Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В таблицах этой статьи описаны действия, записанные в журнале аудита Microsoft 365. Эти действия можно найти в журнале аудита на портале Microsoft Purview.
Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Если аудит не включен для вашей организации, появится баннер с предложением начать запись действий пользователей и администраторов. Инструкции см . в разделе Включение аудита.
В этих таблицах группируются связанные действия или действия определенной службы. Таблицы содержат понятное имя, которое отображается в раскрывающемся списке Действия (или доступно в PowerShell), а также имя соответствующей операции, которая отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска. Подробные сведения см. в разделе Подробные свойства журнала аудита.
Совет
Выберите одну из ссылок в списке В этой статье в верхней части этой статьи, чтобы перейти непосредственно к определенной таблице продуктов.
действия Agent 365
В следующей таблице перечислены Agent 365 действия, которые регистрируются при вызове агента или выполнении каких-либо действий или вызовов инструментов.
| Понятное имя | Операция | Описание |
|---|---|---|
| Исполняемый инструмент ИИ | AIExecuteTool | Агент выполнил вызов средства. |
| Вызванный агент ИИ | AIInvokeAgent | Агент ИИ вызывается пользователем, агентом или событием. |
| Вызов искусственного интеллекта | AIInferenceCall | Агент ИИ использовал модель ИИ для получения ответа или определения дальнейших действий. |
Действия, связанные с администрированием приложений
В следующей таблице перечислены действия администратора приложений, которые регистрируются при добавлении или изменении приложения, зарегистрированного в Microsoft Entra ID. Необходимо зарегистрировать любое приложение, которое использует Microsoft Entra ID для проверки подлинности в каталоге.
Примечание.
Имена операций, перечисленные в столбце Операция в следующей таблице, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлены учетные данные для субъекта-службы | Добавление учетных данных субъекта-службы. | Учетные данные были добавлены в субъект-службу в Microsoft Entra ID. Субъект-служба представляет приложение в каталоге. |
| Добавлена запись делегирования | Добавление записи делегирования. | Разрешение на проверку подлинности было создано или предоставлено приложению в Microsoft Entra ID. |
| Добавлен субъект-служба | Добавление субъекта-службы. | Приложение зарегистрировано в Microsoft Entra ID. Субъект-служба представляет приложение в каталоге. |
| Из каталога удален субъект-служба | Удаление субъекта-службы. | Приложение было удалено или отменено из Microsoft Entra ID. Субъект-служба представляет приложение в каталоге. |
| Учетные данные удалены из субъекта-службы | Удаление учетных данных субъекта-службы. | Учетные данные были удалены из субъекта-службы в Microsoft Entra ID. Субъект-служба представляет приложение в каталоге. |
| Удалена запись делегирования | Удаление записи делегирования. | Разрешение на проверку подлинности было удалено из приложения в Microsoft Entra ID. |
| Задана запись делегирования | Настройка записи делегирования. | Для приложения в Microsoft Entra ID обновлено разрешение на проверку подлинности. |
Действия с письмом сводки дел
В следующей таблице перечислены действия в сообщении электронной почты брифинга, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения о письме со сводкой дел см. в перечисленных ниже статьях.
| Понятное имя | Операция | Описание |
|---|---|---|
| Обновлены параметры конфиденциальности организации | UpdatedOrganizationBriefingSettings | Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел. |
| Обновлены параметры конфиденциальности пользователей | UpdatedUserBriefingSettings | Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел. |
Действия по обеспечению соответствия требованиям к обмену данными
В следующей таблице перечислены действия по обеспечению соответствия требованиям к обмену данными, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Сведения о Соответствие требованиям к обмену данными Microsoft Purview.
Примечание.
Эти действия можно увидеть при использовании командлета PowerShell Search-UnifiedAuditLog . Эти действия не отображаются в раскрывающемся списке Действия .
| Понятное имя | Операция | Описание |
|---|---|---|
| Соответствие политике | SupervisionRuleMatch | Пользователь отправил сообщение, соответствующее условию политики. |
| Обновление политики | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Администратор соответствия требованиям к обмену данными выполнил обновление политики. |
| Тег, применяемый к сообщениям | SupervisoryReviewTag | К сообщениям применены теги или сообщения разрешены. |
Действия диспетчера соответствия требованиям
В следующей таблице перечислены операции и действия, которые регистрируются в журнале аудита, когда администратор управляет параметрами в диспетчере соответствия требованиям. Дополнительные сведения см. в статье Сведения о диспетчере соответствия требованиям.
| Понятное имя | Операция | Описание |
|---|---|---|
| Изменение ролей | ComplianceManagerRolesChange | Администратор изменил роли для пользователей. |
| Изменение уровня автоматизации клиента | ComplianceManagerAutomationLevelChange | Администратор изменил уровень автоматизации для организации во всех действиях. |
| Тестирование изменений в службе автоматизации источника | ComplianceManagerAutomationChange | Администратор изменил параметры автоматизации источника тестирования. |
Действия, связанные с обозревателем содержимого
В следующей таблице перечислены действия в обозревателе содержимого, записанные в журнале аудита Microsoft 365. Вы обращаетесь к обозревателе содержимого с помощью средства классификации данных на портале Microsoft Purview. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данных
| Понятное имя | Операция | Описание |
|---|---|---|
| Получен доступ к элементу | LabelContentExplorerAccessedItem | Администратор (или пользователь, который является участником группы с ролью Читателя содержимого в обозревателе содержимого) использует обозреватель содержимого для просмотра сообщения электронной почты или документа SharePoint/OneDrive. |
действия Исследования по безопасности данных
Исследования по безопасности данных предоставляет мощные средства исследования, для которых может потребоваться возможность аудита действий для обеспечения безопасного и утвержденного использования решения. В соответствии с этими требованиями единый журнал аудита записывает Исследования по безопасности данных действия.
В следующей таблице перечислены Исследования по безопасности данных действия, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Сведения о Исследования по безопасности данных Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Пример представления отмененного DSI | DSISampleViewCancelled | Пользователь отменил представление примеров. |
| Отменено представление статистики DSI | DSIStatisticsViewCancelled | Пользователь отменил задание статистики. |
| Создано исследование DSI | CreatedDSIInvestigation | Пользователь создал исследование. |
| Удаленное исследование DSI | DeletedDSIInvestigation | Пользователь удалил расследование. |
| Предоставлена обратная связь по ИИ DSI | DSIAIFeedbackProvided | Пользователь предоставил отзыв об искусственном интеллекте. |
| Просмотр списка исследований DSI | DSIInvestigationListViewed | Пользователь просмотрил список исследований. |
| Добавлен поиск по DSI | DSIPurviewSearchAdded | Пользователь добавил поиск. |
| Обновлен поиск DSI | DSIPurviewSearchUpdated | Пользователь обновил поиск. |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | Пользователь просмотрил результаты обследования. |
| Получение исследования DSI | GetDSIInvestigation | Пользователь просмотрел исследование. |
| Получение поиска DSI | GetSearchDSIInvestigation | Пользователь просматривает поиск. |
| Исследование, созданное на основе Defender XDR | DSIInvestigationCreatedFromXDR | Пользователь создал исследование из Defender XDR. |
| Исследование, созданное из Purview IRM | DSIInvestigationCreatedFromIRM | Пользователь создал исследование из Управление внутренними рисками Microsoft Purview. |
| Элемент, добавленный для устранения рисков | DSIItemAddedToMitigation | Пользователь добавил элемент в план устранения рисков исследования. |
| Просмотр списка планов по устранению рисков | DSIMitigationPlanListVIewed | Пользователь просмотрил список планов по устранению рисков. |
| Начатое задание классификации | DSIInvestigationCategorizationJobSubmitted | Пользователь запустил задание классификации. |
| Начато задание проверки | DSIProbeJobSubmitted | Пользователь начал задание проверки. |
| Запущено задание векторизации | DSIinvestigationVectorizationJobSubmitted | Пользователь указал задание векторизации. |
| Добавление отправленного поиска DSI к заданию набора доказательств | DSIPurviewSearchAddToEvidenceSetJobSubmitted | Пользователь добавил поисковые данные в область исследования. |
| Отправленный пример задания поиска DSI | DSIPurviewSearchSampleJobSubmitted | Пользователь запустил задание примеров. |
| Отправлено задание статистики поиска DSI | DSIPurviewSearchStatisticsJobSubmitted | Пользователь запустил задание статистики. |
| Обновлено исследование DSI | UpdatedDSIInvestigation | Пользователь обновил исследование. |
| Обновленные члены исследования DSI | DSIInvestigationMembersUpdated | Пользователь обновил члены исследования. |
| Обновлено состояние элемента из плана устранения рисков | DSIMitigationItemStatusUpdated | Пользователь обновил состояние элемента в плане устранения рисков, проведенного исследованием. |
| Загруженный файл для поиска DSI | DSIPurviewSearchUploadFile | Пользователь загрузил файл для поиска. |
| Поиск векторов запущен | DSIVectorSearchStarted | Пользователь выполнил векторный поиск. |
| Просмотр ошибок обработки данных для набора доказательств DSI | DSIInvestigationSettingsUpdated | Пользователь обновил параметры исследования. |
| Просмотр параметров исследования DSI по умолчанию | DSIInvestigationSettingsDefaultViewed | Пользователь просмотрил параметры исследования. |
| Просмотр документа набора доказательств DSI | DSIEvidenceSetDocumentViewed | Пользователь просматривал документ в ходе исследования. |
| Просмотр параметров исследования DSI | DSIInvestigationSettingsViewed | Пользователь просмотрил параметры исследования. |
| Просмотр примеров результатов DSI | DSISampleResultsViewed | Пользователь просмотрил пример результатов. |
| Просмотр состояния примера DSI | DSISampleStatusViewed | Пользователь просмотрил состояние задания примеров. |
| Просмотр результатов статистики DSI | DSIStatisticsResultsViewed | Пользователь просмотрил статистику поиска. |
| Просматриваемый элемент из плана устранения рисков | DSIItemViewedFromMitigation | Пользователь просмотрел элемент из плана устранения рисков исследования. |
Действия, связанные с администрированием каталогов
В следующей таблице перечислены действия, связанные с каталогом и доменом Microsoft Entra, которые регистрируются, когда администратор управляет своей организацией в Центр администрирования Microsoft 365 или на портале управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция в следующей таблице, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").
| Понятное имя | Операция | Описание |
|---|---|---|
| В каталог добавлен партнер | Добавление партнера компании. | Добавил партнера (делегированного администратора) в вашу организацию. |
| В компанию добавлен домен | Добавление домена в компанию. | Добавлен домен в вашу организацию. |
| Партнер удален из каталога | Удаление партнера из компании. | Удален партнер (делегированный администратор) из вашей организации. |
| Домен удален из компании | Удаление домена из компании. | Удален домен из вашей организации. |
| Настройка сведений о компании | Настройка сведений о компании. | Обновлена информация о компании для вашей организации. Включает адреса электронной почты, связанные с подпиской, отправляемые Microsoft 365, и технические уведомления о службах Microsoft 365. |
| Установка проверки подлинности домена | Установка проверки подлинности домена. | Изменены настройки проверки подлинности домена для вашей организации. |
| Настройка политики паролей | Настройка политики паролей. | Изменены ограничения длины и символов для пользовательских паролей в вашей организации. |
| Включена Azure AD Sync | Настройка флага DirSyncEnabled для компании. | Настроено свойство, включающее синхронизацию Azure AD для каталога. |
| Обновлен домен | Обновление домена. | Обновлены настройки домена в вашей организации. |
| Обновлены параметры федерации для домена | Настройка параметров федерации для домена. | Изменены параметры федерации (внешнего обмена) для вашей организации. |
| Проверен домен | Проверка домена. | Проверено, что ваша организация является владельцем домена. |
| Проверены почта и домен | Проверка домена, проверенного по электронной почте. | Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена. |
Действия по проверке перед ликвидацией
В следующей таблице перечислены действия, которые рецензент ликвидации выполнял , когда элемент достиг окончания настроенного срока хранения или элемент был автоматически перемещен на следующий этап ликвидации или окончательно удален в результате автоматического утверждения.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавленные проверяющие | AddReviewer | Проверяющий ликвидации добавил одного или несколько других пользователей в текущую стадию проверки перед ликвидацией. |
| Одобренная ликвидация | ApproveDisposal | Для утверждения вручную. Рецензент ликвидации утвердил ликвидацию элемента, чтобы переместить его на следующий этап ликвидации. Если элемент находился в единственной или последней стадии проверки перед ликвидацией, утверждение ликвидации помечает элемент как подходящий для окончательного удаления. Для автоматического утверждения: в течение настроенного периода времени автоматического утверждения не было выполнено никаких действий вручную, поэтому элемент автоматически переместился на следующий этап ликвидации. Если элемент находился на единственном или заключительном этапе проверки ликвидации, он автоматически становился право на окончательное удаление. |
| Продленный период хранения | ExtendRetention | Проверяющий ликвидации продлил период хранения элемента. |
| Элемент с переназначенной меткой | RelabelItem | Проверяющий ликвидации переназначил метку хранения. |
Действия, связанные с обнаружением электронных данных
Журнал аудита записывает действия обнаружения электронных данных, выполняемые на портале Microsoft Purview. Он регистрирует события, когда администраторы или менеджеры по обнаружению электронных данных (или любые назначенные пользователем разрешения на обнаружение электронных данных) выполняют следующие задачи на портале Microsoft Purview:
- Создание случаев обнаружения электронных данных и управление ими.
- Создание и изменение случаев обнаружения электронных данных поиска.
- Выполнение действий поиска, таких как создание статистики, выборка и экспорт из поиска.
- Создание, редактирование и удаление случаев обнаружения электронных данных.
- Создание наборов проверки и выполнение действий проверки в случаях обнаружения электронных данных.
Дополнительные сведения о поиске в журнале аудита, необходимых разрешениях и экспорте результатов поиска см. в разделе Поиск в журнале аудита.
Поиск и просмотр действий обнаружения электронных данных
Журнал аудита записывает действия обнаружения электронных данных, выполняемые на портале Microsoft Purview или в PowerShell. Сведения о поиске действий обнаружения электронных данных см. в статье Поиск действий обнаружения электронных данных в журнале аудита.
Действия, связанные с обнаружением электронных данных
В следующей таблице описаны действия обнаружения электронных данных, которые регистрируются, когда администратор или менеджер по обнаружению электронных данных выполняет действия, связанные с обнаружением электронных данных, с помощью портала Microsoft Purview. Некоторые действия, выполненные в классическом пользовательском интерфейсе обнаружения электронных данных, могут возвращаться при поиске действий в этом списке.
Примечание.
Мы реализовали поле IP-адреса клиента для всех действий, выполняемых в новом интерфейсе обнаружения электронных данных. Чтобы отличить действия, выполняемые в новом интерфейсе, от действий в классическом интерфейсе, проверка наличие поля IP-адреса клиента в записи аудита. (На следующем рисунке первая запись — это случай обнаружения электронных данных, удаленный в новом современном интерфейсе UX, а две другие записи без IP-адресов являются классическими ux).
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлено избранное | FavoriteSet | Пользователь присвоить варианту избранное. |
| Добавлен поиск Purview | PurviewSearchAdded | Создан новый поиск. Это действие аудита включает в себя имя дела, идентификатор дела и имя поиска, которое было создано. |
| Добавлен набор проверки | ReviewSetAdded | Пользователь создал набор для проверки. |
| Добавлен сохраненный поиск для набора отзывов | ReviewSetSavedSearchAdded | Пользователь создал сохраненные фильтры в наборе для проверки. Действие аудита включает имя набора проверки, имя сохраненных фильтров и используемый запрос. |
| Добавлен шаблон тега | TagTemplateAdded | Шаблон тега, созданный пользователем, в параметрах обнаружения электронных данных. |
| Отмененный пример представления | SampleViewCancelled | Пользователь отменил пример представления. Действие аудита включает имя, идентификатор, запрос и связанные параметры отмененного поиска. |
| Отмененное представление статистики | StatisticsViewCancelled | Пользователь отменил представление статистики. Действие аудита включает имя, идентификатор, запрос и связанные параметры отмененного поиска. |
| Изменен случай обнаружения электронных данных | CaseUpdated | Обновлено дело обнаружения электронных данных. |
| Изменена удержание в случае обнаружения электронных данных | HoldUpdated | Удержание было изменено или изменено. Это действие аудита включает в себя имя удержания, идентификатор, а также конкретные источники данных и значения запросов, которые были изменены. |
| Закрытое дело обнаружения электронных данных | CaseClosed | Дело обнаружения электронных данных было закрыто. |
| Скопированный набор для проверки | ReviewSetCopied | Пользователь активирует процесс "Добавить в другой набор проверки". |
| Созданный случай обнаружения электронных данных | CaseAdded | Добавлен новый случай обнаружения электронных данных. |
| Создано удержание в случае обнаружения электронных данных | HoldCreated | Создано новое удержание. Это действие аудита включает в себя имя дела, идентификатор дела и имя удержания, которое было создано. |
| Удаленный случай обнаружения электронных данных | Удаление регистра | Удален случай обнаружения электронных данных. Перед удалением дела необходимо удалить все удержания, связанные с делом. |
| Удаленный файл для поиска Purview | PurviewSearchDeleteFile | Пользователь удалил файл из поиска. Это действие аудита включает имя дела, идентификатор дела, имя поиска, идентификатор поиска и идентификатор файла, удаленного пользователем. |
| Удалено удержание в случае обнаружения электронных данных | Удержание | Удержание, связанное с делом обнаружения электронных данных, удалено. Удаление удержания освобождает все расположения содержимого из удержания. |
| Удаленный поиск Purview | PurviewSearchDeleted | Поиск был удален. Это действие включает в себя имя удаленного случая, идентификатор дела и имя поиска. |
| Удалено задание экспорта поиска Purview | PurviewSearchExportJobDeleted | Экспорт из поиска был удален. Это действие включает в себя имя удаленного экспорта, сведения о регистре, в который включен экспорт, пользователь и метка времени удаления. |
| Удалено избранное | Избранное Удалено | Пользователь удалил дело из избранного. |
| Удален сохраненный поиск набора для проверки | ReviewSetSavedSearchRemoved | Пользователь удалил сохраненные фильтры в наборе для проверки. |
| Удален шаблон тега | TagTemplateRemoved | Пользователь удалил шаблон тега в параметрах обнаружения электронных данных. Действие аудита включает имя и идентификатор объекта удаленного шаблона тега. |
| Повторное обнаружение электронных данных | CaseReopened | Дело об обнаружении электронных данных было вновь открыто. |
| Повторная синхронизация распределения для удержания | HoldRetryDistributionSync | Пользователь активировал политику повтора при удержании. |
| Полученные действия для всех наборов проверки | GetActionsForAllReviewSets | Пользователь просмотрил список действий, связанных со всеми наборами проверки в случае |
| Извлечены все действия для удержания | GetActionsForAllHolds | Пользователь просмотрил список действий, связанных со всеми удержаниями в деле. Действие аудита включает имя обращения, идентификатор, имя удержания, идентификатор и имя списка действий. |
| Извлечены все действия для поиска | GetActionsForSearch | Пользователь просмотрил список действий (например, экспортов), связанных с поиском. Действие аудита включает имя дела, идентификатор, имя поиска, идентификатор и имя списка действий. |
| Получены все действия для всех операций экспорта | GetActionsForAllExports | Пользователь просмотрил список экспортов в деле. Действие аудита включает имя случая, идентификатор, параметры регистра и список просматриваемых имен экспорта. |
| Извлечены все действия для обращения | GetActionsForCase | Пользователь просмотрил список действий (например, экспортов), связанных с делом обнаружения электронных данных. |
| Извлечены все действия для удержания | GetActionsForHold | Пользователь просмотрил список действий, связанных с удержанием. |
| Извлечены все действия для набора проверки | GetActionsForReviewSet | Пользователь просмотрил список действий (таких как экспорты), связанных с набором для проверки. Действие аудита включает имя дела, идентификатор, имя набора проверки, идентификатор и имя списка действий. |
| Получено одно действие для регистра | GetSingleActionForCase | Пользователь просмотрил одно действие, связанное с делом обнаружения электронных данных. Например, пользователь просматривал процесс экспорта в диспетчере процессов. Действие аудита включает имя дела, идентификатор и параметры, а также идентификатор, связанный с процессом. |
| Получено одно действие для удержания | GetSingleActionForHold | Пользователь просмотрил одно действие, связанное с удержанием. |
| Получено одно действие для набора проверки | GetSingleActionForReviewSet | Пользователь просмотрил одно действие, связанное с набором проверки. |
| Получено одно действие для поиска | GetSingleActionForSearch | Пользователь просмотрил одно действие, связанное с поиском. Например, пользователь просматривал процесс экспорта в диспетчере процессов поиска. Действие аудита включает имя дела, идентификатор и параметры, а также идентификатор, связанный с процессом. |
| Отправлено новое задание algo | AlgoJobSubmitted | Пользователь выполнил аналитику документов в наборе для проверки. |
| Отправлено новое задание записи | BurnJobSubmitted | Пользователь преобразует все документы с купюрами в наборе для проверки в PDF-файлы. |
| Отправлено добавление поиска purview для проверки задания набора | PurviewSearchAddToReviewSetJobSubmitted | Пользователь активировал процесс "добавить в набор проверки" из поиска. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов, которые были связаны с поиском. Он также включает в себя соответствующие добавления для проверки наборов параметров процесса. |
| Отправлено задание экспорта поиска purview | PurviewSearchExportJobSubmitted | Пользователь активировал процесс экспорта из поиска. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов, которые были связаны с поиском. Он также включает соответствующие параметры процесса экспорта и имя экспорта. |
| Отправленный пример задания поиска purview | PurviewSearchSampleJobSubmitted | Пользователь активировал процесс создания примера из поиска. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов, которые были связаны с поиском. Он также включает в себя соответствующие примеры используемых параметров процесса. |
| Отправлено задание статистики поиска purview | PurviewSearchStatisticsJobSubmitted | Пользователь активировал процесс создания статистики из поиска. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов, которые были связаны с поиском. Он также включает в себя соответствующие параметры процесса статистики, используемые. |
| Отправлено задание экспорта набора проверки | ReviewSetExportJobSubmitted | Экспортированные документы из набора для проверки. Это действие аудита включает имя набора проверки, список экспортируемых идентификаторов документов и соответствующие параметры процесса экспорта. |
| Помеченные по идентификатору документы для набора для проверки | ReviewSetDocumentsTaggedById | Пользователь применил теги к определенным документам в наборе для проверки. Действие аудита включает имя дела, имя набора проверки и список элементов, помеченных тегами. |
| Документы с тегами по запросу для набора проверки | ReviewSetDocumentsTaggedByQuery | Пользователь применил теги к определенным документам в наборе для проверки после фильтрации по запросу. Действие аудита включает имя дела, имя набора проверки и список элементов, помеченных тегами. |
| Обновленные члены обращения | CaseMembersUpdated | Обновлено членство в обращениях. Как участник дела пользователь может выполнять различные задачи, связанные с делом, в зависимости от того, назначены ли ему необходимые разрешения. |
| Обновленные параметры регистра | CaseSettingsUpdated | Пользователь изменил параметры дела. Параметры обращения включают сведения о случае, доступ к функциям premium, разрешения на обращение и параметры, управляющие поведением поиска и аналитики. |
| Обновленные заметки для набора для проверки | ReviewSetNotesUpdated | Заметка, обновленная пользователем для документа набора для проверки. |
| Обновлен поиск Purview | PurviewSearchUpdated | Поиск был изменен или изменен. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов, которые были изменены. |
| Обновленный набор для проверки | ReviewSetUpdated | Пользователь обновил набор проверки, например имя и описание набора проверки. |
| Обновлена заметка набора для проверки | ReviewSetAnnotationsUpdated | Пользователь добавил заметки к документу в наборе для проверки. Это действие аудита включает имя набора проверки и другие сведения, такие как идентификатор документа с заметками. |
| Обновлен сохраненный поиск для набора отзывов | ReviewSetSavedSearchUpdated | Сохраненные фильтры в наборе для проверки изменены пользователем. Действие аудита включает имя набора проверки, имя сохраненных фильтров и используемый запрос. |
| Обновленный шаблон тега | TagTemplateUpdated | Пользователь обновил шаблон тега в параметрах обнаружения электронных данных. Действие аудита включает имя и идентификатор объекта обновленного шаблона тега. |
| Обновленные теги | ТегиОбобщено | Пользователь обновил теги набора для проверки в случае. |
| Обновленные теги для шаблона тегов | TagTemplateTagsUpdated | Обновленные пользователем теги для шаблона тега. Действие аудита включает имя и идентификатор обновленных тегов шаблона тега. |
| Обновлены параметры клиента | TenantSettingsUpdated | Пользователь обновил параметры организации обнаружения электронных данных. |
| Отправленный файл для поиска Purview | PurviewSearchUploadFile | Пользователь загрузил файл для поиска по файлу. Это действие аудита включает имя дела, идентификатор дела, имя поиска, идентификатор поиска и имя файла, отправленного пользователем. |
| Просмотр отчета о вложениях набора аналитических сведений | AlgoGetReviewSetAttachmentsReport | Пользователь просматривал отчет о вложении аналитики. Это действие аудита включает имя и идентификатор набора для обращения и проверки. |
| Просмотр отчета о документах набора для проверки аналитики | AlgoGetReviewSetDocumentsReport | Отчет об аналитических документах, просмотреемых пользователем. |
| Просмотр отчета электронной почты о наборе для проверки аналитики | AlgoGetReviewSetEmailsReport | Пользователь просматривал отчет по электронной почте аналитики. |
| Просмотр отчета о наборе обзоров аналитики | AlgoGetReviewSetReport | Пользователь просматривал аналитический отчет в наборе для проверки. Это действие аудита включает имя и идентификатор набора для обращения и проверки, а также тип отчета. |
| Просмотр отчета о наборе аналитических сведений по типу файла | AlgoGetReviewSetReportByFileType | Пользователь просматривал граф аналитических отчетов по типу файла. |
| Просмотр отчета о наборе аналитических данных по источнику | AlgoGetReviewSetReportBySource | Пользователь просматривал аналитический документ по источнику. Это действие аудита включает имя и идентификатор набора для обращения и проверки. |
| Просмотрированные метаданные случая | CaseMetadataViewed | Были просмотрированы метаданные о случае обнаружения электронных данных. |
| Просмотр параметров регистра | CaseSettingsViewed | Пользователь просмотрил параметры для дела. Параметры обращения включают сведения о случае, доступ к функциям premium, разрешения на обращение и параметры, управляющие поведением поиска и аналитики. |
| Просмотр ошибок обработки данных для набора для проверки | ReviewSetDataProcessingErrorViewed | Пользователь просматривал ошибки обработки в наборе для проверки. |
| Просмотр параметров регистра по умолчанию | CaseSettingsDefaultViewed | Параметр регистра по умолчанию просматривается. |
| Просмотр дела об обнаружении электронных данных | CaseViewed | Пользователь просмотрел дело обнаружения электронных данных на портале Microsoft Purview. Запись аудита для этого события включает имя, параметры обращения и идентификатор регистра для просматриваемого дела. |
| Просмотр списка случаев обнаружения электронных данных | CaseListViewed | Это действие регистрируется, когда пользователь просматривает список случаев обнаружения электронных данных. Запись аудита содержит имя и идентификатор случаев, которые были просмотрированы в списке вариантов. |
| Просмотр избранного списка | FavoriteListViewed | Пользователь просмотрил список избранных вариантов. |
| Просмотр данных удержания | HoldViewed | Пользователь просмотрил удержание внутри дела. Это действие аудита включает в себя имя удержания и идентификатор, которые просмотрел пользователь. Он также включает конкретные источники данных и значения запросов в удержании, который был просмотрирован пользователем. |
| Просмотр списка удержаний | HoldListViewed | Пользователь просматривал список удержаний внутри дела. Это действие аудита включает в себя имя дела, идентификатор дела, а также список имен и идентификаторов удержаний, просмотрированных пользователем. |
| Просмотр результатов удержания | HoldResultsViewed | Пользователь просмотрил результаты удержания. Действие аудита включает имя дела, идентификатор дела, имя удержания и идентификатор удержания. |
| Просмотр состояния удержания | HoldStatusViewed | Пользователь просмотрил состояние удержания. Действие аудита включает имя дела, идентификатор дела, имя удержания и идентификатор удержания. |
| Просмотр при изменении параметров аналитики | AlgoIsSettingChanged | Это действие аудита включает имя и идентификатор набора для обращения и проверки. |
| Просмотр данных о количестве нагрузки в регистре | LoadCountInCaseViewed | Пользователь просматривал количество нагрузочных наборов в регистре. |
| Просмотр списка загрузки | LoadListViewed | Пользователь просмотрил список нагрузочных наборов в наборе для проверки. |
| Просмотр поиска в Purview | PurviewSearchViewed | Пользователь просматривал определенный поиск. Это действие аудита включает в себя имя поиска, идентификатор, а также конкретные источники данных и значения запросов в поиске, который был просмотрирован пользователем. |
| Просмотр списка поиска Purview | PurviewSearchListViewed | Пользователь просмотрел список поиска внутри дела. Это действие аудита включает имя дела, идентификатор дела, а также список поисковых запросов и идентификатор, которые просматривал пользователь. |
| Просмотр отчета о запросах для набора для проверки | ReviewSetQueryReportViewed | Отчет о запросах, просмотреемый пользователем, в наборе для проверки. |
| Просмотр документа набора для проверки | ReviewSetDocumentViewed | Пользователь просмотрил документ в наборе для проверки. Это действие аудита включает в себя имя дела, идентификатор дела, имя набора проверки, идентификатор набора проверки и другие сведения, такие как идентификатор просматриваемого документа. |
| Просмотр списка наборов для проверки | ReviewSetListViewed | Пользователь просмотрил список наборов проверки в регистре. |
| Просмотр сводки по набору просмотров | ReviewSetSummaryViewed | Пользователь просмотрил обзор набора проверки. |
| Просмотр примеров результатов | SampleResultsViewed | Просмотр пользователем примера результатов поиска. |
| Просмотр состояния примера | SampleStatusViewed | Пользователь просмотрил состояние примера представления поиска. Действие аудита включает имя, идентификатор, запрос и связанные параметры поиска. |
| Просмотр сохраненного списка поиска для набора для проверки | ReviewSetSavedSearchListViewed | Пользователь просмотрил список сохраненных фильтров в наборе для проверки. Действие аудита включает имя набора проверки и имя списка сохраненных фильтров, просматриваемых. |
| Просмотре счетчика поиска для набора для проверки | ReviewSetSearchCountViewed | Пользователь выполнил поиск в наборе для проверки и просмотрил возвращенное число. Действие аудита включает имя случая, имя набора проверки и количество элементов, возвращенных в результатах поиска. |
| Просмотр параметров поиска для набора отзывов | ReviewSetSearchOptionsViewed | Пользователь просмотрил параметры набора для проверки. Действие аудита включает имя обращения и имя набора для проверки. |
| Просмотр результатов поиска для набора для проверки | ReviewSetSearchRun | Пользователь выполнил поиск в наборе для проверки. Действие аудита включает имя дела, имя набора проверки и список элементов, возвращенных в результатах поиска. |
| Просмотр результатов статистики | StatisticsResultsViewed | Пользователь просмотрил результаты статистики поиска. |
| Просмотр состояния статистики | StatisticsStatusViewed | Пользователь просмотрил состояние представления статистики поиска. Действие аудита включает имя, идентификатор, запрос и связанные параметры поиска. |
| Просмотр списка шаблонов тегов | TagTemplateListViewed | Пользователь просмотрил список шаблонов тегов в параметрах обнаружения электронных данных. Действие аудита включает список просматриваемых шаблонов тегов. |
| Просмотре тегов | ТегиПросмотрено | Просмотре пользователем тегов набора проверки в случае. |
| Просмотр тегов для шаблона тега | TagTemplateTagsViewed | Пользователь просматривал теги для шаблона тегов. Действие аудита включает имя и идентификатор просматриваемых тегов шаблона тега. |
| Просмотр параметров клиента | TenantSettingsViewed | Пользователь просмотрил параметры организации обнаружения электронных данных. Действие аудита содержит сведения о значениях параметров. |
Подробные свойства для действий обнаружения электронных данных
В следующей таблице описаны свойства, которые включены на всплывающей странице для действия обнаружения электронных данных, указанного в результатах поиска. Эти свойства также включаются в CSV-файл при экспорте результатов поиска в журнале аудита. Запись журнала аудита для действия обнаружения электронных данных не включает все подробные свойства, перечисленные в следующей таблице.
Совет
При экспорте результатов поиска CSV-файл содержит столбец с именем AudtiData, который содержит подробные свойства, описанные в следующей таблице в многозначном свойстве. Вы можете использовать функцию Power Query в Excel, чтобы разделить этот столбец на несколько столбцов, чтобы у каждого свойства был свой собственный столбец. Эта настройка позволяет выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Дополнительные сведения см. в разделе Поиск в журнале аудита.
| Свойство | Описание |
|---|---|
| CaseId | Идентификатор (GUID) созданного, измененного или удаленного дела обнаружения электронных данных. |
| CaseName | Имя созданного, измененного или удаленного дела обнаружения электронных данных. |
| ClientApplication | Действия командлета eDiscovery имеют значение EMC для этого свойства. Это значение указывает, что действие было выполнено с помощью графического интерфейса портала Microsoft Purview или командлета в PowerShell. |
| ClientIP | IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. |
| ClientRequestId | Для действий обнаружения электронных данных это свойство обычно пустое. |
| CmdletVersion | Номер сборки для версии портала Microsoft Purview, работающей в вашей организации. |
| CreationTime | Дата и время создания действия в формате UTC. |
| DataSources | Список идентификатора источника, имени источника и сведений о расположении, связанных с действием. |
| EffectiveOrganization | Название организации Microsoft 365. |
| ExportName | Имя экспорта обнаружения электронных данных. |
| ExtendedProperties | Дополнительные свойства, связанные с действием обнаружения электронных данных. Например, при обновлении членов дела это поле содержит обновленные сведения об члене дела; или при обновлении описания набора проверки это поле содержит обновленное описание набора проверки, обновленное пользователем. |
| ИД | Идентификатор записи отчета. Идентификатор уникально идентифицирует запись журнала аудита. |
| Элемент | Имя элемента, связанного с действием. Например, это поле содержит имя документа, просматриваемого при просмотре пользователем документа набора для проверки. |
| JobId | GUID процесса обнаружения электронных данных. |
| ObjectId | GUID объекта (например, набор для поиска, удержания или проверки), созданный, доступный или измененный действием, перечисленным в свойстве Operation . |
| ObjectName | Имя объекта (например, набор для поиска, удержания или проверки), созданный, доступный или измененный действием, указанным в свойстве Operation. |
| ObjectType | Тип созданного, удаленного или измененного объекта eDiscovery. Например, действие поиска (создание примера результатов или запуск экспорта из поиска) в этом поле отображается как Поиск . |
| Operation | Имя операции, которая соответствует выполненной операции обнаружения электронных данных. |
| OrganizationId | GUID для организации Microsoft 365. |
| QueryFiles | Имя входного файла, используемого для создания запроса. Это свойство зависит от жеста поиска по файлу. |
| QueryId | GUID запроса, связанного с действием. |
| QueryText | Текст запроса, связанный с действием, например статистический процесс поиска или добавление в процесс проверки. |
| RecordType | Тип операции, указанный в записи. |
| ResultStatus | Если действие (указанное в свойстве Operation) прошло успешно или нет. |
| Параметры | Параметры, применяемые к действию обнаружения электронных данных. |
| StartTime | Дата и время в формате UTC, когда было запущено действие обнаружения электронных данных. |
| UserCancelled | Было ли отменено конкретное действие пользователем. |
| UserId | Пользователь, выполнивший действие (указанное в свойстве Operation), которое привело к регистрации записи. |
| UserKey | Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Для действий обнаружения электронных данных значение этого свойства обычно совпадает со значением свойства UserId. |
| UserServicePlan | Подписка, используемая вашей организацией. Для действий обнаружения электронных данных это свойство обычно пустое. |
| UserType | Тип пользователя, который выполнил операцию. Следующие значения указывают тип пользователя. 0 Обычный пользователь. 2 Администратор в вашей организации. 3 Учетная запись администратора центра обработки данных Майкрософт или системная учетная запись центра обработки данных. 4 Системная учетная запись. 5 Приложение. 6 Субъект-служба. |
| Версия | Номер версии действия (определяемого свойством Operation), которое регистрируется в журнале. |
| Workload | Служба, в которой произошло действие. |
Действия на портале зашифрованных сообщений
Ваша организация может получить доступ к журналам зашифрованных сообщений через портал зашифрованных сообщений. Эти журналы помогают определить, когда внешние получатели читают и пересылают сообщения. Дополнительные сведения о включении и использовании журналов действий портала зашифрованных сообщений см. в статье Журнал действий портала зашифрованных сообщений.
Каждая запись аудита для отслеживаемого сообщения содержит следующие поля:
- MessageID: содержит идентификатор отслеживаемого сообщения. Идентификатор ключа, используемый для следовать за сообщением через систему.
- Получатель: список всех адресов электронной почты получателей.
- Отправитель: исходный адрес электронной почты.
- AuthenticationMethod. Описывает метод проверки подлинности для доступа к сообщению, например OTP, Yahoo, Gmail или Майкрософт.
- AuthenticationStatus: содержит значение, указывающее, что проверка подлинности выполнена успешно или неудачно.
- OperationStatus: успешно или неудачно выполнена указанная операция.
- AttachmentName: имя вложения.
- OperationProperties: список необязательных свойств. Например, количество отправленных секретных кодов OTP или тема сообщения электронной почты.
Действия администратора Exchange
Журнал аудита администратора Exchange (который включен по умолчанию в Microsoft 365) регистрирует событие в журнале аудита, когда администратор (или назначенный пользователем административные разрешения) вносит изменения в Exchange Online организации. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange. Командлеты, начинающиеся с команд Get-, Search- или Test- , не регистрируются в журнале аудита. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.
Важно!
Некоторые командлеты Exchange Online не регистрируются в журнале аудита администратора Exchange (или в журнале аудита). Многие из этих командлетов связаны с обслуживанием службы Exchange Online и выполняются персоналом центра обработки данных Майкрософт или учетными записями службы. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита. Если есть командлет Exchange Online, который не выполняет аудит, отправьте запрос на изменение структуры (DCR) в служба поддержки Майкрософт.
Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:
- Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.
- Чтобы отобразить события из журнала аудита администратора Exchange, выберите столбец Действие , чтобы отсортировать имена командлетов в алфавитном порядке.
- Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав вариант Скачать все результаты. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.
- Кроме того, вы можете использовать команду
Search-UnifiedAuditLog -RecordType ExchangeAdminв Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange. Выполнение командлета Exchange может занять до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска. Дополнительные сведения см. в статье Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.
Действия, связанные с почтовыми ящиками Exchange
В следующей таблице перечислены действия, записанные в журнале аудита Microsoft 365. Ведение журнала аудита почтового ящика автоматически регистрирует действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, в журнал аудита на срок до 180 дней. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в вашей организации. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.
Важно!
Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.
Вы также можете искать действия почтового ящика с помощью командлета Search-UnifiedAuditLog в Exchange Online PowerShell.
| Понятное имя | Операция | Описание |
|---|---|---|
| Доступ к вложениям почтового ящика | AttachmentAccess | Доступ к вложению сообщения. |
| Доступ к папке почтового ящика | FolderBind | Была открыта папка почтового ящика. Это действие также вносится в журнал, когда администратор или делегированный пользователь открывает почтовый ящик. Записи аудита для действий привязки папок, выполняемых делегатами, объединяются. Одна запись аудита создается для доступа к отдельным папкам в течение 24-часового периода. |
| Получен доступ к элементам почтового ящика | MailItemsAccessed | Прочитаны или открыты сообщения в почтовом ящике. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты. |
| Доступ к сообщению | MessageBind | Сообщение было просмотрено в области предварительного просмотра или открыто администратором. Это значение доступно только для пользователей без лицензий E5,A5/G5. |
| Добавлены разрешения почтового ящика-делегата | Add-MailboxPermission | Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им. Запись аудита для этого действия также создается, когда системная учетная запись в службе Microsoft 365 периодически выполняет задачи обслуживания от имени организации. Обычной задачей, выполняемой системной учетной записью, является обновление разрешений для системных почтовых ящиков. Дополнительные сведения см. в разделе Системные учетные записи в записях аудита почтовых ящиков Exchange. |
| Добавлен или удален пользователь с делегированным доступом к папке календаря. | UpdateCalendarDelegation | Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика. |
| Добавлены разрешения для папки | AddFolderPermissions | Были добавлены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
| Сообщения скопированы в другую папку | Copy | Сообщение было скопировано в другую папку. |
| Создан элемент почтового ящика | Create | В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент. Например, создано новое приглашение на собрание. Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит. |
| Создано новое правило для папки "Входящие" в Outlook Web App | New-InboxRule | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App. |
| Удаление элемента метки очистки приоритета | PriorityCleanupDelete | Элемент с меткой типа Priority Cleanup удаляется. |
| Сообщения удалены из папки "Удаленные" | SoftDelete | Сообщение было удалено окончательно или из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE. |
| Пометка сообщения как записи | Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись. | |
| Элемент, помеченный как запись | ApplyRecord | Элемент помечается как запись. |
| Сообщение помечено как запись | ApplyRecordLabel | Сообщение было классифицировано как запись. Происходит, когда метка хранения, которая классифицирует содержимое как запись, вручную или автоматически применяется к сообщению. |
| Изменены разрешения для папки | ModifyFolderPermissions | Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
| Изменено правило для папки "Входящие" из Outlook Web App | Set-InboxRule | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App. |
| Сообщения перемещены в другую папку | Move | Сообщение было перемещено в другую папку. |
| Сообщения перемещены в папку "Удаленные" | MoveToDeletedItems | Сообщение было удалено и перемещено в папку "Удаленные". |
| Выполнение поискового запроса | SharepointSearchQueryInitiated | Пользователь выполняет поиск в SharePoint. |
| Сохранение элемента почтового ящика | СохранитьMailItemProactively | Почтовый элемент сохраняется заранее. Упреждающее сохранение — это функция Управление жизненным циклом данных Microsoft Purview (DLM), при которой сообщения, удаленные рискованными пользователями в клиенте, сохраняются в мусорной корзине. |
| Применена метка очистки приоритета | ApplyPriorityCleanup | К элементу применяется метка Очистка приоритета. |
| Метка очистки приоритета, примененная к элементу Exchange | ApplyPriorityCleanup | Метка хранения для очистки приоритета применяется к элементу в Exchange |
| Сообщения удалены из почтового ящика | HardDelete | Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно). |
| Удалены разрешения почтового ящика с делегированным доступом | Remove-MailboxPermission | Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому. |
| Удалены разрешения для папки | RemoveFolderPermissions | Были удалены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. |
| Поиск элементов в почтовом ящике | SearchQueryInitiated | Пользователь использует Outlook (Windows, Mac, iOS, Android или Outlook в Интернете) или почтовое приложение для Windows 10 для поиска элементов в почтовом ящике. |
| Отправленное сообщение | Send | Сообщение было отправлено, отправлено в ответ или переадресовывалось. |
| Отправить сообщение с использованием разрешений "Отправить как" | SendAs | Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. |
| Отправлено сообщение с разрешениями "Отправить от имени" | SendOnBehalf | Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Сообщение, которому было отправлено сообщение от имени получателя и который фактически отправил сообщение. |
| Обновление метки элемента | UpdateComplianceTag | Когда метка применяется к элементу. |
| Обновлены правила для папки "Входящие" из клиента Outlook | UpdateInboxRules | Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал, изменил или удалил правило для папки "Входящие" при помощи клиента Outlook. |
| Обновлено сообщение | Update | Сообщение или его свойства были изменены. |
| Пользователь вошел в почтовый ящик | MailboxLogin | Пользователь выполнил вход в свой почтовый ящик. |
Системные учетные записи в записях аудита почтовых ящиков Exchange
В записях аудита для некоторых действий почтового ящика (особенно Add-MailboxPermissions) вы можете заметить, что пользователь, выполнивший действие (и идентифицируемый в полях User и UserId), является NT AUTHORITY\SYSTEM или NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Эта системная учетная запись в службе Exchange в облаке Майкрософт выполняет запланированные задачи обслуживания от имени вашей организации. Например, обычное действие аудита, выполняемое учетной записью NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost), обновляет разрешения на discoverySearchMailbox, который является системным почтовым ящиком. Целью этого обновления является проверка того, что разрешение FullAccess (предоставляемое по умолчанию) назначено группе ролей управления обнаружением для DiscoverySearchMailbox. Это обновление гарантирует, что администраторы обнаружения электронных данных могут выполнять необходимые задачи в своей организации.
Другая системная учетная запись пользователя, которая может быть определена в записи аудита для Add-MailboxPermission, — [email protected] Эта учетная запись службы также включается в записи аудита почтового ящика, связанные с проверкой и обновлением разрешения FullAccess, назначенного группе ролей Управление обнаружением для системного почтового ящика DiscoverySearchMailbox. В частности, записи аудита, которые идентифицируют [email protected] учетную запись, обычно активируются, когда сотрудники службы поддержки Майкрософт запускают средство диагностики управления доступом на основе ролей от имени вашей организации.
Действия, связанные с файлами и страницами
В следующей таблице описаны действия файлов и страниц в SharePoint и OneDrive, которые записываются в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| (нет) | FileAccessedExtended | Это действие связано с действием "Доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до трех часов). События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Такой подход помогает снизить шум от нескольких записей FileAccessed для того, что по существу является одной и той же активностью пользователя, и позволяет сосредоточиться на начальном (и более важном) событии FileAccessed. |
| (нет) | FileModifiedExtended | Это действие связано с действием "Измененный файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до трех часов). События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Такой подход помогает снизить шум от нескольких записей FileModified для того, что по существу является одной и той же активностью пользователя, и позволяет сосредоточиться на начальном (и более важном) событии FileModified. |
| (нет) | FilePreviewed | Пользователь просматривает файлы на сайте SharePoint или OneDrive. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений. |
| (нет) | PagePrefetched | Клиент пользователя (например, веб-сайт или мобильное приложение) запрашивает указанную страницу, чтобы повысить производительность, если пользователь просматривает ее. Это событие регистрируется в журнале, чтобы указать, что содержимое страницы обслуживается клиентом пользователя. Это событие не является точным индикатором, что пользователь переходил на страницу. Когда клиент отрисовывает содержимое страницы (по запросу пользователя), он должен создать событие ClientViewSignaled. Не все клиенты поддерживают предварительную выборку, поэтому некоторые предварительно подготовленные действия могут регистрироваться как события PageViewed. |
| (нет) | PageViewedExtended | Это действие связано с действием "Просмотр страницы" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до трех часов). События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Такой подход помогает уменьшить шум от нескольких записей PageViewed для того, что по существу является одной и той же активностью пользователя, и позволяет сосредоточиться на первоначальном (и более важном) событии PageViewed. |
| Получен доступ к файлу | FileAccessed | Учетная запись пользователя или системы обращается к файлу. Когда пользователь обращается к файлу, система не регистрирует событие FileAccessed снова для того же пользователя и файла в течение следующих пяти минут. |
| Для записи установлено новое состояние: "заблокирована" | LockRecord | Состояние записи метки хранения, которая классифицирует документ как запись, заблокировано. Это состояние означает, что документ не был изменен или удален. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа. |
| Для записи установлено новое состояние: "разблокирована" | UnlockRecord | Состояние записи метки хранения, которая классифицирует документ как запись, разблокировано. Это состояние означает, что документ можно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа. |
| Изменена метка хранения файла | ComplianceSettingChanged | Метка хранения применяется к документу или удаляется из него. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению. |
| Файл записан после изменения | FileCheckedIn | Пользователь записывает после изменения документ, извлеченный из библиотеки документов. |
| Извлечен файл | FileCheckedOut | Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут проверка и вносить изменения в документы, к которым им предоставлен общий доступ. |
| Скопирован файл | FileCopied | Пользователь копирует файл с сайта. Скопированный файл можно сохранить в другой папке на сайте. |
| Удален файл | FileDeleted | Пользователь удаляет документ с сайта. |
| Файл удален из корзины | FileDeletedFirstStageRecycleBin | Пользователь удаляет файл из корзины сайта. |
| Файл удален из корзины второго уровня | FileDeletedSecondStageRecycleBin | Пользователь удаляет файл из корзины второго уровня на сайте. |
| Удаленный файл, помеченный как запись | RecordDelete | Документ или сообщение электронной почты, помеченные как запись, удаляются. Элемент считается записью, когда к содержимому применяется метка хранения, которая помечает элементы как запись. |
| Обнаружено несоответствие конфиденциальности документа | DocumentSensitivityMismatchDetected | Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее". Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально". Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок). |
| Обнаружена вредоносная программа в файле | FileMalwareDetected | Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле. |
| Отменено извлечение файла | FileCheckOutDiscarded | Пользователь удаляет или отменяет файл, полученный для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов. |
| Скачан файл | FileDownloaded | Пользователь скачивает документ с сайта. |
| Изменен файл | FileModified | Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте. Система ждет пять минут, прежде чем зарегистрировать другое событие FileModified, когда тот же пользователь изменяет содержимое или свойства того же документа. |
| Перемещен файл | FileMoved | Пользователь перемещает документ из текущего места на сайте в новое. |
| Выполнен поисковый запрос | SearchQueryPerformed | Учетная запись пользователя или системы выполняет поиск в SharePoint или OneDrive. Некоторые распространенные сценарии, в которых учетная запись службы выполняет поисковый запрос, включают применение политики удержания и хранения электронных данных к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения или конфиденциальности к содержимому сайта. Чтобы включить ведение журнала для этого действия, см. статью Начало работы с решениями аудита. |
| Приоритет очистки перемещает файл в корзину | PriorityCleanupFileRecycled | Элемент перемещается в корзину этапа 2 с помощью политики очистки приоритета в OneDrive или SharePoint Online. |
| Приоритетная очистка окончательного удаления файла | PriorityCleanupFileDeleted | Элемент окончательно удаляется политикой очистки приоритета в OneDrive или SharePoint Online. |
| Помещен в корзину файл | FileRecycled | Пользователь перемещает файл в корзину SharePoint. |
| Помещена в корзину папка | FolderRecycled | Пользователь перемещает папку в корзину SharePoint. |
| Помещены в корзину все промежуточные версии файла | FileVersionsAllMinorsRecycled | Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта. |
| Помещены в корзину все версии файла | FileVersionsAllRecycled | Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта. |
| Помещена в корзину версия файла | FileVersionRecycled | Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта. |
| Переименован файл | FileRenamed | Пользователь переименовывает документ. |
| Восстановлен файл | FileRestored | Пользователь восстанавливает документ из корзины на сайте. |
| Выложен файл | FileUploaded | Пользователь отправляет документ в папку на сайте. |
| Клиент просигнализировал о просмотре | ClientViewSignaled | Клиент пользователя (например, веб-сайт или мобильное приложение) сигнализирует о том, что указанная страница просматривается пользователем. Это действие часто записывается в журнал после события PagePrefetched для страницы. ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигналиируются клиентом, а не сервером, возможно, это событие не регистрируется сервером и, следовательно, не отображается в журнале аудита. Кроме того, возможно, что сведения в записи аудита могут быть ненадежны. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным. Система подождит пять минут, прежде чем регистрирует то же событие, когда клиент того же пользователя сигнализирует о том, что страница снова просматривается пользователем. |
| Просмотрена страница | PageViewed | Пользователь просматривает страницу на сайте. Это действие не включает использование веб-браузера для просмотра файлов, расположенных в библиотеке документов. Когда пользователь просматривает страницу, система не регистрирует событие PageViewed снова для того же пользователя и страницы в течение следующих пяти минут. |
Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed
Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?
Мы не знаем о сценариях, в которых действия непользователя создают такие события. Действия пользователей, такие как открытие профиля пользователя карта (путем выбора имени или адреса электронной почты в сообщении в Outlook в Интернете), создают аналогичные события.
Всегда ли вызовы к OneDriveMpc-Transform_Thumbnail активируются пользователем намеренно?
Нет. Но предварительная выборка браузера может привести к аналогичным событиям.
Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?
Нет. Предварительная выборка браузера может записывать событие в журнал.
Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?
События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл). Хотя эти события предназначены для согласования с предварительным просмотром и намерением доступа, различие событий не является гарантией намерения пользователя.
Пользователь app@sharepoint в записях аудита
В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint), вы можете заметить, что пользователь, выполнивший действие (указанный в полях User и UserId), app@sharepoint. Этот пользователь означает, что приложение выполнило действие. В этом случае приложению в SharePoint были предоставлены разрешения на выполнение действий в масштабах всей организации (например, поиск по сайту SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint. Этот пользователь означает, что приложение, а не пользователь, представило проверку подлинности в SharePoint для выполнения действия. Поэтому пользователь app@sharepoint указывается в определенных записях аудита. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.
Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу". Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.
Ниже приведено несколько других сценариев, в которых app@sharepoint могут быть идентифицированы в записи аудита как пользователь, выполнивший действие.
- Группы Microsoft 365. Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint. Приложение выполняет эти задачи от имени пользователя, создавшего группу.
- Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.
- Функции соответствия требованиям. Когда администратор реализует функции соответствия, такие как политики хранения, хранение электронных данных и автоматическое применение меток конфиденциальности.
В этих и других сценариях вы также можете заметить, что несколько записей аудита с app@sharepoint в качестве указанного пользователя были созданы в течение короткого периода времени, часто в течение нескольких секунд друг от друга. Этот шаблон также означает, что они, вероятно, были активированы той же задачей, инициированной пользователем. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, которое активировало событие.
Действия, связанные с папками
В следующей таблице описаны действия папок в SharePoint и OneDrive, записанные в журнале аудита Microsoft 365. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
| Понятное имя | Операция | Описание |
|---|---|---|
| Скопирована папка | FolderCopied | Пользователь копирует папку с сайта в другое расположение в SharePoint или OneDrive. |
| Создана папка | FolderCreated | Пользователь создает папку на сайте. |
| Удалена папка | FolderDeleted | Пользователь удаляет папку с сайта. |
| Папка удалена из корзины | FolderDeletedFirstStageRecycleBin | Пользователь удаляет папку из корзины на сайте. |
| Папка удалена из корзины второго уровня | FolderDeletedSecondStageRecycleBin | Пользователь удаляет папку из корзины второго уровня на сайте. |
| Изменена папка | FolderModified | Пользователь изменяет папку на сайте. Это действие включает в себя изменение метаданных папки, например изменение тегов и свойств. |
| Перемещена папка | FolderMoved | Пользователь перемещает папку в другое расположение на сайте. |
| Переименована папка | FolderRenamed | Пользователь переименовывает папку на сайте. |
| Восстановлена папка | FolderRestored | Пользователь восстанавливает удаленную папку из корзины на сайте. |
Действия с информационными барьерами
В следующей таблице перечислены действия в разделе Информационные барьеры, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения об информационных барьерах см . в статье Сведения об информационных барьерах в Microsoft 365.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Режим примененного информационного барьера к сайту | SiteIBModeSet | SharePoint или глобальный администратор применил режим к сайту. |
| Примененные сегменты к сайту | SiteIBSegmentsSet | Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт. |
| Изменен параметр AppBypassInformationBarrier для клиента | AppBypassInformationBarrier | SharePoint или глобальный администратор изменил доступ к приложениям для сайтов SharePoint. |
| Изменен режим информационного барьера сайта | SiteIBModeChanged | SharePoint или глобальный администратор обновил режим сайта. |
| Измененные сегменты сайта | SiteIBSegmentsChanged | Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта. |
| Отключенные информационные барьеры для SharePoint и OneDrive | SPOIBIsDisabled | SharePoint или глобальный администратор отключили информационные барьеры для SharePoint и OneDrive в организации. |
| Включенные информационные барьеры для SharePoint и OneDrive | SPOIBIsEnabled | SharePoint или глобальный администратор отключили информационные барьеры для SharePoint и OneDrive в организации. |
| Отчет аналитики информационных барьеров завершен | InformationBarriersInsightsReportCompleted | Система завершает создание отчета аналитики информационных барьеров. |
| Аналитические сведения о информационных барьерах, запросил раздел OneDrive | InformationBarriersInsightsReportOneDriveSectionQueried | Администратор запрашивает отчет аналитики информационных барьеров для учетных записей OneDrive. |
| Отчет аналитики информационных барьеров запланирован | InformationBarriersInsightsReportSchedule | Администратор запланирует отчет аналитики информационных барьеров. |
| Запрос отчета аналитики информационных барьеров SharePoint | InformationBarriersInsightsReportSharePointSectionQueried | Администратор запрашивает отчет аналитики информационных барьеров для сайтов SharePoint. |
| Удален сегмент с сайта | SiteIBSegmentsRemoved | SharePoint или глобальный администратор удаляет один или несколько сегментов информационных барьеров с сайта. |
действия по управлению агентами центра Microsoft 365 Admin.
В следующей таблице перечислены действия по управлению агентами, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Управление агентами Microsoft 365 Copilot в Центр администрирования Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Заблокированный агент | BlockedAgent | Администратор заблокировал агент. Пользователям в организации запрещено использовать агент. |
| Удаленный агент | DeletedAgent | Администратор удалил общий агент, который удаляет базовые файлы и агент. |
| Развернутый агент | DeployedAgent | Администратор развернул агент. Агент становится активным и доступным для конкретных пользователей, групп или всей организации. |
| Удаленный агент | RemovedAgent | Администратор удалил ранее установленный агент для всей организации или для определенных пользователей и групп. |
| Разблокировка агента | РазблокированиеAgent | Администратор разблокировал ранее заблокированный агент. |
| Обновленный агент | UpdatedAgent | Администратор обновил пользовательский агент, отправив последний файл манифеста. |
| Обновлены параметры агента на уровне клиента | UpdatedTenantSettings | Администратор обновил параметры уровня клиента, которые применяются к агентам. |
Действия по обновлению облака служб Приложения Microsoft 365 Администратор
В следующей таблице перечислены действия по изменению конфигурации и активированные действия в службе облачных обновлений , которые записываются в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Обновлена конфигурация устройства | updateddeviceconfiguration | Было активировано действие для устройства, управляемого Облачным обновлением. Это действие включает запуск отката, возобновление отката устройства или изменение канала обновления. |
| Обновлена конфигурация профиля | updatedprofileconfiguration | Конфигурация профиля облачного обновления изменена. Это изменение включает в себя обновление состояния профиля, установка крайнего срока, включение проверки обновлений, а также настроенные волны и задержка волн. |
| Обновлена конфигурация клиента | updatedtenantconfiguration | Конфигурация облачного обновления в масштабах всей организации изменилась. Это изменение включает обновления исключений, окон исключений и создание нового ключа ассоциации клиентов (TAK). |
действия облачной политики служб Приложения Microsoft 365 Администратор
В следующей таблице перечислены действия по изменению конфигурации политики в службе облачных политик , которые записываются в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Конфигурация созданной политики | CreatedPolicyConfig | Создана новая конфигурация политики. |
| Конфигурация удаленной политики | DeletedPolicyConfig | Конфигурация политики удалена. |
| Обновленная конфигурация политики | UpdatedPolicyConfig | Существующая конфигурация политики была обновлена, например путем добавления, изменения или удаления параметров политики либо путем изменения имени, описания или область конфигурации политики. |
| Обновленный приоритет конфигурации политики | UpdatedPolicyConfigPriority | Приоритет конфигурации политики был изменен. |
действия Резервное копирование Microsoft 365
В следующей таблице перечислены действия в Резервное копирование Microsoft 365, которые записывает журнал аудита Microsoft 365. Резервное копирование Microsoft 365 предназначена для обеспечения постоянной защиты и легкого восстановления данных вашей организации. Дополнительные сведения о Резервное копирование Microsoft 365 см. в статье Обзор Резервное копирование Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Активирована политика резервного копирования | BackupPolicyActivated | Политика Резервное копирование Microsoft 365 активируется из неактивного состояния. |
| Активированная задача восстановления черновика | RestoreTaskActivated | Активируется задача восстановления черновика для Резервное копирование Microsoft 365. Это длительная операция. |
| Элемент резервного копирования создан | BackupItemAdded | Один или несколько элементов резервной копии добавляются в политику Резервное копирование Microsoft 365. |
| Элемент резервного копирования удален | BackupItemRemoved | Один или несколько элементов резервной копии удаляются из политики Резервное копирование Microsoft 365. |
| Отмена отключения элемента резервного копирования | CancelOffboardBackupItem | Отключение для элемента резервного копирования отменено. |
| Завершенная задача восстановления | RestoreTaskCompleted | Задача восстановления выполняется в Резервное копирование Microsoft 365. |
| Созданная задача восстановления черновика | DraftRestoreTaskCreated | Задача восстановления создается в Резервное копирование Microsoft 365. По умолчанию задача восстановления создается как черновик. |
| Создана новая политика резервного копирования | NewBackupPolicyCreated | Глобальная Администратор создала новую политику Резервное копирование Microsoft 365. По умолчанию политика резервного копирования создается в неактивном состоянии. |
| Удалена политика резервного копирования | BackupPolicyDeleted | Политика Резервное копирование Microsoft 365 удаляется. |
| Задача восстановления удаленных черновиков | DraftRestoreTaskDeleted | Задача восстановления черновика удаляется в Резервное копирование Microsoft 365. |
| Изменена политика резервного копирования | BackupPolicyEdited | Обновлена политика Резервное копирование Microsoft 365. Вы можете обновить политику резервного копирования, выполнив одно из следующих действий: 1. Переименование политики. 2. Добавьте один или несколько блоков защиты. 3. Удаление одного или нескольких блоков защиты. |
| Измененная задача восстановления черновика | DraftRestoreTaskEdited | Задача восстановления черновика редактируется в Резервное копирование Microsoft 365. |
| Элемент резервного копирования offboard | OffboardBackupItem | Элемент резервного копирования отключен. |
| Приостановлена политика резервного копирования | BackupPolicyPaused | Политика Резервное копирование Microsoft 365 приостановлена из активного состояния. |
| Элемент резервного копирования, полученный программным способом | GetBackupItem | Пользователь запрашивает резервную копию блока защиты, используя Резервное копирование Microsoft 365 программным способом. |
| Программное получение сведений о политике резервного копирования | ViewBackupPolicyDetails | Доступ к сведениям о политике Резервное копирование Microsoft 365 выполняется программным способом. |
| Программное получение сведений о задаче восстановления | GetRestoreTaskDetails | Пользователь запрашивает сведения о задаче восстановления по ее идентификатору в Резервное копирование Microsoft 365. |
| Программный список всех политик резервного копирования | ListAllBackupPolicies | Пользователь программно получает список всех политик резервного копирования, резервные копии с помощью Резервное копирование Microsoft 365. |
| Программный список элементов резервного копирования в политиках резервного копирования | ListAllBackupItemsInPolicies | Список всех единиц защиты, присутствующих в политике резервного копирования в Резервное копирование Microsoft 365, запрашивается программным способом. |
| Программный список элементов резервного копирования в клиенте | ListAllBackupItemsInTenant | Пользователь программно получает список всех подразделений защиты в организации, резервные копии с помощью Резервное копирование Microsoft 365. |
| Программный список элементов резервного копирования в рабочей нагрузке | ListAllBackupItemsInWorkload | Пользователь программно получает список всех блоков защиты в рабочей нагрузке (SharePoint, OneDrive или Exchange), резервные копии с помощью Резервное копирование Microsoft 365. |
| Программный список элементов восстановления в задаче восстановления | GetAllRestoreArtifactsInTask | Пользователь программно получает все артефакты в задаче восстановления в Резервное копирование Microsoft 365. |
| Программный список точек восстановления | ListAllRestorePoints | Пользователь программно получает все точки восстановления в Резервное копирование Microsoft 365. Точки восстановления представляют метку времени, когда артефакт защищен (по политике защиты). Доступ имеют только глобальные администраторы. |
| Программный список задач восстановления | ListAllRestoreTasks | Пользователь программно получает список существующих сеансов восстановления в Резервное копирование Microsoft 365. Этот список включает сеанс восстановления, созданный для каждого типа службы, зарегистрированной в организации. |
| Восстановление элементов восстановления завершено | BackupItemRestoreCompleted | Восстановление элемента, резервная копия Резервное копирование Microsoft 365 завершена. |
| Восстановление элемента активируется | BackupItemRestoreTriggered | Восстановление активируется для элемента, резервного копирования Резервное копирование Microsoft 365. |
действия администратора Microsoft 365 Copilot
В следующей таблице перечислены действия администратора, связанные с Microsoft 365 Copilot и Microsoft 365 Copilot Chat, которые записываются в журнале аудита Microsoft 365. Вы можете получить доступ к Copilot через службы Майкрософт. В журнале аудита записываются действия, показывающие, как и когда пользователи взаимодействуют с Copilot. Эта информация включает в себя службу Майкрософт, в которой произошло действие, и ссылки на файлы, доступ к которому осуществляется во время взаимодействия.
Чтобы получить доступ к тексту из запроса пользователя во время взаимодействия, см. раздел Поиск контента или просмотр события взаимодействия СИ из обозревателя действий в Управление состоянием безопасности данных для ИИ.
Дополнительные сведения об аудите и других параметрах управления соответствием требованиям для Microsoft 365 Copilot см. в статье Использование Microsoft Purview для управления безопасностью данных & соответствием требованиям для Microsoft 365 Copilot & Microsoft 365 Copilot Chat.
Дополнительные сведения о событиях, связанных с взаимодействием пользователей с ИИ, см. в статье Журналы аудита для действий Copilot и ИИ.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан новый подключаемый модуль Copilot | CreatePlugin | Пользователь (или администратор или система от имени пользователя) создал новый подключаемый модуль Copilot. |
| Создан новый сборник подсказок Copilot | CreatePromptBook | Пользователь (или администратор или система от имени пользователя) создал новую книгу подсказок в Copilot. |
| Удален подключаемый модуль Copilot | DeletePlugin | Пользователь (или администратор или система от имени пользователя) удалил подключаемый модуль Copilot. |
| Удалена книга подсказок Copilot | DeletePromptBook | Пользователь (администратор или система от имени пользователя) удалил книгу подсказок Copilot. |
| Отключен подключаемый модуль Copilot | DisableCopilotPlugin | Пользователь (администратор или система от имени пользователя) отключил подключаемый модуль Copilot. |
| Отключение модуля командной строки Copilot | DisablePromptBook | Пользователь (или администратор или система от имени пользователя) отключил сборник подсказок Copilot. |
| Включен подключаемый модуль Copilot | EnablePlugin | Пользователь (администратор или система от имени пользователя) включил подключаемый модуль Copilot. |
| Включен модуль командной строки Copilot | EnablePromptBook | Пользователь (администратор или система от имени пользователя) включил сборник подсказок Copilot. |
| Экспортированные взаимодействия СИ | AIEnterpriseInteractionsExported | Администратор экспортировал взаимодействие с Copilot. |
| Взаимодействие с Copilot | CopilotInteraction | Пользователь (или администратор или система от имени пользователя) ввел запросы в Copilot. |
| Отправлено уведомление об изменениях для создания взаимодействия с ИИ | AIInteractionCreatedNotification | Было отправлено уведомление об изменениях, чтобы уведомить приложение-прослушиватель с подпиской о новом взаимодействии Copilot AI. |
| Отправленное уведомление об изменении для удаления взаимодействия с ИИ | AIInteractionDeletedNotification | Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном взаимодействии Copilot AI. |
| Отправлено уведомление об изменениях для обновления взаимодействия с ИИ | AIInteractionUpdatedNotification | Было отправлено уведомление об изменениях для уведомления подписанного приложения прослушивателя об обновленном взаимодействии Copilot AI. |
| Подписка на взаимодействие с ИИ | SubscribedToAIInteractions | Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях взаимодействия Copilot AI. |
| Обновлен параметр подключаемого модуля Copilot | UpdatePlugin | Пользователь (администратор или система от имени пользователя) обновил параметр подключаемого модуля Copilot. |
| Обновлен параметр модуля командной строки Copilot | UpdatePromptBook | Пользователь (или администратор или система от имени пользователя) обновил параметр модуля командной строки Copilot. |
| Обновлен параметр Copilot | UpdateTenantSettings | Администратор (или система от имени администратора) обновил параметр Copilot. |
Microsoft 365 Copilot запланированных действий с запросами
Запланированный Запросы Copilot позволяет пользователям автоматизировать запросы Copilot для выполнения по определенному расписанию в Microsoft 365 Copilot чате. В следующей таблице перечислены действия, записанные в журнале аудита Microsoft 365. Администраторы могут управлять этой функцией в вашей организации. Дополнительные сведения см. в статье Управление запланированными запросами для Microsoft 365 Copilot.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан запланированный запрос | ScheduledPromptCreated | Пользователь запланировали запрос Copilot из Microsoft 365 Copilot Chat (чат Office.com). |
| Удален запланированный запрос | ScheduledPromptDeleted | Пользователь удаляет запланированный запрос из окна управления. Запрос удаляется из списка и больше не выполняется. |
| Выполнен запланированный запрос | ScheduledPromptExecute | Регистрируется в начале каждого запланированного запуска. Оно не подтверждает выполнение запроса. |
действия общих параметров Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки общих параметров, записанных в журнале аудита Microsoft 365. Дополнительные сведения о параметрах Microsoft Defender для конечной точки см. в разделе Настройка общих параметров Defender для конечной точки.
| Понятное имя | Операция | Описание |
|---|---|---|
| Изменено хранение данных | ChangeDataRetention | Изменены параметры хранения данных для Defender для конечной точки. |
| Скачанный пакет отключения | DownloadOffboardingPkg | Скачан пакет, используемый для удаления устройств из Defender для конечной точки. |
| Скачанный пакет подключения | DownloadOnboardingPkg | Скачан пакет, используемый для подключения устройств к Defender для конечной точки. |
| Настройка дополнительных функций | SetAdvancedFeatures | Изменены расширенные функции в Defender для конечной точки, что позволяет более точно управлять инцидентом. В журнале аудита Microsoft 365 регистрируются только параметры для расширенных функций, которые являются общедоступными. |
действия параметров индикатора Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки параметров индикаторов, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения о индикаторах Microsoft Defender для конечной точки см. в разделе Управление индикаторами.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен индикатор | AddIndicator | Создан новый индикатор компрометации, используемый для отслеживания атак и событий. |
| Удаленный индикатор | DeleteIndicator | Удален индикатор компрометации. |
| Измененный индикатор | EditIndicator | Изменен индикатор компрометации. |
действия по реагированию Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки действий реагирования, включая динамический ответ, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения о действиях реагирования Microsoft Defender для конечной точки см. в разделе Действия ответа на устройстве.
| Понятное имя | Операция | Описание |
|---|---|---|
| Собранный пакет исследования | CollectInvestigationPackage | Собранные сведения об устройстве, используемом для понимания средств и методов атак. |
| Собранные журналы | LogsCollection | Собранные сведения журнала о Defender для конечной точки. |
| Скачан файл | Downloadfile | Скачан подозрительный файл для дальнейшего изучения. |
| Изолированное устройство | IsolateDevice | Изолировано устройство от сети, что помогает предотвратить распространение атак. |
| Отключенное устройство | DeviceOffBoarding | Удалено устройство из Defender для конечной точки. |
| Запущена антивирусная проверка | RunAntiVirusScan | Выполнена Microsoft Defender антивирусная проверка на устройстве. |
| Запуск получения файла ответа в реальном времени | LiveResponseGetFile | Открытие сеанса динамического ответа, открытие удаленной оболочки на устройстве. |
| API ответа в режиме реального времени запуска | RunLiveResponseApi | Открыл сеанс динамического ответа с помощью вызова API, открыв удаленную оболочку на устройстве. |
| Сеанс ответа в реальном времени | RunLiveResponseSession | Запуск сеанса динамического ответа, открыв удаленную оболочку на устройстве. |
| Освобождено от изоляции | ReleaseFromIsolation | Добавлено изолированное устройство обратно в сеть. |
| Удалены ограничения приложений | RemoveAppRestrictions | Разрешить запуск приложения. |
| Выполнение ограниченного приложения | RestrictAppExecution | Предотвращение запуска вредоносного приложения. |
| Файл остановлен и помещен в карантин | StopAndQuarantineFile | Помещен в карантин подозрительный файл для дальнейшего анализа. |
действия параметров ролей Microsoft Defender для конечной точки
В следующей таблице перечислены действия для Microsoft Defender для конечной точки параметров роли, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения о ролях в Microsoft Defender для конечной точки см. в статье Создание ролей и управление ими для управления доступом на основе ролей.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавленная роль | AddRole | Добавлены новая роль безопасности и разрешения. |
| Удаленная роль | DeleteRole | Удалены роли безопасности и разрешения. |
| Измененная роль | EditRole | Измененные роли безопасности и разрешения. |
Microsoft Defender для деятельности экспертов
В следующей таблице перечислены действия в Microsoft Defender Эксперты, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения об экспертах по Microsoft Defender см. в разделах Сведения о Эксперты по Microsoft Defender для XDR и Сведения об экспертах по Microsoft Defender для охоты.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создано разрешение аналитика Defender Experts | DefenderExpertsAnalystPermissionCreated | Администратор предоставил аналитикам экспертов Defender одно или несколько разрешений на роль для расследования инцидентов или устранения угроз. |
| Изменено разрешение аналитика Defender Experts | DefenderExpertsAnalystPermissionModified | Администратор изменил разрешения роли для аналитиков экспертов Defender для расследования инцидентов или устранения угроз. |
действия Microsoft Defender для удостоверений
В следующей таблице перечислены действия для Microsoft Defender для удостоверений, которые записывает журнал аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен получатель уведомления об оповещении | AlertNotificationsRecipientAdded | Получатель был добавлен в конфигурацию уведомлений об оповещениях системы безопасности. |
| Добавлена конфигурация исключений | ExclusionConfigurationAdded | Для оповещения или сущности было добавлено глобальное исключение. |
| Добавлен получатель уведомления о проблемах работоспособности | MonitoringAlertNotificationRecipientAdded | Получатель был добавлен в конфигурацию уведомлений о проблемах работоспособности. |
| Добавлено действие по исправлению | RemediationActionAdded | В очередь добавлено действие исправления. |
| Добавлен датчик | SensorCreated | Добавлен новый датчик. |
| Созданная рабочая область | WorkspaceCreated | Рабочая область создана. |
| Удаленный получатель уведомления об оповещении | AlertNotificationsRecipientDeleted | Получатель был удален из конфигурации уведомлений об оповещениях системы безопасности. |
| Конфигурация удаленных исключений | ExclusionConfigurationDeleted | Глобальное исключение было удалено для оповещения или для сущности. |
| Получатель уведомления об удаленных проблемах работоспособности | MonitoringAlertNotificationRecipientDeleted | Получатель был удален из конфигурации уведомлений о проблемах. |
| Удаленная рабочая область | WorkspaceDeleted | Рабочая область удалена. |
| Скачанный excel для покрытия контроллера домена | DomainControllerCoverageExcelDownloaded | Скачан файл Excel для покрытия контроллера домена. |
| Скачан отчет | ОтчетСкачать | Был скачан отчет. |
| Скачанные оповещения системы безопасности Excel | AlertExcelDownloaded | Скачан подробный файл оповещений Excel. |
| Ключ развертывания повторного датчика | SensorDeploymentAccessKeyUpdated | Ключ доступа датчиков был повторно создан. |
| Удален датчик | SensorDeleted | Датчик был удален. |
| Получен ключ развертывания датчика | SensorDeploymentAccessKeyReceived | Получен ключ доступа датчиков. |
| Обновлена конфигурация порога оповещений | WorkspaceAlertThresholdLevelUpdated | Обновлена конфигурация пороговых значений оповещений. |
| Обновлена конфигурация учетной записи служб каталогов | DirectoryServicesAccountConfigurationUpdated | Набор учетных записей служб каталогов был изменен. |
| Обновлена конфигурация исправления сущностей | EntityRemediatorConfigurationUpdated | Изменен режим управления учетными записями действий. |
| Обновленные теги сущностей | TaggingConfigurationUpdated | Тег был добавлен или удален из сущности. |
| Обновленная конфигурация исключений | ExclusionConfigurationUpdated | Глобальное исключение было обновлено для оповещения или для сущности. |
| Обновлена проблема работоспособности | MonitoringAlertUpdated | Проблема работоспособности была изменена. |
| Обновлено действие по исправлению | ИсправлениеActionUpdated | Выполнено действие по исправлению. |
| Обновлена конфигурация действий по исправлению | RemediationActionConfigurationUpdated | Набор учетных записей действий "Управление действиями" был изменен. |
| Обновленная конфигурация репортера | ReporterConfigurationUpdated | Расписание отчета было изменено. |
| Обновленная конфигурация уведомлений системы безопасности | NotificationConfigurationUpdated | Изменена конфигурация уведомлений об оповещениях системы безопасности или проблемах работоспособности. |
| Обновленная конфигурация датчика | SensorConfigurationUpdated | Обновлена конфигурация датчика. |
| Обновленный режим активации датчиков | SensorActivationMethodConfigurationUpdated | Режим активации датчиков изменен. |
| Обновлена конфигурация переадресации системного журнала | SyslogServiceConfigurationUpdated | Конфигурация переадресации системного журнала была изменена. |
| Обновлена унифицированная конфигурация RBAC | URbacAuthorizationStatusChanged | Конфигурация единой контроль доступа на основе ролей была изменена. |
| Обновленная конфигурация VPN | VpnConfigurationUpdated | Конфигурация VPN (учет радиуса) была изменена. |
Microsoft Defender для Office 365 мероприятий
В следующей таблице перечислены действия для Microsoft Defender для Office 365, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft Defender для Office 365 см. в Microsoft Defender обзоре Office 365.
Примечание.
Эти события не отображаются как понятные имена в поиске аудита. Эта таблица является дополнительным ресурсом для схемы API действий управления Office 365.
| События | Операция | Описание |
|---|---|---|
| События оповещений | SecurityComplianceAlerts | Оповещения системы безопасности и соответствия требованиям для оповещений, созданных на основе политик оповещений в Центре безопасности и соответствия требованиям. |
| События администратора имитации атак | AttackSimAdmin | События, связанные с действиями администратора в Office 365 & обучения & атак в Microsoft Defender. |
| События обучения имитации атак | UserTraining | События, связанные с обучением пользователей в Microsoft Defender для Office 365 симуляции атак &. |
| События пользователей имитации атак | AttackSim | События, связанные с действиями пользователей в моделировании атак & обучения в Microsoft Defender для Office 365. |
| События автоматического реагирования на инциденты (AIR) | AirInvestigation | События и данные автоматического реагирования на инциденты (AIR) |
| События кампании | Кампания | События почтовой кампании из Microsoft Defender для Office 365. |
| События обнаружения содержимого | ThreatIntelligenceAtpContent | События фишинга и вредоносных программ для файлов в SharePoint, OneDrive для бизнеса и Microsoft Teams из Microsoft Defender для Office 365. |
| События исходящей нежелательной почты | HygieneEvent | События, связанные с защитой от исходящего спама. |
| Фишинг и вредоносные программы | ThreatIntelligence | События фишинга и вредоносных программ из Exchange Online Protection и Microsoft Defender для Office 365. |
| События карантина | Карантин | Карантин событий из Microsoft Defender для Office 365. |
| События отправки | MailSubmission | события Администратор и отправки пользователем из Exchange Online Protection и Microsoft Defender для Office 365. |
| События нажатия URL-адреса | ThreatIntelligenceUrl | События времени блокировки безопасных ссылок и переопределения блокировки из Microsoft Defender для Office 365. |
Microsoft Defender XDR настраиваемые действия обнаружения
В следующей таблице перечислены настраиваемые действия обнаружения для Microsoft Defender XDR, записанные в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft Defender XDR пользовательских обнаружениях см. в статье Создание настраиваемых правил обнаружения и управление ими.
| Понятное имя | Операция | Описание |
|---|---|---|
| Изменено состояние настраиваемого правила обнаружения | ChangeCustomDetectionRuleStatus | Пользовательское правило обнаружения было отключено или включено. |
| Созданное пользовательское правило обнаружения | CreateCustomDetection | Создано новое пользовательское правило обнаружения. |
| Удаленное пользовательское правило обнаружения | DeleteCustomDetection | Пользовательское правило обнаружения удалено. |
| Измененное пользовательское правило обнаружения | EditCustomDetection | Пользовательское правило обнаружения было изменено. |
| Выполнено настраиваемое правило обнаружения | RunCustomDetection | Пользовательское правило обнаружения было выполнено вручную. |
действия Microsoft Defender XDR инцидентов
В следующей таблице перечислены действия по инцидентам для Microsoft Defender XDR, записанные в журнале аудита Microsoft 365. Дополнительные сведения об инцидентах в Microsoft Defender XDR см. в статье Общие сведения об инцидентах.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен комментарий к инциденту | AddCommentToIncident. | Добавлен комментарий к инциденту. |
| Добавлены теги к инциденту | AddTagsToIncident | Добавлены теги к инциденту. |
| Назначенный пользователь инциденту | AssignUserToIncident | Назначен пользователь инциденту. |
| Изменение классификации инцидентов | EditIncidentClassification | Изменение классификации инцидентов. |
| Удалены теги из инцидента | RemoveTagsFromIncident | Удалены теги из инцидента. |
| Неназначаемый пользователь в инцидент | UnAssignUserFromIncident | Неназначаемый пользователь к инциденту. |
| Обновлено состояние инцидентов | UpdateIncidentStatus | Обновлено состояние инцидентов. |
действия правил подавления Microsoft Defender XDR
В следующей таблице перечислены действия для правил подавления для Microsoft Defender XDR, записанные в журнале аудита Microsoft 365. Дополнительные сведения о правилах подавления в Microsoft Defender XDR см. в разделе Управление правилами подавления.
| Понятное имя | Операция | Описание |
|---|---|---|
| Созданное правило подавления | CreateSuppressionRule | Создано правило подавления оповещений. |
| Удаленное правило подавления | DeleteSuppressionRule | Удалено правило подавления оповещений. |
| Отключенное правило подавления | DisableSuppressionRule | Отключено правило подавления оповещений. |
| Измененное правило подавления | EditSuppressionRule | Удалено правило подавления оповещений. |
| Включено правило подавления | EnableSuppressionRule | Включено правило подавления оповещений. |
Действия Microsoft Edge WebContentFiltering
В следующей таблице перечислены действия браузера в Microsoft Edge, записанные в журнале аудита Microsoft 365 для функции WebContentFiltering. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в файле .csv при экспорте результатов поиска.
Поиск по журналу аудита описывает, как выполнять поиск в журналах аудита на портале Microsoft Purview. Пользователи должны быть глобальными администраторами или иметь разрешения на чтение аудита для доступа к журналам аудита. Используйте фильтр Действия для поиска определенных действий. Чтобы получить список всех действий WebContentFiltering, выберите WebContentFiltering в фильтре Типа записи . Используйте поля диапазон дат и список Пользователи, чтобы при необходимости область результатов поиска.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Разрешенная навигация по URL-адресу в Microsoft Edge | URLNavigationAllowed | Пользователь просматривает URL-адрес. |
| Навигация по заблокированным URL-адресам в Microsoft Edge | URLNavigationBlocked | Url-адрес для просмотра заблокирован политикой WebContentFiltering. |
действия Microsoft Entra администрирования группы
В следующей таблице перечислены действия администрирования групп, которые записываются в журнал аудита Microsoft 365, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью Центр администрирования Microsoft 365 или портала управления Azure. Дополнительные сведения о группах в Microsoft 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.
Примечание.
Имена операций, перечисленные в столбце Операция в следующей таблице, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлена группа | AddGroup | Создана группа. |
| В группу добавлен участник | AddMemberToGroup. | В группу был добавлен участник. |
| Удалена группа | Удаление группы. | Группа была удалена. |
| Участник удален из группы | RemoveMemberFromGroup. | Из группы удален участник. |
| Обновлена группа | UpdateGroup. | Свойство группы изменилось. |
действия по обнаружению рисков Microsoft Entra
В следующей таблице перечислены действия по обнаружению рисков, записанные в журнале аудита Microsoft 365 при использовании защиты Microsoft Entra ID. Дополнительные сведения об обнаружении рисков см. в статье Сведения об обнаружении рисков.
| Понятное имя | Операция | Описание |
|---|---|---|
| Обнаружение скомпрометированного входа | CompromisedSignIn | Обнаружение рисков при входе представляет вероятность того, что заданный запрос на проверку подлинности не является полномочным владельцем учетной записи. |
| Обнаружение скомпрометированных пользователей | КомпрометацияUser | Обнаружение рисков пользователей может помечать законную учетную запись пользователя как подверженную риску, когда потенциальный субъект угрозы получает доступ к учетной записи путем компрометации своих учетных данных или когда он обнаруживает какой-либо аномальный тип действий пользователя. |
Действия Microsoft Fabric
В следующей таблице показаны действия Microsoft Fabric в Power BI, которые записываются в журнале аудита Microsoft 365. В журнале аудита можно искать действия, выполненные в Power BI. Сведения о параметрах аудита см. в разделе Параметры клиента аудита и использования.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создание сопоставления проверки подлинности между клиентами | CreateCrossTenantAuthMapping | Создайте сопоставление пользователей для функции проверки подлинности между клиентами. |
| Удален поток задач | DeletedTaskFlow | Удален поток задач. |
| Скачанные журналы обновления потока данных | DownloadedDataflowRefreshLogs | Скачанные журналы обновления потока данных. |
| Экспорт определений элементов | ExportItemDefinitions | Экспорт нескольких определений элементов из рабочей области. |
| Импорт определений элементов | ImportItemDefinitions | Импортируйте несколько определений элементов в рабочую область. |
| Экспортировано определение элемента | ItemDefinitionExported | Экспортировано определение элемента Fabric. |
| Список всех сопоставлений проверки подлинности между клиентами | ListCrossTenantAuthMappings | Вывод списка сопоставлений проверки подлинности между клиентами в клиенте. |
| Обновленный выбор элементов Git | GitItemsSelectionUpdated | Обновлен выбор элементов Git. |
Действия Microsoft Forms
В следующей таблице показаны действия пользователей и администраторов в Microsoft Forms, которые записываются в журнал аудита Microsoft 365. Microsoft Forms — это средство форм, тестов и опросов, которые можно использовать для сбора данных для анализа. Некоторые операции включают дополнительные параметры действия, как указано в описаниях.
Если соавтор или анонимный респондент выполняет действие Forms, журнал аудита записывает его немного иначе. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен соавтор формы | AddFormCoauthor | Пользователь использует ссылку для совместной работы для разработки формы или просмотра ответов. Это событие регистрируется, когда пользователь использует URL-адрес совместной работы (а не при первом создании URL-адреса совместной работы). |
| Добавлен определенный ответчик | AddSpecificResponder | Владелец формы добавляет нового пользователя или группу в список определенных ответчиков. |
| Разрешен общий доступ к форме для копирования | AllowShareFormForCopy | Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями. Это событие регистрируется, когда владелец формы выбирает для создания URL-адреса шаблона. |
| Подключено к книге Excel | ConnectToExcelWorkbook | Форма подключена к книге Excel. Свойство ExcelWorkbookLink:string — это связанный идентификатор книги Excel текущей формы. |
| Коллекция создана | CollectionCreated | Владелец формы создал коллекцию. |
| Создан комментарий | CreateComment | Владелец формы добавляет к тесту комментарий или оценку. |
| Создана форма | CreateForm | Владелец формы создает форму. Свойство DataMode:string — это текущая форма, заданная для синхронизации с новой или существующей книгой Excel, если значение свойства равно DataSync. Свойство ExcelWorkbookLink:string — это связанный идентификатор книги Excel текущей формы. |
| Создан ответ | CreateResponse | Аналогично получению нового ответа. Пользователь отправил ответ на форму. Просматриваемый результат — свойство ResponseId:string и свойство ResponseerId:string. Для анонимного респондента свойство ResponderId имеет значение NULL. |
| Создана ссылка на сводку | GetSummaryLink | Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа. |
| Удалены все ответы | DeleteAllResponses | Владелец формы удаляет все данные ответов. |
| Коллекция удалена из корзины | CollectionHardDeleted | Владелец формы безвозвратно удалил коллекцию из корзины. |
| Удалена форма | DeleteForm | Владелец формы удаляет ее. Это действие включает SoftDelete (используется параметр удаления и форма перемещена в корзину) и HardDelete (корзина очищается). |
| Удален ответ | DeleteResponse | Владелец формы удаляет один ответ. Свойство ResponseId:string — это удаляемый ответ. |
| Удалена ссылка на сводку | DeleteSummaryLink | Владелец формы удаляет ссылку на сводку результатов. |
| Отключен параметр "Любой пользователь может ответить" | DisallowAnonymousResponse | Владелец формы отключает параметр, позволяющий любому пользователю отвечать на форму. |
| Отключена совместная работа | DisableCollaboration | Владелец формы отключает параметр совместной работы над формой. |
| Отключен параметр "Определенные пользователи могут отвечать" | DisableSpecificResponse | Владелец формы отключает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации. |
| Запрещен общий доступ к форме для копирования | DisallowShareFormForCopy | Владелец формы удаляет ссылку на шаблон. |
| Изменена форма | EditForm | Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос. Свойство EditOperation:string — это имя операции редактирования. Возможны следующие операции: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice -DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage включает любое место в Forms, куда пользователь может отправить изображение, например в запросе или в качестве фоновой темы. |
| Включен параметр "Любой пользователь может ответить" | AllowAnonymousResponse | Владелец формы включает параметр, позволяющий любому пользователю отвечать на форму. |
| Включена совместная работа для рабочей или учебной учетной записи Office 365 | EnableWorkOrSchoolCollaboration | Владелец формы включает параметр, позволяющий пользователям с рабочей или учебной учетной записью Microsoft 365 просматривать и редактировать форму. |
| Включена совместная работа пользователей в моей организации | EnableSameOrgCollaboration | Владелец формы включает параметр, позволяющий пользователям в текущей организации просматривать и редактировать форму. |
| Включен параметр "Определенные пользователи могут отвечать" | EnableSpecificResponse | Владелец формы включает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации. |
| Включена совместная работа для определенных пользователей | EnableSpecificCollaboaration | Владелец формы включает параметр, позволяющий просматривать и редактировать форму только определенным пользователям или группам в текущей организации. |
| Экспортирована форма | ExportForm | Владелец формы экспортирует результаты в Excel. Свойство ExportFormat:string имеет значение, если файл Excel имеет значение Download или Online. |
| Получен список форм | ListForms | Владелец формы просматривает список форм. Свойство ViewType:string — это представление, которое просматривает владелец формы: Все формы, Доступные мне или Групповые формы |
| Форма перемещена в коллекцию | MovedFormIntoCollection | Владелец формы переместил форму в коллекцию. |
| Форма перемещена из коллекции | MovedFormOutofCollection | Владелец формы переместил форму из коллекции. |
| Коллекция перемещена в корзину | CollectionSoftDeleted | Владелец формы переместил коллекцию в корзину. |
| Перемещена форма | MoveForm | Владелец формы перемещает форму. Property DestinationUserId:string — это идентификатор пользователя, переместившего форму. Свойство NewFormId:string — это новый идентификатор скопированной формы. Свойство IsDelegateAccess:boolean — это текущее действие перемещения формы, выполняемое через страницу делегата администратора. |
| Выполнен предварительный просмотр формы | PreviewForm | Владелец формы просматривает форму с помощью функции предварительного просмотра. |
| Удален соавтор формы | RemoveFormCoauthor | Владелец формы удаляет ссылку для совместной работы. |
| Удален определенный ответчик | RemoveSpecificResponder | Владелец формы удаляет нового пользователя или группу из списка определенных ответчиков. |
| Коллекция переименована | CollectionRenamed | Владелец формы изменил имя коллекции. |
| Отправлено приглашение в Forms Pro | ProInvitation | Пользователь выбирает активацию пробной версии Pro. |
| Отправлен ответ | SubmitResponse | Пользователь отправляет ответ в форму. Свойство IsInternalForm:boolean имеет значение , если ответчик находится в той же организации, что и владелец формы. |
| Коллекция обновлена | CollectionUpdated | Владелец формы обновил свойство коллекции. |
| Обновлено состояние фишинга формы | UpdatePhishingStatus | Это событие регистрируется при изменении подробного значения состояния внутренней безопасности независимо от того, влияет ли это изменение на конечное состояние безопасности (например, форма теперь закрыта или открыта). Это изменение может привести к дублированию событий без окончательного изменения состояния безопасности. Возможные значения состояния для этого события: - Зафиксировать - Зафиксировать администратором - Администратор разблокировал - Заблокировано автоматически - Разблокировано автоматически - Сообщено клиентом - Сброс сообщений клиента |
| Обновлен параметр формы | UpdateFormSetting | Владелец формы обновляет один или несколько параметров формы. Свойство FormSettingName:string обновляет имя конфиденциальных параметров. Свойство NewFormSettings:string обновляет имя и новое значение параметров. Свойство thankYouMessageContainsLink:boolean обновлено благодарственное сообщение содержит URL-ссылку. |
| Обновлен ответ | UpdateResponse | Владелец формы обновил комментарий или оценку теста. Просматриваемый результат — свойство ResponseId:string и свойство ResponseerId:string. Для анонимного респондента свойство ResponderId имеет значение NULL. |
| Обновлено состояние фишинга пользователя | UpdateUserPhishingStatus | Это событие регистрируется при изменении значения состояния безопасности пользователя. Значение состояния пользователя в записи аудита подтверждено как фишинговое , когда пользователь создал форму фишинга, которую сняла группа безопасности Microsoft Online. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя. |
| Обновлен параметр пользователя | UpdateUserSetting | Владелец формы обновляет параметр пользователя. Свойство UserSettingName:string — это имя и новое значение параметра. |
| Просмотрена форма (время разработки) | ViewForm | Владелец формы открывает существующую форму для изменения. Свойство AccessDenied:boolean — доступ в текущей форме запрещен из-за разрешения проверка. Свойство FromSummaryLink:boolean — это текущий запрос, поступающий со страницы сводной ссылки. |
| Просмотрен ответ | ViewResponse | Владелец формы просматривает определенный ответ. Просматриваемый результат — свойство ResponseId:string и свойство ResponseerId:string. Для анонимного респондента свойство ResponderId имеет значение NULL. |
| Просмотрена страница ответов | ViewRuntimeForm | Пользователь открыл страницу ответа для просмотра. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет. |
| Просмотрены ответы | ViewResponses | Владелец формы просматривает обобщенный список ответов. Свойство ViewType:string указывает, просматривает ли владелец формы подробные сведения или агрегат |
Действия в Forms, выполняемые соавторами и анонимными респондентами
Формы поддерживают совместную работу при разработке форм и анализе ответов. Участник совместной работы по созданию форм называется соавтором. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.
В следующей таблице описаны действия аудита и сведения, записанные в журнале аудита Microsoft 365 для действий, выполняемых соавторами и анонимными респондентами.
| Тип действия | Внутренний или внешний пользователь | ИД пользователя, который выполнил вход | Организация, в которую выполнен вход | Тип пользователя Forms |
|---|---|---|---|---|
| Совместное редактирование | Внешний | urn:forms:coauthor#[email protected](Вторая часть идентификатора — это хэш, который отличается для разных пользователей) |
Организация владельца формы |
Соавтор |
| Совместное редактирование | Внешний | Имя участника-пользователя |
Организация соавтора |
Соавтор |
| Совместное редактирование | Внутренний | Имя участника-пользователя | Организация владельца формы | Соавтор |
| Действия ответа | Анонимный | urn:forms:anonymous#[email protected](Вторая часть идентификатора пользователя — это хэш, который отличается для разных пользователей) |
Организация владельца формы | Респондент |
| Действия ответа | Внешний | urn:forms:external#[email protected](Вторая часть идентификатора пользователя — это хэш, который отличается для разных пользователей) |
Организация владельца формы | Респондент |
| Действия ответа | Внешний | Имя участника-пользователя |
Организация респондента |
Респондент |
Microsoft Graph Data Connect
В следующей таблице перечислены действия пользователей и администраторов в Microsoft Graph Data Connect , записанные в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
| Понятное имя | Операция | Описание |
|---|---|---|
| Приложение утверждено или запрещено | ConsentModificationRequest | Пользователь выполнил запрос на изменение согласия. |
| Извлечение выполнено | DataAccessRequestOperation | Пользователь выполнил извлечение. Наборы данных партнеров и запуски независимого поставщика программного обеспечения исключаются. |
Действия Microsoft Places каталогов
В следующей таблице перечислены действия администратора в каталоге Microsoft Places, которые записываются в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображающееся в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создано место | CreatedPlace | Администратор выполнил операцию по созданию мест. |
| Удалено место | DeletedPlace | Администратор выполнил операцию по удалению мест. |
| Обновлено место | UpdatedPlace | Администратор выполнил операцию по обновлению мест. |
действия Планировщик (Майкрософт)
В следующей таблице перечислены действия пользователей и администраторов в Планировщик (Майкрософт), которые записываются в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображающееся в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Примечание.
Действия с портфелем в Планировщике регистрируются в Microsoft Project для действий веб-плана. Дополнительные сведения см. в разделе Действия microsoft Project в Интернете.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен участник в список | RosterMemberAdded | Участник был добавлен в реестр. Если операция добавления была ResultStatus.Failure или ResultStatus.AuthorizationFailure, memberIds — это список идентификаторов участников, которые пытались выполнить. |
| Назначена задача | TaskAssigned | Назначение задачи было изменено пользователем или приложением. Это может быть неназначаемая задача, назначаемая или назначенная задача с новым назначаемого. |
| Выполнена задача | TaskCompleted | Задача помечена пользователем или приложением как завершенная. |
| Скопирован план | PlanCopied | План был скопирован пользователем или приложением. Если операция копирования была resultStatus.Failure или ResultStatus.Failure, newPlanId имеет значение NULL, newContainerType — ContainerType.Invalid, а newContainerId — NULL. |
| Создание цели | ЦельСоздать | Цель была создана пользователем или приложением. Если операция создания была ResultStatus.Failure или ResultStatus.AuthorizationFailure, объект ObjectId имеет значение NULL, а PlanId — null. |
| Создан план | PlanCreated | План был создан пользователем или приложением. Если операция создания была resultStatus.Failure или ResultStatus.AuthorizationFailure, objectId имеет значение NULL, ContainerType — ContainerType.Invalid , а ContainerId — NULL. |
| Создан список | РеестрСоздать | Реестр был создан пользователем или приложением. Если операция создания была ResultStatus.Failure или ResultStatus.AuthorizationFailure, objectId имеет значение NULL, MemberIds — пустую строку. |
| Создание задачи | TaskCreated | Задача была создана пользователем или приложением. Если операция создания была ResultStatus.Failure или ResultStatus.AuthorizationFailure, объект ObjectId имеет значение NULL, а PlanId — null. |
| Удалена цель | GoalDeleted | Цель была удалена пользователем или приложением. |
| Удален план | PlanDeleted | План был удален пользователем или приложением. |
| Удален список | RosterDeleted | Список был удален пользователем или приложением. |
| Удалена задача | TaskDeleted | Задача была удалена пользователем или приложением. |
| Изменение цели | GoalModified | Цель была изменена пользователем или приложением. |
| Изменение плана | PlanModified | План был изменен пользователем или приложением. |
| Изменение задачи | TaskModified | Задача была изменена пользователем или приложением. |
| Чтение цели | GoalRead | Цель была прочитана пользователем или приложением. Если операция чтения была resultStatus.Failure или ResultStatus.AuthorizationFailure, значение PlanId будет иметь значение NULL. |
| Чтение списка целей | GoalListRead | Список целей был запрошен пользователем или приложением. Если операция запроса была ResultStatus.Failure или ResultStatus.AuthorizationFailure, GoalList — это пустая строка. |
| Чтение списка планов | PlanListRead | Список планов был запрошен пользователем или приложением. Если операция запроса была ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanList — это пустая строка. |
| Чтение списка задач | TaskListRead | Список задач был запрошен пользователем или приложением. Если операция запроса была ResultStatus.Failure или ResultStatus.AuthorizationFailure, TaskList является пустой строкой. |
| Чтение плана | PlanRead | План был прочитан пользователем или приложением. Если операция чтения была resultStatus.Failure или ResultStatus.AuthorizationFailure, containerType имеет значение ContainerType.Invalid , а ContainerId — null. |
| Чтение задачи | TaskRead | Задача была прочитана пользователем или приложением. Если операция чтения была resultStatus.Failure или ResultStatus.AuthorizationFailure, planId имеет значение NULL. |
| Удален член в реестре | RosterMemberDeleted | Член был исключен из реестра. Если операция удаления была resultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds — это список идентификаторов участников, которые пытались выполнить. |
| Обновлена метка конфиденциальности списка | РеестрSensitivityLabelUpdated | Пользователь или приложение обновляет метку конфиденциальности реестра. |
| Обновлены параметры клиента | TenantSettingsUpdated | Параметры организации обновляются администратором организации. Если операция обновления была ResultStatus.Failure или ResultStatus.AuthorizationFailure, objectId — это исходные параметры, а TenantSettings — это параметры организации, которые пытались выполнить. |
Действия, связанные с Microsoft Power Apps
В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps. К таким действиям относятся создание, запуск и публикация приложений. Назначение разрешений для приложений также подлежит аудиту. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.
Примечание.
События аудита политик оповещений (Оповещение защиты) (RecordType:45) в настоящее время не поддерживаются для PowerApps.
Действия, связанные с Microsoft Power Automate
В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока.
Действия Microsoft Project в Интернете
Вы можете искать действия в журнале аудита в Microsoft Project в Интернете. Microsoft Project в Интернете основана на Microsoft Dataverse и связана с Project Power App. Сведения о включении аудита для сценариев, в которых пользователь использует Microsoft Dataverse или Project Power App, см. в руководстве по аудиту параметров системы . Список сущностей, связанных с Project в Интернете, см. в руководстве по экспорту данных пользователей из Project в Интернете.
Сведения о microsoft Project в Интернете см. в разделе Microsoft Project в Интернете.
Примечание.
Для аудита событий для действий Microsoft Project в Интернете требуется платная лицензия Project, план 1 (или выше).
В следующей таблице перечислены веб-действия Microsoft Project, записанные в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Созданный проект | ProjectCreated | Проект был создан пользователем или приложением. |
| Созданная дорожная карта | Дорожная картаСоздать | План развития или портфель был создан пользователем или приложением. |
| Созданный элемент дорожной карты | RoadmapItemCreated | Элемент стратегии или портфеля был создан пользователем или приложением. |
| Созданная задача | TaskCreated | Задача была создана пользователем или приложением. |
| Удаленный проект | ProjectDeleted | Проект был удален пользователем или приложением. |
| Удаленная дорожная карта | Дорожная картаDeleted | Стратегия или портфель были удалены пользователем или приложением. |
| Удаленный элемент дорожной карты | RoadmapItemDeleted | Элемент стратегии или портфеля был удален пользователем или приложением. |
| Удаленная задача | TaskDeleted | Задача была удалена пользователем или приложением. |
| Доступ к проекту | ProjectAccessed | Проект был прочитан пользователем или приложением. |
| Доступ к домашней странице проекта | ProjectListAccessed | Пользователь запросил список проектов и (или) дорожных карт. |
| Доступ к дорожной карте | Дорожная картаДоступ | Стратегия или портфолио были прочитаны пользователем или приложением. |
| Доступ к элементу дорожной карты | RoadmapItemAccessed | Пользователь или приложение прочитали элемент стратегии или портфеля. |
| Задача, доступ к ней | TaskAccessed | Задача была прочитана пользователем или приложением. |
| Обновленный проект | ProjectUpdated | Проект был изменен пользователем или приложением. |
| Обновлены параметры проекта | ProjectForTheWebProjectSettings | Администратор обновил параметры проекта. |
| Обновленная дорожная карта | Дорожная картаОбдуется | Стратегия или портфель были изменены пользователем или приложением. |
| Обновленный элемент дорожной карты | RoadmapItemUpdated | Элемент стратегии или портфеля был изменен пользователем или приложением. |
| Обновленные параметры дорожной карты | ProjectForTheWebRoadmaptSettings | Администратор обновил дорожную карту или параметры портфеля. |
| Обновленная задача | TaskUpdated | Задача была изменена пользователем или приложением. |
действия Аудит Microsoft Purview решения
В следующей таблице перечислены действия, связанные с решениями аудита на портале Microsoft Purview и API Graph аудита поиска. Рабочая нагрузка SecurityComplianceCenter выполняет аудит этих действий. Дополнительные сведения см. в разделе Поиск в журнале аудита.
Аудит действий поиска и экспорта, использующих Search-UnifiedAuditLog , не выполняется.
| Понятное имя | Операция | Описание |
|---|---|---|
| Аудит поиска отменен | AuditSearchCancelled | Задание поиска аудита было отменено. |
| Поиск аудита завершен | AuditSearchCompleted | Задание поиска аудита завершено. |
| Создан поиск аудита | AuditSearchCreated | Отправлен новый запрос на поиск аудита. |
| Аудит поиска удален | AuditSearchDeleted | Задание поиска аудита было удалено. |
| Аудит задания экспорта поиска завершено | AuditSearchExportJobCompleted | Задание экспорта для экспорта результатов поиска в поисковом запросе аудита завершено. |
| Аудит созданного задания экспорта поиска | AuditSearchExportJobCreated | Для экспорта результатов запроса аудита было создано задание экспорта. |
| Скачанные результаты экспорта аудита поиска | AuditSearchExportResultsСкачать | Результаты поиска из поискового запроса аудита были загружены. |
Действия по управлению Microsoft Purview
В следующей таблице перечислены действия системы управления Microsoft Purview, записанные в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Решения для управления Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Созданный ресурс или сущность | EntityCreated | Новый ресурс или сущность был создан или добавлен в существующий ресурс. |
| Добавлена классификация | КлассификацияДобавлено | Добавлены классификации для сущности актива. |
| Создано определение классификации | ClassificationDefinitionCreated | Создан тип классификации. |
| Определение классификации удалено | ClassificationDefinitionDeleted | Удален тип классификации. |
| Обновлено определение классификации | ClassificationDefinitionUpdated | Обновлен тип классификации. |
| Удалена классификация | ClassificationDeleted | Удалены классификации из сущности ресурса. |
| Классификация обновлена | ClassificationUpdated | Обновлены классификации сущностей активов. |
| Сущность удалена | EntityDeleted | Ресурс или сущность удалены из существующего ресурса. |
| Сущность обновлена | EntityUpdated | Включает: обновление атрибута, обновление бизнес-атрибута, сведения о коллекции (включая только идентификатор коллекции), обновление контактов, customAttributes, иерархия, homeId, метки, sourceDetails |
| Назначенный термин глоссария | GlossaryTermAssigned | Назначенные термины сущности актива. |
| Созданный термин глоссария | GlossaryTermCreated | Создал термин. |
| Термин глоссария удален | GlossaryTermDeleted | Удален термин. |
| Термин глоссария не связан | GlossaryTermDisassociated | Отсоединенные термины от сущности актива. |
| Термин глоссария обновлен | GlossaryTermUpdated | Обновлен термин. |
| Метка конфиденциальности изменена | SensitivityLabelChanged | Метка конфиденциальности добавлена, обновлена или удалена. |
Действия по классификации microsoft Purview по запросу
В следующей таблице перечислены действия из классификации Microsoft Purview по запросу, которые записываются в журнале аудита Microsoft 365. Дополнительные сведения о классификации по запросу см. в статье Сведения о классификации по запросу в Microsoft Purview.
Примечание.
Эти действия аудита доступны только в разделе Аудит (Премиум). Вам должна быть назначена соответствующая лицензия, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Классифицированный файл в рамках проверки классификации по запросу | DataScanClassification | Файл был оценен на наличие конфиденциального содержимого в рамках проверки классификации по запросу для SharePoint или OneDrive. |
| Классифицированный файл на устройстве в рамках проверки классификации по запросу | SensitiveInfoDiscovered | Файл был оценен на наличие конфиденциального содержимого в рамках проверки классификации по запросу для устройств конечных точек. |
| Рассекреченный файл в рамках проверки классификации по запросу | DataScanDeClassification | Файл больше не соответствует типам конфиденциальной информации, определенным в соответствующей проверке классификации по запросу для расположений SharePoint или OneDrive. |
Управление агентом Microsoft Security Copilot
В следующей таблице перечислены операции управления агентом в Security Copilot, которые записывает журнал аудита Microsoft 365. Эти действия характеризуют действия агентов и компоненты, необходимые для их работы, такие как триггеры. Дополнительные сведения об управлении агентами Security Copilot см. в статье Общие сведения об Microsoft Security Copilot агентах.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан новый агент Security Copilot | CreateCopilotAgent | Пользователь (администратор или система от имени пользователя) создал новый агент Security Copilot. |
| Создан новый триггер агента Security Copilot | CreateCopilotforSecurityAgentTrigger | Пользователь (или администратор или система от имени пользователя) создал новую книгу подсказок в Copilot. |
| Удален агент Security Copilot | DeleteCopilotAgent | Пользователь (администратор или система от имени пользователя) удалил агент Security Copilot. |
| Удален триггер агента Security Copilot | DeleteCopilotForSecurityAgentTrigger | Пользователь (администратор или система от имени пользователя) удалил триггер Security Copilot. |
| Обновлен параметр агента Security Copilot | UpdateCopilotAgent | Пользователь (администратор или система от имени пользователя) обновил параметр агента Security Copilot. |
| Обновлен триггер агента Security Copilot | UpdateCopilotforSecurityAgentTrigger | Пользователь (администратор или система от имени пользователя) обновил параметр триггера агента Security Copilot. |
взаимодействие Microsoft Security Copilot
В следующей таблице перечислены типы взаимодействия пользователей с компонентами ИИ в Security Copilot, которые записываются в журнал аудита Microsoft 365. Эти операции представляют собой отдельные запросы, внедренные интерфейсы или агентские рабочие процессы. Дополнительные сведения о взаимодействии Security Copilot см. в статье Запрос в Security Copilot и Microsoft Security Copilot агентах.
| Понятное имя | Операция | Описание |
|---|---|---|
| Взаимодействие с Copilot | CopilotInteraction | Пользователь (администратор или система от имени пользователя) ввел запросы в Copilot или агенте. |
управление платформой Microsoft Security Copilot
В следующей таблице перечислены операции управления Security Copilot и ее компоненты, которые записываются журналом аудита Microsoft 365. Эти операции представляют параметры клиента или рабочей области или компоненты ИИ, такие как подключаемые модули и модули подсказок. Дополнительные сведения об элементах управления Security Copilot см. в статье Что такое Microsoft Security Copilot.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан новый подключаемый модуль Copilot | CreatePlugin | Пользователь (или администратор или система от имени пользователя) создал новый подключаемый модуль Copilot. |
| Создан новый сборник подсказок Copilot | CreatePromptBook | Пользователь (или администратор или система от имени пользователя) создал новую книгу подсказок в Copilot. |
| Удален подключаемый модуль Copilot | DeletePlugin | Пользователь (или администратор или система от имени пользователя) удалил подключаемый модуль Copilot. |
| Удалена книга подсказок Copilot | DeletePromptBook | Пользователь (администратор или система от имени пользователя) удалил книгу подсказок Copilot. |
| Отключен подключаемый модуль Copilot | DisableCopilotPlugin | Пользователь (администратор или система от имени пользователя) отключил подключаемый модуль Copilot. |
| Отключение модуля командной строки Copilot | DisablePromptBook | Пользователь (или администратор или система от имени пользователя) отключил сборник подсказок Copilot. |
| Включен подключаемый модуль Copilot | EnablePlugin | Пользователь (администратор или система от имени пользователя) включил подключаемый модуль Copilot. |
| Включен модуль командной строки Copilot | EnablePromptBook | Пользователь (администратор или система от имени пользователя) включил сборник подсказок Copilot. |
| Обновлен параметр подключаемого модуля Copilot | UpdatePlugin | Пользователь (администратор или система от имени пользователя) обновил параметр подключаемого модуля Copilot. |
| Обновлен параметр модуля командной строки Copilot | UpdatePromptBook | Пользователь (или администратор или система от имени пользователя) обновил параметр модуля командной строки Copilot. |
| Обновлен параметр Copilot | UpdateTenantSettings | Администратор (или система от имени администратора) обновил параметр Copilot. |
действия средств ИИ Microsoft Sentinel
В следующей таблице перечислены действия, связанные со средством ИИ, в Microsoft Sentinel озера данных, записанные в журнале аудита Microsoft 365. Дополнительные сведения о средствах MCP в Microsoft Sentinel озера данных см. в разделе Коллекция инструментов на сервере MICROSOFT SENTINEL MCP.
| Понятное имя | Операция | Описание |
|---|---|---|
| Завершенный запуск средства ИИ | SentinelAIToolRunCompleted | Microsoft Sentinel запуск средства искусственного интеллекта завершен |
| Созданное средство ИИ | SentinelAIToolCreated | Пользователь создает средство ИИ Microsoft Sentinel |
| Запуск средства ИИ | SentinelAIToolRunStarted | Запуск средства ИИ Microsoft Sentinel |
действия с записными книжками Microsoft Sentinel озера данных
В следующей таблице перечислены действия записных книжек в Microsoft Sentinel Data Lake, записанные в журнале аудита Microsoft 365. Дополнительные сведения о записных книжках в Microsoft Sentinel озера данных см. в статье Использование записных книжек в Microsoft Sentinel озера данных.
| Понятное имя | Операция | Описание |
|---|---|---|
| Удалена настраиваемая таблица | CustomTableDelete | Пользователь удалил таблицу в ходе выполнения записной книжки. |
| Чтение из таблицы | TableRead | Пользователь считывает таблицу в рамках выполнения записной книжки. |
| Запущенный сеанс | SessionStarted | Пользователь запустил сеанс записной книжки. |
| Остановленный сеанс | SessionStopped | Пользователь остановил сеанс записной книжки. |
| Функция записи в настраиваемую таблицу | CustomTableWrite | Пользователь написал в таблицу в рамках выполнения записной книжки. |
Microsoft Sentinel действия заданий озера данных
В следующей таблице перечислены действия заданий в Microsoft Sentinel озера данных, которые записывает журнал аудита Microsoft 365. Дополнительные сведения о заданиях в Microsoft Sentinel озера данных см. в разделах Создание заданий записной книжки Jupyter и управление ими (предварительная версия) и Создание заданий KQL в Microsoft Sentinel озера данных (предварительная версия).
| Понятное имя | Операция | Описание |
|---|---|---|
| Завершено выполнение задания adhoc | JobRunAdhocCompleted | Выполнение нерегламентированного задания завершено. |
| Завершено запланированное выполнение задания | JobRunScheduledCompleted | Запланированное выполнение задания завершено. |
| Созданное задание | JobCreated | Задание создано. |
| Удалена настраиваемая таблица | CustomTableDelete | В ходе выполнения задания пользовательская таблица была удалена. |
| Удаленное задание | JobDeleted | Задание удаляется. |
| Отключенное задание | JobDisabled | Задание отключено. |
| Включено задание | JobEnabled | Повторное включение отключенного задания. |
| Запуск задания adhoc | JobRunAdhoc | Задание активируется вручную и запускается. |
| Выполнение задания по расписанию | JobRunScheduled | Выполнение задания активируется из-за расписания. |
| Чтение из таблицы | TableRead | При выполнении задания считывается таблица. |
| Остановлен запуск задания | JobRunStopped | Пользователь вручную отменяет или останавливает текущее выполнение задания. |
| Обновлено задание | JobUpdated | Сведения об определении задания и (или) конфигурации и расписании задания при обновлении. |
| Функция записи в настраиваемую таблицу | CustomTableWrite | В ходе выполнения задания данные записываются в настраиваемую таблицу. |
действия KQL Microsoft Sentinel озера данных
В следующей таблице перечислены действия KQL в Microsoft Sentinel озера данных, записываются в журнал аудита Microsoft 365. Дополнительные сведения о KQL в Microsoft Sentinel озера данных см. в разделе KQL и озеро данных Microsoft Sentinel (предварительная версия).
| Понятное имя | Операция | Описание |
|---|---|---|
| Завершенный запрос KQL | KQLQueryCompleted | Пользователь выполняет интерактивные запросы с помощью KQL к данным в Microsoft Sentinel озера данных. |
действия по подключению озера данных Microsoft Sentinel
В следующей таблице перечислены действия подключения Microsoft Sentinel озера данных, записанные в журнале аудита Microsoft 365. Дополнительные сведения о подключении к Microsoft Sentinel озера данных см. в статье Подключение к Microsoft Sentinel озера данных (предварительная версия).
| Понятное имя | Операция | Описание |
|---|---|---|
| Изменена подписка на Sentinel lake | SentinelLakeSubscriptionChanged | Пользователь изменил идентификатор подписки на выставление счетов или группу ресурсов, связанную с озером данных. |
| Подключенные данные для озера Sentinel | SentinelLakeDefaultDataOnboarded | Во время подключения данные по умолчанию регистрируются в журнале. |
| Настройка Sentinel lake | SentinelLakeSetup | Во время подключения настраивается Microsoft Sentinel data lake и регистрируются сведения. |
действия графа Microsoft Sentinel
В следующей таблице перечислены действия графа в Microsoft Sentinel, записанные в журнале аудита Microsoft 365. Дополнительные сведения о графе Microsoft Sentinel см. в статье Что такое Microsoft Sentinel Graph? (предварительная версия).
| Понятное имя | Операция | Описание |
|---|---|---|
| Создание сценария графа | GraphScenarioCreated | Пользователь создал экземпляр графа для предопределенного сценария графа. |
| Удален сценарий графа | GraphScenarioDeleted | Пользователь удалил или отключил экземпляр графа для предопределенного сценария графа. |
| Выполнение запроса графа | GraphQueryRun | Пользователь выполнил запрос графа. |
Действия, связанные с Microsoft Stream
В журнале аудита можно искать действия, выполненные в Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.
Действия, связанные с Microsoft Teams
В следующей таблице перечислены действия Microsoft Teams, записанные в журнале аудита Microsoft 365. В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams. Teams — это рабочее пространство на основе чата в Microsoft 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды. Более подробное руководство по поиску см. в разделе Поиск событий в Microsoft Teams в журнале аудита.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Принять сообщение | UserAccepted | Примите новое сообщение от человека, с которым никогда не связывался. |
| Бот добавлен в группу | BotAddedToTeam | Пользователь добавляет бот в группу. |
| Добавлен канал | ChannelAdded | Пользователь добавляет канал в группу. |
| Соединитель добавлен | ConnectorAdded | Пользователь добавляет соединитель в канал. |
| Добавлены сведения о собрании Teams 9 | MeetingDetail | Teams добавила сведения о собрании, включая время начала, время окончания, URL-адрес для присоединения к собранию и время начала и остановки собрания. |
| Добавлены сведения об участниках звонков 10, 11, 12 | CallParticipantDetail | Teams добавили сведения об участниках звонка, включая идентификатор пользователя каждого участника, время присоединения каждого участника к вызову и его отъезда, а также сведения о подключении участников. |
| Добавлены сведения об участниках собрания 9, 12 | MeetingParticipantDetail | Teams добавила сведения об участниках собрания, включая идентификатор пользователя каждого участника, время присоединения участника к собранию, время, когда участник покинул собрание, а также время начала и остановки собрания, записаемого пользователем. Вы также можете просмотреть журналы с метками времени и сведениями о: — Кто присоединился к собранию — Место, где произошло совместное выполнение скринсов — Кто запустил общий доступ к экрану — Когда произошло совместное выполнение скринсинга — При остановке совместного доступа к экранам — При активации элемента управления take, give или request — Если эти запросы управления были приняты. — кто принял эти запросы на управление — кому предоставлен общий доступ к содержимому |
| Добавлены члены 6, 8 | MemberAdded | Владелец команды добавляет участников в команду, канал или групповой чат. |
| Вкладка добавлена | TabAdded | Пользователь добавляет вкладку в канал. |
| Примененная метка конфиденциальности | SensitivityLabelApplied | Пользователь или организатор собрания применил метку конфиденциальности к собранию Teams. |
| Утвержденный запрос | ApprovedRequest | После того как пользователь просмотрит сведения о запросе на утверждение, он утвердил его. |
| Блокировать пользователя | UserBlocked | Запретить пользователю отправлять вам сообщения. |
| Отмененный запрос на утверждение | CanceledApprovalRequest | Пользователь отменил запрос на утверждение, который он сделал. |
| Асинхронное утверждение отменено | ОтмененоApprovalAsync | Пользователь асинхронно отменяет запрос на утверждение. |
| Изменен параметр канала | ChannelSettingChanged | Операция ChannelSettingChanged записывается в журнал при выполнении участником команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
| Изменен параметр организации | TeamsTenantSettingChanged | Операция TeamsTenantSettingChanged регистрируется, когда глобальный администратор в Центр администрирования Microsoft 365 выполняет следующие действия. Эти действия влияют на параметры Teams для всей организации. Дополнительные сведения см. в статье Управление параметрами Teams для вашей организации. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
| Изменена роль участников в команде | MemberRoleChanged | Владелец команды изменяет роль участников в команде. Следующие значения указывают тип роли, назначенный пользователю. 1 — роль участника. 2 . Роль владельца. 3 . Роль гостя. Свойство Members также включает имя вашей организации и адрес электронной почты участника. |
| Изменена метка конфиденциальности | SensitivityLabelChanged | Пользователь изменил метку конфиденциальности на собрании Teams. |
| Изменен параметр группы | TeamSettingChanged | Операция TeamSettingChanged записывается в журнал при выполнении владельцем команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках).
|
| Создание экземпляра шаблона с областью организации | CreateOrgScopedTemplateInstance | Пользователь создал экземпляр шаблона с областью организации. |
| Создание экземпляра шаблона в области группы | CreateTeamScopedTemplateInstance | Пользователь создал экземпляр шаблона с областью действия команды. |
| Создание запроса на обновление | CreateUpdateRequest | Пользователь создал новый шаблон обновления. |
| Создан чат 1, 6 | ChatCreated | Создан чат Teams. |
| Созданное утверждение | CreatedApproval | Пользователь создал новый запрос на утверждение. |
| Асинхронное утверждение | CreatedApprovalAsync | Пользователь создает новый запрос на утверждение асинхронно. |
| Созданное задание экспорта | CreatedExportJob | Пользователь создал задание экспорта. |
| Созданная подготовка | CreatedProvisioning | Пользователь создал подготовку экземпляра CDS (Common Data Service). |
| Создана группа | TeamCreated | Пользователь создает команду. |
| Запрос на удаление обновления | DeleteUpdateRequest | Пользователь удаляет шаблон обновления. |
| Удалено сообщение 2 | MessageDeleted | Сообщение в чате или канале было удалено. |
| Удалены все приложения организации | DeletedAllOrganizationApps | Удалены все приложения организации из каталога. |
| Удаленное приложение | AppDeletedFromCatalog | Приложение было удалено из каталога. |
| Удален канал | ChannelDeleted | Пользователь удаляет канал из группы. |
| Удалена группа | TeamDeleted | Владелец команды удаляет ее. |
| Обнаружена попытка олицетворения | TeamsImpersonationDetected | Обнаруживается, что внешний отправитель сообщения имеет потенциальную активность олицетворения. |
| Скачан файл | DownloadedFile | Скачанный пользователем файл, вложенный в запрос на утверждение. |
| Изменение экземпляра шаблона с областью организации | EditOrgScopedTemplateInstance | Пользователь редактировал экземпляр шаблона с областью организации. |
| Изменение экземпляра шаблона с областью действия команды | EditTeamScopedTemplateInstance | Пользователь редактировал экземпляр шаблона с областью команды. |
| Изменение запроса на обновление | EditUpdateRequest | Пользователь открывает мастер редактирования шаблонов и нажимает кнопку сохранить, чтобы подтвердить обновление, включение и отключение шаблонов. |
| Изменено сообщение | GraphMessageUpdated | Пользователь обновляет сообщение чата или канала. |
| Изменено сообщение со ссылкой НА URL-адрес в Teams | MessageEditedHasLink | Пользователь изменяет сообщение и добавляет к нему ССЫЛКу НА URL-адрес в Teams. |
| Измененный запрос на утверждение | EditedApprovalRequest | Пользователь выполнил изменение запроса на утверждение. |
| Экспортированные сообщения 1,2 | MessagesExported | Сообщения чата или канала экспортированы. |
| Экспортированные записи 1 | RecordingsExported | Записи чата экспортированы. |
| Экспортированные расшифровки 1 | TranscriptsExported | Стенограммы чата экспортированы. |
| Не удалось проверить приглашение на общий канал 3 | FailedValidation | Пользователь отвечает на приглашение на общий канал, но его проверка не пройдена. |
| Получено все размещенное содержимое сообщения1 | MessageHostedContentsListed | Все размещенное в сообщении содержимое, например изображения или фрагменты кода, было извлечено. |
| Чат с выборкой 1 | ChatRetrieved | Получен чат Microsoft Teams. |
| Получение экземпляра шаблона с областью организации | GetOrgScopedTemplateInstance | Пользователь извлек экземпляр шаблона с областью организации. |
| Получение экземпляра шаблона с областью действия команды | GetTeamScopedTemplateInstance | Пользователь извлек экземпляр шаблона с областью команды. |
| Асинхронная операция | GotAsyncOperation | Пользователь получил сущность асинхронной операции. |
| Приложение установлено | AppInstalled | Установлено приложение. |
| Получение списка записей собраний 13 | GraphMeetingRecordingSListed | Вывод сведений о записи для собрания по сети. |
| Получение списка расшифровок собраний 13 | GraphMeetingTranscriptsListed | Вывод сведений о расшифровки для собрания по сети. |
| Получение содержимого стенограммы собрания 13 | GraphMeetingTranscriptContentRead | Получите содержимое расшифровки для собрания по сети или нерегламентированного звонка. |
| Получение экземпляра 13 расшифровки собрания | GraphMeetingTranscriptRead | Получите сведения о расшифровке для собрания по сети или нерегламентированного звонка. |
| Полученное содержимое записи собрания 13 | GraphMeetingRecordingContentRead | Получите содержимое записи для собрания по сети или нерегламентированного звонка. |
| Полученный экземпляр записи собрания 13 | GraphMeetingRecordingRead | Получение сведений о записи для собрания по сети или нерегламентированного звонка. |
| Выполнено действие для карта | PerformedCardAction | Пользователь выполнил действия с адаптивным карта в чате. Адаптивные карточки обычно используются ботами для эффективного отображения информации и взаимодействия в чатах. В журнале аудита доступны только встроенные входные действия для адаптивного карта внутри чата. Например, когда пользователь отправляет ответ на опрос в беседе канала на адаптивном карта, созданном ботом опроса. Действия пользователя, такие как "Просмотр результата", который открывает диалоговое окно, или действия пользователя внутри диалогов, недоступны в журнале аудита. |
| Заполнение созданных ИИ заметок в чате | AINotesUpdate | Заметки, созданные СИ, заполнялись для группового чата. |
| Заполнение заметок, созданных ИИ, в собраниях в режиме реального времени | LiveNotesUpdate | Заметки, созданные искусственным интеллектом, заполнялись для динамического собрания. |
| Опубликовано новое сообщение 3,4,6, 8 | MessageSent | Новое сообщение было опубликовано в чате или канале. |
| Опубликованное приложение | AppPublishedToCatalog | Приложение было добавлено в каталог. |
| Чтение сообщения 1 | MessageRead | Получено сообщение чата или канала. |
| Чтение размещенного содержимого сообщения 1 | MessageHostedContentRead | Было извлечено размещенное в сообщении содержимое, например изображение или фрагмент кода. |
| Запрос на повторное назначение утверждения | ПереназначениеApprovalRequest | Пользователь переназначил запрос на утверждение другому пользователю. |
| Отклонен запрос на утверждение | ОтклоненоApprovalRequest | Когда пользователь просматривает сведения о запросе на утверждение, он отклонил его. |
| Бот удален из группы | BotRemovedFromTeam | Пользователь удаляет бот из группы. |
| Соединитель удален | ConnectorRemoved | Пользователь удаляет соединитель из канала. |
| Удаленные члены 6, 8 | MemberRemoved | Владелец команды удаляет участников из команды, канала или группового чата. |
| Удалена метка конфиденциальности | SensitivityLabelRemoved | Пользователь удалил метку конфиденциальности из собрания Teams. |
| Удален общий доступ к каналу 3 команды | TerminatedSharing | Команда или владелец канала отключили общий доступ к общему каналу. |
| Вкладка удалена | TabRemoved | Пользователь удаляет вкладку из канала. |
| Ответ на утверждение | RespondedToApproval | Пользователь выполнил действие по запросу на утверждение. |
| Ответ на приглашение для общего канала 3 | InviteeResponded | Пользователь ответил на приглашение общего канала. |
| Ответ на ответ приглашенного на общий канал 3 | ChannelOwnerResponded | Владелец канала ответил на ответ пользователя, который ответил на приглашение общего канала. |
| Ответ с пользовательским ответом | RespondedWithCustomResponse | Пользователь ответил настраиваемым текстом ответа на запрос на утверждение. |
| Восстановлен общий доступ к каналу 3 команды | SharingRestored | Команда или владелец канала повторно включил общий доступ для общего канала. |
| Полученные сообщения 1 | MessagesListed | Сообщения из чата или канала были получены. |
| Конфиденциальное содержимое, к которым предоставлен общий доступ | SensitiveContentShared | Регистрируется, когда для собрания Teams включен параметр Обнаружение конфиденциального содержимого во время собрания с демонстрацией экрана, и в этом собрании на экране отображается конфиденциальное содержимое (например, кредитные карта номера, номера банковских счетов, номера социального страхования и аналогичные идентификационные номера), отображаемое на экране во время сеанса демонстрации экрана. Дополнительные сведения см. в статье Управление тем, могут ли собрания в вашей организации обнаруживать конфиденциальное содержимое во время демонстрации экрана. |
| Отправлено сообщение со ссылкой НА URL-адрес в Teams | MessageCreatedHasLink | Пользователь отправляет сообщение, содержащее URL-ссылку в Teams. |
| Уведомление об отправленных изменениях для создания сообщения 1 | MessageCreatedNotification | Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской о новом сообщении. |
| Отправленное уведомление об изменении для удаления сообщения 1 | MessageDeletedNotification | Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном сообщении. |
| Уведомление об изменении сообщения об обновлении 1 | MessageUpdatedNotification | Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской об обновленном сообщении. |
| Отправленное приглашение для общего канала 3 | InviteSent | Владелец канала или участник отправляет приглашение на общий канал. Приглашения на общие каналы можно отправлять пользователям за пределами организации, если политика канала настроена для предоставления доступа к каналу внешним пользователям. |
| Отправка обновления | SubmitUpdate | Пользователь отправил новое обновление. |
| Подписка на уведомления об изменении сообщений 1 | SubscribedToMessages | Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях сообщений. |
| Действие Администратор Teams | TeamsAdminAction | Регистрируется, когда администратор Teams выполняет такие действия, как обновление, добавление или удаление связанных с Teams параметров или конфигураций, с помощью средств администрирования, таких как PowerShell, центр Администратор, API и т. д. |
| Создание потока проверено | CreateThreadProbe | Пользователь проверяет, может ли он создать чат с пользователями в вашей организации. Для каждого из этих действий заполняются следующие свойства: Действие: имя этого действия CreateThreadProbe. CorrelationId: уникальный идентификатор запроса для журнала аудита. CreationTime: время создания журнала аудита. ExtraProperties**: содержит одну пару "ключ-значение", которая описывает среду, в которой инициирован запрос пробы. Идентификатор: идентификатор записи отчета. Идентификатор уникально идентифицирует запись журнала аудита. OrganizationId: GUID для организации Microsoft 365. ParticipantInfo: содержит список пар objectId и tenantId, описывающих набор целевых пользователей, для которых инициирующий пользователь (пользователь UserKey) инициировал пробу. Другими словами, это набор пользователей, с которыми инициирующий пользователь хочет создать поток. Содержит только пользователей из вашей организации. RecordType: тип операции, указанный записью. UserID: имя участника-пользователя, который инициировал пробу. UserKey: GUID пользователя, который инициировал пробу. UserSIPDomain: домен SIP пользователя, который инициировал пробу. UserTenantId: клиент пользователя, который инициировал пробу. UserType: тип пользователя, который инициировал пробу. Принимает только значение 0, представляющее обычного пользователя AAD. Версия: номер версии действия (определяемого свойством Operation), которое регистрируется в журнале. Рабочая нагрузка: служба, в которой произошло действие. |
| Разблокировка пользователя | UserUnblocked | Разблокируйте пользователя, который ранее был заблокирован. |
| Отмена сообщения | GraphMessageUndeleted | Сообщение в чате или канале было удалено. |
| Удалено приложение | AppUninstalled | Приложение было удалено. |
| Обновление сообщения Teams | GraphMessageUpdated | Происходит, когда пользователь изменяет существующее сообщение чата. |
| Обновлен чат 1 | ChatUpdated | Обновлен чат Teams. |
| Обновлено сообщение 1 | MessageUpdated | Обновлено сообщение чата или канала. |
| Обновленное приложение | AppUpdatedInCatalog | Приложение было обновлено в каталоге. |
| Асинхронно обновлен запрос на утверждение | ОбновленоApprovalRequestAsync | Пользователь выполнил действия с запросом на утверждение асинхронно. |
| Обновлен соединитель | ConnectorUpdated | Пользователь изменил соединитель в канале. |
| Вкладка обновлена | TabUpdated | Пользователь изменил вкладку в канале. |
| Обновленное приложение | AppUpgraded | Приложение обновлено до последней версии в каталоге. |
| Пользователь вошел в Teams | TeamsSessionStarted | Пользователь входит в клиент Microsoft Teams. Это событие не фиксирует действия по обновлению маркера. |
| Просмотр запроса на утверждение | ViewApprovalRequest | Пользователь отправляет запрос на просмотр запроса на утверждение. |
| Просмотр обновления | ViewUpdate | Пользователь просматривает сведения об обновлении. |
| Просмотр запроса на утверждение | ПросмотрedApprovalRequest | Пользователь просматривает сведения о запросе на утверждение из адаптивного карта или в приложении. |
| Просмотр утверждения с дополнительным полем | ViewedApprovalWithAdditionalField | Пользователь просматривает сведения о запросе на утверждение, который содержит по крайней мере одно редактируемое текстовое поле. |
| Просмотр утверждения с групповым запросом | ViewedApprovalWithGroupRequest | Пользователь просматривает сведения о запросе на утверждение с включенной группой. |
Примечание.
1 Запись аудита для этого события регистрируется только при выполнении операции путем вызова API Graph Майкрософт. Если операция выполняется в клиенте Teams, запись аудита не регистрируется.
2 Это событие доступно только в audit (Premium). Это означает, что пользователям должна быть назначена соответствующая лицензия, прежде чем эти события будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, доступных только в audit (Premium), см. в разделе Аудит (премиум) в Microsoft Purview. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
3 Это событие находится в общедоступной предварительной версии.
4Это событие создается для чата только при наличии гостей, федеративных и (или) анонимных пользователей.
5 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), облаке сообщества для государственных организаций (GCC-High) и Министерстве обороны (DoD).
6 Это событие включается во всех участвующих клиентах для федеративных чатов.
7 Это событие содержит сведения о домене участника для федеративных чатов 1:1.
8 Это событие включается во все беседы чата между внешними пользователями Teams, управляемыми организацией, и внешними пользователями Teams, не управляемыми организацией.
9 Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), но доступно в организациях Облака сообщества государственных организаций (GCC-High) и Министерства обороны (DOD).
10 Это событие включается во всех участвующих клиентах.
11 Запись аудита не регистрируется для действий с агентами или ботами. Мы работаем над этим.
12 Записанные или транскрибированные вызовы включаются в MeetingParticipantDetail.
13 Это событие регистрируется API Graph доступа, а не клиентОм Teams.
Действия в сфере здравоохранения, связанные с Microsoft Teams
Если ваша организация использует приложение "Пациенты" в Microsoft Teams, в журнале аудита можно найти действия, связанные с приложением "Пациенты". Если ваша среда настроена для поддержки приложения "Пациенты", в списке Средства выбора действий доступна дополнительная группа действий для этих действий.
Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".
Действия, связанные с приложением "Смены" в Microsoft Teams
В следующей таблице перечислены действия приложения Shift в Microsoft Teams, записанные в журнале аудита Microsoft 365. Если ваша организация использует приложение "Смены" в Microsoft Teams, вы можете найти в журнале аудита действия, связанные с приложением "Смены". Если ваша среда настроена для поддержки приложений Shifts, список средства выбора действий содержит дополнительную группу действий для этих действий.
| Понятное имя | Операция | Описание |
|---|---|---|
| Сообщение о принятом отключении смены | OffShiftDialogAccepted | Пользователь подтвердил сообщение вне смены для доступа к Teams после смены. |
| Добавлена открытая смена | OpenShiftAdded | Пользователь добавил открытый сдвиг в группу планирования. |
| Добавлена группа планирования | ScheduleGroupAdded | Пользователь добавил в расписание новую группу планирования. |
| Добавлена смена | ShiftДобавлено | Пользователь добавил смену. |
| Добавлен запрос на смену | RequestAdded | Пользователь добавил запрос на смену. |
| Добавлена запись time clock | TimeClockEntryAdded | Пользователь добавил в time sheet новую запись часов вручную. |
| Добавлено время отгула | TimeOffAdded | Пользователь добавил время отгула по расписанию. |
| Добавлена интеграция с персоналом | WorkforceIntegrationДобавлено | Приложение Shifts интегрировано со сторонней системой. |
| Отмененный запрос на смену | RequestCancelled | Пользователь отменил запрос на смену. |
| Изменен параметр расписания | ScheduleSettingChanged | Пользователь изменил параметр в параметрах смен. |
| Синхронизация с использованием часов времени | ClockedIn | Пользователь выполняет синхронизацию с помощью часов времени. |
| Время ожидания с помощью часов | ClockedOut | Пользователь вывести время ожидания с помощью часов времени. |
| Удалена открытая смена | OpenShiftDeleted | Пользователь удалил открытую смену из группы планирования. |
| Удаленная группа планирования | ScheduleGroupDeleted | Пользователь удалил группу планирования из расписания. |
| Удаленная смена | ShiftDeleted | Пользователь удалил смену. |
| Запись "Удаленные часы времени" | TimeClockEntryDeleted | Пользователь удалил запись "Часы времени" в листе времени. |
| Удалено время отгула | TimeOffDeleted | Пользователь удалил время отгула. |
| Измененная открытая смена | OpenShiftEdited | Пользователь изменил открытую смену в группе планирования. |
| Измененная группа планирования | ScheduleGroupEdited | Пользователь отредактировал группу планирования. |
| Измененная смена | ShiftEdited | Пользователь изменил смену. |
| Запись измененных часов времени | TimeClockEntryEdited | Пользователь отредактировал запись часов в журнале времени. |
| Измененное время отгула | TimeOffEdited | Измененное пользователем время отгула. |
| Окончание перерыва с помощью часов времени | BreakEnded | Пользователь завершил перерыв во время активного сеанса часов времени. |
| Ответ на запрос на смену | RequestRespondedTo | Пользователь ответил на запрос смены. |
| Общее расписание | ScheduleShared | Пользователь предоставил общий доступ к расписанию группы для диапазона дат. |
| Запуск перерыва с помощью часов времени | BreakStarted | Пользователь начал перерыв во время активного сеанса часов времени. |
| Отозвали расписание | ScheduleWithdrawn | Пользователь отозвал опубликованное расписание. |
Действия microsoft Teams Обновления
В следующей таблице перечислены действия для приложения Обновления в Microsoft Teams, записанные в журнале аудита Microsoft 365. Если ваша организация использует приложение Обновления в Microsoft Teams, вы можете найти в журнале аудита действия, связанные с приложением Обновления. Если ваша среда настроена для поддержки Обновления приложений, список средства выбора действий содержит дополнительную группу действий для этих действий.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создание запроса на обновление | CreateUpdateRequest | Пользователь создал запрос на обновление. |
| Изменение запроса на обновление | EditUpdateRequest | Пользователь открывает рабочий процесс редактирования запроса и нажимает кнопку Сохранить , чтобы подтвердить и сохранить любые изменения, либо включает или отключает запрос на обновление напрямую. |
| Отправка обновления | SubmitUpdate | Пользователь отправил обновление. |
| Просмотр сведений об одном обновлении | ViewUpdate | Пользователь просматривает сведения об обновлении. |
Действия Microsoft To Do
В следующей таблице перечислены действия в Microsoft To Do, которые записываются в журнал аудита Microsoft 365. Дополнительные сведения о Microsoft To Do см. в разделе Поддержка Microsoft To Do.
Примечание.
Для аудита событий для действий Microsoft To Do требуется платная лицензия на Project, план 1 (или выше) в дополнение к соответствующей лицензии Microsoft 365, которая включает права на аудит (Standard).
| Понятное имя | Операция | Описание |
|---|---|---|
| Ссылка для общего доступа к папке | AcceptedSharingLinkOnFolder | Принятая ссылка общего доступа для папки. |
| Вложение создано | ВложениеСоздать | Для задачи было создано вложение. |
| Вложение удалено | AttachmentDeleted | Вложение удалено. |
| Вложение обновлено | AttachmentUpdated | Вложение обновлено. |
| Общий доступ к папке | FolderSharingLinkShared | Создал ссылку для общего доступа к папке. |
| Созданная связанная сущность | LinkedEntityCreated | Создана связанная сущность задачи. |
| Связанная сущность удалена | LinkedEntityDeleted | Связанная сущность удалена. |
| Связанная сущность обновлена | LinkedEntityUpdated | Связанная сущность обновлена. |
| Созданная подзадака | SubTaskCreated | Создана подзадада. |
| Удалена подзадака | SubTaskDeleted | Удалена подзадаче. |
| Обновлена подзадака | SubTaskUpdated | Обновлена подзадада. |
| Созданная задача | TaskCreated | Задача создана. |
| Задача удалена | TaskDeleted | Задача удалена. |
| Чтение задачи | TaskRead | Задача была прочитана. |
| Задача обновлена | TaskUpdated | Задача обновлена. |
| Создан список задач | TaskListCreated | Был создан список задач. |
| Чтение списка задач | TaskListRead | Был прочитан список задач. |
| Список задач обновлен | TaskListUpdated | Список задач обновлен. |
| Приглашенный пользователь | UserInvited | Приглашенный пользователь в папку. |
действия Microsoft Viva Insights
Viva Аналитика предоставляет аналитические сведения о том, как группы работают в вашей организации. В следующей таблице перечислены действия, записанные в журнале аудита Microsoft 365, которые пользователи, которым назначены роли администратора или аналитика в Viva Аналитике. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа. Пользователи, которым назначена роль администратора, могут настраивать параметры конфиденциальности и системные значения по умолчанию, а также могут подготавливать, передавать и проверять данные организации в Viva Аналитике. Дополнительные сведения см. в разделе Знакомство с Microsoft Viva Insights.
| Понятное имя | Операция | Описание |
|---|---|---|
| Посещена ссылка OData | AccessedOdataLink | Аналитик посетил ссылку OData для запроса. |
| Добавлен делегированный доступ | AddDelegates | Пользователь добавил делегированный доступ для аналитики организации или панели мониторинга Copilot. |
| Отменен запрос | CanceledQuery | Аналитик отменил выполняемый запрос. |
| Создано исключение из собрания | MeetingExclusionCreated | Аналитик создал правило исключения из собрания. |
| Удален результат | DeletedResult | Аналитик удалил результат запроса. |
| Скачан отчет | DownloadedReport | Аналитик скачал файл результата запроса. |
| Выполнен запрос | ExecutedQuery | Аналитик выполнил запрос. |
| Измененные параметры CXO | ModifiedCXOSettings | Это событие регистрирует назначение или удаление пользователей или групп для доступа к панели мониторинга Microsoft 365 Copilot. |
| Измененный список исключений с помощью группы Entra | ModifiedExclusionListUsingEntraGroup | Это событие регистрирует изменения в списке исключений с помощью группы Entra на панели мониторинга Copilot. |
| Изменен минимальный размер группы | ModifiedMinimumGroupSize | Это событие регистрирует изменения минимального размера группы организации для создания аналитических сведений на панели мониторинга Copilot и расширенного анализа Viva Insights. |
| Удален доступ к делегатам | RemoveDelegates | Пользователь удалил делегированный доступ для аналитики организации или панели мониторинга Copilot. |
| Изменен параметр доступа к данным | UpdatedDataAccessSetting | Администратор обновил параметры доступа к данным. |
| Отправлены данные организации | UploadedOrgData | Администратор отправил файл данных организации. |
| Пользователь вошел в систему* | UserLoggedIn | Пользователь выполнил вход в свою учетную запись Microsoft 365. |
| Просмотрено | ViewedExplore | Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра. |
Примечание.
*Событие действия Microsoft Entra входа создается при входе пользователя. Это действие регистрируется в журнале, даже если вы не включили Viva Аналитику в своей организации. Дополнительные сведения о действиях входа пользователей см. в статье Журналы входа в Microsoft Entra ID.
Действия личной аналитики
В следующей таблице перечислены действия в личной аналитике, записанные в журнале аудита Microsoft 365. Дополнительные сведения о личной аналитике см. в Администратор руководстве по личной аналитике.
| Понятное имя | Операция | Описание |
|---|---|---|
| Обновлены параметры MyAnalytics для организации | UpdatedOrganizationMyAnalyticsSettings | Администратор обновляет параметры уровня организации для личных аналитических сведений. |
| Обновлены параметры MyAnalytics для пользователей | UpdatedUserMyAnalyticsSettings | Администратор обновляет параметры пользователей для личной аналитики. |
Карантинная деятельность
В следующей таблице перечислены действия карантина, записанные в журнале аудита Microsoft 365. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине.
| Понятное имя | Операция | Описание |
|---|---|---|
| Удаленное карантинное сообщение | QuarantineDeleteMessage | Администратор или пользователь удалили сообщение электронной почты, которое было вредоносным. |
| Отклонен запрос на выпуск сообщения карантина | QuarantineReleaseRequestDeny | Отказ администратора в запросе на выпуск от пользователя для сообщения электронной почты, которое было вредным. |
| Экспортированное сообщение карантина | QuarantineExport | Администратор или пользователь экспортировал сообщение электронной почты, которое было вредоносным. |
| Предварительно просмотренное сообщение на карантине | QuarantinePreview | Администратор или пользователь предварительно просмотрил сообщение электронной почты, которое было вредоносным. |
| Сообщение о карантине запроса на выпуск | QuarantineReleaseRequest | Пользователь запросил освобождение сообщения электронной почты, которое было вредоносным. |
| Выпущенное карантинное сообщение | QuarantineRelease | Администратор или пользователь выпустил сообщение электронной почты из карантина, которое было вредным. |
| Просмотренный заголовок сообщения карантина | QuarantineViewHeader | Администратор или пользователь просматривал заголовок сообщения электронной почты, которое было вредоносным. |
Действия отчетов
В следующей таблице перечислены действия для отчетов об использовании, записанные в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Обновлены параметры конфиденциальности отчета об использовании | UpdateUsageReportsPrivacySetting | Администратор обновил параметры конфиденциальности для отчетов об использовании. |
Действия, связанные с политикой хранения и метками хранения
В следующей таблице перечислены действия конфигурации, записанные в журнале аудита Microsoft 365 для политик хранения и меток хранения при их создании, перенастройке или удалении.
| Понятное имя | Операция | Описание |
|---|---|---|
| Изменено членство в адаптивной области | ApplicableAdaptiveScopeChange | Пользователи, сайты или группы добавлены в адаптивную область или удалены из нее. Эти изменения возникают в результате выполнения запроса область. Эти изменения были инициированы системой, поэтому в качестве имени пользователя отображается GUID, а не учетная запись пользователя. |
| Настроены параметры политики хранения | NewRetentionComplianceRule | Администратор настроил параметры хранения для новой политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета New-RetentionComplianceRule. |
| Адаптивная область создана | NewAdaptiveScope | Администратор создал адаптивную область. |
| Создана метка хранения | NewComplianceTag | Администратор создал новую метку хранения. |
| Создана политика хранения | NewRetentionCompliancePolicy | Администратор создал новую политику хранения. |
| Адаптивная область удалена | RemoveAdaptiveScope | Администратор удалил адаптивную область. |
| Удалена метка хранения | RemoveComplianceTag | Администратор удалил метку хранения. |
| Удалена политика хранения | RemoveRetentionCompliancePolicy |
Администратор удалил политику хранения. |
| Удалены параметры из политики хранения | RemoveRetentionComplianceRule |
Администратор удалил параметры конфигурации политики хранения. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule. |
| Включен параметр записи, отвечающей нормативным требованиям, для меток хранения |
SetRestrictiveRetentionUI | Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения. |
| Метка очистки приоритета, примененная к файлу | PriorityCleanupTagApplied | Метка хранения для очистки приоритета применяется к элементу в OneDrive или SharePoint (включая замену меток). |
| Упреждающее хранение элемента электронной почты | ExchangeDataProactivelyPreserved | Адаптивная защита автоматически применила метку хранения для хранения элемента в Exchange. |
| Упреждающее хранение файла | SharePointDataProactivelyPreserved | Адаптивная защита автоматически применила метку хранения для хранения элемента в SharePoint или OneDrive. |
| Адаптивная область обновлена | SetAdaptiveScope | Администратор изменил описание или запрос для существующей адаптивной области. |
| Обновлена метка хранения | SetComplianceTag | Администратор обновил существующую метку хранения. |
| Обновлена политика хранения | SetRetentionCompliancePolicy | Администратор обновил существующую политику хранения. К обновлениям, запускающим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения. |
| Обновлены параметры политики хранения | SetRetentionComplianceRule | Администратор изменил параметры хранения для существующей политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule. |
Действия, связанные с администрированием ролей
В следующей таблице перечислены Microsoft Entra действий администрирования ролей, записанных в журнале аудита Microsoft 365, когда администратор управляет ролями администратора в Центр администрирования Microsoft 365 или на портале управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция в следующей таблице, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").
| Понятное имя | Операция | Описание |
|---|---|---|
| В роль добавлен участник | В роль добавлен участник. | Добавил пользователя к роли администратора в Microsoft 365. |
| Из роли каталога удален пользователь | Удаление участника из роли. | Удален пользователь из роли администратора в Microsoft 365. |
| Настройка контактных данных компании | Настройка контактных данных компании. | Обновлены параметры контактов на уровне компании для вашей организации. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления об услугах. |
Действия типов конфиденциальной информации
В следующей таблице перечислены события аудита для действий, записанных в журнале аудита Microsoft 365, связанных с созданием и обновлением типов конфиденциальной информации.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан новый тип конфиденциальной информации | CreateRulePackage / EditRulePackage* |
Создан новый тип конфиденциальной информации. Эта информация включает все sit, созданные путем копирования из коробки SIT. Примечание. Это действие показано в действиях аудита "Созданный пакет правил" или "Измененный пакет правил". |
| Удален тип конфиденциальной информации | EditRulePackage / RemoveRulePackage | Существующий тип конфиденциальной информации удален. Это действие будет отображаться в действии аудита "Измененный пакет правил" или "Удаленный пакет правил". |
| Изменен тип конфиденциальной информации | EditRulePackage | Изменен существующий тип конфиденциальной информации. Эти сведения могут включать такие операции, как добавление или удаление шаблона и редактирование регулярного выражения или ключевое слово, связанных с типом конфиденциальной информации. Это действие всплывает в действии аудита "Измененный пакет правил". |
Действия с метками конфиденциальности
В следующей таблице перечислены события, записанные в журнале аудита Microsoft 365, которые возникают в результате использования меток конфиденциальности с контейнерами и элементами, управляемыми Microsoft Purview. Контейнеры включают сайты SharePoint, сайты Teams и рабочие области Loop. Элементы включают документы, сообщения электронной почты, события календаря, Loop компоненты и страницы, а также страницы Copilot. Для политик автоматической маркировки элементы также включают файлы и ресурсы данных в Схема данных Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Метка конфиденциальности применена к файлу | FileSensitivityLabelApplied SensitivityLabelApplied |
Метка конфиденциальности применялась к элементу с помощью приложений Microsoft 365, Office для Интернета, области сведений в библиотеке документов SharePoint, на вкладке Файлы в Teams или с помощью политики автоматической маркировки. Операции для этого действия различаются в зависимости от того, как была применена метка: — Office для Интернета, область сведений в библиотеке документов SharePoint или на вкладке Файлы в Teams или политика автоматического присвоения меток (FileSensitivityLabelApplied) — Приложения Microsoft 365 (SensitivityLabelApplied) |
| Метка конфиденциальности применена к сайту | SiteSensitivityLabelApplied | Метка конфиденциальности была применена к сайту SharePoint, сайту Teams, который не подключен к группе, или к рабочей области Loop. |
| Метка конфиденциальности, примененная к файлу, изменена | FileSensitivityLabelChanged SensitivityLabelUpdated |
К элементу применена другая метка конфиденциальности. Операции для этого действия отличаются в зависимости от изменения метки: — Office для Интернета, область сведений в библиотеке документов SharePoint или вкладке Файлы в Teams или политика автоматического присвоения меток (FileSensitivityLabelChanged) - Приложения Microsoft 365 (SensitivityLabelUpdated) |
| На сайте изменена метка конфиденциальности | SiteSensitivityLabelChanged | К сайту SharePoint, сайту Teams, который не подключен к группе, или к рабочей области Loop применена другая метка конфиденциальности. |
| Не удалось применить метку конфиденциальности файла | FileSensitivityLabelAppliedFailed | Не удалось применить метку конфиденциальности к элементу с помощью Office для Интернета, области сведений в библиотеке документов SharePoint, на вкладке Файлы в Teams или с помощью политики автоматического присвоения меток. |
| Не удалось изменить метку конфиденциальности файла | FileSensitivityLabelChangedFailed | Не удалось применить другую метку конфиденциальности к элементу с помощью Office для Интернета, области сведений в библиотеке документов SharePoint, на вкладке Файлы в Teams или с помощью политики автоматической маркировки. |
| Не удалось удалить метку конфиденциальности файла | FileSensitivityLabelRemovedFailed | Не удалось удалить метку конфиденциальности из элемента с помощью Office для Интернета, области сведений в библиотеке документов SharePoint, на вкладке Файлы в Teams или с помощью политики автоматической маркировки. |
| Метка конфиденциальности, примененная к файлу, удалена | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Метка конфиденциальности была удалена из элемента с помощью приложений Microsoft 365, Office для Интернета, области сведений в библиотеке документов SharePoint или вкладки Файлы в Teams, политики автоматической маркировки или командлета Unlock-SPOSensitivityLabelEncryptedFile. Операции для этого действия различаются в зависимости от того, как была удалена метка: — Office для Интернета, область сведений в библиотеке документов SharePoint или на вкладке Файлы в Teams или политика автоматического присвоения меток (FileSensitivityLabelRemoved) — Приложения Microsoft 365 (SensitivityLabelRemoved) |
| Метка конфиденциальности, примененная к сайту, удалена | SiteSensitivityLabelRemoved | Метка конфиденциальности была удалена с сайта SharePoint, сайта Teams, который не подключен к группе, или с Loop рабочей области. |
В следующей таблице перечислены описания значений, записанных в журнале аудита Microsoft 365, включенном в свойство FailureReason для действий аудита, которые регистрируют сбои при применении, изменении или удалении меток конфиденциальности. Эти свойства недоступны для других действий с метками конфиденциальности:
| Свойство FailureReason | Описание свойства |
|---|---|
| CannotOverrideCurrentLabel | Метка конфиденциальности не была назначена файлу, так как применяемая в настоящее время метка конфиденциальности имеет более высокий приоритет. |
| DowngradeJustificationTextMissing | Метка конфиденциальности не была назначена файлу, так как для этой операции требуется текст обоснования. |
| FileEncrypted | Метка конфиденциальности не была назначена файлу, так как он зашифрован. |
| FileExtensionNotSupported | Метка конфиденциальности не была назначена файлу, так как тип файла не поддерживается для этой операции. |
| FileLockedOrCheckedOut | Метка конфиденциальности не была назначена файлу, так как он заблокирован или извлечен. |
| FileNotFound | Метка конфиденциальности не назначена файлу, так как она недоступна. |
| FileNotSupported | Метка конфиденциальности не была назначена файлу, так как она не поддерживает эту операцию. |
| FileTooLarge | Метка конфиденциальности не была назначена файлу, так как он слишком велик для поддержки этой операции. |
| InvalidArgument | Метка конфиденциальности не назначена файлу, так как некоторые параметры, предоставленные для выполнения этой операции, недопустимы. |
| LabelIdNotFound | Метка конфиденциальности не назначена файлу, так как указанная метка конфиденциальности недоступна или недопустима. |
| LabelNotSupported | Метка конфиденциальности не назначена файлу, так как указанная метка конфиденциальности не поддерживается. |
| LabelOperationsDisabled | Метка конфиденциальности не была назначена файлу, так как операция метки конфиденциальности отключена в файле. |
| MinorVersionLimitExceeded | Метка конфиденциальности не была назначена файлу, так как превышен предел версии. |
| UnauthorizedAccessException | Метка конфиденциальности не была назначена файлу, так как текущий пользователь не имеет прав на выполнение этой операции. |
| Unknown | Метка конфиденциальности не была назначена файлу из-за внутренней ошибки. |
| ZeroByteFileError | Метка конфиденциальности не была назначена файлу, так как операция не может быть выполнена в файле с нулевым байтом. |
Дополнительные сведения об аудите меток конфиденциальности:
- При использовании меток конфиденциальности для Группы Microsoft 365 и, следовательно, сайтов Teams, подключенных к группам, эти метки проверяются с помощью управления группами в Microsoft Entra ID. Дополнительные сведения см. в разделе Журналы аудита в Microsoft Entra ID.
- При использовании меток конфиденциальности для приглашений на собрания Teams, параметров собраний и чата Teams см. статью Поиск событий в Microsoft Teams в журнале аудита.
- При использовании меток конфиденциальности в Power BI см. статью Аудит схемы меток конфиденциальности в Power BI.
- При использовании меток конфиденциальности с Microsoft Defender для облачных приложений см. статью Управление подключенными приложениями и сведения о метках для действий по управлению файлами.
Действия, связанные со списками SharePoint
В следующей таблице описаны действия, записанные в журнале аудита Microsoft 365, связанные с взаимодействием пользователей со списками и элементами списка в SharePoint. Записи аудита для некоторых действий SharePoint показывают, что пользователь app@sharepoint выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан список | ListCreated | Пользователь создал список SharePoint. |
| Создан столбец списка | ListColumnCreated | Пользователь создал столбец списка SharePoint. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint. |
| Создан тип контента списка | ListContentTypeCreated | Пользователь создал тип контента списка. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint. |
| Создан элемент списка | ListItemCreated | Пользователь создал элемент в существующем списке SharePoint. |
| Создан столбец сайта | SiteColumnCreated | Пользователь создал столбец сайта SharePoint. Столбец сайта — это столбец, не прикрепленный к списку. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте. |
| Создан тип контента сайта | Создан объект ContentType сайта | Пользователь создал тип контента сайта. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту. |
| Удален список | ListDeleted | Пользователь удалил список SharePoint. |
| Удален столбец списка | Столбец списка удален | Пользователь удалил столбец списка SharePoint. |
| Удален тип контента списка | ListContentTypeDeleted | Пользователь удалил тип контента списка. |
| Удален элемент списка | Элемент списка удален | Пользователь удалил элемент списка SharePoint. |
| Удален столбец сайта | SiteColumnDeleted | Пользователь удалил столбец сайта SharePoint. |
| Удален тип контента сайта | SiteContentTypeDeleted | Пользователь удалил тип контента сайта. |
| Перемещен в корзину элемент списка | ListItemRecycled | Пользователь переместил элемент списка SharePoint в корзину. |
| Восстановлен список | ListRestored | Пользователь восстановил список SharePoint из корзины. |
| Восстановлен элемент списка | ListItemRestored | Пользователь восстановил элемент списка SharePoint из корзины. |
| Обновлен список | ListUpdated | Пользователь обновил список SharePoint, изменив одно или несколько свойств. |
| Обновлен столбец списка | ListColumnUpdated | Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств. |
| Обновлен тип контента списка | ListContentTypeUpdated | Пользователь обновил тип контента списка, изменив одно или несколько свойств. |
| Обновлен элемент списка | ListItemUpdated | Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств. |
| Обновленное представление списка | ListViewUpdated | Пользователь обновил представление списка SharePoint, изменив одно или несколько свойств. |
| Обновлен столбец сайта | SiteColumnUpdated | Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств. |
| Обновлен тип контента сайта | SiteContentTypeUpdated | Пользователь обновил тип контента сайта, изменив одно или несколько свойств. |
Действия, связанные с общим доступом и запросами на доступ
В следующей таблице перечислены действия по совместному использованию пользователей и запросу доступа в SharePoint и OneDrive, записанные в журнале аудита Microsoft 365. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.
Примечание.
Пользователи могут быть членами или гостями на основе свойства UserType объекта пользователя. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. Когда у гостевого пользователя есть учетная запись в вашем каталоге, ресурсы могут предоставляться ему напрямую (без приглашения).
| Понятное имя | Операция | Описание |
|---|---|---|
| Запрос на доступ принят | AccessRequestAccepted | Запрос на доступ к сайту, папке или документу был принят, а запрашивающий пользователь получил доступ. |
| Приглашение к совместному использованию принято | SharingInvitationAccepted | Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ. |
| Добавлен уровень разрешений для семейства веб-сайтов | PermissionLevelAdded | Для семейства веб-сайтов добавлен уровень разрешений. |
| Заблокировано приглашение к совместному использованию | SharingInvitationBlocked | Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин: Домен целевого пользователя не входит в список разрешенных доменов. ИЛИ Домен целевого пользователя включен в список блокируемых доменов. Дополнительные сведения о том, как разрешить или заблокировать внешний общий доступ на основе доменов, см. в статье Общий доступ с ограниченным доступом к доменам в SharePoint и OneDrive. |
| Создана ссылка общего доступа для компании | CompanyLinkCreated | Пользователь создал на уровне организации ссылку на ресурс. Ссылки на уровне компании могут использоваться только участниками вашей организации. Их не могут использовать гости. |
| Создан запрос на доступ | AccessRequestCreated | Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений. |
| Создана анонимная ссылка | AnonymousLinkCreated | Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности. |
| Создана безопасная ссылка | SecureLinkCreated | Для элемента создана безопасная ссылка общего доступа. |
| Приглашение к совместному использованию создано | SharingInvitationCreated | Пользователь предоставил общий доступ к ресурсу в SharePoint или OneDrive пользователю, который не находится в каталоге вашей организации. |
| Удалена безопасная ссылка | SecureLinkDeleted | Безопасная ссылка общего доступа была удалена. |
| Отклонен запрос на доступ | AccessRequestDenied | Запрос на доступ к сайту, папке или документу отклонен. |
| Удалена корпоративная ссылка для общего доступа | CompanyLinkRemoved | Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу. |
| Удалена анонимная ссылка | AnonymousLinkRemoved | Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу. |
| Предоставлен общий доступ к файлу, папке или сайту | SharingSet | Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive с пользователем в каталоге вашей организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость). Это действие зачастую сопровождается вторым событием, описывающим способ предоставления пользователю доступа к ресурсу. Например, его добавление в группу, у которой есть такой доступ. |
| Отменен общий доступ к файлу, папке или сайту | SharingRevoked | Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю. |
| Обновлен запрос на доступ | AccessRequestUpdated | Запрос на доступ к элементу был обновлен. |
| Обновлена анонимная ссылка | AnonymousLinkUpdated | Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData. |
| Обновлено приглашение к совместному использованию | SharingInvitationUpdated | Приглашение к внешнему общему доступу было обновлено. |
| Использована ссылка общего доступа для компании | CompanyLinkUsed | Пользователь обратился к ресурсу по ссылке на уровне организации. |
| Использована анонимная ссылка | AnonymousLinkUsed | Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес. |
| Использована безопасная ссылка | SecureLinkUsed | Пользователь использовал безопасную ссылку. |
| Пользователь добавлен в безопасную ссылку | AddedToSecureLink | Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа. |
| Пользователь удален из безопасной ссылки | RemovedFromSecureLink | Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа. |
| Приглашение к совместному использованию отозвано | SharingInvitationRevoked | Пользователь отозвал приглашение на общий доступ к ресурсу. |
Действия, связанные с администрированием сайта
В следующей таблице перечислены события, которые являются результатом задач администрирования сайта в SharePoint и записываются в журнал аудита Microsoft 365. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлено разрешенное расположение данных | AllowedDataLocationAdded | SharePoint или глобальный администратор добавил разрешенное расположение данных в среде с несколькими приложениями. |
| Добавлен исключаемый агент пользователя | ExemptUserAgentSet | Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint. |
| Добавлен администратор географического расположения | GeoAdminAdded | Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения. |
| Пользователю разрешено создавать группы | AllowGroupCreationSet | Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте. |
| Применение темы к Интернету | WebThemeApplied | SharePoint, глобальный администратор или владелец сайта применили веб-тему. |
| Отменено географическое перемещение сайта | SiteGeoMoveCancelled | SharePoint или глобальный администратор отменил географическое перемещение сайта SharePoint или OneDrive. Возможность multigeo позволяет организации охватывать несколько географических регионов центров обработки данных Майкрософт, которые называются географическими. Дополнительные сведения см. в статье Возможности с несколькими регионами в OneDrive и SharePoint. |
| Изменена политика общего доступа | SharingPolicyChanged | SharePoint или глобальный администратор изменил политику общего доступа к SharePoint с помощью Центр администрирования Microsoft 365, Центра администрирования SharePoint или командной консоли SharePoint. Все изменения параметров в политике общего доступа в вашей организации регистрируются. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии. |
| Изменена политика доступа к устройству | DeviceAccessPolicyChanged | Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств. |
| Изменены исключаемые агенты пользователя | CustomizeExemptUsers | Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что когда агент пользователя, указанный как исключение, сталкивается с формой InfoPath, форма возвращается в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath. |
| Изменена политика доступа к сети | NetworkAccessPolicyChanged | SharePoint или глобальный администратор изменил политику доступа на основе расположения (также называемую границей доверенной сети) в Центре администрирования SharePoint или с помощью SharePoint PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к данным SharePoint и OneDrive на основе сетевого расположения. |
| Завершенное задание миграции | MigrationJobCompleted | Задание миграции завершено. |
| Завершено географическое перемещение сайта | SiteGeoMoveCompleted | Географическое перемещение сайта, запланированное глобальным администратором в организации. Возможность multigeo позволяет организации охватывать несколько географических регионов центров обработки данных Майкрософт, которые называются географическими. Дополнительные сведения см. в статье Возможности с несколькими регионами в OneDrive и SharePoint. |
| Создание темы на уровне клиента | TenantWideThemeCreated | Администратор SharePoint, глобальный администратор или бренд-менеджер создали пользовательскую тему, применяемую на всех сайтах SharePoint в вашей организации. |
| Создано подключение "Отправить пользователю" | SendToConnectionAdded | Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение. |
| Создано семейство веб-сайтов | SiteCollectionCreated | SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint или пользователь подготавливает свой сайт OneDrive. |
| Удаление темы на уровне клиента | TenantWideThemeDeleted | Администратор SharePoint, глобальный администратор или бренд-менеджер удалил настраиваемую тему, применяемую ко всем сайтам SharePoint в вашей организации. |
| Удален потерянный центральный сайт | HubSiteOrphanHubDeleted | Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта. |
| Удалены подключения "Отправить пользователю" | SendToConnectionRemoved | Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint. |
| Удален сайт | SiteDeleted | Администратор сайта удаляет сайт. |
| Включен предварительный просмотр документов | PreviewModeEnabledSet | Администратор сайта включает предварительный просмотр документов для сайта. |
| Включен устаревший рабочий процесс | LegacyWorkflowEnabledSet | Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint. |
| Включен Office по запросу | OfficeOnDemandSet | Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office. |
| Включен источник результатов для поиска людей | PeopleResultsScopeSet | Администратор сайта создает источник результатов для функции "Поиск людей" на сайте. |
| Включены RSS-каналы | NewsFeedEnabledSet | Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint. |
| Сайт присоединен к центральному сайту | HubSiteJoined | Владелец сайта связывает свой сайт с центральным сайтом. |
| Изменена квота семейства веб-сайтов | SiteCollectionQuotaModified | Администратор сайта изменяет квоту для семейства веб-сайтов. |
| Окончательное удаление сайта | SitePermanentlyDeleted | SharePoint или глобальный администратор безвозвратно удаляет сайт из SharePoint Администратор Центр удаленных сайтов. |
| Зарегистрирован центральный сайт | HubSiteRegistered | Администратор SharePoint или глобальный администратор создает центральный сайт. В результате сайт будет зарегистрирован как центральный сайт. |
| Удалено разрешенное расположение данных | AllowedDataLocationDeleted | SharePoint или глобальный администратор удалили разрешенное расположение данных в среде с несколькими приложениями. |
| Удален администратор географического расположения | GeoAdminDeleted | Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения. |
| Переименован сайт | SiteRenamed | Администратор или владелец сайта переименовывает сайт. |
| Восстановление сайта | SiteRestored | SharePoint или глобальный администратор восстанавливает сайт из SharePoint Администратор Центр удаленных сайтов. |
| Запланировано географическое перемещение сайта | SiteGeoMoveScheduled | Администратор SharePoint или глобальный администратор запланировали географическое перемещение сайта SharePoint или OneDrive. Возможность multigeo позволяет организации охватывать несколько географических регионов центров обработки данных Майкрософт, которые называются географическими. Дополнительные сведения см. в статье Возможности с несколькими регионами в OneDrive и SharePoint. |
| Настроен сайт узла | HostSiteSet | SharePoint или глобальный администратор изменяет назначенный сайт для размещения личных сайтов или сайтов OneDrive. |
| Задана квота хранилища для географического расположения | GeoQuotaAllocated | SharePoint или глобальный администратор настроили квоту хранилища для географического расположения в среде с несколькими регионами. |
| Сайт отсоединен от центрального сайта | HubSiteUnjoined | Владелец сайта отсоединяет свой сайт от центрального сайта. |
| Отменена регистрация центрального сайта | HubSiteUnregistered | Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта. |
| Обновление конфигурации DisableSiteBranding | UpdateDisableSiteBranding | SharePoint или глобальный администратор включает или отключает фирменную символику сайта. |
| Обновление темы на уровне клиента | TenantWideThemeUpdated | Администратор SharePoint, глобальный администратор или менеджер бренда обновил настраиваемую тему, применяемую на всех сайтах SharePoint в вашей организации. |
Действия, связанные с разрешениями для сайтов
В следующей таблице перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам, записанным в журнале аудита Microsoft 365. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен администратор семейства веб-сайтов | SiteCollectionAdminAdded | Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365). |
| В группу SharePoint добавлен пользователь или группа | AddedToGroup | Пользователь добавил участника или гостя в группу SharePoint. Это действие может быть преднамеренным или результатом другого действия, например события общего доступа. |
| Нарушено наследование уровня разрешений | PermissionLevelsInheritanceBroken | В результате изменения элемент больше не наследует уровни разрешений от родительского элемента. |
| Нарушено наследование общего доступа | SharingInheritanceBroken | В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента. |
| Создана группа | GroupAdded | Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы. Например, когда пользователь впервые создает ссылку для предоставления общего доступа к файлу, на сайт OneDrive пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл. |
| Удалена группа | GroupRemoved | Пользователь удаляет группу с сайта. |
| Изменен параметр "Участники могут предоставлять доступ" | WebMembersCanShareModified | Параметр Участники могут предоставлять доступ был изменен на сайте. |
| Изменен параметр запроса доступа | WebRequestAccessModified | Параметры запросов на доступ изменились на сайте. |
| Изменен уровень разрешений для семейства веб-сайтов | PermissionLevelModified | В семействе веб-сайтов изменен уровень разрешений. |
| Изменены разрешения сайта | SitePermissionsModified | Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе. ПРИМЕЧАНИЕ. Эта операция не рекомендуется использовать в SharePoint. Чтобы обнаружить связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа. |
| Удален уровень разрешений для семейства веб-сайтов | PermissionLevelRemoved | Из семейства веб-сайтов удален уровень разрешений. |
| Удален администратор семейства веб-сайтов | SiteCollectionAdminRemoved | Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям. |
| Из группы SharePoint удален пользователь или группа | RemovedFromGroup | Пользователь удалил участника или гостя из группы SharePoint. Это действие может быть преднамеренным или результатом другого действия, например события без совместного использования. |
| Запрошены разрешения администратора сайта | SiteAdminChangeRequest | Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. |
| Восстановлено наследование общего доступа | SharingInheritanceReset | Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента. |
| Обновлена группа | GroupUpdated | Администратор или владелец сайта изменяет параметры группы для сайта. Это изменение может включать имя группы, кто может просматривать или изменять членство в группе, а также способ обработки запросов на членство. |
Действия, связанные с синхронизацией
В следующей таблице перечислены действия синхронизации файлов, записанные в журнале аудита Microsoft 365 для SharePoint и OneDrive.
| Понятное имя | Операция | Описание |
|---|---|---|
| Компьютеру разрешено синхронизировать файлы | ManagedSyncClientAllowed | Пользователь установил связь синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов (так называемый список надежных получателей) и позволяющий получить доступ к библиотекам документов в вашей организации. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей. |
| На компьютере заблокирована синхронизация файлов | UnmanagedSyncClientBlocked | Пользователь пытается установить связь синхронизации с сайтом с компьютера, который не является членом домена вашей организации или членом домена, который не был добавлен в список доменов (список надежных получателей), который может получить доступ к библиотекам документов в вашей организации. Связь синхронизации запрещена, и компьютер пользователя блокирует синхронизацию, скачивание или отправку файлов в библиотеку документов. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей. |
| На компьютер скачаны изменения в файле | FileSyncDownloadedPartial | Это событие не рекомендуется использовать вместе со старым приложением приложение синхронизации OneDrive (Groove.exe). |
| На компьютер скачаны файлы | FileSyncDownloadedFull | Пользователь скачал файл на свой компьютер из библиотеки документов SharePoint или OneDrive с помощью приложения приложение синхронизации OneDrive (OneDrive.exe). |
| Изменения в файле выложены в библиотеку документов | FileSyncUploadedPartial | Это событие не рекомендуется использовать вместе со старым приложением приложение синхронизации OneDrive (Groove.exe). |
| Файлы выложены в библиотеку документов | FileSyncUploadedFull | Пользователь загрузил новый файл или изменения в файл в библиотеке документов SharePoint или OneDrive с помощью приложения приложение синхронизации OneDrive (OneDrive.exe). |
Действия SystemSync
В следующей таблице перечислены действия для SystemSync, записанные в журнале аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Создан общий ресурс данных | DataShareCreated | Когда пользователь создал экспорт данных. |
| Удален общий ресурс данных | DataShareDeleted | Когда пользователь удалил экспорт данных. |
| Скачивание копии данных озера | DownloadCopyOfLakeData | При скачивании копии данных озера. |
| Создание копии данных озера | GenerateCopyOfLakeData | При создании копии данных озера. |
Обучаемые действия классификатора
В следующей таблице перечислены действия для обучаемых классификаторов, записанные в журнал аудита Microsoft 365.
| Понятное имя | Операция | Описание |
|---|---|---|
| Созданная модель классификации данных Purview | ModelСоздать | Пользователь (администратор или система от имени пользователя) создал новую обучаемую модель в классификации данных Purview. |
| Удаленная модель классификации данных Purview | ModelUpdate | Пользователь (администратор или система от имени пользователя) обновил новую обучаемую модель в классификации данных Purview. |
| Опубликованная модель классификации данных Purview | ModelPublish | Пользователь (или администратор или система от имени пользователя) опубликовал новую обучаемую модель в классификации данных Purview. |
| Обновленная модель классификации данных Purview | ModelDelete | Пользователь (администратор или система от имени пользователя) удалил новую обучаемую модель в классификации данных Purview. |
Действия по управлению универсальной печатью
В следующей таблице перечислены действия, записанные в журнале аудита Microsoft 365 при выполнении действий с принтерами, соединителями, общими папками принтера и параметрами на уровне клиента с помощью службы универсальной печати .
| Действие | Операция | Описание |
|---|---|---|
| Добавлен групповой доступ к общей папке принтера | ShareAccessControlGroupДобавлено | Группе предоставляется доступ к общей папке принтера. |
| Добавлен элемент для принтера печати по запросу | PullPrintPrinterMemberAdded | Элемент добавляется в группу принтеров по запросу для управления доступом. |
| Добавлен доступ пользователей к общей папке принтера | ShareAccessControlUserAdded | Пользователю предоставляется доступ к общей папке принтера. |
| Созданная общая папка принтера | ShareCreated | Создается общий ресурс принтера, позволяющий нескольким пользователям получить доступ к принтеру. |
| Созданный принтер печати по запросу | PullPrintPrinterCreated | Для безопасного выпуска печати создается виртуальный принтер по запросу. |
| Удаленный общий ресурс принтера | ShareDeleted | Общий ресурс принтера удаляется, что приведет к удалению общего доступа. |
| Удаленный принтер печати по запросу | PullPrintPrinterDeleted | Виртуальный принтер по запросу удаляется из универсальной печати. |
| Отключен полный доступ к общей папке принтера | ShareAccessControlAllowAllDisabled | Универсальный доступ к общей папке принтера отключен. |
| Отключенные встроенные принтеры | PullPrintPrinterIncludeAllPrintersDisabled | Все принтеры исключаются из конфигурации печати по запросу. |
| Скачан отчет | ОтчетСкачать | Отчет загружается из универсальной печати для анализа или аудита. |
| Включен полный доступ для общей папки принтера | ShareAccessControlAllowAllEnabled | Всем пользователям разрешен доступ к общей папке принтера. |
| Включенные все принтеры | PullPrintPrinterIncludeAllPrintersEnabled | Все принтеры включены в конфигурацию печати по запросу. |
| Измененные параметры принтера | PrinterSettingsModified | Параметры конфигурации принтера обновляются в универсальной печати. |
| Измененные параметры общей папки принтера | ShareSettingsModified | Параметры общей папки принтера обновляются в универсальной печати. |
| Изменены параметры принтера по запросу | PullPrintPrinterSettingsModified | Параметры принтера по запросу обновляются в универсальной печати. |
| Измененные параметры печати клиента | TenantPrintSettingsModified | Параметры печати на уровне клиента обновляются в универсальной печати. |
| Зарегистрированный соединитель | ConnectorRegistered | Соединитель зарегистрирован в универсальной печати, что обеспечивает обмен данными между принтерами и облачной службой. |
| Зарегистрированный принтер | PrinterRegistered | Принтер зарегистрирован в универсальной печати, что делает его доступным для печати в облаке. |
| Удален доступ к группе из общей папки принтера | ShareAccessControlGroupRemoved | Доступ группы к общей папке принтера удаляется. |
| Удален элемент принтера по запросу | PullPrintPrinterMemberRemoved | Элемент удаляется из группы принтеров по запросу. |
| Удален доступ пользователей из общей папки принтера | ShareAccessControlUserRemoved | Доступ пользователя к общей папке принтера удаляется. |
| Переключение принтера | PrinterSwapped | Принтер заменяется или переключается на другое устройство в универсальной печати. |
| Незарегистрированный соединитель | ConnectorUnregistered | Соединитель не зарегистрирован в универсальной печати, что устраняет возможность управления принтерами. |
| Незарегистрированный принтер | PrinterUnregistered | Принтер удаляется из универсальной печати, что делает его недоступным для печати в облаке. |
Действия задания универсальной печати
В следующей таблице перечислены действия, записанные в журнале аудита Microsoft 365 при выполнении действий в заданиях печати с помощью службы универсальной печати .
| Деятельности** | Операция | Описание |
|---|---|---|
| Прерванное задание печати | PrintJobAborted | Задание печати неожиданно завершается из-за ошибки или прерывания. |
| Подтвержденное задание печати | PrintJobAcknowledged | Задание печати подтверждается принтером, указывая, что принтер получил и готов к обработке задания печати. |
| Отмененное задание печати | PrintJobCanceled | Задание печати отменяется пользователем или системой перед завершением. |
| Завершенное задание печати | PrintJobCompleted | Задание печати завершается успешно, и все страницы печатаются. |
| Документ задания печати с получением | PrintJobDocumentFetched | Документ задания печати извлекается принтером или соединителем универсальной печати. |
| Отправлено задание печати | PrintJobCreated | Задание печати отправляется в очередь печати, указывая на начало процесса печати. |
| Отправленный документ задания печати | PrintJobDocumentUploaded | Документ задания печати успешно отправлен в универсальную печать. |
Действия, связанные с администрированием пользователей
В следующей таблице перечислены действия администрирования пользователей, записанные в журнале аудита Microsoft 365, когда администратор добавляет или изменяет учетную запись пользователя с помощью Центр администрирования Microsoft 365 или портала управления Azure.
Примечание.
Имена операций, перечисленные в столбце Операция в следующей таблице, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").
| Действие | Операция | Описание |
|---|---|---|
| Добавлен пользователь | Добавление пользователя. | Создается учетная запись пользователя. |
| Изменена лицензия пользователя | Изменение лицензии пользователя. | Лицензия, назначенная пользователю, изменена. Сведения о том, какие лицензии были изменены, см. в соответствующем обновлении действия пользователя . |
| Изменен пароль пользователя | Смена пароля пользователя. | Пользователь изменяет пароль. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль. Вы также можете отслеживать действия самостоятельного сброса пароля в Microsoft Entra ID. Дополнительные сведения см. в разделе Параметры отчетов для управления паролями Microsoft Entra. |
| Удален пользователь | Удаление пользователя. | Учетная запись пользователя была удалена. |
| Сброшен пароль пользователя | Сброс пароля пользователя. | Администратор сбрасывает пароль пользователя. |
| Настроить свойства лицензии | Настройка свойств лицензии. | Администратор изменил свойства лицензии, назначенной пользователю. |
| Назначено свойство, которое заставляет пользователей изменить пароль | Установка принудительной смены пароля пользователя. | Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Microsoft 365. |
| Обновлен пользователь | Обновление пользователя. | Администратор изменяет одно или несколько свойств учетной записи пользователя. Список свойств пользователя, которые можно обновить, см. в разделе "Обновление атрибутов пользователя" статьи Microsoft Entra событиях отчета аудита. |
Действия Viva Glint
В следующей таблице перечислены действия пользователей и администраторов в Viva Glint, которые записываются в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в файле .csv при экспорте результатов поиска.
Поиск по журналу аудита объясняет, как можно искать журналы аудита на портале Microsoft Purview. Чтобы получить доступ к журналам аудита, необходимо быть глобальным администратором или иметь разрешения на чтение аудита. Используйте фильтр Действия для поиска определенных действий и вывода списка всех действий Viva Glint, выбрав VivaGlint в фильтре Типа записи . Используйте поля диапазона дат и список Пользователи , чтобы еще больше сузить результаты поиска.
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлена Администратор компании | AddCompanyAdmin | Пользователь был добавлен в роль Администратор компании. |
| Добавлен пользователь службы поддержки | AddSupportUser | Пользователь был добавлен в роль пользователя службы поддержки. |
| Назначенная роль пользователя | AssignRole | Пользователю назначается новая роль. |
| Измененные сведения о клиенте | ClientDetailsChanged | Изменение действия в общих параметрах Viva Glint или Расширенной конфигурации: сведения. |
| Компания Администратор вошли в систему | AdminLogin | Пользователь Администратор компании вошел в Viva Glint. |
| Выход Администратор компании | AdminLogout | Пользователь компании Администратор вышел из Viva Glint. |
| Созданная роль пользователя | RoleCreated | Действие создания роли пользователя Glint. |
| Удаленный доступ в службу поддержки | GlintSupportAccessDeleted | Пользователь был удален из роли пользователя службы поддержки. |
| Удаленная система | GlintSystemDeleted | Система Viva Glint была удалена. |
| Удаленный пользователь | GlintUserDeleted | Действие удаления пользователей Viva Glint. |
| Отключен доступ к расширенной конфигурации | UserAdvConfigDisabled | Пользователь компании Администратор отключил доступ к расширенной конфигурации в Viva Glint. |
| Включен доступ к расширенной конфигурации | UserAdvConfigEnabled | Пользователь Администратор компании включил доступ к расширенной конфигурации в Viva Glint. |
| Выполнение задания приложений для работы с данными | GlintDataAppsJobRun | Viva Glint Advanced Configuration Data App и действие отправки. |
| Экспортированные отзывы о Glint 360 | GlintFeedbackProgramExport | Действия по экспорту данных программы обратной связи Viva Glint 360. |
| Экспортированные списки рассылки Glint | GlintUserGroupExport | Действие экспорта списка рассылки. |
| Экспортированные Люди Glint | GlintUserExport | Действие экспорта данных Люди Glint. |
| Скорость отклика экспортированного glint Pulse Program | GlintPulseProgramRespondentRateExport | Действие экспорта скорости отклика пульсовой программы Glint. |
| Экспортированная библиотека вопросов Glint | GlintQuestionExport | Действие экспорта библиотеки вопросов Glint. |
| Экспортированная программа опроса Glint | GlintPulseProgramExport | Действие экспорта содержимого программы опроса Glint. |
| Экспортированные роли пользователя Glint | GlintRoleExport | Действие экспорта данных роли пользователя Glint. |
| Экспортированные необработанные данные опроса | RawSurveyReponseExport | Действие экспорта необработанных данных ответа на опрос. |
| Экспортированные данные пользователя | UserDataExport | Действие экспорта данных сотрудников. |
| Импортированные отзывы о Glint 360 | GlintFeedbackProgramImport | 360 Действие импорта данных программы обратной связи. |
| Импортированный SFTP Glint | GlintRubiconImport | Действие импорта SFTP данных сотрудников. |
| Импортированные данные пользователя Glint | GlintUserImport | Действия по импорту данных сотрудников. |
| Импортированная роль пользователя Glint | GlintRoleImport | Действия с данными сотрудника роли пользователя. |
| Удалена Администратор компании | RemoveCompanyAdmin | Пользователь был удален из роли Администратор компании. |
| Повторно открытый опрос | SurveyReopen | Закрытое обследование Viva Glint было открыто. |
| Настройка элемента управления DSR данных | DataDsrControlSet | Элементы управления пользовательскими данными для удаления данных опроса в действии обновления общих параметров. |
| Настройка идентификаторов сотрудников с удалением | Отмена набора идентификаторовmployee | Элементы управления пользовательскими данными для повторного использования идентификатора сотрудника в действии обновления общих параметров. |
| Неназначаемая роль пользователя | UnassignRole | Пользователь удаляется из роли. |
| Просмотр как | ViewAs | Администраторы "Просмотр как" другое действие пользователя. |
действия Viva Goals
В следующей таблице перечислены действия пользователей и администраторов в Viva Goals, которые записываются в журнал аудита Microsoft 365. Таблица содержит понятное имя, отображающееся в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Поиск по журналу аудита объясняет, как можно искать журналы аудита на портале Microsoft Purview. Чтобы получить доступ к журналам аудита, необходимо быть глобальным администратором или иметь разрешения на чтение аудита. Для поиска определенных действий можно использовать фильтр Действия . Чтобы получить список всех действий Viva Goals, выберите VivaGoals в фильтре Тип записи. Вы также можете использовать поля диапазона дат и список Пользователи , чтобы еще больше сузить результаты поиска.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Созданная панель мониторинга | Созданная панель мониторинга | Пользователь создал новую панель мониторинга на Viva Goals |
| Удалена панель мониторинга | Удалена панель мониторинга | Пользователь удалил панель мониторинга на Viva Goals. |
| Обновлена панель мониторинга | Обновлена панель мониторинга | Пользователь обновил панель мониторинга на Viva Goals |
| Экспортированные данные | Экспортированные данные | Экспортируемый пользователем список OKR или список пользователей в организации на Viva Goals. |
| Обновлена политика целей | Обновлена политика целей | Глобальный администратор изменил политику или параметры на уровне организации Viva Goals. Например, глобальный администратор настраивает пользователей, которые могут создавать организации на Viva Goals. |
| OKR или project created | OKR или project created | Пользователь создал OKR или Project на Viva Goals. |
| OkR или Project удалены | OkR или Project удалены | Пользователь удалил OKR или Project. |
| OkR или Project обновлены | OkR или Project обновлены | OkR/Project был изменен, пользователь ввлехивал проверка или интеграцию с Viva Goals. |
| Организация создана | Организация создана | Администратор или пользователь создал новую организацию на Viva Goals. |
| Обновлены интеграции организации | Обновлены интеграции организации | Пользователь (обычно владельцы или администраторы организации) настроили стороннюю интеграцию или обновил существующую стороннюю интеграцию для организации на Viva Goals. |
| Обновлены параметры организации | Обновлены параметры организации | Пользователь (как правило, владельцы или администраторы организации) обновил параметры организации в Viva Goals. |
| Добавлена команда | Добавлена команда | Новая команда была создана в организации на Viva Goals. |
| Команда удалена | Команда удалена | Команда в организации на Viva Goals была удалена пользователем. |
| Команда обновлена | Команда обновлена | Команда в организации на Viva Goals была изменена или обновлена. |
| Пользователь добавлен | Пользователь добавлен | Новый пользователь был добавлен в организацию на Viva Goals. |
| Пользователь отключен | Пользователь отключен | Пользователь был деактивирован в организации. |
| Пользователь удален | Пользователь удален | Пользователь был удален из организации в Viva Goals. |
| Пользователь вошел в систему | Пользователь вошел в систему | Пользователь вошел в Viva Goals. |
действия Viva Engage
В следующей таблице перечислены действия пользователей и администраторов в Viva Engage, записанные в журнале аудита Microsoft 365. Чтобы вернуть Viva Engage действий из журнала аудита, выберите Показать результаты для всех действий в списке Действия. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.
Примечание.
Некоторые Viva Engage действия аудита доступны только в разделе Аудит (Премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).
| Понятное имя | Операция | Описание |
|---|---|---|
| Добавлен корпоративный коммуникатор | AddUserRole | Пользователь назначается в качестве корпоративного коммуникатора. |
| Изменена настраиваемая политика использования | UsagePolicyUpdated | Администратор клиента обновляет настраиваемую политику использования. |
| Changed data retention policy (Изменена политика хранения данных) | SoftDeleteSettingsUpdated | Проверенный администратор изменяет значение параметра сетевой политики хранения данных — задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы. |
| Изменена конфигурация сети | NetworkConfigurationUpdated | Сетевой или проверенный администратор изменяет конфигурацию сети Viva Engage. Это изменение включает в себя настройку интервала для экспорта данных и включение чата. |
| Изменены параметры сетевого профиля | ProcessProfileFields | Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей. |
| Changed private content mode (Изменен режим личного содержимого) | SupervisorAdminToggled | Проверенный администратор включает или выключает режим частного содержимого . Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы. |
| Changed security configuration (Изменена конфигурация безопасности) | NetworkSecurityConfigurationUpdated | Проверенный администратор обновляет конфигурацию безопасности сети Viva Engage. Это обновление включает в себя настройку политик истечения срока действия паролей и ограничений на IP-адреса. Это действие могут выполнять только проверенные администраторы. |
| Беседа закрыта | CloseConversation | Поток Viva Engage был закрыт, что не позволяет пользователям отвечать на него. Это действие доступно администратору, корпоративному коммуникатору или делегату пользователя. |
| Беседа открыта | OpenConversation | Был открыт диалог Viva Engage потока, который позволяет пользователям отвечать на поток. Это действие доступно администратору, корпоративным коммуникациям или делегату пользователя. |
| Создание сегмента | SegmentCreated | Администратор создает сегментацию. |
| Created file (Создан файл) | FileCreated | Пользователь добавляет файл. |
| Создана группа | GroupCreation | Пользователь создает группу. |
| Создано сообщение | Создание сообщения | Пользователь создает сообщение. |
| Удаление сегмента | SegmentDeleted | Администратор удаляет сегментацию. |
| Удалена группа | GroupDeletion | Группа удаляется из Viva Engage. |
| Deleted message (Удалено сообщение) | MessageDeleted | Пользователь удаляет сообщение. |
| Скачивание административных отчетов сегментации | SegmentationReportDownloaded | скачиваются Администратор отчеты |
| Скачан файл | FileDownloaded | Пользователь скачивает файл. |
| Экспортируемое содержимое событий | EventContentExported | Организатор событий экспортирует вопросы, ответы, реакции и количество upvote событий в CSV-файл. Это действие доступно только для организаторов мероприятий и только для соорганизаторов. Администратор сети может отключить эту функцию для всей сети в параметрах администратора Engage. |
| Включена модерация событий | EventModerationEnabled | Организатор событий включает модерацию для события. Это действие доступно только организаторам событий. |
| Exported data (Экспортированы данные) | DataExport | Проверенный администратор экспортирует Viva Engage сетевые данные. Это действие могут выполнять только проверенные администраторы. |
| Не удалось получить доступ к файлу | FileAccessFailure | Пользователю не удалось получить доступ к файлу. |
| Не удалось получить доступ к группе | GroupAccessFailure | Пользователю не удалось получить доступ к группе. |
| Не удалось получить доступ к потоку | ThreadAccessFailure | Пользователю не удалось получить доступ к потоку сообщений. |
| Создание административных отчетов сегментации | SegmentationReportGenerated | Администратор пользователь активирует создание отчета. |
| Реагировал на сообщение | MarkedMessageChanged | Пользователь отреагировал на сообщение. |
| Удалить курируемый раздел* | RemoveCuratedTopic | Пользователь удаляет курируемый раздел. |
| Удален корпоративный коммуникатор | RemoveUserRole | Пользователь удаляется из роли "Корпоративный коммуникатор". |
| Пользователь поделился файлом | FileShared | Пользователь делится файлом с другим пользователем. |
| Suspended network user (Приостановлен пользователь сети) | NetworkUserSuspended | Сетевой или проверенный администратор приостанавливает (деактивирует) пользователя от Viva Engage. |
| Suspended user (Приостановлен пользователь) | UserSuspension | Активность учетной записи пользователя приостановлена (деактивирована). |
| Принятие политики использования клиента | UsagePolicyAcceptance | Пользователь принимает политику использования для конкретной организации. |
| Поток отключен | AdminThreadMuted | При отключении потока администратор или наблюдатель (системный пользователь). Оповещение о просмотре возникает, когда поток помечается для определенной темы (заданной администратором) и автоматически вмещается системой. |
| Поток без перемотки | AdminThreadUnmuted | Администратор размыкать поток. |
| Updated file description (Обновлено описание файла) | FileUpdateDescription | Пользователь изменяет описание файла. |
| Updated file name (Обновлено имя файла) | FileUpdateName | Пользователь изменяет имя файла. |
| Обновлено сообщение | MessageUpdated | Пользователь обновляет сообщение. |
| Обновлено назначение ролей для сетевых Администратор | NetworkAdminUpdated | Пользователь либо повышен, либо понижен до роли сетевого Администратор. |
| Обновлено назначение ролей для проверенных Администратор | NetworkVerifiedAdminUpdated | Пользователь либо повышен, либо понижен до роли проверенного Администратор. |
| Viewed file (Просмотрен файл) | FileVisited | Пользователь просматривает файл. |
| Просмотр потока | ThreadViewed | Пользователь просматривает поток сообщений. |
Действия Viva Pulse
В следующей таблице перечислены действия пользователей и администраторов в Viva Pulse, записанные в журнале аудита Microsoft 365. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.
Поиск по журналу аудита объясняет, как можно искать журналы аудита на портале Microsoft Purview. Чтобы получить доступ к журналам аудита, необходимо быть глобальным администратором или иметь разрешения на чтение аудита. Для поиска определенных действий можно использовать фильтр Действия . Чтобы получить список всех действий Viva Pulse, выберите VivaPulse в фильтре типа записи . Вы также можете использовать поля диапазона дат и список Пользователи , чтобы еще больше сузить результаты поиска.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
| Понятное имя | Операция | Описание |
|---|---|---|
| Администратор удалены данные пользователя | PulseDeleteUserData | Администратор удалены данные пользователя. |
| Администратор обновлены параметры клиента | PulseTenantSettingsUpdate | Администратор обновлен параметр организации для Viva Pulse. |
| Начало конфиденциальной беседы | PulseConfidentialConversationStarted | Автор начал конфиденциальный разговор. |
| Сообщение беседы удалено | PulseConfidentialConversationMessageDeleted | Пользователь удалил сообщение беседы. |
| Добавлен ответ беседы | PulseConfidentialConversationResponded | Автор или получатель ответил на беседу. |
| Пользователь отменил опрос Pulse | PulseCancel | Пользователь отменил опрос Pulse. |
| Пользователь создал черновик Pulse | PulseCreateDraft | Пользователь создал черновик Pulse. |
| Пользователь создал опрос Pulse | PulseCreate | Создается новый запрос обратной связи Viva Pulse. |
| Пользователь удалил черновик Pulse | PulseDeleteDraft | Пользователь удалил черновик Pulse. |
| Пользователь удалил вопрос для библиотеки | PulseQuestionDeleted | Пользователь удалил вопрос для библиотеки вопросов pulse. |
| Пользователь продлил крайний срок опроса пульса | PulseExtendDeadline | Пользователь продлил крайний срок для существующего запроса на обратную связь Viva Pulse. |
| Пользователь пригласил дополнительных пользователей в опрос Pulse | PulseInvite | Пользователь пригласил дополнительных пользователей в существующий запрос на обратную связь Viva Pulse. |
| Пользователь запрашивает экспорт импульсных данных | PulseDataExport | Администратор или Автор запрашивает операцию экспорта импульсов. |
| Пользователь предоставил общий доступ к отчету pulse | PulseShareResults | Пользователь поделился результатами обратной связи Viva Pulse с другими пользователями. |
| Пользователь отправил ответ на опрос пульса | PulseSubmit | Администратор или пользователь предоставили отзыв для запроса обратной связи Viva Pulse. |
Windows 365 действия с хранилищем для клиентов
В следующей таблице перечислены действия пользователей и администраторов в Windows 365 защищенном хранилище клиента, записываются в журнал аудита Microsoft 365. Чтобы вернуть Windows 365 действий, связанных с защищенной папкой клиента, из журнала аудита выберите Windows365CustomerLockbox в разделе Типы записей. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.
| Понятное имя | Операция | Описание |
|---|---|---|
| Агент CMD backfill | Операция AddDevicesToBackfill | Резервное заполнение агента CMD на облачном компьютере. |
| Массовая переустановка агента CMD | Операция TriggerClientAgentCheckBulkAction | Массовая переустановка агента CMD по запросу. |
| Проверка политики выполнения PowerShell | Проверка политики выполнения PowerShell | Проверьте политику выполнения PowerShell. |
| Создание запроса LogCollection | Создание запроса LogCollection | Создайте запрос на сбор журналов на облачный компьютер. |
| Создание новых рабочих элементов (планировщик) | Создание новых рабочих элементов (планировщик) | Создание новых рабочих элементов, таких как Подготовка, Отзыв, Повторная подготовка и другие. |
| Создание удаленной операции действия в ActionModeratorService | Создание удаленной операции действия в ActionModeratorService | Создание удаленного действия по идентификаторам клиента, workspaceID, actionType, actionParameters. |
| Создание запроса VmExtension | Создание запроса VmExtention | Создает запросы на расширение виртуальной машины для выполнения расширения виртуальной машины для выполнения пользовательских сценариев на устройстве клиента. |
| Выполнение AppHealthPlugin | Выполнение AppHealthPlugin | Выполните AppHealthPlugin. |
| Установка агента RD | Установка агента RD | Установите агент RD на устройстве пользователя. |
| Выполнение команд OCE на виртуальной машине | Выполнение команд OCE на виртуальной машине | Выполните команды по идентификатору клиента, списку идентификаторов устройств и скрипту. |
| Операция после удаленного действия | Операция после удаленного действия | Опубликуйте удаленное действие, а также опрашиваете результат с помощью операции GetActions. |
| Переустановка агента CMD | Операция AddDevicesToReinstall | Переустановите агент CMD по запросу. |
| Запуск гибридного расширения AADJ | Запуск гибридного расширения AADJ | Запустите гибридное расширение AADJ на устройстве пользователя. |
| Запуск агента CMD Canary проверка. | Запуск агента CMD Canary проверка. | Запуск проверка агента CMD на определенном устройстве. |
| Активация исправления устройства | Активация исправления устройства | Активируйте исправление устройства. |
| Универсальное действие триггера | Универсальное действие триггера | Активировать действие устройства для пользователя. |
| Активация универсального действия SaaF | Активация универсального действия SaaF | Активировать действие устройства (retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) для пользователя. |
| Активация универсального действия с параметрами | Активация универсального действия с параметрами | Активируйте действие устройства с параметрами параметров, более мощными, чем при универсальном действии триггера. |
| Триггер оркестратора | Триггер оркестратора | Активировать оркестратор для пользователя. |
| Отправка папки в BLOB-объект | Отправка папки в BLOB-объект | Сжать и передать папку устройства клиента в большой двоичный объект. |