本文中的表描述了Microsoft 365 审核日志中记录的活动。 可以通过在 Purview 门户中搜索审核日志来搜索这些活动Microsoft。
默认情况下,Microsoft 365 组织的审核日志记录处于打开状态。 如果未为组织启用审核,则会显示一个横幅,提示你开始记录用户和管理员活动。 有关说明,请参阅 启用审核。
这些表对相关活动或特定服务中的活动进行分组。 这些表包括“ 活动 ”下拉列表中显示的友好名称 (或 PowerShell) 中提供的友好名称,以及导出搜索结果时在审核记录的详细信息和 CSV 文件中出现的相应作的名称。 有关详细信息的说明,请参阅 审核日志详细属性。
提示
选择本文顶部的 “在本文中 ”列表中的一个链接,直接转到特定的产品表。
应用程序管理活动
下表列出了当管理员添加或更改在 Microsoft Entra ID 中注册的应用程序时记录的应用程序管理员活动。 必须在目录中注册依赖于 Microsoft Entra ID 进行身份验证的任何应用程序。
注意
下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。
友好名称
操作
说明
已向服务主体添加凭据
添加服务主体凭据。
凭据已添加到 Microsoft Entra ID 中的服务主体。 服务主体表示目录中的应用程序。
已添加委派条目
添加委派条目。
已在 Microsoft Entra ID 中创建或授予应用程序的身份验证权限。
已添加服务主体
添加服务主体。
应用程序已在 Microsoft Entra ID 中注册。 服务主体表示目录中的应用程序。
已从目录删除服务主体
删除服务主体。
应用程序已从Microsoft Entra ID中删除或注销。 服务主体表示目录中的应用程序。
已从服务主体删除凭据
删除服务主体凭据。
凭据已从 Microsoft Entra ID 中的服务主体中删除。 服务主体表示目录中的应用程序。
已删除委派条目
删除委派条目。
从 Microsoft Entra ID 的应用程序中删除了身份验证权限。
已设置委派条目
设置委派条目。
Microsoft Entra ID 中更新了应用程序的身份验证权限。
简介电子邮件活动
下表列出了简报电子邮件中Microsoft 365 条审核日志记录的活动。 有关简介电子邮件的详细信息,请参阅:
简介电子邮件概述
配置简介电子邮件
友好名称
操作
说明
已更新组织隐私设置
UpdatedOrganizationBriefingSettings
管理员更新 “简介电子邮件” 的组织隐私设置。
已更新用户隐私设置
UpdatedUserBriefingSettings
管理员更新 “简介电子邮件” 的用户隐私设置。
通信合规性活动
下表列出了Microsoft 365 条审核日志记录的通信合规性活动。 有关详细信息,请参阅了解Microsoft Purview 通信合规性。
注意
使用 Search-UnifiedAuditLog PowerShell cmdlet 时,可以看到这些活动。 在“ 活动 ”下拉列表中看不到这些活动。
友好名称
操作
说明
策略匹配
SupervisionRuleMatch
用户发送了与策略条件匹配的消息。
策略更新
SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted
通信合规性管理员执行了策略更新。
应用于消息的标记
SupervisoryReviewTag
标记已应用于邮件或已解析邮件。
合规性管理器活动
下表列出了管理员在合规性管理器中管理设置时审核日志记录的作和活动。 有关详细信息,请参阅 了解合规性管理器。
友好名称
操作
说明
角色更改
ComplianceManagerRolesChange
管理员更改了用户的角色。
租户自动化级别更改
ComplianceManagerAutomationLevelChange
管理员在所有作中更改了组织的自动化级别。
测试源自动化更改
ComplianceManagerAutomationChange
管理员更改了测试源自动化设置。
内容浏览器活动
下表列出了Microsoft 365 审核日志中记录的内容资源管理器中的活动。 可以在 Microsoft Purview 门户中的“数据分类”工具上访问内容资源管理器。 有关详细信息,请参阅使用数据分类内容浏览器。
友好名称
操作
说明
访问的项
LabelContentExplorerAccessedItem
管理员(或是作为内容浏览器内容查看器角色组成员的用户)使用内容浏览器来查看电子邮件或 SharePoint/OneDrive 文档。
数据安全调查 (预览) 活动
数据安全调查 (预览) 提供了强大的调查工具,可能需要能够审核活动,以确保安全且已批准使用解决方案。 为了满足这些要求,统一审核日志记录数据安全调查 (预览) 活动。
下表列出了Microsoft 365 个审核日志记录数据安全调查 (预览) 活动。 有关详细信息,请参阅了解Microsoft Purview 数据安全调查 (预览版) 。
友好名称
操作
说明
已取消的 DSI 示例视图
DSISampleViewCancelled
用户取消了示例视图。
已取消的 DSI 统计信息视图
DSIStatisticsViewCancelled
用户取消了统计信息作业。
已创建 DSI 调查
CreatedDSIInvestigation
用户创建了调查。
已删除 DSI 调查
DeletedDSIInvestigation
用户删除了调查。
提供的 DSI AI 反馈
DSIAIFeedbackProvided
用户提供了 AI 反馈。
已查看 DSI 调查列表
DSIInvestigationListViewed
用户查看了调查列表。
添加了 DSI 搜索
DSIPurviewSearchAdded
用户添加了搜索。
DSI 搜索已更新
DSIPurviewSearchUpdated
用户更新了搜索。
DSIProbeJobResutsViewed
DSIProbeJobResultsViewed
用户查看了检查结果。
获取 DSI 调查
GetDSIInvestigation
用户查看了调查。
获取 DSI 搜索
GetSearchDSIInvestigation
用户查看了搜索。
从 Defender XDR 创建的调查
DSIInvestigationCreatedFromXDR
用户从 Defender XDR 创建了调查。
从 Purview IRM 创建的调查
DSIInvestigationCreatedFromIRM
用户从 Microsoft Purview 内部风险管理 创建了调查。
已添加到缓解措施的项
DSIItemAddedToMitigation
用户向调查的缓解计划添加了项。
已查看缓解计划列表
DSIMitigationPlanListVIewed
用户查看了缓解计划列表。
已启动分类作业
DSIInvestigationCategorizationJobSubmitted
用户启动了分类作业。
已启动探测作业
DSIProbeJobSubmitted
用户启动了考试作业。
已启动矢量化作业
DSIinvestigationVectorizationJobSubmitted
用户指出了矢量化作业。
提交的 DSI 搜索添加到证据集作业
DSIPurviewSearchAddToEvidenceSetJobSubmitted
用户向调查范围添加了搜索数据。
提交的 DSI 搜索示例作业
DSIPurviewSearchSampleJobSubmitted
用户启动了示例作业。
提交的 DSI 搜索统计信息作业
DSIPurviewSearchStatisticsJobSubmitted
用户启动了统计信息作业。
更新了 DSI 调查
UpdatedDSIInvestigation
用户更新了调查。
更新了 DSI 调查成员
DSIInvestigationMembersUpdated
用户更新了调查的成员。
缓解计划中的项目状态已更新
DSIMitigationItemStatusUpdated
用户更新了调查的缓解计划中的项的状态。
上传的 DSI 搜索文件
DSIPurviewSearchUploadFile
用户上传了要搜索的文件。
矢量搜索已启动
DSIVectorSearchStarted
用户运行了矢量搜索。
查看 DSI 证据集的数据处理错误
DSIInvestigationSettingsUpdated
用户更新了调查设置。
查看了默认 DSI 调查设置
DSIInvestigationSettingsDefaultViewed
用户查看了调查设置。
查看的 DSI 证据集文档
DSIEvidenceSetDocumentViewed
用户在调查中查看了文档。
已查看 DSI 调查设置
DSIInvestigationSettingsViewed
用户查看了调查设置。
查看的 DSI 示例结果
DSISampleResultsViewed
用户查看的示例结果。
已查看 DSI 示例状态
DSISampleStatusViewed
用户查看了示例作业的状态。
查看的 DSI 统计信息结果
DSIStatisticsResultsViewed
用户查看的搜索统计信息。
已查看缓解计划中的项
DSIItemViewedFromMitigation
用户查看了调查缓解计划中的项目。
目录管理活动
下表列出了管理员在Microsoft 365 管理中心或Azure管理门户中管理其组织时记录的Microsoft Entra目录和域相关活动。
注意
下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。
友好名称
操作
说明
已向目录添加合作伙伴
向公司添加合作伙伴。
已向你的组织添加合作伙伴(委派管理员)。
已向公司添加域
向公司添加域。
已向你的组织添加域。
已从目录删除合作伙伴
从公司删除合作伙伴。
已从你的组织删除合作伙伴(委派管理员)。
已从公司删除域
从公司删除域。
已从你的组织删除域。
设置公司信息
设置公司信息。
已更新你的组织的公司信息。 包括 Microsoft 365 发送的与订阅相关的电子邮件的电子邮件地址,以及有关 Microsoft 365 服务的技术通知。
设置域身份验证
设置域身份验证。
已更改你的组织的域身份验证设置。
设置密码策略
设置密码策略。
已更改你的组织中用户密码的长度和字符约束。
已打开Azure AD Sync
已设置 DirSyncEnabled 标志。
设置启用 Azure AD Sync 同步的目录的属性。
已更新域
更新域。
已更新你组织中的域设置。
已更新域的联盟设置
设置域的联盟设置。
已更改你的组织的联盟(外部共享)设置。
已验证域
验证域。
已验证你的组织是否是域的所有者。
已验证通过电子邮件验证的域
验证通过电子邮件验证的域。
已使用电子邮件验证来验证你的组织是否为域所有者。
处置评审活动
下表列出了处置审阅者在项目达到其配置的保留期结束时,或者项目自动移动到下一处置阶段或因自动批准而永久删除时所执行的活动。
友好名称
操作
说明
已添加审阅者
AddReviewer
处置审阅者已将一个或多个其他用户添加到当前处置评审阶段。
已批准的处置
ApproveDisposal
对于手动审批:处置审阅者批准项目的处置,以将其移动到下一处置阶段。 如果项目处于处置评审的唯一或最后阶段,则处置审批会将该项目标记为符合永久删除的条件。 对于自动批准:在配置的自动批准时间段内未执行任何手动作,因此项目会自动移动到下一个处置阶段。 如果项目处于处置评审的唯一或最后阶段,该项目将自动成为永久删除的资格。
延长保留期
ExtendRetention
处置审阅者已延长项目的保留期。
重新标记的项目
RelabelItem
处置审阅者已重新标记保留标签。
电子数据展示活动
审核日志记录你在 Purview 门户中Microsoft执行的电子数据展示活动。 当管理员或电子数据展示管理员 (或任何用户分配的电子数据展示权限) 在 Microsoft Purview 门户中执行以下任务时,它会记录事件:
创建和管理电子数据展示案例。
创建和编辑搜索电子数据展示事例。
执行搜索作,例如生成统计信息、采样和从搜索导出。
创建、编辑和删除保留电子数据展示事例。
在电子数据展示案例中创建评审集并执行评审活动。
有关搜索审核日志、所需权限和导出搜索结果的详细信息,请参阅 搜索审核日志。
如何搜索和查看电子数据展示活动
审核日志记录你在 Purview 门户或 PowerShell 中Microsoft执行的电子数据展示活动。 若要搜索电子数据展示活动,请参阅 在审核日志中搜索电子数据展示活动。
电子数据展示活动
下表描述了当管理员或电子数据展示管理员使用 Microsoft Purview 门户执行与电子数据展示相关的活动时记录的电子数据展示活动。 在此列表中搜索活动时,可能会返回经典电子数据展示用户体验中执行的某些活动。
注意
我们为在新电子数据展示体验中执行的所有活动实现了客户端 IP 字段。 若要将新体验中执行的活动与经典体验中执行的活动区分开来,检查审核条目中是否存在客户端 IP 字段。 (在下图中,第一个条目是新式 ux 中删除的电子数据展示大小写,其他两个没有 IP 地址的条目是经典 ux) 。
友好名称
操作
说明
添加了收藏夹
FavoriteSet
用户将案例设置为收藏。
添加了 Purview 搜索
PurviewSearchAdded
已创建新的搜索。 此审核活动包括已创建的案例名称、案例 ID 和搜索名称。
添加了审阅集
ReviewSetAdded
用户已创建审阅集。
为审阅集添加了保存的搜索
ReviewSetSavedSearchAdded
用户在审阅集中创建了已保存的筛选器。 审核活动包括审阅集名称、保存的筛选器名称和使用的查询。
添加了标记模板
TagTemplateAdded
用户在电子数据展示设置中创建的标记模板。
已取消的示例视图
SampleViewCancelled
用户已取消示例视图。 审核活动包括取消的搜索的名称、ID、查询和关联的设置。
“已取消的统计信息”视图
StatisticsViewCancelled
用户取消的统计信息视图。 审核活动包括取消的搜索的名称、ID、查询和关联的设置。
已更改电子数据展示大小写
CaseUpdated
更新了电子数据展示案例。
在电子数据展示案例中更改了保留
HoldUpdated
已修改或编辑保留。 此审核活动包括保留名称、ID 以及已修改的特定数据源和查询值。
已关闭的电子数据展示案例
CaseClosed
电子数据展示案例已结案。
复制的审阅集
ReviewSetCopied
用户触发“添加到另一个审阅集”过程。
已创建电子数据展示案例
CaseAdded
添加了新的电子数据展示事例。
在电子数据展示案例中创建保留
HoldCreated
已创建新的保留。 此审核活动包括已创建的案例名称、案例 ID 和保留名称。
已删除电子数据展示案例
CaseRemoved
已删除电子数据展示案例。 必须先删除与事例关联的任何保留,然后才能删除事例。
已删除 Purview 搜索的文件
PurviewSearchDeleteFile
用户从搜索中删除了文件。 此审核活动包括案例名称、案例 ID、搜索名称、搜索 ID 以及用户删除的文件的 ID。
电子数据展示案例中的已删除保留
HoldRemoved
已删除与电子数据展示案例关联的保留。 删除保留会释放保留中的所有内容位置。
已删除 Purview 搜索
PurviewSearchDeleted
搜索已删除。 此活动包括已删除的案例名称、案例 ID 和搜索名称。
已删除 Purview 搜索导出作业
PurviewSearchExportJobDeleted
从搜索导出已删除。 此活动包括已删除的导出名称、包含导出的事例信息、用户和删除时间戳。
已删除收藏夹
FavoriteRemoved
用户从收藏夹中删除了案例。
删除了审阅集的已保存搜索
ReviewSetSavedSearchRemoved
用户删除了审阅集中保存的筛选器。
已删除标记模板
TagTemplateRemoved
用户删除了电子数据展示设置中的标记模板。 审核活动包括已删除的标记模板的名称和对象 ID。
重新打开电子数据展示案例
CaseReopened
电子数据展示案例已重新打开。
重试的分发同步以保持
HoldRetryDistributionSync
用户在保留中触发了“重试策略”。
检索到所有审阅集的作
GetActionsForAllReviewSets
用户查看了与案例中所有审阅集关联的作列表
检索了要保留的所有作
GetActionsForAllHolds
用户查看了与案例中的所有保留关联的作列表。 审核活动包括案例名称、ID、保留名称、ID 和作列表的名称。
检索了所有要搜索的作
GetActionsForSearch
用户查看了与搜索关联的作列表 (,例如导出) 。 审核活动包括事例名称、ID、搜索名称、ID 和作列表的名称。
检索了所有导出的所有作
GetActionsForAllExports
用户查看了案例中的导出列表。 审核活动包括案例名称、ID、案例设置和查看的导出名称列表。
检索了事例的所有作
GetActionsForCase
用户查看了 (作的列表,例如与电子数据展示案例关联的导出) 。
检索了要保留的所有作
GetActionsForHold
用户查看了与保留关联的作列表。
检索了审阅集的所有作
GetActionsForReviewSet
用户查看了与审阅集关联的作列表 (,例如导出) 。 审核活动包括案例名称、ID、评审集名称、ID 和作列表的名称。
检索到事例的单个作
GetSingleActionForCase
用户查看了与电子数据展示案例关联的单个作。 例如,用户在进程管理器中查看了导出过程。 审核活动包括案例名称、ID 以及与进程关联的设置和 ID。
检索到要保留的单个作
GetSingleActionForHold
用户查看了与保留关联的单个作。
已检索审阅集的单个作
GetSingleActionForReviewSet
用户查看了与审阅集关联的单个作。
检索到的单个搜索作
GetSingleActionForSearch
用户查看了与搜索关联的单个作。 例如,用户在搜索的进程管理器中查看了导出过程。 审核活动包括案例名称、ID 以及与进程关联的设置和 ID。
已提交新的 algo 作业
AlgoJobSubmitted
用户对审阅集中的文档运行了分析。
已提交新刻录作业
BurnJobSubmitted
用户已将审阅集中的所有编修文档转换为 PDF 文件。
提交的 purview 搜索添加到审阅集作业
PurviewSearchAddToReviewSetJobSubmitted
用户从搜索中触发了“添加到审阅集”过程。 此审核活动包括搜索名称、ID 以及与搜索关联的特定数据源和查询值。 它还包括相关添加,以查看所使用的设置进程设置。
提交的 purview 搜索导出作业
PurviewSearchExportJobSubmitted
用户从搜索中触发了“导出”过程。 此审核活动包括搜索名称、ID 以及与搜索关联的特定数据源和查询值。 它还包括使用的相关导出进程设置和导出名称。
提交的 purview 搜索示例作业
PurviewSearchSampleJobSubmitted
用户通过搜索触发了“生成示例”过程。 此审核活动包括搜索名称、ID 以及与搜索关联的特定数据源和查询值。 它还包括使用的相关示例进程设置。
提交的 purview 搜索统计信息作业
PurviewSearchStatisticsJobSubmitted
用户通过搜索触发了“生成统计信息”过程。 此审核活动包括搜索名称、ID 以及与搜索关联的特定数据源和查询值。 它还包括使用的相关统计信息进程设置。
提交的审阅集导出作业
ReviewSetExportJobSubmitted
从审阅集中导出的文档。 此审核活动包括审阅集名称、要导出的文档 ID 列表以及相关的导出过程设置。
审阅集按 ID 标记的文档
ReviewSetDocumentsTaggedById
用户已将标记应用于审阅集中的特定文档。 审核活动包括案例名称、审阅集名称和要标记的项列表。
按审阅集查询标记的文档
ReviewSetDocumentsTaggedByQuery
在按查询筛选后,用户已将标记应用于审阅集中的特定文档。 审核活动包括案例名称、审阅集名称和要标记的项列表。
更新的案例成员
CaseMembersUpdated
已更新案例成员身份。 作为案例的成员,用户可以执行各种与案例相关的任务,具体取决于是否为其分配了必要的权限。
更新了案例设置
CaseSettingsUpdated
用户已修改案例设置。 案例设置包括案例信息、高级功能访问权限、案例权限以及控制搜索和分析行为的设置。
更新了审阅集的备注
ReviewSetNotesUpdated
用户更新了审阅集文档的备注。
更新了 Purview 搜索
PurviewSearchUpdated
已修改或编辑搜索。 此审核活动包括搜索名称、ID 以及已修改的特定数据源和查询值。
更新了审阅集
ReviewSetUpdated
用户更新了审阅集,例如审阅集名称和说明。
更新了审阅集批注
ReviewSetAnnotationsUpdated
用户已批注审阅集中的文档。 此审核活动包括审阅集名称和其他信息,例如带批注的文档 ID。
更新了审阅集的已保存搜索
ReviewSetSavedSearchUpdated
用户修改了审阅集中的已保存筛选器。 审核活动包括审阅集名称、保存的筛选器名称和使用的查询。
更新了标记模板
TagTemplateUpdated
用户在电子数据展示设置中更新了标记模板。 审核活动包括更新的标记模板的名称和对象 ID。
更新了标记
TagsUpdated
用户更新了案例中的审阅集标记。
更新了标记模板的标记
TagTemplateTagsUpdated
用户更新了标记模板的标记。 审核活动包括更新的标记模板标记的名称和 ID。
更新了租户设置
TenantSettingsUpdated
用户更新了电子数据展示的组织设置。
上传的 Purview 搜索文件
PurviewSearchUploadFile
用户上传了文件以供按文件搜索。 此审核活动包括案例名称、案例 ID、搜索名称、搜索 ID 以及用户上传的文件的名称。
查看的分析审阅集附件报表
AlgoGetReviewSetAttachmentsReport
用户查看的分析附件报表。 此审核活动包括案例和评审集名称和 ID。
查看的分析审阅集文档报告
AlgoGetReviewSetDocumentsReport
用户查看的分析文档报表。
查看的分析审阅集电子邮件报告
AlgoGetReviewSetEmailsReport
用户查看的分析电子邮件报告。
查看的分析审阅集报表
AlgoGetReviewSetReport
用户在审阅集中查看了分析报告。 此审核活动包括案例和评审集名称和 ID,以及报告类型。
查看的分析审阅集报告(按文件类型)
AlgoGetReviewSetReportByFileType
按文件类型查看的分析报表图。
按源查看的分析审阅集报告
AlgoGetReviewSetReportBySource
用户按源查看的分析文档。 此审核活动包括案例和评审集名称和 ID。
查看的案例元数据
CaseMetadataViewed
查看了有关电子数据展示事例的元数据。
查看案例设置
CaseSettingsViewed
用户已查看案例的设置。 案例设置包括案例信息、高级功能访问权限、案例权限以及控制搜索和分析行为的设置。
查看审阅集的数据处理错误
ReviewSetDataProcessingErrorViewed
用户查看了审阅集中的处理错误。
查看的默认设置
CaseSettingsDefaultViewed
查看了默认大小写设置。
已查看电子数据展示案例
CaseViewed
用户在 Microsoft Purview 门户中查看了电子数据展示案例。 此事件的审核记录包括已查看案例的名称、案例设置和案例 ID。
已查看电子数据展示案例列表
CaseListViewed
当用户查看电子数据展示事例列表时,将记录此活动。 审核记录包括案例列表中查看的案例的名称和 ID。
查看的收藏夹列表
FavoriteListViewed
用户查看了收藏案例的列表。
已查看的保留
HoldViewed
用户查看了案例中的保留。 此审核活动包括用户查看的保留名称和 ID。 它还包括用户查看的保留内的特定数据源和查询值。
查看的保留列表
HoldListViewed
用户查看了案例中的保留列表。 此审核活动包括案例名称、案例 ID 以及用户查看的保留名称和 ID 列表。
查看的保留结果
HoldResultsViewed
用户查看了保留的结果。 审核活动包括案例名称、案例 ID、保留名称和保留 ID。
查看的保留状态
HoldStatusViewed
用户查看的保留状态。 审核活动包括案例名称、案例 ID、保留名称和保留 ID。
查看是否更改了分析设置
AlgoIsSettingChanged
此审核活动包括案例和评审集名称和 ID。
已查看负载计数(如果)
LoadCountInCaseViewed
用户查看了事例中的负载集计数。
已查看的加载列表
LoadListViewed
用户查看了审阅集中的负载集列表。
已查看 Purview 搜索
PurviewSearchViewed
用户查看了特定搜索。 此审核活动包括搜索名称、ID 以及用户查看的搜索中的特定数据源和查询值。
已查看 Purview 搜索列表
PurviewSearchListViewed
用户查看了案例中的搜索列表。 此审核活动包括案例名称、案例 ID 以及用户查看的搜索名称和 ID 列表。
查看审阅集的查询报表
ReviewSetQueryReportViewed
用户查看了审阅集中的查询报表。
查看的审阅集文档
ReviewSetDocumentViewed
用户查看了审阅集中的文档。 此审核活动包括案例名称、案例 ID、评审集名称、审阅集 ID 和其他信息,例如查看的文档的 ID。
查看的审阅集列表
ReviewSetListViewed
用户查看了案例中的审阅集列表。
查看的审阅集摘要
ReviewSetSummaryViewed
用户查看了审阅集的概述。
查看的示例结果
SampleResultsViewed
用户查看的搜索示例结果视图。
查看的示例状态
SampleStatusViewed
用户已查看搜索示例视图的状态。 审核活动包括搜索的名称、ID、查询和关联的设置。
查看审阅集的已保存搜索列表
ReviewSetSavedSearchListViewed
用户在审阅集中查看了已保存筛选器的列表。 审核活动包括审阅集名称和查看的已保存筛选器列表的名称。
查看审阅集的搜索计数
ReviewSetSearchCountViewed
用户在审阅集中运行了搜索,并查看了返回的计数。 审核活动包括案例名称、审阅集名称和搜索结果中返回的项目计数。
查看审阅集的搜索选项
ReviewSetSearchOptionsViewed
用户查看了审阅集的设置。 审核活动包括案例名称和评审集名称。
查看了审阅集的搜索结果
ReviewSetSearchRun
用户在审阅集中运行了搜索。 审核活动包括案例名称、审阅集名称和搜索结果中返回的项目列表。
查看的统计信息结果
StatisticsResultsViewed
用户查看的搜索统计信息结果。
已查看统计信息状态
StatisticsStatusViewed
用户查看了搜索统计信息视图的状态。 审核活动包括搜索的名称、ID、查询和关联的设置。
查看的标记模板列表
TagTemplateListViewed
用户在电子数据展示设置中查看了标记模板的列表。 审核活动包括查看的标记模板列表。
查看的标记
TagsViewed
用户查看了案例中的审阅集标记。
查看标记模板的标记
TagTemplateTagsViewed
用户查看标记模板的标记。 审核活动包括查看的标记模板标记的名称和 ID。
查看的租户设置
TenantSettingsViewed
用户已查看电子数据展示的组织设置。 审核活动包含有关设置值的信息。
电子数据展示活动的详细属性
下表描述了搜索结果中列出的电子数据展示活动的浮出控件页上包含的属性。 导出审核日志搜索结果时,这些属性也会包含在 CSV 文件中。 电子数据展示活动的审核日志记录不包括下表中列出的每个详细属性。
提示
导出搜索结果时,CSV 文件包含名为 AudtiData 的列,该列包含下表在多值属性中介绍的详细属性。 可以使用 Excel 中的Power Query功能将此列拆分为多个列,以便每个属性都有自己的列。 此设置允许对其中一个或多个属性进行排序和筛选。 有关详细信息,请参阅 搜索审核日志。
属性
说明
CaseId
创建、更改或删除电子数据展示事例的标识 (GUID) 。
CaseName
创建、更改或删除的电子数据展示事例的名称。
ClientApplication
电子数据展示 cmdlet 活动具有此属性的 “EMC ”值。 此值指示活动是通过使用 Microsoft Purview 门户 GUI 或在 PowerShell 中运行 cmdlet 来执行的。
ClientIP
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
ClientRequestId
对于电子数据展示活动,此属性通常为空白。
CmdletVersion
组织中运行的 Microsoft Purview 门户版本的内部版本号。
CreationTime
活动的协调世界时 (UTC) 创建日期和时间。
DataSources
与活动关联的源 ID、源名称和位置详细信息的列表。
EffectiveOrganization
Microsoft 365 组织的名称。
ExportName
电子数据展示导出的名称。
ExtendedProperties
与电子数据展示活动相关的其他属性。 例如,当更新案例成员时,此字段包含更新的案例成员信息;更新审阅集说明时,此字段包含用户更新的更新审阅集说明。
ID
报表条目的 ID。 ID 唯一标识审核日志条目。
项目
与活动关联的项的名称。 例如,此字段包含用户查看审阅集文档时查看的文档的名称。
JobId
电子数据展示过程的 GUID。
ObjectId
对象的 GUID (例如,由 Operation 属性中列出的活动) 创建、访问或更改的搜索、保留或审阅集。
ObjectName
对象的名称 (,例如,由 Operation 属性中列出的活动) 创建、访问或更改的搜索、保留或审阅集。
ObjectType
创建、删除或修改的电子数据展示对象的类型。 例如, (生成示例结果或从搜索) 触发导出的搜索作将在此字段中列为 “搜索 ”。
操作
与已执行的电子数据展示活动对应的作的名称。
OrganizationId
Microsoft 365 组织的 GUID。
QueryFiles
用于生成查询的输入文件的名称。 此属性特定于按文件搜索手势。
QueryId
与活动关联的查询的 GUID。
QueryText
与活动关联的查询文本,例如搜索统计信息过程或添加到评审过程。
RecordType
记录指示的操作类型。
ResultStatus
如果在 Operation 属性中指定的作 () 成功与否。
设置
应用于电子数据展示活动的设置。
StartTime
协调世界时 (UTC) 启动电子数据展示活动的日期和时间。
UserCancelled
用户是否取消了特定活动。
UserID
执行活动的用户 (作属性) 中指定的,导致记录记录。
UserKey
UserID 属性中标识的用户的备选 ID。 对于电子数据展示活动,此属性的值通常与 UserId 属性相同。
UserServicePlan
组织使用的订阅。 对于电子数据展示活动,此属性通常为空白。
UserType
执行操作的用户类型。 以下值指示用户类型。 0 普通用户。 2 组织中的管理员。 3 Microsoft数据中心管理员或数据中心系统帐户。 4 系统帐户。 5 应用程序。 6 服务主体。
版本
由记录的 Operation 属性标识的活动 (版本号) 。
Workload
发生活动的服务。
已加密的消息门户活动
组织可以通过加密消息门户访问加密邮件的日志。 这些日志有助于确定外部收件人何时阅读和转发邮件。 有关启用和使用加密消息门户活动日志的详细信息,请参阅 加密消息门户活动日志。
跟踪消息的每个审核条目包含以下字段:
MessageID:包含正在跟踪的消息的 ID。 用于通过系统跟踪消息的密钥标识符。
收件人:所有收件人电子邮件地址的列表。
发件人:原始电子邮件地址。
AuthenticationMethod:介绍用于访问邮件的身份验证方法,例如 OTP、Yahoo、Gmail 或 Microsoft。
AuthenticationStatus:包含一个值,该值指示身份验证成功或失败。
OperationStatus:指示的作是成功还是失败。
AttachmentName:附件的名称。
OperationProperties:可选属性的列表。 例如,发送的 OTP 密码数或电子邮件主题。
Exchange 管理员活动
Exchange 管理员审核日志记录 (在 Microsoft 365 中默认启用,) 当管理员 (或用户分配的管理权限) 在Exchange Online组织中进行更改时,会在审核日志中记录事件。 通过使用 Exchange 管理中心所做的更改或通过运行 Exchange Online PowerShell 中的某个 cmdlet 所做的更改会记录在 Exchange 管理员审核日志中。 以 谓词 Get-、 Search-或 Test- 开头的 Cmdlet 不会记录在审核日志中。 有关 Exchange 中管理员审核日志记录的更多详细信息,请参阅管理员审核日志记录。
重要
某些Exchange Online cmdlet 未记录在 Exchange 管理员审核日志 (或审核日志) 中。 其中许多 cmdlet 与维护Exchange Online服务相关,由Microsoft数据中心人员或服务帐户运行。 未记录这些 cmdlet,因为它们会导致大量“嘈杂”的审核事件。 如果没有审核Exchange Online cmdlet,请将设计更改请求 (DCR) 提交到Microsoft 支持部门。
以下是在搜索审核日志时搜索 Exchange 管理员活动的一些提示:
使用日期范围框和“用户”列表缩小由特定 Exchange 管理员在特定日期范围内运行的 cmdlet 的搜索结果范围。
若要显示 Exchange 管理员审核日志中的事件,请选择“ 活动” 列以按字母顺序对 cmdlet 名称进行排序。
若要获取有关已运行的 cmdlet、已使用的参数和参数值以及受影响对象的信息,可以导出搜索结果并选择“下载所有结果”选项。 有关详细信息,请参阅导出、配置和查看审核日志记录。
你还可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog -RecordType ExchangeAdmin 命令仅从 Exchange 管理员审核日志中返回审核记录。 运行 Exchange cmdlet 后,最长可能需要 30 分钟才能在搜索结果中返回相应的审核日志条目。 有关详细信息,请参阅 Search-UnifiedAuditLog。 有关将 Search-UnifiedAuditLog cmdlet 所返回的搜索结果导出到 CSV 文件的信息,请参阅导出、配置和查看审核日志记录中的“有关导出和查看审核日志的提示”部分。
Exchange 邮箱活动
下表列出了Microsoft 365 审核日志中记录的活动。 邮箱审核日志记录自动记录邮箱所有者、委派用户或审核日志中的管理员执行的邮箱活动,最长为 180 天。 管理员可以关闭组织中所有用户的邮箱审核日志记录。 在这种情况下, ,不会记录任何用户的邮箱操作。 有关详细信息,请参阅管理邮箱审核。
重要
审核 (Standard) 的默认保留期从 90 天更改为 180 天。 在 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 审核 (Standard) 2023 年 10 月 17 日或之后生成的日志,遵循新的默认保留期 180 天。
还可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet 搜索邮箱活动。
友好名称
操作
说明
已访问的邮箱附件
AttachmentAccess
访问了邮件附件。
已访问邮箱文件夹
FolderBind
已访问某个邮箱文件夹。 管理员或代理人打开邮箱时也会记录此作。 合并委托执行的文件夹绑定作的审核记录。 在 24 小时内为单个文件夹访问生成一条审核记录。
访问的邮箱项目
MailItemsAccessed
已在邮箱中读取或访问邮件。 此活动的审核记录通过下面两种方式之一触发:当邮箱客户端(如 Outlook)对邮件执行绑定操作时,或者当邮箱客户端(如 Exchange ActiveSync 或 IMAP)同步邮箱文件夹中的项目时。 调查被盗用的电子邮件帐户时,分析此活动的审核记录非常有用。
已访问消息
MessageBind
在预览窗格中查看或由管理员打开的消息。此值仅适用于没有 E5/A5/G5 许可证的用户。
已添加代理邮箱权限
Add-MailboxPermission
管理员已将一位用户(称为“代理”)的 FullAccess 邮箱权限分配给另一用户邮箱。 FullAccess 权限允许代理打开他人的邮箱,查看和管理邮箱内容。 当 Microsoft 365 服务中的系统帐户定期代表组织执行维护任务时,也会生成此活动的审核记录。 系统帐户执行的常见任务是更新系统邮箱的权限。 有关详细信息,请参阅 Exchange 邮箱审核记录中的系统帐户。
已添加或删除具有日历文件夹代理访问权限的用户
UpdateCalendarDelegation
已在其他用户邮箱的日历中添加或删除具有代理身份的用户。 日历代理为同一组织内的其他人授予管理邮箱所有者日历的权限。
已向文件夹添加权限
AddFolderPermissions
已添加文件夹权限。 文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。
已将邮件复制到其他文件夹
复制
已将邮件复制到其他文件夹。
已创建邮箱项目
创建
在邮箱的日历、联系人、备注或任务文件夹中创建项目。 例如,创建新的会议请求。 不会审核邮件的创建、发送或接收。 此外,不会审核邮箱文件夹的创建。
已在 Outlook Web App 中创建新的收件箱规则
New-InboxRule
有权访问邮箱的邮箱所有者或其他用户在 Outlook Web App 中创建了收件箱规则。
删除优先级清理标签项
PriorityCleanupDelete
将删除标签为“优先级清理类型”的项。
已从“已删除邮件”文件夹中删除邮件
SoftDelete
已永久删除或已从“已删除邮件”文件夹中删除邮件。 系统会将这些项目移动到“可恢复邮件”文件夹。 用户选择邮件并按 Shift+Delete 时,会将该邮件移动到“可恢复邮件”文件夹。
将邮件标记为记录
用户已将保留标签应用于电子邮件,并且该标签被配置为将项目标记为记录。
标记为记录的项目
ApplyRecord
项目标记为记录。
已将邮件标记为记录
ApplyRecordLabel
已将邮件分类为记录。 将内容分类为记录的保留标签手动或自动应用于邮件时发生。
已修改文件夹权限
ModifyFolderPermissions
文件夹权限已更改。 文件夹权限用于控制组织中哪些用户可以访问邮箱文件夹以及文件夹中的邮件。
已在 Outlook Web App 中修改收件箱规则
Set-InboxRule
有权访问邮箱的邮箱所有者或其他用户在 Outlook Web App 中修改了收件箱规则。
已将邮件移动到其他文件夹
移动
已将邮件移动到其他文件夹。
已将邮件移动到“已删除邮件”文件夹
MoveToDeletedItems
已删除邮件,并已将其移动到“已删除邮件”文件夹。
执行搜索查询
SharepointSearchQueryInitiated
用户在 SharePoint 上执行搜索。
保留邮箱项
PreservedMailItemProactively
主动保留邮件项。 主动保留是一项Microsoft Purview 数据生命周期管理 (DLM) 功能,其中租户中风险用户删除的邮件保留在转储器中。
应用的优先级清理标签
ApplyPriorityCleanup
“优先级清理”标签应用于某个项。
应用于 Exchange 项的优先级清理标签
ApplyPriorityCleanup
用于优先级清理的保留标签应用于 Exchange 上的项目
已从邮箱清除邮件
HardDelete
已从“可恢复邮件”文件夹中清除邮件(已从邮箱中永久删除)。
已删除代理邮箱权限
Remove-MailboxPermission
管理员已从用户邮箱删除分配给代理的 FullAccess 权限。 删除 FullAccess 权限后,代理无法打开他人邮箱,也无法访问该邮箱中的任何内容。
已从文件夹中删除权限
RemoveFolderPermissions
已删除文件夹权限。 文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。
在邮箱中搜索项目
SearchQueryInitiated
用户使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 网页版) 或邮件应用Windows 10搜索邮箱中的项目。
已发送邮件
发送
已发送、答复或转发邮件。
已使用“发送方式”权限发送邮件
SendAs
已使用“发送方式”权限发送邮件。 这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。
已使用“代表发送”权限发送邮件
SendOnBehalf
已使用“代表发送”权限发送邮件。 这表示另一个用户代表邮箱所有者发送了邮件。 代表邮件发送的收件人以及实际发送邮件的收件人的邮件。
更新项标签
UpdateComplianceTag
当标签应用于项时。
已从 Outlook 客户端更新收件箱规则
UpdateInboxRules
具有邮箱访问权限的邮箱所有者或其他用户通过使用 Outlook 客户端创建、修改或删除了收件箱规则。
已更新邮件
更新
已更改邮件或其属性。
用户已登录到邮箱
MailboxLogin
用户登录其邮箱。
Exchange 邮箱审核记录中的系统帐户
在某些邮箱活动的审核记录中, (尤其是 Add-MailboxPermissions) ,你可能会注意到执行活动的用户 (,并在“用户”和“UserId”字段中标识) 为 NT AUTHORITY\SYSTEM 或 NT AUTHORITY\SYSTEM (Microsoft.Exchange.Servicehost) 。 Microsoft云中 Exchange 服务中的此系统帐户代表组织执行计划内维护任务。 例如,NT AUTHORITY\SYSTEM (Microsoft.Exchange.ServiceHost) 帐户执行的常见审核活动正在更新 DiscoverySearchMailbox(即系统邮箱)的权限。 此更新的目的是验证 FullAccess 权限 (默认) 是否分配给 DiscoverySearchMailbox 的发现管理角色组。 此更新可确保电子数据展示管理员可以在其组织中执行必要的任务。
可能在 Add-MailboxPermission 的审核记录中标识的另一个系统用户帐户是 Administrator@apcprd03.prod.outlook.com。 此服务帐户还包含在与验证和更新分配给 DiscoverySearchMailbox 系统邮箱的发现管理角色组的 FullAccess 权限相关的邮箱审核记录中。 具体而言,当Microsoft支持人员代表组织运行基于角色的访问控制诊断工具时,通常会触发标识 Administrator@apcprd03.prod.outlook.com 帐户的审核记录。
文件和页面活动
下表描述了 SharePoint 和 OneDrive 中Microsoft 365 审核日志记录的文件和页面活动。
友好名称
操作
说明
(无)
FileAccessedExtended
此活动与“已访问的文件” (FileAccessed) 活动相关。 当同一人连续访问文件长达三小时 () 时,将记录 FileAccessedExtended 事件。 记录 FileAccessedExtended 事件是为了减少持续访问文件时所记录的 FileAccessed 事件数。 此方法有助于减少多个 FileAccessed 记录的干扰,这些记录本质上是相同的用户活动,并允许你专注于初始 (和更重要) FileAccessed 事件。
(无)
FileModifiedExtended
此活动与“修改的文件” (FileModified) 活动相关。 当同一个人在长达三小时) (长时间地修改文件时,将记录 FileModifiedExtended 事件。 记录 FileModifiedExtended 事件是为了减少持续修改文件时所记录的 FileModified 事件数。 此方法有助于减少多个 FileModified 记录的干扰,这些记录实质上是相同的用户活动,并允许你专注于初始 (和更重要) FileModified 事件。
(无)
FilePreviewed
用户预览 SharePoint 或 OneDrive 网站上的文件。 这些事件通常发生在基于单个活动的高容量情形中,例如查看图库。
(无)
PagePrefetched
用户的客户端 ((如网站或移动应用)) 请求指示的页面,以帮助提高性能(如果用户浏览到该页面)。 记录此事件以指示页面内容已提供给用户的客户端。 此事件未明确指示用户导航到页面。 当客户端根据用户的请求) (呈现页面内容时,它应生成 ClientViewSignaled 事件。 并非所有客户端都支持指示预提取,因此某些预提取活动可能会改为记录为 PageViewed 事件。
(无)
PageViewedExtended
此活动与“已查看页面” (PageViewed) 活动相关。 当同一人连续查看网页长达三个小时 () 时,将记录 PageViewedExtended 事件。 记录 PageViewedExtended 事件是为了减少持续查看页面时所记录的 PageViewed 事件数。 此方法有助于降低多个 PageViewed 记录的干扰,这些记录本质上是相同的用户活动,并使你可以专注于初始 (和更重要) PageViewed 事件。
已访问文件
FileAccessed
用户或系统帐户访问文件。 用户访问文件后,系统在接下来的五分钟内不会为同一用户和文件再次记录 FileAccessed 事件。
已将记录状态更改为“已锁定”
LockRecord
将文档分类为记录的保留标签的记录状态已锁定。 此状态表示文档未修改或删除。 仅至少分配有网站参与者权限的用户才能更改文档的记录状态。
已将记录状态更改为“未锁定”
UnlockRecord
将文档分类为记录的保留标签的记录状态已解锁。 此状态意味着可以修改或删除文档。 仅至少分配有网站参与者权限的用户才能更改文档的记录状态。
已更改文件的保留标签
ComplianceSettingChanged
保留标签应用于文档或从文档中删除。 手动或自动将保留标签应用于消息时触发此事件。
已签入文件
FileCheckedIn
用户签入其从文档库中签出的文档。
已签出文件
FileCheckedOut
用户签出位于文档库中的文档。 用户可以检查并更改与其共享的文档。
已复制文件
FileCopied
用户从网站复制文档。 可以将复制的文件保存到网站上的另一个文件夹。
已删除文件
FileDeleted
用户从网站删除文档。
从回收站删除文件
FileDeletedFirstStageRecycleBin
用户从网站的回收站中删除文件。
从第二阶段回收站删除文件
FileDeletedSecondStageRecycleBin
用户从网站的第二阶段回收站中删除文件。
标记为记录的已删除文件
RecordDelete
将删除标记为记录的文档或电子邮件。 当在内容上贴上将项目标记为记录的保留标签时,将将该项目视为已记录。
检测到文档敏感度不匹配
DocumentSensitivityMismatchDetected
用户将文档上传到受敏感度标签保护的网站上,该文档的敏感度标签的优先级比该网站应用的敏感度标签高。 例如,标有“机密”的文档上传到标有“常规”的网站上。 如果文档的敏感度标签的优先级低于网站应用的敏感度标签,则不触发此事件。 例如,标有“常规”的文档上传到标有“机密”的网站上。 有关敏感度标签优先级的详细信息,请参阅标签优先级(顺序)。
在文件中检测到恶意软件
FileMalwareDetected
SharePoint 防病毒引擎在文件中检测到恶意软件。
已放弃文件签出
FileCheckOutDiscarded
用户放弃 (或撤消) 签出文件。 这意味着他们在签出文件时对文件所做的任何更改都将被放弃,而不会保存到文档库中的文档版本中。
已下载的文件
FileDownloaded
用户从网站下载文档。
已修改文件
FileModified
用户或系统帐户修改网站上文档的内容或属性。 当同一用户修改同一文档的内容或属性时,系统将等待 5 分钟,然后再记录另一个 FileModified 事件。
已移动文件
FileMoved
用户将文档从网站上的当前位置移动到新位置。
已执行的搜索查询
SearchQueryPerformed
用户或系统帐户在 SharePoint 或 OneDrive 中执行搜索。 服务帐户执行搜索查询的一些常见方案包括向网站和 OneDrive 帐户应用电子数据展示保留和保留策略,以及自动将保留或敏感度标签应用于网站内容。 若要为此活动启用日志记录,请参阅 审核解决方案入门。
优先级清理将文件移动到回收站
PriorityCleanupFileRecycled
项目通过 OneDrive 或 SharePoint Online 上的优先级清理策略移动到阶段 2 回收站。
优先级清理永久删除文件
PriorityCleanupFileDeleted
OneDrive 或 SharePoint Online 上的优先级清理策略永久删除项目。
已回收文件
FileRecycled
用户将文件移入 SharePoint 回收站。
已回收文件夹
FolderRecycled
用户将文件夹移入 SharePoint 回收站。
已回收文件的次要版本
FileVersionsAllMinorsRecycled
用户从文件版本历史记录中删除所有次要版本。 已删除的版本移动到网站的回收站。
已回收所有版本的文件
FileVersionsAllRecycled
用户从文件版本历史记录中删除所有版本。 已删除的版本移动到网站的回收站。
已回收文件版本
FileVersionRecycled
用户从文件版本历史记录中删除某个版本。 已删除的版本移动到网站的回收站。
已重命名文件
FileRenamed
用户重命名文档。
已还原文件
FileRestored
用户从网站回收站还原文档。
已上传文件
FileUploaded
用户将文档上传到网站上的文件夹。
按客户端查看信号
ClientViewSignaled
用户的客户端 ((如网站或移动应用)) 指示用户查看指示的页面。 此活动通常在页面的 PagePrefetched 事件后记录。
注意:由于 ClientViewSignaled 事件由客户端而不是服务器发出信号,因此服务器可能未记录该事件,因此可能不会显示在审核日志中。 审核记录中的信息也可能不可信。 但是,由于用户身份由用于创建信号的令牌验证,因此相应审核记录中列出的用户身份是准确的。 当同一用户的客户端发出用户再次查看页面的信号时,系统会等待 5 分钟,然后才会记录相同的事件。
已查看页面
PageViewed
用户在网站上查看页面。 此活动不包括使用 Web 浏览器查看文档库中的文件。 用户查看页面后,系统在接下来的五分钟内不会为同一用户和页面再次记录 PageViewed 事件。
有关 FileAccessed 和 FilePreviewed 事件的常见问题
任何非用户活动都可以触发包含 "OneDriveMpc-Transform_Thumbnail" 等之类用户代理的 FilePreviewed 审核记录吗?
我们不知道非用户作生成此类事件的情况。 用户作(例如,通过在邮件中选择用户的姓名或电子邮件地址)卡 (打开用户配置文件,Outlook 网页版) 生成类似的事件。
对 OneDriveMpc-Transform_Thumbnail 的调用是否始终是用户有意触发的?
不正确。 但浏览器预提取可能会导致类似的事件。
如果看到来自 Microsoft 注册的 IP 地址的 FilePreviewed 事件,是否表示预览显示在用户设备的屏幕上?
否。 浏览器预提取可能会记录事件。
是否存在用户预览文档时生成文件访问事件的场景?
FilePreviewed 和 FileAccessed 事件都表明用户的调用导致了对文件的读取(或对文件的缩略图呈现的读取)。 虽然这些事件旨在与预览与访问意图保持一致,但事件区别并不是用户意图的保证。
审核记录中的app@sharepoint用户
在一些文件活动 (和其他与 SharePoint 相关活动) 的审核记录中,你可能会注意到执行活动的用户 (在“用户”和“UserId”字段中标识) app@sharepoint。 此用户意味着应用程序执行了活动。 在这种情况下,应用程序在 SharePoint 中被授予执行组织范围作的权限, (例如代表用户、管理员或服务搜索 SharePoint 网站或 OneDrive 帐户) 。 授予应用程序权限的过程被称为“仅限 SharePoint 应用”访问权限。 此用户意味着应用程序(而不是用户)向 SharePoint 提供身份验证以执行作。 这就是为什么在某些审核记录中标识 app@sharepoint 用户的原因。 有关详细信息,请参阅通过仅限 SharePoint 应用授予访问权限。
例如,app@sharepoint 通常被标识为“已执行搜索查询”和“已访问文件”事件的用户。 这是因为在将保留策略应用到网站和 OneDrive 帐户时,组织中具有仅限 SharePoint 应用访问权限的应用程序会执行搜索查询和访问文件。
下面是一些其他方案,其中app@sharepoint可能在审核记录中被标识为执行活动的用户:
Microsoft 365 组。 用户或管理员创建新组时,会生成审核记录,用于创建网站集、更新列表以及将成员添加到 SharePoint 组。 应用程序代表创建组的用户执行这些任务。
Microsoft Teams。 与 Microsoft 365 组类似,也会生成审核记录,用于创建网站集、更新列表以及在创建团队时将成员添加到 SharePoint 组。
合规性功能。 当管理员实现合规性功能(如保留策略、电子数据展示保留和自动应用敏感度标签)时。
在这些和其他方案中,你可能还会注意到,多个审核记录app@sharepoint为指定用户是在短时间内创建的,通常在几秒钟内创建。 此模式还意味着它们可能是由同一个用户启动的任务触发的。 此外,审核记录中的 ApplicationDisplayName 和 EventData 字段可能有助于确定触发事件的方案或应用程序。
文件夹活动
下表描述了 Microsoft 365 审核日志中记录的 SharePoint 和 OneDrive 中的文件夹活动。 某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起作的用户或管理员执行活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户。
友好名称
操作
说明
已复制文件夹
FolderCopied
用户将文件夹从网站复制到 SharePoint 或 OneDrive 中的另一个位置。
已创建文件夹
FolderCreated
用户在网站上创建一个文件夹。
已删除文件夹
FolderDeleted
用户从网站中删除一个文件夹。
从回收站删除文件夹
FolderDeletedFirstStageRecycleBin
用户从网站上的回收站中删除文件夹。
从第二阶段回收站删除文件夹
FolderDeletedSecondStageRecycleBin
用户从网站上的第二阶段回收站中删除文件夹。
已修改文件夹
FolderModified
用户在网站上修改文件夹。 此作包括更改文件夹元数据,例如更改标记和属性。
已移动文件夹
FolderMoved
用户将文件夹移动到网站上的其他位置。
已重命名文件夹
FolderRenamed
用户在网站上重命名文件夹。
已还原文件夹
FolderRestored
用户从网站上的回收站中还原文件夹。
信息障碍活动
下表列出了信息屏障中Microsoft 365 条审核日志记录的活动。 有关信息屏障的详细信息,请参阅 了解 Microsoft 365 中的信息屏障。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
已将信息屏障模式应用到站点
SiteIBModeSet
SharePoint 或全局管理员向网站应用了模式。
已将段应用到站点
SiteIBSegmentsSet
SharePoint、全局管理员或站点所有者向站点添加一个或多个信息障碍段。
更改了租户的 AppBypassInformationBarrier 设置
AppBypassInformationBarrier
SharePoint 或全局管理员更改了 SharePoint 网站的应用访问权限。
更改了站点的信息屏障模式
SiteIBModeChanged
SharePoint 或全局管理员更新了网站的模式。
已更改网站段
SiteIBSegmentsChanged
SharePoint 或全局管理员更改站点的一个或多个信息障碍段。
已禁用 SharePoint 和 OneDrive 的信息屏障
SPOIBIsDisabled
SharePoint 或全局管理员禁用了组织中 SharePoint 和 OneDrive 的信息屏障。
为 SharePoint 和 OneDrive 启用信息屏障
SPOIBIsEnabled
SharePoint 或全局管理员禁用了组织中 SharePoint 和 OneDrive 的信息屏障。
已完成的信息屏障见解报告
InformationBarriersInsightsReportCompleted
系统完成信息屏障见解报表的生成。
查询的信息屏障见解报表 OneDrive 部分
InformationBarriersInsightsReportOneDriveSectionQueried
管理员查询 OneDrive 帐户的信息屏障见解报表。
计划的信息屏障见解报告
InformationBarriersInsightsReportSchedule
管理员计划信息屏障见解报告。
查询的信息屏障见解报表 SharePoint 部分
InformationBarriersInsightsReportSharePointSectionQueried
管理员查询 Sharepoint 网站的信息屏障见解报告。
从网站中删除了段
SiteIBSegmentsRemoved
SharePoint 或全局管理员从网站中删除一个或多个信息屏障段。
Microsoft 365 管理中心代理管理活动。
下表列出了代理管理活动,Microsoft 365 个审核日志记录。 有关详细信息,请参阅Microsoft 365 管理中心中的管理智能 Microsoft 365 Copilot 副驾驶®代理。
友好名称
操作
说明
被阻止的代理
BlockedAgent
管理员阻止了代理。 组织中的用户无法使用代理。
取消阻止的代理
UnblockedAgent
管理员取消阻止了以前阻止的代理。
已部署代理
DeployedAgent
管理员部署了代理。 代理变为活动状态,并可供特定用户、组或整个组织使用。
已删除代理
RemovedAgent
管理员删除了以前为整个组织或特定用户和组安装的代理。
更新的代理
UpdatedAgent
管理员通过上传最新的清单文件来更新自定义代理。
Microsoft 365 应用版 管理员服务云更新活动
下表列出了 云更新服务 中配置更改和触发的作的活动,这些作Microsoft 365 审核日志记录。
友好名称
操作
说明
设备配置已更新
updateddeviceconfiguration
已触发由云更新管理的设备的作。 此作包括触发回滚、恢复回滚的设备或更改更新通道。
配置文件配置已更新
updatedprofileconfiguration
云更新配置文件的配置已更改。 此更改包括配置文件状态的更新、设置截止时间、更新验证启用以及配置的波形和波形延迟。
租户配置已更新
updatedtenantconfiguration
云更新的组织范围配置已更改。 此更改包括对排除项、排除窗口的更新,以及生成新的租户关联密钥 (TAK) 。
Microsoft 365 应用版 管理员服务云策略活动
下表列出了 云策略服务 中策略配置更改的活动,这些更改Microsoft 365 审核日志记录。
友好名称
操作
说明
已创建策略配置
CreatedPolicyConfig
已创建新的策略配置。
已删除的策略配置
DeletedPolicyConfig
已删除策略配置。
更新了策略配置
UpdatedPolicyConfig
已更新现有策略配置,例如,通过添加、更改或删除策略设置,或更改策略配置的名称、说明或范围。
更新了策略配置优先级
UpdatedPolicyConfigPriority
策略配置的优先级已更改。
Microsoft 365 备份活动
下表列出了Microsoft 365 备份中Microsoft 365 条审核日志记录的活动。 Microsoft 365 备份旨在确保组织的数据始终受保护且易于恢复。 有关Microsoft 365 备份的详细信息,请参阅Microsoft 365 备份概述。
友好名称
操作
说明
激活了备份策略
BackupPolicyActivated
从非活动状态激活Microsoft 365 备份策略。
激活草稿还原任务
RestoreTaskActivated
激活Microsoft 365 备份的草稿还原任务。 这是一个长时间运行的作。
已创建备份项
BackupItemAdded
将一个或多个备份项添加到Microsoft 365 备份策略。
已删除备份项
BackupItemRemoved
将从Microsoft 365 备份策略中删除一个或多个备份项。
取消卸载备份项
CancelOffboardBackupItem
已取消对备份项的卸载。
已完成还原任务
RestoreTaskCompleted
还原任务在 Microsoft 365 备份 中完成。
已创建草稿还原任务
DraftRestoreTaskCreated
还原任务是在 Microsoft 365 备份 中创建的。 默认情况下,还原任务创建为草稿。
创建了新的备份策略
NewBackupPolicyCreated
全局管理员创建了一个新的Microsoft 365 备份策略。默认情况下,备份策略以非活动状态创建。
删除了备份策略
BackupPolicyDeleted
删除Microsoft 365 备份策略。
已删除草稿还原任务
DraftRestoreTaskDeleted
草稿还原任务在 Microsoft 365 备份 中删除。
编辑了备份策略
BackupPolicyEdited
更新了Microsoft 365 备份策略。 可以通过执行以下作之一来更新备份策略: 1. 重命名策略。2. 添加一个或多个保护单元。3. 删除一个或多个保护单元。
已编辑草稿还原任务
DraftRestoreTaskEdited
在 Microsoft 365 备份 中编辑草稿还原任务。
机外备份项
OffboardBackupItem
备份项正在卸载。
已暂停备份策略
BackupPolicyPaused
Microsoft 365 备份策略已从活动状态暂停。
以编程方式获取备份项
GetBackupItem
用户以编程方式使用 Microsoft 365 备份 请求备份的保护单元。
以编程方式获取备份策略的详细信息
ViewBackupPolicyDetails
以编程方式访问Microsoft 365 备份策略的详细信息。
以编程方式获取还原任务的详细信息
GetRestoreTaskDetails
用户按Microsoft 365 备份中的标识符请求还原任务的详细信息。
以编程方式获取所有备份策略的列表
ListAllBackupPolicies
用户以编程方式获取使用 Microsoft 365 备份 备份的所有备份策略的列表。
以编程方式获取备份策略中的备份项列表
ListAllBackupItemsInPolicies
以编程方式请求Microsoft 365 备份备份策略中存在的所有保护单元的列表。
以编程方式获取租户中备份项的列表
ListAllBackupItemsInTenant
用户以编程方式获取使用Microsoft 365 备份备份的组织中所有保护单元的列表。
以编程方式获取工作负载中的备份项列表
ListAllBackupItemsInWorkload
用户以编程方式获取使用 Microsoft 365 备份 备份 (SharePoint、OneDrive 或 Exchange) 工作负荷中的所有保护单元的列表。
以编程方式获取还原任务中的还原项列表
GetAllRestoreArtifactsInTask
用户以编程方式在 Microsoft 365 备份 中获取还原任务中的所有项目。
以编程方式获取还原点列表
ListAllRestorePoints
用户以编程方式获取Microsoft 365 备份中的所有还原点。 还原点表示根据保护策略) (项目受到保护时的时间戳。 只有全局管理员有权访问。
以编程方式获取还原任务列表
ListAllRestoreTasks
用户以编程方式获取Microsoft 365 备份中现有还原会话的列表。 此列表包括为组织中注册的每个服务类型创建的还原会话。
还原项还原完成
BackupItemRestoreCompleted
已完成Microsoft 365 备份备份的项的还原。
已触发还原项还原
BackupItemRestoreTriggered
为使用Microsoft 365 备份备份的项触发还原。
智能 Microsoft 365 Copilot 副驾驶®管理员活动
下表列出了与Microsoft 365 条审核日志记录智能 Microsoft 365 Copilot 副驾驶®和智能 Microsoft 365 Copilot 副驾驶® 对话助手相关的管理员活动。 可以跨Microsoft服务访问 Copilot。 审核日志记录了显示用户如何以及何时与 Copilot 交互的活动。 此信息包括发生活动的Microsoft服务,以及对交互期间访问的文件的引用。
若要在交互期间从用户的提示访问文本,请参阅内容搜索或从活动资源管理器查看适用于 AI 的数据安全状况管理中的 AI 交互事件。
有关智能 Microsoft 365 Copilot 副驾驶®的审核和其他合规性管理选项的详细信息,请参阅使用 Microsoft Purview 管理智能 Microsoft 365 Copilot 副驾驶® & 智能 Microsoft 365 Copilot 副驾驶® 对话助手的数据安全性 & 合规性。
有关与用户与 AI 交互相关的事件的详细信息,请参阅 Copilot 和 AI 活动的审核日志。
友好名称
操作
说明
创建了新的 Copilot 插件
CreatePlugin
代表用户 (或管理员或系统的用户) 创建了一个新的 Copilot 插件。
创建了新的 Copilot 提示簿
CreatePromptBook
代表用户 (或管理员或系统的用户) Copilot 中创建了一个新的提示簿。
删除了 Copilot 插件
DeletePlugin
代表用户 (或管理员或系统的用户) 删除了 Copilot 插件。
删除了 Copilot 提示簿
DeletePromptBook
代表用户 (或管理员或系统的用户) 删除了 Copilot 提示簿。
禁用 Copilot 插件
DisableCopilotPlugin
代表用户 (或管理员或系统的用户) 禁用了 Copilot 插件。
禁用 Copilot 提示簿
DisablePromptBook
代表用户 (或管理员或系统的用户) 禁用了 Copilot 提示簿。
已启用 Copilot 插件
EnablePlugin
代表用户 (或管理员或系统的用户) 启用了 Copilot 插件。
已启用 Copilot 提示簿
EnablePromptBook
代表用户 (或管理员或系统的用户) 启用了 Copilot 提示簿。
与 Copilot 交互
CopilotInteraction
代表用户 (或管理员或系统的用户) Copilot 中输入的提示。
更新了 Copilot 插件设置
UpdatePlugin
代表用户 (或管理员或系统的用户) 更新 Copilot 插件设置。
更新了 Copilot promptbook 设置
UpdatePromptBook
代表用户 (或管理员或系统的用户) 更新 Copilot promptbook 设置。
更新了 Copilot 设置
UpdateTenantSettings
代表管理员的管理员 (或系统) 更新了 Copilot 设置。
智能 Microsoft 365 Copilot 副驾驶®计划的提示活动
Copilot Scheduled 提示使用户能够自动执行 Copilot 提示,以在 智能 Microsoft 365 Copilot 副驾驶®聊天中按照定义的计划运行。 下表列出了Microsoft 365 审核日志中记录的活动。 管理员可以在组织中管理此功能。 有关详细信息,请参阅管理智能 Microsoft 365 Copilot 副驾驶®的计划提示。
友好名称
操作
说明
已创建计划的提示
ScheduledPromptCreated
用户从智能 Microsoft 365 Copilot 副驾驶® 对话助手 (Office.com 聊天) 安排了Copilot 提示。
删除了计划的提示
ScheduledPromptDeleted
用户从管理窗口中删除计划的提示。 提示将从列表中删除,并且不再运行。
执行了计划的提示
ScheduledPromptExecute
在每个计划运行开始时记录。 它不会确认提示已完成。
Microsoft Defender for Endpoint常规设置活动
下表列出了Microsoft 365 审核日志中记录的Microsoft Defender for Endpoint常规设置的活动。 有关Microsoft Defender for Endpoint设置的详细信息,请参阅配置常规 Defender for Endpoint 设置。
友好名称
操作
说明
更改了数据保留期
ChangeDataRetention
编辑了 Defender for Endpoint 的数据保留设置。
下载的卸载包
DownloadOffboardingPkg
下载了用于从 Defender for Endpoint 中删除设备的包。
已下载的载入包
DownloadOnboardingPkg
下载了用于将设备载入到 Defender for Endpoint 的包。
设置高级功能
SetAdvancedFeatures
更改了 Defender for Endpoint 中的高级功能,从而在事件期间启用更精确的控制。 Microsoft 365 审核日志中仅记录了正式发布的高级功能的设置。
Microsoft Defender for Endpoint指示器设置活动
下表列出了Microsoft 365 条审核日志记录的Microsoft Defender for Endpoint指示器设置的活动。 有关Microsoft Defender for Endpoint指标的详细信息,请参阅管理指示器。
友好名称
操作
说明
添加了指示器
AddIndicator
创建了用于跟踪攻击和事件的入侵的新指示器。
已删除的指示器
DeleteIndicator
删除了泄露指示器。
已编辑的指示器
EditIndicator
编辑了泄露指示器。
Microsoft Defender for Endpoint响应作活动
下表列出了Microsoft 365 条审核日志记录的Microsoft Defender for Endpoint响应作(包括实时响应)的活动。 有关Microsoft Defender for Endpoint响应作的详细信息,请参阅在设备上执行响应作。
友好名称
操作
说明
收集的调查包
CollectInvestigationPackage
收集有关用于了解攻击工具和技术的设备的信息。
收集的日志
LogsCollection
收集有关 Defender for Endpoint 的日志信息。
已下载的文件
DownloadFile
下载了可疑文件以供进一步调查。
独立设备
IsolateDevice
将设备与网络隔离,帮助防止攻击蔓延。
已卸载的设备
DeviceOffBoarding
从 Defender for Endpoint 中删除了设备。
运行防病毒扫描
RunAntiVirusScan
在设备上运行了Microsoft Defender防病毒扫描。
已运行获取实时响应文件链接
LiveResponseGetFile
打开了实时响应会话,将远程 shell 打开到设备中。
运行实时响应 API
RunLiveResponseApi
通过 API 调用打开了实时响应会话,在设备中打开了远程 shell。
已运行实时响应会话
RunLiveResponseSession
运行了实时响应会话,在设备中打开远程 shell。
从隔离中释放
ReleaseFromIsolation
将隔离设备重新添加到网络。
删除了应用限制
RemoveAppRestrictions
允许应用运行。
受限制的应用执行
RestrictAppExecution
阻止恶意应用运行。
已停止和隔离的文件
StopAndQuarantineFile
已隔离可疑文件以供进一步分析。
Microsoft Defender for Endpoint角色设置活动
下表列出了Microsoft 365 审核日志记录Microsoft Defender for Endpoint角色设置的活动。 有关Microsoft Defender for Endpoint中的角色的详细信息,请参阅创建和管理基于角色的访问控制的角色。
友好名称
操作
说明
添加了角色
AddRole
添加了新的安全角色和权限。
已删除的角色
DeleteRole
删除了安全角色和权限。
已编辑的角色
EditRole
已编辑的安全角色和权限。
专家活动Microsoft Defender
下表列出了 Microsoft Defender Experts 中Microsoft 365 条审核日志记录的活动。 有关Microsoft Defender专家的详细信息,请参阅了解Microsoft Defender XDR 专家和了解用于搜寻的Microsoft Defender专家。
友好名称
操作
说明
已创建 Defender Experts 分析师权限
DefenderExpertsAnalystPermissionCreated
管理员向 Defender 专家分析师授予了一个或多个角色权限,以调查事件或修正威胁。
已修改 Defender Experts 分析师权限
DefenderExpertsAnalystPermissionModified
管理员修改了 Defender Experts 分析师用于调查事件或修正威胁的角色权限。
Microsoft Defender for Identity活动
下表列出了Microsoft 365 条审核日志记录Microsoft Defender for Identity的活动。
友好名称
操作
说明
添加了警报通知收件人
AlertNotificationsRecipientAdded
已将收件人添加到安全警报通知配置。
添加了排除项配置
ExclusionConfigurationAdded
为警报或实体添加了全局排除。
添加了运行状况问题通知收件人
MonitoringAlertNotificationRecipientAdded
已将收件人添加到运行状况问题通知配置。
添加了修正作
RemediationActionAdded
修正作已添加到队列。
添加了传感器
SensorCreated
添加了一个新的传感器。
已创建工作区
WorkspaceCreated
工作区已创建。
已删除警报通知收件人
AlertNotificationsRecipientDeleted
已从安全警报通知配置中删除收件人。
已删除的排除项配置
ExclusionConfigurationDeleted
已删除警报或实体的全局排除项。
已删除运行状况问题通知收件人
MonitoringAlertNotificationRecipientDeleted
已从健康问题通知配置中删除收件人。
已删除的工作区
WorkspaceDeleted
工作区已删除。
下载的域控制器覆盖范围 Excel
DomainControllerCoverageExcelDownloaded
已下载域控制器覆盖范围 Excel 文件。
已下载报告
ReportDownloaded
已下载报表。
下载的安全警报 Excel
AlertExcelDownloaded
已下载警报的详细 Excel 文件。
重新生成传感器部署密钥
SensorDeploymentAccessKeyUpdated
传感器访问密钥已重新生成。
已删除传感器
SensorDeleted
已删除传感器。
检索到的传感器部署密钥
SensorDeploymentAccessKeyReceived
已检索传感器访问密钥。
更新了警报阈值配置
WorkspaceAlertThresholdLevelUpdated
警报阈值配置已更新。
更新了目录服务帐户配置
DirectoryServicesAccountConfigurationUpdated
目录服务帐户集已修改。
更新了实体修正配置
EntityRemediatorConfigurationUpdated
修改了“管理作帐户”模式。
更新了实体标记
TagingConfigurationUpdated
已在实体中添加或移除标记。
更新了排除项配置
ExclusionConfigurationUpdated
已针对警报或实体更新全局排除。
更新的运行状况问题
MonitoringAlertUpdated
已修改运行状况问题。
更新了修正作
RemediationActionUpdated
修正作已完成。
更新了修正作配置
RemediationActionConfigurationUpdated
已修改“管理作帐户”集。
更新了报告器配置
ReporterConfigurationUpdated
报表的计划已修改。
更新了安全通知配置
NotificationConfigurationUpdated
安全警报或运行状况问题通知配置已修改。
更新了传感器配置
SensorConfigurationUpdated
传感器的配置已更新。
更新了传感器激活模式
SensorActivationMethodConfigurationUpdated
传感器激活模式已修改。
更新了 syslog 转发配置
SyslogServiceConfigurationUpdated
修改了 syslog 转发配置。
更新了统一 RBAC 配置
URbacAuthorizationStatusChanged
修改了统一基于角色访问控制配置。
已更新 VPN 配置
VpnConfigurationUpdated
VPN (半径计帐) 配置已修改。
Microsoft Defender XDR自定义检测活动
下表列出了Microsoft 365 审核日志中记录的Microsoft Defender XDR的自定义检测活动。 有关Microsoft Defender XDR自定义检测的详细信息,请参阅创建和管理自定义检测规则。
友好名称
操作
说明
更改了自定义检测规则状态
ChangeCustomDetectionRuleStatus
自定义检测规则已关闭或打开。
已创建自定义检测规则
CreateCustomDetection
已创建新的自定义检测规则。
已删除自定义检测规则
DeleteCustomDetection
已删除自定义检测规则。
已编辑的自定义检测规则
EditCustomDetection
修改了自定义检测规则。
运行自定义检测规则
RunCustomDetection
自定义检测规则已手动运行。
Microsoft Defender XDR事件活动
下表列出了Microsoft 365 审核日志中记录Microsoft Defender XDR的事件活动。 有关 Microsoft Defender XDR 中的事件的详细信息,请参阅事件概述。
友好名称
操作
说明
向事件添加了注释
AddCommentToIncident。
向事件添加了注释。
向事件添加了标记
AddTagsToIncident
向事件添加了标记。
已将用户分配到事件
AssignUserToIncident
已将用户分配到事件。
编辑事件分类
EditIncidentClassification
编辑事件分类。
从事件中删除了标记
RemoveTagsFromIncident
从事件中删除了标记。
未将用户分配到事件
UnAssignUserFromIncident
未将用户分配到事件。
更新的事件状态
UpdateIncidentStatus
已更新事件状态。
Microsoft Defender XDR抑制规则活动
下表列出了Microsoft 365 审核日志中记录的Microsoft Defender XDR抑制规则的活动。 有关Microsoft Defender XDR中的抑制规则的详细信息,请参阅管理抑制规则。
友好名称
操作
说明
已创建抑制规则
CreateSuppressionRule
已创建警报抑制规则。
已删除的抑制规则
DeleteSuppressionRule
已删除警报抑制规则。
禁用的抑制规则
DisableSuppressionRule
禁用了警报抑制规则。
已编辑的抑制规则
EditSuppressionRule
已删除警报抑制规则。
已启用抑制规则
EnableSuppressionRule
已启用警报抑制规则。
Microsoft Edge WebContentFiltering 活动
下表列出了 webContentFiltering 功能的 Microsoft 365 审核日志中记录的 Microsoft Edge 中的浏览活动。 该表包括“活动”列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 .csv 文件中的相应作的名称。
搜索审核日志 介绍了如何从 Microsoft Purview 门户搜索审核日志。 用户必须是全局管理员或具有审核读取权限才能访问审核日志。 使用“活动”筛选器搜索特定活动。 若要列出所有 WebContentFiltering 活动,请在“记录类型”筛选器中选择“WebContentFiltering”。 如果需要,请使用日期范围框和用户列表进一步限定搜索结果的范围。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
Microsoft Edge 中允许的 URL 导航
URLNavigationAllowed
用户浏览了 URL。
Microsoft Edge 中阻止的 URL 导航
URLNavigationBlocked
WebContentFiltering 策略阻止浏览的 URL。
Microsoft Entra组管理活动
下表列出了当管理员或用户创建或更改Microsoft 365 组时,或者管理员使用Microsoft 365 管理中心或Azure管理门户创建安全组时,Microsoft 365 审核日志记录的组管理活动。 有关 Microsoft 365 中的组的详细信息,请参阅在 Microsoft 365 管理中心查看、创建和删除组。
注意
下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。
友好名称
操作
说明
已添加组
AddGroup
已创建组。
已向组添加成员
AddMemberToGroup。
已将成员添加到组。
已删除组
删除组。
已删除组。
已删除组中成员
RemoveMemberFromGroup。
已删除组中成员。
已更新组
UpdateGroup。
已更改组的属性。
Microsoft Entra风险检测活动
下表列出了使用 Microsoft Entra ID 保护时Microsoft 365 审核日志中记录的风险检测活动。 有关风险检测的详细信息,请参阅了解风险检测。
友好名称
操作
说明
泄露的登录检测
CompromisedSignIn
登录风险检测表示给定身份验证请求不是帐户的授权所有者的概率。
泄露的用户检测
CompromisedUser
用户风险检测可能会将合法用户帐户标记为有风险,如果潜在威胁参与者通过泄露其凭据获取对帐户的访问权限,或者他们检测到某种类型的异常用户活动。
Microsoft Fabric 活动
下表显示了 Power BI 中Microsoft 365 审核日志记录的 Microsoft Fabric 活动。 可以在审核日志中搜索 Power BI 内的活动。 有关审核设置的信息,请参阅 审核和使用租户设置。
友好名称
操作
说明
创建跨租户身份验证映射
CreateCrossTenantAuthMapping
为跨租户身份验证功能创建用户映射。
列出所有跨租户身份验证映射
ListCrossTenantAuthMappings
列出租户中的跨租户身份验证映射。
Microsoft Forms 活动
下表显示了Microsoft 365 条审核日志记录Microsoft Forms中的用户和管理员活动。 Microsoft Forms是一种表单、测验和调查工具,可用于收集数据进行分析。 某些作包括其他活动参数,如说明中所述。
如果共同创作者或匿名响应者执行 Forms 活动,审核日志记录会略有不同。 有关详细信息,请参阅共同创作者和匿名响应者执行的 Forms 活动部分。
友好名称
操作
说明
已添加表单合著者
AddFormCoauthor
用户使用协作链接来帮助设计表单或查看响应。 当用户使用协作 URL 时, (而不是在) 首次生成协作 URL 时,会记录此事件。
已添加特定响应者
AddSpecificResponder
表单所有者将新用户或组添加到特定响应者列表。
已允许共享表单以进行复制
AllowShareFormForCopy
表单所有者创建模板链接以便与其他用户共享表单。 当表单所有者选择生成模板 URL 时,将记录此事件。
已连接到 Excel 工作簿
ConnectToExcelWorkbook
已将表单连接到 Excel 工作簿。 属性 ExcelWorkbookLink:string 是当前表单的关联 Excel 工作簿 ID。
已创建集合
CollectionCreated
表单所有者创建了一个集合。
已创建批注
CreateComment
表单所有者向测验添加批注或分数。
已创建表单
CreateForm
表单所有者创建一个新表单。 属性 DataMode:string 是当前窗体设置为与新的或现有的 Excel 工作簿同步(如果属性值等于 DataSync)。 属性 ExcelWorkbookLink:string 是当前表单的关联 Excel 工作簿 ID。
已创建响应
CreateResponse
类似于接收新响应。 用户向表单提交了响应。 属性 ResponseId:string 和 Property ResponseerId:string 是正在查看的结果。 对于匿名响应者,ResponderId 属性为 null。
已创建摘要链接
GetSummaryLink
表单所有者创建摘要结果链接以共享结果。
已删除所有响应
DeleteAllResponses
表单所有者删除所有响应数据。
已从回收站中删除集合
CollectionHardDeleted
表单所有者硬删除了回收站中的集合。
已删除表单
DeleteForm
表单所有者删除表单。 此作包括使用的 SoftDelete (delete 选项和表单移动到回收站) 和 HardDelete (回收站被清空) 。
已删除响应
DeleteResponse
表单所有者删除一个响应。 属性 ResponseId:string 是要删除的响应。
已删除摘要链接
DeleteSummaryLink
表单所有者删除摘要结果链接。
已禁用任何人都可响应设置
DisallowAnonymousResponse
表单所有者关闭设置,允许任何人响应表单。
已禁用协作
DisableCollaboration
表单所有者关闭表单上的协作设置。
已禁用特定人员可响应设置
DisableSpecificResponse
表单所有者关闭仅允许当前组织中的特定人员或特定组响应表单的设置。
不允许共享表单以进行复制
DisallowShareFormForCopy
表单所有者删除模板链接。
已编辑表单
EditForm
表单所有者编辑表单,如创建、删除或编辑问题。
属性 EditOperation:string 是编辑作名称。 可能的操作如下:- CreateQuestion- CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage 包括窗体中用户可以上传图像的任何位置,例如在查询中或作为背景主题。
启用任何人都可以响应设置
AllowAnonymousResponse
表单所有者打开允许任何人响应表单的设置。
已启用 Office 365 工作或学校帐户协作
EnableWorkOrSchoolCollaboration
表单所有者打开设置,允许拥有 Microsoft 365 工作或学校帐户的用户查看和编辑表单。
已启用组织中人员协作
EnableSameOrgCollaboration
表单所有者打开设置,允许当前组织中的用户查看和编辑表单。
已启用特定人员可响应设置
EnableSpecificResponse
表单所有者启用该设置,仅允许当前组织中的特定人员或特定组响应表单。
已启用特定人员协作
EnableSpecificCollaboaration
表单所有者启用设置,仅允许当前组织中的特定人员或特定组查看和编辑表单。
已导出表单
ExportForm
表单所有者将结果导出到 Excel。 如果 Excel 文件为 Download 或 Online,则属性 ExportFormat:string。
已列出表单
ListForms
表单所有者正在查看表单列表。 属性视图Type:string 是窗体所有者正在查看的视图:“所有窗体”、“与我共享”或“组窗体”
已将表单移动到集合中
MovedFormIntoCollection
表单所有者将表单移入集合。
已将表单从集合中移出
MovedFormOutofCollection
表单所有者已将表单移出集合。
已将集合移动到回收站
CollectionSoftDeleted
表单所有者将集合移到了回收站。
已移动表单
MoveForm
表单所有者移动表单。 属性 DestinationUserId:string 是移动窗体的人员的用户 ID。 属性 NewFormId:string 是新复制的表单的新 ID。 属性 IsDelegateAccess:boolean 是通过管理员委托页执行的当前表单移动作。
已预览表单
PreviewForm
表单所有者使用预览函数预览窗体。
已删除表单合著者
RemoveFormCoauthor
表单所有者删除协作链接。
已删除特定响应者
RemoveSpecificResponder
表单所有者从特定响应者列表中删除用户或组。
已重命名集合
CollectionRenamed
表单所有者更改了集合的名称。
已发送 Forms Pro 邀请
ProInvitation
用户选择激活 Pro 试用版。
已提交响应
SubmitResponse
用户提交对表单的响应。 属性 IsInternalForm:boolean 如果响应方与表单所有者位于同一组织中,则为 。
已更新集合
CollectionUpdated
表单所有者更新了集合属性。
已更新表单钓鱼状态
UpdatePhishingStatus
每当内部安全状态的详细值发生更改时,都会记录此事件,无论此更改是否影响最终安全状态 (例如,窗体现在为“已关闭”或“已打开”) 。 此更改可能会导致重复事件,而不进行最终的安全状态更改。 此事件的可能状态值如下:- Take Down - Take Down by Admin - Admin Unblocked - Auto Blocked - Auto Unblocked - Customer Reported - Reset Customer Reported
已更新表单设置
UpdateFormSetting
表单所有者更新一个或多个表单设置。 属性 FormSettingName:string 更新敏感设置的名称。 属性 NewFormSettings:string 更新了设置的名称和新值。 属性 thankYouMessageContainsLink:boolean 更新的感谢消息包含 URL 链接。
已更新响应
UpdateResponse
表单所有者更新了测验的批注或分数。 属性 ResponseId:string 和 Property ResponseerId:string 是正在查看的结果。 对于匿名响应者,ResponderId 属性为 null。
已更新用户钓鱼状态
UpdateUserPhishingStatus
每当用户安全状态的值更改时,都会记录此事件。 当用户创建Microsoft Online 安全团队关闭的钓鱼表单时,审核记录中用户状态的值为 “确认为钓鱼者 ”。 如果管理员取消阻止该用户,则该用户状态的值将设置为“重置为普通用户”。
已更新用户设置
UpdateUserSetting
表单所有者更新用户设置。 属性 UserSettingName:string 是设置的名称和新值
已查看表单(设计时)
ViewForm
表单所有者打开现有表单进行编辑。 属性 AccessDenied:boolean 是当前表单的访问被拒绝,因为权限检查。 属性 FromSummaryLink:boolean 是来自摘要链接页的当前请求。
已查看单个响应
ViewResponse
表单所有者查看特定响应。 属性 ResponseId:string 和 Property ResponseerId:string 是正在查看的结果。 对于匿名响应者,ResponderId 属性为 null。
已查看响应页面
ViewRuntimeForm
用户打开了要查看的响应页。 无论用户是否提交响应,都将记录此事件。
已查看多个响应
ViewResponses
表单所有者查看聚合的响应列表。 属性 ViewType:string 是窗体所有者正在查看详细信息还是聚合
合著者和匿名响应者执行的 Forms 活动
在设计表单和分析响应时,Forms 支持协作。 表单协作者被称为合著者。 合著者可执行表单所有者可执行的所有操作,但删除或移动表单除外。 Forms 还允许你创建可以匿名响应的表单。 这意味着响应者无需登录到组织即可响应表单。
下表描述了Microsoft 365 审核日志中记录的审核活动和信息,这些日志由共同作者和匿名响应者执行的活动。
活动类型
内部或外部用户
记录的用户 ID
登录到的组织
Forms 用户类型
共同创作活动
外部
urn:forms:coauthor#a0b1c2d3@forms.office.com(ID 的第二部分是哈希,该哈希因不同用户而异)
表单所有者的组织
合著者
共同创作活动
外部
UPN
合著者的组织
合著者
共同创作活动
内部
UPN
表单所有者的组织
合著者
响应活动
匿名
urn:forms:anonymous#a0b1c2d3@forms.office.com(用户 ID 的第二部分是哈希,该哈希因不同用户而异,)
表单所有者的组织
响应者
响应活动
外部
urn:forms:external#a0b1c2d3@forms.office.com(用户 ID 的第二部分是哈希,该哈希因不同用户而异,)
表单所有者的组织
响应者
响应活动
外部
UPN
响应者的组织
响应者
Microsoft Graph 数据连接
下表列出了 Microsoft 365 审核日志中记录的 Microsoft Graph Data Connect 中的用户和管理员活动。 表包括“ 活动” 列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应作的名称。
友好名称
操作
说明
已批准或拒绝应用
ConsentModificationRequest
用户执行了同意修改请求。
提取已运行
DataAccessRequestOperation
用户执行了提取。 将排除合作伙伴数据集和 ISV 运行。
Microsoft Places目录活动
下表列出了 Microsoft Places Directory 中Microsoft 365 审核日志记录的管理员活动。 表包括显示在 “活动” 列中的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应作的名称。
友好名称
操作
说明
已创建位置
CreatedPlace
管理员执行了创建位置的作。
删除了位置
DeletedPlace
管理员执行了删除位置的作。
更新了位置
UpdatedPlace
管理员执行了更新位置的作。
Microsoft Planner活动
下表列出了Microsoft 365 条审核日志记录Microsoft Planner中的用户和管理员活动。 表包括显示在 “活动” 列中的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应作的名称。
注意
Planner 中的项目组合活动记录为 web 路线图活动的 Microsoft Project。 有关详细信息,请参阅Microsoft Project 网页版活动部分。
友好名称
操作
说明
向名单添加了成员
RosterMemberAdded
一名成员已添加到名册。 如果添加作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 MemberIds 是尝试的成员 ID 列表。
已分配任务
TaskAssigned
任务被用户或应用修改了。 这可能是已分配的未分配任务,也可能是具有新被分配人的已分配任务。
完成任务
TaskCompleted
任务已由用户或应用标记为已完成。
复制了计划
PlanCopied
计划由用户或应用复制。 如果复制作是 ResultStatus.Failure 或 ResultStatus.Failure,则 newPlanId 为 null,newContainerType 为 ContainerType.Invalid,newContainerId 为 null。
已创建目标
GoalCreated
目标由用户或应用创建。 如果创建作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 为 null,PlanId 为 null。
已创建计划
PlanCreated
计划由用户或应用创建。 如果创建作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 为 null,ContainerType 为 ContainerType.Invalid,ContainerId 为 null。
已创建名单
RosterCreated
名单由用户或应用创建。 如果创建作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 为 null,MemberIds 为空字符串。
已创建任务
TaskCreated
任务由用户或应用创建。 如果创建作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 为 null,PlanId 为 null。
已删除目标
GoalDeleted
目标已被用户或应用删除。
删除了计划
PlanDeleted
用户或应用删除了计划。
已删除名单
RosterDeleted
用户或应用删除了名册。
已删除任务
TaskDeleted
任务已被用户或应用删除。
修改了目标
GoalModified
目标已由用户或应用修改。
修改了计划
PlanModified
用户或应用修改了计划。
修改了任务
TaskModified
用户或应用修改了任务。
读取目标
GoalRead
目标由用户或应用读取。 如果读取作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 PlanId 为 null。
读取目标列表
GoalListRead
用户或应用查询了目标列表。 如果查询作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 GoalList 为空字符串。
阅读计划列表
PlanListRead
用户或应用查询了计划列表。 如果查询作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 PlanList 为空字符串。
读取任务列表
TaskListRead
用户或应用查询了任务列表。 如果查询作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 TaskList 为空字符串。
阅读计划
PlanRead
计划由用户或应用读取。 如果读取作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 ContainerType 为 ContainerType.Invalid,ContainerId 为 null。
读取任务
TaskRead
任务由用户或应用读取。 如果读取作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 PlanId 为 null。
删除了名册的成员
RosterMemberDeleted
一名成员已从名册中删除。 如果删除作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure, 则 MemberIds 是尝试的成员 ID 列表。
更新了名单的敏感度标签
RosterSensitivityLabelUpdated
用户或应用更新名单的敏感度标签。
更新了租户设置
TenantSettingsUpdated
组织设置由组织管理员更新。如果更新作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 是原始设置, TenantSettings 是尝试的组织设置。
Microsoft Power Apps 活动
可以在审核日志中搜索 Power Apps 中与应用相关的活动。 这些活动包括创建、启动和发布应用。 还会审核为应用分配权限。 有关所有Power Apps活动的说明,请参阅 Power Apps 的活动日志记录。
注意
警报策略 (保护警报) 审核事件 (RecordType:45) 目前不支持PowerApps。
Microsoft Power Automate 活动
可以在审核日志中搜索 Power Automate(以前称为 Microsoft Flow)内的活动。 这些活动包括创建、编辑和删除流以及更改流权限。
Microsoft Project 网页版活动
可以在审核日志中搜索Microsoft Project 网页版中的活动。 Microsoft Project 网页版基于 Microsoft Dataverse 构建,并且具有关联的 Project Power App。 若要为用户使用 Microsoft Dataverse 或 Project Power App 的方案启用审核,请参阅 “系统设置审核”选项卡 指南。 有关Project 网页版相关实体的列表,请参阅从Project 网页版导出用户数据指南。
有关Microsoft Project 网页版的信息,请参阅 Microsoft Project 网页版。
注意
审核Microsoft Project 网页版活动的事件需要付费Project 计划 1许可证 (或更高版本) 。
下表列出了 Microsoft 365 审核日志中记录的 Web 活动的Microsoft项目:
友好名称
操作
说明
已创建项目
ProjectCreated
项目由用户或应用创建。
已创建路线图
路线图创建
路线图或项目组合由用户或应用创建。
已创建路线图项
RoadmapItemCreated
路线图或项目组合项由用户或应用创建。
已创建任务
TaskCreated
任务由用户或应用创建。
已删除的项目
ProjectDeleted
项目已被用户或应用删除。
已删除的路线图
RoadmapDeleted
用户或应用删除了路线图或项目组合。
已删除的路线图项
RoadmapItemDeleted
用户或应用删除了路线图或项目组合项。
已删除的任务
TaskDeleted
任务已被用户或应用删除。
已访问的项目
ProjectAccessed
项目由用户或应用读取。
已访问项目主页
ProjectListAccessed
用户查询了项目和/或路线图的列表。
访问路线图
RoadmapAccessed
路线图或项目组合由用户或应用读取。
访问的路线图项
RoadmapItemAccessed
用户或应用已读取路线图或项目组合项。
已访问的任务
TaskAccessed
任务由用户或应用读取。
更新了项目
ProjectUpdated
项目已由用户或应用修改。
更新了项目设置
ProjectForTheWebProjectSettings
管理员更新了项目设置。
更新的路线图
RoadmapUpdated
用户或应用修改了路线图或项目组合。
更新了路线图项
RoadmapItemUpdated
用户或应用修改了路线图或项目组合项。
更新了路线图设置
ProjectForTheWebRoadmaptSettings
管理员更新了路线图或项目组合设置。
更新的任务
TaskUpdated
任务已由用户或应用修改。
Microsoft Purview 审核解决方案活动
下表列出了Microsoft Purview 门户和审核搜索图形 API中与审核解决方案关联的活动。
SecurityComplianceCenter 工作负载审核这些活动。 有关详细信息,请参阅 搜索审核日志。
不会审核使用 Search-UnifiedAuditLog 的审核搜索 和导出活动。
友好名称
操作
说明
审核搜索已取消
AuditSearchCancelled
审核搜索作业已取消。
审核搜索已完成
AuditSearchCompleted
审核搜索作业已完成。
已创建审核搜索
AuditSearchCreated
已提交新的审核搜索请求。
已删除审核搜索
AuditSearchDeleted
审核搜索作业已删除。
审核搜索导出作业已完成
AuditSearchExportJobCompleted
用于导出审核搜索查询搜索结果的导出作业已完成。
已创建的审核搜索导出作业
AuditSearchExportJobCreated
已创建导出作业以导出审核搜索查询的搜索结果。
审核下载的搜索导出结果
AuditSearchExportResultsDownloaded
审核搜索查询的搜索结果已下载。
Microsoft Purview 治理活动
下表列出了Microsoft 365 审核日志中记录Microsoft Purview 治理活动。 有关详细信息,请参阅 Microsoft Purview 治理解决方案。
友好名称
操作
说明
已创建资产或实体
EntityCreated
已创建或添加到现有资产的新资产或实体。
已添加分类
ClassificationAdded
向资产实体添加了分类。
已创建分类定义
ClassificationDefinitionCreated
已创建分类类型。
已删除分类定义
ClassificationDefinitionDeleted
删除了分类类型。
已更新分类定义
ClassificationDefinitionUpdated
更新了分类类型。
已删除分类
ClassificationDeleted
从资产实体中删除分类。
已更新分类
ClassificationUpdated
更新了资产实体的分类。
实体已删除
EntityDeleted
资产或实体已从现有资产中删除。
实体已更新
EntityUpdated
包括:属性更新、业务属性更新、集合信息 (仅包括集合 ID) 、联系人更新、customAttributes、hierarchy、homeId、标签、sourceDetails
已分配术语表术语
GlossaryTermAssigned
为资产实体分配的术语。
已创建术语表术语
GlossaryTermCreated
已创建术语。
已删除术语表术语
GlossaryTermDeleted
已删除术语。
已取消关联的术语表术语
GlossaryTermDisassociated
已取消关联术语与资产实体。
术语表术语更新
GlossaryTermUpdated
更新了术语。
敏感度标签已更改
SensitivityLabelChanged
已添加、更新或删除敏感度标签。
Microsoft Purview 按需分类活动
下表列出了 Microsoft Purview 按需分类中Microsoft 365 条审核日志记录的活动。 有关按需分类的详细信息,请参阅 了解 Microsoft Purview 中的按需分类。
注意
这些审核活动仅在审核 (高级版) 中可用。 在审核日志中记录这些活动之前,必须为你分配相应的许可证。 有关详细信息,请参阅 审核 (Premium) 。 有关审核(高级版)许可要求,请参阅 Microsoft 365 中的审核解决方案。
友好名称
操作
说明
作为按需分类扫描的一部分的已分类文件
DataScanClassification
作为 SharePoint 或 OneDrive 按需分类扫描的一部分,对文件进行了敏感内容的评估。
设备上作为按需分类扫描的一部分的已分类文件
SensitiveInfoDiscovered
作为终结点设备的按需分类扫描的一部分,对文件进行了敏感内容的评估。
作为按需分类扫描的一部分的已解密文件
DataScanDeClassification
文件不再与针对 SharePoint 或 OneDrive 位置触发的相应按需分类扫描中定义的敏感信息类型匹配。
智能 Microsoft Security Copilot 副驾驶®代理管理
下表列出了 Security Copilot Microsoft 365 审核日志记录中的代理管理作。 这些活动对代理的活动及其正常运行所需的组件(例如触发器)进行特征化。 有关Security Copilot代理管理的详细信息,请参阅 智能 Microsoft Security Copilot 副驾驶® 代理概述。
友好名称
操作
说明
创建新的Security Copilot代理
CreateCopilotAgent
代表用户 (或管理员或系统的用户) 创建新的Security Copilot代理。
创建了新的Security Copilot代理触发器
CreateCopilotforSecurityAgentTrigger
代表用户 (或管理员或系统的用户) Copilot 中创建了一个新的提示簿。
删除了Security Copilot代理
DeleteCopilotAgent
代表用户 (或管理员或系统的用户) 删除了Security Copilot代理。
删除了Security Copilot代理触发器
DeleteCopilotForSecurityAgentTrigger
代表用户 (或管理员或系统的用户) 删除了Security Copilot触发器。
更新了Security Copilot代理设置
UpdateCopilotAgent
代表用户 (或管理员或系统的用户) 更新了Security Copilot代理设置。
更新了Security Copilot代理触发器
UpdateCopilotforSecurityAgentTrigger
代表用户 (或管理员或系统的用户) 更新了Security Copilot代理触发器设置。
智能 Microsoft Security Copilot 副驾驶®交互
下表列出了Microsoft 365 审核日志记录Security Copilot中 AI 组件的用户交互类型。 这些作表示单个提示、嵌入体验或代理工作流。 有关Security Copilot交互的详细信息,请参阅Security Copilot和智能 Microsoft Security Copilot 副驾驶®代理中的提示概述。
友好名称
操作
说明
与 Copilot 交互
CopilotInteraction
代表用户 (或管理员或系统的用户) Copilot 或代理中输入的提示。
智能 Microsoft Security Copilot 副驾驶®平台管理
下表列出了Microsoft 365 审核日志记录的Security Copilot及其组件的管理作。 这些作表示租户或工作区设置或 AI 组件(如插件和提示簿)。 有关Security Copilot的管理元素的详细信息,请参阅什么是智能 Microsoft Security Copilot 副驾驶®。
友好名称
操作
说明
创建了新的 Copilot 插件
CreatePlugin
代表用户 (或管理员或系统的用户) 创建了一个新的 Copilot 插件。
创建了新的 Copilot 提示簿
CreatePromptBook
代表用户 (或管理员或系统的用户) Copilot 中创建了一个新的提示簿。
删除了 Copilot 插件
DeletePlugin
代表用户 (或管理员或系统的用户) 删除了 Copilot 插件。
删除了 Copilot 提示簿
DeletePromptBook
代表用户 (或管理员或系统的用户) 删除了 Copilot 提示簿。
禁用 Copilot 插件
DisableCopilotPlugin
代表用户 (或管理员或系统的用户) 禁用了 Copilot 插件。
禁用 Copilot 提示簿
DisablePromptBook
代表用户 (或管理员或系统的用户) 禁用了 Copilot 提示簿。
已启用 Copilot 插件
EnablePlugin
代表用户 (或管理员或系统的用户) 启用了 Copilot 插件。
已启用 Copilot 提示簿
EnablePromptBook
代表用户 (或管理员或系统的用户) 启用了 Copilot 提示簿。
更新了 Copilot 插件设置
UpdatePlugin
代表用户 (或管理员或系统的用户) 更新 Copilot 插件设置。
更新了 Copilot promptbook 设置
UpdatePromptBook
代表用户 (或管理员或系统的用户) 更新 Copilot promptbook 设置。
更新了 Copilot 设置
UpdateTenantSettings
代表管理员的管理员 (或系统) 更新了 Copilot 设置。
Microsoft Sentinel AI 工具活动
下表列出了 Microsoft 365 审核日志中记录Microsoft Sentinel数据湖中的 AI 工具相关活动。 有关 Microsoft Sentinel data Lake 中的 MCP 工具的详细信息,请参阅 Microsoft Sentinel MCP 服务器中的工具集合。
友好名称
操作
说明
已完成的 AI 工具运行
SentinelAIToolRunCompleted
Microsoft Sentinel AI 工具运行已完成
已创建 AI 工具
SentinelAIToolCreated
用户创建Microsoft Sentinel AI 工具
已启动的 AI 工具运行
SentinelAIToolRunStarted
Microsoft Sentinel AI 工具运行已启动
Microsoft Sentinel Data Lake 笔记本活动
下表列出了 Microsoft 365 审核日志中记录的 Microsoft Sentinel Data Lake 中的笔记本活动。 有关 Microsoft Sentinel data Lake 中的笔记本的详细信息,请参阅在 Microsoft Sentinel data Lake 中使用笔记本。
友好名称
操作
说明
已删除自定义表
CustomTableDelete
用户在笔记本执行过程中删除了表。
从表读取
TableRead
用户在其笔记本执行过程中读取表。
已启动会话
SessionStarted
用户启动了笔记本会话。
已停止的会话
SessionStopped
用户停止了笔记本会话。
写入自定义表
CustomTableWrite
用户在笔记本执行过程中写入表。
Microsoft Sentinel data Lake 作业活动
下表列出了Microsoft 365 条审核日志记录Microsoft Sentinel data Lake 中的作业活动。 有关 Microsoft Sentinel data Lake 中的作业的详细信息,请参阅创建和管理 Jupyter 笔记本作业 (预览版) 和在 Microsoft Sentinel data Lake (预览版中创建 KQL 作业) 。
友好名称
操作
说明
已完成作业运行临时
JobRunAdhocCompleted
即席作业执行已完成。
已完成计划的作业运行
JobRunScheduledCompleted
已完成计划的作业执行。
已创建作业
JobCreated
创建作业。
已删除自定义表
CustomTableDelete
在作业运行过程中,自定义表已删除。
已删除的作业
JobDeleted
作业已删除。
已禁用作业
JobDisabled
作业已禁用。
已启用的作业
JobEnabled
禁用的作业可重新启用。
运行了临时作业
JobRunAdhoc
作业是手动触发的,运行已启动。
按计划运行作业
JobRunScheduled
作业运行因计划而触发。
从表读取
TableRead
在作业运行过程中,将读取表。
已停止作业运行
JobRunStopped
用户手动取消或停止正在进行的作业运行。
更新的作业
JobUpdated
作业定义和/或作业配置和计划详细信息(如果已更新)。
写入自定义表
CustomTableWrite
在作业运行过程中,数据已写入自定义表。
Microsoft Sentinel数据湖 KQL 活动
下表列出了 Microsoft Sentinel data Lake 中Microsoft 365 个审核日志记录的 KQL 活动。 有关 Microsoft Sentinel data Lake 中的 KQL 的详细信息,请参阅 KQL 和 Microsoft Sentinel data Lake (预览版) 。
友好名称
操作
说明
已完成的 KQL 查询
KQLQueryCompleted
用户通过 KQL 对其Microsoft Sentinel数据湖中的数据运行交互式查询。
Microsoft Sentinel数据湖载入活动
下表列出了Microsoft 365 审核日志中记录的Microsoft Sentinel data Lake 载入活动。 有关载入数据湖Microsoft Sentinel的详细信息,请参阅载入到Microsoft Sentinel data Lake (预览版) 。
友好名称
操作
说明
更改了 Sentinel 湖的订阅
SentinelLakeSubscriptionChanged
用户修改了与数据湖关联的计费订阅 ID 或资源组。
Sentinel湖的载入数据
SentinelLakeDefaultDataOnboarded
在载入期间,会记录默认数据载入。
设置Sentinel湖
SentinelLakeSetup
在加入时,Microsoft Sentinel数据湖已设置并记录详细信息。
Microsoft Sentinel图形活动
下表列出了 Microsoft 365 审核日志中记录Microsoft Sentinel中的图形活动。 有关Microsoft Sentinel图的详细信息,请参阅什么是Microsoft Sentinel Graph? (预览) 。
友好名称
操作
说明
创建了图形方案
GraphScenarioCreated
用户为预定义的图形方案创建了图形实例。
删除了图形方案
GraphScenarioDeleted
用户删除或禁用预定义图形方案的图形实例。
运行了图形查询
GraphQueryRun
用户运行了图形查询。
Microsoft Stream 活动
可以在审核日志中搜索 Microsoft Stream 内的活动。 这些活动包括用户执行的视频活动、组频道活动和管理员活动,例如管理用户、管理组织设置和导出报告。 有关这些活动的说明,请参阅 Microsoft Stream 中的审核日志的“Stream 中记录的活动”部分。
Microsoft Teams 活动
下表列出了Microsoft 365 审核日志中记录的Microsoft Teams 活动。 你可以在审核日志中搜索 Microsoft Teams 内的用户和管理员活动。 Teams 是 Microsoft 365 中以聊天为中心的工作区。 它将团队的对话、会议、文件和笔记集中到一个位置。 有关更详细的搜索指南,请参阅 在审核日志中搜索 Microsoft Teams 中的事件。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
接受消息
UserAccepted
接受从未与之建立过联系的人员发送的新邮件。
已向团队添加自动程序
BotAddedToTeam
用户将自动程序添加到团队。
已添加频道
ChannelAdded
用户将频道添加到团队。
已添加连接器
ConnectorAdded
用户将连接器添加到频道。
添加了有关 Teams 会议 9 的详细信息
MeetingDetail
Teams 添加了有关会议的信息,包括开始时间、结束时间、加入会议的 URL 以及会议的录制开始/停止时间。
添加了有关会议参与者的信息 9
MeetingParticipantDetail
Teams 添加了有关会议参与者的信息,包括每个参与者的用户 ID、参与者加入会议的时间、参与者离开会议的时间以及用户录制会议开始/停止时间。 还可以查看带有时间戳的日志以及有关以下内容的信息: - 谁加入了会议 - 发生屏幕共享的位置 - 谁启动了屏幕共享 - 发生屏幕共享时- 屏幕共享停止时 - 激活获取、提供或请求控制时 - 如果已接受这些控制请求 - 谁接受了这些控制请求 - 与谁共享内容
添加了成员 6、8
MemberAdded
团队所有者将成员添加到团队、频道或群组聊天中。
已添加选项卡
TabAdded
用户将选项卡添加到频道。
应用的敏感度标签
SensitivityLabelApplied
用户或会议组织者向 Teams 会议应用了敏感度标签。
已批准的请求
ApprovedRequest
在用户查看审批请求的详细信息后,他们已批准该请求。
阻止用户
UserBlocked
阻止用户向你发送消息。
已取消审批请求
CanceledApprovalRequest
用户取消了他们发出的审批请求。
异步取消审批
CancelledApprovalAsync
用户异步取消审批请求。
已更改的频道设置
ChannelSettingChanged
团队成员执行以下活动时将记录 ChannelSettingChanged 操作。 对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。 更改团队频道的名称 (频道名称)更改团队频道的说明 (频道说明)
已更改组织设置
TeamsTenantSettingChanged
当Microsoft 365 管理中心中的全局管理员执行以下活动时,将记录 TeamsTenantSettingChanged作。 这些活动会影响组织范围的 Teams 设置。 若要了解详细信息,请参阅 为组织管理 Teams 设置。 对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。为组织启用或禁用 Teams (Microsoft Teams) 。为组织启用或禁用 Microsoft Teams 和 Skype for Business 之间的互作性 (Skype for Business互作性) 。在 Microsoft Teams 客户端中启用或禁用组织结构图视图 (组织图表视图) 。启用或禁用团队成员安排私人会议的功能, (私人会议安排) 。启用或禁用团队成员 (频道会议 安排) 的功能。启用或禁用 Teams 会议中的视频通话 (Skype 会议 的视频) 。为组织启用或禁用Microsoft Teams 会议中的屏幕 共享 (Skype 会议) 屏幕共享 。启用或禁用将名为 Giphys) 的动画图像 (添加到 Teams 对话 (动画图像) 的功能。更改组织 (内容分级) 的内容分级 设置。 内容评级限制了可在对话中显示的动画图像的类型。启用或禁用团队成员将可自定义图像 (称为自定义 meme) 从 Internet 添加到团队对话的功能, (来自 Internet) 的可自定义图像 。启用或禁用团队成员将可编辑图像 (称为贴纸) 添加到团队对话 (可编辑图像) 的功能。启用或禁用团队成员在Microsoft Teams 聊天和频道中使用机器人的功能, (组织范围的机器人) 。为Microsoft Teams 启用特定的机器人。 这不包括 T-Bot,即组织启用机器人时可用的 Teams 帮助机器人(“单个机器人”)。启用或禁用团队成员 (扩展或选项卡) 添加 扩展或选项卡 的功能。启用或禁用Microsoft Teams 专有机器人的旁加载 (机器人) 的旁加载 。启用或禁用用户将电子邮件发送到Microsoft Teams 频道 (频道电子邮件) 的功能。
已更改团队成员的角色
MemberRoleChanged
团队所有者更改团队中成员的角色。 以下值指示分配给用户的角色类型。
1 - 成员角色。
2 - 所有者角色。
3 - 来宾角色。Members 属性还包括组织名称和成员的电子邮件地址。
已更改敏感度标签
SensitivityLabelChanged
用户更改了 Teams 会议中的敏感度标签。
已更改的团队设置
TeamSettingChanged
团队所有者执行以下活动时将记录 TeamSettingChanged 操作。 对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。更改团队的访问类型。 团队可以设置为专用或公共 (团队访问类型) 。 当团队为专用(默认设置)时,用户只能通过邀请访问该团队。 当团队为公用时,任何人都可以发现它。更改团队 (团队分类) 的信息分类。 例如,可将团队数据分类为高业务影响、中等业务影响或低业务影响。更改团队名称 (团队名称) 。更改团队说明 (团队 说明) 。对团队设置所做的更改。 若要访问这些设置,团队所有者可以右键单击团队,选择“ 管理团队”,然后选择 “设置” 选项卡。对于这些活动,已更改的设置的名称将显示在审核日志搜索结果的 “项 ”列中。
创建组织范围的模板实例
CreateOrgScopedTemplateInstance
用户创建了组织范围的模板实例。
创建团队范围的模板实例
CreateTeamScopedTemplateInstance
用户创建了团队范围的模板实例。
创建更新请求
CreateUpdateRequest
用户创建了一个新的更新模板。
创建了聊天 1、6
ChatCreated
已创建 Teams 聊天。
已创建审批
CreatedApproval
用户创建了一个新的审批请求。
异步创建审批
CreatedApprovalAsync
用户以异步方式创建新的审批请求。
已创建导出作业
CreatedExportJob
用户创建了导出作业。
已创建预配
CreatedProvisioning
用户创建了 CDS (Common Data Service) 实例的预配。
已创建团队
TeamCreated
用户创建团队。
删除更新请求
DeleteUpdateRequest
用户删除更新模板。
已删除消息 2
MessageDeleted
聊天或频道中的消息已删除。
已删除所有组织应用
DeletedAllOrganizationApps
从目录中删除了所有组织应用。
已删除的应用
AppDeletedFromCatalog
应用已从目录中删除。
已删除频道
ChannelDeleted
用户从团队中删除频道。
已删除团队
TeamDeleted
团队所有者删除了团队。
检测到模拟尝试
TeamsImpersonationDetected
检测到外部消息发送方具有潜在的模拟活动。
已下载的文件
DownloadedFile
用户下载的文件附加到审批请求。
编辑组织范围的模板实例
EditOrgScopedTemplateInstance
用户编辑了组织范围的模板实例。
编辑团队范围的模板实例
EditTeamScopedTemplateInstance
用户编辑了团队范围的模板实例。
编辑更新请求
EditUpdateRequest
用户打开模板编辑向导,并选择保存按钮以确认任何更新或启用/禁用模板。
在 Teams 中使用 URL 链接编辑了邮件
MessageEditedHasLink
用户在 Teams 中编辑邮件并添加指向该邮件的 URL 链接。
已编辑的审批请求
编辑的ApprovalRequest
用户对审批请求执行了编辑作。
导出的邮件 1,2
MessagesExported
聊天或频道消息已导出。
导出的录音 1
RecordingExported
聊天录制内容已导出。
导出的脚本 1
TranscriptsExported
聊天脚本已导出。
未能验证对共享频道 3 的邀请
FailedValidation
用户响应对共享频道的邀请,但邀请验证失败。
提取消息1 的所有托管内容
MessageHostedContentsListed
已检索消息中的所有托管内容,例如图像或代码片段。
提取的聊天 1
ChatRetrieved
检索了Microsoft Teams 聊天。
获取组织范围的模板实例
GetOrgScopedTemplateInstance
用户提取了组织范围的模板实例。
获取团队范围的模板实例
GetTeamScopedTemplateInstance
用户提取了团队范围的模板实例。
获取异步作
GotAsyncOperation
用户获得了异步作实体。
已安装应用
AppInstalled
已安装应用。
对卡执行了作
PerformedCardAction
用户对聊天中的自适应卡执行了作。 自适应卡片通常由机器人用来允许在聊天中丰富地显示信息和交互。 审核日志中仅对聊天中的自适应卡执行内联输入作。 例如,当用户在由投票机器人生成的自适应卡的频道对话中提交投票响应时。 用户作(例如“查看结果”)在审核日志中不可用,例如打开对话框或对话中的用户作。
在聊天中填充 AI 生成的笔记
AINotesUpdate
为群组聊天填充了 AI 生成的笔记。
在实时会议中填充 AI 生成的笔记
LiveNotesUpdate
为实时会议填充了 AI 生成的笔记。
已发布新消息 3,4,6,8
MessageSent
新消息已发布到聊天或频道。
已发布的应用
AppPublishedToCatalog
应用已添加到目录中。
阅读消息 1
MessageRead
检索了聊天或频道的消息。
读取消息 1 的托管内容
MessageHostedContentRead
已检索消息中的托管内容,例如图像或代码片段。
重新分配的审批请求
ReassignedApprovalRequest
用户已将审批请求重新分配给其他用户。
已拒绝的审批请求
RejectedApprovalRequest
在用户查看审批请求的详细信息后,他们拒绝了该请求。
已从团队中删除自动程序
BotRemovedFromTeam
用户从团队中删除自动程序。
已删除连接器
ConnectorRemoved
用户从通道中删除连接器。
已删除成员 6、8
MemberRemoved
团队所有者从团队、频道或群组聊天中删除成员。
已删除敏感度标签
SensitivityLabelRemoved
用户从 Teams 会议中删除了敏感度标签。
删除了团队频道 3 的共享
TerminatedSharing
团队或频道所有者禁用了共享频道的共享。
已删除选项卡
TabRemoved
用户从频道中删除选项卡。
响应审批
RespondedToApproval
用户对审批请求执行了作。
已响应共享频道 3 的邀请
InviteeResponded
用户响应了共享频道邀请。
响应了对共享频道 3 的被邀请者响应
ChannelOwnerResponded
频道所有者响应了响应共享频道邀请的用户的响应。
使用自定义响应进行响应
RespondedWithCustomResponse
用户使用对审批请求的自定义响应文本进行响应。
恢复了团队频道 3 的共享
SharingRestored
团队或频道所有者为共享频道重新启用共享。
检索到的消息 1
MessagesListed
检索了来自聊天或频道的消息。
共享的敏感内容
SensitiveContentShared
当为 Teams 会议启用“屏幕共享期间检测敏感内容”选项时记录,并且该会议中存在敏感内容 (例如,在屏幕共享会话期间,) 屏幕上显示信用卡号码、银行帐号、社会安全号码和类似的标识号。 若要了解详细信息,请参阅 管理组织中的会议是否可以在屏幕共享期间检测敏感内容
在 Teams 中使用 URL 链接发送了消息
MessageCreatedHasLink
用户在 Teams 中发送包含 URL 链接的消息。
发送消息创建更改通知 1
MessageCreatedNotification
已发送更改通知,通知订阅的侦听器应用程序收到新消息。
发送消息删除更改通知 1
MessageDeletedNotification
已发送更改通知,通知订阅的侦听器应用程序已删除的消息。
已发送消息更新 1 的更改通知
MessageUpdatedNotification
已发送更改通知,通知订阅的侦听器应用程序更新的消息。
已发送共享频道 3 邀请
InviteSent
频道所有者或成员向共享频道发送邀请。 如果频道策略配置为与外部用户共享频道,则可以向组织外部的人员发送共享频道邀请。
提交更新
SubmitUpdate
用户提交了新的更新。
已订阅消息更改通知 1
SubscribedToMessages
订阅由侦听器应用程序创建,用于接收消息的更改通知。
Teams 管理员作
TeamsAdminAction
当 Teams 管理员使用 PowerShell、管理员 中心、API 等管理工具执行更新、添加或删除与 Teams 相关的设置或配置等作时记录。
已探测线程创建
CreateThreadProbe
用户探测了他们是否可以与组织中的用户创建聊天。 将为每个活动填充以下属性:
活动:此活动的名称 CreateThreadProbe。
CorrelationId:审核日志的唯一请求标识符。
CreationTime:创建审核日志的时间。ExtraProperties**:包含一个键值对,用于描述探测请求启动的环境。
ID:报表条目的 ID。 ID 唯一标识审核日志条目。
OrganizationId:Microsoft 365 组织的 GUID。
ParticipantInfo:包含 objectId 和 tenantId 对的列表,这些对描述发起用户 (UserKey 用户) 启动探测的目标用户集。 换句话说,这些是发起用户想要用来创建线程的用户集。 仅包含组织中的用户。
RecordType:记录指示的作类型。
UserID:启动探测的用户的用户主体名称。
UserKey:启动探测的用户的 GUID。
UserSIPDomain:启动探测的用户的 SIP 域。
UserTenantId:启动探测的用户的租户。
UserType:启动探测的用户的类型。 仅接受值 0,该值表示常规 AAD 用户。
版本:由记录的 Operation 属性标识的活动 (版本号) 。
工作负荷:发生活动的服务。
取消阻止用户
UserUnblocked
取消阻止以前被阻止的用户。
卸载的应用
AppUninstalled
应用已卸载。
更新了聊天 1
ChatUpdated
Teams 聊天已更新。
更新了消息 1
MessageUpdated
聊天或频道的消息已更新。
更新的应用
AppUpdatedInCatalog
已在目录中更新应用。
异步更新了审批请求
UpdatedApprovalRequestAsync
用户异步对审批请求执行了作。
已更新连接器
ConnectorUpdated
用户修改了频道中的连接器。
已更新选项卡
TabUpdated
用户修改了频道中的选项卡。
已升级的应用
AppUpgraded
应用已升级到目录中的最新版本。
用户已登录到 Teams
TeamsSessionStarted
用户登录到 Microsoft Teams 客户端。 此事件不会捕获令牌刷新活动。
查看审批请求
ViewApprovalRequest
用户发出查看审批请求的请求。
查看更新
ViewUpdate
用户查看更新的详细信息。
查看的审批请求
ViewedApprovalRequest
用户从自适应卡或应用中查看审批请求的详细信息。
查看了包含其他字段的审批
ViewedApprovalWithAdditionalField
用户查看包含至少一个可编辑文本字段的审批请求的详细信息。
查看了包含组请求的审批
ViewedApprovalWithGroupRequest
用户查看包含组的审批请求的详细信息。
注意
1 仅当通过调用 Microsoft 图形 API 来执行作时,才会记录此事件的审核记录。 如果在 Teams 客户端中执行作,则不会记录审核记录。
2 此事件仅在审核 (Premium) 中可用。 这意味着必须先为用户分配相应的许可证,然后才能将这些事件记录到审核日志中。 有关仅在审核 (Premium) 中可用的活动的详细信息,请参阅 Microsoft Purview 中的审核 (Premium) 。 有关审核(高级版)许可要求,请参阅 Microsoft 365 中的审核解决方案。
3 此事件以公共预览版提供。
4仅当存在来宾、联合用户和/或匿名用户时,才会为聊天生成此事件。
5 此事件目前在政府社区云 (GCC) 、政府社区云高 (GCC-High) 和国防部 (DoD) 组织中不可用。
6 此事件包含在联合聊天的所有参与租户中。
7 此事件包含 1:1 联合聊天的参与域信息。
8 此事件包含在由组织管理的外部 Teams 用户与非组织管理的外部 Teams 用户之间的所有聊天对话中。
9 此事件目前在政府社区云 (GCC) 中不可用,但在政府社区云高 (GCC-High) 和国防部 (DoD) 组织中可用。
Microsoft Teams 医疗保健活动
如果你的组织使用 Microsoft Teams 中的 “患者”应用程序 ,则可以在审核日志中搜索与“患者”应用相关的活动。 如果环境配置为支持“患者”应用,活动选取器列表中提供了这些活动的其他 活动 组。
有关患者应用活动的说明,请参阅患者应用的审核日志。
Microsoft Teams 班次活动
下表列出了 Microsoft 365 审核日志中记录的 Microsoft Teams 中的 Shift 应用。 如果你的组织使用 Microsoft Teams 中的排班应用,则可以在审核日志中搜索与排班应用相关的活动。 如果环境配置为支持排班应用,则 “活动 选取器”列表包含这些活动的其他活动组。
友好名称
操作
说明
接受的关闭班次消息
OffShiftDialogAccepted
用户确认下班消息,以在轮班时间后访问 Teams。
添加了开放班次
OpenShiftAdded
用户向计划组添加了开放班次。
添加了计划组
ScheduleGroupAdded
用户向计划添加了新的计划组。
添加了班次
ShiftAdded
用户添加了班次。
添加了排班请求
RequestAdded
用户添加了排班请求。
添加了时钟条目
TimeClockEntryAdded
用户在时间表上添加了新的手动时钟条目。
增加了休假时间
TimeOffAdded
用户在计划上增加了休假时间。
添加了劳动力集成
WorkforceIntegrationAdded
Shifts 应用与第三方系统集成。
已取消的排班请求
RequestCancelled
用户取消了排班请求。
更改了计划设置
ScheduleSettingChanged
用户更改了排班设置中的设置。
使用 Time clock 打卡
ClockedIn
使用 Time clock 打卡的用户。
使用 Time clock 打卡出
ClockedOut
用户使用 Time clock 打卡。
已删除的打开班次
OpenShiftDeleted
用户从计划组中删除了打开的班次。
已删除的计划组
ScheduleGroupDeleted
用户从计划中删除了计划组。
已删除的班次
ShiftDeleted
用户删除了班次。
已删除的时钟条目
TimeClockEntryDeleted
用户删除了时间表上的“时钟”条目。
已删除休假
TimeOffDeleted
用户删除了休假。
编辑的打开班次
OpenShiftEdited
用户编辑了计划组中的打开班次。
已编辑的计划组
ScheduleGroupEdited
用户编辑了计划组。
已编辑的班次
ShiftEdited
用户编辑了班次。
已编辑的时钟条目
TimeClockEntryEdited
用户编辑了时间表上的“时钟”条目。
编辑的休假时间
TimeOffEdited
用户编辑的休假时间。
使用时钟结束中断
BreakEnded
用户在活动时间时钟会话期间结束了中断。
响应了班次请求
RequestRespondedTo
用户响应了排班请求。
共享计划
ScheduleShared
用户共享了某个日期范围的团队计划。
使用时间时钟开始中断
BreakStarted
用户在活动时钟会话期间开始休息。
撤销计划
ScheduleWithdrawn
用户撤回了已发布的计划。
Microsoft Teams 汇报活动
下表列出了 Microsoft 365 审核日志中记录的 Microsoft Teams 中汇报 应用的活动。 如果你的组织使用 Microsoft Teams 中的 汇报 应用,则可以在审核日志中搜索与汇报应用相关的活动。 如果环境配置为支持汇报应用,则“活动选取器”列表包含这些活动的其他活动组。
友好名称
操作
说明
创建更新请求
CreateUpdateRequest
用户创建了更新请求。
编辑更新请求
EditUpdateRequest
用户打开请求编辑工作流,并选择“ 保存” 以确认和保存任何更改,或者直接启用或禁用更新请求。
提交更新
SubmitUpdate
用户提交了更新。
查看一个更新的详细信息
ViewUpdate
用户查看更新的详细信息。
Microsoft要执行的作活动
下表列出了Microsoft 365 条审核日志记录Microsoft“要执行”中的活动。 有关Microsoft要完成的详细信息,请参阅 对Microsoft To Do 的支持。
注意
若要审核Microsoft To Do 活动的事件,除了包含审核 (Standard) 权利的相关 Microsoft 365 许可证外,还需要付费Project 计划 1许可证 () 或更高版本。
友好名称
操作
说明
文件夹上的已接受共享链接
AcceptedSharingLinkOnFolder
文件夹的已接受共享链接。
已创建的附件
AttachmentCreated
已为任务创建附件。
附件已删除
AttachmentDeleted
附件已删除。
附件已更新
AttachmentUpdated
附件已更新。
文件夹共享链接共享
FolderSharingLinkShared
为文件夹创建了共享链接。
已创建链接实体
LinkedEntityCreated
已创建任务的链接实体。
已删除链接实体
LinkedEntityDeleted
链接实体已删除。
已更新链接实体
LinkedEntityUpdated
已更新链接实体。
已创建 SubTask
SubTaskCreated
已创建子任务。
已删除 SubTask
SubTaskDeleted
删除了子任务。
已更新子任务
SubTaskUpdated
已更新子任务。
已创建任务
TaskCreated
已创建任务。
已删除的任务
TaskDeleted
已删除任务。
任务读取
TaskRead
已读取任务。
任务已更新
TaskUpdated
任务已更新。
已创建 TaskList
TaskListCreated
已创建任务列表。
TaskList 读取
TaskListRead
已读取任务列表。
已更新 TaskList
TaskListUpdated
更新了任务列表。
用户已邀请
UserInvited
已邀请用户加入文件夹。
Microsoft Viva Insights活动
Viva Insights 提供对组如何在组织中协作的见解。 下表列出了 Microsoft 365 审核日志中记录的活动,用户在 Viva Insights 中分配了管理员或分析师角色。 分配有分析员角色的用户拥有对所有服务功能的完全访问权限,并且可使用产品进行分析。 分配有管理员角色的用户可以配置隐私设置和系统默认值,并且可以在 Viva Insights 中准备、上传和验证组织数据。 有关详细信息,请参阅Microsoft Viva Insights简介。
友好名称
操作
说明
已访问 OData 链接
AccessedOdataLink
分析员已访问查询的 OData 链接。
添加了委托访问权限
AddDelegates
用户为组织见解或 Copilot 仪表板添加了委托访问权限。
已取消查询
CanceledQuery
分析员已取消正在运行的查询。
已创建会议排除
MeetingExclusionCreated
分析员已创建会议排除规则。
已删除结果
DeletedResult
分析员已删除查询结果。
已下载报告
DownloadedReport
分析员已下载查询结果文件。
已执行查询
ExecutedQuery
分析员已运行查询。
修改的 CXO 设置
ModifiedCXOSettings
此事件记录访问智能 Microsoft 365 Copilot 副驾驶®仪表板的用户/组的分配或删除。
使用 Entra 组修改的排除列表
ModifiedExclusionListUsingEntraGroup
此事件使用 Copilot 仪表板中的 Entra 组将更改记录到排除列表。
修改的最小组大小
ModifiedMinimumGroupSize
此事件记录对组织最小组大小的修改,以便在 Copilot 仪表板和 Viva Insights 高级分析中生成见解。
已删除委托访问权限
RemoveDelegates
用户删除了对组织见解或 Copilot 仪表板的委托访问权限。
已更新数据访问设置
UpdatedDataAccessSetting
管理员已更新数据访问设置。
已上传组织数据
UploadedOrgData
管理员已上传组织数据文件。
用户已登录*
UserLoggedIn
已登录到其 Microsoft 365 用户帐户的用户。
已查看“探索”页
ViewedExplore
分析员在一个或多个“探索”页选项卡中查看了可视化。
注意
*用户登录时会创建Microsoft Entra登录活动事件。 即使未在组织中启用 Viva Insights,也会记录此活动。 有关用户登录活动的详细信息,请参阅 Microsoft Entra ID 中的登录日志。
个人见解活动
下表列出了Microsoft 365 审核日志中记录的个人见解中的活动。 有关个人见解的详细信息,请参阅个人见解管理员指南。
友好名称
操作
说明
已更新组织 MyAnalytics 设置
UpdatedOrganizationMyAnalyticsSettings
管理员更新个人见解的组织级别设置。
已更新用户 MyAnalytics 设置
UpdatedUserMyAnalyticsSettings
管理员更新个人见解的用户设置。
隔离活动
下表列出了Microsoft 365 审核日志中记录的隔离活动。 有关隔离的详细信息,请参阅隔离电子邮件。
友好名称
操作
说明
已删除隔离邮件
QuarantineDeleteMessage
管理员或用户删除了有害的电子邮件。
拒绝隔离邮件释放请求
QuarantineReleaseRequestDeny
管理员拒绝用户针对有害电子邮件的发布请求。
已导出隔离邮件
QuarantineExport
管理员或用户导出了有害的电子邮件。
已预览隔离邮件
QuarantinePreview
管理员或用户预览了有害的电子邮件。
释放请求隔离消息
QuarantineReleaseRequest
用户请求释放有害的电子邮件。
已发布隔离邮件
QuarantineRelease
管理员或用户从隔离区中释放了有害的电子邮件。
已查看隔离邮件的标题
QuarantineViewHeader
管理员或用户查看了有害电子邮件的标头。
报告活动
下表列出了Microsoft 365 审核日志中记录的使用情况报告的活动。
友好名称
操作
说明
已更新使用情况报告的隐私设置
UpdateUsageReportsPrivacySetting
管理员更新了使用情况报告的隐私设置。
保留策略和保留标签活动
下表列出了在创建、重新配置或删除 保留策略和保留标签 时,Microsoft 365 审核日志中记录的配置活动。
友好名称
操作
说明
已更改自适应作用域成员身份
ApplicableAdaptiveScopeChange
用户、网站或组已添加到自适应范围或从自适应范围中删除。 这些更改是由于运行作用域的查询导致的。 由于更改是系统启动的,因此报告的用户显示为 GUID 而不是用户帐户。
保留策略的配置设置
NewRetentionComplianceRule
管理员已配置新保留策略的保留设置。 保留设置包括项目保留时长和保留期到期时对项目执行的操作(例如,删除项目、保留项目,或保留然后将其删除)。 此活动还对应于运行 RetentionComplianceRule cmdlet。
已创建自适应作用域
NewAdaptiveScope
管理员创建了自适应作用域。
已创建保留标签
NewComplianceTag
管理员已创建新的保留标签。
已创建保留策略
NewRetentionCompliancePolicy
管理员已创建新的保留策略。
已删除自适应作用域
RemoveAdaptiveScope
管理员删除了自适应作用域。
已删除保留标签
RemoveComplianceTag
管理员已删除保留标签。
已删除保留策略
RemoveRetentionCompliancePolicy
管理员已删除保留策略。
已从保留策略中删除设置
RemoveRetentionComplianceRule
管理员已删除保留策略的配置设置。 当管理员删除保留策略或运行 RetentionComplianceRule cmdlet 时,很可能会记录此活动。
已启用保留标签的合规性记录选项
SetRestrictiveRetentionUI
管理员已运行 RegulatoryComplianceUI cmdlet,以便随后可以选择保留标签的 UI 配置选项,将内容标记为合规性记录。
对文件应用的优先级清理标签
PriorityCleanupTagApplied
用于清理优先级的保留标签应用于 OneDrive 或 SharePoint 上的项目 (包括标签替换)
主动保留的电子邮件项
ExchangeDataProactivelyPreserved
自适应保护自动应用保留标签以在 Exchange 中保留项目。
主动保留的文件
SharePointDataProactivelyPreserved
自适应保护自动应用保留标签来保留 SharePoint 或 OneDrive 中的项目。
更新了自适应作用域
SetAdaptiveScope
管理员更改了现有自适应作用域的说明或查询。
已更新保留标签
SetComplianceTag
管理员已更新现有保留标签。
已更新保留策略
SetRetentionCompliancePolicy
管理员已更新现有保留策略。 触发此事件的更新包括添加或排除应用该保留策略的内容位置。
已更新保留策略的设置
SetRetentionComplianceRule
管理员已更改现有保留策略的保留设置。 保留设置包括项目保留时长和保留期到期时对项目执行的操作(例如,删除项目、保留项目,或保留然后将其删除)。 此活动还对应于运行 Set-RetentionComplianceRule cmdlet。
角色管理活动
下表列出了当管理员在Microsoft 365 管理中心或Azure管理门户中管理管理员角色时,Microsoft 365 审核日志中记录Microsoft Entra角色管理活动。
注意
下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。
友好名称
操作
说明
向角色添加成员
向角色添加成员。
已向 Microsoft 365 中的管理员角色添加用户。
已从目录角色删除用户
删除角色中的成员。
已从 Microsoft 365 中的管理员角色删除用户。
设置公司联系人信息
设置公司联系人信息。
已为你的组织更新公司级别联系人首选项。 这包括由 Microsoft 365 发送的订阅相关电子邮件的电子邮件地址,以及有关服务的技术通知。
敏感信息类型活动
下表列出了Microsoft 365 审核日志中记录的涉及创建和更新 敏感信息类型的活动的审核事件。
友好名称
操作
说明
创建了新的敏感信息类型
CreateRulePackage/EditRulePackage*
已 创建新的敏感信息类型。 此信息包括通过复制 现装的 SIT 创建的任何 SIT。
注意:此活动显示在审核活动“已创建规则包”或“已编辑的规则包”下。
删除了敏感信息类型
EditRulePackage/RemoveRulePackage
已删除现有的敏感信息类型。 此活动显示在审核活动“已编辑的规则包”或“已删除的规则包”下。
已编辑敏感信息类型
EditRulePackage
已编辑现有的敏感信息类型。 此信息可能包括添加或删除模式以及编辑与敏感信息类型关联的正则表达式或关键字 (keyword) 等作。 此活动显示在审核活动“已编辑的规则包”下。
敏感度标签活动
下表列出了Microsoft 365 审核日志中记录的事件,这些事件是由于将 敏感度标签 与 Microsoft Purview 管理的容器和项一起使用而导致的。 容器包括 SharePoint 网站、Teams 网站和Loop工作区。 项目包括文档、电子邮件、日历事件、Loop组件和页面以及 Copilot 页面。 对于自动标记策略,项还包括Microsoft Purview 数据映射中的文件和数据资产。
友好名称
操作
说明
已向文件应用敏感度标签
FileSensitivityLabelApplied SensitivityLabelApplied
通过使用 Microsoft 365 应用、Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡或自动标记策略,将敏感度标签应用于项目。 此活动的作因标签的应用方式而异: - Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡,或自动标记策略 (FileSensitivityLabelApplied) - Microsoft 365 个应用 (SensitivityLabelApplied)
已向网站应用敏感度标签
SiteSensitivityLabelApplied
敏感度标签已应用于 SharePoint 网站、未连接组的 Teams 网站或Loop工作区。
已更改应用于文件的敏感度标签
FileSensitivityLabelChangedSensitivityLabelUpdated
对项应用了不同的敏感度标签。 此活动的操作因标签的更改方式而异: - Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡,或自动标记策略 (FileSensitivityLabelChanged) - Microsoft 365应用版 (SensitivityLabelUpdated)
已在网站上更改敏感度标签
SiteSensitivityLabelChanged
其他敏感度标签已应用于 SharePoint 网站、未连接组的 Teams 网站或Loop工作区。
未能应用文件敏感度标签
FileSensitivityLabelAppliedFailed
无法使用 Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡或自动标记策略将敏感度标签应用于项目。
未能更改文件敏感度标签
FileSensitivityLabelChangedFailed
无法使用 Office 网页版、SharePoint 文档库中的详细信息窗格、Teams 中的“文件”选项卡或自动标记策略将其他敏感度标签应用于项目。
未能删除文件敏感度标签
FileSensitivityLabelRemovedFailed
无法使用 Office 网页版、SharePoint 文档库中的详细信息窗格、Teams 中的“文件”选项卡或自动标记策略从项目中删除敏感度标签。
已从文件除敏感度标签
FileSensitivityLabelRemoved SensitivityLabelRemoved
使用 Microsoft 365 应用、Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡、自动标记策略或 Unlock-SPOSensitivityLabelEncryptedFile cmdlet 从项目中删除了敏感度标签。 此活动的作因删除标签的方式而异: - Office 网页版、SharePoint 文档库中的详细信息窗格或 Teams 中的“文件”选项卡,或自动标记策略 (FileSensitivityLabelRemoved) - Microsoft 365 个应用 (SensitivityLabelRemoved)
已从网站中删除敏感度标签
SiteSensitivityLabelRemoved
敏感度标签已从 SharePoint 网站、未连接组的 Teams 网站或Loop工作区中删除。
下表列出了记录失败以应用、更改或删除敏感度标签的审核活动的 FailureReason 属性中包含的 Microsoft 365 审核日志中记录的值的说明。 这些属性不适用于其他敏感度标签活动:
FailureReason 属性
属性描述
CannotOverrideCurrentLabel
未将敏感度标签分配给文件,因为当前应用的敏感度标签具有更高的优先级。
DowngradeJustificationTextMissing
未将敏感度标签分配给文件,因为此作需要理由文本。
FileEncrypted
敏感度标签未分配给该文件,因为它已加密。
FileExtensionNotSupported
未向文件分配敏感度标签,因为此作不支持文件类型。
FileLockedOrCheckedOut
未将敏感度标签分配给该文件,因为它已锁定或签出。
FileNotFound
未将敏感度标签分配给文件,因为它不可用。
FileNotSupported
未将敏感度标签分配给文件,因为它不支持此作。
FileTooLarge
未将敏感度标签分配给该文件,因为它太大,无法支持此作。
InvalidArgument
未向文件分配敏感度标签,因为为执行此作而提供的某些参数无效。
LabelIdNotFound
未将敏感度标签分配给文件,因为提供的敏感度标签不可用或无效。
LabelNotSupported
未向文件分配敏感度标签,因为不支持提供的敏感度标签。
LabelOperationsDisabled
未向文件分配敏感度标签,因为对文件禁用敏感度标签作。
MinorVersionLimitExceeded
未向文件分配敏感度标签,因为超出了版本限制。
UnauthorizedAccessException
未向文件分配敏感度标签,因为当前用户无权执行此作。
未知
由于内部错误,未将敏感度标签分配给文件。
ZeroByteFileError
未向文件分配敏感度标签,因为无法对零字节文件执行作。
敏感度标签的其他审核信息:
将敏感度标签用于Microsoft 365 组,因此 Teams 网站与组连接时,将在 Microsoft Entra ID 中使用组管理审核标签。 有关详细信息,请参阅 Microsoft Entra ID 中的审核日志。
将敏感度标签用于 Teams 会议邀请和 Teams 会议选项和聊天时,请参阅 在审核日志中搜索 Microsoft Teams 中的事件。
将敏感度标签与 Power BI 配合使用时,请参阅 在 Power BI 中审核敏感度标签的架构。
将敏感度标签与云应用的Microsoft Defender结合使用时,请参阅治理连接的应用和文件治理作的标记信息。
SharePoint 列表活动
下表描述了Microsoft 365 审核日志中记录的活动,这些活动与用户何时与 SharePoint 中的列表和列表项交互有关。 某些 SharePoint 活动的审核记录显示,app@sharepoint用户代表发起作的用户或管理员执行了活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户。
友好名称
操作
说明
已创建列表
ListCreated
用户已创建 SharePoint 列表。
已创建列表列
ListColumnCreated
用户已创建 SharePoint 列表列。 列表列是指附加到一个或多个 SharePoint 列表的列。
已创建列表内容类型
ListContentTypeCreated
用户已创建列表内容类型。 列表内容类型是指附加到一个或多个 SharePoint 列表的内容类型。
已创建列表项
ListItemCreated
用户已在现有的 SharePoint 列表中创建项目。
已创建网站列
SiteColumnCreated
用户已创建 SharePoint 网站列。 网站列是指未附加到列表的列。 网站列还是一种可供给定 Web 中的任何列表使用的元数据结构。
已创建网站内容类型
Site ContentType Created
用户已创建网站内容类型。 网站内容类型是指附加到父网站的内容类型。
已删除列表
ListDeleted
用户已删除 SharePoint 列表。
已删除列表列
List Column Deleted
用户已删除 SharePoint 列表列。
已删除列表内容类型
ListContentTypeDeleted
用户已删除列表内容类型。
已删除列表项
List Item Deleted
用户已删除 SharePoint 列表项。
已删除网站列
SiteColumnDeleted
用户已删除 SharePoint 网站列。
已删除网站内容类型
SiteContentTypeDeleted
用户已删除网站内容类型。
已回收列表项
ListItemRecycled
用户已将 SharePoint 列表项移到回收站。
已还原列表
ListRestored
用户已从回收站还原 SharePoint 列表。
已还原列表项
ListItemRestored
用户已从回收站还原 SharePoint 列表项。
已更新列表
ListUpdated
用户通过修改一个或多个属性更新了 SharePoint 列表。
已更新列表列
ListColumnUpdated
用户通过修改一个或多个属性更新了 SharePoint 列表列。
已更新列表内容类型
ListContentTypeUpdated
用户通过修改一个或多个属性更新了列表内容类型。
已更新列表项
ListItemUpdated
用户通过修改一个或多个属性更新了 SharePoint 列表项。
更新的列表视图
ListViewUpdated
用户通过修改一个或多个属性来更新 SharePoint 列表视图。
已更新网站列
SiteColumnUpdated
用户通过修改一个或多个属性更新了 SharePoint 网站列。
已更新网站内容类型
SiteContentTypeUpdated
用户通过修改一个或多个属性更新了网站内容类型。
共享和访问请求活动
下表列出了 Microsoft 365 审核日志中记录的 SharePoint 和 OneDrive 中的用户共享和访问请求活动。 对于共享事件,“结果”下的“详细信息”列标识了与之共享项目的用户名或组名以及该用户或组是否为组织中的成员或来宾。 有关详细信息,请参阅在审核日志中使用共享审核。
注意
用户可以是 成员 或 来宾 ,具体取决于用户对象的 UserType 属性。 通常,成员为员工,来宾则为组织外部的合作者。 用户接受共享邀请(而尚未成为你组织的一员)时,将在组织的目录中为其创建来宾帐户。 一旦来宾用户在目录中具有帐户,就可以 (直接与他们共享资源,而无需邀请) 。
友好名称
操作
说明
已接受访问请求
AccessRequestAccepted
已接受对网站、文件夹或文档的访问请求,并授予请求用户访问权限。
已接受共享邀请
SharingInvitationAccepted
用户(成员或来宾)接受共享邀请并被授予对资源的访问权限。 此事件包含受邀用户的信息以及用于接受邀请的电子邮件地址(可能有所不同)。 此活动通常伴有第二事件,描述向用户授予资源访问权限的方式,例如将用户添加到可以访问资源的组。
已向网站集添加权限级别
PermissionLevelAdded
已向网站集添加权限级别。
已阻止共享邀请
SharingInvitationBlocked
由于基于目标用户的域允许或拒绝外部共享的外部共享策略,已阻止组织中的用户发送的共享邀请。 在这种情况下,阻止共享邀请的原因如下: 允许的域列表中不包含目标用户的域。 或 目标用户的域包含在阻止的域列表中。 有关允许或阻止基于域的外部共享的详细信息,请参阅 SharePoint 和 OneDrive 中的受限域共享。
已创建公司可共享链接
CompanyLinkCreated
用户已创建指向某资源的公司范围链接。 公司范围的链接只能由组织中的成员使用。 来宾无法使用。
已创建访问请求
AccessRequestCreated
用户请求访问其无权访问的网站、文件夹或文档。
已创建匿名链接
AnonymousLinkCreated
用户创建了指向某资源的匿名链接。 拥有此链接的任何人均可访问资源,无需通过身份验证。
已创建安全链接
SecureLinkCreated
已为此项目创建安全共享链接。
已创建共享邀请
SharingInvitationCreated
用户在 SharePoint 或 OneDrive 中与不在组织目录中的用户共享资源。
已删除安全链接
SecureLinkDeleted
已删除安全共享链接。
已拒绝访问请求
AccessRequestDenied
对网站、文件夹或文档的访问请求被拒绝。
已删除公司可共享链接
CompanyLinkRemoved
用户删除了指向某资源的公司范围链接。 无法再使用该链接访问资源。
已删除匿名链接
AnonymousLinkRemoved
用户删除了指向某资源的匿名链接。 无法再使用该链接访问资源。
已共享文件、文件夹或网站
SharingSet
用户 (成员或来宾) 与组织目录中的用户共享 SharePoint 或 OneDrive 中的文件、文件夹或网站。 此活动的“详细信息”列中的值标识了与之共享资源的用户的名称以及该用户是成员还是来宾。 此活动通常伴有第二事件,描述向用户授予资源访问权限的方式。 例如将用户添加到可以访问资源的组。
已取消共享文件、文件夹或网站
SharingRevoked
用户(成员或来宾)取消共享以前与其他用户共享的文件、文件夹或网站。
已更新访问请求
AccessRequestUpdated
已更新项目的访问请求。
已更新匿名链接
AnonymousLinkUpdated
用户更新了指向某资源的匿名链接。 导出搜索结果时,EventData 属性中包括更新后的字段。
已更新共享邀请
SharingInvitationUpdated
已更新外部共享邀请。
已使用公司可共享链接
CompanyLinkUsed
用户使用公司范围链接访问了资源。
已使用匿名链接
AnonymousLinkUsed
匿名用户使用匿名链接访问了资源。 用户身份可能未知,但你可以获得其他详细信息,例如用户的 IP 地址。
已使用安全链接
SecureLinkUsed
用户已使用安全链接。
已将用户添加到安全链接
AddedToSecureLink
已将用户添加到可使用安全共享链接的实体列表中。
已从安全链接中删除用户
RemovedFromSecureLink
已从可使用安全共享链接的实体列表中删除用户。
已撤消共享邀请
SharingInvitationRevoked
用户撤消了针对某资源的共享邀请。
网站管理活动
下表列出了 SharePoint 中的网站管理任务导致并记录在 Microsoft 365 审核日志中的事件。 某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起作的用户或管理员执行活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
已添加允许的数据位置
AllowedDataLocationAdded
SharePoint 或全局管理员在多环境中添加了允许的数据位置。
已添加豁免用户代理
ExemptUserAgentSet
SharePoint 或全局管理员向 SharePoint 管理中心的豁免用户代理列表添加了用户代理。
已添加地理位置管理员
GeoAdminAdded
SharePoint 或全局管理员已将用户添加为地理位置管理员。
已允许用户创建组
AllowGroupCreationSet
网站管理员或所有者向网站添加权限级别,允许分配了该权限的用户为网站创建组。
将主题应用于 Web
WebThemeApplied
SharePoint、全局管理员或网站所有者应用了 Web 主题。
已取消网站地域移动
SiteGeoMoveCancelled
SharePoint 或全局管理员取消了 SharePoint 或 OneDrive 网站异地移动。 多geo功能允许组织跨多个Microsoft数据中心地理位置,称为“地域”。 有关详细信息,请参阅 OneDrive 和 SharePoint 中的多地理位置功能。
已更改共享策略
SharingPolicyChanged
SharePoint 或全局管理员使用 Microsoft 365 管理中心、SharePoint 管理中心或 SharePoint 命令行管理程序更改了 SharePoint 共享策略。 将记录对组织中共享策略中设置的任何更改。 已更改的策略在事件记录详细属性的 ModifiedProperties 字段中标识。
已更改设备访问策略
DeviceAccessPolicyChanged
SharePoint 或全局管理员已更改组织的非托管设备策略。 此策略控制未加入组织的设备对 SharePoint、OneDrive 和 Microsoft 365 的访问权限。 配置此策略需要企业移动性 + 安全性订阅。 有关详细信息,请参阅控制非托管设备的访问。
已更改豁免用户代理
CustomizeExemptUsers
SharePoint 或全局管理员自定义 SharePoint 管理中心的豁免用户代理列表。 你可以指定免于接收要索引的整个网页的用户代理。 这意味着,当指定为豁免的用户代理遇到 InfoPath 表单时,该表单将作为 XML 文件而不是整个网页返回。 这可以加速对 InfoPath 表单编制索引。
已更改网络访问策略
NetworkAccessPolicyChanged
SharePoint 或全局管理员在 SharePoint 管理中心或使用 SharePoint PowerShell 更改了基于位置的访问策略 (也称为受信任的网络边界) 。 这类策略基于指定的授权 IP 地址范围控制组织中的用户对 SharePoint 和 OneDrive 资源的访问权限。 有关详细信息,请参阅 基于网络位置控制对 SharePoint 和 OneDrive 数据的访问。
已完成的迁移作业
MigrationJobCompleted
迁移作业已完成。
已完成网站地域移动
SiteGeoMoveCompleted
组织中全局管理员计划完成的站点异地移动。 多geo功能允许组织跨多个Microsoft数据中心地理位置,称为“地域”。 有关详细信息,请参阅 OneDrive 和 SharePoint 中的多地理位置功能。
创建租户范围主题
TenantWideThemeCreated
SharePoint 管理员、全局管理员或品牌经理创建了应用于组织中所有 SharePoint 网站的自定义主题。
已创建“收件人”连接
SendToConnectionAdded
SharePoint 或全局管理员在 SharePoint 管理中心中的“记录管理”页上创建新“发送至”连接。 “发送至”连接指定文档存储库或记录中心设置。 创建“收件人”连接时,内容管理器可以将文档提交到指定位置。
已创建网站集
SiteCollectionCreated
SharePoint 或全局管理员在 SharePoint 组织中创建网站集,或者用户预配其 OneDrive 网站。
删除租户范围主题
TenantWideThemeDeleted
SharePoint 管理员、全局管理员或品牌经理删除了在组织中所有 SharePoint 网站中应用的自定义主题。
已删除孤立中心网站
HubSiteOrphanHubDeleted
SharePoint 或全局管理员已删除孤立中心网站,它是没有任何关联网站的中心网站。 孤立中心可能是由删除原始中心网站引起的。
已删除“收件人”连接
SendToConnectionRemoved
SharePoint 或全局管理员在 SharePoint 管理中心的“记录管理”页上删除“发送至”连接。
已删除网站
SiteDeleted
网站管理员删除网站。
已启用文档预览
PreviewModeEnabledSet
网站管理员为网站启用文档预览。
已启用传统工作流
LegacyWorkflowEnabledSet
网站管理员或所有者向网站添加 SharePoint 2013 Workflow Task 内容类型。 全局管理员还可以在 SharePoint 管理中心中为整个组织启用工作流。
已启用 Office on Demand
OfficeOnDemandSet
网站管理员启用 Office on Demand,允许用户访问最新版本的 Office 桌面应用程序。 SharePoint 管理中心启用了 Office on Demand,并需要包括全套已安装的 Office 应用程序的 Microsoft 365 订阅。
已启用人员搜索的结果来源
PeopleResultsScopeSet
网站管理员为网站创建人员搜索的结果来源。
已启用 RSS 源
NewsFeedEnabledSet
网站管理员或所有者为网站启用 RSS 源。 全局管理员可以在 SharePoint 管理中心中对整个组织启用 RSS 源。
已将网站加入到中心网站
HubSiteJoined
网站所有者将其网站与中心网站相关联。
修改的网站集配额
SiteCollectionQuotaModified
网站管理员修改网站集的配额。
永久删除网站
SitePermanentlyDeleted
SharePoint 或全局管理员从 SharePoint 管理员中心已删除网站中永久删除网站。
注册中心网站
HubSiteRegistered
SharePoint 或全局管理员创建中心网站。 结果是该网站已注册为中心网站。
已删除允许的数据位置
AllowedDataLocationDeleted
SharePoint 或全局管理员删除了多环境环境中允许的数据位置。
已删除地理位置管理员
GeoAdminDeleted
SharePoint 或全局管理员已删除作为地理位置管理员的用户。
已重命名网站
SiteRenamed
网站管理员或所有者重命名网站
还原站点
SiteRestored
SharePoint 或全局管理员从 SharePoint 管理员中心删除的网站还原网站。
已计划网站地域移动
SiteGeoMoveScheduled
SharePoint 或全局管理员计划了 SharePoint 或 OneDrive 网站异地移动。 多geo功能允许组织跨多个Microsoft数据中心地理位置,称为“地域”。 有关详细信息,请参阅 OneDrive 和 SharePoint 中的多地理位置功能。
已设置主机网站
HostSiteSet
SharePoint 或全局管理员将指定网站更改为托管个人或 OneDrive 网站。
已为地理位置设置存储配额
GeoQuotaAllocated
SharePoint 或全局管理员为多geo 环境中的地理位置配置了存储配额。
已从中心网站脱离网站
HubSiteUnjoined
网站所有者解除其网站与中心网站的关联。
已注销中心网站
HubSiteUnregistered
SharePoint 或全局管理员注销作为中心网站的网站。 如果已注销中心网站,则它将不再用作中心网站。
更新 DisableSiteBranding 配置
UpdateDisableSiteBranding
SharePoint 或全局管理员启用或禁用网站品牌打造。
更新租户范围主题
TenantWideThemeUpdated
SharePoint 管理员、全局管理员或品牌经理更新了应用于组织中所有 SharePoint 网站的自定义主题。
网站权限活动
下表列出了与在 SharePoint 中分配权限以及使用组授予 (和撤销Microsoft 365 审核日志中记录的网站) 访问权限相关的事件。 某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起作的用户或管理员执行活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户。
友好名称
操作
说明
已添加网站集管理员
SiteCollectionAdminAdded
网站集管理员或所有者为网站添加了作为网站集管理员的人员。 网站集管理员具有网站集和所有子网站的完全控制权限。 当管理员(通过编辑 SharePoint 管理中心的用户配置文件或使用 Microsoft 365 管理中心)向自己授予对用户 OneDrive 帐户的访问权限时,也将记录此活动。
已向 SharePoint 组添加用户或组
AddedToGroup
用户向 SharePoint 组添加了成员或来宾。 此作可能是有意的,也可能是其他活动(例如共享事件)的结果。
中断权限级别继承
PermissionLevelsInheritanceBroken
已更改项目,使其不再从父级继承权限级别。
中断共享继承
SharingInheritanceBroken
已更改项目,使其不再从父级继承共享权限。
已创建组
GroupAdded
网站管理员或所有者为网站创建组,或执行将导致创建组的任务。 例如,当用户第一次创建链接以共享文件时,系统会将系统组添加到用户的 OneDrive 网站。 此事件也可以是用户使用编辑权限创建共享文件链接的结果。
已删除组
GroupRemoved
用户从网站删除组。
已修改“成员可共享”设置
WebMembersCanShareModified
已修改网站上的“成员可共享”设置。
已修改访问请求设置
WebRequestAccessModified
已修改网站上的访问请求设置。
已修改网站集的权限级别
PermissionLevelModified
已更改网站集的权限级别。
已修改网站权限
SitePermissionsModified
网站管理员或所有者(或系统帐户)更改分配给网站上的组的权限级别。 如果从组中删除所有权限,也将记录此活动。
注意:此作在 SharePoint 中已弃用。 若要查找相关事件,可搜索其他权限相关的活动,例如已添加网站集管理员、已向 SharePoint 组添加用户或组、已允许用户创建组、已创建组和已删除组。
已删除网站集的权限级别
PermissionLevelRemoved
已删除网站集的权限级别。
已删除网站集管理员
SiteCollectionAdminRemoved
网站集管理员或所有者为网站删除了作为网站集管理员的人员。 当管理员(通过在 SharePoint 管理中心编辑用户配置文件)从用户 OneDrive 帐户的网站集管理员列表中删除自己时,也会记录此活动。 若要在审核日志搜索结果中返回此活动,必须搜索所有活动。
已从 SharePoint 组中删除用户或组
RemovedFromGroup
用户已从 SharePoint 组中删除成员或来宾。 此作可能是有意的,也可能是其他活动(例如未共享事件)的结果。
已请求网站管理员权限
SiteAdminChangeRequest
用户请求将自己添加为网站集的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。
已还原共享继承
SharingInheritanceReset
已进行更改,使项目能够从父级继承共享权限。
已更新组
GroupUpdated
网站管理员或所有者为网站更改组设置。 此更改可以包括组的名称、可以查看或编辑组成员身份的人员以及处理成员身份请求的方式。
同步活动
下表列出了 sharePoint 和 OneDrive Microsoft 365 审核日志中记录的文件同步活动。
友好名称
操作
说明
已允许计算机同步文件
ManagedSyncClientAllowed
用户与网站建立了同步关系。 同步关系之所以成功,是因为用户计算机是添加到域列表(称为安全收件人列表)的域成员,可以访问组织中的文档库。 有关此功能的详细信息,请参阅使用 PowerShell cmdlet 为安全收件人列表中的域启用 OneDrive 同步。
已阻止计算机同步文件
UnmanagedSyncClientBlocked
用户尝试与计算机中的网站建立同步关系,该计算机不是组织域的成员,或者是尚未添加到域列表中的域的成员, (称为安全 收件人列表) 可以访问组织中的文档库。 不允许同步关系,并且阻止用户的计算机同步、下载或上传文档库中的文件。 有关此功能的信息,请参阅 使用 Windows PowerShell cmdlet 为安全收件人列表中的域启用 OneDrive 同步。
已将文件更改下载到计算机
FileSyncDownloadedPartial
此事件与旧的 OneDrive 同步 应用 (Groove.exe) 一起弃用。
已将文件下载到计算机
FileSyncDownloadedFull
用户使用 OneDrive 同步 应用 (OneDrive.exe) 从 SharePoint 文档库或 OneDrive 将文件下载到计算机。
已将文件更改上传到文档库
FileSyncUploadedPartial
此事件与旧的 OneDrive 同步 应用 (Groove.exe) 一起弃用。
已将文件上传到文档库
FileSyncUploadedFull
用户通过使用 OneDrive 同步 应用 (OneDrive.exe) 在 SharePoint 文档库或 OneDrive 中上传了新文件或更改。
SystemSync 活动
下表列出了 Microsoft 365 审核日志中记录的 SystemSync 活动。
友好名称
操作
说明
已创建数据共享
DataShareCreated
用户创建数据导出时。
已删除数据共享
DataShareDeleted
当用户删除数据导出时。
下载数据湖数据的副本
DownloadCopyOfLakeData
下载数据湖数据的副本时。
生成数据湖数据的副本
GenerateCopyOfLakeData
生成 数据湖数据的副本时。
可训练分类器活动
下表列出了Microsoft 365 审核日志中记录的 可训练分类器 的活动。
友好名称
操作
说明
已创建 Purview 数据分类模型
ModelCreate
代表用户 (或管理员或系统的用户) 在 Purview 数据分类中创建一个新的可训练模型。
已删除的 Purview 数据分类模型
ModelUpdate
代表用户 (或管理员或系统的用户) 更新 Purview 数据分类中新的可训练模型。
已发布的 Purview 数据分类模型
ModelPublish
代表用户 (或管理员或系统的用户) 在 Purview 数据分类中发布了新的可训练模型。
更新了 Purview 数据分类模型
ModelDelete
代表用户 (或管理员或系统的用户) Purview 数据分类中删除了新的可训练模型。
用户管理活动
下表列出了管理员使用 Microsoft 365 管理中心 或 Azure 管理门户添加或更改用户帐户时,Microsoft 365 审核日志中记录的用户管理活动。
注意
下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。
活动
操作
说明
已添加用户
添加用户。
创建用户帐户。
已更改用户许可证
更改用户许可证。
分配给用户的许可证已更改。 若要查看已更改的许可证,请参阅相应的 更新用户 活动。
已更改用户密码
更改用户密码。
用户更改了自己的密码。 必须为组织中的所有用户或选定的用户启用自助密码重置,以允许用户重置其密码。 还可以在 Microsoft Entra ID 中跟踪自助密码重置活动。 有关详细信息,请参阅用于Microsoft Entra密码管理的报告选项。
已删除用户
删除用户。
已删除用户帐户。
重置用户密码
重置用户密码。
管理员重置了用户的密码。
设置许可证属性
设置许可证属性。
管理员修改了分配给用户的许可证的属性。
已设置强制用户更改密码的属性
设置强制更改用户密码。
管理员设置了强制用户在下次登录到 Microsoft 365 时更改密码的属性。
已更新用户
更新用户。
管理员更改用户帐户的一个或多个属性。 有关可更新的用户属性列表,请参阅Microsoft Entra审核报告事件中的“更新用户属性”部分。
Viva Glint 活动
下表列出了 Viva Glint 中Microsoft 365 条审核日志记录的用户和管理员活动。 表包括“ 活动” 列中显示的友好名称,以及导出搜索结果时在审核记录的详细信息和 .csv 文件中显示的相应作的名称。
搜索审核日志 介绍了如何从 Microsoft Purview 门户搜索审核日志。 若要访问审核日志,需要是全局管理员或具有审核读取权限。 使用“活动”筛选器搜索特定活动,并通过在“记录类型”筛选器中选择“VivaGlint”来列出所有 Viva Glint 活动。 使用日期范围框和 用户 列表进一步缩小搜索结果范围。
友好名称
操作
说明
添加了公司管理员
AddCompanyAdmin
用户已添加到公司管理员角色。
添加了支持用户
AddSupportUser
用户已添加到“支持用户”角色。
分配的用户角色
AssignRole
用户被分配到新角色。
已更改客户端详细信息
ClientDetailsChanged
Viva Glint 常规设置或高级配置中的更改活动:详细信息。
公司管理员登录
AdminLogin
公司管理员用户登录到 Viva Glint。
公司管理员注销
AdminLogout
公司管理员用户注销 Viva Glint。
已创建用户角色
RoleCreated
Glint 用户角色创建活动。
已删除的支持访问权限
GlintSupportAccessDeleted
用户已从“支持用户”角色中删除。
已删除的系统
GlintSystemDeleted
Viva Glint 系统已删除。
已删除的用户
GlintUserDeleted
Viva Glint 用户删除活动。
禁用高级配置访问
UserAdvConfigDisabled
公司管理员用户在 Viva Glint 中禁用了高级配置访问。
已启用高级配置访问
UserAdvConfigEnabled
公司管理员用户在 Viva Glint 中启用了高级配置访问。
执行的数据应用作业
GlintDataAppsJobRun
Viva Glint 高级配置数据应用和上传活动。
导出的 Glint 360 反馈
GlintFeedbackProgramExport
Viva Glint 360 反馈计划数据导出活动。
导出的 Glint 通讯组列表
GlintUserGroupExport
通讯组列表导出活动。
导出的 Glint 人员
GlintUserExport
Glint 人员数据导出活动。
导出的 Glint Pulse 程序响应速率
GlintPulseProgramRespondentRateExport
Glint 脉冲程序响应速率导出活动。
导出的 Glint 问题库
GlintQuestionExport
Glint 问题库导出活动。
导出的 Glint 调查计划
GlintPulseProgramExport
Glint 调查计划内容导出活动。
导出的 Glint 用户角色
GlintRoleExport
Glint 用户角色数据导出活动。
导出的原始调查数据
RawSurveyReponseExport
原始调查响应数据导出活动。
导出的用户数据
UserDataExport
员工数据导出活动。
导入的 Glint 360 反馈
GlintFeedbackProgramImport
360 反馈计划数据导入活动。
导入的 Glint SFTP
GlintRubiconImport
员工数据 SFTP 导入活动。
导入的 Glint 用户数据
GlintUserImport
员工数据导入活动。
导入的 Glint 用户角色
GlintRoleImport
用户角色员工数据活动。
已删除公司管理员
RemoveCompanyAdmin
用户已从公司管理员角色中删除。
重新打开的调查
SurveyReopen
重新开放了一项已结束的维瓦·格林特调查。
设置数据 DSR 控件
DataDsrControlSet
“常规设置”更新活动中用于删除调查数据的用户数据控件。
设置放弃员工 ID
DiscardingEmployeeIdsSet
在“常规设置”更新活动中重复使用员工 ID 的用户数据控件。
未分配的用户角色
UnassignRole
将从角色中删除用户。
查看为
视图
管理员的“查看方式”其他用户活动。
Viva Goals活动
下表列出了Microsoft 365 条审核日志记录Viva Goals中的用户和管理员活动。 表包括显示在 “活动” 列中的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应作的名称。
搜索审核日志 介绍了如何从 Microsoft Purview 门户搜索审核日志。 若要访问审核日志,需要是全局管理员或具有审核读取权限。 可以使用 “活动” 筛选器搜索特定活动。 若要列出所有Viva Goals活动,请在“记录类型”筛选器中选择“VivaGoals”。 还可以使用日期范围框和 用户 列表进一步缩小搜索结果范围。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
已创建仪表板
已创建仪表板
用户在 Viva Goals 上创建了一个新仪表板
已删除仪表板
已删除仪表板
用户删除了Viva Goals上的仪表板。
仪表板已更新
仪表板已更新
用户在 Viva Goals 上更新了仪表板
导出的数据
导出的数据
用户导出的 OKR 列表或组织中Viva Goals的用户列表。
目标策略已更新
目标策略已更新
全局管理员修改了Viva Goals组织级别的策略或设置。 例如,全局管理员配置了谁可以在Viva Goals上创建组织。
OKR 或项目已创建
OKR 或项目已创建
用户在 Viva Goals 上创建了 OKR 或项目。
OKR 或项目已删除
OKR 或项目已删除
用户删除了 OKR 或项目。
OKR 或项目已更新
OKR 或项目已更新
修改了 OKR/Project,或者用户进行了检查或Viva Goals上的集成。
已创建组织
已创建组织
管理员或用户在 Viva Goals 上创建了一个新组织。
组织集成已更新
组织集成已更新
用户通常 (组织所有者或管理员) Viva Goals为组织配置第三方集成或更新了现有第三方集成。
已更新组织设置
已更新组织设置
用户通常 (组织所有者或管理员) 更新了Viva Goals上的组织特定设置。
已添加团队
已添加团队
Viva Goals上,组织内创建了一个新团队。
已删除团队
已删除团队
用户删除了组织内Viva Goals团队。
团队已更新
团队已更新
组织内Viva Goals团队已修改或更新。
已添加用户
已添加用户
Viva Goals 上,已将新用户添加到组织。
用户已停用
用户已停用
用户在组织中已停用。
用户已删除
用户已删除
Viva Goals上从组织中删除了用户。
用户已登录
用户已登录
用户登录到 Viva Goals。
Viva Engage活动
下表列出了 Microsoft 365 审核日志中记录Viva Engage中的用户和管理员活动。 若要从审核日志返回Viva Engage相关活动,请在“活动”列表中选择“显示所有活动的结果”。 使用日期范围框和“用户”列表,缩小搜索结果的范围。
注意
某些Viva Engage审核活动仅在审核 (高级版) 中可用。 这意味着在审核日志中记录这些活动之前,必须为用户分配适当的许可证。 有关详细信息,请参阅 审核 (Premium) 。 有关审核(高级版)许可要求,请参阅 Microsoft 365 中的审核解决方案。 在下表中,审核(高级版)活动用星号 (*) 突出显示。
友好名称
操作
说明
添加了企业通信器
AddUserRole
用户被分配为公司通信者。
更改了自定义使用策略
UsagePolicyUpdated
租户管理员更新自定义使用策略。
已更改数据保留策略
SoftDeleteSettingsUpdated
验证管理员将网络数据保留策略的设置更新为了硬删除或软删除。 仅验证管理员可以执行此操作。
已更改网络配置
NetworkConfigurationUpdated
网络或已验证的管理员更改Viva Engage网络配置。 此更改包括设置导出数据和启用聊天的间隔。
已更改网络配置文件设置
ProcessProfileFields
网络或验证管理员更改了网络用户网络的成员配置文件上显示的信息。
已更改私密内容模式
SupervisorAdminToggled
已验证管理员打开或关闭 专用内容模式 。 此模式使管理员能够在专用组中查看公告并可在个人用户(或用户组)之间查看私人消息。 只有验证管理员可执行此操作。
已更改安全配置
NetworkSecurityConfigurationUpdated
已验证管理员更新Viva Engage网络的安全配置。 此更新包括设置密码过期策略和 IP 地址限制。 仅验证管理员可以执行此操作。
对话已关闭
CloseConversation
Viva Engage线程已关闭,导致用户无法回复该线程。 此作可供管理员、公司通信者或用户代理人使用。
对话已打开
OpenConversation
已打开Viva Engage线程会话,允许用户回复该线程。 此作适用于管理员、公司通信或用户代理人。
创建段
SegmentCreated
管理员创建分段。
已创建文件
FileCreated
用户上传了文件。
已创建组
GroupCreation
用户创建组。
已创建消息
MessageCreation
用户创建消息。
删除段
SegmentDeleted
管理员删除分段。
已删除组
GroupDeletion
将从 Viva Engage 中删除组。
已删除消息
MessageDeleted
用户删除了消息。
下载分段管理报告
分段ReportDownloaded
下载管理员报表
已下载的文件
FileDownloaded
用户下载了文件。
导出的事件内容
EventContentExported
事件组织者将事件问题、回复、反应和投票计数导出到 CSV。 此作仅适用于活动组织者、共同组织者。 网络管理员可以在Engage管理员设置中为整个网络关闭此功能。
已启用事件审查
EventModerationEnabled
事件组织者为事件启用了审查。 此作仅适用于活动组织者。
已导出数据
DataExport
已验证管理员导出Viva Engage网络数据。 仅验证管理员可以执行此操作。
无法访问文件
FileAccessFailure
用户无法访问文件。
无法访问组
GroupAccessFailure
用户无法访问组。
无法访问线程
ThreadAccessFailure
用户无法访问消息线程。
生成分段管理报告
分段ReportGenerated
管理员用户触发报表生成。
对消息做出反应
MarkedMessageChanged
用户对消息做出反应。
删除特选主题*
RemoveCuratedTopic
用户删除特选主题。
删除了公司通信器
RemoveUserRole
用户将从“公司沟通者”角色中删除。
已共享文件
FileShared
用户与其他用户共享了文件。
已挂起网络用户
NetworkUserSuspended
网络管理员或已验证管理员暂停 (从Viva Engage停用) 用户。
已挂起用户
UserSuspension
挂起(停用)了用户帐户。
租户使用策略接受
UsagePolicyAcceptance
用户接受特定于组织的使用策略。
线程已静音
AdminThreadMuted
线程已由管理员或监视警报 (系统用户) 静音。 当线程被标记为特定主题 (由管理员) 设置并由系统自动静音时,将发生监视警报。
线程取消静音
AdminThreadUnmuted
管理员取消静音线程。
已更新文件说明
FileUpdateDescription
用户更改了文件说明。
已更新文件名
FileUpdateName
用户更改了文件名。
已更新邮件
MessageUpdated
用户更新了消息。
更新了网络管理员的角色分配
NetworkAdminUpdated
用户被提升或降级为网络管理员角色。
已更新已验证管理员的角色分配
NetworkVerifiedAdminUpdated
用户被提升或降级为“已验证管理员”角色。
已查看文件
FileVisited
用户查看了文件。
已查看的线程
ThreadViewed
用户查看消息线程。
Viva Pulse 活动
下表列出了 Microsoft 365 审核日志中记录的 Viva Pulse 中的用户和管理员活动。 表包括“ 活动” 列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应作的名称。
搜索审核日志 介绍了如何从 Microsoft Purview 门户搜索审核日志。 若要访问审核日志,需要是全局管理员或具有审核读取权限。 可以使用 “活动” 筛选器搜索特定活动。 若要列出所有 Viva Pulse 活动,请在“记录类型”筛选器中选择“VivaPulse”。 还可以使用日期范围框和 用户 列表进一步缩小搜索结果范围。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
友好名称
操作
说明
管理员删除了用户的数据
PulseDeleteUserData
管理员删除了用户的数据。
管理员更新的租户设置
PulseTenantSettingsUpdate
管理员更新了 Viva Pulse 的组织设置。
机密对话已启动
PulseConfidentialConversationStarted
作者开始了机密对话。
对话消息已删除
PulseConfidentialConversationMessageDeleted
用户删除了对话消息。
已添加对话响应
PulseConfidentialConversationResponded
作者或收件人在对话中做出了响应。
用户取消了 Pulse 调查
PulseCancel
用户取消了 Pulse 调查。
用户创建了 Pulse 草稿
PulseCreateDraft
用户创建了 Pulse 草稿。
用户创建了 Pulse 调查
PulseCreate
创建新的 Viva Pulse 反馈请求。
用户删除了 Pulse 草稿
PulseDeleteDraft
用户删除了 Pulse 草稿。
用户删除了库的问题
PulseQuestionDeleted
用户删除了 pulse 问题库的问题。
用户延长了其脉冲调查截止时间
PulseExtendDeadline
用户延长了现有 Viva Pulse 反馈请求的最后期限。
用户邀请其他用户加入 Pulse 调查
PulseInvite
用户邀请其他用户加入现有 Viva Pulse 反馈请求。
用户请求脉冲数据导出
PulseDataExport
管理员或 Author 请求脉冲导出作。
用户共享了脉冲报告
PulseShareResults
用户与其他用户共享 Viva Pulse 反馈结果。
用户提交了对脉冲调查的响应
PulseSubmit
管理员或用户为 Viva Pulse 反馈请求提供了反馈。
Windows 365客户密码箱活动
下表列出了Windows 365客户密码箱中Microsoft 365 条审核日志记录的用户和管理员活动。 若要从审核日志中返回Windows 365客户密码箱相关活动,请在“记录类型”下选择“Windows365CustomerLockbox”。 使用日期范围框和“用户”列表,缩小搜索结果的范围。
友好名称
操作
说明
回填 CMD 代理
AddDevicesToBackfill作
在云电脑上回填 CMD 代理。
批量重新安装 CMD 代理
TriggerClientAgentCheckBulkAction作
按需批量重新安装 CMD 代理。
检查 PowerShell 执行策略
检查 PowerShell 执行策略
检查 PowerShell 执行策略。
创建 LogCollection 请求
创建 LogCollection 请求
创建对云电脑的日志收集请求。
(计划程序) 创建新的工作项
(计划程序) 创建新的工作项
创建新的工作项,例如预配、取消预配、重新预配等。
在 ActionModeratorService 中创建远程作作
在 ActionModeratorService 中创建远程作作
按 tenantID、workspaceID、actionType、actionParameters 创建远程作。
创建 VmExtension 请求
创建 VmExtention 请求
创建 VM 扩展请求以执行 VM 扩展,以在客户设备上运行自定义脚本。
执行 AppHealthPlugin
执行 AppHealthPlugin
执行 AppHealthPlugin。
安装 RD 代理
安装 RD 代理
在用户的设备上安装 RD 代理。
VM 上的 OCE 运行命令
VM 上的 OCE 运行命令
按 tenantID、deviceID 列表和脚本运行命令。
远程作后作
远程作后作
发布远程作,以及通过 GetActions作轮询结果。
重新安装 CMD 代理
AddDevicesToReinstall作
按需重新安装 CMD 代理。
运行混合 AADJ 扩展
运行混合 AADJ 扩展
在用户的设备上运行混合 AADJ 扩展。
触发 CMD 代理 Canary 检查。
触发 CMD 代理 Canary 检查。
在特定设备上触发 CMD 代理 Canary 检查。
触发设备修正
触发设备修正
触发设备修正。
触发泛型作
触发泛型作
触发用户的设备作。
通过 SaaF 触发泛型作
通过 SaaF 触发泛型作
触发设备作 (用户重定向、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) 。
使用选项触发泛型作
使用选项触发泛型作
使用选项参数触发设备作,比触发器泛型作的功能更强大。
触发器业务流程协调程序
触发器业务流程协调程序
为用户触发业务流程协调程序。
将文件夹上传到 Blob
将文件夹上传到 Blob
压缩客户设备的文件夹并将其上传到 Blob。