Office 365-Verwaltungsaktivitäts-API-Schema
Das Office 365-Verwaltungsaktivitäts-API-Schema wird als Datendienst auf zwei Ebenen bereitgestellt:
Allgemeines Schema. Die Schnittstelle für den Zugriff auf wichtige Office 365-Überwachungskonzepte wie z. B. Datensatztyp, Zeitpunkt der Erstellung, Benutzertyp und Aktion sowie für die Bereitstellung wichtiger Dimensionen (z. B. Benutzer-ID), Speicherortspezifikationen (z. B. Client-IP-Adresse) und dienstspezifischer Eigenschaften (z. B. Objekt-ID). Es werden konsistente und einheitliche Ansichten für Benutzer eingerichtet, um alle Office 365-Überwachungsdaten in wenigen Ansichten auf oberster Ebene mit den entsprechenden Parametern zu extrahieren, und es entsteht ein festes Schema für alle Datenquellen, was die Kosten des Lernens erheblich reduziert. Das allgemeine Schema wird aus den Produktdaten jedes Produktteams abgeleitet, z. B. Exchange, SharePoint, Azure Active Directory, Yammer und OneDrive for Business. Das Feld "Objekt-ID" kann von Microsoft 365-Produktteams um dienstspezifische Eigenschaften erweitert werden.
Dienstspezifisches Schema. Baut auf das allgemeine Schema auf, um eine Reihe von Microsoft 365-dienstspezifischen Attributen bereitzustellen; z. B. SharePoint-Schema, OneDrive for Business-Schema und Exchange-Administrator-Schema.
Office 365-Verwaltungs-API-Schemas
Dieser Artikel enthält Details zum allgemeinen Schema sowie dienstspezifische Schemas. In der folgenden Tabelle werden die verfügbaren Schemas beschrieben.
| Name des Schemas | Beschreibung |
|---|---|
| Allgemeines Schema | Die Ansicht, um den Datensatztyp, die Benutzer-ID, die Client-IP, den Benutzertyp und die Aktion zusammen mit grundlegenden Dimensionen wie Benutzereigenschaften (z. B. Benutzer-ID), Speichereigenschaften (z. B. Client-IP) und dienstspezifischen Eigenschaften (z. B. Objekt-ID) zu extrahieren. |
| Copilot-Schema | Zu den Ereignissen gehören, wie und wann mit Copilot zu interagieren ist, in welchem Microsoft 365-Dienst die Aktivität stattgefunden hat, sowie Verweise auf die in Microsoft 365 gespeicherten Dateien, auf die während der Interaktion zugegriffen wurde. |
| SharePoint-Basisschema | Das allgemeine Schema wird mit den Eigenschaften für alle SharePoint-Überwachungsdaten erweitert. |
| SharePoint-Dateivorgänge | Das SharePoint-Basisschema wird mit den Eigenschaften für den Dateizugriff und die Dateibearbeitung in SharePoint erweitert. |
| SharePoint-Listenvorgänge | Erweitert das SharePoint-Basisschema um die Eigenschaften, die für Interaktionen mit Listen und Listenelementen in SharePoint Online spezifisch sind. |
| SharePoint-Freigabeschema | Das SharePoint-Basisschema wird mit den Eigenschaften für die Dateifreigabe erweitert. |
| SharePoint-Schema | Das SharePoint-Basisschema wird mit den für SharePoint spezifischen Eigenschaften erweitert, allerdings nicht in Bezug auf Dateizugriff und -bearbeitung. |
| Projektschema | Das SharePoint-Basisschema wird mit den projektspezifischen Eigenschaften erweitert. |
| Exchange-Verwaltungsschema | Das allgemeine Schema wird mit den für alle Exchange-Verwaltungsüberwachungsdaten spezifischen Eigenschaften erweitert. |
| Exchange-Postfachschema | Das allgemeine Schema wird mit den für alle Exchange-Postfachüberwachungsdaten spezifischen Eigenschaften erweitert. |
| OWA-Authentifizierungsschema | Erweitert das allgemeine Schema um die Eigenschaften, die für OWA-Authentifizierungsdaten spezifisch sind. |
| Microsoft Entra ID Basisschema | Erweitert das allgemeine Schema um die Eigenschaften, die für alle Microsoft Entra Überwachungsdaten spezifisch sind. |
| Microsoft Entra Konto-Anmeldeschema | Erweitert das Microsoft Entra ID Basisschema um die Eigenschaften, die für alle Microsoft Entra Anmeldeereignisse spezifisch sind. |
| Microsoft Entra ID Secure STS-Anmeldeschema | Erweitert das Microsoft Entra ID Basisschema um die Eigenschaften, die für alle Microsoft Entra ID Secure Token Service (STS)-Anmeldeereignisse spezifisch sind. |
| Microsoft Entra Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für alle Microsoft Entra Überwachungsdaten spezifisch sind. |
| DLP-Schema | Das allgemeine Schema wird mit den für Verhinderung von Datenverlust-Ereignisse spezifischen Eigenschaften erweitert. |
| Security & Compliance Center-Schema | Das allgemeine Schema wird mit den für alle Security and Compliance Center-Ereignisse spezifischen Eigenschaften erweitert. |
| Security &Compliance-Warnung-Schema | Das alle Schema wird mit den für alle Office 365-Security & Compliance-Warnungen spezifischen Eigenschaften erweitert. |
| Yammer-Schema | Das allgemeine Schema wird mit den für alle Yammer-Ereignisse spezifischen Eigenschaften erweitert. |
| Rechenzentrum-Sicherheitsbasis-Schema | Erweitert das allgemeine Schema mit den für alle Rechenzentrum-Sicherheitsüberwachungsdaten spezifischen Eigenschaften. |
| Rechenzentrum-Sicherheits-Cmdlet-Schema | Das Datenzentrum-Sicherheitsbasis-Schema wird mit den für alle Rechenzentrum-Sicherheits-Cmdlet-Überwachungsdaten spezifischen Eigenschaften erweitert. |
| Microsoft Teams-Schema | Das allgemeine Schema wird mit den für alle Microsoft Teams-Ereignisse spezifischen Eigenschaften erweitert. |
| Microsoft Defender für Office 365 und Threat Investigation and Response-Schema | Das allgemeine Schema wird mit den für Defender für Office 365 spezifischen Eigenschaften und Daten von Threat Investigation and Response erweitert. |
| Übermittlungsschema | Das allgemeine Schema wird mit den für Benutzer- und Administratorübermittlungen in Microsoft Defender für Office 365 spezifischen Eigenschaften erweitert. |
| Schema "Automatisierte Untersuchungs- und Reaktionsereignisse" | Das allgemeine Schema wird um die für ‚Automatisierte Untersuchungs- und Reaktionsereignisse‘ (AIR, Automated investigation and response) in Office 365 spezifischen Eigenschaften erweitert. Ein Beispiel dazu finden Sie im Tech Community-Blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API (Verbessern der Effektivität Ihres SOC mit Microsoft Defender für Office 365 und der O365 Management-API). |
| Nachrichtenschutzereignis-Schema | Das allgemeine Schema wird mit den für Ereignisse in Exchange Online Protection und Microsoft Defender für Office 365 spezifischen Eigenschaften erweitert. |
| Power BI-Schema | Erweitert das allgemeine Schema um die für alle Power BI-Ereignisse spezifischen Eigenschaften. |
| Dynamics 365-Schema | Das allgemeine Schema wird mit den für Dynamics 365-Ereignisse spezifischen Eigenschaften erweitert. |
| Workplace Analytics-Schema | Das allgemeine Schema wird mit den für alle Microsoft Workplace Analytics-Ereignisse spezifischen Eigenschaften erweitert. |
| Quarantäne-Schema | Erweitert das allgemeine Schema um die für alle Quarantäne-Ereignisse spezifischen Eigenschaften. |
| Microsoft Forms-Schema | Das allgemeine Schema wird mit den für alle Microsoft Forms-Ereignisse spezifischen Eigenschaften erweitert. |
| MIP-Bezeichnungsschema | Erweitert das allgemeine Schema um die für Vertraulichkeitsbezeichnungen spezifischen Eigenschaften, die manuell oder automatisch auf E-Mail-Nachrichten angewendet werden. |
| Schema der Ereignisse des Portals für verschlüsselte Nachrichten | Erweitert das allgemeine Schema mit den Eigenschaften, die für das Portal für verschlüsselte Nachrichten spezifisch sind, auf das externe Empfänger zugreifen. |
| Exchange-Schema der Kommunikationscompliance | Erweitert das allgemeine Schema um die Eigenschaften, die speziell für das Kommunikationscompliance-Modell anstößiger Sprache gelten. |
| Berichtsschema | Das allgemeine Schema wird mit den für alle Ereignisse spezifischen Eigenschaften erweitert. |
| Compliance-Konnektor-Schema | Erweitert das allgemeine Schema mit den Eigenschaften, die für das Importieren von Nicht-Microsoft-Daten spezifisch sind, mithilfe von Datenkonnektoren. |
| SystemSync-Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für über SystemSync erfasste Daten spezifisch sind. |
| Viva Goals Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für alle Viva Goals Ereignisse spezifisch sind. |
| Microsoft Planner Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft Planner Ereignisse spezifisch sind. |
| Microsoft Project für das Web Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft Project For The-Webereignisse spezifisch sind. |
| Viva Pulse-Schema | Erweitert das Allgemeine Schema um die Eigenschaften, die für alle Viva Pulse-Ereignisse spezifisch sind. |
| Compliance-Manager-Schema | Erweitert das allgemeine Schema um die Eigenschaften, die für Compliance Manager-Ereignisse spezifisch sind. |
| Sicherungsrichtlinienschema | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Richtlinien spezifisch sind. |
| Wiederherstellungstaskschema | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Wiederherstellungsaufgaben spezifisch sind. |
| Sicherungselementschema | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Artefakte spezifisch sind. |
| Elementschema wiederherstellen | Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Wiederherstellungselemente spezifisch sind. |
| Cloudrichtlinienschema für M365-Apps Admin Services | Erweitert das allgemeine Schema um die Eigenschaften, die für alle Überwachungsdaten des Cloudrichtliniendiensts spezifisch sind. |
Allgemeines Schema
EntityType Name: AuditRecord
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Id | Kombination aus GUIDEdm.Guid | Ja | Der eindeutige Bezeichner eines Überwachungsdatensatzes. |
| RecordType | Self.AuditLogRecordType | Ja | Der vom Datensatz angegebene Vorgangstyp. In der Tabelle AuditLogRecordType finden Sie weitere Informationen zu den Typen von Überwachungsprotokolldatensätzen. |
| CreationTime | Edm.Date | Ja | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als der Überwachungsprotokolldatensatz generiert wurde. |
| Vorgang | Edm.String | Ja | Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. Für Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des Cmdlets an, das ausgeführt wurde. Für Dlp-Ereignisse kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" sein. Eine Beschreibung finden Sie unten unter "DLP-Schema". |
| OrganizationId | Edm.Guid | Ja | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich. |
| UserType | Self.UserType | Ja | Der Typ des Benutzers, der den Vorgang ausgeführt hat. In der Tabelle UserType finden Sie Informationen zu den Typen von Benutzern. |
| UserKey | Edm.String | Ja | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
| Arbeitslast | Edm.String | Ja | Der Office 365-Dienst, in dem die Aktivität stattgefunden hat. |
| ResultStatus | Edm.String | Nein | Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht. Mögliche Werte sind Succeeded, PartiallySucceeded oder Failed. Für Exchange-Verwaltungsaktivitäten ist der Wert entweder True oder False. Wichtig: Unterschiedliche Workloads können den Wert der ResultStatus-Eigenschaft außer Kraft setzen. Bei Microsoft Entra ID STS-Anmeldeereignissen gibt der Wert Succeeded für ResultStatus nur an, dass der HTTP-Vorgang erfolgreich war. Dies bedeutet nicht, dass die Anmeldung erfolgreich war. Informationen dazu, ob die tatsächliche Anmeldung erfolgreich war, finden Sie unter der LogonError-Eigenschaft im Microsoft Entra ID STS-Anmeldeschema. Wenn die Anmeldung fehlgeschlagen ist, enthält diese Eigenschaft den Grund für den fehlgeschlagenen Anmeldeversuch. |
| ObjectId | Edm.string | Nein | Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat. Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde. Für den Cloudrichtliniendienst die Objekt-ID der Richtlinienkonfiguration. |
| UserId | Edm.string | Ja | Der UPN (User Principal Name) des Benutzers, der die Aktion (in der Eigenschaft "Operation" angegeben), die zu einem Eintrag geführt hat, ausgeführt hat, zum Beispiel my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen. |
| ClientIP | Edm.String | Ja | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Microsoft Entra ID ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist null. |
| Bereich | Self.AuditLogScope | Nein | Wurde dieses Ereignis von einem gehosteten Office 365-Dienst oder einem lokalen Server erstellt? Mögliche Werte sind online und onprem. Beachten Sie, dass SharePoint die einzige Arbeitslast ist, die derzeit Ereignissen aus lokalen Umgebungen an O365 sendet. |
| AppAccessContext | CollectionSelf.AppAccessContext | Nein | Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. |
Enum: AuditLogRecordType - Typ: Edm.Int32
AuditLogRecordType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | ExchangeAdmin | Ereignisse aus dem Exchange-Administrator-Überwachungsprotokoll. |
| 2 | ExchangeItem | Ereignisse aus einem Exchange-Postfachüberwachungsprotokoll für Aktionen, die für ein einzelnes Element ausgeführt wurden, z. B. das Erstellen oder Empfangen einer E-Mail-Nachricht. |
| 3 | ExchangeItemGroup | Ereignisse aus einem Exchange-Postfachüberwachungsprotokoll für Aktionen, die für mehrere Elemente ausgeführt werden können, z. B. das Verschieben oder Löschen einer oder mehrerer E-Mail-Nachrichten. |
| 4 | SharePoint | SharePoint-Ereignisse. |
| 6 | SharePointFileOperation | SharePoint-Dateivorgangsereignisse. |
| 7 | OneDrive | OneDrive for Business-Ereignisse. |
| 8 | AzureActiveDirectory | Microsoft Entra ID-Ereignisse. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID OrgId-Anmeldeereignisse (veraltet). |
| 10 | DataCenterSecurityCmdlet | Rechenzentrum-Sicherheits-Cmdlet-Ereignisse. |
| 11 | ComplianceDLPSharePoint | DLP-Ereignisse (Data Loss Prevention, Schutz vor Datenverlust) in SharePoint und OneDrive for Business. |
| 13 | ComplianceDLPExchange | DLP-Ereignisse (Data Loss Prevention, Schutz vor Datenverlust) bei Konfiguration über die Unified DLP-Richtlinie. Auf Exchange-Transportregeln basierende DLP-Ereignisse werden nicht unterstützt. |
| 14 | SharePointSharingOperation | SharePoint-Freigabeereignisse. |
| 15 | AzureActiveDirectoryStsLogon | Secure Token Service (STS)-Anmeldeereignisse in Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Public Switched Telephone Network (PSTN)-Ereignisse aus Skype for Business. |
| 17 | SkypeForBusinessUsersBlocked | Blockierte Benutzerereignisse aus Skype for Business. |
| 18 | SecurityComplianceCenterEOPCmdlet | Administratoraktionen aus dem Security & Compliance Center. |
| 19 | ExchangeAggregatedOperation | Aggregierte Exchange-Postfachüberwachungsereignisse. |
| 20 | PowerBIAudit | Power BI-Ereignisse. |
| 21 | CRM | Dynamics 365-Ereignisse. |
| 22 | Yammer | Yammer-Ereignisse. |
| 23 | SkypeForBusinessCmdlets | Skype for Business-Ereignisse. |
| 24 | Discovery | Ereignisse für eDiscovery-Aktivitäten, die durch die Ausführung von Inhaltssuchen und die Verwaltung von eDiscovery-Fällen im Security & Compliance Center durchgeführt werden. |
| 25 | MicrosoftTeams | Ereignisse von Microsoft-Teams. |
| 28 | ThreatIntelligence | Phishing- und Schadsoftwareereignisse aus Exchange Online Protection und Microsoft Defender für Office 365. |
| 29 | MailSubmission | Übermittlungsereignisse aus Exchange Online Protection und Microsoft Defender für Office 365. |
| 30 | MicrosoftFlow | Microsoft Power Automate-Ereignisse (vormals Microsoft Flow). |
| 31 | AeD | Advanced eDiscovery-Ereignisse. |
| 32 | MicrosoftStream | Microsoft Stream-Ereignisse |
| 33 | ComplianceDLPSharePointClassification | Ereignisse im Zusammenhang mit DLP-Klassifizierung in SharePoint. |
| 34 | ThreatFinder | Kampagnenbezogene Ereignisse von Microsoft Defender für Office 365. |
| 35 | Project | Microsoft Project-Ereignisse. |
| 36 | SharePointListOperation | SharePoint-Listenereignisse. |
| 37 | SharePointCommentOperation | SharePoint-Kommentarereignisse. |
| 38 | DataGovernance | Auf Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen im Security & Compliance Center bezogene Ereignisse |
| 39 | Kaizala | Kaizala-Ereignisse. |
| 40 | SecurityComplianceAlerts | Security & Compliance-Warnsignale. |
| 41 | ThreatIntelligenceUrl | Zeitblockereignisse für sichere Links und Ereignisse zur Außerkraftsetzung von Blöcken aus Microsoft Defender für Office 365. |
| 42 | SecurityComplianceInsights | Ereignisse im Zusammenhang mit Einblicken und Berichten im Office 365 Security & Compliance Center. |
| 43 | MIPLabel | Ereignisse im Zusammenhang mit der Erkennung in der Transportpipeline von E-Mail-Nachrichten, die mithilfe von Vertraulichkeitsbezeichnungen (manuell oder automatisch) gekennzeichnet wurden. |
| 44 | WorkplaceAnalytics | Workplace Analytics-Ereignisse. |
| 45 | PowerAppsApp | Power Apps-Ereignisse. |
| 46 | PowerAppsPlan | Abonnementplan-Ereignisse für Power Apps. |
| 47 | ThreatIntelligenceAtpContent | Phishing- und Schadsoftwareereignisse für Dateien in SharePoint, OneDrive for Business und Microsoft Teams aus Microsoft Defender für Office 365. |
| 48 | LabelContentExplorer | Ereignisse im Zusammenhang mit dem Inhalts-Explorer zur Datenklassifizierung. |
| 49 | TeamsHealthcare | Ereignisse im Zusammenhang mit der Anwendung "Patienten" in Microsoft Teams für das Gesundheitswesen. |
| 50 | ExchangeItemAggregated | Ereignisse im Zusammenhang mit der Postfachüberwachungsaktion "MailItemsAccessed". |
| 51 | HygieneEvent | Ereignisse im Zusammenhang mit ausgehenden Spamschutzmaßnahmen. |
| 52 | DataInsightsRestApiAudit | Ereignisse der Datenerkenntnisse-Rest-API. |
| 53 | InformationBarrierPolicyApplication | Ereignisse im Zusammenhang mit der Anwendung von Richtlinien für Informationsbarrieren. |
| 54 | SharePointListItemOperation | SharePoint-Listenelementereignisse. |
| 55 | SharePointContentTypeOperation | SharePoint-Listeninhaltstyp-Ereignisse. |
| 56 | SharePointFieldOperation | SharePoint-Listenfeldereignisse. |
| 57 | MicrosoftTeamsAdmin | Teams-Administratorereignisse. |
| 58 | HRSignal | Ereignisse im Zusammenhang mit HR-Datensignalen, welche die Insider-Risikomanagement-Lösung unterstützen. |
| 59 | MicrosoftTeamsDevice | Teams-Geräteereignisse. |
| 60 | MicrosoftTeamsAnalytics | Teams-Analyseereignisse. |
| 61 | InformationWorkerProtection | Ereignisse im Zusammenhang mit Warnungen über kompromittierte Benutzer. |
| 62 | Campaign | E-Mail-Kampagnen-Ereignisse von Microsoft Defender für Office 365. |
| 63 | DLPEndpoint | Endpunkt-DLP-Ereignisse. |
| 64 | AirInvestigation | Automated incident response (AIR) events – Automatisierte Untersuchungs- und Reaktionsereignisse. |
| 65 | Quarantine | Quarantäneereignisse. |
| 66 | MicrosoftForms | Microsoft Forms-Ereignisse. |
| 67 | ApplicationAudit | Anwendungsprotokoll-Ereignisse. |
| 68 | ComplianceSupervisionExchange | Ereignisse, die von dem Kommunikationscompliance-Modell anstößiger Sprache nachverfolgt werden. |
| 69 | CustomerKeyServiceEncryption | Ereignisse im Zusammenhang mit dem Dienst zur Kundenschlüssel-Verschlüsselung. |
| 70 | OfficeNative | Ereignisse im Zusammenhang mit Vertraulichkeitsbezeichnungen, die auf Office-Dokumente angewendet werden. |
| 71 | MipAutoLabelSharePointItem | Ereignisse bezüglich automatischer Beschriftung in SharePoint. |
| 72 | MipAutoLabelSharePointPolicyLocation | Ereignisse bezüglich der Richtlinie für die automatischer Beschriftung in SharePoint. |
| 73 | MicrosoftTeamsShifts | Teams-Schichtenereignisse. |
| 75 | MipAutoLabelExchangeItem | Ereignisse bezüglich automatischer Beschriftung in Exchange. |
| 76 | CortanaBriefing | Briefing E-Mail-Ereignisse. |
| 78 | WDATPAlerts | Ereignisse im Zusammenhang mit Warnungen, die von Windows Defender für Endpunkt generiert werden. |
| 79 | PowerAppsResource | Ereignisse im Zusammenhang mit Microsoft Power Platform Connectors (Vorschau). |
| 82 | SensitivityLabelPolicyMatch | Ereignisse, die generiert werden, wenn die mit einer Vertraulichkeitsbezeichnung beschriftete Datei geöffnet oder umbenannt wird. |
| 83 | SensitivityLabelAction | Ereignis, das generiert wird, wenn Vertraulichkeitsbezeichnungen angewendet, aktualisiert oder von einer Datei entfernt werden. |
| 84 | SensitivityLabeledFileAction | Ereignisse, die generiert werden, wenn eine mit einer Vertraulichkeitsbezeichnung beschriftete Datei geöffnet oder umbenannt wird. |
| 85 | AttackSim | Ereignisse im Zusammenhang mit Benutzeraktivitäten in Angriffssimulation & Training in Microsoft Defender for Office 365. |
| 86 | AirManualInvestigation | Ereignisse im Zusammenhang mit manuellen Ermittlungen in „Automatisierte Untersuchung und Antwort (AIR – Automated Investigation and Response)“. |
| 87 | SecurityComplianceRBAC | Ereignisse aus RBAC-Sicherheit und -Konformität. |
| 88 | UserTraining | Ereignisse im Zusammenhang mit Benutzerschulungen in Angriffssimulation & Training in Microsoft Defender for Office 365. |
| 89 | AirAdminActionInvestigation | Ereignisse im Zusammenhang mit Administratoraktionen in Automatisierte Untersuchung und Reaktion (Air). |
| 90 | MSTIC | Threat-Intelligence-Ereignisse in Microsoft Defender für Office 365. |
| 91 | PhysicalBadgingSignal | Ereignisse im Zusammenhang mit physischen Ausweissignalen, welche die Insider-Risikomanagement-Lösung unterstützen. |
| 93 | AipDiscover | AIP-Scannerereignisse |
| 94 | AipSensitivityLabelAction | Ereignisse der AIP-Vertraulichkeitsbezeichnung |
| 95 | AipProtectionAction | AIP-Schutzereignisse |
| 96 | AipFileDeleted | Löschereignisse für AIP-Dateien |
| 97 | AipHeartBeat | AIP-Taktereignisse |
| 98 | MCASAlerts | Ereignisse, die Warnungen entsprechen, die von Microsoft Cloud App Security ausgelöst werden. |
| 99 | OnPremisesFileShareScannerDlp | Ereignisse im Zusammenhang mit der Suche nach vertraulichen Daten in Dateifreigaben. |
| 100 | OnPremisesSharePointScannerDlp | Ereignisse im Zusammenhang mit der Suche nach vertraulichen Daten in SharePoint. |
| 101 | ExchangeSearch | Ereignisse im Zusammenhang mit der Verwendung von Outlook im Web (OWA) zur Suche nach Postfachelementen. |
| 102 | SharePointSearch | Ereignisse im Zusammenhang mit dem Durchsuchen der SharePoint-Startseite einer Organisation. |
| 103 | PrivacyInsights | Datenschutzerkenntnis-Ereignisse. |
| 105 | MyAnalyticsSettings | MyAnalytics-Ereignisse. |
| 106 | SecurityComplianceUserChange | Ereignisse im Zusammenhang mit dem Ändern oder Löschen eines Benutzers. |
| 107 | ComplianceDLPExchangeClassification | Ereignisse bezüglich Exchange DLP-Klassifizierung. |
| 109 | MipExactDataMatch | Ereignisse bezüglich der Klassifizierung zur genauen Datenübereinstimmung (EDM – Exact Data Match). |
| 113 | MS365DCustomDetection | Ereignisse im Zusammenhang mit benutzerdefinierten Erkennungsaktionen in Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Meldet Einstellungsereignisse. |
| 148 | ComplianceConnector | Ereignisse im Zusammenhang mit dem Import von Nicht-Microsoft-Daten über Datenkonnektoren im Microsoft Purview Compliance Portal. |
| 154 | OMEPortal | Ereignisprotokolle des Portals für verschlüsselte Nachrichten, die von externen Empfängern generiert wurden. |
| 164 | ScorePlatformGenericAuditRecord | Generischer Überwachungsdatensatz, der für Datenconnectors verwendet wird. |
| 174 | DataShareOperation | Ereignisse im Zusammenhang mit der Freigabe von Daten, die über SystemSync erfasst wurden. |
| 181 | EduDataLakeDownloadOperation | Ereignisse im Zusammenhang mit dem Export von Daten, die über SystemSync vom Data Lake erfasst wurden. |
| 183 | MicrosoftGraphDataConnectOperation | Ereignisse im Zusammenhang mit Extraktionen, die von Microsoft Graph Data Connect durchgeführt werden. |
| 186 | PowerPagesSite | Aktivitäten im Zusammenhang mit der Power Pages-Website. |
| 187 | PowerPlatformAdminDlp | Ereignisse im Zusammenhang mit Microsoft Power Platform DLP (Vorschau). |
| 188 | PlannerPlan | Microsoft Planner Planen von Ereignissen. |
| 189 | PlannerCopyPlan | Microsoft Planner Ereignisse des Kopierplans. |
| 190 | PlannerTask | Microsoft Planner Aufgabenereignisse. |
| 191 | PlannerRoster | Microsoft Planner Listen- und Listenmitgliedschaftsereignisse. |
| 192 | PlannerPlanList | Microsoft Planner Planlistenereignisse. |
| 193 | PlannerTaskList | Microsoft Planner Aufgabenlistenereignisse. |
| 194 | PlannerTenantSettings | Microsoft Planner Ereignisse für Mandanteneinstellungen. |
| 195 | ProjectForThewebProject | Microsoft Project für das Web-Projektereignisse. |
| 196 | ProjectForThewebTask | Microsoft Project für das Web Taskereignisse. |
| 197 | ProjectForThewebRoadmap | Microsoft Project für das Web Roadmap-Ereignisse. |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project für das Web Roadmap-Elementereignisse. |
| 199 | ProjectForThewebProjectSettings | Microsoft Project für das Web Ereignisse für Mandanteneinstellungen des Projekts. |
| 200 | ProjectForThewebRoadmapSettings | Microsoft Project für das Web Roadmap ereignisse für Mandanteneinstellungen. |
| 216 | Viva Goals | Viva Goals Ereignisse. |
| 217 | MicrosoftGraphDataConnectConsent | Ereignisse für Zustimmungsaktionen, die von Mandantenadministratoren für Microsoft Graph Data Connect-Anwendungen ausgeführt werden. |
| 218 | AttackSimAdmin | Ereignisse im Zusammenhang mit Administratoraktivitäten in Angriffssimulation & Training in Microsoft Defender for Office 365. |
| 230 | TeamsUpdates | Teams Updates App-Ereignisse. |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner Vertraulichkeitsbezeichnungsereignisse der Liste. |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender Expert-Administratoraktionsereignisse. |
| 251 | VfamCreatePolicy | Viva Zugriffsverwaltungsrichtlinie Ereignisse erstellen. |
| 252 | VfamUpdatePolicy | Viva Aktualisierungsereignisse der Zugriffsverwaltungsrichtlinie. |
| 253 | VfamDeletePolicy | Viva Zugriffsverwaltungsrichtlinie löscht Ereignisse. |
| 261 | CopilotInteraction | Copilot-Interaktionsereignisse. |
| 275 | OWAAuth | Zugriffstoken für Die Ressource wurde erfolgreich ausgegeben. |
| 280 | VivaPulseResponse | Viva Pulse-Umfrageantwortereignisse. |
| 281 | VivaPulseOrganizer | Viva Veranstaltungen des Pulse-Umfrageorganisators. |
| 282 | VivaPulseAdmin | Viva Pulse-Administratorereignisse. |
| 283 | VivaPulseReport | Viva Pulse bezogene Ereignisse melden. |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project für das Web mir Mandanteneinstellungsereignisse zugewiesen. |
| 288 | CloudPolicyService | Ereignisse aus dem Cloudrichtliniendienst. |
| 298 | BackupPolicy | Ereignisse im Zusammenhang mit Microsoft 365-Backup-Richtlinien. |
| 299 | RestoreTask | Ereignisse im Zusammenhang mit Microsoft 365-Backup Wiederherstellungsaufgaben. |
| 300 | RestoreItem | Ereignisse im Zusammenhang mit Artefakten, die mit Microsoft 365-Backup gesichert wurden. |
| 301 | BackupItem | Ereignisse im Zusammenhang mit Elementen, die mithilfe von Microsoft 365-Backup wiederhergestellt werden. |
| 332 | ComplianceSettingsChange | Microsoft Purview-Kompatibilitätseinstellungen ändern Ereignisse. |
Enumeration: Benutzertyp – Typ: Edm.Int32
Benutzertyp
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Regular | Ein regulärer Benutzer ohne Administratorberechtigungen. |
| 1 | Reserved | Ein reservierter Wert, nicht zur Verwendung. |
| 2 | Administrator | Ein Administrator in Ihrem Microsoft 365-organization. ** |
| 3 | DCAdmin | Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. |
| 4 | System | Ein Überwachungsereignis, das von serverseitiger Logik ausgelöst wird. Beispielsweise Windows-Dienste oder Hintergrundprozesse. |
| 5 | Anwendung | Ein Überwachungsereignis, das von einer Microsoft Entra Anwendung ausgelöst wird. |
| 6 | ServicePrincipal | Ein Dienstprinzipal. |
| 7 | CustomPolicy | Eine vom Kunden erstellte oder verwaltete Richtlinie. |
| 8 | SystemPolicy | Eine von Microsoft verwaltete Oder Systemrichtlinie. |
| 9 | PartnerTechniker | Der Benutzer eines Partnermandanten, der im Namen des Kundenmandanten (in GDAP-Szenarien ) arbeitet. |
| 10 | Gast | Ein Gast oder anonymer Benutzer. |
Hinweis
** Bei Microsoft Entra zugehörigen Ereignissen wird der Wert für einen Administrator nicht in einem Überwachungsdatensatz verwendet. Überwachungsdatensätze für Aktivitäten, die von Administratoren ausgeführt werden, geben an, dass ein normaler Benutzer (z. B . UserType: 0) die Aktivität ausgeführt hat. Die UserID-Eigenschaft identifiziert die Person (regulärer Benutzer oder Administrator), die diese Aktivität ausgeführt hat.
Enumeration: AuditLogScope - Typ: Edm.Int32
AuditLogScope
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Online | Dieses Ereignis wurde von einem gehosteten O365-Dienst erstellt. |
| 1 | Onprem | Dieses Ereignis wurde von einem lokalen Server erstellt. |
Komplexer AppAccessContext-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AADSessionId | Edm.String | Nein | Die Microsoft Entra SessionId der Entra-Anmeldung, die von der App im Namen des Benutzers durchgeführt wurde. |
| APIId | Edm.String | Nein | Die ID für den API-Pfad, der für den Zugriff auf die Ressource verwendet wird, z. B. Zugriff über die Microsoft Graph-API. |
| ClientAppId | Edm.String | Nein | Die ID der Microsoft Entra App, die den Zugriff im Namen des Benutzers ausgeführt hat. |
| ClientAppName | Edm.String | Nein | Der Name der Microsoft Entra App, die den Zugriff im Namen des Benutzers ausgeführt hat. |
| CorrelationId | Edm.String | Nein | Ein Bezeichner, der verwendet werden kann, um Aktionen eines bestimmten Benutzers über Microsoft 365-Dienste hinweg zu korrelieren. |
| UniqueTokenId | Edm.String | Nein | UniqueTokenId wird festgelegt, wenn das Microsoft Entra-Token für die Anforderung verfügbar ist. Dabei handelt es sich um einen eindeutigen Bezeichner pro Token, bei dem die Groß-/Kleinschreibung beachtet wird. |
| IssuedAtTime | Edm.Date | Nein | "Issued At" wird festgelegt, wenn das Microsoft Entra-Token für die Anforderung verfügbar ist, und gibt an, wann die Authentifizierung für dieses Microsoft Entra Token aufgetreten ist. |
SharePoint-Basisschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Website | Edm.Guid | Nein | Die GUID der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Nein | Der Typ des Objekts, auf das zugegriffen bzw. das geändert wurde. In der Tabelle ItemType finden Sie Informationen zu den Typen von Objekten. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Nein | Gibt an, dass ein Ereignis in SharePoint eingetreten ist. Mögliche Werte sind SharePoint oder ObjectModel. |
| SourceName | Edm.String | Nein | Die Entität, die den überwachten Vorgang ausgelöst hat. Mögliche Werte sind SharePoint oder ObjectModel. |
| UserAgent | Edm.String | Nein | Informationen zum Client oder Browser des Benutzers. Diese Informationen werden vom Client oder Browser bereitgestellt. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Informationen zu Synchronisierungsvorgängen von Geräten. Diese Informationen sind nur vorhanden, wenn sie in der Anforderung enthalten sind. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Informationen zu Synchronisierungsvorgängen von Geräten. Diese Informationen sind nur vorhanden, wenn sie in der Anforderung enthalten sind. |
| ListItemUniqueId | Edm.Guid | Nein | Die GUID eines eindeutig identifizierbaren Listenelements. Diese Informationen sind nur vorhanden, wenn sie zutreffend sind. |
| ListId | Edm.Guid | Nein | Die GUID der Liste. Diese Informationen sind nur vorhanden, wenn sie zutreffend sind. |
| ApplicationId | Edm.String | Nein | Die ID der Anwendung, die den Vorgang ausführt. |
| ApplicationDisplayName | Edm.String | Nein | Der Anzeigename der Anwendung, die den Vorgang ausführt. |
| IsWorkflow | Edm.Boolean | Nein | Dies wird auf True festgelegt, wenn SharePoint-Workflows das überwachte Ereignis ausgelöst haben. |
Enumeration: ItemType - Typ: Edm.Int32
ItemType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Ungültig | Das Element ist keines der anderen Elementtypen (die in dieser Tabelle aufgeführt sind). |
| 1 | Datei | Das Element ist eine Datei. |
| 5 | Ordner | Das Element ist ein Ordner. |
| 6 | web | Das Element ist ein Web. |
| 7 | Website | Das Element ist eine Website. |
| 8 | Mandant | Das Element ist ein Mandant. |
| 9 | DocumentLibrary | Das Element ist eine Dokumentbibliothek. |
| 11 | Seite | Das Element ist eine Seite. |
Enumeration: EventSource - Typ: Edm.Int32
EventSource
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | SharePoint | Die Ereignisquelle ist SharePoint. |
| 1 | ObjectModel | Die Ereignisquelle ist ObjectModel. |
Enumeration: SharePointAuditOperation - Typ: Edm.Int32
| Elementname | Beschreibung |
|---|---|
| AccessInvitationAccepted | Der Empfänger einer Einladung zum Anzeigen oder Bearbeiten einer freigegebenen Datei (oder eines Ordners) hat durch Klicken auf den Link in der Einladung auf die freigegebene Datei zugegriffen. |
| AccessInvitationCreated | Der Benutzer sendet eine Einladung an eine andere Person (innerhalb oder außerhalb seiner Organisation) zum Anzeigen oder Bearbeiten einer freigegebenen Datei oder eines Ordners auf einer SharePoint- oder OneDrive for Business-Website. Die Details des Ereigniseintrags geben Folgendes an: den Namen der Datei, die freigegeben wurde, den Benutzer, an den die Einladung gesendet wurde, und den Typ der Freigabeberechtigung, der von der Person ausgewählt wurde, die die Einladung gesendet hat. |
| AccessInvitationExpired | Eine an einen externen Benutzer gesendete Einladung läuft ab. Standardmäßig läuft eine Einladung, die an einen Benutzer außerhalb Ihrer Organisation gesendet wurde, nach 7 Tagen ab, wenn die Einladung nicht angenommen wird. |
| AccessInvitationRevoked | Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint oder OneDrive for Business zieht eine Einladung, die an einen Benutzer außerhalb Ihrer Organisation gesendet wurde, zurück. Eine Einladung kann nur zurückgezogen werden, bevor sie akzeptiert wurde. |
| AccessInvitationUpdated | Der Benutzer, der eine Einladung an eine andere Person zum Anzeigen oder Bearbeiten einer freigegebenen Datei oder eines Ordners auf einer SharePoint- oder OneDrive for Business-Website erstellt hat, sendet die Einladung erneut. |
| AccessRequestApproved | Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint oder OneDrive for Business genehmigt eine Benutzeranforderung für den Zugriff auf die Website oder das Dokument. |
| AccessRequestCreated | Der Benutzer fordert Zugriff auf eine Website oder ein Dokument in SharePoint oder OneDrive for Business, für die bzw. das er nicht über eine Zugriffsberechtigung verfügt. |
| AccessRequestRejected | Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint lehnt eine Benutzeranforderung für den Zugriff auf die Website oder das Dokument ab. |
| ActivationEnabled | Benutzer können Formularvorlagen browserfähig machen, die keinen Formularcode enthalten, keine volle Vertrauenswürdigkeit erfordern, nicht auf einem mobilen Gerät wiedergegeben werden und keine von einem Serveradministrator verwaltete Datenverbindung verwenden. |
| AdministratorAddedToTermStore | Es wurde ein Terminologiespeicheradministrator hinzugefügt. |
| AdministratorDeletedFromTermStore | Es wurde ein Terminologiespeicheradministrator gelöscht. |
| AllowGroupCreationSet | Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer SharePoint oder OneDrive for Business-Website hinzu, die es einem Benutzer mit dieser Berechtigung ermöglicht, eine Gruppe für diese Website zu erstellen. |
| AppCatalogCreated | Der App-Katalog, der erstellt wurde, um benutzerdefinierte Geschäfts-Apps für Ihre SharePoint-Umgebung bereitzustellen. |
| AuditPolicyRemoved | Das Dokument LifeCycle-Richtlinie wurde für eine Websitesammlung entfernt. |
| AuditPolicyUpdate | Das Dokument LifeCycle-Richtlinie wurde für eine Websitesammlung aktualisiert. |
| AzureStreamingEnabledSet | Ein Videoportal-Besitzer hat Videostreaming aus Azure erlaubt. |
| CollaborationTypeModified | Der für die Kollaboration auf Websites zulässige Typ (z. B. Intranet, Extranet oder Öffentlich) wurde geändert. |
| ConnectedSiteSettingModified | Der Benutzer hat entweder die Verknüpfung zwischen einem Projekt und einer Projektwebsite erstellt, geändert oder gelöscht, oder der Benutzer ändert die Synchronisierungseinstellung auf dem Link in Project Web App. |
| CreateSSOApplication | Die Zielanwendung, die im Secure Store Service erstellt wurde. |
| CustomFieldOrLookupTableCreated | Der Benutzer hat ein benutzerdefiniertes Feld oder eine Nachschlagetabelle/-element in Project Web App erstellt. |
| CustomFieldOrLookupTableDeleted | Der Benutzer hat ein benutzerdefiniertes Feld oder nachschlagende Tabelle/Element in Project Web App gelöscht. |
| CustomFieldOrLookupTableModified | Der Benutzer hat ein benutzerdefiniertes Feld oder ein benutzerdefiniertes Nachschlagetabelle/Element in Project Web App geändert. |
| CustomizeExemptUsers | Ein globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, wenn ein Benutzer-Agent, den Sie als ausgenommen angegeben haben, auf ein InfoPath-Formular trifft, wird das Formular als XML-Datei anstelle einer gesamten Webseite zurückgegeben. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt. |
| DefaultLanguageChangedInTermStore* | Die Einstellung für die Standardsprache im Terminologiespeicher wurde geändert. |
| DelegateModified | Der Benutzer hat einen Sicherheitsdelegaten in Project Web App erstellt oder geändert. |
| DelegateRemoved | Der Benutzer hat einen Sicherheitsdelegaten in Project Web App gelöscht. |
| DeleteSSOApplication | Eine SSO-Anwendung wurde gelöscht. |
| eDiscoveryHoldApplied | Ein In-Situ-Speicher wurde auf einer Inhaltsquelle platziert. In-Situ-Speicher werden mit einer eDiscovery-Websitesammlung (z. B. das eDiscovery Center) in SharePoint verwaltet. |
| eDiscoveryHoldRemoved | Ein In-Situ-Speicher wurde aus einer Inhaltsquelle entfernt. In-Situ-Speicher werden mit einer eDiscovery-Websitesammlung (z. B. das eDiscovery Center) in SharePoint verwaltet. |
| eDiscoverySearchPerformed | Eine eDiscovery-Suche wurde mit einer eDiscovery-Websitesammlung in SharePoint ausgeführt. |
| EngagementAccepted | Der Benutzer akzeptiert einen Ressourceneinsatz in Project Web App. |
| EngagementModified | Der Benutzer ändert einen Ressourceneinsatz in Project Web App. |
| EngagementRejected | Der Benutzer lehnt einen Ressourceneinsatz in Project Web App ab. |
| EnterpriseCalendarModified | Ein Benutzer kopiert, ändert oder löscht einen Unternehmenskalender in Project Web App. |
| EntityDeleted | Der Benutzer löscht eine Arbeitszeittabelle in Project Web App. |
| EntityForceCheckedIn | Der Benutzer erzwingt ein Einchecken in einem Kalender, einem benutzerdefinierten Feld oder einer Nachschlagetabelle in Project Web App. |
| ExemptUserAgentSet | Ein globaler Administrator fügt einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzu. |
| FileAccessed | Der Benutzer oder das Systemkonto greift auf eine Datei auf einer SharePoint- oder OneDrive for Business-Website zu. Systemkonten können ebenfalls FileAccessed-Ereignisse generieren. |
| FileCheckOutDiscarded | Der Benutzer verwirft eine ausgecheckte Datei oder macht sie rückgängig. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden. |
| FileCheckedIn | Ein Benutzer checkt ein Dokument ein, das er aus der SharePoint- oder OneDrive for Business-Dokumentbibliothek ausgecheckt hat. |
| FileCheckedOut | Ein Benutzer checkt ein Dokument aus, das sich in einer SharePoint- oder OneDrive for Business-Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern. |
| FileCopied | Ein Benutzer kopiert ein Dokument von einer SharePoint- oder OneDrive for Business-Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden. |
| FileDeleted | Ein Benutzer löscht ein Dokument von einer SharePoint- oder OneDrive for Business-Website. |
| FileDeletedFirstStageRecycleBin | Ein Benutzer löscht ein Dokument aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website. |
| FileDeletedSecondStageRecycleBin | Ein Benutzer löscht ein Dokument aus dem endgültigen Papierkorb der SharePoint- oder OneDrive for Business-Website. |
| FileDownloaded | Ein Benutzer lädt ein Dokument von einer SharePoint- oder OneDrive for Business-Website herunter. |
| FileFetched | Dieses Ereignis ist veraltet und wurde durch das FileAccessed-Ereignis ersetzt. |
| FileModified | Ein Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments, das sich auf SharePoint- oder OneDrive for Business-Website befindet. |
| FileMoved | Ein Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer SharePoint- oder OneDrive for Business-Website an eine neue Position. |
| FilePreviewed | Ein Benutzer zeigt eine Vorschau eines Dokuments auf einer SharePoint- oder OneDrive for Business-Website an. |
| FileRecycled | Der Benutzer verschiebt ein Dokument in den SharePoint- oder OneDrive-Papierkorb. |
| FileRenamed | Ein Benutzer benennt ein Dokument auf einer SharePoint- oder OneDrive for Business-Website um. |
| FileRestored | Ein Benutzer stellt ein Dokument aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website wieder her. |
| FileSyncDownloadedFull | Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen. |
| FileSyncDownloadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet. |
| FileSyncUploadedFull | Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert. |
| FileSyncUploadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet. |
| FileUploaded | Ein Benutzer lädt ein Dokument auf eine SharePoint- oder OneDrive for Business-Website. |
| FileViewed | Dieses Ereignis ist veraltet und wurde durch das FileAccessed-Ereignis ersetzt. |
| FolderCopied | Ein Benutzer kopiert einen Ordner von einer SharePoint- oder OneDrive for Business-Website in einen anderen Speicherort von SharePoint oder OneDrive for Business. |
| FolderCreated | Ein Benutzer erstellt einen Ordner auf einer SharePoint- oder OneDrive for Business-Website. |
| FolderDeleted | Ein Benutzer löscht einen Ordner von einer SharePoint- oder OneDrive for Business-Website. |
| FolderDeletedFirstStageRecycleBin | Ein Benutzer löscht einen Ordner aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website. |
| FolderDeletedSecondStageRecycleBin | Ein Benutzer löscht einen Ordner aus dem endgültigen Papierkorb der SharePoint- oder OneDrive for Business-Website. |
| FolderModified | Ein Benutzer ändert einen Ordner auf einer SharePoint- oder OneDrive for Business-Website. Dieses Ereignis umfasst Ordner-Metadatenänderungen wie z. B. Tags und Eigenschaften. |
| FolderMoved | Ein Benutzer verschiebt einen Ordner von einer SharePoint- oder OneDrive for Business-Website. |
| FolderRecycled | Der Benutzer verschiebt einen Ordner in den SharePoint- oder OneDrive-Papierkorb. |
| FolderRenamed | Ein Benutzer benennt einen Ordner auf einer SharePoint- oder OneDrive for Business-Website um. |
| FolderRestored | Ein Benutzer stellt einen Ordner aus dem Papierkorb auf der SharePoint- oder OneDrive for Business-Website wieder her. |
| GroupAdded | Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine SharePoint- oder OneDrive for Business-Website oder führt eine Aufgabe aus, die dazu führt, dass eine Gruppe erstellt wird. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt. |
| GroupRemoved | Ein Benutzer löscht eine Gruppe aus einer SharePoint- oder OneDrive for Business-Website. |
| GroupUpdated | Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine SharePoint- oder OneDrive for Business-Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören. |
| LanguageAddedToTermStore | Eine Sprache wird zum Terminologiespeicher hinzugefügt. |
| LanguageRemovedFromTermStore | Eine Sprache wird aus dem Terminologiespeicher gelöscht. |
| LegacyWorkflowEnabledSet | Der Websiteadministrator oder -besitzer fügt den SharePoint-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren. |
| LookAndFeelModified | Ein Benutzer ändert Schnellstart-, Gantt-Diagramm- oder Gruppenformate. Oder der Benutzer erstellt, ändert oder löscht eine Ansicht in Project Web App. |
| ManagedSyncClientAllowed | Ein Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer SharePoint- oder OneDrive for Business-Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde. Weitere Informationen finden Sie unter Verwenden von SharePoint Online PowerShell zum Aktivieren von OneDrive-Synchronisation für Domänen, die sich in der Liste der sicheren Empfänger befinden. |
| MaxQuotaModified | Das maximale Kontingent für eine Website wurde geändert. |
| MaxResourceUsageModified | Der maximal zulässige Ressourceneinsatz für eine Website wurde geändert. |
| MySitePublicEnabledSet | Die Kennzeichnung, die es Benutzern ermöglicht, öffentliche "Meine Websites" zu besitzen, wurde durch den SharePoint-Administrator festgelegt. |
| NewsFeedEnabledSet | Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine SharePoint- oder OneDrive for Business-Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren. |
| ODBNextUXSettings | Eine neue Benutzeroberfläche für OneDrive for Business wurde aktiviert. |
| OfficeOnDemandSet | Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Office 365-Abonnement, bei dem alle Office-Anwendungen installiert werden. |
| PageViewed | Ein Benutzer zeigt eine Seite auf einer SharePoint- oder OneDrive for Business-Website an. Dies schließt das Anzeigen von Dokumentbibliotheksdateien einer SharePoint- oder OneDrive for Business-Website in einem Browser nicht ein. |
| PeopleResultsScopeSet | Der Websiteadministrator erstellt oder ändert die Ergebnisquelle für Personensuchen für eine SharePoint-Website. |
| PermissionSyncSettingModified | Der Benutzer ändert die Einstellungen für die Synchronisierung von Projektberechtigungen in Project Web App. |
| PermissionTemplateModified | Der Benutzer erstellt, ändert oder löscht eine Berechtigungsvorlage in Project Web App. |
| PortfolioDataAccessed | Der Benutzer greift in der Project-Web-App auf Portfolioinhalte (Treiberbibliothek, Treiberpriorisierung, Portfolioanalysen) zu. |
| PortfolioDataModified | Der Benutzer erstellt, ändert oder löscht Portfoliodaten (Treiberbibliothek, Treiberpriorisierung, Portfolioanalysen) in der Project-Web-App. |
| PreviewModeEnabledSet | Der Websiteadministrator aktiviert die Dokumentvorschau für eine SharePoint-Website. |
| ProjectAccessed | Der Benutzer greift auf Projektinhalte in der Project-Web-App zu. |
| ProjectCheckedIn | Der Benutzer checkt ein Projekt ein, das er aus einer Project-Web-App ausgecheckt hat. |
| ProjectCheckedOut | Der Benutzer checkt ein Projekt aus, das sich in einer Project-Web-App befindet. Wenn Benutzer die Berechtigung zum Öffnen einen Projekts besitzen, können sie dieses auch auschecken und ändern. |
| ProjectCreated | Der Benutzer erstellt ein Projekt in der Project-Web-App. |
| ProjectDeleted | Der Benutzer löscht ein Projekt in der Project-Web-App. |
| ProjectForceCheckedIn | Der Benutzer erzwingt ein Einchecken eines Projekts in der Project Web App. |
| ProjectModified | Der Benutzer ändert ein Projekt in Project Web App. |
| ProjectPublished | Der Benutzer veröffentlicht ein Projekt in der Project-Web-App. |
| ProjectWorkflowRestarted | Der Benutzer startet einen Workflow in Project Web App neu. |
| PWASettingsAccessed | Der Benutzer greift über CSOM auf die Project-Web-App-Einstellungen zu. |
| PWASettingsModified | Der Benutzer ändert die Konfiguration einer Project-Web-App. |
| QueueJobStateModified | Der Benutzer bricht einen Warteschlangenauftrag in Project Web App ab oder startet sie neu. |
| QuotaWarningEnabledModified | Die Speicherkontingent-Warnung wurde geändert. |
| RenderingEnabled | Browserfähige Formularvorlagen werden von InfoPath Forms Services wiedergegeben. |
| ReportingAccessed | Der Benutzer hat in der Project-Web-App auf den Berichtsendpunkt zugegriffen. |
| ReportingSettingModified | Der Benutzer ändert die Berichterstellungskonfiguration in Project Web App. |
| ResourceAccessed | Der Benutzer greift auf enterprise-Ressourceninhalte in Project Web App zu. |
| ResourceCheckedIn | Der Benutzer checkt eine Enterprise-Ressource ein, die er aus der Project-Web-App ausgecheckt hat. |
| ResourceCheckedOut | Der Benutzer checkt eine Enterprise-Ressource aus, die sich in Project Web App befindet. |
| ResourceCreated | Der Benutzer erstellt eine Enterprise-Ressource in Project Web App. |
| ResourceDeleted | Der Benutzer löscht eine Enterprise-Ressource in Project Web App. |
| ResourceForceCheckedIn | Der Benutzer erzwingt das Einchecken einer Enterprise-Ressource in Project Web App. |
| ResourceModified | Der Benutzer ändert eine Enterprise-Ressource in Project Web App. |
| ResourcePlanCheckedInOrOut | Ein Benutzer checkt einen Ressourcenplan in Project Web App ein oder aus. |
| ResourcePlanModified | Der Benutzer ändert einen Ressourcenplan in Project Web App. |
| ResourcePlanPublished | Der Benutzer veröffentlicht einen Ressourcenplan in project web app. |
| ResourceRedacted | Der Benutzer bearbeitet eine Enterprise-Ressource und entfernt alle persönlichen Informationen in der Project-Web-App. |
| ResourceWarningEnabledModified | Die Ressourcenkontingent-Warnung wurde geändert. |
| SSOGroupCredentialsSet | Die Gruppenanmeldeinformationen in Secure Store Service wurden festgelegt. |
| SSOUserCredentialsSet | Die Benutzeranmeldeinformationen in Secure Store Service wurden festgelegt. |
| SearchCenterUrlSet | Die Suchcenter-URL wurde festgelegt. |
| SecondaryMySiteOwnerSet | Ein Benutzer hat einen sekundären Besitzer zu seiner "Meine Website" hinzugefügt. |
| SecurityCategoryModified | Der Benutzer erstellt, ändert oder löscht eine Sicherheitskategorie in Project Web App. |
| SecurityGroupModified | Der Benutzer erstellt, ändert oder löscht eine Sicherheitsgruppe in Project Web App. |
| SendToConnectionAdded | Der globale Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln. |
| SendToConnectionRemoved | Der globale Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. |
| SharedLinkCreated | Ein Benutzer erstellt einen Link zu einer freigegebenen Datei in SharePoint oder OneDrive for Business. Dieser Link kann an andere Personen gesendet werden, um ihnen Zugriff auf die Datei zu gewähren. Ein Benutzer kann zwei Arten von Links erstellen: einen Link, mit dem ein Benutzer die freigegebene Datei anzeigen oder bearbeiten kann, oder einen Link, mit dem ein Benutzer die Datei nur anzeigen kann. |
| SharedLinkDisabled | Ein Benutzer deaktiviert (dauerhaft) einen Link, der zum Freigeben einer Datei erstellt wurde. |
| SharingInvitationAccepted* | Ein Benutzer akzeptiert eine Einladung zur Freigabe von Dateien oder Ordnern. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine Datei für andere Benutzer freigibt. |
| SharingRevoked | Ein Benutzer hebt die Freigabe von Dateien oder Ordnern auf, die zuvor für andere Benutzer freigegeben wurden. Dieses Ereignis wird protokolliert, wenn ein Benutzer die Freigabe einer Datei für andere Benutzer aufhebt. |
| SharingSet | Ein Benutzer gibt eine Datei oder einen Ordner in SharePoint oder OneDrive for Business für einen anderen Benutzer in der Organisation frei. |
| SiteAdminChangeRequest | Ein Benutzer fordert an, als Websitesammlungsadministrator für eine SharePoint-Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. |
| SiteCollectionAdminAdded* | Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine SharePoint oder OneDrive for Business-Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. |
| SiteCollectionCreated | Der globale Administrator erstellt eine neue Websitesammlung in Ihrer SharePoint-Organisation. |
| SiteRenamed | Der Websiteadministrator oder -besitzer benennt die SharePoint- oder OneDrive for Business-Website um. |
| StatusReportModified | Der Benutzer erstellt, ändert oder löscht einen status Bericht in Project Web App. |
| SyncGetChanges | Ein Benutzer klickt auf Synchronisieren in der Taskleiste Aktion in SharePoint oder OneDrive for Business, um alle Änderungen an einer Datei in einer Dokumentbibliothek auf seinem Computer zu synchronisieren. |
| SyntexBillingSubscriptionSettingsChanged | Die Einstellungen für das Syntex-Abrechnungsabonnement wurden geändert. Dieses Ereignis wird ausgelöst, wenn eine Syntex-Testversion abläuft. |
| TaskStatusAccessed | Der Benutzer greift auf die status einer oder mehrerer Aufgaben in Project Web App zu. |
| TaskStatusApproved | Der Benutzer genehmigt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App. |
| TaskStatusRejected | Der Benutzer lehnt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App ab. |
| TaskStatusSaved | Der Benutzer speichert eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App. |
| TaskStatusSubmitted | Der Benutzer übermittelt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App. |
| TimesheetAccessed | Der Benutzer greift auf eine Arbeitszeittabelle in Project Web App zu. |
| TimesheetApproved | Der Benutzer genehmigt die Arbeitszeittabelle in der Project-Web-App. |
| TimesheetRejected | Der Benutzer lehnt eine Arbeitszeittabelle in Project Web App ab. |
| TimesheetSaved | Der Benutzer speichert eine Arbeitszeittabelle in Project Web App. |
| TimesheetSubmitted | Der Benutzer übermittelt eine status Arbeitszeittabelle in Project Web App. |
| UnmanagedSyncClientBlocked | Ein Benutzer versucht, eine Synchronisierungsbeziehung mit einer SharePoint- oder OneDrive for Business-Website von einem Computer aus herzustellen, der kein Mitglied der Domäne Ihrer Organisation ist oder Mitglied einer Domäne ist, die nicht in die Liste der Domänen übernommen wurde, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt). Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers ist für das Synchronisieren, Herunterladen oder Hochladen von Dateien der Dokumentbibliothek gesperrt. Informationen zu dieser Funktion finden Sie unter Verwenden von Windows PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste der sicheren Empfänger enthalten sind. |
| UpdateSSOApplication | Die Zielanwendung wurde im Secure Store Service aktualisiert. |
| UserAddedToGroup | Der Websiteadministrator oder -besitzer fügt eine Person zu einer Gruppe auf einer SharePoint- oder OneDrive for Business-Website hinzu. Das Hinzufügen einer Person zu einer Gruppe gewährt dem Benutzer die Berechtigungen, die der Gruppe zugewiesen wurden. |
| UserRemovedFromGroup | Der Websiteadministrator oder -besitzer entfernt eine Person aus einer Gruppe auf einer SharePoint- oder OneDrive for Business-Website. Nachdem die Person entfernt wurde, besitzt sie nicht mehr die Berechtigungen, die der Gruppe zugewiesen wurden. |
| WorkflowModified | Der Benutzer erstellt, ändert oder löscht einen Enterprise-Projekttyp oder workflow phasen oder phasen in Project Web App. |
SharePoint-Dateivorgänge
Die dateibezogenen SharePoint-Ereignisse, die im Abschnitt "Datei- und Ordneraktivitäten" in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführt sind, verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| SiteUrl | Edm.String | Ja | Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. |
| SourceRelativeUrl | Edm.String | Nein | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die Parameter SiteURL, SourceRelativeURL und SourceFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , bei der es sich um den vollständigen Pfadnamen für die Datei handelt, auf die der Benutzer zugreift. |
| SourceFileName | Edm.String | Ja | Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. |
| SourceFileExtension | Edm.String | Nein | Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist. |
| DestinationRelativeUrl | Edm.String | Nein | Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte für die Parameter SiteURL, DestinationRelativeURL und DestinationFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die kopierte Datei darstellt. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt. |
| DestinationFileName | Edm.String | Nein | Der Name der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt. |
| DestinationFileExtension | Edm.String | Nein | Der Erweiterung der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt. |
| UserSharedWith | Edm.String | Nein | Der Benutzer, für den eine Ressource freigegeben wurde. |
| SharingType | Edm.String | Nein | Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird durch den UserSharedWith-Parameter identifiziert. |
| SourceLabel | Edm.String | Nein | Die ursprüngliche Bezeichnung der Datei, bevor sie durch eine Benutzeraktion geändert wird. |
| DestinationLabel | Edm.String | Nein | Die endgültige Bezeichnung der Datei, nachdem sie durch eine Benutzeraktion geändert wurde. |
| SensitivityLabelOwnerEmail | Edm.String | Nein | Die E-Mail-Adresse des Besitzers der Vertraulichkeitsbezeichnung. |
| SensitivityLabelId | Edm.String | Nein | Die aktuelle Vertraulichkeitsbezeichnungs-ID der Datei. |
SharePoint-Listenvorgänge
Die SharePoint-Listen und listenelementbezogenen Ereignisse, die im Abschnitt "SharePoint-Listenaktivitäten" in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführt sind, verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ListTitle | Edm.String | Nein | Der Titel der SharePoint-Liste. |
| ListName | Edm.String | Nein | Der Name der SharePoint-Liste. |
| ListUrl | Edm.String | Nein | Die URL der Liste relativ zur enthaltenden Website. |
| ListBaseType | Edm.String | Nein | Gibt den Basistyp für eine Liste an. |
| ListBaseTemplateType | Edm.String | Nein | Der Listendefinitionstyp, auf dem die Liste basiert. |
| IsHiddenList | Edm.Boolean | Nein | Dieser Wert wird auf True festgelegt, wenn die SharePoint-Liste ausgeblendet ist. |
| IsDocLib | Edm.Boolean | Nein | Dieser Wert wird auf True festgelegt, wenn die SharePoint-Liste vom Typ Dokumentbibliothek ist. |
SharePoint-Freigabeschema
Die auf die Freigabe der Datei bezogenen SharePoint-Ereignisse. Sie unterscheiden sich von den datei- und ordnerbezogenen Ereignissen dahingehend, dass ein Benutzer eine Aktion ausführt, die sich auf einen anderen Benutzer auswirkt. Informationen zum SharePoint-Freigabeschema finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Nein | Speichert die UPN oder den Namen des Zielbenutzers oder der Gruppe, für den bzw. die eine Ressource freigegeben wurde. |
| TargetUserOrGroupType | Edm.String | Nein | Gibt an, ob der Zielbenutzer oder die Gruppe ein Mitglied, ein Gast, eine Gruppe oder ein Partner ist. |
| EventData | XML-Code | Nein | Bietet nachträgliche Informationen zur stattgefundenen Freigabeaktion, wie z. B. das Hinzufügen eines Benutzers zu einer Gruppe oder das Erteilen von Bearbeitungsberechtigungen. |
| SiteUrl | Edm.String | Nein | Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet. |
| SourceRelativeUrl | Edm.String | Nein | Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die Parameter SiteURL, SourceRelativeURL und SourceFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , bei der es sich um den vollständigen Pfadnamen für die Datei handelt, auf die der Benutzer zugreift. |
| SourceFileName | Edm.String | Nein | Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat. |
| SourceFileExtension | Edm.String | Nein | Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist. |
| UniqueSharingId | Edm.String | Nein | Die eindeutige Freigabe-ID, die dem Freigabevorgang zugeordnet ist. |
SharePoint-Schema
Die in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführten SharePoint-Ereignisse (mit Ausnahme der Datei- und Ordnerereignisse) verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| CustomEvent | Edm.String | Nein | Optionale Zeichenfolge für benutzerdefinierte Ereignisse. |
| EventData | Edm.String | Nein | Optionale Nutzlast für benutzerdefinierte Ereignisse. |
| ModifiedProperties | Collection(ModifiedProperty) | Nein | Diese Eigenschaft wird für Administratorereignisse einbezogen, wie z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder der Administratorgruppe einer Websitesammlung. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (wie z. B. die Websiteadministratorgruppe), den neuen Wert der geänderten Eigenschaft (wie z. B. den Benutzer, der als Websiteadministrator hinzugefügt wurde) und den vorherigen Wert des geänderten Objekts. |
Projektschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Entität | Edm.String | Ja | ProjectEntity für die die Überwachung vorgesehen war. |
| Aktion | Edm.String | Ja | ProjectAction, die durchgeführt wurde. |
| OnBehalfOfResId | Edm.Guid | Nein | Die Ressourcen-ID, für die die Aktion durchgeführt wurde. |
Enumeration: Project Action - Typ: Edm.Int32
Projektaktion
| Elementname | Beschreibung |
|---|---|
| Akzeptiert | Ein Benutzer hat ein Ereignis oder einen Workflow akzeptiert. |
| Zugegriffen | Der Benutzer hat auf eine Entität zugegriffen. |
| Aktiviert | Der Benutzer hat eine Entität, ein Ereignis oder einen Workflow aktiviert. |
| Abgebrochen | Der Benutzer hat ein Ereignis oder einen Workflow abgebrochen. |
| Eingecheckt | Der Benutzer hat eine Entität eingecheckt. |
| Ausgecheckt | Der Benutzer hat eine Entität ausgecheckt. |
| Kopiert | Der Benutzer hat eine Entität kopiert. |
| Erstellt | Der Benutzer hat eine Entität erstellt. |
| Deaktiviert | Der Benutzer hat eine Entität deaktiviert. |
| Gelöscht | Der Benutzer hat eine Entität gelöscht. |
| Exportiert | Der Benutzer hat eine Entität exportiert. |
| ForceCheckedIn | Der Benutzer hat das Einchecken einer Entität erzwungen. |
| Geändert | Der Benutzer hat eine Entität geändert. |
| Veröffentlicht | Der Benutzer hat eine Entität veröffentlicht. |
| Unkenntlich gemacht | Der Benutzer hat eine Entität unkenntlich gemacht. |
| Abgelehnt | Der Benutzer hat eine Entität abgelehnt. |
| Neu gestartet | Ein Benutzer hat ein Ereignis oder einen Workflow neu gestartet. |
| Gespeichert | Der Benutzer hat eine Entität gespeichert. |
| Gesendet | Der Benutzer hat eine Entität gesendet. |
| Übermittelt | Der Benutzer hat eine Entität zur Überprüfung oder für den Workflow übermittelt. |
Enumeration: Project Entity - Typ: Edm.Int32
Projektentität
| Elementname | Beschreibung |
|---|---|
| CustomField | Steht für ein benutzerdefiniertes Enterprise-Feld. |
| Driver | Steht für einen Portfolio-Treiber. |
| DriverPrioritization | Steht für eine Portfolio-Priorisierung. |
| Engagement | Steht für eine Ressourcenverhandlung. |
| EnterpriseCalendar | Stellt einen Enterprise-Ressourcenkalender dar. |
| EnterpriseProjectType | Steht für einen Enterprise-Projekttyp. |
| FiscalPeriod | Steht für einen Geschäftszeitraum. |
| GanttChartFormat | Steht für ein Gantt-Diagramm-Format. |
| GroupingFormat | Steht für ein Ansicht-Gruppierungsformat. |
| LineClassification | Steht für eine Arbeitszeittabelle-Zeilenklassifikation. |
| LookupTable | Steht für eine Enterprise-Nachschlagetabelle. |
| PermissionTemplate | Steht für eine Sicherheitsberechtigungsvorlage. |
| PortfolioAnalysis | Steht für einen Portfolio-Analyse. |
| Project | Steht für ein Projekt. |
| QueueJob | Steht für einen Auftrag in der Warteschlange. |
| QuickLaunch | Steht für ein Element der Schnellstartleiste. |
| Reporting | Steht für den Endpunkt des Berichtszeitraums. |
| Ressource | Steht für die Enterprise-Ressource. |
| ResourcePlan | Steht für einen mit dem Projekt verknüpften Ressourcenplan. |
| SecurityCategory | Steht für eine Sicherheitskategorie. |
| SecurityGroup | Steht für eine Sicherheitsgruppe. |
| Setting | Stellt eine Project-Web-App-Einstellung dar. |
| Statusing | Steht für ein Statusupdate. |
| StatusReport | Steht für einen Statusbericht. |
| TimeReportingPeriod | Steht für einen Zeitraum für eine Arbeitszeittabelle. |
| Timesheet | Steht für eine Arbeitszeittabellen-Entität. |
| TimesheetAuditLog | Steht für ein Arbeitszeittabellen-Überwachungsprotokoll. |
| TimesheetManager | Steht für den Verwalter einer Arbeitszeittabelle. |
| UserDelegate | Steht für die Benutzerdelegierung eines anderen Benutzers. |
| View | Steht für eine Ansichtsdefinition. |
| WorkflowPhase | Steht für eine Phase in einem Workflow. |
| WorkflowStage | Steht für einen Status in einem Workflow. |
Exchange-Verwaltungsschema
| Parameter | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Nein | Der benutzerfreundliche Name des Objekts, das vom Cmdlet geändert wurde. Dies wird nur protokolliert, wenn das Cmdlet das Objekt ändert. |
| Parameter | Collection(Common.NameValuePair) | Nein | Der Name und Wert aller Parameter, die mit dem Cmdlet verwendet wurden, das in der Eigenschaft "Vorgänge" bezeichnet wurde. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Nein | Diese Eigenschaft wird für Administratorereignisse einbezogen. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert des geänderten Objekts. |
| ExternalAccess | Edm.Boolean | Ja | Gibt an, ob das Cmdlet von einem Benutzer Ihrer Organisation, von Mitarbeitern des Microsoft-Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet von einer Person in Ihrer Organisation ausgeführt wurde. Der Wert True gibt an, dass das Cmdlet von Mitarbeiter des Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde. |
| OriginatingServer | Edm.String | Nein | Der Name des Servers, aus dem das Cmdlet ausgeführt wurde. |
| OrganizationName | Edm.String | Nein | Der Name des Mandanten. |
Exchange-Postfachschema
| Parameter | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| LogonType | Self.LogonType | Nein | Gibt den Typ der Benutzers an, der auf das Postfach zugegriffen und die Operation, die protokolliert wurde, ausgeführt hat. |
| InternalLogonType | Self.LogonType | Nein | Für die interne Verwendung reserviert. |
| MailboxGuid | Edm.String | Nein | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde. |
| MailboxOwnerUPN | Edm.String | Nein | Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde. |
| MailboxOwnerSid | Edm.String | Nein | Die SID des Postfachbesitzers. |
| MailboxOwnerMasterAccountSid | Edm.String | Nein | Die Hauptkonto-SID des Postfachbesitzerkontos. |
| LogonUserSid | Edm.String | Nein | Die SID des Benutzers, der den Vorgang ausgeführt hat. |
| LogonUserDisplayName | Edm.String | Nein | Der benutzerfreundliche Name des Benutzers, der den Vorgang ausgeführt hat. |
| ExternalAccess | Edm.Boolean | Ja | Dies gilt, wenn die Domäne für die Anmeldung des Benutzers von der Domäne des Postfachbesitzers abweicht. |
| OriginatingServer | Edm.String | Nein | Dies ist der Ort, an dem der Vorgang begonnen wurde. |
| OrganizationName | Edm.String | Nein | Der Name des Mandanten. |
| ClientInfoString | Edm.String | Nein | Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde, z. B. eine Browserversion, eine Outlook-Version und Informationen zu mobilen Geräten. |
| ClientIPAddress | Edm.String | Nein | Die IP-Adresse des Geräts, das verwendet wurde, als der Vorgang protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| ClientMachineName | Edm.String | Nein | Der Name des Computers, auf dem der Outlook-Client gehostet wird. |
| ClientProcessName | Edm.String | Nein | Der für den Zugriff auf das Postfach verwendete E-Mail-Client. |
| ClientVersion | Edm.String | Nein | Die Version des E-Mail-Clients. |
Enumeration: LogonType - Typ: Edm.Int32
LogonType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Besitzer | Der Postfachbesitzer. |
| 1 | Administrator | Eine Person mit Administratorberechtigungen für das Postfach einer Person. |
| 2 | Delegiert | Eine Person mit Stellvertretungsberechtigungen für das Postfach einer Person. |
| 3 | Transport | Ein Transportdienst im Microsoft-Rechenzentrum. |
| 4 | SystemService | Ein Dienstkonto im Microsoft-Rechenzentrum. |
| 5 | BestAccess | Für die interne Verwendung reserviert. |
| 6 | DelegatedAdmin | Ein delegierter Administrator. |
ExchangeMailboxAuditGroupRecord schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Ordner | Self.ExchangeFolder | Nein | Ein Ordner, in dem sich eine Gruppe von Elementen befindet. |
| CrossMailboxOperations | Edm.Boolean | Nein | Gibt an, ob der Vorgang mehr als ein Postfach umfasst. |
| DestMailboxId | Edm.Guid | Nein | Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die GUID des Zielpostfachs an. |
| DestMailboxOwnerUPN | Edm.String | Nein | Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die UPN des Besitzers des Zielpostfachs an. |
| DestMailboxOwnerSid | Edm.String | Nein | Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die SID des Zielpostfachs an. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Nein | Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die SID für die Hauptkonto-SID des Besitzers des Zielpostfachs an. |
| DestFolder | Self.ExchangeFolder | Nein | Der Zielordner für Vorgänge wie Verschieben. |
| Ordner | Collection(Self.ExchangeFolder) | Nein | Informationen zu den an einem Vorgang beteiligten Quellordnern; wenn z. B. Ordner ausgewählt und dann gelöscht werden. |
| AffectedItems | Collection(Self.ExchangeItem) | Nein | Informationen zu jedem Element in der Gruppe. |
ExchangeMailboxAuditRecord schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Element | Self.ExchangeItem | Nein | Steht für das Element, für das der Vorgang ausgeführt wurde. |
| ModifiedProperties | Collection(Edm.String) | Nein | Noch nicht festgelegt |
| SendAsUserSmtp | Edm.String | Nein | Die SMTP-Adresse des Benutzers, der imitiert wird. |
| SendAsUserMailboxGuid | Edm.Guid | Nein | Die Exchange-GUID des Postfachs, auf das zum Senden von E-Mails zugegriffen wurde. |
| SendOnBehalfOfUserSmtp | Edm.String | Nein | Die SMTP-Adresse des Benutzers, in dessen Auftrag die E-Mail gesendet wird. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Nein | Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um die E-Mail im Auftrag zu versenden. |
Komplexer ExchangeItem-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Id | Edm.String | Ja | Die Store-ID. |
| Betreff | Edm.String | Nein | Die Betreffzeile der Nachricht, auf die zugegriffen wurde. |
| ParentFolder | Edm.ExchangeFolder | Nein | Der Name des Ordners, in dem sich das Element befindet. |
| Anlagen | Edm.String | Nein | Eine Liste mit den Namen und der Dateigröße aller Elemente, die an die Nachricht angefügt werden. |
ExchangeFolder complex type
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Id | Edm.String | Ja | Die Store-ID des Ordnerobjekts. |
| Pfad | Edm.String | Nein | Der Name des Postfachordners, in dem sich die Nachricht, auf die zugegriffen wurde, befindet. |
OWA-Authentifizierungsschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | Nein | Ein eindeutiger Bezeichner für die Ressource. |
| ResourceURL | Edm.String | Nein | Die Ressourcen-URL. |
Azure Active Directory-Basisschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Ja | Der Typ des Microsoft Entra Ereignisses. |
| ExtendedProperties | Collection(Common.NameValuePair) | Nein | Die erweiterten Eigenschaften des Microsoft Entra-Ereignisses. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Nein | Diese Eigenschaft wird für Administratorereignisse einbezogen. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft. |
Enumeration: AzureActiveDirectoryEventType - Typ -Edm.Int32
AzureActiveDirectoryEventType
| Elementname | Beschreibung |
|---|---|
| AccountLogon | Das Kontoanmeldeereignis. |
| AzureApplicationAuditEvent | Das Sicherheitsereignis der Azure-Anwendung. |
Azure Active Directory-Kontoanmeldeschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Anwendung | Edm.String | Nein | Die Anwendung, die das Kontoanmeldeereignis auslöst, z. B. Office 15. |
| Client | Edm.String | Nein | Details zum Clientgerät, dem Gerätebetriebssystem und dem Gerätebrowser, die für das Kontoanmeldeereignis verwendet wurden. |
| LoginStatus | Edm.Int32 | Ja | Diese Eigenschaft wird direkt aus OrgIdLogon.LoginStatus übertragen. Die Zuordnung verschiedener interessanter Anmeldefehler kann durch Warnalgorithmen erfolgen. |
| UserDomain | Edm.String | Ja | Die Mandanten-Identitätsinformationen (TII). |
Enumeration: CredentialType - Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| -1 | Andere | Weitere Authentifizierung. |
| 0 | Kennwort | Die Anmeldung erfolgt über einen Benutzernamen und ein Kennwort. |
| 1 | MobilePhone | Die Anmeldung erfolgt über ein Mobiltelefon. |
| 2 | SecretQuestion | Die Anmeldung erfolgt über eine geheime Frage. |
| 3 | SecurePin | Die Anmeldung erfolgt über eine sichere PIN. |
| 4 | SecurePinReset | Die Anmeldung erfolgt über das Zurücksetzen einer sicheren PIN. |
| 11 | EasyID | Die Benutzeranmeldeinformationen bestehen aus einer EasyID. |
| 14 | PasswordIndexCredentialType | Die Anmeldung erfolgt über PasswordIndexCredentialType. |
| 16 | Gerät | Die Anmeldung erfolgt über ein Gerät. |
| 17 | ForeignRealmIndex | Die Anmeldung erfolgt über ForeignRealmIndex. |
Enumeration: LoginType - Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| -1 | Andere | Ein anderer i-Typ. |
| 1 | InitialAuth | Anmeldung mit anfänglicher Authentifizierung. |
| 2 | CookieCopy | Anmeldung mit Cookie. |
| 3 | SilentReAuth | Anmeldung mit automatischer erneuter Authentifizierung. |
Enumeration: AuthenticationMethod - Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Min | Die Authentifizierung erfolgt über eine Min. |
| 1 | Kennwort | Die Authentifizierung erfolgt über ein Kennwort. |
| 2 | Digest | Die Authentifizierung erfolgt über einen Digest. |
| 3 | ProxyAuth | Die Authentifizierung erfolgt über ProxyAuth. |
| 4 | InfoCard | Die Authentifizierung erfolgt über InfoCard. |
| 5 | DAToken | Die Authentifizierung erfolgt über ein DAToken. |
| 6 | Sha1RememberMyPassword | Die Authentifizierung erfolgt über Sha1RememberMyPassword. |
| 7 | LMPasswordHash | Die Authentifizierung erfolgt über LMPasswordHash. |
| 8 | ADFSFederatedToken | Die Authentifizierung erfolgt über ADFSFederatedToken. |
| 9 | EID | Die Authentifizierung erfolgt über EID. |
| 10 | DeviceID | Die Authentifizierung erfolgt über DeviceID. |
| 11 | MD5 | Die Authentifizierung erfolgt über MD5. |
| 12 | EncProxyPasswordHash | Die Authentifizierung erfolgt über EncProxyPasswordHash. |
| 13 | LWAFederation | Die Authentifizierung erfolgt über LWAFederation. |
| 14 | Sha1HashedPassword | Die Authentifizierung erfolgt über Sha1HashedPassword. |
| 15 | SecurePin | Die Authentifizierung erfolgt über eine sichere Pin. |
| 16 | SecurePinReset | Die Authentifizierung erfolgt über das Zurücksetzen einer sicheren Pin. |
| 17 | SAML20PostSimpleSign | Die Authentifizierung erfolgt über SAML20PostSimpleSign. |
| 18 | SAML20Post | Die Authentifizierung erfolgt über SAML20Post. |
| 19 | OneTimeCode | Die Authentifizierung erfolgt über einen einmalig verwendbaren Code. |
Azure Active Directory-Schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Akteur | Collection(Self.IdentityTypeValuePair) | Nein | Der Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat. |
| ActorContextId | Edm.String | Nein | Die GUID der Organisation, der der Akteur gehört. |
| ActorIpAddress | Edm.String | Nein | Die IP-Adresse des Akteurs im IPV4- oder IPV6-Adressformat. |
| InterSystemsId | Edm.String | Nein | Die GUID, die die Aktionen in Komponenten innerhalb des Office 365-Dienstes nachverfolgt. |
| IntraSystemsId | Edm.String | Nein | Die GUID, die vom Azure Active Directory zum Nachverfolgen der Aktion generiert wird. |
| SupportTicketId | Edm.String | Nein | Die Kundensupport-Ticket-ID für die Aktion in "Aktionen im Auftrag von"-Situationen. |
| Ziel | Collection(Self.IdentityTypeValuePair) | Nein | Der Benutzer, beim dem die Aktion (identifiziert durch die Eigenschaft Vorgang) ausgeführt wurde. |
| TargetContextId | Edm.String | Nein | Die GUID der Organisation, der der Zielbenutzer angehört. |
Complex Type IdentityTypeValuePair
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ID | Edm.String | Ja | Der Wert der angegebenen Identität. |
| Typ | Self.IdentityType | Ja | Der Typ der Identität. |
Enumeration: IdentityType - Typ: Edm.Int32
IdentityType
| Elementname | Beschreibung |
|---|---|
| Anspruch | Die Identität ist ein Anspruch zum Zweck der Autorisierung. |
| Name | Der Anzeigename des Akteurs des Überwachungsprotokolls oder der Zielidentität. |
| Andere | Die Identität des Akteurs ist vom Typ Andere, wie z. B. die Objekt-ID, die vom Office 365-Dienst generiert wird. |
| PUID | Der Akteur der Überwachungsaktion oder die Ziel-Passport Unique ID (PUID). |
| SPN | Die Identität eines Dienstprinzipals, wenn die Aktion vom Office 365-Dienst ausgeführt wird. |
| UPN | Der Benutzerprinzipalname. |
Azure Active Directory-Secure Token Service (STS)-Anmeldeschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ApplicationId | Edm.String | Nein | Die GUID, die die Anwendung darstellt, von der die Anmeldung angefordert wird. Der Anzeigename kann über die Azure Active Directory Graph-API betrachtet werden. |
| Client | Edm.String | Nein | Client-Geräteinformationen, die von dem Browser bereitgestellt werden, der die Anmeldung ausführt. |
| DeviceProperties | Collection(Common.NameValuePair) | Nein | Diese Eigenschaft enthält verschiedene Gerätedetails, darunter ID, Anzeigename, Betriebssystem, Browser, IsCompliant, IsCompliantAndManaged, SessionId und DeviceTrustType. Die DeliverableType-Eigenschaft kann die folgenden Werte aufweisen: 0 – Microsoft Entra registriert 1 – Microsoft Entra verknüpft 2. Hybrid-Microsoft Entra eingebunden |
| ErrorCode | Edm.String | Nein | Für fehlgeschlagene Anmeldungen (bei denen der Wert für die Operation-Eigenschaft "UserLoginFailed" lautet) enthält diese Eigenschaft den Azure Active Directory STS (AADSTS)-Fehlercode. Beschreibungen dieser Fehlercodes finden Sie unter Authentifizierungs- und Autorisierungsfehlercodes. Der Wert 0 zeigt eine erfolgreiche Anmeldung an. |
| LogonError | Edm.String | Nein | Bei fehlgeschlagenen Anmeldungen enthält diese Eigenschaft eine benutzerlesbare Beschreibung des Grunds für den Anmeldefehler. |
DLP-Schema
DLP-Ereignisse sind für Exchange Online, Endpunkte(Geräte) und SharePoint Online und OneDrive for Business verfügbar. Beachten Sie, dass DLP-Ereignisse in Exchange nur für Ereignisse basierend auf einer einheitlichen DLP-Richtlinie (z. B. über das Security & Compliance Center konfiguriert) verfügbar sind. Auf Exchange-Transportregeln basierende DLP-Ereignisse werden nicht unterstützt.
DLP-Ereignisse (Data Loss Prevention, Verhinderung von Datenverlust) enthalten immer UserKey = "DlpAgent" im allgemeinen Schema. Es gibt drei Arten von DlpEvents, die als Wert für die Operation-Eigenschaft des allgemeinen Schemas gespeichert sind:
DlpRuleMatch: Zeigt an, dass eine Regel abgeglichen wurde. Diese Ereignisse sind in allen Exchange,Endpoint(Devices) und SharePoint Online und OneDrive for Business vorhanden. In Exchange enthalten sie falsch positive Ergebnisse und Informationen zur Außerkraftsetzung. In SharePoint Online und OneDrive for Business generieren falsch positive Ergebnisse und Außerkraftsetzungen separate Ereignisse.
DlpRuleUndo: Nur in SharePoint Online und OneDrive for Business vorhanden. Gibt an, dass eine zuvor angewendete Richtlinienaktion "rückgängig" gemacht wurde – entweder aufgrund einer Identifizierung falsch positiver Ergebnisse/Außerkraftsetzung durch den Benutzer oder weil das Dokument nicht mehr der Richtlinie unterliegt (entweder aufgrund einer Richtlinienänderung oder einer Änderung des Dokumentinhalts).
DlpInfo: Nur in SharePoint Online und OneDrive for Business vorhanden. Gibt an, dass falsch positive Ergebnisse identifiziert wurden, aber keine Aktion "Rückgängig" durchgeführt wurde.
| Parameter | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Nein | Beschreibt Metadaten über das Dokument in SharePoint oder OneDrive for Business, die vertrauliche Informationen enthalten. |
| ExchangeMetaData | Self.ExchangeMetadata | Nein | Beschreibt Metadaten über die E-Mail-Nachricht, die vertrauliche Informationen enthalten. |
| EndpointMetaData | Selbst. EndpointMetadata | Nein | Beschreibt Metadaten zum Dokument im Endpunkt, das die vertraulichen Informationen enthält. |
| ExceptionInfo | Edm.String | Nein | Gibt Gründe an, warum eine Richtlinie nicht mehr anwendbar ist und/oder enthält vom Endbenutzer vermerkte Informationen zu falsch positiven Ergebnissen und/oder zur Außerkraftsetzung. |
| PolicyDetails | Sammlung (Self. PolicyDetails) | Ja | Informationen zu 1 oder mehreren Richtlinien, die das DLP-Ereignis ausgelöst haben. |
| SensitiveInfoDetectionIsIncluded | Boolesch | Ja | Gibt an, ob das Ereignis den Wert des vertraulichen Datentyps und umgebende Kontextinformationen aus dem Quellinhalt enthält. Für den Zugriff auf vertrauliche Daten wird die Berechtigung "Lesen von DLP-Richtlinienereignissen einschließlich vertraulicher Informationen" in Azure Active Directory benötigt. |
Komplexer SharePointMetadata-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Von | Edm.String | Ja | Der Benutzer, der das Ereignis ausgelöst hat. Dies ist entweder der FileOwner, LastModifier oder LastSharer. |
| itemCreationTime | Edm.Date | Ja | Datumzeitstempel in UTC, wann das Ereignis protokolliert wurde. |
| SiteCollectionGuid | Edm.Guid | Ja | Die GUID der Websitesammlung. |
| SiteCollectionUrl | Edm.String | Ja | Die URL der SharePoint-Website. |
| FileName | Edm.String | Ja | Der Name der Pfads. |
| FileOwner | Edm.String | Ja | Der Besitzer des Dokuments. |
| FilePathUrl | Edm.String | Ja | Die URL des Dokuments. |
| DocumentLastModifier | Edm.String | Ja | Der Benutzer, der das Dokument zuletzt geändert hat. |
| DocumentSharer | Edm.String | Ja | Der Benutzer, der das Dokument zuletzt freigegeben hat. |
| UniqueId | Edm.String | Ja | Eine GUID, die die Datei identifiziert. |
| LastModifiedTime | Edm.DateTime | Ja | Zeitstempel in UTC, wann das Dokument zuletzt geändert wurde. |
| IsViewableByExternalUsers | Edm.Boolean | Ja | Bestimmt, ob ein externer Benutzer auf die Datei zugreifen kann. |
Komplexer ExchangeMetadata-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| MessageID | Edm.String | Ja | Die Nachrichten-ID der E-Mail, die das Ereignis ausgelöst hat. |
| Von | Edm.String | Ja | Der Benutzer, der die E-Mail-Adresse gesendet hat. |
| An | Collection(Edm.String) | Nein | Eine Sammlung von E-Mail-Adressen, die in der An-Zeile der Nachricht enthalten waren. |
| CC | Collection(Edm.String) | Nein | Eine Sammlung von E-Mail-Adressen, die in der CC-Zeile der Nachricht enthalten waren. |
| BCC | Collection(Edm.String) | Nein | Eine Sammlung von E-Mail-Adressen, die in der BCC-Zeile der Nachricht enthalten waren. |
| Betreff | Edm.String | Ja | Der Betreff der E-Mail-Nachricht. |
| Gesendet | Edm.DateTime | Ja | Die Uhrzeit in UTC, wann die E-Mail gesendet wurde. |
| RecipientCount | Edm.Int32 | Ja | Die Gesamtzahl aller Empfänger in den Zeilen An, CC und BCC der Nachricht. |
Komplexer EndpointMetadata-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| SensitiveInformation | Sammlung (Self. SensitiveInformation) | Nein | Informationen über die Art der erkannten vertraulichen Informationen. |
| EnforcementMode | Edm.String | Ja | Geben Sie an, ob die AUF 1/2/3/4/5 festgelegte DLP-Regel audit/warn(block with override)/warn bzw. bypass/block/allow(audit without alerts) darstellt. |
| FileExtension | Edm.String | Nein | Die Dateierweiterung des Dokuments, das die vertraulichen Informationen enthielt. |
| FileType | Edm.String | Nein | Der Dateityp des Dokuments, das die vertraulichen Informationen enthält. |
| DeviceName | Edm.String | Nein | Der Name des Geräts, auf dem eine DLP-Regeleinstimmung erkannt wurde. |
Komplexer PolicyDetails-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| PolicyId | Edm.Guid | Ja | Die Guid der DLP-Richtlinie für dieses Ereignis. |
| PolicyName | Edm.String | Ja | Die Anzeigename der DLP-Richtlinie für dieses Ereignis. |
| Regeln | Sammlung (Self.Rules) | Ja | Informationen zu den Regeln in der Richtlinie, die für dieses Ereignis abgeglichen wurden. |
Komplexer Rules-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RuleId | Edm.Guid | Ja | Die Guid der DLP-Richtlinie für dieses Ereignis. |
| RuleName | Edm.String | Ja | Der Anzeigename der DLP-Richtlinie für dieses Ereignis. |
| Aktionen | Collection(Edm.String) | Nein | Eine Liste der Aktionen, die als Ergebnis eines RuleMatch DLP-Ereignisses durchgeführt wurden. |
| OverriddenActions | Collection(Edm.String) | Nein | Eine Liste der zuvor ausgeführten Aktionen, die jetzt aufgrund eines DLPRuleUndo-Ereignisses rückgängig gemacht wurden. |
| Severity | Edm.String | Nein | Der Schweregrad (Niedrig, Mittel und Hoch) der Regelentsprechung. |
| RuleMode | Edm.String | Ja | Gibt an, ob die DLP-Regel auf Erzwingen, Überwachen mit Benachrichtigen oder Nur Überwachen festgelegt wurde. |
| ConditionsMatched | Self.ConditionsMatched | Nein | Details, welche Bedingungen der Regel für dieses Ereignis erfüllt wurden. |
Komplexer ConditionsMatched-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| SensitiveInformation | Sammlung (Self. SensitiveInformation) | Nein | Informationen über die Art der erkannten vertraulichen Informationen. |
| DocumentProperties | Collection(NameValuePair) | Nein | Informationen zu Dokumenteigenschaften, die eine Regelentsprechung ausgelöst haben. |
| OtherConditions | Collection(NameValuePair) | Nein | Eine Liste der Schlüssel-Wert-Paare zur Beschreibung beliebiger anderer Kriterien, die erfüllt wurden. |
Komplexer SensitiveInformation-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Confidence | Edm.Int | Ja | Die aggregierte Konfidenz aller Musterübereinstimmungen für den Typ vertraulicher Informationen. |
| Anzahl | Edm.Int | Ja | Gesamtanzahl der erkannten vertraulichen Instanzen. |
| Speicherort | Edm.String | Nein | |
| SensitiveType | Edm.Guid | Ja | Eine Guid, die den Typ der erkannten vertraulichen Daten bezeichnet. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Nein | Ein Array von Objekten, das vertrauliche Informationsdaten und die folgenden Details enthält: übereinstimmender Wert und Kontext des übereinstimmenden Werts. |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed) ConfidenceLevelResult) |
Ja | Informationen zur Anzahl der vertraulichen Informationstypen, die für jeden der drei Konfidenzstufen (Hoch, Mittel und Niedrig) erkannt wurden, und ob er der DLP-Regel entspricht oder nicht. |
| SensitiveInformationTypeName | Edm.String | Nein | Name des Typs vertraulicher Informationen. |
| UniqueCount | Edm.Int32 | Ja | Anzahl der verschiedenen erkannten vertraulichen Instanzen. |
Komplexer Typ „SensitiveInformationDetailedClassificationAttributes“
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Confidence | Edm.int32 | Ja | Das Konfidenzniveau des erkannten Musters wurde erkannt. |
| Anzahl | Edm.Int32 | Ja | Die Anzahl der erkannten vertraulichen Instanzen für ein bestimmtes Konfidenzniveau. |
| IsMatch | Edm.Boolean | Ja | Zeigt an, ob die angegebene Anzahl und das Konfidenzniveau des Typs vertraulicher Informationen zu einer Übereinstimmung mit einer DLP-Regel führt. |
Komplexer SensitiveInformationDetections-Typ
Vertrauliche DLP-Daten sind nur in der Aktivitätsfeed-API für Benutzer verfügbar, denen die Berechtigung "Lesen vertraulicher DLP-Daten" erteilt wurde.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | Ja | Ein Array vertraulicher Informationen, die erkannt wurden. Die Informationen enthalten Schlüssel-Wert-Paare mit Wert = übereinstimmend (z. B. Der Wert des Guthabens Karte) und Context = ein Auszug aus dem Quellinhalt, der den übereinstimmend wert enthält. |
| ResultsTruncated | Edm.Boolean | Ja | Zeigt an, ob die Protokolle aufgrund einer großen Anzahl von Ergebnissen abgeschnitten wurden. |
Komplexer ExceptionInfo-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Grund | Edm.String | Nein | Bei einem DLPRuleUndo-Ereignis gibt dies an, warum die Regel nicht mehr gilt, was einer der Gründe 3 sein kann: Außerkraftsetzung, Dokumentänderung oder Änderung der Sicherheitsrichtlinie. |
| FalsePositive | Edm.Boolean | Nein | Gibt an, ob der Benutzer dieses Ereignis als falsch positives Ergebnis festgelegt hat. |
| Begründung | Edm.String | Nein | Wenn sich der Benutzer entscheidet, die Richtlinie außer Kraft zu setzen, werden alle Begründungen des Benutzers hier erfasst. |
| Regeln | Collection(EDM.GUID) | Nein | Eine Auflistung von Guids für jede Regel, die als falsch positives Ergebnis oder Außerkraftsetzung eingestuft wurde oder für die eine Aktion rückgängig gemacht wurde. |
Security & Compliance Center-Schema
| Parameter | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| StartTime | Edm.Date | Nein | Datum und Uhrzeit der Ausführung des Cmdlets. |
| ClientRequestId | Edm.String | Nein | Eine GUID, die verwendet werden kann, um dieses Cmdlet mit den Security & Compliance Center-UX-Vorgängen zu koordinieren. Diese Informationen werden nur vom Microsoft Support verwendet. |
| CmdletVersion | Edm.String | Nein | Die Buildversion des Cmdlets, als es ausgeführt wurde. |
| EffectiveOrganization | Edm.String | Nein | Die GUID für die vom Cmdlet betroffene Organisation. (Veraltet: Dieser Parameter wird in der Zukunft nicht mehr angezeigt.) |
| UserServicePlan | Edm.String | Nein | Der Exchange Online Protection-Serviceplan, der dem Benutzer, der das Cmdlet ausgeführt hat, zugewiesen wurde. |
| ClientApplication | Edm.String | Nein | Wenn das Cmdlet von einer Anwendung und nicht von einer PowerShell-Remoteinstanz ausgeführt wurde, enthält dieses Feld den Namen der Anwendung. |
| Parameter | Edm.String | Nein | Der Name und der Wert für Parameter, die mit dem Cmdlet verwendet wurden und keine personenbezogenen Informationen enthalten. |
| NonPiiParameters | Edm.String | Nein | Der Name und der Wert für Parameter, die mit dem Cmdlet verwendet wurden und personenbezogene Informationen enthalten. (Veraltet: Dieses Feld wird in der Zukunft nicht mehr angezeigt, und der Inhalt wird mit dem Feld "Parameter" zusammengeführt.) |
Security &Compliance-Warnung-Schema
Warnsignale umfassen:
- Alle Warnungen, die basierend auf Warnungsrichtlinien im Security & Compliance Center generierten wurden.
- Auf Office 365 bezogene Warnungen, die in Office 365 Cloud App Security und Microsoft Cloud App Security generiert wurden.
Die Benutzer-ID und der UserKey für diese Ereignisse sind immer SecurityComplianceAlerts. Es gibt drei Arten von Warnereignissen, die als Wert für die Operation-Eigenschaft des allgemeinen Schemas gespeichert sind:
AlertTriggered: Eine neue Warnung wird aufgrund einer Richtlinienenübereinstimmung generiert.
AlertEntityGenerated: Eine neue Entität wird zu einer Warnung hinzugefügt. Dieses Ereignis ist nur für Warnungen anwendbar, die basierend auf Warnungsrichtlinien im Security & Compliance Center generiert wurden. Jede generierte Warnung kann einem oder mehreren dieser Ereignisse zugeordnet werden. Beispielsweise ist eine Richtlinie so definiert, dass eine Warnung ausgelöst wird, wenn ein beliebiger Benutzer mehr als 100 Dateien in 5 Minuten löscht. Wenn zwei Benutzer in etwa der gleichen Zeit den Schwellenwert überschreiten, gibt es zwei AlertEntityGenerated-Ereignisse, aber nur ein AlertTriggered-Ereignis.
AlertUpdated: Eine Aktualisierung der Metadaten eine Warnung wurde vorgenommen. Dieses Ereignis wird protokolliert, wenn der Status einer Warnung geändert wird (z. B. von "Aktiv" zu "Gelöst") und wenn jemand einen Kommentar zu der Warnung hinzufügt.
| Parameter | Typ | Erforderlich | Description |
|---|---|---|---|
| AlertId | Edm.Guid | Ja | Die GUID der Warnung. |
| AlertType | Self.String | Ja | Die Art der Warnung. Zu den Warnungstypen gehören:
|
| Name | Edm.String | Ja | Der Name der Warnung. |
| PolicyId | Edm.Guid | Nein | Die GUID der Richtlinie, die die Warnung ausgelöst hat. |
| Status | Edm.String | Nein | Der Status der Warnung. Zu den Statuswerten gehören:
|
| Severity | Edm.String | Nein | Der Schweregrad der Warnung. Zu den Schweregraden gehören:
|
| Kategorie | Edm.String | Nein | Die Kategorie der Warnung. Zu den Kategorien gehören:
|
| Quelle | Edm.String | Nein | Die Quelle der Warnung. Zu den Quellen gehören:
|
| Kommentare | Edm.String | Nein | Kommentare von Benutzer, die die Warnung angezeigt haben. Standardmäßig "Neue Warnung" |
| Daten | Edm.String | Nein | Der detaillierte Datenblob der Warnung oder Warnungsentität. |
| AlertEntityId | Edm.String | Nein | Die ID für die Warnungsentität. Dieser Parameter ist nur für AlertEntityGenerated-Ereignisse anwendbar. |
| EntityType | Edm.String | Nein | Der Typ der Warnung oder Warnungsentität. Zu den Entitätstypen gehören:
|
Yammer-Schema
Die unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center aufgelisteten Yammer-Ereignisse verwenden dieses Schema.
| Parameter | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| ActorUserId | Edm.String | Nein | Die E-Mail-Adresse des Benutzers, der den Vorgang ausgeführt hat. |
| ActorYammerUserId | Edm.Int64 | Nein | Die ID des Benutzers, der den Vorgang ausgeführt hat. |
| DataExportType | Edm.String | Nein | Gibt "Daten" zurück, wenn der Datenexport Nachrichten, Notizen, Dateien, Themen, Benutzer und Gruppen enthält; gibt "Benutzer" zurück, wenn der Datenexport nur Benutzer enthält. |
| FileId | Edm.Int64 | Nein | Die ID der Datei innerhalb des Vorgangs. |
| FileName | Edm.String | Nein | Der Name der Datei innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang. |
| GroupName | Edm.String | Nein | Der Name der Gruppe innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang. |
| IsSoftDelete | Edm.Boolean | Nein | Gibt „true“ zurück, wenn die Datenaufbewahrungsrichtlinie des Netzwerks auf „Vorläufiges Löschen“ festgelegt ist; gibt „false“ zurück, wenn die Datenaufbewahrungsrichtlinie des Netzwerks auf „Endgültiges Löschen“ festgelegt ist. |
| MessageId | Edm.Int64 | Nein | Die ID der Nachricht innerhalb des Vorgangs. |
| ModifiedProperties | Collection(ModifiedProperty) | Nein | Enthält den Namen der geänderten Eigenschaft, den neuen Wert des geänderten Objekts und den vorherigen Wert des geänderten Objekts. |
| YammerNetworkId | Edm.Int64 | Nein | Die Netzwerk-ID des Benutzers, der den Vorgang ausgeführt hat. |
| TargetObjectId | Edm.String | Nein | Entra-ID des Zielbenutzers im Vorgang. |
| TargetUserId | Edm.String | Nein | Die E-Mail-Adresse des Zielbenutzers innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang. |
| TargetYammerUserId | Edm.Int64 | Nein | Die ID des Zielbenutzers innerhalb des Vorgangs. |
| ThreadId | Edm.Int64 | Nein | ID des Nachrichtenthreads im Vorgang. |
| VersionId | Edm.Int64 | Nein | Die Versions-ID der Datei innerhalb des Vorgangs. |
Rechenzentrum-Sicherheitsbasis-Schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Ja | Der Typ des Cmdlet-Ereignisses im Feld "Sperren". |
Enumeration: DataCenterSecurityEventType - Typ: Edm.Int32
DataCenterSecurityEventType
| Elementname | Beschreibung |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Dies ist der Enumerationswert für das Cmdlet-Überwachungstyp-Ereignis. |
Rechenzentrum-Sicherheits-Cmdlet-Schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| StartTime | Edm.Date | Ja | Die Startzeit der Ausführung des Cmdlets. |
| EffectiveOrganization | Edm.String | Ja | Der Name des Mandanten, auf den die Erweiterung/das Cmdlet ausgelegt wurde. |
| ElevationTime | Edm.Date | Ja | Die Startzeit der Erweiterung. |
| ElevationApprover | Edm.String | Ja | Der Name eines Microsoft-Managers. |
| ElevationApprovedTime | Edm.Date | Nein | Der Zeitstempel, wann die Erweiterung genehmigt wurde. |
| ElevationRequestId | Edm.Guid | Ja | Ein eindeutiger Bezeichner für die Erweiterungsanforderung. |
| ElevationRole | Edm.String | Nein | Die Rolle, für die die Erweiterung angefordert wurde. |
| ElevationDuration | Edm.Int32 | Ja | Die Dauer, in der die Erweiterung aktiv war. |
| GenericInfo | Edm.String | Nein | Kommentare und andere generische Informationen. |
Microsoft Teams-Schema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Aktion | Edm.String | Nein | Bei freigegebenen Kanalereignissen die Aktion, die der Eingeladene oder der Kanalbesitzer für eine Freigabe mit Team-Einladung ausgeführt hat. |
| AddOnGuid | Edm.Guid | Nein | Der eindeutige Bezeichner des Add-Ons, das das Ereignis generiert hat. |
| AddOnName | Edm.String | Nein | Der Name des Add-Ons, das das Ereignis generiert hat. |
| AddOnType | Self.AddOnType | Nein | Der Typ des Add-Ons, das dieses Ereignis generiert hat. |
| ChannelGuid | Edm.Guid | Nein | Ein eindeutiger Bezeichner für den überwachten Kanal. |
| ChannelName | Edm.String | Nein | Der Name des überwachten Kanals. |
| ChannelType | Edm.String | Nein | Der Typ des zu überwachenden Kanals (Standard/privat). |
| ExtraProperties | Collection(Self.KeyValuePair) | Nein | Eine Liste zusätzlicher Eigenschaften. |
| HostedContents | Sammlung (Self.HostedContent) | Nein | Eine Sammlung von Inhalten, die von Chat- oder Kanalnachrichten gehostet werden. |
| Eingeladener | Edm.String | Nein | Bei freigegebenen Kanalereignissen der UPN des Teambesitzers des eingeladenen Benutzers, der die Einladung für eine Freigabe mit Teameinladung annimmt oder ablehnt. |
| Members | Collection(Self.MicrosoftTeamsMember) | Nein | Eine Liste der Benutzer innerhalb eines Teams. |
| MessageId | Edm.String | Nein | Ein Bezeichner für eine Chat- oder Kanalnachricht. |
| MessageURLs | Edm.String | Nein | Für jede URL vorhanden, die in Teams-Nachrichten gesendet wurde. |
| Nachrichten | Sammlung (Self.Message) | Nein | Eine Sammlung von Chat- oder Kanalnachrichten. |
| MessageSizeInBytes | Edm.Int64 | Nein | Die Größe einer Chat- oder Kanalnachricht in Bytes mit UTF-16-Codierung. |
| Name | Edm.String | Nein | Nur für Einstellungsereignisse vorhanden. Der Name der geänderten Einstellung. |
| NewValue | Edm.String | Nein | Nur für Einstellungsereignisse vorhanden. Neuer Wert der Einstellung. |
| OldValue | Edm.String | Nein | Nur für Einstellungsereignisse vorhanden. Alter Wert der Einstellung. |
| SubscriptionId | Edm.String | Nein | Ein eindeutiger Bezeichner eines Microsoft Graph-Änderungsbenachrichtigungsabonnements. |
| TabType | Edm.String | Nein | Nur für Registerkartenereignisse vorhanden. Der Registerkartentyp, der das Ereignis generiert hat. |
| TeamGuid | Edm.Guid | Nein | Die eindeutige ID des überwachten Teams. |
| TeamName | Edm.String | Nein | Der Name des überwachten Teams. |
Komplexer MicrosoftTeamsMember-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| UPN | Edm.String | Nein | Der Benutzerprinzipalname des Benutzers. |
| Rolle | Self.MemberRoleType | Nein | Die Rolle des Benutzers innerhalb des Teams. |
| DisplayName | Edm.String | Nein | Der Anzeigename des Benutzers. |
Enumeration: MemberRoleType - Typ: Edm.Int32
MemberRoleType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Member | Ein Benutzer, der Mitglied des Teams ist. |
| 1 | Besitzer | Ein Benutzer, der Besitzer des Teams ist. |
| 2 | Gast | Ein Benutzer, der kein Mitglied des Teams ist. |
Komplexer Typ "KeyValuePair"
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Key | Edm.String | Nein | Der Schlüssel des Schlüssel-Wert-Paars. |
| Value | Edm.String | Nein | Der Wert des Schlüssel-Wert-Paars. |
Enumeration: AddOnType - Typ: Edm.Int32
AddOnType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | Bot | Ein Microsoft Teams-Bot. |
| 2 | Connector | Ein Microsoft Teams-Konnektor. |
| 3 | Tab | Eine Microsoft Teams-Registerkarte. |
HostedContent komplexer Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Id | Edm.String | Ja | Ein eindeutiger Bezeichner des von einer Nachricht gehosteten Inhalts. |
| SizeInBytes | Edm.Int64 | Nein | Die Größe des von einer Nachricht gehosteten Inhalts in Bytes. |
Komplexer Nachrichtentyp
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AADGroupId | Edm.String | Nein | Ein eindeutiger Bezeichner der Gruppe in Azure Active Directory, zu der die Nachricht gehört. |
| Id | Edm.String | Ja | Ein eindeutiger Bezeichner für die Chat- oder Kanalnachricht. |
| ChannelGuid | Edm.String | Nein | Ein eindeutiger Bezeichner des Kanals, zu dem die Nachricht gehört. |
| ChannelName | Edm.String | Nein | Der Name des Kanals, zu dem die Nachricht gehört. |
| ChannelType | Edm.String | Nein | Der Typ des Kanals, zu dem die Nachricht gehört. |
| ChatName | Edm.String | Nein | Der Name des Chats, zu dem die Nachricht gehört. |
| ChatThreadId | Edm.String | Nein | Ein eindeutiger Bezeichner für den Chat, zu dem die Nachricht gehört. |
| ParentMessageId | Edm.String | Nein | Ein eindeutiger Bezeichner für die übergeordnete Chat- oder Kanalnachricht. |
| SizeInBytes | Edm.Int64 | Nein | Die Größe der Nachricht in Bytes mit UTF-16-Codierung. |
| TeamGuid | Edm.String | Nein | Ein eindeutiger Bezeichner für den Team, zu dem die Nachricht gehört. |
| TeamName | Edm.String | Nein | Der Name des Teams, zu dem die Nachricht gehört. |
| Version | Edm.String | Nein | Die Version der Chat- oder Kanalnachricht. |
Microsoft Defender für Office 365 und Threat Investigation and Response-Schema
Microsoft Defender für Office 365- und Threat Investigation and Response-Ereignisse stehen jetzt für Office 365-Kunden zur Verfügung, die einen Defender für Office 365 Plan 1, Defender für Office 365 Plan 2 oder ein E5-Abonnement haben. Jedes Ereignis im Defender für Office 365-Feed entspricht Folgendem, das als Bedrohung eingestuft wurde:
Eine E-Mail-Nachricht mit Erkennung, die von einem Benutzer in der Organisation empfangen oder gesendet wurde, die für Nachrichten zum Übermittlungszeitpunkt und von Automatische Bereinigung zur Nullstunde durchgeführt wurde.
Von einem Benutzer in der Organisation angeklickte URLs, die beim Klicken basierend auf dem Schutz Sichere Links in Defender für Office 365 als böswillig erkannt wurden.
Einer Datei in SharePoint Online, OneDrive for Business oder Microsoft Teams, die vom Schutz Microsoft Defender für Office 365 als böswillig eingestuft wurde.
Einer Warnung, die ausgelöst wurde und eine automatisierte Untersuchung eingeleitet hat.
Hinweis
Funktionen von Microsoft Defender für Office 365 und Office 365 Threat Investigation and Response (vormals bekannt als „Office 365 Threat Intelligence“) sind nun Bestandteil von Defender für Office 365 Plan 2, mit zusätzlichen Funktionen zum Schutz vor Bedrohungen. Weitere Informationen hierzu finden Sie unter Microsoft Defender für Office 365 – Pläne und Preise und in der Defender für Office 365-Dienstbeschreibung.
E-Mail-Nachricht-Ereignisse
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Nein | Daten zu Anlagen der E-Mail-Nachricht, die das Ereignis ausgelöst hat. |
| DetectionType | Edm.String | Ja | Der Typ der Erkennung (z. B. Inline – erkannt zum Übermittlungszeitpunkt; Verzögert – erkannt nach Zustellung; ZAP – Nachrichten durch Automatische Bereinigung zur Nullstunde) entfernt. In der Regel geht Ereignissen mit ZAP-Erkennungstyp eine Nachricht mit dem Erkennungstyp Verzögert voraus. |
| DetectionMethod | Edm.String | Ja | Die Methode oder Technologie, die von Defender für Office 365 für die Erkennung verwendet wurde. |
| InternetMessageId | Edm.String | Ja | Die Internetnachrichten-ID. |
| NetworkMessageId | Edm.String | Ja | Die Nachrichten-ID des Exchange Online-Netzwerks. |
| P1Sender | Edm.String | Ja | Der Rückpfad des Absenders der E-Mail-Nachricht. |
| P2Sender | Edm.String | Ja | Der Absenders der E-Mail-Nachricht. |
| Richtlinie | Self.Policy | Ja | Der für die E-Mail-Nachricht relevante Filterrichtlinientyp (z. B. Antispam oder Antiphishing) und der zugehörige Aktionstyp (z. B. Nachricht mit hoher Spamwahrscheinlichkeit, Spam oder Phishing). |
| Richtlinie | Self.PolicyAction | Ja | Die für die E-Mail-Nachricht relevante und in der Filterrichtlinie konfigurierte Aktion (z. B. In Junk-E-Mail-Ordner verschieben oder Quarantäne). |
| P2Sender | Edm.String | Ja | Der Absender im Feld Von: der E-Mail-Nachricht. |
| Empfänger | Collection(Edm.String) | Ja | Enthält eine Reihe von Empfängern einer E-Mail-Nachricht. |
| SenderIp | Edm.String | Ja | Die IP-Adresse, die die E-Mail über Office 365 übermittelt hat. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| Betreff | Edm.String | Ja | Die Betreffzeile der Nachricht. |
| Verdict | Edm.String | Ja | Die Bewertung der Nachricht. |
| MessageTime | Edm.Date | Ja | Zeitpunkt in UTC, zu dem die E-Mail empfangen oder gesendet wurde. |
| EventDeepLink | Edm.String | Ja | Deep-Link zum E-Mail-Ereignis im Explorer oder Echtzeit-Berichten im Office 365 Security & Compliance Center. |
| Sendeaktion | Edm.String | Ja | Die ursprüngliche Sendeaktion für die E-Mail-Nachricht. |
| Ursprünglicher Übermittlungsort | Edm.String | Ja | Der ursprüngliche Übermittlungsort der E-Mail-Nachricht. |
| Letzter Übermittlungsort | Edm.String | Ja | Der letzte Übermittlungsort der E-Mail-Nachricht zum Zeitpunkt des Ereignisses. |
| Directionality | Edm.String | Ja | Gibt an, ob eine E-Mail-Nachricht ein- oder ausgehend war, oder ob es sich um eine organisationsinterne Nachricht handelte. |
| ThreatsAndDetectionTech | Edm.String | Ja | Die Bedrohungen und die entsprechenden Erkennungstechnologien. In diesem Feld werden alle Bedrohungen einer E-Mail-Nachricht angezeigt, einschließlich des neuesten Zusatzes zur Spambewertung. Beispiel: ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. Die verschiedenen Erkennungstechnologien werden weiter unten beschrieben. |
| AdditionalActionsAndResults | Collection(Edm.String) | Nein | Die zusätzlichen Aktionen, die für die E-Mail ausgeführt wurden, z. B. ZAP oder manuelle Wartung. Umfasst auch die entsprechenden Ergebnisse. |
| Connectors | Edm.String | Nein | Die Namen und GUIDs der Connectors, die der E-Mail zugeordnet sind. |
| AuthDetails | Collection(Self.AuthDetails) | Nein | Die Authentifizierungsprüfungen, die für die E-Mail durchgeführt werden. Umfasst auch die Werte für SPF, DKIM, DMARC und CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Nein | Außerkraftsetzungen, die für die E-Mail gelten. Dabei kann es sich um System- oder Benutzeraußerkraftsetzungen handelt. |
| Phishing-Konfidenzniveau | Edm.String | Nein | Gibt das Konfidenzniveau an, das der Phishing-Bewertung zugeordnet ist. Kann „Normal“ oder „Hoch“ sein. |
Hinweis
Wir empfehlen, das neue Feld "ThreatsAndDetectionTech" zu verwenden, da hierin mehrere Bewertungen und die aktualisierten Erkennungstechnologien angezeigt werden. Dieses Feld entspricht auch den Werten, die in anderen Erfahrungen wie dem Sicherheitsrisiken-Explorer und der erweiterten Bedrohungssuche angezeigt würden.
Erkennungstechnologien
| Name | Beschreibung |
|---|---|
| Erweiterter Filter | Phishing-Signale auf Grundlage von maschinellem Lernen. |
| Anti-Malware-Engine | Erkennung von Schadsoftware-Engines. |
| Kampagne | Nachrichten, die als Teil einer Kampagne identifiziert wurden. |
| Domänenreputation | Analyse basierend auf der Domänenreputation. |
| Dateidetonation | Dateianlagen, die während einer Detonationsanalyse als schädlich erkannt wurden. |
| Reputation der Dateidetonation | Aufgrund der Reputation früherer Detonation als schädlich gekennzeichnete Dateianlage. |
| Datei-Reputation | Aufgrund von schlechter Zuverlässigkeit als schädlich gekennzeichnete Dateianlagen. |
| Fingerabdruckübereinstimmung | Die Nachricht wurde aufgrund vorheriger Nachrichten als schädlich gekennzeichnet. |
| Allgemeiner Filter | Phishing-Signale basierend auf Regeln. |
| Vorgetäuschte Marke | Der Dateityp der Anlage. |
| Vorgetäuschte Domäne | Vortäuschen von Domänen, die der Kunde besitzt oder definiert. |
| Vorgetäuschte Benutzeridentität | Vortäuschung von Benutzeridentitäten, die vom Administrator definiert oder deren Erkennung über Mailbox Intelligence erlernt wurde. |
| Mailbox Intelligence-basierte Identitätsvortäuschung | Identitätsvortäuschung basierend auf Mailbox Intelligence. |
| Erkennung durch gemischte Analysen | Mehrere Filter haben zur Bewertung dieser Nachricht beigetragen. |
| Spoof DMARC | DMARC-Authentifizierungsfehler bei Nachrichten. |
| Spoofing externer Domäne | Der Absender versucht, eine andere Domäne zu spoofen. |
| Organisationsinternes Spoofing | Der Absender versucht, die Empfängerdomäne zu spoofen. |
| URL-Detonation | Die Nachricht wurde aufgrund einer vorherigen Detonation einer schädlichen URL als schlecht eingestuft. |
| Reputation der URL-Detonation | Die Nachricht wurde aufgrund einer Detonation einer schädlichen URL als schlecht eingestuft. |
| URL-Reputation als schädlich eingestuft | Die Nachricht wurde aufgrund einer schädlichen URL als schlecht eingestuft. |
Komplexer AttachmentData-Typ
AttachmentData
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| FileName | Edm.String | Ja | Der Dateiname der Anlage. |
| FileType | Edm.String | Ja | Der Dateityp der Anlage. |
| FileVerdict | Self.FileVerdict | Ja | Die Bewertung der Schadsoftware der Datei. |
| MalwareFamily | Edm.String | Nein | Die Familie der Schadsoftware. |
| SHA256 | Edm.String | Ja | Die Datei mit der Hash-Funktion SHA256. |
Hinweis
Innerhalb der Malware-Familie können Sie den genauen MalwareFamily-Namen sehen (z. B. HTML/Phish.VS! MSR) oder schädliche Nutzlast als statische Zeichenfolge. Eine schädliche Nutzlast sollte auch dann als schädliche E-Mail behandelt werden, wenn kein bestimmter Name identifiziert wurde.
Komplexer SystemOverrides-Typ
SystemOverrides
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Details | Edm.String | Nein | Die Details zur spezifischen Außerkraftsetzung (z. B. ETR oder sicherer Absender), die angewendet wurde. |
| FinalOverride | Edm.String | Nein | Gibt die Außerkraftsetzung an, die sich bei mehreren Außerkraftsetzungen auf die Übermittlung ausgewirkt hat. |
| Result | Edm.String | Nein | Gibt an, ob die E-Mail basierend auf der Außerkraftsetzung auf „Zugelassen“ oder „Blockiert“ festgelegt wurde. |
| Quelle | Edm.String | Nein | Gibt an, ob die Außerkraftsetzung vom Benutzer oder vom Mandanten konfiguriert wurde. |
Komplexer AuthDetails-Typ
AuthDetails
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Name | Edm.String | Nein | Der Name der spezifischen Authentifizierungsprüfung, z. B. DKIM oder DMARC. |
| Wert | Edm.String | Nein | Der Wert, der der spezifischen Authentifizierungsprüfung zugeordnet ist, z. B. „True“ oder „False“. |
Enumeration: FileVerdict - Typ: Edm.Int32
FileVerdict
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Gut | Keine Bedrohung erkannt. |
| 1 | Schlecht | Malware in der Anlage gefunden. |
| -1 | Fehler | Scan-/Analysefehler. |
| -2 | Timeout | Scan-/Analyse-Timeout. |
| -3 | Ausstehend | Scan/Analyse nicht abgeschlossen. |
Enum: Policy – Type: Edm.Int32
Richtlinientyp und Aktivitätstyp
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | Antispam, HSPM | Aktion für Nachricht mit hoher Spamwahrscheinlichkeit (HSPM) in der Antispamrichtlinie. |
| 2 | Antispam, SPM | Aktion für Spamnachricht (SPM) in der Antispamrichtlinie. |
| 3 | Antispam, Massensendung | Aktion für Massensendungen in der Antispamrichtlinie. |
| 4 | Antispam, PHSH | Aktion für Phishingnachricht (PHSH) in der Antispamrichtlinie. |
| 5 | Antiphishing, DIMP | Aktion für Domänenidentitätswechsel (DIMP) in der Antiphishingrichtlinie. |
| 6 | Antiphishing, UIMP | Aktion für Benutzeridentitätswechsel (UIMP) in der Antiphishingrichtlinie. |
| 7 | Antiphishing, SPOOF | Aktion für Spoofing in der Antiphishingrichtlinie. |
| 8 | Antiphishing, GIMP | Aktion für Mailbox Intelligence in der Antiphishingrichtlinie. |
| 9 | Antischadsoftware, AMP | Schadsoftware-Richtlinienaktion in der Antischadsoftware-Richtlinie. |
| 10 | Sichere Anlage, SAP | Richtlinienaktion in der Richtlinie für sichere Anlagen in Defender für Office 365. |
| 11 | Exchange-Transportregel; ETR | Richtlinienaktion in der Exchange-Transportregel. |
| 12 | Antischadsoftware, ZAPM | Schadsoftware-Richtlinienaktion in der auf ZAP (Automatische Bereinigung zur Nullstunde) angewendeten Antischadsoftware-Richtlinie. |
| 13 | Antiphishing, ZAPP | Phishing-Richtlinienaktion in der auf ZAP angewendeten Antiphishingrichtlinie. |
| 14 | Antiphishing, ZAPS | Spam-Richtlinienaktion in der auf ZAP angewendeten Antispamrichtlinie. |
| 15 | Antispam-Phishing-E-Mail mit hoher Vertrauenswürdigkeit (HPHISH) | Phishing-Richtlinienaktion mit hoher Vertraulichkeit in der Antispamrichtlinie. |
| 17 | Antispamrichtlinie für ausgehende Spam-E-Mails (OSPM) | Richtlinienaktion in der Filterrichtlinie für ausgehende Spam-E-Mails in Antispam. |
Enum: PolicyAction – Type: Edm.Int32
Richtlinienaktion
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | MoveToJMF | Die Richtlinienaktion besteht darin, das Element in den Junk-E-Mail-Ordner zu verschieben. |
| 1 | AddXHeader | Die Richtlinienaktion besteht darin, einen X-Header zur E-Mail-Nachricht hinzuzufügen. |
| 2 | ModifySubject | Die Richtlinienaktion besteht darin, dem Betreff in der E-Mail-Nachricht die in der Filterrichtlinie angegebenen Informationen hinzuzufügen. |
| 3 | Redirect | Die Richtlinienaktion besteht darin, die E-Mail-Nachricht an die in der Filterrichtlinie angegebene E-Mail-Adresse umzuleiten. |
| 4 | Delete | Die Richtlinienaktion besteht darin, die E-Mail-Nachricht zu löschen. |
| 5 | Quarantine | Die Richtlinienaktion besteht darin, die E-Mail-Nachricht in die Quarantäne zu verschieben. |
| 6 | NoAction | Die Richtlinie ist so konfiguriert, dass keine Aktionen für die E-Mail-Nachricht durchgeführt werden. |
| 7 | BccMessage | Die Richtlinienaktion besteht darin, die E-Mail-Nachricht per Bcc an die in der Filterrichtlinie angegebene E-Mail-Adresse zu senden. |
| 8 | ReplaceAttachment | Die Richtlinienaktion besteht darin, die Anlage in der E-Mail-Nachricht wie in der Filterrichtlinie angegeben zu ersetzen. |
Ereignisse zum Zeitpunkt des Klickens auf eine URL
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| UserId | Edm.String | Ja | Bezeichner (z. B. E-Mail-Adresse) für den Benutzer, der auf die URL geklickt hat. |
| AppName | Edm.String | Ja | Office 365-Dienst, von dem aus auf die URL geklickt wurde (z. B. E-Mail). |
| URLClickAction | Self.URLClickAction | Ja | Klicken Sie auf die Aktion für die URL basierend auf den Richtlinien der Organisation für Sichere Links in Defender für Office 365. |
| SourceId | Edm.String | Ja | Bezeichner für den Office 365-Dienst, aus dem die URL angeklickt wurde (für E-Mail ist dies z. B. die Nachrichten-ID des Exchange Online-Netzwerks). |
| TimeOfClick | Edm.Date | Ja | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer auf die URL geklickt hat. |
| URL | Edm.String | Ja | Die URL, auf die der Benutzer geklickt hat. |
| UserIp | Edm.String | Ja | Die IP-Adresse des Benutzer, der auf die URL geklickt hat. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
Enum: URLClickAction – Type: Edm.Int32
URLClickAction
| Wert | Elementname | Beschreibung |
|---|---|---|
| 2 | Blockpage | Benutzer, für den das Navigieren zur URL durch Sichere Links in Defender für Office 365 blockiert wurde. |
| 3 | PendingDetonationPage | Benutzer, dem die Seite zur ausstehenden Denotation durch Sichere Links in Defender für Office 365 angezeigt wird. |
| 4 | BlockPageOverride | Benutzer, dem das Navigieren zur URL durch Sichere Links in Defender für Office 365 blockiert wurde. Der Benutzer hat jedoch die Sperre außer Kraft gesetzt, um zur URL zu navigieren. |
| 5 | PendingDetonationPageOverride | Benutzer, dem die Seite zur ausstehenden Detonation durch Sichere Links in Defender für Office 365 angezeigt wird. Der Benutzer hat dies jedoch außer Kraft gesetzt, um zur URL zu navigieren. |
Dateiereignisse
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| FileData | Self.FileData | Ja | Daten zu der Datei, die das Ereignis ausgelöst hat. |
| SourceWorkload | Self.SourceWorkload | Ja | Arbeitslast oder Dienst, in der bzw. in dem die Datei gefunden wurde (z. B. SharePoint Online, OneDrive for Business oder Microsoft Teams). |
| DetectionMethod | Edm.String | Ja | Die Methode oder Technologie, die von Microsoft Defender für Office 365 für die Erkennung verwendet wurde. |
| LastModifiedDate | Edm.Date | Ja | Der Zeitpunkt in UTC, zu dem die Datei erstellt oder zuletzt geändert wurde. |
| LastModifiedBy | Edm.String | Ja | Bezeichner (z. B. eine E-Mail-Adresse) für den Benutzer, der die Datei erstellt oder zuletzt geändert hat. |
| EventDeepLink | Edm.String | Ja | Deep-Link zum Dateiereignis im Explorer oder Echtzeit-Berichten im Security & Compliance Center. |
Komplexer FileData-Typ
FileData
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| DocumentId | Edm.String | Ja | Eindeutiger Bezeichner für die Datei in SharePoint, OneDrive oder Microsoft Teams. |
| FileName | Edm.String | Ja | Name der Datei, die das Ereignis ausgelöst hat. |
| FilePath | Edm.String | Ja | Pfad (Speicherort) zu der Datei in SharePoint, OneDrive oder Microsoft Teams |
| FileVerdict | Self.FileVerdict | Ja | Die Bewertung der Schadsoftware der Datei. |
| MalwareFamily | Edm.String | Nein | Die Familie der Schadsoftware. |
| SHA256 | Edm.String | Ja | Die Datei mit der Hash-Funktion SHA256. |
| FileSize | Edm.String | Ja | Größe der Datei in Byte. |
Enum: SourceWorkload – Type: Edm.Int32
SourceWorkload
| Wert | Elementname |
|---|---|
| 0 | SharePoint Online |
| 1 | OneDrive for Business |
| 2 | Microsoft Teams |
Übermittlungsschema
Übermittlungsereignisse sind für alle Office 365-Kunden verfügbar, da sie im Lieferumfang von Security enthalten sind. Dies schließt Organisationen ein, die Exchange Online Protection und Microsoft Defender für Office 365 verwenden. Jedes Ereignis im Übermittlungsfeed entspricht falsch-positiven oder falsch-negativen Ergebnissen, die übermittelt wurden als:
- Administratorübermittlung. Nachrichten, Dateien oder URLs, die zur Analyse an Microsoft übermittelt werden.
- Vom Benutzer gemeldetes Element. Nachrichten, die von Endbenutzern an den Administrator oder an Microsoft zur Überprüfung gemeldet wurden.
Übermittlungsereignisse
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Nein | Die Administratorübermittlung ist registriert und ihre Verarbeitung steht aus. |
| AdminSubmissionDeliveryCheck | Edm.String | Nein | Das Administratorübermittlungssystem hat die E-Mail-Richtlinie überprüft. |
| AdminSubmissionSubmitting | Edm.String | Nein | Das Administratorübermittlungssystem übermittelt die E-Mail. |
| AdminSubmissionSubmitted | Edm.String | Nein | Das Administratorübermittlungssystem hat die E-Mail übermittelt. |
| AdminSubmissionTriage | Edm.String | Nein | Die Administratorübermittlung wird durch den Grader selektiert. |
| AdminSubmissionTimeout | Edm.String | Nein | Bei der Administratorübermittlung tritt ein Timeout ohne Ergebnis auf. |
| UserSubmission | Edm.String | Nein | Die Übermittlung wurde zuerst von einem Endbenutzer gemeldet. |
| UserSubmissionTriage | Edm.String | Nein | Die Benutzerübermittlung wird durch den Grader selektiert. |
| CustomSubmission | Edm.String | Nein | Die von einem Benutzer gemeldete Nachricht wurde an das benutzerdefinierte Postfach der Organisation gesendet, wie in den Einstellungen für vom Benutzer gemeldete Nachrichten festgelegt. |
| AttackSimUserSubmission | Edm.String | Nein | Die vom Benutzer gemeldete Nachricht war tatsächlich eine Phishingsimulations-Trainingsnachricht. |
| AdminSubmissionTablAllow | Edm.String | Nein | Zum Zeitpunkt der Übermittlung wurde eine Zulassung erstellt, um sofort Maßnahmen für ähnliche Nachrichten zu ergreifen, während sie erneut gescannt wird. |
| SubmissionNotification | Edm.String | Nein | Administratorfeedback wird an Endbenutzer gesendet. |
Automatisierte Untersuchungs- und Reaktionsereignisse in Office 365
Office 365 Automated Investigation and Response (AIR)-Ereignisse (Automatisierte Untersuchung und Reaktion) stehen für Office 365-Kunden zur Verfügung, die ein Abonnement haben, in dem Microsoft Defender für Office 365 Plan 2 oder Office 365 E5 enthalten ist. Untersuchungen werden basierend einer Änderung des Untersuchungsstatus protokolliert. Wenn beispielsweise ein Administrator eine Aktion durchführt, mit der der Status einer Untersuchung von „Ausstehende Aktionen“ in „Abgeschlossen“ geändert wird, wird ein Ereignis protokolliert.
Derzeit werden nur automatisierte Untersuchungen protokolliert. (Ereignisse für manuell gestartete Untersuchungen werden in Kürze verfügbar sein.) Die folgenden Statuswerte werden protokolliert:
- Untersuchung gestartet
- Keine Bedrohungen gefunden
- Vom System beendet
- Ausstehende Aktion
- Bedrohungen gefunden
- Bereinigt
- Fehlgeschlagen
- Durch Drosselung beendet
- Durch den Benutzer beendet
- Wird ausgeführt
Hauptuntersuchungsschema
| Name | Typ | Beschreibung |
|---|---|---|
| InvestigationId | Edm.String | Untersuchungs-ID/GUID. |
| InvestigationName | Edm.String | Der Name der Untersuchung. |
| InvestigationType | Edm.String | Typ der Untersuchung. Kann einen der folgenden Werte annehmen: - Vom Benutzer gemeldete Nachrichten - Mit ZAP behandelte Schadsoftware - Mit ZAP behandeltes Phishing - URL-Bewertungsänderung (Manuelle Untersuchungen stehen derzeit nicht zur Verfügung, werden aber in Kürze verfügbar sein.) |
| LastUpdateTimeUtc | Edm.Date | UTC-Zeit des letzten Updates für eine Untersuchung. |
| StartTimeUtc | Edm.Date | Startzeit für eine Untersuchung. |
| Status | Edm.String | Stande der Untersuchung, laufende, ausstehende Aktionen usw. |
| DeeplinkURL | Edm.String | Deep-Link-URL zu einer Untersuchung im Office 365 Security & Compliance Center. |
| Aktionen | Auflistung (Edm.String) | Sammlung von Aktionen, die von einer Untersuchung empfohlen werden. |
| Daten | Edm.String | Die Datenzeichenfolge, die weitere Details zu den Untersuchungsentitäten sowie Informationen zu Warnungen, die mit der Untersuchung zusammenhängen, enthält. Entitäten sind in einem separaten Knoten innerhalb des Daten-BLOBs verfügbar. |
Aktionen
| Feld | Typ | Beschreibung |
|---|---|---|
| ID | Edm.String | Action ID |
| ActionType | Edm.String | Der Typ der Aktion, z. B. E-Mail-Korrektur. |
| ActionStatus | Edm.String | Gültige Werte schließen ein: - Ausstehend - Wird ausgeführt - Warten auf Ressource - Abgeschlossen - Fehlgeschlagen |
| ApprovedBy | Edm.String | Null, wenn automatisch genehmigt; andernfalls der username/ID (in Kürze verfügbar) |
| TimestampUtc: | Edm.DateTime | Der Zeitstempel der Aktion status geändert. |
| ActionId | Edm.String | Eindeutiger Bezeichner für Aktion. |
| InvestigationId | Edm.String | Eindeutiger Bezeichner für die Untersuchung. |
| RelatedAlertIds | Collection(Edm.String) | Warnungen im Zusammenhang mit einer Untersuchung. |
| StartTimeUtc | Edm.DateTime | Zeitstempel der Aktionserstellung. |
| EndTimeUtc | Edm.DateTime | Action Final status Updatezeitstempel. |
| Ressourcen-Bezeichner | Edm.String | Besteht aus der Azure Active Directory-Mandanten-ID. |
| Entitäten | Collection(Edm.String) | Liste einer oder mehrerer betroffener Entitäten nach Aktion. |
| Zugehörige Benachrichtigungs-IDs | Edm.String | Warnung im Zusammenhang mit einer Untersuchung. |
Entitäten
MailMessage (E-Mail)
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „mail-message“ |
| Dateien | Auflistung (Self.File) | Details zu den Dateien der Anlagen dieser Nachricht. |
| Empfänger | Edm.String | Der Empfänger dieser E-Mail-Nachricht. |
| URLs | Auflistung (Self.URL) | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Absender | Edm.String | Die E-Mail-Adresse des Absenders. |
| SenderIp | Edm.String | Die IP-Adresse des Absenders. |
| ReceivedDate | Edm.DateTime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Edm.Guid | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | Edm.String | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Betreff | Edm.String | Der Betreff dieser E-Mail-Nachricht. |
IP
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „ip“ |
| Adresse | Edm.String | Die IP-Adresse als Zeichenfolge, z 127.0.0.1. B. . |
URL
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „url“ |
| Url | Edm.String | Die vollständige URL, auf die eine Entität verweist. |
Postfach (entspricht dem Benutzer)
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „mailbox“ |
| MailboxPrimaryAddress | Edm.String | Die primäre Adresse des Postfachs. |
| DisplayName | Edm.String | Der Anzeigename des Postfachs. |
| UPN | Edm.String | Der UPN des Postfachs. |
Datei
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „file“ |
| Name | Edm.String | Der Dateiname ohne Pfad. |
| FileHashes | Auflistung (Edm.String) | Die der Datei zugeordneten Dateihashes. |
FileHash
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | „filehash“ |
| Algorithmus | Edm.String | Der Hash-Algorithmustyp kann einen der folgenden Werte annehmen: - Unbekannt - MD5 - SHA1 - SHA256 - SHA256AC |
| Wert | Edm.String | Der Hashwert. |
MailCluster
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Edm.String | "MailCluster" Bestimmt den Typ der zu diskutierenden Entität. |
| NetworkMessageIds | Auflistung (Edm.String) | Liste der E-Mail-Nachrichten-IDs, die Teil des E-Mail-Clusters sind. |
| CountByDeliveryStatus | Auflistungen (Edm.String) | Anzahl der E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | Auflistungen (Edm.String) | Anzahl der E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| Risiken | Auflistungen (Edm.String) | Die Bedrohungen durch E-Mails, die Teil des E-Mail-Clusters sind. Zu den Bedrohungen gehören Werte wie Phishing und Schadsoftware. |
| Query | Edm.String | Die Abfrage, die verwendet wurde, um die Nachrichten des E-Mail-Clusters zu identifizieren. |
| QueryTime | Edm.DateTime | Die Abfragezeit. |
| MailCount | Edm.int | Die Anzahl der E-Mail-Nachrichten, die Teil des E-Mail-Clusters sind. |
| Source | Zeichenfolge | Die Quelle des Mail-Clusters; der Wert der Cluster-Quelle. |
Nachrichtenschutzereignis-Schema
Nachrichtenschutzereignisse beziehen sich auf den ausgehenden Spamschutz. Diese Ereignisse beziehen sich auf Benutzer, die nicht zum Senden von E-Mails berechtigt sind. Weitere Informationen finden Sie unter:
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Überwachung | Edm.String | Nein | Systeminformationen im Zusammenhang mit dem Nachrichtenschutzereignis. |
| Ereignis | Edm.String | Nein | Der Typ des Nachrichtenschutzereignisses. Die Werte für diesen Parameter sind gelistet oder nicht gelistet. |
| EventId | Edm.Int64 | Nein | Die ID des Nachrichtenschutzereignistyps. |
| EventValue | Edm.String | Nein | Der betroffene Benutzer. |
| Grund | Edm.String | Nein | Details zu dem Nachrichtenschutzereignis. |
Power BI-Schema
Die unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter aufgelisteten Power BI-Ereignisse verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name der App, in der das Ereignis aufgetreten ist. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name des Dashboards, in dem das Ereignis aufgetreten ist. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Die Datenklassifizierung, sofern vorhanden, für das Dashboard, in dem das Ereignis aufgetreten ist. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name des Datasets, in dem das Ereignis aufgetreten ist. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Mitgliedschaftsinformationen zu der Gruppe. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Berechtigungsliste für eine Organisations-App (gesamte Organisation, bestimmte Benutzer oder bestimmte Gruppen). |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name des Berichts, in dem das Ereignis aufgetreten ist. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Informationen zu der Person, an die eine Einladung zur Freigabe gesendet wird. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Informationen zum Status der verschiedener Mandantenebenenoptionen. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name des Arbeitsbereichs, in dem das Ereignis aufgetreten ist. |
Komplexer Typ „MembershipInformationType“
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Die E-Mail-Adresse der Gruppe. |
| Status | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Derzeit nicht ausgefüllt. |
Komplexer Typ „SharingInformationType“
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Die E-Mail-Adresse des Empfängers einer Freigabeeinladung. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Der Name des Empfängers einer Freigabeeinladung. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Nein | Die dem Empfänger erteilte Berechtigung. |
Dynamics 365-Schema
Bei den Überwachungseinträgen für Ereignisse im Zusammenhang mit modellgesteuerten Apps in Dynamics 365-Ereignissen wird sowohl ein Basis- als auch ein Entitätenvorgangsschema verwendet. Weitere Informationen finden Sie unter Aktivieren und Verwenden der Aktivitätenprotokollierung.
Dynamics 365-Basisschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Ja | Der eindeutige Name der Organisation. |
| InstanceUrl | Edm.String | Ja | Die URL zur Instanz. |
| ItemUrl | Edm.String | Nein | Die URL zum Datensatz, der das Protokoll ausgibt. |
| ItemType | Edm.String | Nein | Der Name der Entität. |
| UserAgent | Edm.String | Nein | Der eindeutige Bezeichner der Benutzer-GUID in der Organisation. |
| Fields | Collection(Common.NameValuePair) | Nein | Ein JSON-Objekt mit den Schlüssel/Wert-Paaren der Eigenschaft, die erstellt oder aktualisiert wurden. |
Dynamics 365-Entitätenvorgangsschema
Entitätenereignisse aus modellgesteuerten Apps in Dynamics 365 verwenden dieses Schema, um auf dem Dynamics 365-Basisschema aufzubauen. Dieses Schema enthält Informationen über den Entitätenvorgang, der das überprüfte Ereignis ausgelöst hat.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| EntityId | Edm.Guid | Nein | Der eindeutige Bezeichner der Entität. |
| EntityName | Edm.String | Ja | Der Name der Entität in der Organisation. Beispiel für Entitäten sind contact oder authentication. |
| Message | Edm.String | Ja | Dieser Parameter enthält den Vorgang, der im Zusammenhang mit der Entität durchgeführt wurde. Wenn beispielsweise ein neuer Kontakt erstellt wurde, ist Create der Wert der Message-Eigenschaft und der entsprechende Wert der EntityName-Eigenschaft ist contact. |
| Abfrage | Edm.String | Nein | Die Parameter der Filterabfrage, die beim Ausführen des FetchXML-Vorgangs verwendet wurden. |
| PrimaryFieldValue | Edm.String | Nein | Gibt den Wert des Attributs an, das das Primärfeld der Entität darstellt. |
Workplace Analytics-Schema
Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten WorkPlace Analytics-Ereignisse verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| WpaUserRole | Edm.String | Nein | Die Workplace Analytics-Rolle des Benutzers, der die Aktion ausgeführt hat. |
| ModifiedProperties | Sammlung (Common.ModifiedProperty) | Nein | Diese Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft. |
| OperationDetails | Collection (Common.NameValuePair) | Nein | Eine Liste der erweiterten Eigenschaften für die geänderte Einstellung. Jede Eigenschaft besitzt einen Namen und einen Wert. |
Quarantäne-Schema
Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten Quarantäne-Ereignisse verwenden dieses Schema. Weitere Informationen zur Quarantäne finden Sie unter In Quarantäne stellen von E-Mail-Nachrichten in Office 365.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RequestType | Self.RequestType | Nein | Die Art der Quarantäneanforderung, die von einem Benutzer ausgeführt wurde. |
| RequestSource | Self.RequestSource | Nein | Die Quelle einer Quarantäneanforderung kann vom Security & Compliance Center (SCC), einem Cmdlet oder einem URLlink stammen. |
| NetworkMessageId | Edm.String | Nein | Die Netzwerknachrichten-ID einer in Quarantäne befindlichen E-Mail-Nachricht. |
| ReleaseTo | Edm.String | Nein | Der Empfänger der E-Mail-Nachricht. |
Enum: RequestType - Type: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Vorschau | Hierbei handelt es sich um eine Anforderung von einem Benutzer zur Vorschau einer E-Mail-Nachricht, die als schädlich eingestuft wurde. |
| 1 | Löschen | Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Löschen einer E-Mail-Nachricht, die als schädlich eingestuft wurde. |
| 2 | Freigabe | Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Freigeben einer E-Mail-Nachricht, die als schädlich eingestuft wurde. |
| 3 | Exportieren | Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Exportieren einer E-Mail-Nachricht, die als schädlich eingestuft wurde. |
| 4 | ViewHeader | Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Anzeigen der Kopfzeile einer E-Mail-Nachricht, die als schädlich eingestuft wurde. |
| 5 | Release-Anforderung | Hierbei handelt es sich um eine Freigabeanforderung eines Benutzers zur Freigabe einer als schädlich erachteten E-Mail-Nachricht. |
Enum: RequestSource - Type: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | SCC | Das Security & Compliance Center (SCC) ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen. |
| 1 | Cmdlet | Ein Cmdlet ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen. |
| 2 | URLlink | Dies ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen. |
Microsoft Forms-Schema
Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten Microsoft Forms-Ereignisse verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | Ja | Die Rolle des Benutzers, der die Aktion ausgeführt hat. Die Werte für diesen Parameter sind Administrator, Besitzer, Responder oder Mitautor. |
| SourceApp | Edm.String | Ja | Gibt an, ob die Aktion von der Forms-Website oder einer anderen App ausgeführt wird. |
| FormName | Edm.String | Nein | Name des aktuellen Formulars. |
| FormId | Edm.String | Nein | Die ID des Zielformulars. |
| FormTypes | Collection(Self.FormTypes) | Nein | Gibt an, ob es sich um ein Formular, ein Quiz oder eine Umfrage handelt. |
| ActivityParameters | Edm.String | Nein | JSON-Zeichenfolge mit Aktivitätsparametern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center. |
Enumeration: FormsUserTypes – Typ: Edm.Int32
FormsUserTypes
| Wert | Formular-Benutzertyp | Beschreibung |
|---|---|---|
| 0 | Administrator | Ein Administrator, der Zugriff auf das Formular hat. |
| 1 | Besitzer | Ein Benutzer, der Besitzer des Formulars ist. |
| 2 | Responder | Ein Benutzer, der eine Antwort auf ein Formular gesendet hat. |
| 3 | Koautor | Ein Benutzer, der einen Link für die Zusammenarbeit verwendet hat, der vom Besitzer eines Formulars für die Anmeldung und die Bearbeitung eines Formulars bereitgestellt wurde. |
Enumeration: FormTypes – Typ: Edm.Int32
FormTypes
| Wert | Formulartypen | Beschreibung |
|---|---|---|
| 0 | Formular | Formulare, die mit der Option "Neues Formular" erstellt wurden. |
| 1 | Quiz | Quizze, die mit der Option „Neues Quiz“ erstellt wurden. Bei einem Quiz handelt es sich um eine spezielle Art von Formular, das zusätzliche Funktionen für Punktwerte, automatische und manuelle Benotung, Kommentare usw. enthält. |
| 2 | Umfrage | Umfragen, die mit der Option "Neue Umfrage" erstellt wurden. Bei einer Umfrage handelt es sich um eine spezielle Art von Formular, das zusätzliche Funktionen wie CMS-Integration und Unterstützung für Flussregeln enthält. |
MIP-Bezeichnungsschema
Ereignisse im Microsoft Purview Information Protection-Etikettenschema werden ausgelöst, wenn Microsoft 365 eine von Agenten in der Transportpipeline verarbeitete E-Mail-Nachricht erkennt, der eine Sensibilitätskennzeichnung zugewiesen wurde. Die Vertraulichkeitsbezeichnung wurde kann manuell oder automatisch sowie innerhalb oder außerhalb der Transportpipeline angewendet worden sein. Vertraulichkeitsbezeichnungen können durch Richtlinien für die automatische Anwendung von Bezeichnungen automatisch auf E-Mail-Nachrichten angewendet werden.
Dieses Überwachungsschema dient zur Darstellung der Summe aller E-Mail-Aktivitäten mit Vertraulichkeitsbezeichnungen. Anders ausgedrückt: Für jede E-Mail-Nachricht mit einer Vertraulichkeitsbezeichnung, die an Benutzer oder von Benutzern in der Organisation gesendet wird, sollte es eine aufgezeichnete Überwachungsaktivität geben. Weitere Informationen zu Vertraulichkeitsbezeichnungen finden Sie unter
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Absender | Edm.String | Nein | Die E-Mail-Adresse im Feld "Von" der E-Mail-Nachricht. |
| Empfänger | Collection(Edm.String) | Nein | Alle E-Mail-Adressen in den Feldern "An", "Cc" und "Bcc" der E-Mail-Nachricht. |
| ItemName | Edm.String | Nein | Die Zeichenfolge im Feld "Betreff" der E-Mail-Nachricht. |
| LabelId | Edm.Guid | Nein | Die GUID der auf die E-Mail-Nachricht angewendeten Vertraulichkeitsbezeichnung. |
| LabelName | Edm.String | Nein | Der Name der auf die E-Mail-Nachricht angewendeten Vertraulichkeitsbezeichnung. |
| LabelAction | Edm.String | Nein | Die durch die Vertraulichkeitsbezeichnung angegebenen Aktionen, die vor Eintreten der Nachricht in die E-Mail-Transportpipeline auf die E-Mail-Nachricht angewendet wurden. |
| LabelAppliedDateTime | Edm.Date | Nein | Das Datum, an dem die Vertraulichkeitsbezeichnung auf die E-Mail-Nachricht angewendet wurde. |
| ApplicationMode | Edm.String | Nein | Gibt an, wie die Vertraulichkeitsbezeichnung auf die E-Mail-Nachricht angewendet wurde. Der Privileged-Wert gibt an, dass die Bezeichnung manuell von einem Benutzer angewendet wurde. Der Wert Standard gibt an, dass die Bezeichnung durch einen clientseitigen oder dienstseitigen Bezeichnungsprozess automatisch angewendet wurde. |
Schema der Ereignisse des Portals für verschlüsselte Nachrichten
Ereignisse für das Schema des Portals für verschlüsselte Nachrichten werden ausgelöst, wenn die Purview-Nachrichtenverschlüsselung erkennt, dass ein externer Empfänger über das Portal auf eine verschlüsselte E-Mail-Nachricht zugreift. Die E-Mail wurde möglicherweise manuell mit einer Vertraulichkeitsbezeichnung oder einer RMS-Vorlage oder automatisch durch eine Transportregel, eine Richtlinie zur Verhinderung von Datenverlust oder eine Richtlinie für die automatische Bezeichnung verschlüsselt.
Dieses Überwachungsschema soll die Summe aller Portalaktivitäten darstellen, die den Zugriff auf die verschlüsselten E-Mails durch externe Empfänger beinhalten. Mit anderen Worten, es sollte eine aufgezeichnete Überwachungsaktivität für einen Empfänger, der versucht, sich beim Portal anzumelden, und alle Aktivitäten im Zusammenhang mit dem Zugriff auf die verschlüsselten E-Mails vorhanden sein. Dies schließt E-Mails ein, die an oder von Benutzern in der Organisation gesendet wurden, wenn die Verschlüsselung auf die E-Mail angewendet wurde, unabhängig davon, wann oder wie die Verschlüsselung angewendet wurde. Weitere Informationen finden Sie unterInformationen zu Protokollen des Portals für verschlüsselte Nachrichten.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| MessageId | Edm.String | Nein | Die ID der Nachricht. |
| Empfänger | Edm.String | Nein | E-Mail-Adresse des Empfängers. |
| Absender | Edm.String | Nein | E-Mail-Adresse des Absenders. |
| AuthenticationMethod | Self.AuthenticationMethod | Nein | Authentifizierungsmethode beim Zugriff auf die Nachricht, d. h. OTP, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | Nein | 0 – Erfolg, 1- Fehler. |
| OperationStatus | Self.OperationStatus | Nein | 0 – Erfolg, 1- Fehler. |
| AttachmentName | Edm.String | Nein | Name der Anlage. |
| OperationProperties | Collection(Common.NameValuePair) | Nein | Zusätzliche Eigenschaften, d. h. Anzahl der gesendeten OTP-Kennungen, E-Mail-Betreff usw. |
Exchange-Schema der Kommunikationscompliance
Die im Office 365-Überwachungsprotokoll aufgeführten Kommunikationscompliance-Ereignisse verwenden dieses Schema. Dazu gehören Überwachungsdatensätze für den SupervisoryReviewOLAudit-Vorgang, der generiert wird, wenn der Inhalt der E-Mail-Nachricht anstößige Sprache enthält, die von Antispammodellen mit einer Übereinstimmungsgenauigkeit von >= 99,5% erkannt wurde.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Nein | Eigenschaften der E-Mail-Nachricht, die das SupervisoryReviewOLAudit-Ereignis ausgelöst hat. |
Enum: ExchangeDetails – Type: ExchangeDetails
ExchangeDetails
| Elementname | Type | Beschreibung |
|---|---|---|
| NetworkMessageId | Edm.Guid | Die Netzwerknachrichten-ID der E-Mail-Nachricht. |
| InternetMessageId | Edm.String | Die Internetnachrichten-ID der E-Mail-Nachricht. |
| AttachmentData | Collection(AttachmentDetails) | Informationen zu Dateien, die an die E-Mail-Nachricht angefügt sind. |
| Empfänger | Collection(Edm.String) | Die E-Mail-Adressen in den Feldern "An", "Cc" und "Bcc" der E-Mail-Nachricht. |
| Betreff | Edm.String | Der Text im Feld "Betreff" der E-Mail-Nachricht. |
| MessageTime | Edm.Date | Das Datum und die Uhrzeit, zu der die E-Mail-Nachricht gesendet wurde. |
| Von | Edm.String | Die E-Mail-Adresse im Feld "Von" der E-Mail-Nachricht. |
| Directionality | Edm.String | Der Herkunftsstatus der E-Mail-Nachricht. |
Enum: AttachmentDetails – Type: Edm.Int32
AttachmentDetails
| Elementname | Type | Beschreibung |
|---|---|---|
| FileName | Edm.String | Der Name der an die E-Mail-Nachricht angefügten Datei. |
| FileType | Edm.String | Die Dateierweiterung der an die E-Mail-Nachricht angefügten Datei. |
| SHA256 | Edm.String | Der SHA-256-Hash der an die E-Mail-Nachricht angefügten Datei. |
Berichtsschema
Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgeführten Berichtsereignisse verwenden dieses Schema.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ModifiedProperties | Sammlung (Common.ModifiedProperty) | Nein | Diese Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft. |
Compliance-Konnektor-Schema
Ereignisse im Compliance-Konnektor-Schema werden ausgelöst, wenn Elemente, die von einem Datenkonnektor importiert werden, übersprungen oder nicht in Benutzerpostfächer importiert werden konnten. Näheres erfahren Sie unter Informationen zu Konnektoren für Drittanbieterdaten.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| JobId | Edm.String | Nein | Dies ist ein eindeutiger Bezeichner des Datenkonnektors. |
| TaskId | Edm.String | Nein | Eindeutiger Bezeichner der periodischen Datenkonnektorinstanz. Datenkonnektoren importieren in regelmäßigen Intervallen Daten. |
| JobType | Edm.String | Nein | Der Name des Datenkonnektors. |
| ItemId | Edm.String | Nein | Eindeutiger Bezeichner des Elements, das importiert wird (z. B. eine E-Mail-Nachricht). |
| ItemSize | Edm.Int64 | Nein | Die Größe des zu importierenden Elements. |
| SourceUserId | Edm.String | Nein | Der eindeutige Bezeichner des Benutzers aus der Datenquelle eines Drittanbieters. Für einen Slack-Datenkonnektor gibt diese Eigenschaft beispielsweise die Benutzer-ID im Slack-Arbeitsbereich an. |
| FailureType | Selbst. FailureType | Nein | Gibt den Typ des Datenimportfehlers an. Der Wert incorrectusermapping gibt beispielsweise an, dass das Element nicht importiert wurde, da keine Benutzerzuordnung zwischen der Drittanbieterdatenquelle und Microsoft 365 gefunden wurde. |
| ResultMessage | Edm.String | Nein | Gibt den Typ des Fehlers an, z. B. ein Nachrichtenduplikat. |
| IsRetry | Edm.Boolean | Nein | Gibt an, ob der Datenkonnektor erneut versucht hat, das Element zu importieren. |
| Anlagen | Collection.Attachment | Nein | Eine Liste der Anlagen, die von der Drittanbieterdatenquelle empfangen wurden. |
Enum: FailureType – Typ: Edm.Int32
| Wert | Elementname |
|---|---|
| 0 | Default |
| 1 | MailboxWrite |
Komplexer Anlagentyp
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| FileName | Edm.String | Nein | Der Name der Anlage. |
| Details | Edm.String | Nein | Weitere Details zur Anlage. |
SystemSync-Schema
Ereignisse im SystemSync-Schema werden ausgelöst, wenn die von SystemSync erfassten Daten entweder über Data Lake exportiert oder über andere Dienste freigegeben werden.
DataLakeExportOperationAuditRecord
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| DataStoreType | DataStoreType | Ja | Gibt an, aus welchem Datenspeicher die Daten heruntergeladen wurden. Alle möglichen Werte finden Sie unter DataStoreType. |
| UserAction | DataLakeUserAction | Ja | Gibt an, welche Aktion der Benutzer für den Datenspeicher ausgeführt hat. Alle möglichen Werte finden Sie in DataLakeUserAction. |
| ExportTriggeredAt | Edm.DateTimeOffset | Ja | Gibt an, wann der Datenexport ausgelöst wurde. |
| NameOfDownloadedZipFile | Edm.String | Nein | Der Name der komprimierten Datei, die der Administrator aus Data Lake heruntergeladen hat. |
DataShareOperationAuditRecord
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Einladung | DataShareInvitationType | Nein | Details der Einladung, die an den Empfänger der Datenfreigabe gesendet wurde. |
Komplexer DataShareInvitationType-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ShareId | Edm.Guid | Ja | Vom System zugewiesener Bezeichner für die Datenfreigabe. |
| Eingeladene Personen | Collection(EDM.GUID) | Ja | Liste der Administratorbenutzer, an welche die Einladung gesendet wurde. |
| InviteeTenantId | Edm.Guid | Ja | Der Zielmandant, für den die Einladung vorgesehen ist. |
| ShareName | Edm.String | Ja | Vom System zugewiesener Name für die Datenfreigabe. |
| SyncFrequency | Self.SyncFrequency | Ja | Häufigkeit, mit der die Daten mit dem Zielspeicherkonto synchronisiert werden, nachdem die Freigabe eingerichtet wurde. Mögliche Werte finden Sie unter SyncFrequency. |
| SyncStartTime | Edm.DateTimeOffset | Ja | Datum und Uhrzeit der ersten Synchronisierung. |
Enumeration: SyncFrequency – Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Stündlich | Gibt an, dass die Daten stündlich synchronisiert werden. |
| 1 | Täglich | Gibt an, dass die Daten einmal pro Tag synchronisiert werden. |
Enumeration: DataStoreType – Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | CanonicalStore | Gibt an, dass Daten aus dem Canonical-Speicher heruntergeladen werden. |
| 1 | StagingStore | Gibt an, dass Daten aus dem Staging-Speicher heruntergeladen werden. |
Enumeration: DataLakeUserAction – Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | TriggerExport | Der Administratorbenutzer hat den Export aus Data Lake ausgelöst. |
| 1 | DownloadZipFile | Der Administratorbenutzer hat die exportierten Daten heruntergeladen. |
Komplexer Typ “MicrosoftGraphDataConnectOperation“
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ApplicationId | Edm.Guid | Ja | Die Anwendungs-ID. |
| ApplicationName | Edm.String | Ja | Der Anwendungsname. |
| PipelineName | Edm.String | Ja | Der Pipelinename. |
| PipelineRunId | Edm.Guid | Nein | Die ID dieses Pipelinelaufs. |
| CopyActivityRunId | Edm.Guid | Nein | Die ID der ADF-Kopieraktivität. |
| RunStartTime | Edm.Date | Ja | Datum und Uhrzeit der Extraktion. |
| RunEndTime | Edm.Date | Ja | Datum und Uhrzeit der Extraktion. |
| DatasetName | Edm.String | Ja | Der zu extrahierende Datasetname. |
| DatasetColumns | Edm.String | Ja | Der Satz ausgewählter Spalten, die extrahiert werden. |
| ScopeList | Edm.String | Ja | Der Bereich der Extraktion. |
| ScopeCountRequested | Edm.Int64 | Nein | Die Anzahl der angeforderten Bereiche für diese Extraktion. |
| ScopeCountDelivered | Edm.Int64 | Nein | Die Anzahl der bereitgestellten Bereiche für diese Extraktion. |
| UndeliveredScope | Edm.String | Nein | Der nicht zugestellte Bereich der Extraktion. |
| RowCount | Edm.Int64 | Nein | Die Anzahl der abzurufenden Zeilen. |
| Status | Edm.String | Ja | Der Extraktionsstatus. |
| Grund | Edm.String | Nein | Die Fehlermeldung im Falle eines Fehlers. |
AipDiscover
Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Scannerereignissen (Azure Information Protection).
| Ereignis | Beschreibung |
|---|---|
| ApplicationId | Die ID der Anwendung, die den Vorgang ausführt. |
| ApplicationName | Anzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei). |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde. |
| DataState | Beschreibt den Status der Daten. |
| DeviceName | Das Gerät, auf dem die Aktivität stattgefunden hat. |
| Id | GUID des aktuellen Datensatzes. |
| IsProtected | Ob geschützt: True/False |
| Standort | Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Die möglichen Werte sind unknown, localMedia, removableMedia, fileshare und cloud. |
| ObjectId | Vollständiger Dateipfad (URL). Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat. |
| Vorgang | Beschreibt den Zugriffstyp. |
| OrganizationId | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich. |
| Plattform | Geräteplattform (Win, OSX, Android, iOS) |
| ProcessName | Der relevante Prozessname, z. B. Outlook, msip.app, WinWord. |
| ProductVersion | Version des AIP-Clients. |
| ProtectionOwner | Rights Management-Besitzer im UPN-Format. |
| ProtectionType | Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein. |
| RecordType | Der vom Datensatz angegebene Vorgangstyp. In der Tabelle AuditLogRecordType finden Sie weitere Informationen zu den Typen von Überwachungsprotokolldatensätzen. Eine vollständige aktualisierte Liste und eine vollständige Beschreibung des Protokolldatensatztyps finden Sie im Blogbeitrag Microsoft 365 Compliance-Überwachungsprotokollaktivitäten über die O365-Verwaltungs-API. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. |
| Bereich | Wurde dieses Ereignis von einem gehosteten Office 365-Dienst oder einem lokalen Server erstellt? Mögliche Werte sind online und onprem. Beachten Sie, dass SharePoint die einzige Arbeitslast ist, die derzeit Ereignissen aus lokalen Umgebungen an O365 sendet. |
| SensitiveInfoTypeData | Speichert den Datentyp der Daten vom Typ "Vertrauliche Informationen". |
| SensitivityLabelId | Die aktuelle GUID der MIP-Vertraulichkeitsbezeichnung. Verwenden Sie cmdlt Get-Label, um die vollständigen Werte der GUID abzurufen. |
| TemplateId | TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab. |
| UserId | Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| UserKey | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. 0 = Normal 1 = Reserviert 2 = Admin 3 = DcAdmin 4 = Systeml 5 = Anwendung 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Version | Die Versions-ID der Datei innerhalb des Vorgangs. |
| Arbeitslast | Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
AipSensitivityLabelAction
Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Vertraulichkeitsbezeichnungsereignissen.
| Ereignis | Beschreibung |
|---|---|
| ApplicationId | Entspricht der Microsoft Entra Anwendungs-ID. |
| ApplicationName | Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. |
| CreationDate | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Benutzer die Aktivität ausgeführt hat. |
| DataState | Gibt den Status der Daten an. |
| DeviceName | Der Name des Geräts des Benutzers. |
| Identität | Die Identität des zu authentifizierden Benutzers oder Diensts. |
| IsProtected | Ob geschützt: True/False |
| IsProtectedBefore | Ob der Inhalt vor der Änderung geschützt wurde: True/False |
| IsValid | Boolesch |
| Standort | Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Mögliche Werte sind "unknown", "localMedia", "removableMedia", "fileshare" und "cloud". |
| ObjectState | Gibt den Zustand des Objekts an. |
| Vorgang | Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Administratoraktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten finden Sie unter SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identität | Die Identität des zu authentifizierden Benutzers oder Diensts. |
| PSComputerName | Computername |
| PSShowComputerName | Der Wert für dokumentierte Bearbeitungen in Office 365 ist False. |
| Plattform | Geräteplattform (Win, OSX, Android, iOS). |
| ProcessName | Prozess, der das MIP SDK hostet. |
| ProductVersion | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat. |
| ProtectionType | Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen. |
| RunspaceId | Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen. |
| SensitiveInfoTypeData | Speichert den Datentyp der Daten vom Typ vertraulicher Informationen. |
| TemplateId | TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab. |
| UserId | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. |
AipProtectionAction
| Ereignis | Beschreibung |
|---|---|
| PSComputerName | Name des Computers |
| RunspaceId | Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen. |
| PSShowComputerName | Der Wert ist false für eine dokumentierte bearbeitung in Office 365. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen. |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde. |
| UserId | Der Benutzerprinzipalname (UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die zur Protokollierung des Datensatzes geführt hat. Beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| Vorgang | Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identität | Die Identität des zu authentifizierden Benutzers oder Diensts. |
| ObjectState | Status des Objekts nach dem aktuellen Ereignis. |
| ApplicationId | Die Anwendung, in der die Aktivität stattgefunden hat und in der GUID angezeigt wird. |
| ApplicationName | Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei). |
| ProcessName | Prozessname der Office-Anwendung. |
| Plattform | Die Plattform, auf der die Aktivität stattgefunden hat. Beispiel: Windows. |
| DeviceName | Gerät, auf dem das Ereignis aufgezeichnet wurde. |
| ProductVersion | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat. |
| UserId | Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| Id | GUID des aktuellen Datensatzes. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde. |
| Vorgang | Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. |
| OrganizationId | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich. |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. 0 = Normal 1 = Reserviert 2 = Admin 3 = DcAdmin 4 = Systeml 5 = Anwendung 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
| Arbeitslast | Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
| Version | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat |
| Bereich | Gibt den Bereich an. |
AipFileDeleted
| Ereignis | Beschreibung |
|---|---|
| PSComputerName | Name des Computers |
| RunspaceId | Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen. |
| PSShowComputerName | Der Wert ist false für eine dokumentierte bearbeitung in Office 365. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen. |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde. |
| UserId | Der Benutzerprinzipalname (UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die zur Protokollierung des Datensatzes geführt hat. Beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| Vorgang | Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identität | Die Identität des zu authentifizierden Benutzers oder Diensts. |
| ObjectState | Status des Objekts nach dem aktuellen Ereignis. |
| ApplicationId | Die Anwendung, in der die Aktivität stattgefunden hat und in der GUID angezeigt wird. |
| ApplicationName | Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei). |
| ProcessName | Prozessname der Office-Anwendung. |
| Plattform | Die Plattform, auf der die Aktivität stattgefunden hat. Beispiel: Windows. |
| DeviceName | Gerät, auf dem das Ereignis aufgezeichnet wurde. |
| ProductVersion | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat. |
| UserId | Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| Id | GUID des aktuellen Datensatzes. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. |
| CreationTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde. |
| Vorgang | Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. |
| OrganizationId | Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich. |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. 0 = Normal 1 = Reserviert 2 = Admin 3 = DcAdmin 4 = Systeml 5 = Anwendung 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
| Arbeitslast | Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist. |
| Version | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat |
| Bereich | Gibt den Bereich an. |
AipHeartBeat
Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Heartbeatereignissen.
| Ereignis | Beschreibung |
|---|---|
| ApplicationId | Entspricht der Microsoft Entra Anwendungs-ID. |
| ApplicationName | Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. |
| CreationDate | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Benutzer die Aktivität ausgeführt hat. |
| DataState | Gibt den Status der Daten an. |
| DeviceName | Der Name des Geräts des Benutzers. |
| Identität | Die Identität des zu authentifizierden Benutzers oder Diensts. |
| IsProtected | Ob geschützt: True/False |
| IsProtectedBefore | Ob der Inhalt vor der Änderung geschützt wurde: True/False |
| IsValid | Boolesch |
| Standort | Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Mögliche Werte sind "unknown", "localMedia", "removableMedia", "fileshare" und "cloud". |
| ObjectState | Gibt den Zustand des Objekts an. |
| Vorgang | Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Verwaltungsaktivität. |
| PSComputerName | Computername |
| PSShowComputerName | Der Wert für dokumentierte Bearbeitungen in Office 365 ist False. |
| Plattform | Geräteplattform (Win, OSX, Android, iOS). |
| ProcessName | Prozess, der das MIP SDK hostet. |
| ProductVersion | Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat. |
| ProtectionType | Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein. |
| RecordType | Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen. |
| RunspaceId | Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen. |
| SensitiveInfoTypeData | Speichert den Datentyp der Daten vom Typ vertraulicher Informationen. |
| TemplateId | TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab. |
| UserId | Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen. |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType. 0 = Normal 1 = Reserviert 2 = Admin 3 = DcAdmin 4 = Systeml 5 = Anwendung 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden. |
Komplexer MicrosoftGraphDataConnectConsent-Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ApplicationId | Edm.Guid | Ja | Die Anwendungs-ID. |
| ApplicationVersion | Edm.String | Ja | Die Anwendungsversion. |
| AppRegistrationTenantId | Edm.Guid | Ja | Die Mandanten-ID der Anwendungsregistrierung. |
| Genehmiger | Edm.String | Ja | Der Benutzerprinzipalname der genehmigenden Person. |
| ApprovalUpdatedDateInUTC | Edm.Date | Ja | Die Uhrzeit des Updatedatums in UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Ja | Die Uhrzeit des Ablaufdatums in UTC. |
| ApprovalValidDays | Edm.Int32 | Ja | Die Anzahl der Tage nach dem Update, für die die Genehmigung gültig ist. |
| DestinationSinks | Edm.String | Ja | Die Zielsenken. |
| DestinationTenantId | Edm.Guid | Ja | Die Zielmandanten-ID. |
| Grund | Edm.String | Nein | Der Grund, der vom Administrator angegeben wurde, der den Vorgang ausgeführt hat. |
| State | Edm.String | Ja | Der Zustimmungszustand. |
| Datasets | CollectionSelf. MGDCDataset | Ja | Details zu den Datasets, denen im Rahmen dieses Vorgangs zugestimmt wurde. |
Komplexer Typ MGDCDataset
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| DatasetName | Edm.String | Ja | Der Name des Datasets im Zustimmungsvorgang. |
| DatasetColumns | Edm.String | Ja | Die Liste der Spalten für das Dataset im Zustimmungsvorgang. |
| DenyGroups | Edm.String | Nein | Die Liste der Ablehnungsgruppen für das Dataset im Zustimmungsvorgang. |
| Bereich | Edm.String | Ja | Die Bereichstypen für das Dataset im Zustimmungsvorgang. Mögliche Werte sind All, List und FilterUri. |
| ScopeFiltersUris | Edm.String | Nein | Der Bereichsfilter-URI für das Dataset im Zustimmungsvorgang. |
| ScopeList | Edm.String | Nein | Die Bereichsgruppenliste für das Dataset im Zustimmungsvorgang. |
| PrivacyPolicyType | Edm.String | Ja | Die Datenschutzrichtlinientypen für das Dataset im Zustimmungsvorgang. Mögliche Werte sind None und DenyList. |
Viva Goals Schema
Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Viva Goals dieses Schema (zusätzlich zum allgemeinen Schema) verwenden. Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Viva Goals finden Sie unter Überwachungsprotokollaktivitäten.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Detail | Edm.String | Nein | Eine Beschreibung des Ereignisses oder der Aktivität, das in Viva Goals aufgetreten ist. |
| Benutzername | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Nein | Der Name des Benutzers, der das Ereignis ausgetrickt hat. |
| UserRole | Edm.String | Nein | Die Rolle des Benutzers, der dieses Ereignis in Viva Goals. Dies wird Erwähnung, wenn der Benutzer ein organization Administrator oder Besitzer ist. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Nein | Der Name des organization in Viva Goals, in dem das Ereignis ausgelöst wurde. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Nein | Der Besitzer des organization in Viva Goals, in dem das Ereignis aufgetreten ist. |
| OrganisationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Nein | Die Administratoren des organization in Viva Goals, in dem das Ereignis aufgetreten ist. Im organization kann ein oder mehrere Administratoren vorhanden sein. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Nein | Der Benutzer-Agent (Browserdetails) des Benutzers, der das Ereignis selektiert hat. UserAgent ist im Fall eines vom System generierten Ereignisses möglicherweise nicht vorhanden. |
| ModifiedFields | Collection(Common.NameValuePair) | Nein | Eine Liste der Attribute, die zusammen mit den neuen und alten Werten geändert wurden, die als JSON ausgegeben werden. |
| ItemDetails | Collection(Common.NameValuePair) | Nein | Zusätzliche Eigenschaften zu dem objekt, das geändert wurde. |
Microsoft Planner Schema
Microsoft Planner überschreibt die Definition von ObjectId und ResultStatus im allgemeinen Schema. die ObjectId-Definition von Microsoft Planner ist an den Datensatztyp jedes Microsoft Planner gebunden und wird einzeln dargestellt.
Der ResultStatus von Microsoft Planner wird wie folgt definiert.
Enumeration: ResultStatus – Typ: Edm.Int32
ResultStatus
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | Erfolgreich | Die Benutzeranforderung war erfolgreich. |
| 2 | Versagen | Die Benutzeranforderung ist aus anderen Gründen als der Autorisierung fehlgeschlagen. |
| 3 | AuthorizationFailure | Der angeforderte Benutzer ist aufgrund einer fehlgeschlagenen Autorisierung fehlgeschlagen. |
Microsoft Planner erweitert das allgemeine Schema um die folgenden Datensatztypen.
PlannerPlan-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | ID des angeforderten Plans. |
| ContainerType | Selbst. ContainerType | Typ des Containers, der dem Plan zugeordnet ist. |
| ContainerId | Edm.String | ID des Containers, der dem Plan zugeordnet ist. |
| SharedWithContainerId | Edm.String | ID des Containers mit freigegebenem Zugriff auf den Plan. |
| SharedWithContainerType | Selbst. ContainerType | Typ des Containers mit freigegebenem Zugriff auf den Plan. |
| SharedWithContainerAccessLevel | Selbst. PlanAccessLevel | Zugriffsebene für container mit freigegebenem Zugriff auf den Plan. |
Enumeration: ContainerType – Typ Edm.Int32
ContainerType
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Ungültig | Wird verwendet, wenn der angeforderte Plan nicht gefunden wird. |
| 2 | Gruppe | Der Plan ist einer M365-Gruppe zugeordnet. |
| 3 | TeamsConversation | Der Plan ist einer Teams-Unterhaltung zugeordnet. |
| 4 | OfficeDocument | Der Plan ist einem Office-Dokument zugeordnet. |
| 5 | Liste | Der Plan ist einer Listengruppe zugeordnet. |
| 6 | Project | Der Plan stammt aus Microsoft Project. |
Enumeration: PlanAccessLevel – Geben Sie Edm.Int32 ein.
PlanAccessLevel
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | ReadAccess | Zugriff zum Lesen des Plans. |
| 2 | ReadWriteAccess | Zugriff auf Lese- und Schreibzugriff auf Plan. |
| 3 | FullAccess | Zugriff auf Lese-, Schreib- und Konfigurationsplan. |
PlannerCopyPlan-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | ID des zu kopierenden Plans. |
| OriginalPlanId | Edm.String | ID des zu kopierenden Plans. Identisch mit ObjectId. |
| OriginalContainerType | Selbst. ContainerType | Typ des Containers, der dem ursprünglichen Plan zugeordnet ist. |
| OriginalContainerId | Edm.String | ID des Containers, der dem ursprünglichen Plan zugeordnet ist. |
| NewPlanId | Edm.String | ID des neuen Plans. NULL, wenn der Vorgang fehlgeschlagen ist. |
| NewContainerType | Selbst. ContainerType | Typ des Containers, der dem neuen Plan zugeordnet ist. |
| NewContainerId | Edm.String | ID des Containers, der dem neuen Plan zugeordnet ist. |
PlannerTask-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | ID der angeforderten Aufgabe. |
| PlanId | Edm.String | ID des Plans, der die Aufgabe enthält. |
PlannerRoster-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | ID der angeforderten Liste. |
| MemberIds | Edm.String | Eine durch Trennzeichen getrennte Zeichenfolge von Member-IDs wurde in die Liste geändert. |
PlannerPlanList-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | Eine Darstellung der Ansichtsabfrage für eine Liste von Plänen. |
| PlanList | Edm.String | Eine durch Trennzeichen getrennte Zeichenfolge mit abgefragten Plan-IDs. |
PlannerTaskList-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | Eine Darstellung der Ansichtsabfrage für eine Liste von Aufgaben. |
| PlanList | Edm.String | Eine durch Trennzeichen getrennte Zeichenfolge der abgefragten Aufgaben-IDs. |
PlannerTenantSettings-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | Ursprüngliche Mandanteneinstellungen in JSON. |
| TenantSettings | Edm.String | Neue Mandanteneinstellungen in JSON. |
PlannerRosterSensitivityLabel-Datensatztyp
| Properties | Typ | Beschreibung |
|---|---|---|
| ObjectId | Edm.String | ID der Vertraulichkeitsbezeichnung. Null, wenn die Vertraulichkeitsbezeichnung entfernt wird. |
| Liste | Edm.String | ID der Liste, in die die Vertraulichkeitsbezeichnung geändert wird. |
| AssignmentMethod | Selbst. SensitivityLabelAssignmentMethod | Die Zuweisungsmethode der Vertraulichkeitsbezeichnung. |
Enumeration: SensitivityLabelAssignmentMethod – Typ Edm.Int32
SensitivityLabelAssignmentMethod
| Wert | Elementname | Beschreibung |
|---|---|---|
| 0 | Standard | Die Vertraulichkeitsbezeichnung wird automatisch angewendet, darf aber keine privilegierte Bezeichnungszuweisung außer Kraft setzen. |
| 1 | Privilegiert | Die Vertraulichkeitsbezeichnung wird manuell von einem Benutzer oder einem Administrator angewendet. |
| 2 | Auto | Die Vertraulichkeitsbezeichnung wird automatisch angewendet und darf eine privilegierte Bezeichnungszuweisung überschreiben. |
Microsoft Project für das Web Schema
Microsoft Project For The Web erweitert das allgemeine Schema um die folgenden Datensatztypen.
ProjectForThewebProject-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ProjectId | Edm.Guid | Nein | ID des überwachten Projekts. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Nein | Zusatzinformation. |
ProjectForThewebTask-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ProjectId | Edm.Guid | Ja | ID des überwachten Projekts. |
| TaskId | Edm.Guid | Ja | ID des überwachten Tasks. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Nein | Zusatzinformation. |
ProjectForThewebRoadmap-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RoadmapId | Edm.Guid | Ja | ID der zu überwachenden Roadmap. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Nein | Zusatzinformation. |
ProjectForThewebRoadmapItem-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Ja | ID des zu überwachenden Roadmapelements. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Nein | Zusatzinformation. |
Komplexer Typ AdditionalInfo
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| EnvironmentName | Edm.String | Nein | ID der Umgebung, in der die Aktion ausgeführt wurde. |
ProjectForThewebProjectSetting-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Ja | Der Wert, der für Project für das Web festgelegt wurde (1 = aktiviert, 0 deaktiviert). |
ProjectForThewebRoadampSetting-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | Ja | Der Wert, der für Roadmap festgelegt wurde (1 = aktiviert, 0 deaktiviert). |
ProjectForThewebAssignedToMeSetting-Datensatztyp
| Properties | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | Ja | Der Wert, der für AssignedToMe festgelegt wurde (1 = aktiviert, 0 deaktiviert). |
Viva Pulse-Schema
Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Viva Pulse verwenden dieses Schema (zusätzlich zum allgemeinen Schema). Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Viva Pulse finden Sie unter Überwachungsprotokollaktivitäten.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| EventName | Edm.String | Nein | Eine Beschreibung des Ereignisses oder der Aktivität, die in Viva Pulse aufgetreten ist. |
| PulseId | Edm.String | Nein | Id der Pulsumfrage. |
| EventDetails | Collection(Common.NameValuePair) | Nein | Zusätzliche Eigenschaften zum Ereignis. |
Einige der VivaPulse-Ereignisse zeichnen unterschiedliche Eigenschaften in EventDetails auf. Jede in EventDetail aufgezeichnete Eigenschaft wird in der Tabelle beschrieben.
| EventName | PropertName | Beschreibung |
|---|---|---|
| PulseReportShare | Empfänger | Liste der Empfänger-IDs, mit denen die Pulsumfrage geteilt wird. |
| PulseCreate | Empfänger | Liste der Benutzer-IDs, die Teilnehmer der Spcified Pulse-Umfrage sind. |
| PulseInvite | Empfänger | Liste der Benutzer-IDs, die zusätzlich zum Pulse eingeladen werden. |
| PulseTenantSettingsUpdate | TenantSettingName | Der Name der Einstellungen wurde geändert. |
| PulseSubmit | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
| PulseExtendDeadline | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
| PulseCancel | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
| PulseCreateDraft | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
| PulseDeleteDraft | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
| PulseDeleteUserData | Nicht zutreffend | Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf. |
Compliance-Manager-Schema
Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Microsoft Purview Compliance Manager verwenden dieses Schema (zusätzlich zum allgemeinen Schema). Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Compliance Manager finden Sie unter Überwachungsprotokollaktivitäten.
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Details | Collection(SettingsChange) | Nein | Eine Beschreibung des Ereignisses, das für einen Microsoft Purview Compliance Manager aufgetreten ist. |
Werte, die von EinstellungenÄnderungseigenschaften in Details für verschiedene Vorgänge verwendet werden, werden in der folgenden Tabelle beschrieben.
| Vorgang | PropertyName | Beschreibung |
|---|---|---|
| Alle Vorgänge | Name | Name der Einstellung, die am Compliance-Manager-Vorgang beteiligt ist |
| Alle Vorgänge | NewValue | Neuer Wert für die neuen Einstellungen. |
| Alle Vorgänge | OriginalValue | Ursprünglicher Wert für die neue Einstellung. |
Bitte beachten Sie :
- Bei Rollenänderungen ist der Name der Rollentyp.
- Der Überwachungsdatensatz würde die Änderung des Ereignisses widerspiegeln, z. B. dass dem Benutzer eine Rolle oder eine gesperrte Rolle zugewiesen wird.
- Der ursprüngliche und der neue Wert enthalten die E-Mails des Benutzers, für den sich die Rolle geändert hat.
- Falls es keine Änderung an der Rolle gibt, wäre dieser Rollentyp nicht im Überwachungsdatensatz vorhanden.
Schema der Sicherungsrichtlinie
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| PolicyID | Edm.String | Ja | Die ID der Richtlinie. |
| EditMethodology | Edm.String | Nein | Wie die Richtlinie erstellt/bearbeitet wurde. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Nein | Anzahl der hinzugefügten Artefakte. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Nein | Anzahl der zu entfernenden Artefakte. |
| ServiceType | Edm.String | Nein | Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt. |
Wiederherstellungstaskschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| TaskID | Edm.String | Ja | Die ID des Wiederherstellungstasks. |
| CreationMethodology | Edm.String | Nein | Wie der Wiederherstellungstask erstellt/bearbeitet wurde. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Nein | Anzahl der hinzugefügten Artefakte. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Nein | Anzahl der zu entfernenden Artefakte. |
| ServiceType | Edm.String | Nein | Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt. |
Elementschema wiederherstellen
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| RestoreTime | Edm.DateTime | Ja | Zeit, in der das Element wiederhergestellt wird. |
| RestoreLocationType | Edm.String | Ja | Standorttyp, in dem das Element wiederhergestellt wird. |
| RestoreLocation | Edm.String | Nein | Speicherort, an dem das Element wiederhergestellt wird. |
| TaskID | Edm.String | Ja | Die ID des Wiederherstellungstasks. |
| BackupItemID | Edm.String | Ja | ID des Sicherungselements, das wiederhergestellt wird. |
| ProtectionUnitID | Edm.String | Ja | Schutzeinheits-ID des Elements, das wiederhergestellt wird. |
| SuccessStatus | Edm.String | Nein | Gibt an, ob der Wiederherstellungsvorgang erfolgreich war. |
| BackupItemType | Edm.String | Ja | Gibt an, ob es sich bei dem Sicherungselement um einen Standort, ein Konto oder ein Postfach handelt. |
| ServiceType | Edm.String | Nein | Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt. |
Sicherungselementschema
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| PolicyID | Edm.String | Ja | Richtlinien-ID der Richtlinie, zu der das Element hinzugefügt wird. |
| ItemID | Edm.String | Ja | ID des Sicherungselements. |
| ProtectionUnitID | Edm.String | Ja | Schutzeinheits-ID des Elements, das gesichert wird. |
| ResultStatus | Edm.String | Nein | Gibt an, ob der Wiederherstellungsvorgang erfolgreich war. |
| BackupItemType | Edm.String | Ja | Gibt an, ob es sich bei dem Sicherungselement um einen Standort, ein Konto oder ein Postfach handelt. |
| EditMethodology | Edm.String | Nein | Wie das Sicherungselement hinzugefügt werden soll. |
| ServiceType | Edm.String | Nein | Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt. |
Cloudrichtlinienschema für M365-Apps Admin Services
Die Cloudrichtlinienereignisse von M365 Apps Admin Services erweitern das allgemeine Schema um die folgenden Datensatztypen.
CPSPolicyConfigAuditRecord
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| Name | Edm.String | Nein | Angegebener Name der Richtlinienkonfiguration |
| Beschreibung | Edm.String | Nein | Beschreibung für die Richtlinienkonfiguration |
| CPSScope | Collection(Self.CPSScope) | Nein | Bereich der Richtlinienkonfiguration |
| Gruppen | Collection(EdmString) | Nein | Listen alle Gruppen, die als Bereich in der Richtlinienkonfiguration konfiguriert sind |
| Konfigurierte Einstellungen | Collection(Common.NameValuePair) | Nein | JSON-Wert der konfigurierten Richtlinieneinstellungen |
| Number_of_Policies_Configured | Edm.Int32 | Nein | Anzahl der konfigurierten Richtlinieneinstellungen |
| Number_of_Security_Baselines_Configured | Edm.Int32 | Nein | Anzahl der konfigurierten Sicherheitsbaselineeinstellungen |
| Number_of_Accessibility_Baselines_Configured | Edm.Int32 | Nein | Anzahl der konfigurierten Einstellungen für die Barrierefreiheitsbaseline |
| Previous_Name | Edm.String | Nein | Vorheriger Name der Richtlinienkonfiguration |
| Current_Name | Edm.String | Ja | Aktueller Name der Richtlinienkonfiguration |
| Previous_Description | Edm.String | Nein | Vorherige Beschreibung für die Richtlinienkonfiguration |
| Current_Description | Edm.String | Nein | Aktuelle Beschreibung für die Richtlinienkonfiguration |
| Previous_CPSScope | Collection(Self.CPSScope) | Nein | Vorheriger Bereich der Richtlinienkonfiguration |
| Current_CPSScope | Collection(Self.CPSScope) | Nein | Aktueller Bereich der Richtlinienkonfiguration |
| Previous_Groups | Collection(EDM.GUID) | Nein | Liste der zuvor konfigurierten Gruppen |
| Current_Groups | Collection(EDM.GUID) | Nein | Liste der derzeit konfigurierten Gruppen |
| Changes_in_Configured_Settings | Collection(Common.NameValuePair) | Nein | JSON-Wert der geänderten Richtlinieneinstellungen |
| Previous_Number_of_Policies_Configured | Edm.Int32 | Nein | Anzahl der zuvor konfigurierten Richtlinieneinstellungen |
| Current_Number_of_Policies_Configured | Edm.Int32 | Nein | Anzahl der derzeit konfigurierten Richtlinieneinstellungen |
| Previous_Priority_Value | Edm.Int32 | Nein | Zuvor konfigurierter Prioritätswert der Richtlinienkonfiguration |
| Current_Priority_Value | Edm.Int32 | Nein | Aktuell konfigurierter Prioritätswert der Richtlinienkonfiguration |
PolicyConfigChangeAuditRecord
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ConfigId | Edm.String | Nein | ID der Richtlinienkonfiguration |
| ConfigId | Edm.String | Nein | ID der Richtlinienkonfiguration |
| ConfigName | Edm.String | Nein | Angegebener Name der Richtlinienkonfiguration |
| Beschreibung | Edm.String | Nein | Beschreibung für die Richtlinienkonfiguration |
| ConfigScope | Selbst. CPSScope | Nein | Bereich der Richtlinienkonfiguration |
| Gruppen | Collection(Common.NameValuePair) | Nein | Liste der konfigurierten Gruppen |
| Priorität | Edm.Int32 | Nein | Prioritätswert der Richtlinienkonfiguration |
| Richtlinien | Collection(Self.Richtlinie) | Nein | Liste der konfigurierten Richtlinieneinstellungen |
| Prioritäten | Collection(Self.PrioritySetting) | Nein | Liste der Richtlinienkonfigurationen und deren Prioritätswerte |
Enumeration: CPSScope – Typ: Edm.Int32
| Wert | Elementname | Beschreibung |
|---|---|---|
| 1 | Mandant | Die Richtlinienkonfiguration ist auf alle Benutzer im Mandanten ausgerichtet. |
| 1 | Mandant | Die Richtlinienkonfiguration ist auf alle Benutzer im Mandanten ausgerichtet. |
| 2 | Anonym | Die Richtlinienkonfiguration ist auf anonyme Benutzer ausgerichtet. |
| 3 | Benutzer | Die Richtlinienkonfiguration ist auf Benutzer in Microsoft Entra Konfigurierten Gruppen ausgerichtet. |
Richtlinie für komplexe Typen
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| PolicyId | Edm.String | Nein | ID der Richtlinieneinstellung |
| PolicyId | Edm.String | Nein | ID der Richtlinieneinstellung |
| PolicyName | Edm.String | Nein | Name der Richtlinieneinstellung |
| Wert | Edm.String | Nein | Konfigurierter Wert der Richtlinieneinstellung |
| Einstellungen | Collection(Self.Einstellung) | Nein | Konfigurierte Einstellung |
Einstellung für komplexen Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| SettingId | Edm.String | Nein | ID der Einstellung |
| SettingId | Edm.String | Nein | ID der Einstellung |
| SettingName | Edm.String | Nein | Name der Einstellung |
| Wert | Edm.String | Nein | Konfigurierter Wert der Einstellung |
PrioritySetting für komplexen Typ
| Parameter | Typ | Erforderlich? | Beschreibung |
|---|---|---|---|
| ConfigId | Edm.String | Nein | ID der Richtlinienkonfiguration |
| ConfigId | Edm.String | Nein | ID der Richtlinienkonfiguration |
| ConfigName | Edm.String | Nein | Angegebener Name der Richtlinienkonfiguration |
| Wert | Edm.String | Nein | Konfigurierte Priorität der Richtlinienkonfiguration |