Uso de PowerShell para auditar informes en Exchange Online

Nota:

El Centro de administración de Exchange clásico está en desuso en la implementación en todo el mundo y la compatibilidad con la interfaz de usuario para la auditoría se interrumpirá en el nuevo centro de administración de Exchange. En su lugar, los administradores pueden usar los commandlets (cmdlets) de PowerShell mencionados en este artículo para cumplir sus requisitos de auditoría.

La prevención de pérdida de datos Exchange Online heredada en el Centro de administración de Exchange está en desuso.

Use el registro de auditoría para solucionar problemas de configuración mediante el seguimiento de los cambios específicos realizados por los administradores y para ayudarle a cumplir los requisitos normativos, de cumplimiento y de litigios. Exchange Online o Exchange Online Protection independiente (EOP) sin buzones de Exchange Online proporciona dos tipos de registro de auditoría:

  • Registro de auditoría de administración: registra cualquier acción, basada en un cmdlet de PowerShell Exchange Online o independiente Exchange Online Protection, realizado por un administrador. Estos registros pueden ayudarle a solucionar problemas de configuración o a identificar la causa de problemas relacionados con la seguridad o el cumplimiento. Las acciones realizadas por los administradores del centro de datos de Microsoft y los administradores delegados también se registran en Exchange Online.

  • Registro de auditoría de buzones de correo (solo Exchange Online): registra cuándo un administrador, un usuario delegado o la persona propietaria del buzón accede a un buzón de correo. Esto puede ayudar a determinar quién ha tenido acceso a un buzón y lo que ha hecho.

Exportación de registros de auditoría

Las funcionalidades de auditoría completas se descontinuarán en el nuevo Centro de administración de Exchange, pero todavía puede exportar el registro de administración y el registro de auditoría del buzón mediante los cmdlets de PowerShell.

Nota:

El registro de auditoría de buzones no está disponible en EOP independiente. La exportación del registro de administración desde el EAC no está disponible en EOP independiente, pero está disponible en PowerShell mediante el cmdlet New-AdminAuditLogSearch . Para obtener instrucciones, consulte Uso de PowerShell para buscar entradas de registro de auditoría y enviar resultados a un destinatario.

  • Exportar registro de auditoría de administración: cualquier acción realizada por un administrador basada en una Exchange Online PowerShell o un cmdlet independiente de PowerShell Exchange Online Protection que no comience con los verbos Get, Search o Test se registra en el registro de administración. Las entradas del registro de auditoría incluyen el cmdlet que se ejecutó, el parámetro y los valores utilizados con el cmdlet, así como el momento en el que la operación se realizó correctamente. Puede exportar registros de cambios de configuración en la organización desde registros de administración. Las entradas de registro se guardan en un archivo XML y el archivo se envía como datos adjuntos a los usuarios especificados en un plazo de 24 horas por correo electrónico. Para obtener más información, consulte:

    Para exportar el registro de administración, ejecute el siguiente cmdlet:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
    
  • Exportar registros de auditoría de buzones de correo: cuando el registro de auditoría de buzones está habilitado para un buzón, Exchange Online almacena un registro de acciones realizadas en los datos de buzón por los no propietarios en el registro de auditoría de buzones, que se almacena en una carpeta oculta en el buzón que se audita. Las entradas de este registro indican quién ha accedido al buzón y cuándo se ha realizado la acción y si la acción se ha realizado correctamente. Puede exportar entradas de acceso que no sean de propietario desde registros de buzón de correo. Las entradas de registro se guardan en un archivo XML y se adjuntan a un mensaje de correo electrónico y se envían a los usuarios especificados en un plazo de 24 horas. Para obtener más información, vea Exportar registros de auditoría de buzones.

    Para exportar el registro de auditoría del buzón de correo, use el siguiente cmdlet:

    Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
    

Configuración de Outlook en la Web para permitir datos adjuntos XML

Al exportar el registro de auditoría del buzón o el registro de administración, el registro se adjunta como un archivo XML en un mensaje de correo electrónico. Sin embargo, Outlook en la Web (anteriormente conocido como Outlook Web App) bloquea los datos adjuntos de XML de forma predeterminada. Si desea usar Outlook en la Web para acceder a los registros de auditoría exportados, debe configurar Outlook en la Web para permitir los datos adjuntos XML.

En Exchange Online PowerShell o Exchange Online Protection PowerShell independiente, ejecute el siguiente comando para permitir datos adjuntos XML en Outlook en la Web:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-OwaMailboxPolicy.

Ejecución de informes de auditoría

Los administradores pueden administrar y supervisar de forma eficaz las actividades del sistema, y garantizar que se cumplan los estándares de cumplimiento y seguridad mediante cmdlets específicos. Estos cmdlets proporcionan el control y la visibilidad necesarios a los administradores, lo que les permite realizar un seguimiento y administrar de forma eficaz las acciones del usuario dentro del sistema.

  • Ejecutar un informe de acceso al buzón de correo que no sea propietario: use este informe para buscar en los registros administrativos los buzones abiertos por alguien que no sea el propietario del buzón. Para obtener más información, vea Ejecutar un informe de acceso de buzón de correo no propietario.

    Importante

    Debe habilitar la auditoría para cada buzón para el que quiera informar de la apertura no propietaria. Al ejecutar el informe, no podrá ver los resultados de los buzones que no tienen habilitado el registro.

    Use el siguiente cmdlet para ejecutar un informe de acceso de buzón de correo que no es de propietario:

    Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
    
  • Ejecutar un informe de grupo de roles de administrador: use este informe para buscar los cambios realizados en los grupos de roles en el registro de administración (los grupos de roles se usan para asignar permisos administrativos a los usuarios). Para obtener más información, vea Buscar en los cambios del grupo de roles.

    Use el siguiente cmdlet para ejecutar un informe de grupo de roles de administrador:

    Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
    
  • Ejecutar un informe de eDiscovery y retención local: use este informe para buscar en el registro de administración búsquedas de detección locales y cambios en la suspensión local. Para obtener más información, vea:

    Use el siguiente cmdlet para ejecutar un informe de eDiscovery y retención local:

    Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
    
  • Ejecutar un informe de suspensión de procedimientos interrumpido del buzón: use este informe para determinar si la suspensión de procedimientos está habilitada o no para el buzón de un usuario desde el registro de administración. Para obtener más información, vea Ejecutar un informe de suspensión de procedimientos interrumpido de buzón.

    Use el siguiente cmdlet para ejecutar un informe de suspensión de procedimientos interrumpido del buzón:

    Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
    
  • Ejecutar el informe de registro de administración: use este informe para ver las entradas en el registro de administración que muestra los cambios realizados por los administradores de la organización en la configuración. Para obtener más información, vea Ver el registro de administración.

    Use el siguiente cmdlet para ejecutar el informe de registro de administración:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
    
  • Ejecutar el informe de registro de administración externo: use este informe para ver las entradas del registro de administración que muestran los cambios que Microsoft o un administrador delegado han realizado en la configuración de Exchange Online servicios. Para obtener más información, vea Ver y exportar el registro de administración externo.

    Use el siguiente cmdlet para ejecutar el informe de registro de administración externo:

    Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
    

* Este informe está disponible en organizaciones EOP independientes.

Configuración del registro de auditoría de buzones de correo

Nota:

El registro de auditoría de buzones no está disponible en EOP independiente.

A partir de enero de 2019, el registro de auditoría del buzón de correo está habilitado de forma predeterminada para todas las organizaciones Exchange Online. Para más información, consulte Administrar auditoría del buzón..

Concesión de acceso a los usuarios a los informes de auditoría

De forma predeterminada, los administradores pueden acceder a cualquiera de los informes de auditoría y ejecutarlos mediante los cmdlets mencionados anteriormente. Sin embargo, otros usuarios, como el administrador de registros o el personal jurídico, deben tener asignados los permisos necesarios.

  • El rol Registros de auditoría permite a los usuarios ver la página Auditoría para ejecutar cualquiera de los informes disponibles, exportar el registro de auditoría del buzón y exportar y ver el registro de administración. De forma predeterminada, este rol se asigna a los grupos de roles Administración de la organización, Administración de cumplimiento y Administración de registros .
  • El rol Ver solo registros de auditoría permite al usuario ejecutar informes de auditoría, pero no exportar registros de auditoría. De forma predeterminada, este rol se asigna a los grupos de roles Administración de la organización y Administración de cumplimiento .

La manera más fácil de proporcionar a los usuarios acceso a los informes es agregarlos al grupo de roles Administración de registros , que tiene asignado el rol Registros de auditoría .

Uso del EAC para agregar usuarios al grupo de roles Administración de registros

  1. En la nueva página principal de EAC, seleccione Roles para expandir y, a continuación, haga clic en Administración Roles.

  2. En la lista de grupos de roles, haga clic en Administración de registros. Se abrirá el panel de detalles de Administración de registros .

  3. Haga clic en Asignado y, a continuación, haga clic en Agregaricono. Para agregar nuevos miembros.

  4. En el cuadro de diálogo Seleccionar miembros, seleccione el usuario. Para buscar un usuario, escriba todo o parte de un nombre para mostrar y, a continuación, haga clic en el icono Buscar búsqueda. También puede hacer clic en los encabezados de columna Nombre o Nombre para mostrar para ordenar la lista.

  5. Haga clic en Agregar icono y, a continuación, haga clic en Aceptar para volver a la página del grupo de roles.

  6. Haga clic en Guardar para guardar los cambios realizados en el grupo de roles.

Uso de PowerShell para agregar usuarios al grupo de roles Administración de registros

En Exchange Online PowerShell o Exchange Online Protection PowerShell independiente, reemplace Identity> por <el nombre, alias, dirección de correo electrónico o nombre de cuenta del usuario o grupo y, a continuación, ejecute el siguiente comando para asignar el rol Registros de auditoría al usuario:

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Add-RoleGroupMember.