Para comenzar este artículo, te compartiremos los puntos claves a considerar antes de ir a la guía de activación y desactivación de esta herramienta 🚀.
Puntos clave
La auditoría está activada por defecto en la mayoría de las organizaciones Microsoft 365, salvo en licencias SMB o tenants de prueba (allí debes activarla manualmente).
La auditoría registra actividad de usuarios y administradores, y los retiene por 180 días, sujeto a la licencia y políticas de retención.
Si desactivas la auditoría, se pierden los registros y no puedes acceder a ellos por PowerShell, API ni Sentinel.
Verificar el estado de la auditoría
Desde PowerShell de Exchange Online, ejecuta:
powershell
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Si el valor es True, la auditoría está activada.
Si es False, está desactivada.
Nota: Corre este comando en Exchange Online PowerShell, no en Security & Compliance, para información precisa.
Activar la auditoría
En el portal Microsoft Purview, realiza lo siguiente:
Accede al portal de Microsoft Purview.
Selecciona la tarjeta Audit (o “Auditoría”). Si no la ves, busca en “View all solutions” y allí dentro de “Core”.
Si la organización no tiene la auditoría activa, aparecerá una alerta (“Start recording user and admin activity”).
Haz clic en esa alerta para activarla.
Espera hasta 60 minutos para que surta efecto.
Usando PowerShell de Exchange Online, realiza lo siguiente:
Conéctate a Exchange Online PowerShell.
Ejecuta este comando:
powershell
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
* El cambio puede demorar hasta 60 minutos.
Desactivar la auditoría
Solo se puede realizar desde PowerShell de Exchange Online, aplicando los siguientes pasos:
Conéctate a Exchange Online PowerShell.
Ejecuta:
powershell
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Verifica el estado con el mismo comando de consulta del inicio.
Auditoría de los cambios en el estado de la auditoría
Cada vez que se activa o desactiva la auditoría, estos eventos quedan registrados. Puedes buscar estos eventos así:
powershell
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Verifica el valor
UnifiedAuditLogIngestionEnableden la propiedad AuditData para saber si fue activado o desactivado.
Permisos necesarios
Debes tener el rol Audit Logs en Exchange Online asignado, normalmente integrado en los grupos “Compliance Management” y “Organization Management”.
Consideraciones finales
Si apagas la auditoría, perderás acceso a los logs vía API, Sentinel, PowerShell, etcétera.
Cambios en licencias o políticas de retención pueden modificar los tiempos de expiración de logs.
La primera activación o cambio puede demorar hasta 1 hora en reflejarse.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.