Eventos de registro de dispositivos

Consultar las actividades realizadas en los dispositivos de una organización

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes hacer búsquedas y tomar medidas con respecto a problemas de seguridad relacionados con los eventos de registro de dispositivos. Tienes la opción de consultar un registro de las acciones que se han realizado en los ordenadores, dispositivos móviles y dispositivos domésticos inteligentes que se utilizan para acceder a los datos de tu organización. De esta forma puedes saber, por ejemplo, cuándo un usuario ha añadido su cuenta a un dispositivo o si la contraseña de un dispositivo no cumple tu política de contraseñas. También puedes crear alertas para recibir notificaciones cuando tenga lugar una actividad determinada.

Antes de empezar

En la auditoría solo se registran los eventos de los dispositivos móviles que están incluidos en la gestión avanzada de dispositivos.
Para ver los cambios en las aplicaciones de dispositivos Android, debes activar la auditoría de aplicaciones.
No se pueden ver las acciones de los dispositivos que sincronizan datos corporativos mediante Google Sync.
Si pasas a una edición inferior que no admita el registro de auditoría, ya no se recopilarán datos de los eventos nuevos, aunque los administradores podrán seguir consultando los datos antiguos.

Buscar eventos de registro

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Herramienta de auditoría y de investigación

Herramienta de investigación de seguridad

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.

Inicia sesión con una cuenta de administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
Ve a Menú Seguridad > Centro de Seguridad > Herramienta de investigación.
Se necesita el privilegio de administrador Centro de Seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de dispositivos.
Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
Haz clic en Atributoselecciona una opción.
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
Selecciona un operador.
Introduce un valor o selecciona uno en la lista desplegable.
(Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
(Opcional) Para guardar la investigación, haz clic en Guardarintroduce un título y una descripciónhaz clic en Guardar.

Nota:

En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo	Descripción
Estado de la cuenta	Si la cuenta está o no está registrada
Nombre del grupo actor	El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos: Selecciona Nombre del grupo del actor. Haz clic en Grupos de filtrado. Se mostrará la página Grupos de filtrado. Haz clic en Añadir grupos. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo. (Opcional) Para añadir otro grupo, búscalo y selecciónalo. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir. (Opcional) Para quitar un grupo, haz clic en Quitar grupo . Haz clic en Guardar.
Unidad organizativa del actor	Unidad organizativa del actor
ID de aplicación	Identificador de la aplicación
Hash SHA-256 de aplicación	En los eventos relacionados con una aplicación, el hash SHA-256 del paquete de esa aplicación (solo en Android)
Estado de la aplicación	Si la aplicación está instalada, desinstalada o actualizada
Fecha	Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
Estado de cumplimiento del dispositivo	Si el dispositivo cumple o no con las políticas de tu organización. Se considera que un dispositivo no respeta las políticas si se dan estos casos: Infringe ajustes de contraseña o políticas de cifrado aplicados. No tiene instalada la versión más reciente de la aplicación Device Policy. No cumple los ajustes de seguridad. No tiene un perfil de trabajo, aunque debería tenerlo. No tiene asignada la propiedad, cuando debería tenerla. Está bloqueado por un administrador. Ya no sincroniza datos porque un administrador ha inhabilitado su sincronización. Ejemplo: El Nexus 6P del usuario no cumple las políticas establecidas porque el dispositivo no respeta la política de contraseñas.
Estado de seguridad del dispositivo	Si el dispositivo está en riesgo. Se considera que la seguridad de los dispositivos rooteados o con jailbreak se ha vulnerado, debido a que estos procesos quitan sus restricciones. Estos dispositivos pueden suponer una amenaza. El sistema registra una entrada cada vez que la seguridad de un dispositivo se vulnera o deja de vulnerarse. Ejemplo: Se ha vulnerado la seguridad del Nexus 5 del usuario.
ID de dispositivo	Identificador del dispositivo en el que se ha producido el evento.
Modelo del dispositivo	El modelo del dispositivo
Propietario del dispositivo	El propietario del dispositivo
Propiedad del dispositivo	Si la propiedad de un dispositivo ha cambiado. Por ejemplo, si un dispositivo personal pasó a ser propiedad de una empresa después de que se importaran sus datos a la consola de administración. El registro se produce inmediatamente después de que un dispositivo propiedad de una empresa se haya añadido a la consola de administración. Si se elimina de la consola de administración, se produce en la próxima sincronización, después de que se vuelva a registrar para gestionarse. Ejemplo: El dispositivo Nexus 5 de un usuario es ahora propiedad de la empresa y el nuevo ID del dispositivo es abcd1234.
Propiedad del dispositivo	Información sobre el dispositivo; por ejemplo, Modelo de dispositivo, Número de serie o Dirección MAC Wi‐Fi
Ajuste del dispositivo	El usuario ha cambiado en su dispositivo los ajustes Opciones para desarrolladores, Fuentes desconocidas, Depuración por USB o Verificar aplicaciones. Este evento se registra cuando se sincroniza el dispositivo. Ejemplo: El usuario ha cambiado Verificar aplicaciones de activado a desactivado en el Nexus 6p.
Tipo de dispositivo	Tipo de dispositivo en el que se ha producido el evento; por ejemplo, Android o iOS de Apple.
Dominio*	El dominio en el que se ha producido la acción
Evento	La acción del evento registrado; por ejemplo, Actualización del SO del dispositivo o Evento de sincronización del dispositivo
Intentos de contraseña fallidos*	La cantidad de intentos fallidos de un usuario al desbloquear un dispositivo. Solo se registra un evento si se producen más de cinco intentos fallidos al desbloquear el dispositivo de un usuario. Ejemplo: 5 intentos fallidos de desbloquear el Nexus 7 de un usuario.
ID de proveedor de iOS	Identificador del proveedor de iOS
Nuevo ID de dispositivo	Identificador del nuevo dispositivo
Propiedad del SO	Información sobre el sistema operativo; por ejemplo, Número de compilación, Versión del sistema operativo o Parche de seguridad
Privilegio de registro	El rol del usuario en un dispositivo; por ejemplo, Propietario del dispositivo o Administrador del dispositivo.
ID de recurso	Identificador único del dispositivo
Número de serie	El número de serie del dispositivo. Sigue estos pasos para ver el número de serie de los ordenadores: Instala la extensión de verificación de endpoints. Consulta más información en el apartado Paso 2: Instalar la extensión de verificación de endpoints. Registra dispositivos ChromeOS en tu organización. Consulta más información en el artículo Registrar dispositivos ChromeOS.
Correo del usuario	Dirección de correo del usuario del dispositivo.

* No puedes crear reglas de informes con estos filtros. Más información sobre las diferencias entre las reglas de informes y las reglas de actividad

Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.