Überwachungsprotokollaktivitäten
In den Tabellen in diesem Artikel werden die Aktivitäten beschrieben, die in Microsoft 365 überwacht werden. Sie können nach diesen Aktivitäten suchen, indem Sie das Überwachungsprotokoll im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal durchsuchen.
In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird (oder die in PowerShell verfügbar sind) und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Beschreibungen der detaillierten Informationen finden Sie unter Detaillierte Eigenschaften des Überwachungsprotokolls.
Tipp
Wählen Sie einen der Links in der Liste In diesem Artikel oben in diesem Artikel aus, um direkt zu einer bestimmten Produkttabelle zu gelangen.
Anwendungsverwaltungsaktivitäten
In der folgenden Tabelle sind Anwendungsadministratoraktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator eine Anwendung hinzufügt oder ändert, die in Microsoft Entra ID registriert ist. Jede Anwendung, die auf Microsoft Entra ID für die Authentifizierung basiert, muss im Verzeichnis registriert werden.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( .
). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" "
) zu setzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Delegierungseintrag hinzugefügt | Delegierungseintrag hinzufügen. | Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID erstellt/erteilt. |
Dienstprinzipal hinzugefügt | Dienstprinzipal hinzufügen. | Eine Anwendung wurde in Microsoft Entra ID registriert. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt. |
Anmeldeinformationen für einen Dienstprinzipal hinzugefügt | Dienstprinzipal-Anmeldeinformationen hinzufügen. | Anmeldeinformationen wurden einem Dienstprinzipal in Microsoft Entra ID hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
Delegierungseintrag entfernt | Delegierungseintrag entfernen. | Eine Authentifizierungsberechtigung wurde aus einer Anwendung in Microsoft Entra ID entfernt. |
Dienstprinzipal aus dem Verzeichnis entfernt | Dienstprinzipal entfernen. | Eine Anwendung wurde aus Microsoft Entra ID gelöscht/die Registrierung aufgehoben. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt. |
Anmeldeinformationen aus einem Dienstprinzipal entfernt | Dienstprinzipal-Anmeldeinformationen entfernen. | Anmeldeinformationen wurden in Microsoft Entra ID aus einem Dienstprinzipal entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
Delegierungseintrag festgelegt | Delegierungseintrag festlegen. | Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID aktualisiert. |
Briefing-E-Mail-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Briefing-E-Mail aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Briefing-E-Mail finden Sie unter:
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Aktualisierte Datenschutzeinstellungen der Organisation | UpdatedOrganizationBriefingSettings | Administrator aktualisiert die Datenschutzeinstellungen der Organisation für Briefing-E-Mail. |
Aktualisierte Datenschutzeinstellungen der Benutzer | UpdatedUserBriefingSettings | Administrator aktualisiert die Datenschutzeinstellungen der Benutzer für Briefing-E-Mail. |
Kommunikationscomplianceaktivitäten
In der folgenden Tabelle sind die Kommunikationscomplianceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Kommunikationscompliance.
Hinweis
Diese Aktivitäten sind verfügbar, wenn Sie das PowerShell-Cmdlet Search-UnifiedAuditLog verwenden. Diese Aktivitäten sind in der Dropdownliste Aktivitäten nicht verfügbar.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Richtlinienupdate | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Ein Kommunikationscomplianceadministrator hat ein Richtlinienupdate ausgeführt. |
Richtlinienübereinstimmung | SupervisionRuleMatch | Ein Benutzer hat eine Nachricht gesendet, die der Bedingung einer Richtlinie entspricht. |
Auf Nachricht(en) angewendeter Tag | SupervisoryReviewTag | Tags werden auf Nachrichten angewendet, oder Nachrichten werden aufgelöst. |
Compliance-Manager-Aktivitäten
In der folgenden Tabelle sind die Vorgänge und Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator die Einstellungen im Compliance-Manager verwaltet. Weitere Informationen finden Sie unter Informationen zum Compliance-Manager.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Rollenänderung | ComplianceManagerRolesChange | Ein Administrator hat die Rollen für Benutzer geändert. |
Änderung der Mandantenautomatisierungsebene | ComplianceManagerAutomationLevelChange | Ein Administrator hat die Automatisierungsebene für den Mandanten für alle Aktionen geändert. |
Testen der Änderung der Quellautomatisierung | ComplianceManagerAutomationChange | Ein Administrator hat die Einstellungen für die Automatisierung der Testquellen geändert. |
Inhaltsexplorer-Aktivitäten
Die folgende Tabelle enthält die Aktivitäten im Inhaltsexplorer, die im Überwachungsprotokoll protokolliert werden. Inhalts-Explorer, auf den über das Datenklassifizierungstool im Microsoft Purview-Portal und im Complianceportal zugegriffen wird. Weitere Informationen finden Sie unter Verwenden des Daten Inhaltsexplorers zur Datenklassifizierung.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Element, auf das zugegriffen wird | LabelContentExplorerAccessedItem | Ein Administrator (oder ein Benutzer, der Mitglied der Rollengruppe "Inhaltsexplorer-Content Viewer" ist) verwendet den Inhaltsexplorer, um eine E-Mail-Nachricht oder ein SharePoint/OneDrive-Dokument anzuzeigen. |
Copilot-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten aus Microsoft 365 Copilot und Microsoft Copilot aufgeführt, die im Überwachungsprotokoll protokolliert werden. Auf Copilot kann über Microsoft-Dienste zugegriffen werden. Zu den Aktivitäten gehört, wie und wann Benutzer mit Copilot interagieren. Dies umfasst den Microsoft-Dienst, in dem die Aktivität stattgefunden hat, und Verweise auf die Dateien, auf die während der Interaktion zugegriffen wurde. Weitere Informationen zu Copilot-Interaktionsereignissen und ein Schemabeispiel finden Sie unter Übersicht über Copilot-Interaktionsereignisse.
Informationen zum Zugreifen auf den Text über die Eingabeaufforderung des Benutzers während der Interaktion finden Sie unter Inhaltssuche oder Anzeigen des KI-Interaktionsereignisses im Aktivitäts-Explorer in Microsoft Purview KI-Hub.
Weitere Informationen zur Überwachung und anderen Optionen für die Complianceverwaltung für Copilot finden Sie unter Microsoft Purview unterstützt die Complianceverwaltung für Copilot.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Erstellen eines neuen Copilot-Plug-Ins | CreateCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt. |
Ein neues Copilot-Promptbook erstellt | CreateCopilotPromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt. |
Ein Copilot-Plug-In wurde gelöscht. | DeleteCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht. |
Ein Copilot-Promptbook wurde gelöscht. | DeleteCopilotPromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht. |
Deaktivieren eines Copilot-Plug-Ins | DisableCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert. |
Deaktivieren eines Copilot-Eingabeaufforderungsbuchs | DisableCopilotPromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert. |
Aktivieren eines Copilot-Plug-Ins | EnableCopilotPlugin | Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert. |
Aktivieren eines Copilot-Eingabeaufforderungsbuchs | EnableCopilotPromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert. |
Interagiert mit Copilot | CopilotInteraction | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Aufforderungen in Copilot eingegeben. |
Einstellung eines Copilot-Plug-Ins aktualisiert | UpdateCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert. |
Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert | UpdateCopilotPromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert. |
Eine Copilot-Einstellung wurde aktualisiert. | UpdateCopilotSettings | Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert. |
Verzeichnisverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Verzeichnis- und domänenbezogene Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator seine organization im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( .
). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" "
) zu setzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Domäne zu Unternehmen hinzugefügt | Domäne zu Unternehmen hinzufügen. | Es wurde eine Domäne zu Ihrer Organisation hinzugefügt. |
Partner zum Verzeichnis hinzugefügt | Partner zu Unternehmen hinzufügen. | Es wurde ein Partner (delegierter Administrator) zu Ihrer Organisation hinzugefügt. |
Domäne aus Unternehmen entfernt | Domäne aus Unternehmen entfernen. | Es wurde eine Domäne aus Ihrer Organisation entfernt. |
Partner aus dem Verzeichnis entfernt | Partner aus Unternehmen entfernen. | Es wurde ein Partner (delegierter Administrator) aus Ihrer Organisation entfernt. |
Unternehmensinformationen festgelegen | Unternehmensinformationen festgelegen. | Die Unternehmensinformationen für Ihre Organisation wurden aktualisiert. Enthält E-Mail-Adressen für abonnementbezogene E-Mails, die von Microsoft 365 gesendet werden, und technische Benachrichtigungen zu Microsoft 365-Diensten. |
Domänenauthentifizierung festgelegt | Domänenauthentifizierung festlegen. | Die Einstellung der Domänenauthentifizierung für Ihre Organisation wurde geändert. |
Verbundeinstellungen für eine Domäne aktualisiert | Verbundeinstellungen für Domäne festlegen. | Die Verbundeinstellungen (externe Freigabe) für Ihre Organisation wurden geändert. |
Kennwortrichtlinie festlegen | Kennwortrichtlinie festlegen. | Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Organisation wurden geändert. |
Azure AD Sync aktiviert | DirSyncEnabled-Flag festlegen. | Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierungsdienste aktiviert, wurde festgelegt. |
Domäne aktualisiert | Domäne aktualisieren. | Die Einstellungen einer Domäne in Ihrer Organisation wurden aktualisiert. |
Domäne überprüft | Domäne überprüfen. | Es wurde überprüft, ob Ihre Organisation der Besitzer der Domäne ist. |
Domäne mit E-Mail-Prüfung überprüft | Domäne mit E-Mail-Prüfung überprüfen. | Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist. |
Löschungsprüfungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten aufgeführt, die ein Löschungsprüfer ausgeführt hat , wenn ein Element das Ende seines konfigurierten Aufbewahrungszeitraums erreicht hat oder ein Element automatisch in die nächste Löschungsphase verschoben oder aufgrund der automatischen Genehmigung endgültig gelöscht wurde.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Genehmigte Entsorgung | ApproveDisposal | Zur manuellen Genehmigung: Ein Dispositionsprüfer hat die Löschung des Elements genehmigt, um es in die nächste Löschungsphase zu verschieben. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element durch die Löschungsgenehmigung als für die endgültige Löschung berechtigt markiert. Für die automatische Genehmigung: Innerhalb des konfigurierten Zeitraums für die automatische Genehmigung wurde keine manuelle Aktion ausgeführt, sodass das Element automatisch in die nächste Löschungsphase verschoben wurde. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element automatisch zum endgültigen Löschen berechtigt. |
Verlängerter Aufbewahrungszeitraum | ExtendRetention | Ein Löschungsprüfer hat den Aufbewahrungszeitraum des Elements verlängert. |
Neu bezeichnetes Element | RelabelItem | Ein Löschungsprüfer hat die Aufbewahrungsbezeichnung neu bezeichnet. |
Prüfer hinzugefügt | AddReviewer | Ein Löschungsprüfer hat einen oder mehrere andere Benutzer zur aktuellen Löschungsprüfungsphase hinzugefügt. |
eDiscovery-Aktivitäten
Inhaltssuche und eDiscovery-bezogene Aktivitäten (für Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium)), die im Microsoft Purview-Portal ausgeführt werden, Microsoft Purview-Complianceportal, oder durch Ausführen der entsprechenden PowerShell-Cmdlets werden im Überwachungsprotokoll protokolliert. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben für die Inhaltssuche und eDiscovery (Standard) in den Portalen ausführen:
- Erstellen und Verwalten von eDiscovery -Fällen (Standard) und eDiscovery (Premium).
- Erstellen, Starten und Bearbeiten von Inhaltssuchen.
- Ausführen von Suchaktionen, z. B. Vorschau, Exportieren und Löschen von Suchergebnissen.
- Verwalten von Verwahrern und Überprüfungssätzen in eDiscovery (Premium).
- Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.
- Verwalten der Rolle "eDiscovery-Administrator".
Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Hinweis
Es dauert bis zu 30 Minuten, bis Aktivitäten, die sich aus den aktivitäten ergeben, die unter eDiscovery-Aktivitäten und eDiscovery -Aktivitäten (Premium) in der Dropdownliste Aktivitäten aufgeführt sind, in den Suchergebnissen angezeigt werden. Im Gegensatz dazu dauert es bis zu 24 Stunden, bis die entsprechenden Ereignisse aus eDiscovery-Cmdlet-Aktivitäten in der Liste der Suchergebnisse angezeigt werden.
Inhaltssuche und eDiscovery-Aktivitäten (Standard)
In der folgenden Tabelle werden die Aktivitäten inhaltssuche und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie in dieser Liste nach Aktivitäten suchen.
Hinweis
Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten bieten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
Anzeigename | Vorgang | Entsprechendes Cmdlet | Beschreibung |
---|---|---|---|
Mitglied zum eDiscovery-Fall hinzugefügt |
CaseMemberAdded |
Add-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden. |
Inhaltssuche geändert |
SearchUpdated |
Set-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen. |
Geänderte eDiscovery-Administratormitgliedschaft |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang CaseAdminAdded protokolliert. |
eDiscovery-Fall geändert |
CaseUpdated |
Set-ComplianceCase |
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls. |
Geänderte eDiscovery-Fallmitgliedschaft |
CaseMemberUpdated |
Update-ComplianceCaseMember |
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang CaseMemberAdded oder CaseMemberRemoved protokolliert. |
Filter für Suchberechtigungen geändert |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde geändert. |
Geänderte Suchabfrage für den eDiscovery-Fallspeicher |
HoldUpdated |
Set-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich. |
Vorschauelement der Inhaltssuche heruntergeladen |
PreviewItemDownloaded |
Nicht zutreffend |
Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf seinen lokalen Computer heruntergeladen (indem er den Link Originalelement herunterladen auswählt). |
Vorschauelement der Inhaltssuche aufgelistet |
PreviewItemListed |
Nicht zutreffend |
Ein Benutzer hat Suchergebnisse anzeigen ausgewählt, um die Vorschauseite für Suchergebnisse anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden. |
Suche nach erstellten Inhalten |
SucheCreated |
New-ComplianceSearch |
Eine neue Inhaltssuche wurde erstellt. |
eDiscovery-Administrator erstellt |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Ein Benutzer wurde im organization als eDiscovery-Administrator hinzugefügt. |
eDiscovery-Fall erstellt |
CaseAdded |
New-ComplianceCase |
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden. |
Suchberechtigungsfilter erstellt |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde erstellt. |
Suchabfrage für eDiscovery-Fallspeicher erstellt |
HoldCreated |
New-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt. |
Suche nach gelöschten Inhalten |
SearchRemoved |
Remove-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde gelöscht. |
eDiscovery-Administrator gelöscht |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht. |
eDiscovery-Fall gelöscht |
CaseRemoved |
Remove-ComplianceCase |
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann. |
Filter für Suchberechtigungen gelöscht |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde gelöscht. |
Gelöschte Suchabfrage für eDiscovery-Fallspeicher |
HoldRemoved |
Remove-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben. |
Heruntergeladener Export der Inhaltssuche |
SearchExportDownloaded |
Nicht zutreffend |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf seinen lokalen Computer heruntergeladen. Die Aktivität "Export der Inhaltssuche wurde gestartet" muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können. |
Ergebnisse der Inhaltssuche in der Vorschau |
SearchPreviewed |
Nicht zutreffend |
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt. |
Gelöschte Ergebnisse der Inhaltssuche |
SearchResultsPurged |
New-ComplianceSearchAction |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführt. |
Analyse der Inhaltssuche entfernt |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde. |
Export der Inhaltssuche entfernt |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde. |
Mitglied aus eDiscovery-Fall entfernt |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt. |
Vorschauergebnisse der Inhaltssuche entfernt |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht. |
Bei der Inhaltssuche ausgeführte Bereinigungsaktion entfernt |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht. |
Suchbericht entfernt |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht. |
Analyse der Inhaltssuche gestartet |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet. |
Inhaltssuche gestartet |
SucheStarted |
Start-ComplianceSearch |
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über das Complianceportal erstellen oder ändern, wird die Suche automatisch gestartet. |
Export der Inhaltssuche gestartet |
SearchExported |
New-ComplianceSearchAction |
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert. |
Exportbericht gestartet |
SearchReport |
New-ComplianceSearchAction |
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert. |
Inhaltssuche beendet |
SearchStopped |
Stop-ComplianceSearch |
Ein Benutzer hat eine Inhaltssuche beendet. |
(kein) | CaseViewed | Get-ComplianceCase | Ein Benutzer hat einen eDiscovery (Standard)-Fall im Complianceportal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls. |
(kein) | SearchViewed | Get-ComplianceSearch | Ein Benutzer hat eine Inhaltssuche im Complianceportal angezeigt, indem er in einem eDiscovery (Standard)-Fall auf der Registerkarte Suchen auf die Suche zugreift oder auf der Seite inhaltssuche darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der angezeigten Suche. |
(kein) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Ein Benutzer hat einen Export der Inhaltssuche im Complianceportal angezeigt, indem er auf der Seite Inhaltssuche auf der Registerkarte Exporte auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery (Standard)-Fall zugeordnet ist. |
(kein) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Complianceportal angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. |
eDiscovery (Premium)-Aktivitäten
In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery -Aktivitäten (Premium) beschrieben. Mithilfe dieser Aktivitäten können Sie den Fortschritt der Aktivität in einem eDiscovery (Premium)-Fall nachverfolgen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Daten zu einem anderen Prüfdateisatz hinzugefügt | AddWorkingSetQueryToWorkingSet | Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt. |
Daten zu einem Prüfdateisatz hinzugefügt | AddQueryToWorkingSet | Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery (Premium)-Fall zugeordnet ist, einem Überprüfungssatz hinzugefügt. |
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt | AddNonOffice365DataToWorkingSet | Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt. |
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt | AddRemediatedData | Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind. |
Daten im Prüfdateisatz analysiert | RunAlgo | Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt. |
Dokument im Prüfdateisatz kommentiert | AnnotateDocument | Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments. |
Ladesätze verglichen | LoadComparisonJob | Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden. |
Dokumente in PDF-Dateien konvertiert | BurnJob | Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert. |
Prüfdateisatz erstellt | CreateWorkingSet | Der Benutzer hat einen Prüfdateisatz erstellt. |
Prüfdateisatzsuche erstellt | CreateWorkingSetSearch | Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen. |
Tag erstellt | CreateTag | Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet. |
Prüfdateisatzsuche gelöscht | DeleteWorkingSetSearch | Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht. |
Tag gelöscht | DeleteTag | Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht. |
Heruntergeladenes Dokument | DownloadDocument | Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen. |
Tag bearbeitet | UpdateTag | Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert. |
Dokumente aus einem Prüfdateisatz exportiert | ExportJob | Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert. |
Falleinstellungen geändert | UpdateCaseSettings | Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden. |
Prüfdateisatzsuche geändert | UpdateWorkingSetSearch | Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert. |
Vorschau einer Prüfdateisatzsuche angezeigt | PreviewWorkingSetSearch | Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt. |
Fehler in Dokumenten behoben | ErrorRemediationJob | Der Benutzer behebt Dateien mit Indizierungsfehlern. |
Dokument getaggt | TagFiles | Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen. |
Ergebnisse einer Abfrage getaggt | TagJob | Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen. |
Dokument im Prüfdateisatz angezeigt | ViewDocument | Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt. |
eDiscovery-Cmdlet-Aktivitäten
In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität über das Complianceportal oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die ausführlichen Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.
Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
Tipp
Die Cmdlets in der Spalte Operation in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Eine Beschreibung der verfügbaren Parameter für die einzelnen Cmdlets finden Sie im Hilfethema zu Cmdlets. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.
Anzeigename | Vorgang (Cmdlet) | Beschreibung |
---|---|---|
Erstellter Halteraum im eDiscovery-Fall |
New-CaseHoldPolicy |
Für einen eDiscovery-Fall wurde ein Halteraum erstellt. Ein Halteraum kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert. |
Gelöschter Halteraum aus eDiscovery-Fall |
Remove-CaseHoldPolicy |
Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. Das Löschen des Halteraums führt auch dazu, dass die dem Halteraum zugeordneten Aufbewahrungsregeln gelöscht werden (siehe Remove-CaseHoldRule). |
Geänderter Halteraum im eDiscovery-Fall |
Set-CaseHoldPolicy |
Ein Halteraum, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Halteraums. |
Suchabfrage für eDiscovery-Fallspeicher erstellt |
New-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt. |
Gelöschte Suchabfrage für eDiscovery-Fallspeicher |
Remove-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben. |
Geänderte Suchabfrage für den eDiscovery-Fallspeicher |
Set-CaseHoldRule |
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich. |
eDiscovery-Fall erstellt |
New-ComplianceCase |
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden. |
eDiscovery-Fall gelöscht |
Remove-ComplianceCase |
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann. |
eDiscovery-Fall geändert |
Set-ComplianceCase |
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls. |
Mitglied zum eDiscovery-Fall hinzugefügt |
Add-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden. |
Mitglied aus eDiscovery-Fall entfernt |
Remove-ComplianceCaseMember |
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt. |
Geänderte eDiscovery-Fallmitgliedschaft |
Update-ComplianceCaseMember |
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang Add-ComplianceCaseMember oder Remove-ComplianceCaseMember protokolliert. |
Suche nach erstellten Inhalten |
New-ComplianceSearch |
Eine neue Inhaltssuche wurde erstellt. |
Suche nach gelöschten Inhalten |
Remove-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde gelöscht. |
Inhaltssuche geändert |
Set-ComplianceSearch |
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen. |
Inhaltssuche gestartet |
Start-ComplianceSearch |
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über die GRAFISCHE Benutzeroberfläche des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mit dem Cmdlet New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten. |
Inhaltssuche beendet |
Stop-ComplianceSearch |
Eine ausgeführte Inhaltssuche wurde beendet. |
Suchaktion für erstellte Inhalte |
New-ComplianceSearchAction |
Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen. |
Gelöschte Inhaltssuchaktion |
Remove-ComplianceSearchAction |
Eine Inhaltssucheaktion wurde gelöscht. |
Suchberechtigungsfilter erstellt |
New-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde erstellt. |
Filter für Suchberechtigungen gelöscht |
Remove-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde gelöscht. |
Filter für Suchberechtigungen geändert |
Set-ComplianceSecurityFilter |
Ein Filter für Suchberechtigungen wurde geändert. |
eDiscovery-Administrator erstellt |
Add-eDiscoveryCaseAdmin |
In Ihrem organization wurde ein Benutzer als eDiscovery-Administrator hinzugefügt. |
eDiscovery-Administrator gelöscht |
Remove-eDiscoveryCaseAdmin |
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht. |
Geänderte eDiscovery-Administratormitgliedschaft |
Update-eDiscoveryCaseAdmin |
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang Add-eDiscoveryCaseAdmin oder Remove-eDiscoveryCaseAdmin protokolliert. |
(kein) |
Get-ComplianceCase |
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery -Fällen (Standard) oder eDiscovery (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität. |
(kein) | Get-ComplianceSearch | Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen im Zusammenhang mit einem eDiscovery (Standard)-Fall angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche oder eine bestimmte Suche anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suche. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität. |
(kein) | Get-ComplianceSearchAction | Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen im Zusammenhang mit einem eDiscovery (Standard)-Fall angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Konformitätssuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery (Standard)-Fall zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suchaktion. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität. |
Detaillierte Eigenschaften für eDiscovery-Aktivitäten
In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht jede detaillierte Eigenschaft, die in der folgenden Tabelle aufgeführt ist.
Tipp
Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können die Power Query-Funktion in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Eigenschaft | Beschreibung |
---|---|
Fall |
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde. |
ClientApplication |
eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dies gibt an, dass die Aktivität mithilfe der GUI des Complianceportals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde. |
ClientIP |
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
ClientRequestId |
Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
CmdletVersion |
Die Buildnummer für die Version des Complianceportals, das in Ihrem organization ausgeführt wird. |
CreationTime |
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu dem die eDiscovery-Aktivität abgeschlossen wurde. |
EffectiveOrganization |
Der Name des Microsoft 365-organization. |
ExchangeLocations |
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
Ausschlüsse |
Postfach- oder Websitespeicherorte, die in einem eDiscovery-Fall von einer Inhaltssuche oder einem Haltefeld ausgeschlossen sind. |
ExtendedProperties |
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder halte in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden. |
Id |
Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig. |
NonPIIParameters |
Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft angegeben ist. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit denen, die in der Parameters-Eigenschaft aufgeführt sind. |
ObjectId |
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery (Standard)-Fall), auf das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, zugegriffen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte Item in den Suchergebnissen des Überwachungsprotokolls identifiziert. |
ObjectType |
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuchaktion (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche. |
Vorgang |
Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht. |
OrganizationId |
Die GUID für Ihre Microsoft 365-organization. |
Parameter |
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden. |
PublicFolderLocations |
Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
Abfrage |
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Halteraum. |
RecordType |
Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Aktivitäten aufgeführt ist. |
ResultStatus |
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht. |
SecurityComplianceCenterEventType |
Gibt an, dass es sich bei der Aktivität um ein Complianceportalereignis handelt. Alle eDiscovery-Aktivitäten haben für diese Eigenschaft den Wert 0 . |
SharepointLocations |
Die SharePoint Online-Websites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltefeld platziert werden. |
StartTime |
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde. |
UserId |
Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten. |
UserKey |
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch. |
UserServicePlan |
Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
UserType |
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an. 0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal. |
Version |
Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft) an, die protokolliert wird. |
Arbeitslast |
Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter. |
Portalaktivitäten für verschlüsselte Nachrichten
Zugriffsprotokolle sind für verschlüsselte Nachrichten über das Portal für verschlüsselte Nachrichten verfügbar, mit denen Ihre Organisation bestimmen kann, wann Nachrichten gelesen und von ihren externen Empfängern weitergeleitet werden. Weitere Informationen zum Aktivieren und Verwenden von Aktivitätsprotokollen im Portal für verschlüsselte Nachrichten finden Sie unter Aktivitätsprotokoll des Portals für verschlüsselte Nachrichten.
Jeder Überwachungseintrag für eine nachverfolgte Nachricht enthält die folgenden Felder:
- MessageID: Enthält die ID der Nachricht, die nachverfolgt wird. Der Schlüsselbezeichner, der verwendet wird, um einer Nachricht durch das System zu folgen.
- Empfänger: Liste aller Empfänger-E-Mail-Adressen.
- Absender: Die ursprüngliche E-Mail-Adresse.
- AuthenticationMethod: Beschreibt die Authentifizierungsmethode für den Zugriff auf die Nachricht, z. B. OTP, Yahoo, Gmail oder Microsoft.
- AuthenticationStatus: Enthält einen Wert, der angibt, dass die Authentifizierung erfolgreich war oder fehlgeschlagen ist.
- OperationStatus: Gibt an, ob der angegebene Vorgang erfolgreich war oder fehlgeschlagen ist.
- AttachmentName: Name der Anlage.
- OperationProperties: Eine Liste optionaler Eigenschaften. Beispielsweise die Anzahl der gesendeten OTP-Kennungen oder der E-Mail-Betreff.
Exchange-Administratoraktivitäten
Mit der Exchange-Administratorüberwachungsprotokollierung, die in Microsoft 365 standardmäßig aktiviert ist, wird ein Ereignis im Überwachungsprotokoll erfasst, wenn ein Administrator (oder ein Benutzer, dem Administratorrechte zugewiesen wurden) eine Änderung in Ihrer Exchange Online-Organisation vornimmt. Änderungen, die im Exchange Admin Center oder durch Ausführen eines Cmdlets in der Exchange Online PowerShell vorgenommen werden, werden im Exchange-Administratorüberwachungsprotokoll erfasst. Cmdlets, die mit den Verben Get-, Search- oder Test- beginnen, werden nicht im Überwachungsprotokoll protokolliert. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung.
Wichtig
Einige Exchange Online-Cmdlets, die nicht im Exchange-administratorüberwachungsprotokoll (oder im Überwachungsprotokoll) protokolliert sind. Viele dieser Cmdlets beziehen sich auf die Verwaltung des Exchange Online-Diensts und werden vom Personal des Microsoft-Rechenzentrums oder Dienstkonten ausgeführt. Diese Cmdlets werden nicht protokolliert, weil die große Anzahl von Überwachungsereignissen zu großem „Rauschen“ führen würde. Wenn ein nicht überwachtes Exchange Online Cmdlet vorhanden ist, übermitteln Sie dem Microsoft-Support bitte eine Entwurfsänderungsanforderung (Design Change Request, DCR).
Nachfolgend finden Sie einige Tipps für die Suche nach Exchange-Administratoraktivitäten beim Durchsuchen des Überwachungsprotokolls:
- Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.
- Um Ereignisse aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen, wählen Sie die Spalte Aktivität aus, um die Cmdlet-Namen in alphabetischer Reihenfolge zu sortieren.
- Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, können Sie die Suchergebnisse exportieren, indem Sie die Option Alle Ergebnisse herunterladen auswählen. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
- Sie können auch den Befehl
Search-UnifiedAuditLog -RecordType ExchangeAdmin
in der Exchange Online PowerShell verwenden, um nur Überwachungsdatensätze aus dem Exchange-Administratorüberwachungsprotokoll zurückzugeben. Nach der Ausführung eines Exchange-Cmdlet kann es bis zu 30 Minuten dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen zurückgegeben wird. Weitere Informationen finden Sie unter Search-UnifiedAuditLog. Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.
Exchange-Postfachaktivitäten
In der folgenden Tabelle sind die Aktivitäten aufgelistet, die von der Postfachüberwachungsprotokollierung erfasst werden können. Postfachaktivitäten, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator ausgeführt werden, werden bis zu 180 Tage lang automatisch im Überwachungsprotokoll protokolliert. Ein Administrator kann die Postfachüberwachungsprotokollierung für alle Benutzer in Ihrer Organisation deaktivieren. In diesem Fall werden für alle Benutzer Postfachaktivitäten nicht protokolliert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.
Wichtig
Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Sie können auch mithilfe des Cmdlets Search-MailboxAuditLog in der Exchange Online PowerShell nach Postfachaktivitäten suchen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Zugegriffene Postfachelemente | MailItemsAccessed | Nachrichten wurden gelesen oder es wurde im Postfach darauf zugegriffen. Überwachungsdatensätze für diese Aktivität werden auf eine von zwei Arten ausgelöst: Wenn ein E-Mail-Client (wie z.Bb. Outlook) einen Bindungsvorgang für Nachrichten ausführt oder wenn E-Mail-Protokolle (wie Exchange ActiveSync oder IMAP) Elemente in einem E-Mail-Ordner synchronisieren. Die Analyse von Überwachungsdatensätzen für diese Aktivität ist hilfreich bei der Untersuchung eines kompromittierten E-Mail-Kontos. |
Postfachberechtigungen für Stellvertretung hinzugefügt | Add-MailboxPermission | Ein Administrator hat einem Benutzer die Postfachberechtigung „FullAccess“ für das Postfach einer anderen Person zugewiesen (auch „Stellvertretung“ genannt). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten. Der Überwachungsdatensatz für diese Aktivität wird auch generiert, wenn ein Systemkonto im Microsoft 365-Dienst regelmäßig Wartungsaufgaben im Auftrag Ihrer Organisation ausführt. Eine gängige Aufgabe, die von einem Systemkonto ausgeführt wird, ist das Aktualisieren der Berechtigungen für Systempostfächer. Weitere Informationen finden Sie unter Systemkonten in Postfachüberwachungsdatensätzen von Exchange. |
Benutzer mit Stellvertretungszugriff auf den Kalenderordner hinzugefügt oder entfernt | UpdateCalendarDelegation | Ein Benutzer wurde als Stellvertretung für den Kalender eines anderen Benutzers hinzugefügt oder entfernt. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. |
Berechtigungen für Ordner hinzugefügt | AddFolderPermissions | Eine Ordnerberechtigung wurde hinzugefügt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. |
Nachrichten in anderen Ordner kopiert | Copy | Eine Nachricht wurde in einen anderen Ordner kopiert. |
Erstelltes Postfachelement | Erstellen | Ein Element wird im „Kalender“, in den „Kontakten“, den „Notizen“ oder im „Aufgabenordner“ des Postfachs erstellt. Ein Beispiel: Es wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. |
Neue Posteingangsregel in der Outlook Web App erstellt | New-InboxRule | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel erstellt. |
Nachrichten aus Ordner „Gelöschte Elemente“ gelöscht | SoftDelete | Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner „Wiederherstellbare Elemente“ verschoben, wenn ein Benutzer diese auswählt undUMSCHALT+ENTF drückt. |
Nachricht als Datensatz klassifiziert | ApplyRecordLabel | Eine Nachricht wurde als Datensatz klassifiziert. Tritt auf, wenn eine Aufbewahrungsbezeichnung, die Inhalte als Datensatz klassifiziert, manuell oder automatisch auf eine Nachricht angewendet wird. |
Nachrichten in anderen Ordner verschoben | Move | Eine Nachricht wurde in einen anderen Ordner verschoben. |
Nachrichten in Ordner "Gelöschte Elemente" verschoben | MoveToDeletedItems | Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. |
Ordnerberechtigung geändert | UpdateFolderPermissions | Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Postfachordner und die Nachrichten in diesen Ordnern zugreifen können. |
Posteingangsregel in Outlook Web App geändert | Set-InboxRule | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel geändert. |
Nachrichten aus Postfach gelöscht | HardDelete | Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt). |
Postfachberechtigungen für Stellvertretung entfernt | Remove-MailboxPermission | Ein Administrator hat die Berechtigung „FullAccess“ (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung „FullAccess“ entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen. |
Ordnerberechtigung entfernt | RemoveFolderPermissions | Eine Ordnerberechtigung wurde entfernt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. |
Gesendete Nachricht | Senden | Eine Nachricht wurde gesendet, beantwortet oder weitergeleitet. |
Nachricht mit Berechtigungen vom Typ "Senden als" gesendet | SendAs | Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. |
Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet | SendOnBehalf | Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. |
Posteingangsregeln des Outlook-Clients aktualisiert | UpdateInboxRules | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat unter Verwendung des Outlook-Clients eine Posteingangsregel erstellt, geändert oder entfernt. |
Nachricht aktualisiert | Update | Eine Nachricht oder ihre Eigenschaften wurden geändert. |
Benutzer am Postfach angemeldet | MailboxLogin | Der Benutzer hat sich bei seinem Postfach angemeldet. |
Nachricht als Datensatz bezeichnen | Ein Benutzer hat eine Aufbewahrungsbezeichnung auf eine E-Mail-Nachricht angewendet, und diese Bezeichnung ist so konfiguriert, dass das Element als Datensatz gekennzeichnet wird. |
Systemkonten in Postfachüberwachungsdatensätzen von Exchange
In „Überwachungsdatensätzen für einige Postfachaktivitäten“ (insbesondere Add-MailboxPermissions) fällt Ihnen möglicherweise auf, dass der Benutzer, der die Aktivität ausgeführt hat (und in den Feldern „Benutzer“ und „Benutzer-ID“ angegeben ist), NT AUTHORITY\SYSTEM oder NT AUTHORITY\SYSTEM(Microsoft.Exchange ist. Servicehost). Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um ein Systemkonto im Exchange-Dienst in der Microsoft-Cloud handelte. Dieses Systemkonto führt häufig geplante Wartungsaufgaben im Auftrag Ihrer Organisation aus. Beispielsweise eine allgemeine überwachte Aktivität, die vom Konto NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) durchgeführt wird, ist das Aktualisieren der Berechtigungen für DiscoverySearchMailbox, bei der es sich um ein Systempostfach handelt. Mit diesem Update soll überprüft werden, ob die FullAccess-Berechtigung (die als Standardeinstellung gilt) der Rollengruppe "Discoveryverwaltung" für DiscoverySearchMailbox zugewiesen ist. Stellt sicher, dass eDiscovery-Administratoren die erforderlichen Aufgaben in ihren organization ausführen können.
Ein weiteres Systembenutzerkonto, das in einem Überwachungsdatensatz für Add-MailboxPermission identifiziert werden kann, ist Administrator@apcprd03.prod.outlook.com. Dieses Dienstkonto ist auch in Postfachüberwachungsdatensätzen enthalten, die sich auf die Überprüfung und Aktualisierung der FullAccess-Berechtigung beziehen, die der Rollengruppe "Discoveryverwaltung" für das DiscoverySearchMailbox-Systempostfach zugewiesen ist. Insbesondere Überwachungsdatensätze, die das Konto identifizieren, werden in der Administrator@apcprd03.prod.outlook.com Regel ausgelöst, wenn Microsoft-Supportmitarbeiter ein diagnosetool für die rollenbasierte Zugriffssteuerung im Namen Ihrer organization ausführen.
Datei- und Seitenaktivitäten
In der folgenden Tabelle sind die Datei- und Seitenaktivitäten in SharePoint Online und OneDrive for Business beschrieben.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Dateizugriff | FileAccessed | Der Benutzer oder das Systemkonto greift auf eine Datei zu. Sobald ein Benutzer auf eine Datei zugreift, wird das FileAccessed-Ereignis für denselben Benutzer für dieselbe Datei für die nächsten fünf Minuten nicht erneut protokolliert. |
(kein) | FileAccessedExtended | Dies bezieht sich auf die Aktivität "Dateizugriff" (FileAccessed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu drei Stunden) ständig auf eine Datei zugreift, wird ein FileAccessedExtended-Ereignis protokolliert. Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileAccessed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileAccessed-Ereignis konzentrieren können. |
Geänderte Aufbewahrungsbezeichnung für eine Datei | ComplianceSettingChanged | Eine Aufbewahrungsbezeichnung wurde auf ein Dokument angewendet oder daraus entfernt. Dieses Ereignis wird ausgelöst, wenn eine Aufbewahrungsbezeichnung manuell oder automatisch auf eine Nachricht angewendet wird. |
Datensatzstatus in "gesperrt" geändert | LockRecord | Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde gesperrt. Dies bedeutet, dass das Dokument nicht geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern. |
Datensatzstatus in "nicht gesperrt" geändert | UnlockRecord | Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde entsperrt. Dies bedeutet, dass das Dokument geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern. |
Datei eingecheckt | FileCheckedIn | Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat. |
Datei ausgecheckt | FileCheckedOut | Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern. |
Datei kopiert | FileCopied | Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden. |
Datei gelöscht | FileDeleted | Der Benutzer löscht ein Dokument von einer Website. |
Datei aus Papierkorb gelöscht | FileDeletedFirstStageRecycleBin | Der Benutzer löscht eine Datei aus dem Papierkorb einer Website. |
Datei aus endgültigem Papierkorb gelöscht | FileDeletedSecondStageRecycleBin | Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb einer Website. |
Gelöschte Datei als Datensatz gekennzeichnet | RecordDelete | Ein als Datensatz gekennzeichnetes Dokument oder eine als Datensatz gekennzeichnete E-Mail wurde gelöscht. Ein Element wird als Datensatz betrachtet, wenn eine Aufbewahrungsbezeichnung, die Elemente als Datensatz kennzeichnet, auf das Element angewendet wird. |
Konflikt in Bezug auf die Vertraulichkeitskennzeichnung eines Dokuments | DocumentSensitivityMismatchDetected | Der Benutzer lädt ein Dokument auf eine Website hoch, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument weist eine Vertraulichkeitsbezeichnung mit höherer Priorität als die Vertraulichkeitsbezeichnung der Website auf. So wird beispielsweise ein Dokument, das als vertraulich bezeichnet wird, auf eine Website hochgeladen, die mit "Allgemein" bezeichnet ist. Dieses Ereignis wird nicht ausgelöst, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität hat als die auf die Website angewendete Vertraulichkeitsbezeichnung. So wird beispielsweise ein Dokument, das als Allgemein bezeichnet wird, auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. Weitere Informationen über die Priorität von Vertraulichkeitsbezeichnungen finden Sie unter Priorität der Bezeichnungen (Reihenfolge wesentlich). |
Malware in einer Datei erkannt | FileMalwareDetected | Der SharePoint-Virenschutz erkennt Schadsoftware in einer Datei. |
Auschecken einer Datei verworfen | FileCheckOutDiscarded | Der Benutzer verwirft (oder rückgängig) eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden. |
Datei heruntergeladen | FileDownloaded | Der Benutzer lädt ein Dokument von einer Website herunter. |
Datei geändert | FileModified | Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments auf einer Website. Das System wartet fünf Minuten, bevor ein anderes FileModified-Ereignis protokolliert wird, wenn derselbe Benutzer den Inhalt oder die Eigenschaften desselben Dokuments ändert. |
(keine) | FileModifiedExtended | Dies bezieht sich auf die Aktivität "Datei geändert" (FileModified). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Datei ständig ändert, wird ein FileModifiedExtended-Ereignis protokolliert. Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileModified-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileModified-Ereignis konzentrieren können. |
Datei verschoben | FileMoved | Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort. |
(keine) | FilePreviewed | Ein Benutzer zeigt eine Vorschau einer Datei auf einer SharePoint- oder OneDrive for Business-Website an. Diese Ereignisse treten in der Regel in großem Umfang basierend auf einer einzelnen Aktivität auf, z. B. der Anzeige einer Bildergalerie. |
Suchabfrage durchgeführt | SearchQueryPerformed | Der Benutzer oder das Systemkonto nimmt eine Suche auf einer SharePoint- oder OneDrive for Business-Website vor. Zu den gängigen Szenarien, in denen ein Dienstkonto eine Suchabfrage ausführt, gehören das Anwenden einer eDiscovery-Aufbewahrungs- und Aufbewahrungsrichtlinie auf Websites und OneDrive-Konten sowie das automatische Anwenden von Aufbewahrungs- oder Vertraulichkeitsbezeichnungen auf Websiteinhalte. Informationen zum Aktivieren der Protokollierung für diese Aktivität finden Sie unter Erste Schritte mit Überwachungslösungen. |
Eine Datei in den Papierkorb verschoben | FileRecycled | Der Benutzer verschiebt eine Datei in den SharePoint-Papierkorb. |
Ein Ordner in den Papierkorb verschoben | FolderRecycled | Der Benutzer verschiebt einen Ordner in den SharePoint-Papierkorb. |
Alle Nebenversionen einer Datei in den Papierkorb verschoben | FileVersionsAllMinorsRecycled | Benutzer löscht alle Nebenversionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben. |
Alle Versionen der Datei in den Papierkorb | FileVersionsAllRecycled | Benutzer löscht alle Versionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben. |
Dateiversion in den Papierkorb | FileVersionRecycled | Benutzer löscht eine Version aus dem Versionsverlauf einer Datei. Die gelöschte Version wird in den Papierkorb der Website verschoben. |
Datei umbenannt | FileRenamed | Der Benutzer benennt ein Dokument um. |
Datei wiederhergestellt | FileRestored | Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her. |
Datei hochgeladen | FileUploaded | Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch. |
Seite angezeigt | PageViewed | Der Benutzer zeigt eine Seite auf einer Website an. Dieser Vorgang schließt nicht das Verwenden eines Webbrowsers zum Anzeigen von in Dokumentbibliotheken gespeicherten Dateien ein. Sobald ein Benutzer eine Seite anzeigt, wird das PageViewed-Ereignis für denselben Benutzer für dieselbe Seite für die nächsten fünf Minuten nicht erneut protokolliert. |
(keine) | PageViewedExtended | Dies bezieht sich auf die Aktivität "Seite angezeigt" (PageViewed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Webseite ständig anzeigt, wird ein PageViewedExtended-Ereignis protokolliert. Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren PageViewed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) PageViewed-Ereignis konzentrieren können. |
Aufruf wird vom Client signalisiert | ClientViewSignaled | Ein Benutzerclient (z. B. eine Website oder einer mobile App) hat signalisiert, dass die angegebene Seite vom Benutzer aufgerufen wurde. Diese Aktivität wird häufig nach einem PagePrefetched-Ereignis für eine Seite protokolliert. Hinweis: Da ClientViewSignaled-Ereignisse vom Client und nicht vom Server signalisiert werden, ist es möglich, dass das Ereignis nicht vom Server protokolliert wird und daher im Überwachungsprotokoll nicht auftaucht. Es ist auch möglich, dass die Informationen im Überwachungsdatensatz möglicherweise nicht zuverlässig sind. Da die Identität des Benutzers aber durch das Token überprüft wird, mit dem das Signal erstellt wurde, ist die im entsprechenden Überwachungsdatensatz aufgelistete Identität des Benutzers korrekt. Das System wartet fünf Minuten, bevor es dasselbe Ereignis protokolliert, wenn der Client desselben Benutzers signalisiert, dass die Seite erneut vom Benutzer angezeigt wurde. |
(keine) | PagePrefetched | Der Client eines Benutzers (beispielsweise eine Website oder eine Mobile App) hat die angegebene Seite angefordert, um die Leistung zu verbessern, wenn der Benutzer zu ihr navigiert. Dieses Ereignis wird protokolliert, um anzugeben, dass der Seiteninhalt für den Client des Benutzers bereitgestellt wurden. Dieses Ereignis ist kein definitiver Hinweis darauf, dass der Benutzer zu der Seite navigiert ist. Wenn der Seiteninhalt vom Client (gemäß der Anforderung des Benutzers) gerendert wird, sollte ein ClientViewSignaled-Ereignis generiert werden. Nicht alle Clients unterstützen die Angabe eines Vorabrufs, und daher können einige vorab abgerufene Aktivitäten stattdessen als PageViewed-Ereignisse protokolliert werden. |
Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“
Könnten Nicht-Benutzer-Aktivitäten FilePreviewed-Überwachungsdatensätze auslösen, die einen Benutzer-Agent wie „OneDriveMpc-Transform_Thumbnail“ enthalten?
Szenarien, in denen Nichtbenutzeraktionen Ereignisse wie diese generieren, sind uns nicht bekannt. Benutzeraktionen wie das Öffnen eines Benutzerprofils Karte (durch Auswählen des Namens oder der E-Mail-Adresse in einer Nachricht in Outlook im Web) würden ähnliche Ereignisse generieren.
Werden Aufrufe von „OneDriveMpc-Transform_Thumbnail“ immer absichtlich vom Benutzer ausgelöst?
Nein. Ähnliche Ereignisse können jedoch als Ergebnis des Browser-Vorabrufs protokolliert werden.
Wenn wir ein FilePreviewed-Ereignis sehen, das von einer bei Microsoft registrierten IP-Adresse stammt, bedeutet dies, dass die Vorschau auf dem Bildschirm des Benutzergeräts angezeigt wurde?
Nein. Das Ereignis wurde möglicherweise als Ergebnis des Vorabrufs des Browsers protokolliert.
Gibt es Szenarien, in denen ein Benutzer, der die Vorschau eines Dokuments anzeigt, FileAccessed-Ereignisse generiert?
Sowohl das „FilePreviewed“- als auch das „FileAccessed“-Ereignis weist darauf hin, dass der Aufruf eines Benutzers das Lesen der Datei ausgelöst hat (oder das Lesen des Renderings einer Miniaturansicht der Datei). Diese Ereignisse sind zwar dazu gedacht, sich an der Vorschau- bzw. Zugriffs-Absicht zu orientieren, doch die Ereignisunterscheidung ist keine Garantie für die Absicht des Benutzers.
Der app@sharepoint Benutzer in Überwachungsdatensätzen
Ihnen ist möglicherweise aufgefallen, dass in Überwachungsdatensätzen für einige Dateiaktivitäten (und andere SharePoint-bezogene Aktivitäten) der Benutzer, der die Aktivität ausgeführt hat (in den Feldern "Benutzer" und "Benutzer-ID" aufgeführt), als "app@sharepoint" angegeben ist. Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt. In diesem Fall hatte die Anwendung in SharePoint die Berechtigung erhalten, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Dienstes auszuführen. Dieser Vorgang zur Erteilung von Berechtigungen für eine Anwendung heißt "Nur SharePoint-App-Zugriff". Dies weist darauf hin, dass die Authentifizierung, die SharePoint zum Ausführen einer Aktion präsentiert wurde, von einer Anwendung anstelle eines Benutzers vorgenommen wurde. Dies ist der Grund, warum in manchen Überwachungsdatensätzen der "app@sharepoint"-Benutzer angegeben wird. Weitere Informationen finden Sie unter Gewähren des "Nur SharePoint-App"-Zugriffs.
"app@sharepoint" wird beispielsweise häufig als Benutzer bei Ereignissen wie ausgeführte Suchabfragen und Dateizugriffe angegeben. Der Grund dafür ist, dass eine Anwendung mit "Nur SharePoint-App"-Zugriff in Ihrer Organisation Suchabfragen ausführt und auf Dateien zugreift, wenn Aufbewahrungsrichtlinien auf Websites und OneDrive-Konten angewendet werden.
Nachstehend sind einige weitere Szenarien aufgeführt, in denen "app@sharepoint" als Benutzer, der eine Aktivität ausgeführt hat, in einem Überwachungsprotokoll angegeben werden kann:
- Microsoft 365-Gruppen. Wenn ein Benutzer oder Administrator eine neue Gruppe erstellt, werden Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert. Diese Aufgaben werden von einer Anwendung im Namen des Benutzers ausgeführt, der die Gruppe erstellt hat.
- Microsoft Teams: Bei der Erstellung eines Teams werden ähnlich wie bei Microsoft 365-Gruppen Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert.
- Kompatibilitätsfeatures. Wenn ein Administrator Compliancefeatures implementiert, z. B. Aufbewahrungsrichtlinien, eDiscovery-Haltebereiche und automatisches Anwenden von Vertraulichkeitsbezeichnungen.
In diesen und weiteren Szenarios werden Sie außerdem feststellen, dass mehrere Überwachungsdatensätze mit "app@sharepoint" als angegebenen Benutzer innerhalb eines sehr kurzen Zeitrahmens erstellt wurden, häufig innerhalb weniger Sekunden. Dies bedeutet ebenfalls, dass sie wahrscheinlich von demselben vom benutzerinitiierten Vorgang ausgelöst wurden. Die Felder "ApplicationDisplayName" und "EventData" im Überwachungsdatensatz helfen Ihnen möglicherweise, das Szenario oder den Dienst zu ermitteln, durch das/den dieses Ereignis ausgelöst wurde.
Ordneraktivitäten
In der folgenden Tabelle sind die Ordneraktivitäten in SharePoint Online und OneDrive for Business beschrieben. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Ordner kopiert | FolderCopied | Ein Benutzer in SharePoint oder OneDrive for Business kopiert einen Ordner von einer Website zu einer anderen. |
Ordner erstellt | FolderCreated | Der Benutzer erstellt einen Ordner auf einer Website. |
Ordner gelöscht | FolderDeleted | Der Benutzer löscht einen Ordner von einer Website. |
Ordner aus Papierkorb gelöscht | FolderDeletedFirstStageRecycleBin | Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website. |
Ordner aus endgültigem Papierkorb gelöscht | FolderDeletedSecondStageRecycleBin | Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website. |
Ordner geändert | FolderModified | Der Benutzer ändert einen Ordner auf einer Website. Dies schließt das Ändern der Ordnermetadaten, beispielsweise das Ändern von Tags und Eigenschaften, ein. |
Ordner verschoben | FolderMoved | Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website. |
Ordner umbenannt | FolderRenamed | Der Benutzer benennt einen Ordner auf einer Website um. |
Ordner wiederhergestellt | FolderRestored | Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her. |
Informationsbarrierenaktivitäten
In der folgenden Tabelle sind die Aktivitäten in Informationsbarrieren aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Informationsbarrieren finden Sie unter Weitere Informationen zu Informationsbarrieren in Microsoft 365.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
AppBypassInformationBarrier-Einstellung für den Mandanten geändert | AppBypassInformationBarrier | Ein SharePoint- oder globaler Administrator hat den Zugriff auf Apps für SharePoint-Websites geändert. |
Angewendeter Informationsbarrieremodus auf die Website | SiteIBModeSet | Ein SharePoint- oder globaler Administrator hat einen Modus auf die Website angewendet. |
Angewendete Segmente auf die Website | SiteIBSegmentsSet | Ein SharePoint-Administrator, ein globaler Administrator oder ein Websitebesitzer hat einer Website ein oder mehrere Informationsbarrierensegmente hinzugefügt. |
Geänderter Informationsbarrieremodus der Website | SiteIBModeChanged | Ein SharePoint- oder globaler Administrator hat den Modus der Website aktualisiert. |
Geänderte Segmente der Website | SiteIBSegmentsChanged | Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente für eine Website geändert. |
Deaktivierte Informationsbarrieren für SharePoint und OneDrive | SPOIBIsDisabled | Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert. |
Aktivierte Informationsbarrieren für SharePoint und OneDrive | SPOIBIsEnabled | Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert. |
Bericht zu Erkenntnissen zu Informationsbarrieren abgeschlossen | InformationBarriersInsightsReportCompleted | Das System schließt die Erstellung des Berichts zu Erkenntnissen zu Informationsbarrieren ab. |
OneDrive-Abschnitt "Informationsbarrieren–Erkenntnisse" abgefragt | InformationBarriersInsightsReportOneDriveSectionQueried | Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für OneDrive-Konten ab. |
Bericht zu Erkenntnissen zu Informationsbarrieren geplant | InformationBarriersInsightsReportSchedule | Ein Administrator plant den Bericht zu Erkenntnissen zu Informationsbarrieren. |
SharePoint-Abschnitt des Berichts "Erkenntnisse zu Informationsbarrieren" abgefragt | InformationBarriersInsightsReportSharePointSectionQueried | Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für SharePoint-Websites ab. |
Segment vom Standort entfernt | SiteIBSegmentsRemoved | Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente aus einer Website gelöscht. |
Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint allgemeinen Einstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu den Einstellungen Microsoft Defender for Endpoint finden Sie unter Konfigurieren allgemeiner Defender für Endpunkt-Einstellungen.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Heruntergeladenes Offboardingpaket | DownloadOffboardingPkg | Das Paket zum Entfernen von Geräten aus Defender für Endpunkt wurde heruntergeladen. |
Heruntergeladenes Onboardingpaket | DownloadOnboardingPkg | Das Paket für das Onboarding von Geräten in Defender für Endpunkt wurde heruntergeladen. |
Geänderte Datenaufbewahrung | ChangeDataRetention | Die Datenaufbewahrungseinstellungen für Defender für Endpunkt wurden bearbeitet. |
Festlegen erweiterter Features | SetAdvancedFeatures | Erweiterte Features in Defender für Endpunkt wurden geändert, sodass während eines Incidents präzisere Kontrollen möglich sind. Nur Einstellungen für erweiterte Features, die allgemein verfügbar sind, werden im Microsoft 365-Überwachungsprotokoll protokolliert. |
Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Indikatoren finden Sie unter Verwalten von Indikatoren.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Indikator hinzugefügt | AddIndicator | Es wurde ein neuer Gefährdungsindikator erstellt, den Sie zum Nachverfolgen von Angriffen und Ereignissen verwenden können. |
Bearbeiteter Indikator | EditIndicator | Es wurde ein Indikator für Gefährdung bearbeitet. |
Gelöschter Indikator | DeleteIndicator | Ein Indikator der Kompromittierung wurde entfernt. |
Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint-Antwortaktionen aufgeführt, einschließlich Liveantworten, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Antwortaktionen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Gesammeltes Untersuchungspaket | CollectInvestigationPackage | Gesammelte Informationen zu einem Gerät, das verwendet wird, um Angriffstools und -techniken zu verstehen. |
Antivirusscan ausgeführt | RunAntiVirusScan | Microsoft Defender Antivirus-Überprüfung auf einem Gerät ausgeführt. |
Eingeschränkte App-Ausführung | RestrictAppExecution | Verhindern, dass eine schädliche App ausgeführt wird. |
App-Einschränkungen entfernt | RemoveAppRestrictions | Zulassen, dass eine App ausgeführt wird. |
Isoliertes Gerät | IsolateDevice | Isolierte ein Gerät aus dem Netzwerk, um die Ausbreitung von Angriffen zu verhindern. |
Aus der Isolation freigegeben | ReleaseFromIsolation | Ein isoliertes Gerät wurde dem Netzwerk wieder hinzugefügt. |
Beendete und unter Quarantäne gestellte Datei | StopAndQuarantineFile | Verdächtige Datei zur weiteren Analyse unter Quarantäne stellen. |
Datei heruntergeladen | DownloadFile | Eine verdächtige Datei zur weiteren Untersuchung heruntergeladen. |
Offboarded device (Offboarded Device) | DeviceOffBoarding | Ein Gerät wurde aus Defender für Endpunkt entfernt. |
Ausgeführte Liveantwort-API | RunLiveResponseApi | Öffnete eine Liveantwortsitzung über einen API-Aufruf und öffnete eine Remoteshell auf einem Gerät. |
Gesammelte Protokolle | LogsCollection | Gesammelte Protokollinformationen zu Defender für Endpunkt. |
Link "Liveantwortdatei abrufen" ausgeführt | LiveResponseGetFile | Öffnete eine Liveantwortsitzung und öffnete eine Remoteshell auf einem Gerät. |
Liveantwortsitzung ausgeführt | RunLiveResponseSession | Führte eine Liveantwortsitzung aus und öffnete eine Remoteshell auf einem Gerät. |
Microsoft Defender for Endpoint von Einstellungen für Rollen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Rolleneinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Rollen in Microsoft Defender for Endpoint finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
AddRole | Rolle hinzugefügt | Neue Sicherheitsrolle und -berechtigungen hinzugefügt. |
EditRole | Bearbeitete Rolle | Bearbeitete Sicherheitsrollen und Berechtigungen. |
DeleteRole | Gelöschte Rolle | Sicherheitsrollen und -berechtigungen wurden entfernt. |
aktivitäten von Microsoft Defender for Experts
In der folgenden Tabelle sind die Aktivitäten in Microsoft Defender Experts aufgeführt, die im Microsoft 365-Überwachungsprotokoll angemeldet sind. Weitere Informationen zu Microsoft Defender Experts finden Sie unter Weitere Informationen zu Microsoft Defender Experts for XDR und Informationen zu Microsoft Defender Experten für Bedrohungssuche
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Erstellte Defender Experts-Analystenberechtigung | DefenderExpertsAnalystPermissionCreated | Ein Administrator hat Defender Experts-Analysten mindestens eine Rollenberechtigung erteilt, um Vorfälle zu untersuchen oder Bedrohungen zu beheben. |
Defender Experts-Analystenberechtigung geändert | DefenderExpertsAnalystPermissionModified | Ein Administrator hat die Rollenberechtigungen für Defender Experts-Analysten geändert, um Vorfälle zu untersuchen oder Bedrohungen zu beheben. |
Microsoft Defender for Identity Aktivitäten
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Identity aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Um Microsoft Defender for Identity Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Aktualisierte Entitätstags | TaggingConfigurationUpdated | Ein Tag wurde einer Entität hinzugefügt oder daraus entfernt. |
Konfiguration von Ausschlüssen hinzugefügt | ExclusionConfigurationAdded | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität hinzugefügt. |
Konfiguration von Ausschlüssen aktualisiert | ExclusionConfigurationUpdated | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität aktualisiert. |
Konfiguration gelöschter Ausschlüsse | ExclusionConfigurationDeleted | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität gelöscht. |
Konfiguration des Warnungsschwellenwerts aktualisiert | WorkspaceAlertThresholdLevelUpdated | Die Konfiguration der Schwellenwerte für Warnungen wurde aktualisiert. |
Heruntergeladene Sicherheitswarnung Excel | AlertExcelDownloaded | Die detaillierte Excel-Datei einer Warnung wurde heruntergeladen. |
Wartungsaktion hinzugefügt | RemediationActionAdded | Der Warteschlange wurde eine Korrekturaktion hinzugefügt. |
Aktualisierte Wartungsaktion | RemediationActionUpdated | Eine Korrekturaktion wurde abgeschlossen. |
Aktualisierte Sensorkonfiguration | SensorConfigurationUpdated | Die Konfiguration eines Sensors wurde aktualisiert. |
Sensor hinzugefügt | SensorCreated | Ein neuer Sensor wurde hinzugefügt. |
Sensor entfernt | SensorDeleted | Ein Sensor wurde gelöscht. |
Abgerufener Sensorbereitstellungsschlüssel | SensorDeploymentAccessKeyReceived | Der Zugriffsschlüssel der Sensoren wurde abgerufen. |
Bereitstellungsschlüssel für den neu generierten Sensor | SensorDeploymentAccessKeyUpdated | Der Sensorzugriffsschlüssel wurde neu generiert. |
Heruntergeladene Domänencontrollerabdeckung in Excel | DomainControllerCoverageExcelDownloaded | Die Excel-Datei für die Domänencontrollerabdeckung wurde heruntergeladen. |
Konfiguration des Verzeichnisdienstkontos aktualisiert | DirectoryServicesAccountConfigurationUpdated | Die festgelegten Verzeichnisdienstkonten wurden geändert. |
Konfiguration der Wartungsaktion aktualisiert | RemediationActionConfigurationUpdated | Der Festgelegte Aktionskonten verwalten wurde geändert. |
Aktualisierte Entitätswartungskonfiguration | EntityRemediatorConfigurationUpdated | Der Modus Aktionskonten verwalten wurde geändert. |
Aktualisiertes Integritätsproblem | MonitoringAlertUpdated | Ein Integritätsproblem wurde geändert. |
Bericht heruntergeladen | BerichtHerunterladen | Ein Bericht wurde heruntergeladen. |
Aktualisierte Reporterkonfiguration | ReporterConfigurationUpdated | Die Planung eines Berichts wurde geändert. |
Aktualisierte Syslog-Weiterleitungskonfiguration | SyslogServiceConfigurationUpdated | Die Syslog-Weiterleitungskonfiguration wurde geändert. |
Aktualisierte Sicherheitsbenachrichtigungskonfiguration | NotificationConfigurationUpdated | Die Benachrichtigungskonfiguration für Sicherheitswarnungen oder Integritätsprobleme wurde geändert. |
Empfänger von Warnungsbenachrichtigungen hinzugefügt | AlertNotificationsRecipientAdded | Der Benachrichtigungskonfiguration für Sicherheitswarnungen wurde ein Empfänger hinzugefügt. |
Empfänger von Benachrichtigungen für gelöschte Warnungen | AlertNotificationsRecipientDeleted | Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Sicherheitswarnungen entfernt. |
Empfänger der Benachrichtigung über Integritätsprobleme hinzugefügt | MonitoringAlertNotificationRecipientAdded | Der Benachrichtigungskonfiguration für Integritätsprobleme wurde ein Empfänger hinzugefügt. |
Benachrichtigungsempfänger für gelöschte Integritätsprobleme | MonitoringAlertNotificationRecipientDeleted | Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Integritätsprobleme entfernt. |
Aktualisierte VPN-Konfiguration | VpnConfigurationUpdated | Die VPN-Konfiguration (Radius-Buchhaltung) wurde geändert. |
Aktualisierte Einheitliche RBAC-Konfiguration | URbacAuthorizationStatusChanged | Die Konfiguration der einheitlichen rollenbasierten Access Control wurde geändert. |
Erstellter Arbeitsbereich | WorkspaceCreated | Der Arbeitsbereich wurde erstellt. |
Gelöschter Arbeitsbereich | Arbeitsbereich Gelöscht | Der Arbeitsbereich wurde gelöscht. |
Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten
In der folgenden Tabelle sind die benutzerdefinierten Erkennungsaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender XDR benutzerdefinierten Erkennungen finden Sie unter Erstellen und Verwalten benutzerdefinierter Erkennungsregeln.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Benutzerdefinierte Erkennungsregel erstellt | CreateCustomDetection | Eine neue benutzerdefinierte Erkennungsregel wurde erstellt. |
Bearbeitete benutzerdefinierte Erkennungsregel | EditCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde geändert. |
Geänderte benutzerdefinierte Erkennungsregel status | ChangeCustomDetectionRuleStatus | Eine benutzerdefinierte Erkennungsregel wurde deaktiviert oder aktiviert. |
Benutzerdefinierte Erkennungsregel ausgeführt | RunCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde manuell ausgeführt. |
Benutzerdefinierte Erkennungsregel wurde gelöscht. | DeleteCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde entfernt. |
Microsoft Defender XDR Incidentaktivitäten
In der folgenden Tabelle sind die Incidentaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Incidents in Microsoft Defender XDR finden Sie unter Übersicht über Vorfälle.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Kommentar zu Incident hinzugefügt | AddCommentToIncident. | Kommentar zum Incident hinzugefügt. |
Dem Incident zugewiesener Benutzer | AssignUserToIncident | Dem Incident zugewiesener Benutzer. |
Nicht zugewiesener Benutzer zum Incident | UnAssignUserFromIncident | Nicht zugewiesener Benutzer zum Incident. |
Aktualisierte incidents status | UpdateIncidentStatus | Aktualisierte incidents status. |
Bearbeiten der Incidentklassifizierung | EditIncidentClassification | Bearbeiten der Incidentklassifizierung. |
Tags zu Incident hinzugefügt | AddTagsToIncident | Dem Incident wurden Tags hinzugefügt. |
Tags aus Incident entfernt | RemoveTagsFromIncident | Tags aus incident entfernt. |
Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln
In der folgenden Tabelle sind die Aktivitäten für Unterdrückungsregeln für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Unterdrückungsregeln in Microsoft Defender XDR finden Sie unter Verwalten von Unterdrückungsregeln.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Erstellte Unterdrückungsregel | CreateSuppressionRule | Warnungsunterdrückungsregel wurde erstellt. |
Bearbeitete Unterdrückungsregel | EditSuppressionRule | Warnungsunterdrückungsregel gelöscht. |
Aktivierte Unterdrückungsregel | EnableSuppressionRule | Warnungsunterdrückungsregel aktiviert. |
Unterdrückungsregel deaktiviert | DisableSuppressionRule | Warnungsunterdrückungsregel deaktiviert. |
Gelöschte Unterdrückungsregel | DeleteSuppressionRule | Warnungsunterdrückungsregel gelöscht. |
gruppenverwaltungsaktivitäten Microsoft Entra
In der folgenden Tabelle sind Gruppenverwaltungsaktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator oder ein Benutzer eine Microsoft 365-Gruppe erstellt oder ändert oder wenn ein Administrator eine Sicherheitsgruppe mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals erstellt. Weitere Informationen zu Gruppen in Microsoft 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Microsoft 365 Admin Center.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( .
). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" "
) zu setzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Gruppe hinzugefügt | Gruppe hinzufügen. | Eine Gruppe wurde erstellt. |
Mitglied zur Gruppe hinzugefügt | Mitglied zu Gruppe hinzufügen. | Ein Mitglied wurde zu einer Gruppe hinzugefügt. |
Gruppe gelöscht | Gruppe löschen. | Eine Gruppe wurde gelöscht. |
Mitglied aus Gruppe entfernt | Mitglied aus Gruppe entfernen. | Ein Mitglied wurde aus einer Gruppe entfernt. |
Gruppe aktualisiert | Gruppe aktualisieren. | Eine Eigenschaft einer Gruppe wurde geändert. |
Microsoft Fabric-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Power BI durchsuchen. Informationen zu Überwachungseinstellungen finden Sie unter Überwachungs- und Nutzungsmandanteneinstellungen.
Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen. Anweisungen finden Sie unter Aktivieren der Überwachung.
Microsoft Forms-Aktivitäten
In den Tabellen in diesem Abschnitt sind die in Microsoft Forms von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Überwachungsprotokoll protokolliert werden. Microsoft Forms ist ein Formular-/Quiz-/Umfrage-Tool zum Sammeln von Daten für Analysen. Wo nachstehend in den Beschreibungen erwähnt, enthalten einige Vorgänge zusätzliche Aktivitätsparameter.
Wenn eine Forms Aktivität von einem Mitautor oder einem anonymen Antwortenden ausgeführt wird, wird sie etwas anders protokolliert. Weitere Informationen hierzu finden Sie im Abschnitt Forms-Aktivitäten, die von Mitautoren und anonymen Antwortenden durchgeführt werden.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Ersteller Kommentar | CreateComment | Der Formularbesitzer fügt Kommentare oder Bewertungen zu einem Quiz hinzu. |
Erstelltes Formular | CreateForm | Der Besitzer erstellt ein neues Formular. Eigenschaft DataMode:string gibt an, dass das aktuelle Formular so eingestellt ist, dass es mit einer neuen oder vorhandenen Excel-Arbeitsmappe synchronisiert wird, wenn der Eigenschaftswert DataSync entspricht. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an. |
Bearbeitetes Formular | EditForm | Der Formularbesitzer bearbeitet ein Formular, z. B. das Erstellen, Entfernen oder Bearbeiten einer Frage. Die Eigenschaft EditOperation:string gibt den Namen des Bearbeitungsvorgangs an. Mögliche Vorgänge sind: – CreateQuestion – CreateQuestionChoice – DeleteQuestion – DeleteQuestionChoice – DeleteFormImage – DeleteQuestionImage – UpdateQuestion – UpdateQuestionChoice – UploadFormImage/Bing/Onedrive – UploadQuestionImage – ChangeTheme FormImage enthält jede Stelle in Formularen, an der Benutzer ein Bild hochladen können, z. B. in einer Abfrage oder als Hintergrunddesign. |
Formular verschoben | MoveForm | Der Formularbesitzer verschiebt ein Formular. Eigenschaft DestinationUserId: Zeichenfolge gibt die Benutzer-ID der Person an, die das Formular verschoben hat. Eigenschafts NewFormId: Zeichenfolge ist die neue ID für das neu kopierte Formular. Die Eigenschaft IsDelegateAccess:boolean gibt an, dass die aktuelle Aktion zum Verschieben des Formulars über die Seite der Administrator-Stellvertretung ausgeführt wird. |
Gelöschtes Formular | DeleteForm | Der Formularbesitzer löscht ein Formular. Dazu gehören SoftDelete (Löschoption wird verwendet, Formular wird in den Papierkorb verschoben) und HardDelete (Papierkorb wird geleert). |
Angezeigtes Formular (Entwurfszeit) | ViewForm | Der Formularbesitzer öffnet ein vorhandenes Formular für die Bearbeitung. Die Eigenschaft AccessDenied:boolean gibt an, dass der Zugriff auf das aktuelle Formular aufgrund einer Berechtigungsprüfung verweigert wurde. Die Eigenschaft FromSummaryLink:boolean gibt an, dass die aktuelle Anforderung von der Zusammenfassungs-Linkseite stammt. |
Formular in der Vorschau | PreviewForm | Der Formularbesitzer zeigt ein Formular mit der Vorschaufunktion an. |
Exportiertes Formular | ExportForm | Der Formularbesitzer exportiert Ergebnisse nach Excel. Eigenschaft ExportFormat: Zeichenfolge gibt an, ob die Excel-Datei heruntergeladen wurde oder online verfügbar ist. |
Freigabe von Formularkopie zulassen | AllowShareFormForCopy | Der Formularbesitzer erstellt einen Vorlagen-Link, um das Formular für andere Benutzer freizugeben. Dieses Ereignis wird protokolliert, wenn der Formularbesitzer auswählt, die Vorlagen-URL zu generieren. |
Freigabe von Formularkopie nicht zulassen | DisallowShareFormForCopy | Der Formularbesitzer löscht den Vorlagen-Link. |
Formular-Koautor hinzugefügt | AddFormCoauthor | Ein Benutzer verwendet einen Link für die Zusammenarbeit, um beim Entwerfen/Anzeigen von Antworten zu helfen. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine URL für die Zusammenarbeit verwendet (nicht, wenn die URL für die Zusammenarbeit zum ersten Mal generiert wird). |
Formular-Koautor entfernt | RemoveFormCoauthor | Der Formularbesitzer löscht einen Link für die Zusammenarbeit. |
Angezeigte Antwortseite | ViewRuntimeForm | Der Benutzer hat eine Antwortseite für die Anzeige geöffnet. Dieses Ereignis wird protokolliert, und zwar unabhängig davon, ob der Benutzer eine Antwort absendet oder nicht. |
Erstellte Antwort | CreateResponse | Ähnlich wie beim Empfang einer neuen Antwort. Ein Benutzer hat eine Antwort auf ein Formular gesendet. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
Aktualisierte Antwort | UpdateResponse | Der Formularbesitzer hat einen Kommentar oder eine Bewertung für ein Quiz aktualisiert. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
Alle Antworten gelöscht | DeleteAllResponses | Der Formularbesitzer löscht alle Antwortdaten. |
Gelöschte Antwort | DeleteResponse | Der Formularbesitzer löscht eine Antwort. Eigenschaft ResponseId: Zeichenfolge gibt die gelöschte Antwort an. |
Angezeigte Antworten | ViewResponses | Der Formularbesitzer zeigt die aggregierte Liste der Antworten an. Property ViewType: Zeichenfolge gibt an, ob der Formularbesitzer das Detail oder Aggregat anzeigt. |
Angezeigte Antwort | ViewResponse | Der Formularbesitzer zeigt eine bestimmte Antwort an. Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
Erstellter Zusammenfassungs-Link | GetSummaryLink | Der Formularbesitzer erstellt einen Zusammenfassungs-Link, um Ergebnisse freizugeben. |
Gelöschte Zusammenfassungs-Link | DeleteSummaryLink | Der Formularbesitzer löscht den Link für die Zusammenfassungsergebnisse. |
Aktualisierter Phishing-Status von Formularen | UpdatePhishingStatus | Dieses Ereignis wird protokolliert, wenn der detaillierte Wert des internen Sicherheitsstatus geändert wurde, und zwar unabhängig davon, ob dadurch der endgültige Sicherheitsstatus geändert wurde (z. B. Formular ist nun geschlossen oder geöffnet). Dies bedeutet, dass Ihnen möglicherweise doppelte Ereignisse ohne eine endgültige Sicherheitsstatusänderung angezeigt werden. Zu den möglichen Statuswerten für dieses Ereignis gehören: – Take Down – Take Down by Admin – Admin Unblocked – Auto Blocked – Auto Unblocked – Customer Reported – Reset Customer Reported |
Updated user phishing status | UpdateUserPhishingStatus | Dieses Ereignis wird protokolliert, wenn der Wert für den Sicherheitsstatus des Benutzers geändert wurde. Der Wert des Benutzerstatus im Überwachungsdatensatz ist Confirmed as Phisher, wenn der Benutzer ein Phishing-Formular erstellt hat, das vom Microsoft Online Safety-Team heruntergenommen wurde. Wenn ein Administrator die Sperrung des Benutzers aufhebt, wird der Wert des Benutzerstatus auf Reset as Normal Userfestgelegt. |
Versendete Forms-Pro-Einladung | ProInvitation | Der Benutzer wählt aus, eine Pro-Testversion zu aktivieren. |
Aktualisierte Formulareinstellung | UpdateFormSetting | Der Formularbesitzer aktualisiert eine oder mehrere Formulareinstellungen. Die Eigenschaft FormSettingName:string gibt den Namen der aktualisierten vertraulichen Einstellungen an. Die Eigenschaft NewFormSettings:string gibt den Namen und den neuen Wert der aktualisierten Einstellungen an. Die Eigenschaft „thankYouMessageContainsLink:boolean“ gibt an, dass die aktualisierte Dankesnachricht einen URL-Link enthält. |
Aktualisierte Benutzereinstellung | UpdateUserSetting | Der Formularbesitzer aktualisiert eine Benutzereinstellung. Eigenschaft UserSettingName: Zeichenfolge gibt den Namen und neuen Wert der Einstellung an. |
Aufgelistete Formulare | ListForms | Der Formularbesitzer zeigt eine Liste der Formulare an. Property ViewType: Zeichenfolge gibt an, welche Ansicht der Besitzer betrachtet: Alle Formulare, Mit mir geteilt oder Gruppenformulare. |
Gesendete Antwort | SubmitResponse | Ein Benutzer sendet eine Antwort auf ein Formular. Eigenschaft IsInternalForm: Boolescher Wert gibt an, ob der Responder der gleichen Organisation angehört wie der Formularbesitzer. |
Einstellung für "Jeder kann antworten" aktiviert | AllowAnonymousResponse | Der Formularbesitzer aktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten. |
Einstellung für "Jeder kann antworten" deaktiviert | DisallowAnonymousResponse | Der Formularbesitzer deaktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten. |
Einstellung für "Bestimmte Personen können antworten" aktiviert | EnableSpecificResponse | Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten. |
Einstellung für "Bestimmte Personen können antworten" deaktiviert | DisableSpecificResponse | Der Formularbesitzer deaktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten. |
Spezifischer Antwortender hinzugefügt | AddSpecificResponder | Der Formularbesitzer fügt der Liste der spezifischen Antwortenden einen neuen Benutzer oder eine neue Gruppe hinzu. |
Bestimmter Antwortender entfernt | RemoveSpecificResponder | Der Formularbesitzer entfernt einen Benutzer oder eine Gruppe aus der Liste der spezifischen Antwortenden. |
"Zusammenarbeit" deaktiviert | DisableCollaboration | Der Formularbesitzer deaktiviert die Einstellung der Zusammenarbeit im Formular. |
"Zusammenarbeit mit Office 365-Arbeits- oder Schulkonten" aktiviert | EnableWorkOrSchoolCollaboration | Der Formularbesitzer aktiviert die Einstellung, die es Benutzern mit einem Microsoft 365-Geschäfts- oder Schulkonto ermöglicht, das Formular anzuzeigen und zu bearbeiten. |
"Zusammenarbeit von Personen in meiner Organisation" aktiviert | EnableSameOrgCollaboration | Der Formularbesitzer aktiviert die Einstellung, die es Benutzern in der aktuellen Organisation ermöglicht, das Formular anzuzeigen und zu bearbeiten. |
"Zusammenarbeit bestimmter Personen" aktiviert | EnableSpecificCollaboaration | Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, das Formular anzuzeigen und zu bearbeiten. |
Mit Excel-Arbeitsmappe verbunden | ConnectToExcelWorkbook | Das Formular wurde mit einer Excel-Arbeitsmappe verbunden. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an. |
Eine Sammlung wurde erstellt | CollectionCreated | Der Formularbesitzer hat eine Sammlung erstellt. |
Eine Sammlung wurde aktualisiert | CollectionUpdated | Der Formularbesitzer hat eine Sammlungseigenschaft aktualisiert. |
Die Sammlung wurde aus dem Papierkorb gelöscht | CollectionHardDeleted | Der Formularbesitzer hat eine Sammlung aus dem Papierkorb endgültig gelöscht. |
Die Sammlung wurde in den Papierkorb verschoben | CollectionSoftDeleted | Der Formularbesitzer hat eine Sammlung in den Papierkorb verschoben. |
Eine Sammlung wurde umbenannt | CollectionRenamed | Der Formularbesitzer hat den Namen einer Sammlung geändert. |
Ein Formular wurde in die Sammlung verschoben | MovedFormIntoCollection | Der Formularbesitzer hat ein Formular in eine Sammlung verschoben. |
Ein Formular wurde aus der Sammlung verschoben | MovedFormOutofCollection | Der Formularbesitzer hat ein Formular aus einer Sammlung verschoben. |
Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden
Forms unterstützt die Zusammenarbeit beim Entwerfen von Formularen und dem Analysieren der Antworten. Ein Mitwirkender an einem Formular wird als Koautor bezeichnet. Koautoren können alles erledigen, was der Besitzer eines Formulars tun kann, außer das Löschen oder Verschieben eines Formulars. Forms ermöglichen Ihnen außerdem, ein Formular zu erstellen, auf das anonym geantwortet werden kann. Dies bedeutet, dass der Antwortende nicht bei Ihrer Organisation angemeldet sein muss, um auf ein Formular zu antworten.
In der folgenden Tabelle sind die Überwachungsaktivitäten und die Informationen im Überwachungsdatensatz für Aktivitäten beschrieben, die von Koautoren und anonym Antwortenden ausgeführt wurden.
Aktivitätstyp | Interner oder externer Benutzer | Protokollierte Benutzer-ID | Angemeldet bei Organisation | Forms-Benutzertyp |
---|---|---|---|---|
Gemeinsame Dokumenterstellung | Intern | UPN | Organisation des Formularbesitzers | Koautor |
Gemeinsame Dokumenterstellung | Extern | UPN |
Organisation des Koautors |
Koautor |
Gemeinsame Dokumenterstellung | Extern | urn:forms:coauthor#a0b1c2d3@forms.office.com (Der zweite Teil der ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.) |
Organisation des Formularbesitzers |
Koautor |
Antwortaktivitäten | Extern | UPN |
Organisation des Antwortenden |
Responder |
Antwortaktivitäten | Extern | urn:forms:external#a0b1c2d3@forms.office.com (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.) |
Organisation des Formularbesitzers | Antwortender |
Antwortaktivitäten | Anonym | urn:forms:anonymous#a0b1c2d3@forms.office.com (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.) |
Organisation des Formularbesitzers | Antwortender |
Microsoft Graph Data Connect
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Graph Data Connect aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Genehmigt oder verweigert eine App | ConsentModificationRequest | Ein Benutzer hat eine Zustimmungsänderungsanforderung ausgeführt. |
Extraktion ausgeführt | DataAccessRequestOperation | Ein Benutzer hat eine Extraktion ausgeführt. Partnerdatasets und ISV-Ausführungen sind ausgeschlossen. |
Microsoft Planner Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Planner aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Hinweis
Die Portfolioaktivität in Planner wird mit der Microsoft Project für Web-Roadmap-Aktivität protokolliert. Weitere Informationen finden Sie im Abschnitt Microsoft Project für das Web-Aktivitäten.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Lesen eines Plans | PlanRead | Ein Plan wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ContainerType ContainerType.Invalid und ContainerId null an. |
Erstellen eines Plans | PlanCreated | Ein Plan wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null an, ContainerType gibt ContainerType.Invalid und ContainerId null an. |
Ändern eines Plans | PlanModified | Ein Plan wird von einem Benutzer oder einer App geändert. |
Einen Plan gelöscht | PlanDeleted | Ein Plan wird von einem Benutzer oder einer App gelöscht. |
Kopiert einen Plan | PlanKopiert | Ein Plan wird von einem Benutzer oder einer App kopiert. Wenn der Kopiervorgang ein ResultStatus.Failure oder ResultStatus.Failure ist, gibt newPlanId NULL an, newContainerType gibt ContainerType.Invalid und newContainerId null an. |
Lesen einer Aufgabe | TaskRead | Eine Aufgabe wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanId null an. |
Erstellen einer Aufgabe | TaskCreated | Eine Aufgabe wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und PlanId null an. |
Ändern einer Aufgabe | TaskModified | Eine Aufgabe wird von einem Benutzer oder einer App geändert. |
Eine Aufgabe wurde gelöscht. | TaskDeleted | Eine Aufgabe wird von einem Benutzer oder einer App gelöscht. |
Aufgabe zugewiesen | TaskAssigned | Der zugewiesene Benutzer einer Aufgabe wird von einem Benutzer oder einer App geändert. Dies kann eine nicht zugewiesene Aufgabe sein, die zugewiesen wird, oder eine zugewiesene Aufgabe hat einen neuen Zugewiesenen. |
Abgeschlossen einer Aufgabe | TaskCompleted | Eine Aufgabe wird von einem Benutzer oder einer App als abgeschlossen markiert. |
Erstellen einer Liste | RosterCreated | Eine Liste wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und MemberIds eine leere Zeichenfolge an. |
Eine Liste wurde gelöscht. | RosterDeleted | Eine Liste wird von einem Benutzer oder einer App gelöscht. |
Mitglied(en) zu einer Liste hinzugefügt | RosterMemberAdded | Ein Element(en) wird einer Liste hinzugefügt. Wenn der Add-Vorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an. |
Ein/n Mitglied(en) in einer Liste entfernt | RosterMemberDeleted | Ein(e) Mitglied(en) wird aus einer Liste entfernt. Wenn der Entfernungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an. |
Lesen einer Liste von Plänen | PlanListRead | Eine Liste von Plänen wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanList eine leere Zeichenfolge an. |
Lesen einer Liste von Aufgaben | TaskListRead | Eine Liste von Aufgaben wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt TaskList eine leere Zeichenfolge an. |
Aktualisierte Mandanteneinstellungen | TenantSettingsUpdated | Mandanteneinstellungen werden von einem Mandantenadministrator aktualisiert. Wenn der Aktualisierungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId die ursprünglichen Einstellungen an, und TenantSettings gibt die versuchten Mandanteneinstellungen an. |
Vertraulichkeitsbezeichnung einer Liste aktualisiert | RosterSensitivityLabelUpdated | Ein Benutzer oder eine App aktualisiert die Vertraulichkeitsbezeichnung einer Liste. |
Microsoft Power Apps-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Power Apps durchsuchen. Diese Aktivitäten umfassen das Erstellen, Starten und Veröffentlichen einer App. Das Zuweisen von Berechtigungen zu Apps wird ebenfalls überwacht. Eine Beschreibung aller Power Apps-Aktivitäten finden Sie unter Aktivitätsprotokollierung für Power Apps.
Hinweis
Überwachungsereignisse von Warnungsrichtlinien (Schutzwarnung) (RecordType:45) werden derzeit für PowerApps nicht unterstützt.
Microsoft Power Automate-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Power Automate (früher Microsoft Flow) durchsuchen. Diese Aktivitäten umfassen das Erstellen, Bearbeiten und Löschen von Flows sowie das Ändern von Flow-Berechtigungen. Informationen zur Überwachung für Power Automate-Aktivitäten finden Sie im Blog Power Automate-Überwachungsereignisse jetzt im Complianceportal verfügbar.
Microsoft Project für das Web-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Project für das Web durchsuchen. Microsoft Project für das Web basiert auf Microsoft Dataverse und verfügt über eine zugeordnete Project Power App. Informationen zum Aktivieren der Überwachung für Szenarien, in denen der Benutzer Microsoft Dataverse oder project Power App verwendet, finden Sie unter Anleitung zur Überwachung der Systemeinstellungen . Eine Liste der Entitäten im Zusammenhang mit Project für das Web finden Sie im Leitfaden Exportieren von Benutzerdaten aus Project für das Web.
Informationen zu Microsoft Project für das Web finden Sie unter Microsoft Project für das Web.
Hinweis
Die Überwachung von Ereignissen für Microsoft Project für das Web-Aktivitäten erfordert eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Projekt erstellt | ProjectCreated | Ein Projekt wird von einem Benutzer oder einer App erstellt. |
Roadmap erstellt | RoadmapCreated | Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App erstellt. |
Erstelltes Roadmapelement | RoadmapItemCreated | Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App erstellt. |
Erstellte Aufgabe | TaskCreated | Eine Aufgabe wird von einem Benutzer oder einer App erstellt. |
Gelöschtes Projekt | ProjectDeleted | Ein Projekt wird von einem Benutzer oder einer App gelöscht. |
Gelöschte Roadmap | RoadmapDeleted | Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelöscht. |
Gelöschtes Roadmapelement | RoadmapItemDeleted | Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelöscht. |
Gelöschte Aufgabe | TaskDeleted | Eine Aufgabe wird von einem Benutzer oder einer App gelöscht. |
Zugriff auf Projekt | ProjectAccessed | Ein Projekt wird gelesen oder app verwendet. |
Zugriff auf die Projektstartstarts | ProjectListAccessed | Eine Liste von Projekten und/oder Roadmaps wird von einem Benutzer abgefragt. |
Zugriff auf die Roadmap | RoadmapAccessed | Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelesen. |
Zugriff auf Roadmap-Element | RoadmapItemAccessed | Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelesen. |
Zugriff auf die Aufgabe | TaskAccessed | Eine Aufgabe wird von einem Benutzer oder einer App gelesen. |
Aktualisierte Projekteinstellungen | ProjectForTheWebProjectSettings | Projekteinstellungen werden von einem Administrator aktualisiert. |
Aktualisierte Roadmap | RoadmapUpdated | Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App geändert. |
Aktualisiertes Roadmapelement | RoadmapItemUpdated | Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App geändert. |
Aktualisierte Roadmapeinstellungen | ProjectForTheWebRoadmaptSettings | Roadmap- oder Portfolioeinstellungen werden von einem Administrator aktualisiert. |
Aktualisierte Aufgabe | TaskUpdated | Eine Aufgabe wird von einem Benutzer oder einer App geändert. |
Aktualisiertes Projekt | ProjectUpdated | Ein Projekt wird von einem Benutzer oder einer App geändert. |
Microsoft Purview Audit Von Lösungsaktivitäten
In der folgenden Tabelle sind Aktivitäten im Zusammenhang mit Überwachungslösungen im Microsoft Purview-Portal, im Microsoft Purview-Complianceportal und im Graph-API für die Überwachungssuche aufgeführt. Diese Aktivitäten werden unter der Workload SecurityComplianceCenter überwacht. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Überwachungs-Such- und Exportaktivitäten, die mit Search-UnifiedAuditLog ausgeführt werden, werden nicht überwacht.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Überwachungssuche erstellt | AuditSearchCreated | Eine neue Überwachungssuchanforderung wird übermittelt. |
Überwachungssuche abgeschlossen | AuditSearchCompleted | Ein Überwachungssuchauftrag ist abgeschlossen. |
Überwachen der Suche abgebrochen | AuditSearchCancelled | Ein Überwachungssuchauftrag wird abgebrochen. |
Überwachungssuche gelöscht | AuditSearchDeleted | Ein Überwachungssuchauftrag wird gelöscht. |
Überwachen des erstellten Exportauftrags für die Suche | AuditSearchExportJobCreated | Ein Exportauftrag wird erstellt, um die Suchergebnisse einer Überwachungssuchabfrage zu exportieren. |
Überwachen des Abgeschlossenen Exportauftrags für die Suche | AuditSearchExportJobCompleted | Der Exportauftrag zum Exportieren der Suchergebnisse einer Überwachungssuchabfrage ist abgeschlossen. |
Heruntergeladene Suchergebnisse überwachen | AuditSearchExportResultsDownloaded | Die Suchergebnisse aus einer Überwachungssuchabfrage wurden heruntergeladen. |
Microsoft Purview-Governanceaktivitäten
In der folgenden Tabelle sind Microsoft Purview-Governanceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Microsoft Purview-Governancelösungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Ressource oder Entität erstellt | EntityCreated | Ein neues Medienobjekt oder eine neue Entität wird erstellt oder einer vorhandenen Ressource hinzugefügt. |
Klassifizierung hinzugefügt | KlassifizierungHinzuadded | Fügen Sie Klassifizierungen zur Ressourcenentität hinzu. |
Klassifizierungsdefinition erstellt | ClassificationDefinitionCreated | Erstellen Sie einen Klassifizierungstyp. |
Klassifizierungsdefinition gelöscht | ClassificationDefinitionDeleted | Löschen eines Klassifizierungstyps. |
Klassifizierungsdefinition aktualisiert | ClassificationDefinitionUpdated | Aktualisieren eines Klassifizierungstyps. |
Klassifizierung gelöscht | ClassificationDeleted | Löscht Klassifizierungen aus der Ressourcenentität. |
Klassifizierung aktualisiert | ClassificationUpdated | Aktualisieren sie Klassifizierungen für die Assetentität. |
Entität gelöscht | EntityDeleted | Ein Medienobjekt oder eine Entität wird aus einem vorhandenen Medienobjekt gelöscht. |
Entität aktualisiert | EntityUpdated | Umfasst: Attributaktualisierung, Geschäftsattributaktualisierung, Sammlungsinformationen (nur Sammlungs-ID enthalten), Kontakte aktualisieren, customAttributes, hierarchy, homeId, Bezeichnungen, sourceDetails |
Glossarbegriff zugewiesen | GlossarTermAssigned | Weisen Sie Begriffe der Ressourcenentität zu. |
Glossarbegriff erstellt | GlossaryTermCreated | Erstellen Sie einen Begriff. |
Glossarbegriff gelöscht | GlossarTermDeleted | Löschen eines Begriffs. |
Glossarbegriff getrennt | GlossarTermDisassociated | Heben Sie die Zuordnung von Begriffen zur Objektentität auf. |
Glossarbegriff aktualisiert | GlossarTermUpdated | Aktualisieren eines Begriffs. |
Vertraulichkeitsbezeichnung geändert | SensitivityLabelChanged | Vertraulichkeitsbezeichnung wird hinzugefügt/aktualisiert/gelöscht. |
Microsoft Stream-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Stream durchsuchen. Diese Aktivitäten umfassen Videoaktivitäten, die von Benutzern ausgeführt werden, Gruppenkanalaktivitäten und Administratoraktivitäten, beispielsweisedas Verwalten von Benutzern und Organisationseinstellungen sowie das Exportieren von Berichten. Eine Beschreibung dieser Aktivitäten finden Sie im Abschnitt "Aktionen, die in Stream protokolliert werden" in den Überwachungsprotokollen in Microsoft Stream.
Microsoft Teams-Aktivitäten
In der folgenden Tabelle sind Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Teams durchsuchen. Microsoft Teams ist ein Arbeitsbereich in Microsoft 365, der das Chatten ermöglicht. Hier werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams an einem Ort zusammengeführt. Ausführlichere Suchanleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Bot zum Team hinzugefügt | BotAddedToTeam | Ein Benutzer fügt einem Team einen Bot hinzu. |
Kanal hinzugefügt | ChannelAdded | Ein Benutzer fügt einem Team einen Kanal hinzu. |
Connector hinzugefügt | ConnectorAdded | Ein Benutzer fügt einen Connector zu einem Kanal hinzu. |
Details zu Teams-Besprechung 9 hinzugefügt | MeetingDetail | Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung. |
Informationen zu Besprechungsteilnehmern hinzugefügt 9 | MeetingParticipantDetail | Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat. |
Mitglieder hinzugefügt 6, 8 | MemberAdded | Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu. |
Registerkarte hinzugefügt | TabAdded | Ein Benutzer fügt einem Kanal eine Registerkarte hinzu. |
Angewendete Vertraulichkeitsbezeichnung | SensitivityLabelApplied | Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet. |
Kanaleinstellung geändert | ChannelSettingChanged | Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Organisationseinstellung geändert | TeamsTenantSettingChanged | Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Rolle von Mitgliedern im Team geändert | MemberRoleChanged | Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist. 1 – Gibt die Memberrolle an. 2 – Gibt die Rolle Besitzer an. 3 - Gibt die Gastrolle an. Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds. |
Teameinstellung geändert | TeamSettingChanged | Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
Geänderte Vertraulichkeitsbezeichnung | SensitivityLabelChanged | Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert. |
Erstellen eines Chats 1 | ChatCreated | Ein Teams-Chat wurde erstellt. |
Team erstellt | TeamCreated | Ein Benutzer erstellt ein Team. |
Nachricht gelöscht 2 | MessageDeleted | Eine Nachricht in einem Chat oder Kanal wurde gelöscht. |
Alle organization-Apps gelöscht | DeletedAllOrganizationApps | Alle organization Apps aus dem Katalog gelöscht. |
Gelöschte App | AppDeletedFromCatalog | Eine App wurde aus dem Katalog gelöscht. |
Kanal gelöscht | ChannelDeleted | Ein Benutzer löscht einen Kanal aus einem Team. |
Team gelöscht | TeamDeleted | Ein Teambesitzer löscht ein Team. |
Bearbeiten einer Nachricht mit einem URL-Link in Teams | MessageEditedHasLink | Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu. |
Exportierte Nachrichten 1,2 | MessagesExported | Chat- oder Kanalnachrichten wurden exportiert. |
Exportierte Aufzeichnungen 1 | RecordingExported | Chataufzeichnungen wurden exportiert. |
Exportierte Transkripte 1 | TranscriptsExported | Chattranskripte wurden exportiert. |
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 | FailedValidation | Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen. |
Abgerufener Chat 1 | ChatRetrieved | Ein Microsoft Teams-Chat wurde abgerufen. |
Alle gehosteten Inhalte einer Nachrichtabgerufen 1 | MessageHostedContentsListed | Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen. |
App installiert | AppInstalled | Eine App wurde installiert. |
Aktion für Karte ausgeführt | PerformenCardAction | Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen. Anmerkung: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar. |
Neue Nachricht veröffentlicht 1, 6, 8 | MessageSent | Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht. |
Veröffentlichte App | AppPublishedToCatalog | Dem Katalog wurde eine App hinzugefügt. |
Lesen einer Nachricht 1 | MessageRead | Eine Nachricht eines Chats oder Kanals wurde abgerufen. |
Lesen des gehosteten Inhalts einer Nachricht 1 | MessageHostedContentRead | Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen. |
Bot aus Team entfernt | BotRemovedFromTeam | Ein Benutzer entfernt einen Bot aus einem Team. |
Connector entfernt | ConnectorRemoved | Ein Benutzer entfernt einen Connector aus einem Kanal. |
Entfernte Mitglieder 8 | MemberRemoved | Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat. |
Vertraulichkeitsbezeichnung entfernt | SensitivityLabelRemoved | Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt. |
Freigabe von Teamkanal 3 entfernt | TerminatedSharing | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert. |
Freigabe von Teamkanal 3 wiederhergestellt | SharingRestored | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert. |
Registerkarte entfernt | TabRemoved | Ein Benutzer entfernt eine Registerkarte aus einem Kanal. |
Auf Einladung für den freigegebenen Kanal 3 geantwortet | EingeladeneAntworten | Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet. |
Antwort der eingeladenen Person auf freigegebenen Kanal 3 | ChannelOwnerResponded | Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat. |
Abgerufene Nachrichten 1 | MessagesListed | Nachrichten aus einem Chat oder Kanal wurden abgerufen. |
Senden einer Nachricht mit einem URL-Link in Teams | MessageCreatedHasLink | Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams. |
Gesendete Änderungsbenachrichtigung zur Nachrichtenerstellung 1 | MessageCreatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen. |
Gesendete Änderungsbenachrichtigung zum Löschen von Nachrichten 1 | MessageDeletedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen. |
Gesendete Änderungsbenachrichtigung für Meldungsupdate 1 | MessageUpdatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen. |
Gesendete Einladung für den freigegebenen Kanal 3 | InviteSent | Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist. |
Nachrichtenänderungsbenachrichtigungen abonniert 1 | SubscribedToMessages | Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen. |
Deinstallierte App | AppUninstalled | Eine App wurde deinstalliert. |
Aktualisierte App | AppUpdatedInCatalog | Eine App wurde im Katalog aktualisiert. |
Chat aktualisiert 1 | ChatUpdated | Ein Teams-Chat wurde aktualisiert. |
Nachricht aktualisiert 1 | MessageUpdated | Eine Nachricht eines Chats oder Kanals wurde aktualisiert. |
Connector aktualisiert | ConnectorUpdated | Ein Benutzer hat in einem Kanal einen Connector geändert. |
Registerkarte aktualisiert | TabUpdated | Ein Benutzer hat in einem Kanal eine Registerkarte geändert. |
Aktualisierte App | AppUpgradeed | Eine App wurde im Katalog auf die neueste Version aktualisiert. |
Benutzer bei Teams angemeldet | TeamsSessionStarted | Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten. |
Veröffentlicht Neue Nachricht 3,4,6, 8 | MessageSent | Eine neue Nachricht wurde in einem Chat oder Kanal gepostet. |
Hinweis
1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.
8 Dieses Ereignis ist in allen Chatunterhaltungen zwischen externen Teams-Benutzern enthalten, die von einem organization verwaltet werden, und externen Teams-Benutzern, die nicht von einem organization verwaltet werden.
9 Dieses Ereignis ist derzeit in Organisationen der Government Community Cloud (GCC) und des Verteidigungsministeriums (Department of Defense, DoD) nicht verfügbar.
Microsoft Teams-Aktivitäten im Gesundheitswesen
Wenn Ihre Organisation die Patientenanwendung in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Patienten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Patienten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.
Eine Beschreibung der Patienten-App-Aktivitäten finden Sie unter Überwachungsprotokolle für die Patienten-App.
Microsoft Teams Schichten-Aktivitäten
In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll protokollierten Aktivitäten der Shift-App in Microsoft Teams aufgeführt. Wenn Ihre Organisation die App Schichten in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Schichten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Planungsgruppe hinzugefügt | ScheduleGroupAdded | Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu. |
Bearbeitete Zeitplanungsgruppe | ScheduleGroupEdited | Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe. |
Gelöschte Zeitplanungsgruppe | ScheduleGroupDeleted | Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan. |
Zeitplan zurückgezogen | ScheduleWithdrawn | Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück. |
Hinzugefügte Verschiebung | ShiftAdded | Ein Benutzer fügt erfolgreich eine Schicht hinzu. |
Bearbeitete Schicht | ShiftEdited | Ein Benutzer bearbeitet erfolgreich eine Schicht. |
Gelöschte Schicht | SHIFTDeleted | Ein Benutzer löscht erfolgreich eine Schicht. |
Hinzugefügte Freizeit | TimeOffAdded | Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu. |
Bearbeitete Freizeit | TimeOffEdited | Ein Benutzer bearbeitet die Freizeit erfolgreich. |
Löschzeit | TimeOffDeleted | Ein Benutzer löscht die Freizeit erfolgreich. |
Offene Schicht hinzugefügt | OpenShiftAdded | Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu. |
Bearbeitete offene Schicht | OpenShiftEdited | Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe. |
Geöffnete Schicht gelöscht | OpenShiftDeleted | Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe. |
Freigegebener Zeitplan | ScheduleShared | Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben. |
Getaktet mithilfe der Zeituhr | ClockedIn | Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet. |
Ausgetaktet mithilfe der Zeituhr | ClockedOut | Ein Benutzer hat die Zeituhr erfolgreich verwendet. |
Pause mithilfe der Zeituhr gestartet | BreakStarted | Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung. |
Beendigung der Pause mithilfe der Zeituhr | BreakEnded | Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich. |
Zeituhreintrag hinzugefügt | TimeClockEntryAdded | Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu. |
Bearbeiteter Zeituhreintrag | TimeClockEntryEdited | Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle. |
Gelöschter Zeituhreintrag | TimeClockEntryDeleted | Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle. |
Schichtanforderung hinzugefügt | RequestAdded | Ein Benutzer hat eine Schichtanforderung hinzugefügt. |
Antwort auf Schichtanforderung | RequestRespondedTo | Ein Benutzer hat auf eine Schichtanforderung geantwortet. |
Abgebrochene Schichtanforderung | RequestCancelled | Ein Benutzer hat eine Schichtanforderung abgebrochen. |
Geänderte Zeitplaneinstellung | ScheduleSettingChanged | Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten. |
Mitarbeiterintegration hinzugefügt | WorkforceIntegrationAdded | Die Schichten-App ist in ein Drittanbietersystem integriert. |
Meldung "Außerhalb der Schicht akzeptiert" | OffShiftDialogAccepted | Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen. |
Microsoft Teams Updates-Aktivitäten
In der folgenden Tabelle sind Updates-App in Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Wenn Ihr organization die Updates-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll mithilfe der Updates-App nach Aktivitäten im Zusammenhang mit durchsuchen. Wenn Ihre Umgebung für die Unterstützung von Updates-Apps konfiguriert ist, ist eine zusätzliche Aktivitätsgruppe für diese Aktivitäten in der Auswahlliste Aktivitäten verfügbar.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Erstellen einer Updateanforderung | CreateUpdateRequest | Ein Benutzer erstellt erfolgreich eine Updateanforderung. |
Bearbeiten einer Updateanforderung | EditUpdateRequest | Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt. |
Übermitteln eines Updates | SubmitUpdate | Ein Benutzer übermittelt erfolgreich ein Update. |
Anzeigen der Details eines Updates | ViewUpdate | Ein Benutzer zeigt die Details des Updates an. |
Microsoft To Do-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Microsoft To Do aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft To Do finden Sie unter Support für Microsoft To Do.
Hinweis
Die Überwachung von Ereignissen für Microsoft To Do-Aktivitäten erfordert zusätzlich zur relevanten Microsoft 365-Lizenz, die Berechtigungen auf Audit (Premium) enthält, eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Akzeptierter Freigabelink im Ordner | AcceptedSharingLinkOnFolder | Akzeptierter Freigabelink für einen Ordner. |
Anlage erstellt | AttachmentCreated | Für eine Aufgabe wurde eine Anlage erstellt. |
Anlage aktualisiert | AttachmentUpdated | Eine Anlage wurde aktualisiert. |
Anlage gelöscht | AttachmentDeleted | Eine Anlage wurde gelöscht. |
Ordnerfreigabelink freigegeben | FolderSharingLinkShared | Es wurde ein Freigabelink für einen Ordner erstellt. |
Verknüpfte Entität gelöscht | LinkedEntityDeleted | Eine verknüpfte Entität wurde gelöscht. |
Verknüpfte Entität aktualisiert | LinkedEntityUpdated | Eine verknüpfte Entität wurde aktualisiert. |
Verknüpfte Entität erstellt | LinkedEntityCreated | Eine verknüpfte Entität der Aufgabe wurde erstellt. |
SubTask erstellt | SubTaskCreated | Ein Teilvorgang wurde erstellt. |
SubTask gelöscht | SubTaskDeleted | Ein Teilvorgang wurde gelöscht. |
SubTask aktualisiert | SubTaskUpdated | Ein Teilvorgang wurde aktualisiert. |
Aufgabe erstellt | TaskCreated | Eine Aufgabe wurde erstellt. |
Aufgabe gelöscht | TaskDeleted | Eine Aufgabe wurde gelöscht. |
Aufgabenlesevorgang | TaskRead | Eine Aufgabe wurde gelesen. |
Aufgabe aktualisiert | TaskUpdated | Eine Aufgabe wurde aktualisiert. |
TaskList erstellt | TaskListCreated | Eine Aufgabenliste wurde erstellt. |
TaskList lesen | TaskListRead | Eine Aufgabenliste wurde gelesen. |
TaskList aktualisiert | TaskListUpdated | Eine Aufgabenliste wurde aktualisiert. |
Eingeladener Benutzer | UserInvited | Eingeladener Benutzer in einen Ordner. |
Microsoft Viva Insights Aktivitäten
Viva Insights bietet Einblicke in die Zusammenarbeit von Gruppen in Ihren organization. In der folgenden Tabelle sind Aktivitäten aufgeführt, die von Benutzern ausgeführt werden, denen die Rolle "Administrator" oder "Analyst" in Viva Insights zugewiesen ist. Benutzern, denen die Rolle des Analysten zugewiesen ist, haben Vollzugriff auf alle Dienstfunktionen und können das Produkt für Analysen verwenden. Benutzer, denen die Administratorrolle zugewiesen ist, können Datenschutzeinstellungen und Systemstandardeinstellungen konfigurieren und Organisationsdaten in Viva Insights vorbereiten, hochladen und überprüfen. Weitere Informationen finden Sie unter Einführung in Microsoft Viva Insights.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Auf OData-Link zugegriffen | AccessedOdataLink | Analyst hat auf für eine Abfrage auf den OData-Link zugegriffen. |
Delegatzugriff hinzugefügt | AddDelegates | Ein Benutzer hat Stellvertretungszugriff für organization Insights oder Copilot Dashboard hinzugefügt. |
Abfrage abgebrochen | CanceledQuery | Ein Analyst hat eine laufende Abfrage abgebrochen. |
Besprechungsausschluss erstellt | MeetingExclusionCreated | Ein Analytiker hat eine Ausschlussregel Besprechungen erstellt. |
Ergebnis gelöscht | DeletedResult | Ein Analyst hat ein Abfrageergebnis gelöscht. |
Bericht heruntergeladen | DownloadedReport | Ein Analyst hat eine Abfrageergebnisdatei heruntergeladen. |
Abfrage ausgeführt | ExecutedQuery | Ein Analyst hat eine Abfrage ausgeführt. |
Delegatzugriff entfernt | RemoveDelegates | Ein Benutzer hat den Stellvertretungszugriff für organization Insights oder Copilot Dashboard entfernt. |
Datenzugriffseinstellungen aktualisiert | UpdatedDataAccessSetting | Ein Administrator hat die Datenzugriffseinstellungen aktualisiert. |
Datenschutzeinstellung aktualisiert | UpdatedPrivacySetting | Admin aktualisierten Datenschutzeinstellungen, z. B. minimale Gruppengröße. |
Organisationsdaten hochgeladen | UploadedOrgData | Ein Administrator hat eine Organisationsdatendatei hochgeladen. |
Angemeldeter Benutzer* | UserLoggedIn | Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto angemeldet ist. |
Benutzer abgemeldet* | UserLoggedOff | Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto abgemeldet ist. |
Explore angezeigt | ViewedExplore | Ein Analyst hat Visualisierungen in einer oder mehreren Explore-Registerkarten angezeigt. |
Hinweis
*Ein Microsoft Entra Anmelde- und Abmeldeaktivitätsereignis wird erstellt, wenn sich ein Benutzer anmeldet. Diese Aktivität wird auch dann protokolliert, wenn Sie Viva Insights in Ihrem organization nicht aktiviert haben. Weitere Informationen zu Benutzeranmeldungsaktivitäten finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.
Persönliche Insights-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in persönlichen Erkenntnissen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu persönlichen Erkenntnissen finden Sie unter Admin Leitfaden für persönliche Einblicke.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Aktualisierte MyAnalytics-Einstellungen für die Organisation | UpdatedOrganizationMyAnalyticsSettings | Admin organization Einstellungen für persönliche Erkenntnisse aktualisiert. |
Aktualisierte MyAnalytics-Einstellungen für Benutzer | UpdatedUserMyAnalyticsSettings | Admin aktualisiert die Benutzereinstellungen für persönliche Erkenntnisse. |
Quarantäneaktivitäten
In der nachstehenden Tabelle sind die Quarantäneaktivitäten aufgeführt, nach denen Sie im Überwachungsprotokoll suchen können. Weitere Informationen zur Quarantäne finden Sie unter Isolierte E-Mail-Nachrichten.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Gelöschte Quarantänenachricht | QuarantineDeleteMessage | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht gelöscht, die als schädlich eingestuft wurde. |
Anforderung zur Freigabe von Nachrichten unter Quarantäne verweigert | QuarantineReleaseRequestDeny | Ein Administrator verweigert eine Freigabeanforderung eines Benutzers für eine E-Mail-Nachricht, die als schädlich eingestuft wurde. |
Exportierte Quarantänenachricht | QuarantineExport | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht exportiert, die als schädlich eingestuft wurde. |
In der Vorschau angezeigte Quarantänenachricht | QuarantinePreview | Ein Administrator oder Benutzer hat eine Vorschau einer E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde. |
Veröffentlichte Quarantänenachricht | QuarantineRelease | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht aus der Quarantäne freigegeben, die als schädlich eingestuft wurde. |
Releaseanforderungsquarantänenachricht | QuarantineReleaseRequest | Ein Benutzer hat die Freigabe einer E-Mail-Nachricht angefordert, die als schädlich eingestuft wurde. |
Angezeigte Kopfzeile einer Nachricht in der Quarantäne | QuarantineViewHeader | Ein Administrator oder Benutzer hat in der Kopfzeile eine E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde. |
Berichtsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Nutzungsberichte aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Datenschutzeinstellungen für Nutzungsberichte aktualisiert | UpdateUsageReportsPrivacySetting | Der Administrator hat die Datenschutzeinstellungen für Nutzungsberichte aktualisiert. |
Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten
In der folgenden Tabelle werden die Konfigurationsaktivitäten für Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen bei deren Erstellung, Neukonfiguration oder Löschung beschrieben.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Mitgliedschaft im adaptiven Bereich geändert | ApplicableAdaptiveScopeChange | Benutzer, Websites oder Gruppen wurden dem adaptiven Bereich hinzugefügt oder daraus entfernt. Diese Änderungen sind das Ergebnis der Ausführung der Bereichsabfrage. Da die Änderungen vom System initiiert werden, wird der gemeldete Benutzer als GUID und nicht als Benutzerkonto angezeigt. |
Einstellungen für eine Aufbewahrungsrichtlinie konfiguriert | NewRetentionComplianceRule | Der Administrator hat die Aufbewahrungseinstellungen für eine neue Aufbewahrungsrichtlinie konfiguriert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets New-RetentionComplianceRule. |
Adaptiver Bereich erstellt | NewAdaptiveScope | Der Administrator hat einen adaptiven Bereich erstellt. |
Aufbewahrungsbezeichnung erstellt | NewComplianceTag | Der Administrator hat eine neue Aufbewahrungsbezeichnung erstellt. |
Aufbewahrungsrichtlinie erstellt | NewRetentionCompliancePolicy | Der Administrator hat eine neue Aufbewahrungsrichtlinie erstellt. |
Adaptiver Bereich gelöscht | RemoveAdaptiveScope | Der Administrator hat einen adaptiven Bereich gelöscht. |
Einstellungen für eine Aufbewahrungsrichtlinie gelöscht | RemoveRetentionComplianceRule |
Der Administrator hat die Konfigurationseinstellungen einer Aufbewahrungsrichtlinie gelöscht. Höchstwahrscheinlich wird diese Aktivität protokolliert, wenn ein Administrator eine Aufbewahrungsrichtlinie löscht oder das Cmdlet Remove-RetentionComplianceRule ausführt. |
Aufbewahrungsbezeichnung gelöscht | RemoveComplianceTag | Der Administrator hat eine Aufbewahrungsbezeichnung gelöscht. |
Aufbewahrungsrichtlinie gelöscht | RemoveRetentionCompliancePolicy |
Der Administrator hat eine Aufbewahrungsrichtlinie gelöscht. |
Option "Regulatorischer Datensatz" für Aufbewahrungsbezeichnungen aktiviert |
SetRestrictiveRetentionUI | Der Administrator hat das Cmdlet Set-RegulatoryComplianceUI ausgeführt, sodass ein Administrator die Option für die Benutzeroberflächenkonfiguration für eine Aufbewahrungsbezeichnung auswählen kann, um Inhalte als regulatorischen Datensatz zu kennzeichnen. |
Proaktiv beibehaltenes E-Mail-Element | ExchangeDataProactivelyPreserved | Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in Exchange beizubehalten. |
Proaktiv beibehaltene Datei | SharePointDataProactivelyPreserved | Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in SharePoint oder OneDrive beizubehalten. |
Adaptiver Bereich aktualisiert | SetAdaptiveScope | Der Administrator hat die Beschreibung oder Abfrage für einen vorhandenen adaptiven Bereich geändert. |
Einstellungen für eine Aufbewahrungsrichtlinie aktualisiert | SetRetentionComplianceRule | Der Administrator hat die Aufbewahrungseinstellungen für eine vorhandene Aufbewahrungsrichtlinie geändert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets Set-RetentionComplianceRule. |
Aufbewahrungsbezeichnung aktualisiert | SetComplianceTag | Der Administrator hat eine vorhandene Aufbewahrungsbezeichnung aktualisiert. |
Aufbewahrungsrichtlinie aktualisiert | SetRetentionCompliancePolicy | Der Administrator hat eine vorhandene Aufbewahrungsrichtlinie aktualisiert. Updates, die dieses Ereignis auslösen, sind beispielsweise das Hinzufügen oder Ausschließen von Inhaltsspeicherorten, auf die die Aufbewahrungsrichtlinie angewendet ist. |
Rollenverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Aktivitäten zur Rollenverwaltung aufgeführt, die protokolliert werden, wenn ein Administrator Administratorrollen im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( .
). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" "
) zu setzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Mitglied zu Rolle hinzugefügt | Mitglied zu Rolle hinzufügen. | Ein Benutzer wurde einer Administratorrolle in Microsoft 365 hinzugefügt. |
Benutzer aus einer Directory-Rolle entfernt | Mitglied aus Rolle entfernen. | Ein Benutzer wurde aus einer Administratorrolle in Microsoft 365 entfernt. |
Kontaktinformationen für Unternehmen festgelegt | Kontaktinformationen für Unternehmen festlegen. | Die Kontakteinstellungen auf Unternehmensebene für Ihre Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Microsoft 365 gesendet werden, sowie technische Benachrichtigungen zu Diensten. |
Aktivitäten vertraulicher Informationstypen
In der folgenden Tabelle werden die Überwachungsereignisse für Aktivitäten beschrieben, die das Erstellen und Aktualisieren vertraulicher Informationstypen betreffen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Neuer vertraulicher Informationstyp erstellt | CreateRulePackage/EditRulePackage* | Ein neuer vertraulicher Informationstyp wurde erstellt. Dies schließt alle SITs ein, die durch Kopieren eines standardmäßigen SIT erstellt werden. Hinweis: Diese Aktivität wird unter den Überwachungsaktivitäten "Erstelltes Regelpaket" oder "Bearbeitetes Regelpaket" angezeigt. |
Bearbeiten eines vertraulichen Informationstyps | EditRulePackage | Ein vorhandener vertraulicher Informationstyp wurde bearbeitet. Dies kann Vorgänge wie das Hinzufügen/Entfernen eines Musters und das Bearbeiten des regex/Schlüsselwort (keyword) umfassen, der dem Typ vertraulicher Informationen zugeordnet ist. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" angezeigt. |
Ein vertraulicher Informationstyp wurde gelöscht. | EditRulePackage/RemoveRulePackage | Ein vorhandener vertraulicher Informationstyp wurde gelöscht. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" oder "Regelpaket entfernt" angezeigt. |
Vertraulichkeitsbezeichnungsaktivitäten
In der folgenden Tabelle sind Ereignisse aufgeführt, die sich aus der Verwendung von Vertraulichkeitsbezeichnungen mit Websites und Elementen ergeben, die von Microsoft Purview verwaltet werden. Zu den Elementen gehören Dokumente, E-Mails und Kalenderereignisse. Für Richtlinien zur automatischen Bezeichnung enthalten Elemente auch Dateien und schematisierte Datenressourcen in Microsoft Purview Data Map.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Vertraulichkeitsbezeichnung wurde auf Website angewendet | SiteSensitivityLabelApplied | Eine Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist. |
Vertraulichkeitsbezeichnung wurde von Website entfernt | SiteSensitivityLabelRemoved | Eine Vertraulichkeitsbezeichnung wurde von einer SharePoint-Website oder Teams-Website entfernt, die nicht mit einer Gruppe verbunden ist. |
Vertraulichkeitsbezeichnung wurde auf Datei angewendet | FileSensitivityLabelApplied SensitivityLabelApplied |
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung angewendet wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelApplied) – Microsoft 365-Apps (SensitivityLabelApplied) |
Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert | FileSensitivityLabelChanged SensitivityLabelUpdated |
Auf ein Element wurde eine andere Vertraulichkeitsbezeichnung angewendet. Die Vorgänge für diese Aktivität unterscheiden sich abhängig davon, wie die Bezeichnung geändert wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelChanged) – Microsoft 365-Apps (SensitivityLabelUpdated) |
Vertraulichkeitsbezeichnung auf einer Website geändert | SiteSensitivityLabelChanged | Eine andere Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist. |
Vertraulichkeitsbezeichnung wurde von Datei entfernt | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, einer Richtlinie für automatische Bezeichnungen oder dem Cmdlet Unlock-SPOSensitivityLabelEncryptedFile aus einem Element entfernt. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung entfernt wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelRemoved) – Microsoft 365-Apps (SensitivityLabelRemoved) |
Zusätzliche Überwachungsinformationen für Vertraulichkeitsbezeichnungen:
- Wenn Sie Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen und daher Teams-Websites verwenden, die mit einer Gruppe verbunden sind, werden die Bezeichnungen mit der Gruppenverwaltung in Microsoft Entra ID überwacht. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.
- Wenn Sie Vertraulichkeitsbezeichnungen für Teams-Besprechungseinladungen und Teams-Besprechungsoptionen und Chats verwenden, finden Sie weitere Informationen unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
- Wenn Sie Vertraulichkeitsbezeichnungen mit Power BI verwenden, finden Sie weitere Informationen unter Überwachen des Schemas für Vertraulichkeitsbezeichnungen in Power BI.
- Wenn Sie Vertraulichkeitsbezeichnungen mit Microsoft Defender für Cloud-Apps verwenden, lesen Sie Steuern verbundener Apps und die Bezeichnungsinformationen für Dateigovernanceaktionen.
- Wenn Sie Vertraulichkeitsbezeichnungen mithilfe des Microsoft Purview Information Protection-Clients oder Scanners oder des Microsoft Information Protection SDK (MIP) anwenden, finden Sie weitere Informationen unter Azure Information Protection Überwachungsprotokollreferenz.
SharePoint-Listen Aktivitäten
In der folgenden Tabelle sind die Aktivitäten im Zusammenhang mit der Interaktion zwischen Benutzern und Listenelementen in SharePoint Online beschrieben. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Liste erstellt | ListCreated | Ein Benutzer hat eine SharePoint-Liste erstellt. |
Listenspalte erstellt | ListColumnCreated | Ein Benutzer hat eine Listenspalte in einer SharePoint-Liste erstellt. Eine Listenspalte ist eine Spalte, die mit einer oder mehreren SharePoint-Listen verbunden ist. |
Listeninhaltstyp erstellt | ListContentTypeCreated | Ein Benutzer hat einen Listeninhaltstyp erstellt. Eine Listeninhaltstyp ist ein Inhaltstyp, der mit einer oder mehreren SharePoint-Listen verbunden ist. |
Listenelement erstellt | ListItemCreated | Ein Benutzer hat ein Element in einer vorhandenen SharePoint-Liste erstellt. |
Websitespalte erstellt | SiteColumnCreated | Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste erstellt. Eine Websitespalte ist eine Spalte, die keiner Liste angefügt ist. Eine Websitespalte ist auch eine Metadatenstruktur, die von jeder Liste in einem bestimmten Web verwendet werden kann. |
Websiteinhaltstyp erstellt | Site ContentTypeCreated | Ein Benutzer hat einen Websiteinhaltstyp erstellt. Bei einem Websiteinhaltstyp handelt es sich um einen Inhaltstyp, der mit der übergeordneten Website verknüpft ist. |
Liste gelöscht | ListDeleted | Ein Benutzer hat eine SharePoint-Liste gelöscht. |
Listenspalte gelöscht | ListColumnDeleted | Ein Benutzer hat eine SharePoint-Listenspalte gelöscht. |
Listeninhaltstyp gelöscht | ListContentTypeDeleted | Ein Benutzer hat einen Listeninhaltstyp gelöscht. |
Listenelement gelöscht | ListItemDeleted | Ein Benutzer hat ein Listenelement einer SharePoint-Liste gelöscht. |
Websitespalte gelöscht | SiteColumnDeleted | Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste gelöscht. |
Websiteinhaltstyp gelöscht | SiteContentTypeDeleted | Ein Benutzer hat einen Websiteinhaltstyp gelöscht. |
Listenelement in den Papierkorb verschoben | ListItemRecycled | Ein Benutzer hat ein SharePoint-Listenelement in den Papierkorb verschoben. |
Liste wiederhergestellt | ListRestored | Ein Benutzer hat eine SharePoint-Liste aus dem Papierkorb wiederhergestellt. |
Listenelement wiederhergestellt | ListItemRestored | Ein Benutzer hat ein SharePoint-Listenelement aus dem Papierkorb wiederhergestellt. |
Liste aktualisiert | ListUpdated | Ein Benutzer hat eine SharePoint-Liste aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
Listenspalte aktualisiert | ListColumnUpdated | Ein Benutzer hat eine SharePoint-Listenspalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
Listeninhaltstyp aktualisiert | ListContentTypeUpdated | Ein Benutzer hat einen Listeninhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
Listenelement aktualisiert | ListItemUpdated | Ein Benutzer hat ein SharePoint-Listenelement aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
Aktualisierte Listenansicht | ListViewUpdated | Ein Benutzer hat eine SharePoint-Listenansicht durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
Websitespalte aktualisiert | SiteColumnUpdated | Ein Benutzer hat eine SharePoint-Websitespalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
Websiteinhaltstyp aktualisiert | SiteContentTypeUpdated | Ein Benutzer hat einen Websiteinhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
Freigabe- und Zugriffsanforderungsaktivitäten
In der folgenden Tabelle sind die Freigabe- und Zugriffsanforderungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation ist. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.
Hinweis
Benutzer können entweder Mitglieder oder Gäste sein, basierend auf der UserType-Eigenschaft des Benutzerobjekts. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Nachdem der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen unmittelbar mit ihm geteilt werden (ohne vorherige Einladung).
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Berechtigungsstufe zu Websitesammlung hinzugefügt | PermissionLevelAdded | Eine Berechtigungsstufe wurde zu einer Websitesammlung hinzugefügt. |
Zugriffsanforderung akzeptiert | AccessRequestAccepted | Eine Zugriffsanforderung für eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde der Zugriff gewährt. |
Akzeptierte Freigabeeinladung | SharingInvitationAccepted | Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat. |
Freigabeeinladung gesperrt | SharingInvitationBlocked | Eine von einem Benutzer in Ihrer Organisation gesendete Freigabeeinladung wird aufgrund einer Richtlinie für externe Freigabe blockiert, die die externe Freigabe auf Basis der Domäne des Empfängers zulässt oder verweigert. In diesem Fall wurde die Freigabeeinladung blockiert, weil: Die Domäne des Zielbenutzers nicht in der Liste der zulässigen Domänen enthalten ist. Oder: Die Domäne des Zielbenutzers in der Liste der blockierten Domänen enthalten ist. Weitere Informationen zum Zulassen oder Blockieren externer Freigaben basierend auf Domänen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint Online und OneDrive for Business. |
Zugriffsanforderung erstellt | AccessRequestCreated | Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt. |
Unternehmensweit teilbarer Link erstellt | CompanyLinkCreated | Ein Benutzer hat einen unternehmensweit teilbaren Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern Ihrer Organisation verwendet werden. Sie können nicht von Gästen genutzt werden. |
Anonymer Link erstellt | AnonymousLinkCreated | Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen. |
Sicherer Link erstellt | SecureLinkCreated | Für dieses Element wurde ein sicherer Freigabelink erstellt. |
Freigabeeinladung erstellt | SharingInvitationCreated | Ein Benutzer hat eine Ressource in SharePoint Online oder OneDrive for Business mit einem Benutzer geteilt, der sich nicht im Verzeichnis Ihrer Organisation befindet. |
Sicherer Link gelöscht | SecureLinkDeleted | Ein sicherer Freigabelink wurde gelöscht. |
Zugriffsanforderung verweigert | AccessRequestDenied | Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert. |
Unternehmensweit teilbarer Link entfernt | CompanyLinkRemoved | Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden. |
Anonymer Link entfernt | AnonymousLinkRemoved | Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden. |
Datei, Ordner oder Website freigegeben | SharingSet | Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive for Business mit einem Benutzer im Verzeichnis Ihrer Organisation geteilt. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt. Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde. So kann beispielsweise der Benutzer einer Gruppe hinzugefügt werden, die Zugriff auf die Ressource hat. |
Zugriffsanforderung aktualisiert | AccessRequestUpdated | Eine Zugriffsanforderung für ein Element wurde aktualisiert. |
Anonymer Link aktualisiert | AnonymousLinkUpdated | Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen. |
Freigabeeinladung aktualisiert | SharingInvitationUpdated | Eine externe Freigabeeinladung wurde aktualisiert. |
Anonymer Link verwendet | AnonymousLinkUsed | Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen. |
Freigabe von Datei, Ordner oder Website aufgehoben | SharingRevoked | Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde. |
Unternehmensweit teilbarer Link verwendet | CompanyLinkUsed | Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen. |
Sicherer Link verwendet | SecureLinkUsed | Ein Benutzer hat einen sicheren Link verwendet. |
Benutzer zu sicherem Link hinzugefügt | AddedToSecureLink | Ein Benutzer wurde der Liste der Entitäten hinzugefügt, die einen sicheren Freigabelink verwenden können. |
Benutzer wurde aus „sicherer Link“ entfernt | RemovedFromSecureLink | Ein Benutzer wurde von der Liste der Entitäten entfernt, die einen sicheren Freigabelink verwenden können. |
Freigabeeinladung zurückgezogen | SharingInvitationRevoked | Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen. |
Websiteverwaltungsaktivitäten
Die folgende Tabelle enthält die Ereignisse, die aus Websiteverwaltungsaufgaben in SharePoint Online resultieren. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Zulässigen Datenspeicherort festgelegt | AllowedDataLocationAdded | Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung hinzugefügt. |
Ausgenommener Benutzer-Agent hinzugefügt | ExemptUserAgentSet | Ein SharePoint- oder globaler Administrator hat einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzugefügt. |
Geografischer Standort-Administrator hinzugefügt | GeoAdminAdded | Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts hinzugefügt. |
Benutzer das Erstellen von Gruppen gestattet | AllowGroupCreationSet | Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet. |
Verschiebung der Websitegeografie abgebrochen | SiteGeoMoveCancelled | Ein SharePoint- oder globaler Administrator bricht erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie ab. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online. |
Freigaberichtlinie geändert | SharingPolicyChanged | Ein SharePoint- oder globaler Administrator hat eine SharePoint-Freigaberichtlinie mithilfe des Microsoft 365 Admin Center, des SharePoint Online Admin Center oder der SharePoint Online-Verwaltungsshell geändert. Alle Änderungen an den Einstellungen der Freigaberichtlinie in Ihrer Organisation werden protokolliert. Die geänderte Richtlinie wird im Feld ModifiedProperties in den Detailinformationen des Ereignisdatensatzes aufgeführt. |
Zugriffsrichtlinie des Geräts geändert | DeviceAccessPolicyChanged | Ein SharePoint- oder globaler Administrator hat die Richtlinie für nicht verwaltete Geräte in Ihrer Organisation geändert. Diese Richtlinie steuert den Zugriff auf SharePoint, OneDrive und Microsoft 365 von Geräten, die Ihrer Organisation nicht beigetreten sind. Zum Konfigurieren dieser Richtlinie ist ein Enterprise Mobility + Security-Abonnement erforderlich. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten. |
Ausgenommene Benutzer-Agents geändert | CustomizeExemptUsers | Ein SharePoint- oder globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, dass das Formular als XML-Datei und nicht als gesamte Webseite zurückgegeben wird, wenn ein Benutzer-Agent, den Sie als Ausnahme angegeben haben, auf ein InfoPath-Formular trifft. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt. |
Netzwerkzugriffsrichtlinie geändert | NetworkAccessPolicyChanged | Ein SharePoint- oder globaler Administrator hat die standortbasierte Zugriffsrichtlinie (auch als „Grenze des vertrauenswürdigen Netzwerks“ bezeichnet) im SharePoint Admin Center oder mithilfe der SharePoint PowerShell geändert. Dieser Richtlinientyp steuert, wer basierend auf von Ihnen festgelegten autorisierten IP-Adressbereichen Zugriff auf SharePoint- und OneDrive-Ressourcen in Ihrer Organisation hat. Weitere Informationen finden Sie unter Steuern des Zugriffs auf SharePoint Online- und OneDrive-Daten auf der Grundlage von definierten Netzwerkspeicherorten. |
Abgeschlossener Migrationsauftrag | MigrationJobCompleted | Ein Migrationsauftrag wurde erfolgreich abgeschlossen. |
Verschiebung der Websitegeografie abgeschlossen | SiteGeoMoveCompleted | Eine von einem globalen Administrator in Ihrer Organisation angesetzte Verschiebung der Websitegeografie wurde erfolgreich abgeschlossen. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online. |
Senden-an-Verbindung erstellt | SendToConnectionAdded | Ein SharePoint- oder globaler Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln. |
Websitesammlung erstellt | SiteCollectionCreated | Ein SharePoint- oder globaler Administrator erstellt eine Websitesammlung in Ihrer SharePoint Online-Organisation, oder ein Benutzer stellt seine OneDrive for Business-Website bereit. |
Verwaiste Hub-Website gelöscht | HubSiteOrphanHubDeleted | Ein SharePoint- oder globaler Administrator hat eine verwaiste Hub-Website gelöscht. Es handelt sich dabei um eine Hub-Website, der keine Websites zugeordnet sind. Ein verwaister Hub ist wahrscheinlich durch den Löschvorgang der ursprünglichen Hub-Website entstanden. |
Senden-an-Verbindung gelöscht | SendToConnectionRemoved | Ein SharePoint- oder globaler Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. |
Website gelöscht | SiteDeleted | Der Websiteadministrator löscht eine Website. |
Dokumentvorschau aktiviert | PreviewModeEnabledSet | Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website. |
Älterer Workflow aktiviert | LegacyWorkflowEnabledSet | Der Websiteadministrator oder -besitzer fügt den SharePoint 2013-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren. |
Office on Demand aktiviert | OfficeOnDemandSet | Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Microsoft 365-Abonnement, bei dem alle Office-Anwendungen installiert werden. |
Ergebnisquelle für Personensuchen aktiviert | PeopleResultsScopeSet | Der Websiteadministrator erstellt die Ergebnisquelle für Personensuchen für eine Website. |
RSS-Feeds aktiviert | NewsFeedEnabledSet | Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren. |
Website mit Hub-Website verbunden | HubSiteJoined | Der Besitzer einer Website verknüpft seine Website mit einer Hub-Website. |
Websitesammlungskontingent geändert | SiteCollectionQuotaModified | Der Websiteadministrator ändert das Kontingent für eine Websitesammlung. |
Hub-Website registriert | HubSiteRegistered | Ein SharePoint- oder globaler Administrator erstellt eine Hub-Website. Das Ergebnis: Die Website ist als Hub-Website registriert. |
Zulässigen Datenspeicherort entfernt | AllowedDataLocationDeleted | Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort aus einer Multi-Geo-Umgebung entfernt. |
Geografischer Standort-Administrator entfernt | GeoAdminDeleted | Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts entfernt. |
Website umbenannt | SiteRenamed | Der Websiteadministrator oder -besitzer benennt eine Website um. |
Verschiebung der Websitegeografie geplant | SiteGeoMoveScheduled | Ein SharePoint- oder globaler Administrator plant erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online. |
Hostwebsite festgelegt | HostSiteSet | Ein SharePoint- oder globaler Administrator ändert die vorgesehene Website zum Hosten persönlicher oder OneDrive for Business-Websites. |
Ein Speicherkontingent für einen geografischen Standort wurde konfiguriert | GeoQuotaAllocated | Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung konfiguriert. |
Website von der Hub-Website gelöst | HubSiteUnjoined | Der Besitzer einer Website löst seine Website von einer Hub-Website. |
Registrierung einer Hub-Website entfernt | HubSiteUnregistered | Ein SharePoint- oder globaler Administrator hat die Registrierung seiner Website als Hub-Website entfernt. Wenn die Registrierung einer Hub-Website aufgehoben wird, funktioniert sie nicht mehr als Hub-Website. |
Websiteberechtigungsaktivitäten
In der folgenden Tabelle sind die Ereignisse im Zusammenhang mit dem Zuweisen von Berechtigungen in SharePoint und der Verwendung von Gruppen zum Gewähren (und Widerrufen) des Zugriffs auf Websites aufgelistet. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Websitesammlungsadministrator hinzugefügt | SiteCollectionAdminAdded | Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst Zugriff auf das OneDrive-Konto eines Benutzers gewährt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center oder mithilfe des Microsoft 365 Admin Centers). |
Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt | AddedToGroup | Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie eines Freigabeereignisses gewesen sein. |
Vererbung der Berechtigungsstufe unterbrochen | PermissionLevelsInheritanceBroken | Ein Element wurde geändert, sodass es die Berechtigungsstufen nicht mehr vom übergeordneten Element erbt. |
Vererbung der Freigabe unterbrochen | SharingInheritanceBroken | Ein Element wurde geändert, sodass es die Freigabeberechtigung nicht mehr vom übergeordneten Element erbt. |
Gruppe erstellt | GroupAdded | Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt. |
Gruppe gelöscht | GroupRemoved | Der Benutzer löscht eine Gruppe von einer Website. |
Zugriffsanforderungseinstellungen geändert | WebRequestAccessModified | Die Einstellungen für die Zugriffsanforderungseinstellungen wurden auf einer-Website geändert. |
Einstellung „Mitglieder können teilen“ geändert | WebMembersCanShareModified | Die Einstellung Mitglieder können freigeben wurde auf einer Website geändert. |
Berechtigungsstufe in Websitesammlung geändert | PermissionLevelModified | Eine Berechtigungsstufe in einer Websitesammlung wurde geändert. |
Websiteberechtigungen geändert | SitePermissionsModified | Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden. Hinweis: Dieser Vorgang ist in SharePoint Online veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht. |
Berechtigungsstufe aus einer Websitesammlung gelöscht | PermissionLevelRemoved | Eine Berechtigungsstufe wurde aus einer Websitesammlung gelöscht. |
Websitesammlungsadministrator entfernt | SiteCollectionAdminRemoved | Der Websitesammlungsadministrator oder -besitzer entfernt eine Person als Websitesammlungsadministrator für eine Website. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst von der Liste der Websitesammlungsadministratoren eines OneDrive-Kontos eines Benutzers entfernt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center). Um diese Aktivität in den Suchergebnissen des Überwachungsprotokolls zurückzugeben, müssen Sie nach allen Aktivitäten suchen. |
Benutzer oder Gruppe aus SharePoint-Gruppe entfernt | RemovedFromGroup | Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie dem Aufheben einer Freigabe gewesen sein. |
Website-Administratorberechtigungen angefordert | SiteAdminChangeRequest | Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. |
Vererbung der Freigabe wiederhergestellt | SharingInheritanceReset | Eine Änderung wurde vorgenommen, sodass ein Element die Freigabeberechtigung vom übergeordneten Element erbt. |
Gruppe aktualisiert | GroupUpdated | Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören. |
Synchronisierungsaktivitäten
In der folgenden Tabelle sind die Dateisychronisierungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Computer zum Synchronisieren von Dateien zugelassen | ManagedSyncClientAllowed | Der Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde. Weitere Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind. |
Computer für Synchronisieren von Dateien blockiert | UnmanagedSyncClientBlocked | Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus herzustellen, der nicht Mitglied der Domäne Ihres organization ist oder Mitglied einer Domäne ist, die nicht der Liste der Domänen (liste der sicheren Empfänger) hinzugefügt wurde, die auf Dokumentbibliotheken in Ihrem organization zugreifen können. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers wird daran gehindert, Dateien in einer Dokumentbibliothek zu synchronisieren, herunterzuladen oder hochzuladen. Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind. |
Dateien auf Computer heruntergeladen | FileSyncDownloadedFull | Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen. |
Dateiänderungen auf Computer heruntergeladen | FileSyncDownloadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet. |
Dateien in Dokumentbibliothek hochgeladen | FileSyncUploadedFull | Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert. |
Dateiänderungen in Dokumentbibliothek hochgeladen | FileSyncUploadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet. |
SystemSync-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten für SystemSync aufgeführt, die im Microsoft 365-Auditprotokoll protokolliert werden.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Data Share erstellt | DataShareCreated | Wenn der Datenexport vom Benutzer erstellt wird. |
Data Share gelöscht | DataShareDeleted | Wenn der Datenexport vom Benutzer gelöscht wird. |
Generieren einer Kopie von Lake Data | GenerateCopyOfLakeData | Wenn die Kopie von Lake Data generiert wird. |
Kopie von Lake Data herunterladen | DownloadCopyOfLakeData | Wenn die Kopie von Lake Data heruntergeladen wird. |
Benutzerverwaltungsaktivitäten
In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator ein Benutzerkonto über das Microsoft 365 Admin Center oder das Azure-Verwaltungsportal hinzufügt oder ändert.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( .
). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" "
) zu setzen.
Aktivität | Vorgang | Beschreibung |
---|---|---|
Benutzer hinzugefügt | Benutzer hinzufügen. | Ein Benutzerkonto wurde erstellt. |
Benutzerlizenz geändert | Benutzerlizenz ändern. | Die einem Benutzer zugewiesene Lizenz wurde geändert. Wenn Sie feststellen möchten, welche Lizenzen geändert wurden, sehen Sie sich die entsprechende Aktivität Benutzer aktualisiert an. |
Benutzerkennwort geändert | Benutzerkennwort ändern. | Ein Benutzer ändert sein Kennwort. Das Zurücksetzen von Kennwörtern durch den Benutzer muss (für alle oder ausgewählte Benutzer) in Ihrer Organisation aktiviert sein, damit Benutzer ihr Kennwort zurücksetzen können. Sie können auch die Self-Service-Kennwortzurücksetzungsaktivität in Microsoft Entra ID nachverfolgen. Weitere Informationen finden Sie unter Berichterstellungsoptionen für Microsoft Entra Kennwortverwaltung. |
Benutzer gelöscht | Benutzer löschen. | Ein Benutzerkonto wurde gelöscht. |
Benutzerkennwort zurücksetzen | Benutzerkennwort zurücksetzen. | Der Administrator setzt das Kennwort für einen Benutzer zurück. |
Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt | Erzwungene Änderung des Benutzerkennworts festlegen. | Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Microsoft 365 zu ändern. |
Lizenzeigenschaften festgelegt | Lizenzeigenschaften festlegen. | Der Administrator ändert die Eigenschaften einer Lizenz, die einem Benutzer zugewiesen ist. |
Benutzer aktualisiert | Benutzer aktualisieren. | Ein Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" in Microsoft Entra Überwachungsberichtsereignissen. |
Viva Goals Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Goals aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Goals Aktivitäten aufzulisten, die Sie im Filter Datensatztyp "VivaGoals" auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Organisation erstellt | Organisation erstellt | Admin oder der Benutzer hat eine neue organization auf Viva Goals erstellt. |
Benutzer hinzugefügt | Benutzer hinzugefügt | Ein neuer Benutzer wurde einem organization auf Viva Goals hinzugefügt. |
Benutzer deaktiviert | Benutzer deaktiviert | Ein Benutzer wurde in einem organization deaktiviert. |
Benutzer gelöscht | Benutzer gelöscht | Ein Benutzer wurde aus einem organization am Viva Goals gelöscht. |
Angemeldeter Benutzer | Angemeldeter Benutzer | Der Benutzer hat sich bei Viva Goals angemeldet. |
Team hinzugefügt | Team hinzugefügt | Innerhalb eines organization am Viva Goals wurde ein neues Team erstellt. |
Team aktualisiert | Team aktualisiert | Ein Team innerhalb eines organization auf Viva Goals wurde geändert oder aktualisiert. |
Team gelöscht | Team gelöscht | Ein Team innerhalb eines organization auf Viva Goals wurde vom Benutzer gelöscht. |
Exportierte Daten | Exportierte Daten | Ein Benutzer hat eine Liste von OKRs oder eine Liste von Benutzern in einem organization auf Viva Goals exportiert. |
Goals Richtlinie aktualisiert | Goals Richtlinie aktualisiert | Der globale Administrator hat die Richtlinie oder Einstellungen auf Mandantenebene auf Viva Goals geändert. Der globale Administrator hat beispielsweise konfiguriert, wer Organisationen auf Viva Goals erstellen kann. |
Organisationseinstellungen aktualisiert | Organisationseinstellungen aktualisiert | Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat organization spezifischen Einstellungen auf Viva Goals aktualisiert. |
Organisationsintegrationen aktualisiert | Organisationsintegrationen aktualisiert | Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat eine Integration eines Drittanbieters konfiguriert oder eine vorhandene Drittanbieterintegration für eine organization auf Viva Goals aktualisiert. |
OKR oder Projekt erstellt | OKR oder Projekt erstellt | Der Benutzer hat ein OKR oder Project auf Viva Goals erstellt. |
OKR oder Projekt aktualisiert | OKR oder Projekt aktualisiert | Ein OKR/Projekt wurde geändert oder ein Check-In vom Benutzer oder eine Integration auf Viva Goals vorgenommen. |
OKR oder Projekt gelöscht | OKR oder Projekt gelöscht | Der Benutzer hat ein OKR- oder Project-Element gelöscht. |
Dashboard erstellt | Dashboard erstellt | Der Benutzer hat auf Viva Goals eine neue Dashboard erstellt. |
Dashboard aktualisiert | Dashboard aktualisiert | Der Benutzer hat eine Dashboard auf Viva Goals aktualisiert. |
Dashboard gelöscht | Dashboard gelöscht | Der Benutzer hat eine Dashboard auf Viva Goals gelöscht. |
Viva Engage Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Engage aufgeführt, die im Überwachungsprotokoll protokolliert werden. Um Viva Engage bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben, müssen Sie in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
Hinweis
Einige Viva Engage Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
In der folgenden Tabelle sind Überwachungsaktivitäten (Premium) mit einem Sternchen (*) hervorgehoben.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Datenaufbewahrungsrichtlinie geändert | SoftDeleteSettingsUpdated | Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültig Löschen" oder "Vorläufig Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
Netzwerkkonfiguration geändert | NetworkConfigurationUpdated | Netzwerk oder verifizierter Administrator ändert die Konfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen des Intervalls zum Exportieren von Daten und das Aktivieren von Chats ein. |
Netzwerkprofileinstellungen geändert | ProcessProfileFields | Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden. |
Modus für private Inhalte geändert | SupervisorAdminToggled | Der überprüfte Administrator aktiviert oder deaktiviert den Modus für private Inhalte . In diesem Modus kann ein Administrator die Beiträge in privaten Gruppen und die zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschten privaten Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
Sicherheitskonfiguration geändert | NetworkSecurityConfigurationUpdated | Der überprüfte Administrator aktualisiert die Sicherheitskonfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen ein. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
Datei erstellt | FileCreated | Ein Benutzer lädt eine Datei hoch. |
Gruppe erstellt | GroupCreation | Der Benutzer erstellt eine Gruppe. |
Nachricht erstellt | MessageCreation | Der Benutzer erstellt eine Nachricht. |
Gruppe gelöscht | GroupDeletion | Eine Gruppe wird aus Viva Engage gelöscht. |
Nachricht gelöscht | MessageDeleted | Ein Benutzer löscht eine Nachricht. |
Datei heruntergeladen | FileDownloaded | Ein Benutzer lädt eine Datei herunter. |
Daten exportiert | DataExport | Überprüfter Administrator exportiert Viva Engage Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
Fehler beim Zugriff auf Community | CommunityAccessFailure | Der Benutzer konnte nicht auf eine Community zugreifen. |
Fehler beim Zugriff auf Datei | FileAccessFailure | Der Benutzer konnte nicht auf eine Datei zugreifen. |
Fehler beim Zugriff auf Nachricht | MessageAccessFailure | Der Benutzer konnte nicht auf eine Nachricht zugreifen. |
Auf Nachricht reagiert | MarkedMessageChanged | Der Benutzer hat auf eine Nachricht reagiert. |
Kuratiertes Thema entfernen* | RemoveCuratedTopic | Der Benutzer entfernt ein kuratiertes Thema. |
Datei freigegeben | FileShared | Ein Benutzer gibt eine Datei für einen anderen Benutzer frei. |
Netzwerkbenutzer gesperrt | NetworkUserSuspended | Ein Netzwerkadministrator oder ein überprüfter Administrator hält einen Benutzer von Viva Engage an (deaktiviert). |
Benutzer gesperrt | UserSuspension | Ein Benutzerkonto wird gesperrt (deaktiviert). |
Dateibeschreibung aktualisiert | FileUpdateDescription | Ein Benutzer ändert die Beschreibung einer Datei. |
Dateiname aktualisiert | FileUpdateName | Ein Benutzer ändert den Namen einer Datei. |
Nachricht aktualisiert | MessageUpdated | Der Benutzer aktualisiert eine Nachricht. |
Datei angezeigt | FileVisited | Ein Benutzer zeigt eine Datei an. |
Nachricht angezeigt | MessageViewed | Der Benutzer zeigt eine Nachricht an. |
Viva Pulse-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Pulse aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Pulse-Aktivitäten aufzulisten, die Sie im FilterDatensatztyp auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Vom Benutzer übermittelte Antwort auf eine Pulsumfrage | PulseSubmit | Admin oder Benutzer haben Feedback zu einer Viva Pulse-Feedbackanfrage bereitgestellt. |
Der Benutzer hat eine Pulse-Umfrage erstellt. | PulseCreate | Es wird eine neue Viva Pulse-Feedbackanforderung erstellt. |
Benutzer hat seine Frist für die Pulsumfrage verlängert | PulseExtendDeadline | Die Frist für die bestehende Viva Pulse-Feedbackanfrage wurde verlängert. |
Benutzer hat zusätzliche Benutzer zur Pulse-Umfrage eingeladen | PulseInvite | Weitere Benutzer wurden zu einer vorhandenen Viva Pulse-Feedbackanfrage eingeladen. |
Der Benutzer hat eine Pulse-Umfrage abgebrochen. | PulseCancel | Der Benutzer hat eine Pulse-Umfrage abgebrochen. |
Ein Benutzer hat einen Pulsbericht geteilt | PulseShareResults | Viva Pulse-Feedbackergebnis wurde für Benutzer freigegeben. |
Der Benutzer hat einen Pulse-Entwurf erstellt. | PulseCreateDraft | Der Benutzer hat einen Pulse-Entwurf erstellt. |
Der Benutzer hat einen Pulse-Entwurf gelöscht. | PulseDeleteDraft | Der Benutzer hat einen Pulse-Entwurf gelöscht. |
Admin die Daten eines Benutzers gelöscht | PulseDeleteUserData | Admin die Daten eines Benutzers gelöscht. |
Admin aktualisierten Mandanteneinstellungen | PulseTenantSettingsUpdate | Admin eine organization-Einstellung für Viva Pulse aktualisiert. |
Windows 365 Kunden-Lockbox-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Windows 365 Kunden-Lockbox aufgeführt, die im Überwachungsprotokoll protokolliert werden. Wählen Sie windows365CustomerLockbox unter Datensatztypen aus, um Windows 365 Kunden-Lockbox-bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
Anzeigename | Vorgang | Beschreibung |
---|---|---|
Auslösen der Gerätewartung | Auslösen der Gerätewartung | Lösen Sie die Gerätewartung aus. |
Hochladen des Ordners in ein Blob | Hochladen des Ordners in ein Blob | Komprimieren Sie den Ordner des Kundengeräts, und laden Sie diesen in ein Blob hoch. |
Überprüfen der PowerShell-Ausführungsrichtlinie | Überprüfen der PowerShell-Ausführungsrichtlinie | Überprüfen Sie die PowerShell-Ausführungsrichtlinie. |
Installieren des RD-Agents | Installieren des RD-Agents | Installieren Sie den RD-Agent auf dem Gerät des Benutzers. |
Ausführen einer hybriden AADJ-Erweiterung | Ausführen einer hybriden AADJ-Erweiterung | Führen Sie die hybride AADJ-Erweiterung auf dem Gerät des Benutzers aus. |
Erstellen einer VmExtension-Anforderung | Erstellen einer VmExtention-Anforderung | Erstellt VM-Erweiterungsanforderungen zum Ausführen der VM-Erweiterung, um benutzerdefinierte Skripts auf dem Kundengerät auszuführen. |
Triggerorchestrator | Triggerorchestrator | Triggerorchestrator für den Benutzer. |
Auslösen einer generischen Aktion durch SaaF | Auslösen einer generischen Aktion durch SaaF | Auslösen einer Geräteaktion (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) für den Benutzer. |
Generische Aktion auslösen | Generische Aktion auslösen | Lösen Sie die Geräteaktion für den Benutzer aus. |
Auslösen einer generischen Aktion mit Optionen | Auslösen einer generischen Aktion mit Optionen | Auslösen einer Geräteaktion mit Optionsparametern, die leistungsfähiger sind als die generische Triggeraktion. |
Erstellen neuer Arbeitselemente (Scheduler) | Erstellen neuer Arbeitselemente (Scheduler) | Erstellen Sie neue Arbeitselemente, z. B. Bereitstellen, Aufheben der Bereitstellung, Erneute Bereitstellung usw. |
Remoteaktionsvorgang nach der Remoteaktion | Remoteaktionsvorgang nach der Remoteaktion | Nach der Remoteaktion plus Abrufen des Ergebnisses per GetActions-Vorgang. |
OCE-Ausführungsbefehle auf einem virtuellen Computer | OCE-Ausführungsbefehle auf einem virtuellen Computer | Führen Sie Befehle nach tenantID, deviceID list und script aus. |
LogCollection-Anforderung erstellen | LogCollection-Anforderung erstellen | Erstellen Sie eine Protokollsammlungsanforderung für Cloud-PC. |
Auslösen der Canary-Überprüfung des CMD-Agents. | Auslösen der Canary-Überprüfung des CMD-Agents. | Auslösen der Canary-Überprüfung des CMD-Agents auf einem bestimmten Gerät. |
Ausführen von AppHealthPlugin | Ausführen von AppHealthPlugin | Führen Sie AppHealthPlugin aus. |
Backfill CMD-Agent | AddDevicesToBackfill-Vorgang | Backfill CMD-Agent auf Cloud-PC. |
Erneutes Installieren des CMD-Agents | AddDevicesToReinstall-Vorgang | Installieren Sie den CMD-Agent bei Bedarf neu. |
Masseninstallation des CMD-Agents | TriggerClientAgentCheckBulkAction-Vorgang | Masseninstallation des CMD-Agents bei Bedarf. |
Erstellen eines Remoteaktionsvorgangs in ActionModeratorService | Erstellen eines Remoteaktionsvorgangs in ActionModeratorService | Erstellen Sie eine Remoteaktion nach tenantID, workspaceID, actionType, actionParameters. |