creado TaskListCreated Se creó una lista de tareas.
TaskList read TaskListRead Se leyó una lista de tareas.
TaskList actualizado TaskListUpdated Se actualizó una lista de tareas.
Invitado por el usuario UserInvited Usuario invitado a una carpeta.

actividades de Microsoft Viva Insights

Viva Insights proporciona información sobre cómo colaboran los grupos en toda la organización. En la tabla siguiente se enumeran las actividades realizadas por los usuarios a las que se les asigna el rol administrador o los roles de analista en Viva Insights. Los usuarios a los que se les ha asignado el rol de Analista tienen acceso total a todas las características del servicio y usan el producto para realizar el análisis. Los usuarios asignados al rol Administrador pueden configurar los valores predeterminados de privacidad y del sistema, y pueden preparar, cargar y comprobar los datos de la organización en Viva Insights. Para obtener más información, consulte Introducción a Microsoft Viva Insights.

Nombre descriptivo Operación Descripción
Vínculo de acceso de OData AccessedOdataLink El analista ha accedido al vínculo OData para una consulta.
Se ha agregado el acceso de delegado AddDelegates Un usuario agregó acceso delegado para información de la organización o panel de Copilot.
Consulta cancelada CanceledQuery El analista canceló una consulta en ejecución.
Exclusión de reuniones creada MeetingExclusionCreated El analista creó una regla de exclusión de la reunión.
Resultado eliminado DeletedResult El analista ha eliminado un resultado de la consulta.
Reporte descargado DownloadedReport El analista ha descargado un archivo de resultado de la consulta.
Consulta ejecutada ExecutedQuery El analista ha ejecutado una consulta.
Se ha quitado el acceso de delegado RemoveDelegates Un usuario quitó el acceso delegado para información de la organización o el panel de Copilot.
Configuración de acceso a datos actualizada UpdatedDataAccessSetting Configuración de acceso a datos de administrador actualizada
Configuración de privacidad actualizada UpdatedPrivacySetting Administración la configuración de privacidad actualizada; por ejemplo, el tamaño mínimo del grupo.
Datos de la organización cargados. UploadedOrgData Archivo de datos de la organización cargado por el administrador.
Usuario que ha iniciado sesión* UserLoggedIn Un usuario ha iniciado sesión en su cuenta de usuario de Microsoft 365.
Usuario que ha cerrado sesión* UserLoggedOff Un usuario ha cerrado sesión en su cuenta de usuario de Microsoft 365.
Explorar vista ViewedExplore El analista visualizó una o más pestañas de la página de exploración.

Nota:

*cuando un usuario inicia sesión, se crea un evento de actividad de inicio de sesión y cierre de sesión de Microsoft Entra. Esta actividad se registra incluso si no tiene Viva Insights activada en su organización. Para obtener más información sobre las actividades de inicio de sesión de usuario, consulte Inicio de sesión en Microsoft Entra ID.

Actividades de información personal

En la tabla siguiente se enumeran las actividades de información personal que se registran en el registro de auditoría de Microsoft 365. Para obtener más información sobre información personal, consulte Administración guía de información personal.

Nombre descriptivo Operación Descripción
Configuración actualizada de MyAnalytics de la organización UpdatedOrganizationMyAnalyticsSettings Administración actualiza la configuración de nivel de organización para obtener información personal.
Actualización de la configuración de MyAnalytics del usuario UpdatedUserMyAnalyticsSettings Administración actualiza la configuración del usuario para obtener información personal.

Actividades de cuarentena

En la tabla siguiente se enumeran las actividades de cuarentena que puede buscar en el registro de auditoría. Para obtener más información sobre la cuarentena, consulte Mensajes de correo electrónico en cuarentena.

Nombre descriptivo Operación Descripción
Mensaje de cuarentena eliminado QuarantineDeleteMessage Un administrador o usuario eliminó un mensaje de correo electrónico que se consideró perjudicial.
Solicitud de liberación de mensajes de cuarentena denegados QuarantineReleaseRequestDeny Denegación de administración de una solicitud de lanzamiento de un usuario para un mensaje de correo electrónico que se consideró perjudicial.
Mensaje de cuarentena exportado QuarantineExport Un administrador o usuario exportó un mensaje de correo electrónico que se consideró perjudicial.
Vista previa de mensaje de cuarentena QuarantinePreview Un administrador o usuario obtuvo una vista previa de un mensaje de correo electrónico que se consideró perjudicial.
Mensaje de cuarentena liberado QuarantineRelease Un administrador o usuario publicó un mensaje de correo electrónico de la cuarentena que se consideró perjudicial.
Mensaje de cuarentena de solicitud de versión QuarantineReleaseRequest Un usuario solicitó la liberación de un mensaje de correo electrónico que se consideró perjudicial.
Vista de encabezado mensaje de cuarentena QuarantineViewHeader Un administrador o usuario ha visto en el encabezado un mensaje de correo electrónico que se ha considerado perjudicial.

Actividades de informe

En la tabla siguiente se enumeran las actividades de los informes de uso que se registran en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Configuración de privacidad del informe de uso actualizada UpdateUsageReportsPrivacySetting El administrador ha actualizado la configuración de privacidad de los informes de uso.

Actividades de las directivas y etiquetas de retención

En la tabla siguiente se describen las actividades de configuración de las directivas de retención y las etiquetas de retención cuando se crearon, reconfiguraron o eliminaron.

Nombre descriptivo Operación Descripción
Modificación de la pertenencia al ámbito de adaptación ApplicableAdaptiveScopeChange Los usuarios, sitios o grupos se agregaron o quitaron del ámbito de adaptación. Estos cambios son los resultados de ejecutar la consulta del ámbito. Dado que los cambios se inician en el sistema, el usuario notificado se muestra como un GUID en lugar de como una cuenta de usuario.
Opciones configuradas para una directiva de retención NewRetentionComplianceRule El administrador estableció la configuración de retención para una nueva directiva de retención. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet New-RetentionComplianceRule.
Ámbito de adaptación creado NewAdaptiveScope El administrador creó un ámbito de adaptación.
Etiqueta de retención creada NewComplianceTag El administrador creó una etiqueta de retención nueva.
Directiva de retención creada NewRetentionCompliancePolicy El administrador creó una nueva directiva de retención.
Ámbito de adaptación eliminado RemoveAdaptiveScope El administrador eliminó un ámbito de adaptación.
Configuración eliminada de una directiva de retención RemoveRetentionComplianceRule
El administrador eliminó las opciones de configuración de una directiva de retención. Lo más probable es que esta actividad se registre cuando un administrador elimina una directiva de retención o ejecuta el cmdlet Remove-RetentionComplianceRule.
Etiqueta de retención eliminada RemoveComplianceTag El administrador eliminó una etiqueta de retención.
Directiva de retención eliminada RemoveRetentionCompliancePolicy
El administrador eliminó una directiva de retención.
Opción de registro normativo habilitada para etiquetas de retención
SetRestrictiveRetentionUI El administrador ejecutó el cmdlet Set-RegulatoryComplianceUI para que un administrador pueda seleccionar la opción de configuración de la interfaz de usuario para que una etiqueta de retención marque el contenido como un registro reglamentario.
Elemento de correo electrónico retenido de forma proactiva ExchangeDataProactivelyPreserved La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en Exchange.
Archivo retenido de forma proactiva SharePointDataProactivelyPreserved La protección adaptable aplicó automáticamente una etiqueta de retención para conservar un elemento en SharePoint o OneDrive.
Ámbito de adaptación actualizado SetAdaptiveScope El administrador cambió la descripción o consulta de un ámbito de adaptación existente.
Configuración actualizada para una directiva de retención SetRetentionComplianceRule El administrador cambió la configuración de retención de una directiva de retención existente. La configuración de retención incluye cuánto tiempo se retienen los elementos y qué sucede con los elementos cuando expira el período de retención (como eliminar elementos, retener elementos o retenerlos y luego eliminarlos). Esta actividad también corresponde a la ejecución del cmdlet Set-RetentionComplianceRule.
Etiqueta de retención actualizada SetComplianceTag El administrador actualizó una etiqueta de retención existente.
Directiva de retención actualizada SetRetentionCompliancePolicy El administrador actualizó una directiva de retención existente. Las actualizaciones que desencadenan este evento incluyen agregar o excluir ubicaciones de contenido a las que se aplica la directiva de retención.

Actividades de administración de roles

En la tabla siguiente se enumeran Microsoft Entra actividades de administración de roles que se registran cuando un administrador administra los roles de administrador en el Centro de administración de Microsoft 365 o en el portal de administración de Azure.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Nombre descriptivo Operación Descripción
Agregar miembro a un rol Agregar miembro a un rol. Se ha agregado un usuario a un rol de administrador en Microsoft 365.
Se ha removido un usuario de un rol de directorio Quitar miembro de un rol. Se ha eliminado un usuario desde un rol de administrador en Microsoft 365.
Establecer la información de contacto de la empresa Establecer la información de contacto de la empresa. Se han actualizado las preferencias de contacto a nivel empresarial de la organización. Esto incluye las direcciones de correo electrónico del correo electrónico relacionado con las suscripciones enviado mediante Microsoft 365, así como las notificaciones técnicas sobre los servicios.

Actividades de tipos de información confidencial

En la tabla siguiente se describen los eventos de auditoría de las actividades que implican la creación y actualización de tipos de información confidencial.

Nombre descriptivo Operación Descripción
Se ha creado un nuevo tipo de información confidencial CreateRulePackage/EditRulePackage* Se creó un nuevo tipo de información confidencial. Esto incluye los SIT creados mediante la copia de un SIT de fábrica.

Nota: Esta actividad aparece en las actividades de auditoría "Paquete de reglas creadas" o "Paquete de reglas editado".

Editado un tipo de información confidencial EditRulePackage Se editó un tipo de información confidencial existente. Esto puede incluir operaciones como agregar o quitar un patrón y editar la expresión regex/palabra clave asociada al tipo de información confidencial.

Nota: Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado".

Eliminación de un tipo de información confidencial EditRulePackage/RemoveRulePackage Se eliminó un tipo de información confidencial existente.

Nota: Esta actividad aparece en la actividad de auditoría "Paquete de reglas editado" o "Paquete de reglas quitado".

Actividades de la etiqueta de confidencialidad

En la tabla siguiente se enumeran los eventos resultantes del uso de etiquetas de confidencialidad con sitios y elementos administrados por Microsoft Purview. Los elementos incluyen documentos, correos electrónicos y eventos de calendario. Para las directivas de etiquetado automático, los elementos también incluyen archivos y recursos de datos esquematizados en Mapa de datos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Etiqueta de confidencialidad aplicada al sitio SiteSensitivityLabelApplied Se aplicó una etiqueta de confidencialidad a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad eliminada del sitio SiteSensitivityLabelRemoved Se quitó una etiqueta de confidencialidad de un sitio de SharePoint o un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad aplicada al archivo FileSensitivityLabelApplied

SensitivityLabelApplied
Se aplicó una etiqueta de confidencialidad a un elemento mediante aplicaciones de Microsoft 365, Office para la Web o una directiva de etiquetado automático.

Las operaciones de esta actividad son diferentes en función de cómo se aplicó la etiqueta:
- Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelApplied)
- Aplicaciones de Microsoft 365 (SensitivityLabelApplied)
Se ha cambiado la etiqueta de confidencialidad aplicada al archivo FileSensitivityLabelChanged

SensitivityLabelUpdated
Se aplicó una etiqueta de confidencialidad diferente a un elemento.

Las operaciones de esta actividad son diferentes en función de cómo se cambió la etiqueta:
- Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelChanged)
- Aplicaciones de Microsoft 365 (SensitivityLabelUpdated)
Etiqueta de confidencialidad modificada en un sitio SiteSensitivityLabelChanged Se aplicó una etiqueta de confidencialidad diferente a un sitio de SharePoint o a un sitio de Teams que no está conectado a grupos.
Etiqueta de confidencialidad eliminada del sitio FileSensitivityLabelRemoved

SensitivityLabelRemoved
Se quitó una etiqueta de confidencialidad de un elemento mediante aplicaciones de Microsoft 365, Office para la Web, una directiva de etiquetado automático o el cmdlet Unlock-SPOSensitivityLabelEncryptedFile.

Las operaciones de esta actividad son diferentes en función de cómo se haya quitado la etiqueta:
- Office para la Web o una directiva de etiquetado automático (FileSensitivityLabelRemoved)
- Aplicaciones de Microsoft 365 (SensitivityLabelRemoved)

Información de auditoría adicional para etiquetas de confidencialidad:

Lista de actividades de SharePoint

En la siguiente tabla se describen las actividades relacionadas cuando los usuarios interactúan con listas y elementos de lista en SharePoint en línea. Los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo Operación Descripción
Lista creada ListCreated Un usuario ha creado una lista de SharePoint.
Columna de lista creada ListColumnCreated Un usuario ha creado una columna de lista de SharePoint. Una columna de lista es una columna que está adjunta a una o más listas de SharePoint.
Lista de tipo de contenido de lista creado ListContentTypeCreated Lista de tipo de contenido creado por un usuario. Una lista de tipo de contenido es un tipo de contenido que está adjunta a una o más listas de SharePoint.
Lista de ítems creada ListItemCreated Un usuario creó un elemento en una lista de SharePoint existente.
Una columna de sitio creada. SiteColumnCreated Un usuario ha creado una columna de sitio de SharePoint. Una columna de sitio es una columna que no está adjunta a una lista. Las columnas de sitio también son estructuras de metadatos que se pueden usar en cualquier lista en una web determinada.
Tipo de contenido de sitio creado Sitio de ContentType creado Tipo de contenido de sitio creado por un usuario. Un tipo de contenido de sitio es un tipo de contenido que está adjunto al sitio principal.
Lista eliminada ListDeleted Un usuario borró una lista de SharePoint.
Eliminar Columna de lista Columna de lista eliminada Un usuario borró una columna de lista de SharePoint.
Lista de tipo de contenido eliminado ListContentTypeDeleted Un usuario borró una lista de tipo de contenido.
Eliminar Lista de elementos Lista de elementos eliminada Un usuario borró una lista de elementos de SharePoint.
Columna de sitio eliminada. SiteColumnDeleted Un usuario borró una columna de sitio de SharePoint.
Tipo de contenido de sitio eliminado SiteContentTypeDeleted Un usuario borró un sitio de tipo de contenido.
Lista de elementos reciclados ListItemRecycled Un usuario movió una lista de elementos de SharePoint a la papelera de reciclaje.
Lista restaurada ListRestored Un usuario restauró una lista de SharePoint a la papelera de reciclaje.
Lista de elementos restaurada ListItemRestored Un usuario restauró una lista de SharePoint de la papelera de reciclaje.
Lista actualizada ListUpdated Un usuario ha actualizado una lista de SharePoint modificando una o más propiedades.
Columna de lista actualizada ListColumnUpdated Un usuario ha actualizado una lista de columna de SharePoint modificando una o más propiedades.
Lista de tipo de contenido actualizado ListContentTypeUpdated Un usuario ha actualizado una lista de tipo de contenido de SharePoint modificando una o más propiedades.
Lista de elementos actualizada ListItemUpdated Un usuario ha actualizado una lista de elementos de SharePoint modificando una o más propiedades.
Vista de lista actualizada ListViewUpdated Un usuario actualizó una vista de lista de SharePoint modificando una o varias propiedades.
Una columna de sitio actualizada. SiteColumnUpdated Un usuario ha actualizado una de columna de sitio de SharePoint modificando una o más propiedades.
Tipo de contenido de sitio actualizado SiteContentTypeUpdated Un usuario ha actualizado una lista de tipo de contenido modificando una o más propiedades.

Actividades de solicitud de acceso y uso compartido

La siguiente tabla describe las actividades de solicitud de acceso y uso compartido de usuarios en SharePoint en línea y OneDrive para empresas. Para los eventos compartidos, la columna deDetallessegún losResultados identifica el nombre del usuario o grupo con el que se ha compartido el elemento y si el usuario o grupo es un miembro o un invitado de su organización. Para obtener más información, consulte Usar la auditoría de uso compartido en el registro de auditoría.

Nota:

Los usuarios pueden ser miembros o invitados en función de la propiedad UserType del objeto user. Un miembro es normalmente un empleado, y un invitado es normalmente un colaborador externo de la organización. Cuando un usuario acepta una invitación de uso compartido (y todavía no forma parte de la organización), se crea una cuenta de invitado para él en el directorio de la organización. Una vez que el usuario invitado tenga una cuenta en su directorio, los recursos pueden compartirse directamente con él (sin requerir una invitación).

Nombre descriptivo Operación Descripción
Nivel de permiso agregado a la colección de sitios PermissionLevelAdded Un nivel de permisos se agregó a una colección de sitios.
Solicitud de acceso aceptada AccessRequestAccepted Una solicitud de acceso a un sitio, carpeta o documento que se ha aceptado y al usuario solicitante se le ha concedido el acceso.
Invitación de uso compartido aceptada SharingInvitationAccepted El usuario (miembro o invitado) ha aceptado una invitación de uso compartido y se le ha concedido acceso a un recurso. Este evento incluye información sobre el usuario al que se ha invitado y la dirección de correo electrónico que se ha usado para aceptar la invitación (podrían ser diferentes). Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario al recurso, por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.
Invitación de uso compartido bloqueada SharingInvitationBlocked Una invitación para compartir enviada por un usuario de su organización está bloqueada por una normativa de uso compartido externa que permite o niega el uso compartido externo basándose en el dominio del usuario de destino. En este caso, la invitación para compartir se bloqueó porque:
El dominio del usuario de destino no está incluido en la lista de dominios permitidos.
O bien:
El dominio del usuario de destino está incluido en la lista de dominios bloqueados.
Para obtener más información acerca de cómo permitir o bloquear el uso compartido externo en función de los dominios, consulte Dominios restringidos para el uso compartido en SharePoint en línea y OneDrive para Empresas.
Solicitud de acceso creada AccessRequestCreated El usuario solicita acceso a un sitio, carpeta o documento al que no tiene permiso para acceder.
Vínculo creado que se puede compartir de la empresa CompanyLinkCreated El usuario ha creado un vínculo empresarial de recursos. los vínculos empresariales solo pueden usarse por los miembros de su organización. No pueden ser usados por invitados.
Vínculo anónimo creado AnonymousLinkCreated El usuario ha creado un vínculo anónimo a un recurso. Cualquier persona con este vínculo puede tener acceso al recurso sin tener que autenticarse.
Vínculo de seguridad creado SecureLinkCreated Se ha creado un vínculo de uso compartido seguro para este elemento.
Invitación de uso compartido creada SharingInvitationCreated El usuario ha compartido un recurso en o con un usuario que no está en el directorio de su organización.
Vínculo de seguridad eliminado SecureLinkDeleted Un vínculo para uso compartido seguro se ha eliminado.
Solicitud de acceso denegada AccessRequestDenied Una solicitud de acceso a un sitio, una carpeta o un documento se ha denegado.
Vínculo quitado que se puede compartir de la empresa CompanyLinkRemoved El usuario ha quitado un vínculo de toda la empresa a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.
Vínculo anónimo quitado AnonymousLinkRemoved El usuario ha quitado un vínculo anónimo a un recurso. El vínculo ya no puede usarse para tener acceso al recurso.
Sitio, carpeta o archivo compartidos SharingSet El usuario (miembro o invitado) ha compartido un archivo, carpeta o sitio en SharePoint o OneDrive con un usuario en el directorio de la organización. El valor de la columna Detallespara esta actividad identifica el nombre del usuario que el recurso ha compartido y si este usuario es un miembro o un invitado.

Esta actividad a menudo está acompañada por un segundo evento que describe cómo se le ha concedido acceso al usuario a los recursos. Por ejemplo, al agregar el usuario a un grupo que tiene acceso al recurso.
Solicitud de acceso actualizada AccessRequestUpdated Se actualizó una solicitud de acceso a un elemento.
Vínculo anónimo actualizado AnonymousLinkUpdated El usuario ha actualizado un vínculo anónimo a un recurso. El campo actualizado se incluye en la propiedad EventData cuando exporta los resultados de búsqueda.
Invitación de uso compartido actualizada SharingInvitationUpdated Se actualizó una invitación para uso compartido externo.
Vínculo anónimo usado AnonymousLinkUsed Un usuario anónimo ha tenido acceso a un recurso mediante un vínculo anónimo. La identidad del usuario puede ser desconocida, pero puede obtener otros detalles como la dirección IP del usuario.
Sitio, carpeta o archivo no compartido SharingRevoked El usuario (miembro o invitado) no ha compartido un archivo, carpeta o sitio que se había compartido previamente con otro usuario.
Vínculo usado que se puede compartir de la empresa CompanyLinkUsed El usuario ha tenido acceso a un recurso mediante un vínculo de toda la empresa.
Vínculo seguro usado SecureLinkUsed Un usuario usó un vínculo seguro.
Usuario añadido a vínculo seguro AddedToSecureLink Se ha agregado un usuario a la lista de entidades que pueden usar un vínculo de uso compartido seguro.
Usuario quitado de un vínculo seguro RemovedFromSecureLink Se ha quitado un usuario de la lista de entidades que pueden usar un vínculo de uso compartido seguro.
Invitación de uso compartido retirada SharingInvitationRevoked El usuario ha retirado una invitación de uso compartido a un recurso.

Actividades de administración del sitio

En la tabla siguiente se enumeran los eventos que se producen de las tareas de administración del sitio en SharePoint en línea. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Ubicación de datos añadidos permitidos AllowedDataLocationAdded Un administrador global o de SharePoint ha agregado una ubicación de datos permitida en un entorno multi geo.
Agente de usuario exento agregado ExemptUserAgentSet El administrador global o de SharePoint agrega un agente de usuario a la lista de agentes de usuario exentos en el Centro de administración de SharePoint.
Se ha agregado el administrador de ubicación geográfica GeoAdminAdded Un administrador global o de SharePoint agregó un usuario como administrador geográfico de una ubicación.
Usuario permitido para crear grupos AllowGroupCreationSet El administrador de sitios o el propietario agrega un nivel de permisos a un sitio que permite que un usuario al que se le ha asignado ese permiso cree un grupo para ese sitio.
Desplazamiento geográfico de sitio cancelado SiteGeoMoveCancelled Un administrador global o de SharePoint canceló correctamente un desplazamiento geográfica de un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Normativa de uso compartido cambiada SharingPolicyChanged Un administrador global o de SharePoint cambió una directiva de uso compartido de SharePoint mediante el Centro de administración de Microsoft 365, el Centro de administración de SharePoint o el Shell de SharePoint Online Management. Se registrará cualquier cambio en la configuración de la directiva de uso compartido de su organización. La normativa cambiada se identifica en el campoModifiedProperties en las propiedades detalladas del registro de eventos.
Directiva de acceso del dispositivo cambiada DeviceAccessPolicyChanged Un administrador global o de SharePoint cambió la directiva de dispositivos no administrados para su organización. Esta directiva controla el acceso a SharePoint, OneDrive y Microsoft 365 desde dispositivos que no se han unido a su organización. La configuración de esta directiva requiere una suscripción de Enterprise Mobility + Security. Para obtener más información, consulte Controlar el acceso desde dispositivos no administrados.
Agente de usuario exento cambiado CustomizeExemptUsers El administrador global o de SharePoint ha personalizado la lista de agentes de usuario exentos en el Centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devuelve como un archivo XML, en lugar de una página web completa. Esto acelera la indexación de formularios de InfoPath.
Directiva de acceso de red cambiada NetworkAccessPolicyChanged Un administrador global o de SharePoint cambió la normativa de acceso basado en la ubicación (también denominada un límite de red de confianza) en el Centro de administración SharePoint o mediante el PowerShell de SharePoint en línea. Este tipo de controles de normativa tienen acceso a recursos de SharePoint y OneDrive de la organización en función de los intervalos de direcciones IP que especifique. Para obtener más información, consulte Controlar el acceso a datos de SharePoint en línea y OneDrive en función de las ubicaciones de red.
Trabajo de migración completado MigrationJobCompleted Un trabajo de migración se completó correctamente.
Desplazamiento geográfico de sitio completado SiteGeoMoveCompleted El desplazamiento geográfico de un sitio que fue programado por un administrador global de su organización se ha completado correctamente. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Conexión a enviar creada SendToConnectionAdded Un administrador global o de SharePoint crea una nueva conexión a enviar en la página administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.
Colección de sitios creada SiteCollectionCreated Un administrador global o de SharePoint crea una colección de sitios en su organización de SharePoint en línea o un usuario aplica el sitio de OneDrive para empresas.
Orphaned hub site borrado HubSiteOrphanHubDeleted Un administrador global o de SharePoint ha eliminado un orphan hub site, que es un centro que no tiene ningún sitio asociado. Un orphaned hub es probable que se deba a la eliminación del centro del sitio original
Conexión a enviar eliminada SendToConnectionRemoved El administrador global o de SharePoint elimina una conexión a enviar en la página Administración de registros en el Centro de administración de SharePoint.
Sitio eliminado SiteDeleted El administrador del sitio elimina un sitio.
Vista previa del documento habilitada PreviewModeEnabledSet El administrador del sitio habilita la vista previa del documento para un sitio.
Flujo de trabajo heredado habilitado LegacyWorkflowEnabledSet El propietario o administrador del sitio agrega el tipo de contenido de tarea de SharePoint 2013 Workflow al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint.
Petición a Office habilitada OfficeOnDemandSet El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Microsoft 365 que incluya aplicaciones de Office completas e instaladas.
Origen de resultados habilitado para las búsquedas de personas PeopleResultsScopeSet El administrador del sitio crea el origen de resultados de las búsquedas de personas para un sitio.
Fuentes RSS habilitadas NewsFeedEnabledSet El administrador o el propietario del sitio habilita las fuentes RSS para un sitio. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.
Sitio unido al centro del sitio HubSiteJoined El propietario de un sitio lo asocia a un sitio central.
Cuota de colección de sitios modificada SiteCollectionQuotaModified El administrador del sitio modifica la cuota de una colección de sitios.
Sitio central registrado HubSiteRegistered Un administrador global o de SharePoint crea un sitio central. El resultado es que el sitio se registra para ser un sitio central.
Ubicación de datos permitidos removidos AllowedDataLocationDeleted Un administrador global o de SharePoint ha removido una ubicación de datos permitida en un entorno multi geográfico.
Se ha removido el administrador de ubicación geográfica GeoAdminDeleted Un administrador global o de SharePoint removió a un usuario como administrador geográfico de una ubicación.
Sitio renombrado SiteRenamed El administrador o el propietario del sitio cambia el nombre de un sitio
Desplazamiento geográfico de sitio programado SiteGeoMoveScheduled Un administrador global o de SharePoint desplazó geográficamente con éxito un sitio de SharePoint o de OneDrive. La funcionalidad multigeográfica permite que una organización disponga de varias geografías de centros de datos de Microsoft, denominadas geoáreas. Para obtener más información, consulte Capacidades multigeográficas en OneDrive y SharePoint Online.
Establecer sitio del host HostSiteSet Un administrador global o de SharePoint cambia el sitio designado para hospedar sitios personales o de OneDrive para empresas.
Configurar una cuota de almacenamiento para una ubicación geográfica GeoQuotaAllocated Un administrador global o de SharePoint configuró cuota de almacenamiento para ubicación geográfica en un entorno multi geográfico.
Sitio no unido desde el sitio central. HubSiteUnjoined El propietario de un sitio lo disocia de un sitio a un sitio central.
Sitio central no registrado HubSiteUnregistered Un administrador global o de SharePoint elimina el registro del sitio como un sitio central. Si se elimina el registro de un sitio central, dejará de funcionar como un sitio central.

Actividades de sitios de permisos

La siguiente tabla enumera eventos relacionan asignar permisos en SharePoint con usar grupos para dar (y revocar) acceso a sitios. Como se explicó anteriormente, los registros de auditoría de algunas actividades de SharePoint indican que el usuario app@sharepoint realizó la actividad en nombre del usuario o administrador que inició la acción. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.

Nombre descriptivo Operación Descripción
Administradores de la colección de sitios agregados SiteCollectionAdminAdded El administrador de la colección de sitios o el propietario agrega una persona como administrador de la colección de sitios a un sitio. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios. Esta actividad también se registra cuando un administrador se concede acceso a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint o mediante el Centro de administración de Microsoft 365).
Usuario o grupo agregado al grupo de SharePoint AddedToGroup El usuario ha agregado a un miembro o un invitado a un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento de uso compartido.
Herencia de nivel de permisos interrumpida PermissionLevelsInheritanceBroken Se cambió a un elemento de forma que ya no hereda niveles de permisos de su elemento primario.
Herencia de uso compartido interrumpida SharingInheritanceBroken Se cambió a un elemento de forma que ya no hereda permisos de uso compartido de su elemento primario.
Grupo creado GroupAdded El administrador o el propietario del sitio crea un grupo para un sitio o realiza una tarea que da como resultado un grupo que se está creando. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.
Grupo eliminado GroupRemoved El usuario elimina un grupo de un sitio.
Configuración de solicitud de acceso modificada WebRequestAccessModified La configuración de solicitud de acceso fueron modificadas en un sitio.
Configuración modificada "los miembros pueden compartir" WebMembersCanShareModified Los miembros pueden compartir la configuración se ha modificado en un sitio.
Nivel de permiso modificado en una colección de sitios PermissionLevelModified Un nivel de permisos se modificó en una colección de sitios.
Permisos de sitio modificados SitePermissionsModified El administrador o el propietario del sitio (o la cuenta de sistema) cambia el nivel de permisos que se asignan a un grupo en un sitio. Esta actividad también se registra si todos los permisos son removidos de un grupo.

Nota:Esta operación se ha dejado de usar en SharePoint en línea. Para buscar eventos relacionados, puede buscar otras actividades relacionadas con el permiso como Administradores de la colección de sitios agregados, Usuario o grupo agregado a un grupo de SharePoint,Usuario permitido para crear grupos, Grupo creado y Grupo eliminado.
Nivel de permiso eliminado de la colección de sitios PermissionLevelRemoved Un nivel de permisos se eliminó de una colección de sitios.
Administradores de la colección de sitios removidos SiteCollectionAdminRemoved El administrador de la colección de sitios o el propietario remueve una persona como administrador de la colección de sitios a un sitio. Esta actividad también se registra cuando un administrador se remueve así mismo de la lista de colección de administradores a la cuenta de OneDrive de un usuario (editando el perfil de usuario en el Centro de administración de SharePoint). Para devolver esta actividad en los resultados de búsqueda del registro de auditoría, tiene que buscar todas las actividades.
Usuario o grupo removido al grupo de SharePoint RemovedFromGroup El usuario ha removido un miembro o invitado de un grupo de SharePoint. Esto puede haber sido una acción intencionada o el resultado de otra actividad, como un evento sin uso compartido.
Permisos de administrador del sitio solicitados SiteAdminChangeRequest Las solicitudes de usuario se agregan como un administrador de la colección de sitios para una colección de sitios. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.
Herencia de uso compartido restaurada SharingInheritanceReset Se aplicó un cambio para que un elemento herede los permisos de uso compartido del elemento primario.
Grupo actualizado GroupUpdated El administrador o el propietario cambia la configuración de un grupo para un sitio. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.

Actividades de sincronización

La siguiente tabla enumera la sincronización de archivos de actividades en SharePoint en línea y OneDrive para empresas.

Nombre descriptivo Operación Descripción
Equipo permitido para sincronizar archivos ManagedSyncClientAllowed El usuario establece correctamente una relación de sincronización con un sitio. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización.

Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.
Computadora bloqueada de los archivos de sincronización UnmanagedSyncClientBlocked El usuario intenta establecer una relación de sincronización con un sitio desde un equipo que no es miembro del dominio de su organización o es miembro de un dominio que no se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que pueden acceder a las bibliotecas de documentos de su organización. No se permite la relación de sincronización y el equipo del usuario no puede sincronizar, descargar o cargar archivos en una biblioteca de documentos.

Para obtener más información sobre esta característica, vea Usar cmdlets de PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.
Archivos descargados al equipo FileSyncDownloadedFull El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
Cambios de archivos descargados al equipo FileSyncDownloadedPartial Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).
Archivos cargados a la biblioteca de documentos FileSyncUploadedFull El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
Cambios de archivos cargados a la biblioteca de documentos FileSyncUploadedPartial Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).

Actividades de SystemSync

En la tabla siguiente se enumeran las actividades de SystemSync que se registran en el registro de auditoría de Microsoft 365.

Nombre descriptivo Operación Descripción
Uso compartido de datos creado DataShareCreated Cuando el usuario crea la exportación de datos.
Uso compartido de datos eliminado DataShareDeleted Cuando el usuario elimina la exportación de datos.
Generar una copia de Lake Data GenerateCopyOfLakeData Cuando se genera la copia de Lake Data.
Descargar copia de Lake Data DownloadCopyOfLakeData Cuando se descarga la copia de Lake Data.

Actividades de administración de usuarios

En la tabla siguiente se enumeran las actividades de administración de los usuarios que se registran cuando un administrador agrega o cambia una cuenta de usuario por medio del Centro de administración de Microsoft 365 o del portal de administración de Azure.

Nota:

Los nombres de operación que se enumeran en la columna Operación de la tabla siguiente contienen un punto ( . ). Debe incluir el punto en el nombre de la operación si especifica la operación en un comando de PowerShell al buscar el registro de auditoría, crear directivas de retención de auditoría, crear directivas de alertas o crear alertas de actividad. Asegúrese también de usar comillas dobles (" ") que contengan el nombre de la operación.

Actividad Operación Descripción
Usuario agregado Agregar usuario. Secreó una cuenta de usuario.
Licencia de usuario cambiada Cambiar licencia de usuario. La licencia que se ha asignado a un usuario ha cambiado. Para ver qué licencias han cambiado, vea la actividad correspondiente Usuario actualizado.
Contraseña de usuario cambiada Cambiar contraseña de usuario. El usuario cambia su contraseña. El restablecimiento de contraseña de autoservicio tiene que estar habilitado (para todos los usuarios o los seleccionados) en la organización para que los usuarios puedan restablecer la contraseña. También puede realizar un seguimiento de la actividad de autoservicio de restablecimiento de contraseña en Microsoft Entra ID. Para obtener más información, consulte Opciones de informes para Microsoft Entra administración de contraseñas.
Usuario eliminado Eliminar usuario. Se ha eliminado una cuenta de usuario.
Restablecer contraseña de usuario Restablecer contraseña de usuario. El administrador restablece la contraseña de un usuario.
Establecer una propiedad que fuerce al usuario a cambiar la contraseña Forzar el cambio de la contraseña de usuario. Un administrador estableció la propiedad que obliga a un usuario a cambiar su contraseña la próxima vez que inicie sesión en Microsoft 365.
Establecer propiedades de licencia Establecer propiedades de licencia. Un administrador modificó las propiedades de una licencia asignada a un usuario.
Usuario actualizado Actualizar usuario. Un administrador cambia una o más propiedades de una cuenta de usuario. Para obtener una lista de las propiedades de usuario que se pueden actualizar, consulte la sección "Actualizar atributos de usuario" de Microsoft Entra auditar eventos de informe.

actividades de Viva Goals

En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Goals que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Busque en los detalles del registro de auditoría cómo puede buscar los registros de auditoría desde el portal de Microsoft Purview y el portal de cumplimiento. El usuario debe ser un administrador global o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Puede usar el filtro Actividades para buscar actividades específicas y para enumerar todas las actividades Viva Goals puede elegir "VivaGoals" en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Organización creada Organización creada Administración o el usuario ha creado una nueva organización en Viva Goals.
Usuario agregado Usuario agregado Se ha agregado un nuevo usuario a una organización en Viva Goals.
Usuario desactivado Usuario desactivado Un usuario se ha desactivado en una organización.
Usuario eliminado Usuario eliminado Un usuario se ha eliminado de una organización en Viva Goals.
Usuario que ha iniciado sesión Usuario que ha iniciado sesión El usuario ha iniciado sesión en Viva Goals.
Equipo agregado Equipo agregado Se ha creado un nuevo equipo dentro de una organización en Viva Goals.
Equipo actualizado Equipo actualizado Un equipo de una organización en Viva Goals se ha modificado o actualizado.
Equipo eliminado Equipo eliminado El usuario ha eliminado un equipo de una organización en Viva Goals.
Datos exportados Datos exportados Un usuario ha exportado una lista de OKR o una lista de usuarios de una organización en Viva Goals.
Goals directiva actualizada Goals directiva actualizada El administrador global ha modificado la directiva o la configuración en el nivel de inquilino en Viva Goals. Por ejemplo, el administrador global ha configurado quién puede crear organizaciones en Viva Goals.
Configuración de la organización actualizada Configuración de la organización actualizada El usuario (normalmente propietarios o administradores de la organización) ha actualizado la configuración específica de la organización en Viva Goals.
Integraciones de la organización actualizadas Integraciones de la organización actualizadas El usuario (normalmente propietarios o administradores de la organización) ha configurado una integración de terceros o ha actualizado una integración de terceros existente para una organización en Viva Goals.
OKR o proyecto creado OKR o proyecto creado El usuario ha creado un OKR o un proyecto en Viva Goals.
OKR o Project actualizados OKR o Project actualizados El usuario o una integración en Viva Goals han modificado un OKR o un proyecto.
OKR o Proyecto eliminado OKR o Proyecto eliminado El usuario ha eliminado un OKR o un proyecto.
Panel creado Panel creado El usuario ha creado un nuevo panel en Viva Goals
Panel actualizado Panel actualizado El usuario ha actualizado un panel en Viva Goals
Panel eliminado Panel eliminado El usuario ha eliminado un panel en Viva Goals.

actividades de Viva Engage

En la tabla siguiente se enumeran las actividades de usuario y administrador en Viva Engage que se registran en el registro de auditoría. Para devolver actividades relacionadas con Viva Engage del registro de auditoría, debe seleccionar Mostrar resultados para todas las actividades de la lista Actividades. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.

Nota:

Algunas actividades de auditoría de Viva Engage solo están disponibles en Auditoría (Premium). Esto significa que los usuarios deben tener asignada la licencia adecuada antes de que estas actividades se registren en el registro de auditoría. Para obtener más información, vea Auditoría (Premium). Para conocer los requisitos de licencia de Auditoría (Premium), consulte Soluciones de auditoría en Microsoft 365.

En la siguiente tabla se resaltan las actividades de Auditoría (Premium) con un asterisco (*).

Nombre descriptivo Operación Descripción
Comunicador corporativo agregado AddUserRole Un usuario se asigna como comunicador corporativo.
Directiva de uso personalizada modificada UsagePolicyUpdated Un administrador de inquilinos actualiza una directiva de uso personalizada.
Directiva de retención de datos cambiada SoftDeleteSettingsUpdated Un administrador superior actualizó la configuración de la directiva de retención de datos de la red a eliminación permanente o eliminación temporal. Solo los administradores superiores pueden realizar esta operación.
Configuración de red cambiada NetworkConfigurationUpdated El administrador comprobado o de red cambia la configuración de la red de Viva Engage. Esto incluye establecer el intervalo de exportación de datos y habilitar el chat.
Configuración del perfil de red cambiada ProcessProfileFields Un administrador superior o de red cambia la información que aparece en los perfiles de usuario para los usuarios de su red.
Modo de contenido privado cambiado SupervisorAdminToggled El administrador comprobado activa o desactiva el modo de contenido privado . Este modo permite a un administrador ver publicaciones de grupos privados y mensajes privados entre los usuarios (o grupos de usuarios). Solo los administradores superiores pueden realizar esta operación.
Configuración de seguridad cambiada NetworkSecurityConfigurationUpdated El administrador comprobado actualiza la configuración de seguridad de la red de Viva Engage. Esto incluye establecer las directivas de expiración de contraseña y las restricciones de las direcciones IP. Solo los administradores superiores pueden realizar esta operación.
Conversación cerrada CloseConversation Se ha cerrado el subproceso Viva Engage, lo que impide que los usuarios respondan a él. Esta acción puede realizarla un administrador, un comunicador corporativo o un delegado de usuario.
Conversación abierta OpenConversation Se ha abierto la conversación del subproceso Viva Engage, lo que permite a los usuarios responder al subproceso. Esta acción puede realizarla un administrador, comunicaciones corporativas o un delegado de usuario.
Archivo creado FileCreated El usuario cargó un archivo.
Grupo creado GroupCreation El usuario crea un grupo.
Mensaje creado MessageCreation El usuario creó un mensaje.
Grupo eliminado GroupDeletion Se elimina un grupo de Viva Engage.
Mensaje eliminado MessageDeleted El usuario eliminó un mensaje.
Archivo descargado FileDownloaded El usuario descargó un archivo.
Datos exportados DataExport El administrador verificado exporta Viva Engage datos de red. Solo los administradores superiores pueden realizar esta operación.
No se ha podido acceder al archivo FileAccessFailure El usuario no pudo acceder a un archivo.
No se pudo acceder al grupo GroupAccessFailure El usuario no pudo acceder a un grupo.
Error al acceder al subproceso ThreadAccessFailure El usuario no pudo acceder a un subproceso de mensaje.
Reaccionó al mensaje MarkedMessageChanged El usuario reaccionó a un mensaje.
Se quitó El comunicador corporativo RemoveUserRole Un usuario se quita del rol De comunicador corporativo.
Quitar tema seleccionado* RemoveCuratedTopic El usuario quita un tema seleccionado.
Archivo compartido FileShared Un usuario compartió un archivo con otro usuario.
Usuario de red suspendido NetworkUserSuspended El administrador de red o verificado suspende (desactiva) a un usuario de Viva Engage.
Usuario suspendido UserSuspension Se suspendió una cuenta de usuario (se desactivó).
Aceptación de la directiva de uso de inquilinos UsagePolicyAcceptance Un usuario acepta una directiva de uso específica del inquilino.
Subproceso silenciado AdminThreadMuted Un subproceso ha sido silenciado por el administrador o watch alerta (usuario del sistema). Una alerta de watch se produce cuando se marca un subproceso para un tema determinado (establecido por el administrador) y el sistema lo silencia automáticamente.
Subproceso sin conmutar AdminThreadUnmuted Administración un subproceso sin conmutar.
Descripción del archivo actualizado FileUpdateDescription Un usuario cambió la descripción de un archivo.
Nombre de archivo actualizado FileUpdateName Un usuario cambió el nombre de un archivo.
Mensaje actualizado MessageUpdated El usuario actualizó un mensaje.
Asignación de roles actualizada para la Administración de red NetworkAdminUpdated Un usuario se promueve o degrada al rol de Administración de red.
Asignación de roles actualizada para Administración verificados NetworkVerifiedAdminUpdated Un usuario se promociona o degrada al rol Administración Comprobado.
Archivo visualizado FileVisited Un usuario visualizó un archivo.
Subproceso visto ThreadViewed El usuario ve un subproceso de mensaje.

actividades de pulse de Viva

En la tabla siguiente se enumeran las actividades de usuario y administrador de Viva Pulse que se registran para la auditoría. La tabla incluye el nombre descriptivo que se muestra en la columna Actividades y el nombre de la operación correspondiente que aparece en la información detallada de un registro de auditoría y en el archivo CSV al exportar los resultados de la búsqueda.

Busque en los detalles del registro de auditoría cómo puede buscar los registros de auditoría desde el portal de Microsoft Purview y el portal de cumplimiento. El usuario debe ser un administrador global o tener permisos de lectura de auditoría para acceder a los registros de auditoría. Puede usar el filtro Actividades para buscar actividades específicas y enumerar todas las actividades Viva Pulse, puede elegir VivaPulse en el filtro Tipo de registro. También puede usar los cuadros de intervalo de fechas y la lista Usuarios para restringir aún más los resultados de la búsqueda.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Nombre descriptivo Operación Descripción
Respuesta enviada por el usuario a una encuesta de pulsos PulseSubmit Administración o los comentarios proporcionados por el usuario para una solicitud de comentarios Viva Pulse.
El usuario ha creado una encuesta de Pulse PulseCreate Se crea una nueva solicitud de comentarios Viva Pulse.
El usuario ha ampliado la fecha límite de la encuesta de pulsos PulseExtendDeadline Se ha ampliado la fecha límite para la solicitud de comentarios Viva Pulse existente.
Usuario invitado a usuarios adicionales a la encuesta de Pulse PulseInvite Se invitó a otros usuarios a una solicitud de comentarios Viva Pulse existente.
El usuario canceló una encuesta de Pulse PulseCancel El usuario ha cancelado una encuesta de Pulse.
El usuario ha compartido un informe de pulsos PulseShareResults Viva resultado de los comentarios de Pulse se ha compartido con los usuarios.
El usuario ha creado un borrador de Pulse PulseCreateDraft El usuario ha creado un borrador de Pulse.
El usuario eliminó un borrador de Pulse PulseDeleteDraft El usuario eliminó un borrador de Pulse.
Administración eliminar los datos de un usuario PulseDeleteUserData Administración ha eliminado los datos de un usuario.
Administración configuración actualizada del inquilino PulseTenantSettingsUpdate Administración ha actualizado una configuración de organización para Viva Pulse.

Windows 365 actividades de caja de seguridad del cliente

En la tabla siguiente se enumeran las actividades de usuario y administrador en Windows 365 Caja de seguridad del cliente que se registran en el registro de auditoría. Para devolver Windows 365 actividades relacionadas con la caja de seguridad del cliente del registro de auditoría, seleccione Windows365CustomerLockbox en Tipos de registro. Use los cuadros de intervalo de fecha y la listaUsuarios para restringir los resultados de la búsqueda.

Nombre descriptivo Operación Descripción
Desencadenamiento de la corrección de dispositivos Desencadenamiento de la corrección de dispositivos Desencadene la corrección del dispositivo.
Carga de la carpeta en el blob Carga de la carpeta en el blob Comprima y cargue la carpeta del dispositivo del cliente en el blob.
Comprobación de la directiva de ejecución de PowerShell Comprobación de la directiva de ejecución de PowerShell Compruebe la directiva de ejecución de PowerShell.
Instalación del agente de Escritorio remoto Instalación del agente de Escritorio remoto Instale el agente de Escritorio remoto en el dispositivo del usuario.
Ejecución de la extensión AADJ híbrida Ejecución de la extensión AADJ híbrida Ejecute la extensión AADJ híbrida en el dispositivo del usuario.
Creación de una solicitud vmExtension Creación de una solicitud vmextention Crea solicitudes de extensión de máquina virtual para ejecutar la extensión de máquina virtual con el fin de ejecutar scripts personalizados en el dispositivo cliente.
Orquestador del desencadenador Orquestador del desencadenador Orquestador de desencadenadores para el usuario.
Desencadenamiento de una acción genérica por SaaF Desencadenamiento de una acción genérica por SaaF Desencadenar la acción del dispositivo (Redestinación, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para el usuario.
Desencadenar acción genérica Desencadenar acción genérica Desencadenar la acción del dispositivo para el usuario.
Desencadenamiento de una acción genérica con opciones Desencadenamiento de una acción genérica con opciones Desencadene la acción del dispositivo con parámetros de opción, más eficaces que la acción genérica del desencadenador.
Creación de nuevos elementos de trabajo (Scheduler) Creación de nuevos elementos de trabajo (Scheduler) Cree nuevos elementos de trabajo, por ejemplo, Aprovisionar, Desaprovisionar, Reprovisionar, etc.
Operación posterior a la acción remota Operación posterior a la acción remota Después de la acción remota, además de sondear el resultado de la operación GetActions.
Comandos de ejecución de OCE en la máquina virtual Comandos de ejecución de OCE en la máquina virtual Ejecute comandos por tenantID, lista deviceID y script.
Creación de una solicitud de LogCollection Creación de una solicitud de LogCollection Cree una solicitud de recopilación de registros en el equipo en la nube.
Desencadene la comprobación controlada del agente CMD. Desencadene la comprobación controlada del agente CMD. Desencadene la comprobación controlada del agente CMD en un dispositivo específico.
Ejecución de AppHealthPlugin Ejecución de AppHealthPlugin Ejecute AppHealthPlugin.
Reposición del agente CMD Operación AddDevicesToBackfill Reposición del agente CMD en el equipo en la nube.
Reinstalación del agente CMD Operación AddDevicesToReinstall Vuelva a instalar el agente CMD a petición.
Reinstalación masiva del agente CMD TriggerClientAgentCheckBulkAction (operación) Reinstale de forma masiva el agente CMD a petición.
Creación de una operación de acción remota en ActionModeratorService Creación de una operación de acción remota en ActionModeratorService Cree una acción remota mediante tenantID, workspaceID, actionType, actionParameters.