Auditar la eliminación de un equipo en Microsoft Teams

En mi trabajo actual estoy casi todos los días viendo algo en los alrededores de Microsoft Teams y como ahora es una de las plataformas más utilizadas en educación, empiezan a surgir nuevas necesidades como el hecho de poder saber quién realizar ciertas operaciones en la organización, por ejemplo, borrar un equipo accidental o con intención.

Como, de hecho, no sabía la forma, decidí investigar un poco y escribirlo mientras lo aprendía para:

  1. Entender el proceso
    2. Documentarlo para que fuese más sencillo de compartir
    3. Generar un poco de contenido en el blog

Cabe decir que me estoy basando en algunos documentos sobre búsqueda en registro de eventos y activación.

Dependiendo de la licencia asignada al usuario, la actividad recolectada puede permanecer entre 90 días y 1 año.

Asignar el rol de Compliance Management en Exchange Online

Antes de poder activar el registro de eventos, a menos de que usemos el usuario que es administrador global, vamos a necesitar asignar el rol de Compliance Management (o el de Organization Management) a un usuario encargado de auditar. Es importante precisar que, en realidad, el único rol necesario es el de Audit Logs, pero ya está incluido en el grupo de Compliance Management (o de Organization Management).

Desde la consola de administración de Office 365 (admin.microsoft.com), utilizando un usuario con privilegios de Administrador global, hacemos clic en el botón de Exchange del panel izquierdo, debajo de Admin centers:

image

En el portal de Exchange admin center, clic en la página de permissions del panel izquierdo:

image

En el panel central, debajo de admin roles, doble clic en Compliance Management para editarlo:

image

En la ventana de Compliance Management, bajamos hasta Members y ahí hacemos clic en el botón del más (+) para agregar un nuevo miembro:

image

En la ventana de Select Members, buscamos el usuario al que le asignaremos el rol, lo seleccionamos, clic en el botón add –> y en OK:

image

Una vez agregado el miembro, hacemos clic en el botón de Save para cerrar:

image

Ya tenemos nuestro usuario listo para poder activar o desactivar la auditoría en la organización.

Activar los registros de auditoría

Iniciamos sesión con el usuario que tiene el rol de Compliance Management en el portal de Security & Compliance Center:

image

Expandimos el panel izquierdo de Search y clic en Audit log search:

image

En el panel central, debajo de Audit log search, hacemos clic en el botón de Turn on auditing para habilitar el registro:

image

En el mensaje adicional de Security & Compliance, clic en el botón Yes para aceptar los cambios:

image

image

Puede tardar unos minutos antes de que aparezca el segundo mensaje. Antes de eso, probablemente salga un mensaje de error diciendo que debe intentar más tarde.

Después de esto, la página de Audit log search nos indicará que debemos esperar algunas horas antes de que los resultados empiecen a retornar:

image

Caso de uso: auditar la eliminación de un equipo en Teams

Aunque hay una cantidad considerable de actividades recolectadas en Teams específicamente, voy a concentrarme en la que más suelen interesarse ahora en las universidades: eliminación de equipos.

Normalmente, para eliminar un equipo debemos hacer clic en los puntos suspensivos al lado derecho del nombre () y luego en Eliminar el equipo:

image

La segunda fase de esto es un mensaje en el que debemos indicar que somos conscientes de su eliminación:

image

Cuesta creer que alguien no se dé cuenta de lo que está haciendo luego de estos pasos, pero podría darse el caso en el que creen que están haciendo otra operación.

Auditando

Antes de iniciar la auditoría, debemos tener en cuenta que:

  1. Se demora 24 horas en estar completamente activa, aunque traerá registros de las primeras horas del siguiente día después de activarse

  2. La búsqueda debe de hacerse indicando el día siguiente a la activación pero, obviamente, antes de la fecha final

Para auditar la eliminación de equipos:

  1. Con la cuenta que tiene los privilegios de Audit logs, es decir, la que pertenece al grupo de Compliance Management u Organization Management, navegamos al sitio de Security & Compliance

  2. Hacemos clic en el botón de Search –> Audit log search:

image

  1. En Activities, buscamos Deleted team, luego escogemos la fecha inicial de búsqueda, después la fecha final y hacemos clic en el botón de Search:

image

  1. Podremos ver el detalle general de los usuarios que eliminaron equipos en Teams en ese rango de fechas:

image

Si hacemos clic en la actividad, podremos ver muchos más detalles sobre el usuario, fechas, organización, etc.:

image

Lo siguiente puede ser simplemente restaurar el equipo eliminado y proceder a determinar la razón interna con el usuario sobre el porqué se eliminó.

Espero sea de utilidad.

—Checho