Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
El Centro de administración de Microsoft Teams está reemplazando gradualmente el centro de administración de Skype Empresarial y vamos a migrar la configuración de Teams a ella desde el Centro de administración de Microsoft 365. Si se ha migrado una configuración, verá una notificación y, a continuación, se le dirigirá a la ubicación de la configuración en el Centro de administración de Teams. Para obtener más información, consulte Administración de Teams durante la transición al Centro de administración de Teams.
El registro de auditoría le ayuda a investigar actividades específicas en los servicios de Microsoft. Para Microsoft Teams, el registro de auditoría realiza un seguimiento de actividades como:
- Creación de equipos
- Eliminación de equipos
- Canal agregado
- Canal eliminado
- Configuración de canal cambiada
Para obtener una lista completa de las actividades de Teams auditadas, consulte Actividades de Teams en el registro de auditoría.
Nota:
Los eventos de auditoría de canales privados también se registran tal y como están para los equipos y los canales estándar.
Activar la auditoría en Teams
Para poder ver los datos de auditoría, debe activar la auditoría en el portal de Microsoft Purview. Para obtener más información, vea Activar o desactivar la auditoría.
Importante
Los datos de auditoría solo están disponibles desde el punto en el que se activa la auditoría.
Recuperación de datos de Teams desde el registro de auditoría
Para recuperar los registros de auditoría de las actividades de Teams, use el portal de Microsoft Purview. Para obtener instrucciones paso a paso, consulte Búsqueda en el registro de auditoría.
Importante
Los datos de auditoría solo están visibles en el registro de auditoría si la auditoría está activada.
El período de tiempo que se conserva un registro de auditoría y se puede buscar en el registro de auditoría depende de su suscripción de Microsoft 365 o Office 365 y, en concreto, del tipo de licencia asignada a los usuarios. Para obtener más información, consulte la descripción del servicio Security & Compliance Center.
Sugerencias para buscar el registro de auditoría
Estas son sugerencias para buscar actividades de Teams en el registro de auditoría.
Seleccione actividades específicas para buscar haciendo clic en la casilla situada junto a una o varias actividades. Para cancelar la selección, seleccione la actividad. Use el cuadro de búsqueda para mostrar las actividades que contienen la palabra clave que escriba.
Seleccione Mostrar resultados para todas las actividades de la lista Actividades para mostrar los eventos de las actividades que se ejecutan mediante cmdlets. Si conoce el nombre de la operación para estas actividades, escriba en el cuadro de búsqueda para mostrar la actividad y, a continuación, selecciónela.
Seleccione Borrar todo para borrar los criterios de búsqueda actuales. El intervalo de fecha vuelve al predeterminado de los últimos siete días.
Si 5 000 resultados son encontrados, puede suponer que probablemente existen más de 5,000 eventos que cumplen los criterios de búsqueda. Refine los criterios de búsqueda y vuelva a ejecutar la búsqueda para devolver menos resultados o exporte todos los resultados de la búsqueda seleccionando Exportar>Descargar todos los resultados. Para obtener instrucciones paso a paso para exportar registros de auditoría, consulte Búsqueda en el registro de auditoría.
Para usar la búsqueda de registros de audio, consulte este vídeo. Únase a Ansuman Acharya, un administrador de programas de Teams, ya que muestra cómo realizar una búsqueda de registros de auditoría para Teams.
Actividades de Teams
Para obtener una lista de todos los eventos registrados para las actividades de usuario y administrador en Teams en el registro de auditoría de Microsoft 365, consulte:
- Actividades de Teams en el registro de auditoría
- Desplaza la aplicación en las actividades de Teams en el registro de auditoría
- Novedades aplicación en las actividades de Teams en el registro de auditoría
API de Actividad de administración de Office 365
Puede usar la API de actividad de administración de Office 365 para obtener información sobre los eventos de Teams. Para obtener más información sobre el esquema de la API de actividad de administración para Teams, consulte Esquema de Teams.
Atribución en los registros de auditoría de Teams
Al cambiar la pertenencia a Teams (por ejemplo, agregar o eliminar usuarios) a través de Microsoft Entra ID, portal de administración de Microsoft 365 o Grupos de Microsoft 365 Graph API, los mensajes de auditoría de Teams y el canal General muestran un propietario existente del equipo como iniciador, no el iniciador real de la acción. En estos escenarios, compruebe los registros de auditoría de Microsoft Entra ID o grupo de Microsoft 365 para ver la información pertinente.
Uso de Defender for Cloud Apps para establecer directivas de actividad
Mediante Microsoft Defender for Cloud Apps integración, puede establecer directivas de actividad para aplicar una amplia gama de procesos automatizados mediante las API del proveedor de aplicaciones. Con estas directivas, puede supervisar actividades específicas realizadas por varios usuarios o seguir tasas inesperadamente altas de un determinado tipo de actividad.
Después de establecer una directiva de detección de actividad, comienza a generar alertas. Las alertas solo se producen para las actividades que se producen después de crear la directiva. Estos son algunos escenarios de ejemplo para cómo puede usar directivas de actividad en Defender for Cloud Apps para supervisar las actividades de Teams.
Escenario de usuario externo
Desde una perspectiva empresarial, es posible que quiera mantener un ojo sobre la adición de usuarios externos a su entorno de Teams. Si habilita usuarios externos, la supervisión de su presencia es una buena idea. Puede usar Defender for Cloud Apps para identificar posibles amenazas.
La captura de pantalla de esta directiva para supervisar la adición de usuarios externos muestra cómo asignar un nombre a la directiva, establecer la gravedad según sus necesidades empresariales, establecerla como (en este caso) una sola actividad y, a continuación, establecer los parámetros que supervisan específicamente solo la adición de usuarios no interales y limitan esta actividad a Teams.
Puede ver los resultados de esta directiva en el registro de actividad:
Aquí puede revisar las coincidencias con la directiva que establezca, realizar los ajustes que sea necesario o exportar los resultados para usarlos en otro lugar.
Escenario de eliminación masiva
Como se mencionó anteriormente, puede supervisar escenarios de eliminación. Puede crear una directiva que supervise la eliminación masiva de sitios de Teams. En este ejemplo, configurará una directiva basada en alertas para detectar la eliminación masiva de equipos en un plazo de 30 minutos.
Como se muestra en la captura de pantalla, puede establecer muchos parámetros diferentes para esta directiva para supervisar las eliminaciones de Teams, incluida la gravedad, la acción única o repetida y los parámetros que lo limitan a Teams y a la eliminación del sitio. Puede establecer estos parámetros independientemente de una plantilla o puede usar una plantilla, en función de sus necesidades organizativas.
Después de crear una directiva que funcione para su empresa, puede revisar los resultados en el registro de actividad a medida que se desencadenan los eventos:
Puede filtrar por la directiva establecida para ver los resultados. Si los resultados que obtiene en el registro de actividad no son satisfactorios (tal vez vea muchos resultados o nada en absoluto), puede ajustar la consulta para que sea más relevante para lo que necesita.
Escenario de alertas y gobernanza
Puede establecer alertas y enviar correos electrónicos a administradores y otros usuarios cuando se desencadene una directiva de actividad. Puede establecer acciones de gobernanza automatizadas, como suspender a un usuario o exigir a un usuario que vuelva a iniciar sesión. En este ejemplo se muestra cómo se puede suspender una cuenta de usuario cuando se desencadena una directiva de actividad y determina que un usuario eliminó dos o más equipos en 30 minutos.
Uso de Defender for Cloud Apps para establecer directivas de detección de anomalías
Las directivas de detección de anomalías de Defender for Cloud Apps proporcionan análisis de comportamiento de usuario y entidad (UEBA) y aprendizaje automático (ML) de forma que pueda ejecutar inmediatamente la detección avanzada de amenazas en el entorno de nube. Dado que se habilitan automáticamente, las nuevas directivas de detección de anomalías proporcionan resultados inmediatos al proporcionar detecciones inmediatas, lo que tiene como destino numerosas anomalías de comportamiento entre los usuarios y las máquinas y dispositivos conectados a la red. Además, las nuevas directivas exponen más datos del motor de detección de Defender for Cloud Apps para ayudarle a acelerar el proceso de investigación y contener amenazas en curso.
Estamos trabajando para integrar eventos de Teams en directivas de detección de anomalías. Por ahora, puede configurar directivas de detección de anomalías para otros productos de Office y realizar acciones en los usuarios que coincidan con esas directivas.