次の方法で共有


Office 365 管理アクティビティ API のスキーマ

Office 365 管理アクティビティ API のスキーマは、次の 2 つのレイヤーでデータ サービスとして提供されます。

  • 共通スキーマ。 レコードの種類、作成時刻、ユーザーの種類、およびアクションなどの中心的な Office 365 監査概念へアクセスするためのインターフェースであり、同時にコア ディメンション (ユーザー ID など)、場所の詳細情報 (クライアント IP アドレスなど)、およびサービス固有のプロパティ (オブジェクト ID など) を提供します。 これにより一貫性がある統一ビューが確立され、いくつかの最上位ビューで適切なパラメーターを指定して、すべての Office 365 監査データを抽出できます。さらに、学習のコストを大幅に削減する、すべてのデータ ソース向けの固定スキーマも提供されます。 共通スキーマのデータは、Exchange、SharePoint、Azure Active Directory、Yammer、および OneDrive for Business などの各製品チームが所有する製品データから調達されます。 [オブジェクト ID] フィールドは、Microsoft 365 製品チームがサービス固有のプロパティを追加するために拡張できます。

  • サービス固有のスキーマ。 共通スキーマ上に構築され、Microsoft 365 のサービス固有の属性セット (SharePoint スキーマ、OneDrive for Business スキーマ、および Exchange 管理者スキーマなど) を提供します。

Office 365 管理 API のスキーマ

この記事では、共通スキーマとサービス固有のスキーマの詳細について説明します。 次の表では、使用可能なスキーマについて説明しています。

スキーマ名 説明
共通スキーマ レコードの種類、ユーザー ID、クライアント IP、ユーザーの種類、およびアクションと、ユーザーのプロパティ (ユーザー ID など)、場所のプロパティ (クライアント IP など)、およびサービス固有のプロパティ (オブジェクト ID など) といったコア ディメンションを抽出するためのビューです。
Copilot スキーマ イベントには、アクティビティが行われた Microsoft 365 サービスの Copilot と対話する方法とタイミング、および操作中にアクセスされた Microsoft 365 に格納されているファイルへの参照が含まれます。
SharePoint 基本スキーマ 共通スキーマを、すべての SharePoint 監査データに固有のプロパティで拡張します。
SharePoint ファイルの操作 SharePoint 基本スキーマを、ファイル アクセスと SharePoint での操作に固有のプロパティで拡張します。
SharePoint リストの操作 SharePoint Online のリストおよびリスト アイテムとの対話に固有のプロパティを使用して、SharePoint のベース スキーマを拡張します。
SharePoint 共有スキーマ SharePoint 基本スキーマを、ファイル共有に固有のプロパティで拡張します。
SharePoint スキーマ SharePoint 基本スキーマを、SharePoint に固有であるものの、ファイル アクセスと操作には関連がないプロパティで拡張します。
Project スキーマ SharePoint 基本スキーマを、プロジェクトに固有のプロパティで拡張します。
Exchange 管理者スキーマ 共通スキーマを、すべての Exchange 管理者監査データに固有のプロパティで拡張します。
Exchange メールボックス スキーマ 共通スキーマを、すべての Exchange メールボックス監査データに固有のプロパティで拡張します。
OWA 認証スキーマ 共通スキーマを、OWA 認証データに固有のプロパティで拡張します。
基本スキーマのMicrosoft Entra ID すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。
Microsoft Entra アカウント ログオン スキーマ Microsoft Entra ID基本スキーマを、すべてのMicrosoft Entraログオン イベントに固有のプロパティで拡張します。
セキュア STS ログオン スキーマのMicrosoft Entra ID セキュリティで保護されたトークン サービス (STS) のすべてのログオン イベントに固有のプロパティを使用してMicrosoft Entra IDベース スキーマMicrosoft Entra ID拡張します。
Microsoft Entra スキーマ すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。
DLP スキーマ 共通スキーマを、データ損失防止イベントに固有のプロパティで拡張します。
セキュリティ/コンプライアンス センター スキーマ 共通スキーマを、すべてのセキュリティ/コンプライアンス センターのイベントに固有のプロパティで拡張します。
セキュリティ/コンプライアンス アラート スキーマ 共通スキーマを、すべてのOffice 365 セキュリティ/コンプライアンス アラートに固有のプロパティで拡張します。
Yammer スキーマ 共通スキーマを、すべての Yammer イベントに固有のプロパティで拡張します。
データ センター セキュリティ基本スキーマ 共通スキーマを、すべてのデータ センター セキュリティ監査データに固有のプロパティで拡張します。
データ センター セキュリティ コマンドレット スキーマ データ センター セキュリティ基本スキーマを、すべてのデータ センター セキュリティ コマンドレット監査データに固有のプロパティで拡張します。
Microsoft Teams スキーマ 共通スキーマを、すべての Microsoft Teams イベントに固有のプロパティで拡張します。
Microsoft Defender for Office 365 および脅威の調査と対応スキーマ Defender for Office 365 および脅威の調査と対応のデータに固有のプロパティを使用して、共通スキーマを拡張します。
報告スキーマ Microsoft Defender for Office 365 のユーザーおよび管理者による報告に固有のプロパティを使用して、共通スキーマを拡張します。
自動調査および対応イベント スキーマ Office 365 自動調査および応答 (AIR) イベントに固有のプロパティを使用して、共通スキーマを拡張します。 例については、「Tech Community のブログ: Microsoft Defender for Office 365 と O365 管理 API を使用して SOC の有効性を向上させる」を参照してください。
検疫イベントスキーマ Exchange Online Protection および Microsoft Defender for Office 365 のイベントに固有のプロパティを使用して、共通スキーマを拡張します。
Power BI スキーマ 共通スキーマを、すべての Power BI イベントに固有のプロパティで拡張します。
Dynamics 365 スキーマ Dynamics 365 イベントに固有のプロパティを使用して共通スキーマを拡張します。
Workplace Analytics スキーマ 共通スキーマを、すべての Microsoft Workplace Analytics イベントに固有のプロパティで拡張します。
検疫スキーマ 共通スキーマを、すべての検疫イベントに固有のプロパティで拡張します。
Microsoft Forms スキーマ 共通スキーマを、すべての Microsoft Forms イベントに固有のプロパティで拡張します。
MIP ラベルのスキーマ メール メッセージに手動または自動で適用される秘密度ラベルの固有のプロパティを使用して、共通のスキーマを拡張します。
暗号化されたメッセージのポータル イベント スキーマ 外部受信者がアクセスする暗号化されたメッセージ ポータルに固有のプロパティを使用して共通スキーマを拡張します。
コミュニケーションコンプライアンス Exchange スキーマ コミュニケーションコンプライアンス違反言語モデルに固有のプロパティを使用して、共通スキーマを拡張します。
レポート スキーマ 共通スキーマを、すべての レポート イベントに固有のプロパティで拡張します。
コンプライアンス コネクタ スキーマ データ コネクタを使用して Microsoft 以外のデータをインポートするための固有のプロパティを使用して、共通スキーマを拡張します。
SystemSync スキーマ SystemSync を介して取り込まれたデータに固有のプロパティを使用して、共通スキーマを拡張します。
スキーマのViva Goals すべてのViva Goals イベントに固有のプロパティを使用して Common スキーマを拡張します。
Microsoft Planner スキーマ 共通スキーマを、Microsoft Planner イベントに固有のプロパティで拡張します。
Microsoft Project for the web スキーマ Microsoft Project for the web イベントに固有のプロパティを使用して Common スキーマを拡張します。
パルス スキーマのViva Common スキーマを、すべてのViva Pulse イベントに固有のプロパティで拡張します。
Compliance Manager スキーマ Compliance Manager イベントに固有のプロパティを使用して共通スキーマを拡張します。
バックアップ ポリシー スキーマ 共通スキーマを、Microsoft 365 バックアップ ポリシーに固有のプロパティで拡張します。
タスク スキーマの復元 [復元タスク] に固有のプロパティを使用して共通スキーマMicrosoft 365 バックアップ拡張します。
バックアップ項目スキーマ 共通スキーマを、Microsoft 365 バックアップ成果物に固有のプロパティで拡張します。
アイテム スキーマの復元 Microsoft 365 バックアップの復元項目に固有のプロパティを使用して、共通スキーマを拡張します。
クラウド ポリシー サービス スキーマ 共通スキーマを、すべての Cloud Policy サービス監査データに固有のプロパティで拡張します。
Cloud Update プロファイル構成スキーマ 共通スキーマを、Cloud Update プロファイル構成監査データに固有のプロパティで拡張します。
Cloud Update テナント構成スキーマ 共通スキーマを、Cloud Update テナント構成監査データに固有のプロパティで拡張します。
Cloud Update デバイス構成スキーマ Cloud Update デバイス構成監査データに固有のプロパティを使用して Common スキーマを拡張します。

共通スキーマ

EntityType の名前: AuditRecord

パラメーター 必須かどうか? 説明
Id Combination GUIDEdm.Guid はい 監査レコードの一意識別子。
RecordType Self.AuditLogRecordType はい レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。
CreationTime Edm.Date はい 監査ログ レコードが生成されたときの協定世界時 (UTC) の日付と時刻。
Operation Edm.String はい ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。 Exchange 管理者アクティビティでは、このプロパティは、実行されたコマンドレットの名前を識別します。 DLP イベントでは、これは "DlpRuleMatch"、"DlpRuleUndo" または "DlpInfo" (後続の「DLP スキーマ」で説明) になる可能性があります。
OrganizationId Edm.Guid はい 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。
UserType Self.UserType はい 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、「ユーザーの種類」の表を参照してください。
UserKey Edm.String はい UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。
Workload Edm.String はい アクティビティが発生した Office 365 サービス。
ResultStatus Edm.String いいえ (Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。 指定可能な値は SucceededPartiallySucceeded、または Failed です。 Exchange 管理者アクティビティでは、値は True または False のいずれかになります。

重要: さまざまなワークロードにより ResultStatus プロパティの値が上書きされる可能性があります。 たとえば、STS ログオン イベントMicrosoft Entra IDの場合、ResultStatus の [成功] の値は、HTTP 操作が成功したことを示すだけです。ログオンが成功したことを意味するものではありません。 実際のログオンが成功したかどうかを判断するには、Microsoft Entra ID STS ログオン スキーマの LogonError プロパティを参照してください。 ログオンに失敗していた場合、このプロパティにはログオン試行に失敗した理由が含まれます。
ObjectId Edm.string いいえ SharePoint および OneDrive for Business のアクティビティの場合、ユーザーによりアクセスされるファイルまたはフォルダーの完全パス名。 Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。 Cloud Policy サービスの場合、ポリシー構成のオブジェクト ID。
UserId Edm.string はい レコードがログに記録されることになった、(Operation プロパティで指定された) アクションを実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name などです。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
ClientIP Edm.String はい アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。

一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。

また、Microsoft Entra ID関連イベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値はnull
範囲 Self.AuditLogScope いいえ このイベントは、ホストされた O365 サービスまたはオンプレミスのサーバーによって作成されたものですか。 設定できる値は online および onprem です。 SharePoint は現在、オンプレミスから O365 にイベントを送信する唯一のワークロードです。
AppAccessContext CollectionSelf.AppAccessContext いいえ アクションを実行したユーザーまたはサービス プリンシパルのアプリケーション コンテキスト。

列挙値: AuditLogRecordType - 型: Edm.Int32

AuditLogRecordType

メンバ名 説明
1 ExchangeAdmin Exchange 管理者監査ログからのイベント。
2 ExchangeItem 単一のアイテムに対して実行されるアクション (単一の電子メール メッセージの作成や受信など) の、Exchange メールボックス監査ログからのイベント。
3 ExchangeItemGroup 複数のアイテムに対して実行できるアクション (1 つ以上の電子メール メッセージの移動や削除など) の、Exchange メールボックス監査ログからのイベント。
4 SharePoint SharePoint イベント。
6 SharePointFileOperation SharePoint ファイル操作イベント。
7 OneDrive Skype for Business イベント。
8 AzureActiveDirectory Microsoft Entra ID イベント。
9 AzureActiveDirectoryAccountLogon OrgId ログオン イベントをMicrosoft Entra IDします (非推奨)。
10 DataCenterSecurityCmdlet データ センター セキュリティ コマンドレット イベント。
11 ComplianceDLPSharePoint SharePoint のデータ損失防止 (DLP) イベントと OneDrive for Business。
13 ComplianceDLPExchange 統合 DLP ポリシーを使用して構成された場合の Exchange のデータ損失防止 (DLP) イベント。 Exchange トランスポート ルールに基づく DLP イベントはサポートされていません。
14 SharePointSharingOperation SharePoint 共有イベント。
15 AzureActiveDirectoryStsLogon Microsoft Entra IDのセキュリティで保護されたトークン サービス (STS) ログオン イベント。
16 SkypeForBusinessPSTNUsage Skype for Business からの公衆交換電話網 (PSTN) イベント。
17 SkypeForBusinessUsersBlocked Skype for Business からのブロックされたユーザー イベント。
18 SecurityComplianceCenterEOPCmdlet セキュリティ センターとコンプライアンス センターの管理者アクション
19 ExchangeAggregatedOperation 集計された Exchange メールボックス監査イベント。
20 PowerBIAudit Power BI イベント。
21 CRM Dynamics 365 イベント。
22 Yammer Yammer イベント。
23 SkypeForBusinessCmdlets Skype for Business イベント。
24 Discovery セキュリティ/コンプライアンス センターでコンテンツ検索を実行し、eDiscovery のケースを管理することによって実行される、電子情報開示アクティビティのイベント。
25 MicrosoftTeams Microsoft Teams のイベント。
28 ThreatIntelligence Exchange Online Protection と Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。
29 MailSubmission Exchange Online Protection と Office 365 Advanced Threat Protection からの送信についてのイベント。
30 MicrosoftFlow Microsoft Power Automate (旧称 Microsoft Flow) イベント。
31 AeD Advanced eDiscovery イベント。
32 MicrosoftStream Microsoft Stream のイベント。
33 ComplianceDLPSharePointClassification SharePoint の DLP 分類に関連するイベント。
34 ThreatFinder Microsoft Defender for Office 365 からのキャンペーン関連のイベント。
35 Project Microsoft Project のイベント。
36 SharePointListOperation SharePoint リスト イベント。
37 SharePointCommentOperation SharePoint コメント イベント。
38 DataGovernance セキュリティ/コンプライアンス センターにおけるアイテム保持ポリシーと保持ラベルに関連するイベント
39 Kaizala Kaizala イベント。
40 SecurityComplianceAlerts セキュリティ/コンプライアンス アラートのシグナル。
41 ThreatIntelligenceUrl ブロック時の安全なリンクと Microsoft Defender for Office 365 からのイベントの上書きブロック。
42 SecurityComplianceInsights Office 365 セキュリティおよびコンプライアンス センターの分析情報とレポートに関連するイベント。
43 MIPLabel 秘密度ラベルで (手動または自動で) タグ付けされたメール メッセージのトランスポート パイプラインでの検出に関連するイベント。
44 WorkplaceAnalytics Workplace Analytics イベント。
45 PowerAppsApp Power Apps イベント。
46 PowerAppsPlan Power Apps のサブスクリプション プラン イベント。
47 ThreatIntelligenceAtpContent SharePoint、OneDrive for Business、Microsoft Teams のファイルについての Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。
48 LabelContentExplorer データ分類コンテンツ エクスプローラーに関係するイベント。
49 TeamsHealthcare Microsoft 医療関係向けのTeams の患者アプリケーションに関連するベント。
50 ExchangeItemAggregated MailItemsAccessed メールボックス監査アクションに関連するイベント。
51 HygieneEvent 送信スパム保護に関連するイベント。
52 DataInsightsRestApiAudit データ インサイト REST API イベント。
53 InformationBarrierPolicyApplication 情報障壁ポリシーの適用に関連するイベント。
54 SharePointListItemOperation SharePoint リスト アイテム イベント。
55 SharePointContentTypeOperation SharePoint リスト コンテンツ タイプ イベント。
56 SharePointFieldOperation SharePoint リスト フィールド イベント。
57 MicrosoftTeamsAdmin Teams 管理者イベント
58 HRSignal インサイダー リスク管理ソリューションをサポートする HR データ信号に関連するイベント。
59 MicrosoftTeamsDevice Teams デバイス イベント。
60 MicrosoftTeamsAnalytics Teams 分析イベント。
61 InformationWorkerProtection 侵害されたユーザーのアラートに関連するイベント。
62 Campaign Microsoft Defender for Office 365 からのメール キャンペーンのイベント。
63 DLPEndpoint エンドポイント DLP イベント。
64 AIR 調査 自動インシデント応答 (AIR) イベント
65 Quarantine 検疫イベント。
66 MicrosoftForms Microsoft Forms イベント。
67 ApplicationAudit アプリケーション監査イベント。
68 ComplianceSupervisionExchange コミュニケーションコンプライアンス違反言語モデルによって追跡されるイベント。
69 CustomerKeyServiceEncryption カスタマー キーの暗号化に関連するイベント。
70 OfficeNative Office ドキュメントに適用される機密ラベルに関連するイベント。
71 MipAutoLabelSharePointItem SharePoint での自動ラベル付けイベント。
72 MipAutoLabelSharePointPolicyLocation SharePoint での自動ラベル付けポリシー イベント。
73 MicrosoftTeamsShifts Teams シフト イベント。
75 MipAutoLabelExchangeItem Exchange での自動ラベル付けイベント。
76 CortanaBriefing ブリーフィング メール イベント。
78 WDATPAlerts Windows Defender for Endpoint によって生成されたアラートに関連するイベント。
79 PowerAppsResource Microsoft Power Platform コネクタ (プレビュー) に関連するイベント。
82 SensitivityLabelPolicyMatch 機密ラベルでラベル付けされたファイルが開かれるか、名前が変更されたときに生成されるイベント。
83 SensitivityLabelAction 機密ラベルがファイルに適用、更新、または削除されたときに生成されるイベント。
84 SensitivityLabeledFileAction 機密ラベルでラベル付けされたファイルが開かれたとき、または名前が変更されたときに生成されるイベント。
85 AttackSim Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー アクティビティに関連するイベント。
86 AirManualInvestigation 自動調査と応答 (AIR) での手動調査に関連するイベント。
87 SecurityComplianceRBAC セキュリティとコンプライアンスの RBAC イベント。
88 UserTraining Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー トレーニングに関連するイベント。
89 AirAdminActionInvestigation 自動調査と応答 (AIR) の管理者アクションに関連するイベント。
90 MSTIC Microsoft Defender for Office365 の脅威インテリジェンス イベント。
91 PhysicalBadgingSignal インサイダー リスク管理ソリューションをサポートする物理バッジに関連するイベント。
93 AipDiscover AIP スキャナー イベント
94 AipSensitivityLabelAction AIP 秘密度ラベル イベント
95 AipProtectionAction AIP 保護イベント
96 AipFileDeleted AIP ファイル削除イベント
97 AipHeartBeat AIP ハートビート イベント
98 MCASAlerts Microsoft Cloud App Security によってトリガーされたアラートに対応するイベント。
99 OnPremisesFileShareScannerDlp ファイル共有の機密データのスキャンに関連するイベント。
100 OnPremisesSharePointScannerDlp SharePoint での機密データのスキャンに関連するイベント。
101 ExchangeSearch Outlook on the Web (OWA) を使用してメールボックス アイテムを検索することに関連するイベント。
102 SharePointSearch 組織の SharePoint ホーム サイトの検索に関連するイベント。
103 PrivacyInsights プライバシー分析情報イベント。
105 MyAnalyticsSettings MyAnalytics イベント。
106 SecurityComplianceUserChange ユーザーの変更または削除に関連するイベント。
107 ComplianceDLPExchangeClassification Exchange DLP 分類イベント。
109 MipExactDataMatch 完全データ一致 (EDM) 分類イベント。
113 MS365DCustomDetection Microsoft 365 Defender のカスタム検出アクションに関連するイベント。
147 CoreReportingSettings レポート設定イベント。
148 ComplianceConnector Microsoft Purview コンプライアンスポータルでデータコネクタを使用して Microsoft 以外のデータをインポートすることに関連するイベント。
154 OMEPortal 外部受信者によって生成された暗号化されたメッセージ ポータル イベント ログ。
164 ScorePlatformGenericAuditRecord データ コネクタに使用される汎用監査レコード。
174 DataShareOperation SystemSync 経由で取り込まれたデータの共有に関連するイベント。
181 EduDataLakeDownloadOperation SystemSync がレイクから取り込んだデータのエクスポートに関連するイベント。
183 MicrosoftGraphDataConnectOperation Microsoft Graph Data Connect によって行われる抽出に関連するイベント。
186 PowerPagesSite Power Pages サイトに関連するアクティビティ。
187 PowerPlatformAdminDlp Microsoft Power Platform DLP (プレビュー) に関連するイベント。
188 PlannerPlan Microsoft Plannerイベントを計画します。
189 PlannerCopyPlan プラン イベントMicrosoft Plannerコピーします。
190 PlannerTask タスク イベントをMicrosoft Plannerします。
191 PlannerRoster 名簿と名簿のメンバーシップ イベントをMicrosoft Plannerします。
192 PlannerPlanList プラン リスト イベントをMicrosoft Plannerします。
193 PlannerTaskList タスク リスト イベントをMicrosoft Plannerします。
194 PlannerTenantSettings テナント設定イベントをMicrosoft Plannerします。
195 ProjectForThewebProject Microsoft Project for the web プロジェクト イベント。
196 ProjectForThewebTask Microsoft Project for the web タスク イベント。
197 ProjectForThewebRoadmap Microsoft Project for the web ロードマップ イベント。
198 ProjectForThewebRoadmapItem Microsoft Project for the webロードマップ項目イベント。
199 ProjectForThewebProjectSettings Microsoft Project for the web プロジェクト テナント設定イベント。
200 ProjectForThewebRoadmapSettings Microsoft Project for the web ロードマップ テナント設定イベント。
216 Viva Goals Viva Goals イベント。
217 MicrosoftGraphDataConnectConsent Microsoft Graph Data Connect アプリケーションのテナント管理者によって実行される同意アクションのイベント。
218 AttackSimAdmin Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングの管理アクティビティに関連するイベント。
230 TeamsUpdates Teams Updates アプリ イベント。
231 PlannerRosterSensitivityLabel 名簿秘密度ラベル イベントをMicrosoft Plannerします。
237 DefenderExpertsforXDRAdmin エキスパート管理者アクション イベントをMicrosoft Defenderします。
251 VfamCreatePolicy アクセス管理ポリシー Vivaイベントを作成します。
252 VfamUpdatePolicy Access Management ポリシーの更新イベントをVivaします。
253 VfamDeletePolicy アクセス管理ポリシーの削除イベントをVivaします。
261 CopilotInteraction Copilot 相互作用イベント。
275 OWAAuth リソースのアクセス トークンが正常に発行されたイベント。
280 VivaPulseResponse パルス調査応答イベントをVivaします。
281 VivaPulseOrganizer パルスアンケート開催者イベントをVivaします。
282 VivaPulseAdmin パルス管理イベントをVivaします。
283 VivaPulseReport Vivaパルスは関連イベントを報告します。
287 ProjectForThewebAssignedToMeSettings Microsoft Project for the webテナント設定イベントに割り当てられます。
288 CloudPolicyService クラウド ポリシー サービスからのイベント。
298 BackupPolicy Microsoft 365 バックアップ ポリシーに関連するイベント。
299 RestoreTask Microsoft 365 バックアップ復元タスクに関連するイベント。
300 RestoreItem Microsoft 365 バックアップでバックアップされた成果物に関連するイベント。
301 BackupItem Microsoft 365 バックアップを使用して復元されるアイテムに関連するイベント。
332 ComplianceSettingsChange Microsoft Purview コンプライアンス設定によってイベントが変更されます。
337 CloudUpdateProfileConfig Cloud Update のプロファイル構成からのイベント。
338 CloudUpdateTenantConfig Cloud Update のテナント構成からのイベント。
339 CloudUpdateDeviceConfig Cloud Update のマネージド デバイス構成からのイベント。

列挙値: User Type - 型: Edm.Int32

ユーザーの種類

メンバ名 説明
0 Regular 管理者権限のない通常のユーザー。
1 Reserved 使用目的ではなく予約値。
2 Admin Microsoft 365 organizationの管理者。 **
3 DCAdmin Microsoft データセンター管理者またはデータセンター システム アカウント。
4 System サーバー側ロジックによってトリガーされる監査イベント。 たとえば、Windows サービスやバックグラウンド プロセスなどです。
5 Application Microsoft Entra アプリケーションによってトリガーされる監査イベント。
6 ServicePrincipal サービス プリンシパル。
7 CustomPolicy 顧客が作成または管理するポリシー。
8 SystemPolicy Microsoft が管理するポリシーまたはシステム ポリシー。
9 PartnerTechnician パートナー テナントのユーザーが顧客テナントに代わって作業している ( GDAPシナリオの場合)。
10 Guest ゲストまたは匿名ユーザー。

注:

** Microsoft Entra関連イベントの場合、管理者の値は監査レコードでは使用されません。 管理者によって実行されたアクティビティの監査レコードは、通常のユーザー (たとえば、UserType: 0) がアクティビティを実行したことを意味します。 UserID プロパティは、このアクティビティを実行したユーザー (通常のユーザーまたは管理者) を識別します。

列挙値: AuditLogScope - 型: Edm.Int32

AuditLogScope

メンバ名 説明
0 Online このイベントは、ホストされた O365 サービスによって作成されました。
1 Onprem このイベントは、オンプレミスのサーバーによって作成されました。

複合型 AppAccessContext

パラメーター 必須かどうか? 説明
AADSessionId Edm.String いいえ ユーザーの代わりにアプリによって実行された Entra サインインの Microsoft Entra SessionId。
APIId Edm.String いいえ リソースへのアクセスに使用される API パスウェイの ID。たとえば、Microsoft Graph API を介したアクセス。
ClientAppId Edm.String いいえ ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの ID。
ClientAppName Edm.String いいえ ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの名前。
CorrelationId Edm.String いいえ Microsoft 365 サービス全体で特定のユーザーのアクションを関連付けるために使用できる識別子。
UniqueTokenId Edm.String いいえ 要求に対してMicrosoft Entra トークンが使用可能な場合、UniqueTokenId が設定されます。 これは、大文字と小文字が区別される一意のトークンごとの識別子です。
IssuedAtTime Edm.Date いいえ 要求に対してMicrosoft Entra トークンが使用可能であり、このMicrosoft Entra トークンの認証がいつ行われたか示す場合は、"発行時" が設定されます。

SharePoint Base schema

パラメーター 必須かどうか? 説明
サイト Edm.Guid いいえ ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの GUID。
ItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" いいえ アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、「ItemType」の表を参照してください。
EventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" いいえ SharePoint でイベントが発生したことを示します。 指定可能な値は SharePoint または ObjectModel
SourceName Edm.String いいえ 監査対象の操作をトリガーしたエンティティ。 指定可能な値は、SharePoint または ObjectModel
UserAgent Edm.String いいえ ユーザーのクライアントまたはブラウザーに関する情報。 この情報は、クライアントまたはブラウザーによって提供されます。
MachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。
MachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。
ListItemUniqueId Edm.Guid いいえ リストの一意に識別可能な項目の GUID。 この情報は、該当する場合にのみ存在します。
ListID Edm.Guid いいえ リストの GUID。 この情報は、該当する場合にのみ存在します。
ApplicationId Edm.String いいえ 操作を実行するアプリケーションの ID。
ApplicationDisplayName Edm.String いいえ 操作を実行するアプリケーションの表示名。
IsWorkflow Edm.Boolean いいえ これは、SharePoint ワークフローが監査イベントをトリガーした場合に True に設定されます。

列挙:ItemType - タイプ:Edm.Int32

ItemType

メンバー名 説明
0 Invalid アイテムは、その他の種類のアイテム (この表にリストされている) のいずれでもありません。
1 File アイテムはファイルです。
5 Folder アイテムはフォルダーです。
6 Web アイテムは Web です。
7 Site アイテムはサイトです。
8 Tenant アイテムはテナントです。
9 DocumentLibrary アイテムはドキュメント ライブラリです。
11 Page アイテムはページです。

列挙値: EventSource - 型: Edm.Int32

EventSource

メンバー名 説明
0 SharePoint イベント ソースは SharePoint です。
1 ObjectModel イベント ソースは ObjectModel です。

列挙:SharePointAuditOperation - タイプ:Edm.Int32

メンバー名 説明
AccessInvitationAccepted 共有ファイル (またはフォルダー) の表示または編集への招待の受信者が、招待のリンクをクリックして共有ファイルにアクセスしました。
AccessInvitationCreated ユーザーは、SharePoint または OneDrive for Business サイトにある共有ファイルまたはフォルダーの表示または編集への招待を、(組織の内外の) 他のユーザーに送信します。 イベント エントリの詳細では、共有されたファイルの名前、招待の送信先のユーザー、招待の送信者が選択した共有のアクセス許可の種類を識別します。
AccessInvitationExpired 外部のユーザーに送信した招待の期限が切れています。 既定では、組織外のユーザーに送信された招待が承諾されていない場合は、7 日後に期限が切れます。
AccessInvitationRevoked SharePoint または OneDrive for Business のサイト管理者、サイト所有者、またはドキュメント所有者は、組織外のユーザーに送信された招待を取り下げます。 招待の取り下げは、招待が承諾される前にのみ行えます。
AccessInvitationUpdated SharePoint または OneDrive for Business サイトにある共有ファイルまたはフォルダーの表示または編集への招待を作成して送信したユーザーが、招待を再送します。
AccessRequestApproved SharePoint または OneDrive for Business のサイト管理者、サイト所有者、またはドキュメント所有者は、サイトまたはドキュメントにアクセスするユーザー要求を承認します。
AccessRequestCreated ユーザーは、アクセス許可がない SharePoint または OneDrive for Business のサイトまたはドキュメントへのアクセス権限を要求します。
AccessRequestRejected SharePoint 内のドキュメントやサイトの管理者または所有者が、サイトまたはドキュメントへのユーザー アクセスを拒否しています。
ActivationEnabled ユーザーは、フォーム コードが含まれていないフォーム テンプレートをブラウザー対応にする、完全な信頼を要求する、モバイル デバイスでのレンダリングを有効にする、サーバー管理者が管理するデータ接続を使用する、などができます。
AdministratorAddedToTermStore 用語ストア管理者が追加されました。
AdministratorDeletedFromTermStore 用語ストア管理者が削除されました。
AllowGroupCreationSet サイト管理者またはサイト所有者は、許可が割り当てられたユーザーが SharePoint または OneDrive for Business サイトのグループを作成できる許可レベルを、それらのサイトに追加します。
AppCatalogCreated SharePoint 環境でカスタム ビジネス アプリを利用できるように、アプリ カタログが作成されました。
AuditPolicyRemoved サイト コレクションのドキュメント ライフサイクル ポリシーが削除されました。
AuditPolicyUpdate サイト コレクションのドキュメント ライフ サイクル ポリシーが更新されました。
AzureStreamingEnabledSet ビデオ ポータルの所有者が、Azure からのビデオ ストリーミングを許可されました。
CollaborationTypeModified サイト (イントラネット、エクストラネット、またはパブリックなど) で許可されているコラボレーションの種類が変更されました。
ConnectedSiteSettingModified ユーザーがプロジェクトとプロジェクト サイトの間のリンクを作成、変更、または削除したか、ユーザーが Project Web アプリのリンクの同期設定を変更します。
CreateSSOApplication ターゲット アプリケーションが Secure Store Service で作成されました。
CustomFieldOrLookupTableCreated ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを作成しました。
CustomFieldOrLookupTableDeleted ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを削除しました。
CustomFieldOrLookupTableModified ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを変更しました。
CustomizeExemptUsers グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストをカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 つまり、除外として指定したユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 これにより、InfoPath フォームのインデックス作成の時間が短縮されます。
DefaultLanguageChangedInTermStore* 用語ストアで変更された言語設定。
DelegateModified ユーザーが Project Web アプリでセキュリティ デリゲートを作成または変更しました。
DelegateRemoved ユーザーが Project Web アプリでセキュリティ デリゲートを削除しました。
DeleteSSOApplication SSO アプリケーションが削除されました。
eDiscoveryHoldApplied インプレース ホールドが、コンテンツ ソースに置かれました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。
eDiscoveryHoldRemoved インプレース ホールドが、コンテンツ ソースから削除されました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。
eDiscoverySearchPerformed 電子情報開示検索は、SharePoint の電子情報開示サイト コレクションを使用して実行されました。
EngagementAccepted ユーザーは Project Web アプリでリソース エンゲージメントを受け入れます。
EngagementModified ユーザーが Project Web アプリのリソース エンゲージメントを変更します。
EngagementRejected ユーザーが Project Web アプリのリソース エンゲージメントを拒否します。
EnterpriseCalendarModified ユーザーは、Project Web アプリでエンタープライズ 予定表をコピー、変更、または削除します。
EntityDeleted ユーザーは Project Web アプリでタイムシートを削除します。
EntityForceCheckedIn ユーザーは、Project Web アプリの予定表、ユーザー設定フィールド、または参照テーブルにチェックを強制します。
ExemptUserAgentSet グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストにユーザー エージェントを追加しました。
FileAccessed ユーザーまたはシステム アカウントは、SharePoint または OneDrive for Business サイトにあるファイルにアクセスします。 システム アカウントが FileAccessed イベントを生成する場合もあります。
FileCheckOutDiscarded チェック アウトしたファイルを破棄します (または元に戻します)。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。
FileCheckedIn ユーザーは、SharePoint または OneDrive for Business のドキュメント ライブラリからチェックアウトしたことをドキュメントで確認します。
FileCheckedOut ユーザーは、SharePoint または OneDrive for Business ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。
FileCopied ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントをコピーします。 コピーしたファイルは、サイト上の別のフォルダーに保存できます。
FileDeleted ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントを削除します。
FileDeletedFirstStageRecycleBin ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からファイルを削除します。
FileDeletedSecondStageRecycleBin ユーザーが SharePoint または OneDrive for Business サイトの第 2 段階のごみ箱からファイルを削除します。
FileDownloaded ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントをダウンロードします。
FileFetched このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。
FileModified ユーザーまたはシステム アカウントは、SharePoint あるいは OneDrive for Business サイトにあるドキュメントの内容またはプロパティを変更します。
FileMoved ユーザーが SharePoint または OneDrive for Business サイトの現在の場所から新しい場所にドキュメントを移動します。
FilePreviewed ユーザーが SharePoint または OneDrive for Business サイトにあるドキュメントをプレビューします。
FileRecycled ユーザーはドキュメントを SharePoint または OneDrive ごみ箱に移動します。
FileRenamed ユーザーは、SharePoint または OneDrive for Business サイトにあるドキュメントの名前を変更します。
FileRestored ユーザーは、SharePoint または OneDrive for Business サイトのごみ箱からドキュメントを復元します。
FileSyncDownloadedFull ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business からコンピューターにファイルをダウンロードします。
FileSyncDownloadedPartial このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。
FileSyncUploadedFull ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business に新しいファイルまたはファイルへの変更をアップロードします。
FileSyncUploadedPartial このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。
FileUploaded ユーザーは、SharePoint または OneDrive for Business サイトにあるフォルダーにドキュメントをアップロードします。
FileViewed このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。
FolderCopied ユーザーがフォルダーを SharePoint または OneDrive for Business サイトから SharePoint または OneDrive for Business の別の場所にコピーします。
FolderCreated ユーザーが SharePoint または OneDrive for Business サイトでフォルダーを作成します。
FolderDeleted ユーザーが SharePoint または OneDrive for Business サイトからフォルダーを削除します。
FolderDeletedFirstStageRecycleBin ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からフォルダーを削除します。
FolderDeletedSecondStageRecycleBin ユーザーが SharePoint または OneDrive for Business サイトの第 2 段階のごみ箱からフォルダーを削除します。
FolderModified ユーザーが SharePoint または OneDrive for Business サイトでフォルダーを変更します。 このイベントには、フィルダーのメタデータ (タグやプロパティなど) の変更が含まれます。
FolderMoved ユーザーが SharePoint または OneDrive for Business サイトからフォルダーを移動します。
FolderRecycled ユーザーはフォルダーを SharePoint または OneDrive ごみ箱に移動します。
FolderRenamed ユーザーが SharePoint または OneDrive for Business サイトのフォルダーの名前を変更します。
FolderRestored ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からフォルダーを復元します。
GroupAdded サイト管理者または所有者は、SharePoint または OneDrive for Business のグループを作成するか、グループが作成されることになるタスクを実行します。 たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business に追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。
GroupRemoved ユーザーは、SharePoint または OneDrive for Business のサイトからグループを削除します。
GroupUpdated サイト管理者または所有者は、SharePoint または OneDrive for Business サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。
LanguageAddedToTermStore 用語ストアに言語が追加されました。
LanguageRemovedFromTermStore 用語ストアから言語が削除されました。
LegacyWorkflowEnabledSet サイト管理者または所有者は、SharePoint ワークフロー タスク コンテンツ タイプをサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。
LookAndFeelModified ユーザーは、クイック 起動、ガント チャートの形式、またはグループ形式を変更します。  または、ユーザーは Project Web アプリでビューを作成、変更、または削除します。
ManagedSyncClientAllowed ユーザーが SharePoint または OneDrive for Business サイトとの同期関係を正常に確立します。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。 詳細については、「SharePoint Online PowerShell を使用して、安全な受信者の一覧にあるドメインのOneDrive 同期を有効にする」を参照してください。
MaxQuotaModified サイトに割り当てられた上限が変更されています。
MaxResourceUsageModified サイトのリソース使用量の上限が変更されています。
MySitePublicEnabledSet SharePoint 管理者によって、ユーザーが公開 MySite を持てるようにフラグが設定されています。
NewsFeedEnabledSet サイト管理者または所有者は、SharePoint または OneDrive for Business サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。
ODBNextUXSettings OneDrive for Business 用の新しい UI が使用可能になっています。
OfficeOnDemandSet サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効になっており、完全にインストールされた Office アプリケーションを含むOffice 365 サブスクリプションが必要です。
PageViewed ユーザーが SharePoint または OneDrive for Business サイトにあるページを表示します。 これには、SharePoint サイトまたは One Drive for Business サイトのドキュメント ライブラリのファイルをブラウザーで表示することは含まれません。
PeopleResultsScopeSet サイト管理者は、SharePoint サイトの人の検索の結果ソースを作成または変更します。
PermissionSyncSettingModified ユーザーは、Project Web アプリのプロジェクト権限の同期設定を変更します。
PermissionTemplateModified ユーザーは、Project Web アプリでアクセス許可テンプレートを作成、変更、または削除します。
PortfolioDataAccessed ユーザーは、Project Web アプリのポートフォリオ コンテンツ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) にアクセスします。
PortfolioDataModified ユーザーは、Project Web アプリでポートフォリオ データ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) を作成、変更、または削除します。
PreviewModeEnabledSet サイト管理者は、SharePoint サイトのドキュメント プレビューを有効にします。
ProjectAccessed ユーザーは Project Web アプリのプロジェクト コンテンツにアクセスします。
ProjectCheckedIn ユーザーは、Project Web アプリからチェックアウトしたプロジェクトをチェックインします。
ProjectCheckedOut ユーザーは、Project Web アプリにあるプロジェクトをチェックアウトします。 ユーザーが開く権限を持つプロジェクトをチェックアウトして、変更することができます。
ProjectCreated ユーザーは Project Web アプリでプロジェクトを作成します。
ProjectDeleted ユーザーは Project Web アプリでプロジェクトを削除します。
ProjectForceCheckedIn ユーザーは、Project Web アプリのプロジェクトに対してチェックを強制的に入力します。
ProjectModified ユーザーが Project Web アプリでプロジェクトを変更します。
ProjectPublished ユーザーは Project Web アプリでプロジェクトを発行します。
ProjectWorkflowRestarted ユーザーが Project Web アプリでワークフローを再起動します。
PWASettingsAccessed ユーザーは、CSOM を使用して Project Web アプリの設定にアクセスします。
PWASettingsModified ユーザーが Project Web アプリの構成を変更します。
QueueJobStateModified ユーザーは Project Web アプリでキュー ジョブを取り消すか再起動します。
QuotaWarningEnabledModified ストレージ クォータ警告が変更されました。
RenderingEnabled ブラウザー対応フォーム テンプレートが、InfoPath フォーム サービスでレンダリングされます。
ReportingAccessed ユーザーが Project Web アプリのレポート エンドポイントにアクセスしました。
ReportingSettingModified ユーザーが Project Web アプリのレポート構成を変更します。
ResourceAccessed ユーザーは Project Web アプリのエンタープライズ リソース コンテンツにアクセスします。
ResourceCheckedIn ユーザーは、Project Web アプリからチェックアウトしたエンタープライズ リソースをチェックインします。
ResourceCheckedOut ユーザーは、Project Web アプリにあるエンタープライズ リソースをチェックアウトします。
ResourceCreated ユーザーは Project Web アプリでエンタープライズ リソースを作成します。
ResourceDeleted ユーザーは Project Web アプリでエンタープライズ リソースを削除します。
ResourceForceCheckedIn ユーザーは Project Web アプリでエンタープライズ リソースのチェックインを強制します。
ResourceModified ユーザーが Project Web アプリのエンタープライズ リソースを変更します。
ResourcePlanCheckedInOrOut ユーザーは Project Web アプリでリソース プランをチェックインまたはチェックアウトします。
ResourcePlanModified ユーザーが Project Web アプリのリソース プランを変更します。
ResourcePlanPublished ユーザーは Project Web アプリでリソース プランを発行します。
ResourceRedacted ユーザーは、Project Web アプリ内のすべての個人情報を削除するエンタープライズ リソースを編集します。
ResourceWarningEnabledModified リソース クォータ警告が変更されました。
SSOGroupCredentialsSet Secure Store Service でグループ資格情報が設定されました。
SSOUserCredentialsSet Secure Store Service でユーザー資格情報が設定されました。
SearchCenterUrlSet 検索センターの URL が設定されました。
SecondaryMySiteOwnerSet ユーザーがその MySite に代理所有者を追加しました。
SecurityCategoryModified ユーザーは、Project Web アプリでセキュリティ カテゴリを作成、変更、または削除します。
SecurityGroupModified ユーザーは、Project Web アプリでセキュリティ グループを作成、変更、または削除します。
SendToConnectionAdded グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、新しい [送信先] 接続を作成します。 [送信先] 接続は、ドキュメント リポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。
SendToConnectionRemoved グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、[送信先] 接続を削除します。
SharedLinkCreated ユーザーは、SharePoint または OneDrive for Business で共有ファイルへのリンクを作成します。 このリンクは、共有ファイルにアクセスできるように他のユーザーに送信できます。 ユーザーは、共有ファイルの表示と編集を許可するリンク、またはファイルの表示だけを許可するリンクの、2 種類のリンクを作成できます。
SharedLinkDisabled ユーザーは、ファイルを共有するために作成されたリンクを (完全に) 無効にします。
SharingInvitationAccepted* ユーザーは、ファイルまたはフォルダーの共有の招待を承諾します。 このイベントは、ユーザーが他のユーザーとファイルを共有すると記録されます。
SharingRevoked 以前他のユーザーと共有されたファイルまたはフォルダーの共有を解除します。 このイベントは、ユーザーが他のユーザーとのファイルの共有を停止すると記録されます。
SharingSet ユーザーは、SharePoint または OneDrive for Business にあるファイルまたはフォルダーを、組織内の他のユーザーと共有します。
SiteAdminChangeRequest ユーザーが、SharePoint サイト コレクションのサイト コレクション管理者として追加されるように要求します。 サイト コレクション管理者は、サイト コレクションとすべてのサブサイトのフル コントロール権限を持ちます。
SiteCollectionAdminAdded* サイト コレクション管理者または所有者は、ユーザーを SharePoint または OneDrive for Business サイトのサイト コレクション管理者として追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。
SiteCollectionCreated グローバル管理者は、あなたの SharePoint 組織に新しいサイト コレクションを作成します。
SiteRenamed サイト管理者または所有者は、SharePoint または OneDrive for Business サイトの名前を変更します。
StatusReportModified ユーザーは、Project Web アプリで状態レポートを作成、変更、または削除します。
SyncGetChanges ユーザーがドキュメント ライブラリ内のファイルに加えたすべての変更内容を自分のコンピューターに同期するために、SharePoint または OneDrive for Business のアクション トレイにある [同期] をクリックします。
SyntexBillingSubscriptionSettingsChanged Syntex Billing サブスクリプションの設定が変更されました。 このイベントは、Syntex 試用版の有効期限が切れるとトリガーされます。
TaskStatusAccessed ユーザーは、Project Web アプリの 1 つ以上のタスクの状態にアクセスします。
TaskStatusApproved ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を承認します。
TaskStatusRejected ユーザーは、Project Web アプリの 1 つ以上のタスクの状態更新を拒否します。
TaskStatusSaved ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新プログラムを保存します。
TaskStatusSubmitted ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を送信します。
TimesheetAccessed ユーザーは Project Web アプリでタイムシートにアクセスします。
TimesheetApproved ユーザーは Project Web アプリでタイムシートを承認します。
TimesheetRejected ユーザーは Project Web アプリでタイムシートを拒否します。
TimesheetSaved ユーザーは Project Web アプリにタイムシートを保存します。
TimesheetSubmitted ユーザーが Project Web アプリで状態タイムシートを送信します。
UnmanagedSyncClientBlocked ユーザーは、組織のドメインのメンバーではないコンピューター、または組織のドキュメント ライブラリにアクセスできるものの、ドメインのリスト (宛先セーフ リスト) に追加されていないドメインのメンバーであるコンピューターから、SharePoint または OneDrive for Business サイトとの同期関係を確立しようとします。 同期関係は許可されていません。ユーザーのコンピューターは、ドキュメント ライブラリ上のファイルの同期、ダウンロード、アップロードがブロックされています。 この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。
UpdateSSOApplication 対象アプリケーションが Secure Store Service で更新されました。
UserAddedToGroup サイト管理者または所有者は、SharePoint または OneDrive for Business サイトにあるグループにユーザーを追加します。 ユーザーをグループに追加すると、そのユーザーにはグループに割り当てられたアクセス許可が付与されます。
UserRemovedFromGroup サイト管理者または所有者は、SharePoint または OneDrive for Business サイトにあるグループからユーザーを削除します。 削除された後、そのユーザーにはグループに割り当てられたアクセス許可が付与されなくなります。
WorkflowModified ユーザーは、Project Web アプリでエンタープライズ プロジェクトの種類またはワークフローのフェーズまたはステージを作成、変更、または削除します。

SharePoint ファイルの操作

コンプライアンス センターでの監査ログの検索」の「ファイルとフォルダーのアクティビティ」セクションにリストされているファイル関連 SharePoint イベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
SiteUrl Edm.String はい ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。
SourceRelativeUrl Edm.String いいえ ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURLSourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。
SourceFileName Edm.String はい ユーザーによりアクセスされるファイルまたはフォルダーの名前。
SourceFileExtension Edm.String いいえ ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。
DestinationRelativeUrl Edm.String いいえ ファイルのコピー先または移動先フォルダーの URL。 SiteURLDestinationRelativeURLDestinationFileName パラメーターの値の組み合わせは、コピーされたファイルの完全なパス名である ObjectID プロパティの値と同じです。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。
DestinationFileName Edm.String いいえ コピーまたは移動したファイルの名前。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。
DestinationFileExtension Edm.String いいえ コピーまたは移動したファイルのファイル拡張子。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。
UserSharedWith Edm.String いいえ リソースを共有したユーザー。
SharingType Edm.String いいえ リソースを共有したユーザーに割り当てられているアクセス許可の種類。 このユーザーは、 UserSharedWith パラメーターによって識別されます。
SourceLabel Edm.String いいえ ユーザー操作によって変更される前のファイルの元のラベル。
DestinationLabel Edm.String いいえ ユーザー操作によって変更された後のファイルの最終的なラベル。
SensitivityLabelOwnerEmail Edm.String いいえ 秘密度ラベルの所有者のメール アドレス。
SensitivityLabelId Edm.String いいえ ファイルの現在の秘密度ラベル ID。

SharePoint リストの操作

コンプライアンス センターでの監査ログの検索」の「SharePoint リストのアクティビティ」セクションにリストされている SharePoint リストとリスト アイテム関連のイベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
ListTitle Edm.String いいえ SharePoint リストのタイトル。
ListName Edm.String いいえ SharePoint リストの名前。
ListUrl Edm.String いいえ 含まれている Web サイトに関連するリストの URL。
ListBaseType Edm.String いいえ リストの基本的な種類を指定します。
ListBaseTemplateType Edm.String いいえ リストの基になっているリスト定義の種類。
IsHiddenList Edm.Boolean いいえ SharePoint リストが非表示の場合、この値は True に設定されます。
IsDocLib Edm.Boolean いいえ SharePoint リストがドキュメント ライブラリの種類である場合、この値は True に設定されます。

SharePoint 共有スキーマ

ファイル共有関連の SharePoint イベント。 これは、ユーザーが別のユーザーに何らかの影響があるアクションを取るという点で、ファイル関連イベントやフォルダー関連イベントとは異なります。 SharePoint 共有スキーマについては、「監査ログで共有監査を使う」を参照してください。

パラメーター 必須かどうか? 説明
TargetUserOrGroupName Edm.String いいえ リソースを共有していたターゲット ユーザーまたはグループの UPN または名前を格納します。
TargetUserOrGroupType Edm.String いいえ ターゲット ユーザーまたはグループが、メンバー、ゲスト、グループ、またはパートナーであるかどうかを示します。
EventData XML コード いいえ グループへのユーザーの追加や編集アクセス許可の付与などの、発生した共有アクションに関する追加情報を伝達します。
SiteUrl Edm.String いいえ ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。
SourceRelativeUrl Edm.String いいえ ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURLSourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。
SourceFileName Edm.String いいえ ユーザーによりアクセスされるファイルまたはフォルダーの名前。
SourceFileExtension Edm.String いいえ ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。
UniqueSharingId Edm.String いいえ 共有操作に関連付けられている一意の共有 ID。

SharePoint スキーマ

コンプライアンス センターでの監査ログの検索」にリストされている SharePoint イベント (ファイルおよびフォルダー イベントを除く) は、このスキーマを使用します。

パラメーター 必須かどうか? 説明
CustomEvent Edm.String いいえ カスタム イベントのオプション文字列。
EventData Edm.String いいえ カスタム イベントのオプション ペイロード。
ModifiedProperties Collection(ModifiedProperty) いいえ このプロパティは、サイトまたはサイト コレクション管理者グループのメンバーとしてユーザーを追加するなどの、管理イベントの場合に含まれます。 プロパティには、変更されたプロパティの名前 (サイト管理者グループなど)、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザーなど)、および変更されたオブジェクトの以前の値が含まれます。

Project スキーマ

パラメーター 必須かどうか? 説明
Entity Edm.String はい 監査の対象になった ProjectEntity
Action Edm.String はい 取得された ProjectAction
OnBehalfOfResId Edm.Guid いいえ アクションが実行されたリソース ID。

列挙値: Project Action - 型: Edm.Int32

Project 操作 

メンバー名 説明
Accepted ユーザーがイベントまたはワークフローを承諾しました。
Accessed ユーザーがエンティティにアクセスしました。
Activated ユーザーがエンティティ、イベント、またはワークフローをアクティブ化しました。
Cancelled ユーザーがイベントまたはワークフローをキャンセルしました。
CheckedIn ユーザーがエンティティをチェックインします。
CheckedOut ユーザーがエンティティをチェックアウトします。
Copied ユーザーがエンティティをコピーしました。
Created ユーザーがエンティティを作成しました。
Deactivated ユーザーがエンティティを非アクティブ化しました。
Deleted ユーザーがエンティティを削除しました。
Exported ユーザーがエンティティをエクスポートしました。
ForceCheckedIn ユーザーがエンティティを強制的にチェックインさせました。
Modified ユーザーがエンティティを変更しました。
Published ユーザーがエンティティを公開しました。
Redacted ユーザーがエンティティを編集しました。
Rejected ユーザーがエンティティを拒否しました。
Restarted ユーザーがイベントまたはワークフローを再起動しました。
Saved ユーザーがエンティティを保存しました。
Sent ユーザーがエンティティを送信しました。
Submitted ユーザーがレビューまたはワークフローのエンティティを送信します。

列挙値: Project Entity - 型: Edm.Int32

Project エンティティ

メンバー名 説明
CustomField エンタープライズ ユーザー設定フィールドを表します。
Driver ポートフォリオのドライバーを表します。
DriverPrioritization ポートフォリオの優先順位付けを表します。
Engagement リソースのエンゲージメントを表します。
EnterpriseCalendar エンタープライズ リソース予定表を表します。
EnterpriseProjectType エンタープライズ プロジェクトの種類を表します。
FiscalPeriod 会計期間を表します。
GanttChartFormat ガント チャートの書式を表します。
GroupingFormat ビューのグループ化の書式を表します。
LineClassification タイムシート行の分類を表します。
LookupTable エンタープライズ ルックアップ テーブルを表します。
PermissionTemplate セキュリティ アクセス許可のテンプレートを表します。
PortfolioAnalysis ポートフォリオ分析を表します。
Project プロジェクトを表します。
QueueJob キュー ジョブを表します。
QuickLaunch サイド リンク バーの項目を表します。
Reporting レポートのエンドポイントを表します。
Resource エンタープライズ リソースを表します。
ResourcePlan プロジェクトに関連付けられたリソース計画を表します。
SecurityCategory セキュリティのカテゴリを表します。
SecurityGroup セキュリティ グループを表します。
Setting Project Web アプリの設定を表します
Statusing タスクの状態の更新を表します。
StatusReport 進捗レポートを表します。
TimeReportingPeriod タイムシートの期間を表します
Timesheet タイムシートのエンティティを表します。
TimesheetAuditLog タイムシートの監査ログを表します。
TimesheetManager タイムシートの管理者を表します。
UserDelegate 別のユーザーへのユーザー委任を表します。
View ビューの定義を表します。
WorkflowPhase ワークフローのフェーズを表します。
WorkflowStage ワークフローのステージを表します。

Exchange Admin schema

パラメーター 必須 説明
ModifiedObjectResolvedName Edm.String いいえ これはコマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です。 これはコマンドレットによるオブジェクトの変更の場合にのみ記録されます。
パラメーター Collection(Common.NameValuePair) いいえ Operations プロパティで示されているコマンドレットで使用された、すべてのパラメーターの名前と値。
ModifiedProperties Collection(Common.ModifiedProperty) いいえ このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたオブジェクトの以前の値が含まれます。
ExternalAccess Edm.Boolean はい 組織内のユーザー、Microsoft データセンター担当者またはデータセンター サービス アカウント、あるいは代理管理者により、コマンドレットが実行されたかどうかを示します。 値 False は、コマンドレットが組織内のユーザーによって実行されたことを示します。 値 True は、コマンドレットがデータセンターの担当者、データセンターのサービス アカウント、または代理管理者によって実行されたことを示します。
OriginatingServer Edm.String いいえ コマンドレット実行元のサーバーの名前。
OrganizationName Edm.String いいえ テナントの名前。

Exchange メールボックス スキーマ

パラメーター 必須 説明
LogonType Self.LogonType いいえ メールボックスにアクセスして、ログに記録された操作を実行したユーザーの種類を示します。
InternalLogonType Self.LogonType いいえ 内部使用のため予約済みです。
MailboxGuid Edm.String いいえ アクセスされたメールボックスの Exchange GUID。
MailboxOwnerUPN Edm.String いいえ アクセスされたメールボックスの所有者の電子メール アドレス。
MailboxOwnerSid Edm.String いいえ メールボックス所有者の SID。
MailboxOwnerMasterAccountSid Edm.String いいえ メールボックス所有者のアカウントのマスター アカウント SID。
LogonUserSid Edm.String いいえ 操作を実行したユーザーの SID。
LogonUserDisplayName Edm.String いいえ 操作を実行したユーザーのユーザー フレンドリ名。
ExternalAccess Edm.Boolean はい これは、ログオン ユーザーのドメインがメールボックス所有者のドメインと異なる場合は、true です。
OriginatingServer Edm.String いいえ これは、操作の発生場所です。
OrganizationName Edm.String いいえ テナントの名前。
ClientInfoString Edm.String いいえ 操作を実行するために使用された電子メール クライアントについての情報 (ブラウザーのバージョン、Outlook のバージョン、およびモバイル デバイスの情報など)。
ClientIPAddress Edm.String いいえ 操作がログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
ClientMachineName Edm.String いいえ Outlook クライアントをホストしているマシン名。
ClientProcessName Edm.String いいえ メールボックスへのアクセスに使用された電子メール クライアント。
ClientVersion Edm.String いいえ 電子メール クライアントのバージョン。

列挙:LogonType - タイプ:Edm.Int32

LogonType

メンバー名 説明
0 Owner メールボックス所有者。
1 Admin 他のユーザーのメールボックスに対する管理者特権を持つユーザー。
2 委任 他のユーザーのメールボックスに対する代理人特権を持つユーザー。
3 Transport Microsoft データセンターのトランスポート サービス。
4 SystemService Microsoft データセンターのサービス アカウント。
5 BestAccess 内部使用のため予約済みです。
6 DelegatedAdmin 代理管理者。

ExchangeMailboxAuditGroupRecord スキーマ

パラメーター 必須かどうか? 説明
フォルダー Self.ExchangeFolder いいえ アイテムのグループが存在するフォルダー。
CrossMailboxOperations Edm.Boolean いいえ 操作に複数のメールボックスが関係したかどうかを示します。
DestMailboxId Edm.Guid いいえ CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの GUID を指定します。
DestMailboxOwnerUPN Edm.String いいえ CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者の UPN を指定します。
DestMailboxOwnerSid Edm.String いいえ CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの SID を指定します。
DestMailboxOwnerMasterAccountSid Edm.String いいえ CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者のマスター アカウント SID の SID を指定します。
DestFolder Self.ExchangeFolder いいえ 移動などの操作の場合の、移動先フォルダー。
Folders Collection(Self.ExchangeFolder) いいえ 操作に関連したソース フォルダーに関する情報 (フォルダーが選択されて削除された場合など)。
AffectedItems Collection(Self.ExchangeItem) いいえ グループ内の各項目についての情報。

ExchangeMailboxAuditRecord スキーマ

パラメーター 必須かどうか? 説明
アイテム Self.ExchangeItem いいえ 操作の実行対象のアイテムを表します。
ModifiedProperties Collection(Edm.String) いいえ TBD
SendAsUserSmtp Edm.String いいえ 偽装しているユーザーの SMTP アドレス。
SendAsUserMailboxGuid Edm.Guid いいえ 電子メールを偽装ユーザーとして送信するためにアクセスされたメールボックスの Exchange GUID。
SendOnBehalfOfUserSmtp Edm.String いいえ 電子メールが代理で送信されたユーザーの SMTP アドレス。
SendOnBehalfOfUserMailboxGuid Edm.Guid いいえ 電子メールを代理で送信するためにアクセスされたメールボックスの Exchange GUID。

ExchangeItem 複合型

パラメーター 必須かどうか? 説明
ID Edm.String はい ストア ID。
Subject Edm.String いいえ アクセスされたメッセージの件名。
ParentFolder Edm.ExchangeFolder いいえ アイテムが置かれているフォルダーの名前。
Attachments Edm.String いいえ メッセージに添付されているすべてのアイテムの名前とファイル サイズのリスト。

ExchangeFolder 複合型

パラメーター 必須かどうか? 説明
ID Edm.String はい フォルダー オブジェクトのストアの ID。
Path Edm.String いいえ アクセスされたメッセージが置かれているメールボックス フォルダーの名前。

OWA 認証スキーマ

パラメーター 必須かどうか? 説明
UniqueTokenIdentifier Edm.String いいえ リソースの一意識別子。
ResourceURL Edm.String いいえ リソース URL。

Azure Active Directory 基本スキーマ

パラメーター 必須かどうか? 説明
AzureActiveDirectoryEventType Self.AzureActiveDirectoryEventType はい Microsoft Entra イベントの種類。
ExtendedProperties Collection(Common.NameValuePair) いいえ Microsoft Entra イベントの拡張プロパティ。
ModifiedProperties Collection(Common.ModifiedProperty) いいえ このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。

列挙:AzureActiveDirectoryEventType - タイプ: -Edm.Int32

AzureActiveDirectoryEventType

メンバー名 説明
AccountLogon アカウント ログイン イベント。
AzureApplicationAuditEvent Azure アプリケーション セキュリティ イベント。

Azure Active Directory アカウント ログオン スキーマ

パラメーター 必須かどうか? 説明
アプリケーション Edm.String いいえ Office 15 などの、アカウント ログイン イベントをトリガーするアプリケーション。
Client Edm.String いいえ クライアント デバイス、デバイスの OS、およびアカウント ログイン イベントに使用したデバイスのブラウザーに関する詳細。
LoginStatus Edm.Int32 はい このプロパティは、OrgIdLogon.LoginStatus に直接由来しています。 関心の対象となるさまざまなログオン失敗のマッピングは、警告アルゴリズムによって行うことができます。
UserDomain Edm.String はい テナント ID 情報 (TII)。

列挙:CredentialType - タイプ:Edm.Int32

メンバー名 説明
-1 Other その他の認証。
0 Password ユーザー資格情報は、ユーザー名とパスワードです。
1 MobilePhone ユーザー資格情報は、携帯電話です。
2 SecretQuestion ユーザー資格情報は、秘密の質問です。
3 SecurePin ユーザー資格情報は、セキュア PIN です。
4 SecurePinReset ユーザー資格情報は、セキュア PIN リセットです。
11 EasyID ユーザー資格情報は、EasyID です。
14 PasswordIndexCredentialType ユーザー資格情報は、PasswordIndexCredentialType です。
16 Device ユーザー資格情報は、デバイスです。
17 ForeignRealmIndex ユーザーの資格情報は、ForeignRealmIndex です。

列挙:LoginType - タイプ:Edm.Int32

メンバー名 説明
-1 Other その他の i タイプ。
1 InitialAuth 最初の認証でログイン。
2 CookieCopy Cookie を使用してログイン。
3 SilentReAuth 自動再認証でログイン。

列挙:AuthenticationMethod - タイプ:Edm.Int32

メンバー名 説明
0 Min 認証方法は、Min です。
1 Password 認証方法は、パスワードです。
2 Digest 認証方法は、ダイジェストです。
3 ProxyAuth 認証方法は、ProxyAuth です。
4 InfoCard 認証方法は、InfoCard です。
5 DAToken 認証方法は、DAToken です。
6 Sha1RememberMyPassword 認証方法は、Sha1RememberMyPassword です。
7 LMPasswordHash 認証方法は、LMPasswordHash です。
8 ADFSFederatedToken 認証方法は、ADFSFederatedToken です。
9 EID 認証方法は、EID です。
10 DeviceID 認証方法は、DeviceID です。
11 MD5 認証方法は、MD5 です。
12 EncProxyPasswordHash 認証方法は、EncProxyPasswordHash です。
13 LWAFederation 認証方法は、LWAFederation です。
14 Sha1HashedPassword 認証方法は、Sha1HashedPassword です。
15 SecurePin 認証方法は、セキュア PIN です。
16 SecurePinReset 認証方法は、セキュア PIN リセットです。
17 SAML20PostSimpleSign 認証方法は、SAML20PostSimpleSign です。
18 SAML20Post 認証方法は、SAML20Post です。
19 OneTimeCode 認証方法は、ワンタイム・コードです。

Azure Active Directory スキーマ

パラメーター 必須かどうか? 説明
Actor Collection(Self.IdentityTypeValuePair) いいえ アクションを実行したユーザーまたはサービス プリンシパル。
ActorContextId Edm.String いいえ アクターが属する組織の GUID。
ActorIpAddress Edm.String いいえ IPV4 または IPV6 アドレス形式の、アクターの IP アドレス。
InterSystemsId Edm.String いいえ Office 365 サービス内の複数のコンポーネント間でアクションを追跡する GUID。
IntraSystemsId Edm.String いいえ アクションを追跡するために Azure Active Directory で生成された GUID。
SupportTicketId Edm.String いいえ 「代理人」状態でのアクションのカスタマー サポート チケット ID。
Target Collection(Self.IdentityTypeValuePair) いいえ アクション (Operation プロパティで示される) の実行対象であったユーザー。
TargetContextId Edm.String いいえ 対象ユーザーが属する組織の GUID。

複合型 IdentityTypeValuePair

パラメーター 必須かどうか? 説明
ID Edm.String はい 種類を指定した ID の値。
種類 Self.IdentityType はい ID の種類。

列挙:IdentityType - タイプ:Edm.Int32

IdentityType

メンバー名 説明
クレーム ID は、認証目的の要求です。
Name 監査アクション アクターまたはターゲット ID の表示名。
Other アクターの ID は、Office 365 サービスによって生成された GUID の ObjectId などの、他の種類です。
PUID 監査アクション アクターまたはターゲット パスポートの固有 ID (PUID)。
SPN Office 365 サービスでアクションが実行される場合、サービス プリンシパルの ID。
UPN ユーザー プリンシパル名。

Azure Active Directory の Secure Token Service (STS) ログオン スキーマ

パラメーター 必須かどうか? 説明
ApplicationId Edm.String いいえ ログインを要求しているアプリケーションを表す GUID。 表示名は、Azure Active Directory グラフ API を使用して検索できます。
クライアント Edm.String いいえ ログインを実行するブラウザーが提供する、クライアント デバイス情報。
DeviceProperties Collection(Common.NameValuePair) いいえ このプロパティには、Id、表示名、OS、ブラウザー、IsCompliant、IsCompliantAndManaged、SessionId、DeviceTrustType など、さまざまなデバイスの詳細情報が含まれています。 DeviceTrustType プロパティには、次の値を設定できます。

0 - 登録Microsoft Entra
1 - Microsoft Entra参加済み
2 - ハイブリッド Microsoft Entra参加済み
ErrorCode Edm.String いいえ ログインに失敗した場合 (Operation プロパティの値がUserLoginFailed の場合)、このプロパティには Azure Active Directory STS (AADSTS) エラー コードが含まれます。 これらのエラー コードの説明については、認証および承認のエラー コードを参照してください。 0 の値は、ログインが成功したことを示します。
LogonError Edm.String いいえ ログインに失敗した場合、このプロパティには、ログインに失敗した理由のユーザーが読み取り可能な説明が含まれます。

DLP スキーマ

DLP イベントは、Exchange Online、Endpoint(devices)、SharePoint Online、OneDrive For Business で使用できます。 Exchange の DLP イベントは、統合された DLP ポリシーに基づいたイベント (セキュリティ/コンプライアンス センターで構成されたものなど) でのみ使用できます。 Exchange トランスポート ルールに基づく DLP イベントはサポートされていません。

共通スキーマでは、DLP (データ損失防止) イベントに必ず UserKey="DlpAgent" があります。 共通スキーマの Operation プロパティの値として格納される 3 種類の DLP イベントがあります。

  • DlpRuleMatch: ルールが一致したことを示します。 これらのイベントは、Exchange、Endpoint(devices)、SharePoint Online、OneDrive for Businessすべてに存在します。 Exchange では、誤検知と上書きの情報が含まれます。 SharePoint Online と OneDrive for Business では、誤検知と上書きは異なるイベントを生成します。

  • DlpRuleUndo: SharePoint Online と OneDrive for Business にのみ存在し、ユーザーによる対象の誤検知/上書きにより、またはドキュメントがポリシーの適用対象ではなくなった (ポリシーを変更したか、ドキュメントのコンテンツを変更したため) ことにより、以前に適用されたポリシー アクションが取り消された ("undone") ことを示します。

  • DlpInfo: SharePoint Online と OneDrive for Business にのみ存在し、対象を誤検知したものの、取り消された ("undone") アクションはないことを示します。

パラメーター 必須 説明
SharePointMetaData Self.SharePointMetadata いいえ 機密情報を含む SharePoint または OneDrive for Business 内のドキュメントに関するメタデータを記述します。
ExchangeMetaData Self.ExchangeMetadata いいえ 機密情報を含んだ電子メール メッセージに関するメタデータを記述します。
EndpointMetaData 自己。EndpointMetadata いいえ 機密情報を含むエンドポイント内のドキュメントに関するメタデータについて説明します
ExceptionInfo Edm.String いいえ ポリシーが適用されなくなった理由や、エンド ユーザーが記した誤検知や上書きに関する情報を識別します。
PolicyDetails Collection(Self.PolicyDetails) はい DLP イベントをトリガーした 1 つ以上のポリシーに関する情報。
SensitiveInfoDetectionIsIncluded ブール型 はい ソース コンテンツからの機密性の高いデータ型の値や周囲のコンテキストがイベントに含まれているかどうかを示します。 Azure Active Directory では、機密性の高いデータへのアクセスは「機密情報を含む DLP ポリシー イベントの読み取り」アクセス許可が必要です。

SharePointMetadata 複合型

パラメーター 必須かどうか? 説明
接続元 Edm.String はい イベントをトリガーしたユーザー。 これは、FileOwner、LastModifier、または LastSharer のいずれかになります。
itemCreationTime Edm.Date はい イベントのログの記録日時に関する UTC の Datetimestamp。
SiteCollectionGuid Edm.Guid はい サイト コレクションの GUID。
SiteCollectionUrl Edm.String はい SharePoint サイトの名前。
FileName Edm.String はい パスの名前。
FileOwner Edm.String はい ドキュメントの所有者。
FilePathUrl Edm.String はい 文書の URL。
DocumentLastModifier Edm.String はい 最後にドキュメントを変更したユーザー。
DocumentSharer Edm.String はい 最後にドキュメントの共有を変更したユーザー。
UniqueId Edm.String はい ファイルを識別する GUID。
LastModifiedTime Edm.DateTime はい ドキュメントの最終更新日時に関する UTC の Timestamp。
IsViewableByExternalUsers Edm.Boolean はい 外部ユーザーがファイルにアクセスできるかどうかを示します。

ExchangeMetadata 複合型

パラメーター 必須かどうか? 説明
MessageID Edm.String はい イベントをトリガーした電子メールのメッセージ ID。
送信元 Edm.String はい 電子メールを送信したユーザー。
宛先 Collection(Edm.String) いいえ メッセージの宛先行にあった電子メール アドレスのコレクション。
CC Collection(Edm.String) いいえ メッセージの CC 行にあった電子メール アドレスのコレクション。
BCC Collection(Edm.String) いいえ メッセージの BCC 行にあった電子メール アドレスのコレクション。
件名 Edm.String はい 電子メール メッセージの件名。
送信日時 Edm.DateTime はい 電子メールが送信された時の UTC の時間。
RecipientCount Edm.Int32 はい メッセージの宛先、CC、および BCC の各行に含まれるすべての受信者の合計数。

EndpointMetadata 複合型

パラメーター 必須かどうか? 説明
SensitiveInformation Collection(Self.SensitiveInformation) いいえ 検出された機密情報の種類に関する情報。
EnforcementMode Edm.String はい DLP ルールがそれぞれ audit/warn(block with override)/warn および bypass/block/allow(audit without alerts) を示す 1/2/3/4/5 に設定されているかどうかを示します。
FileExtension Edm.String いいえ 機密情報を含むドキュメントのファイル拡張子。
FileType Edm.String いいえ 機密情報を含むドキュメントのファイルの種類。
DeviceName Edm.String いいえ DLP ルールの一致が検出されたデバイスの名前。

PolicyDetails 複合型

パラメーター 必須かどうか? 説明
PolicyId Edm.Guid はい このイベントにおける DLP ポリシーの GUID。
PolicyName Edm.String はい このイベントにおける DLP ポリシーのフレンドリ名。
ルール Collection(Self.Rules) はい このイベントと一致したポリシー内のルールに関する情報。

ルール複合型

パラメーター 必須かどうか? 説明
RuleId Edm.Guid はい このイベントにおける DLP ルールの GUID。
RuleName Edm.String はい このイベントにおける DLP ルールの フレンドリ名。
アクション Collection(Edm.String) いいえ DLP RuleMatch イベントの結果として実行されたアクションのリスト。
OverriddenActions Collection(Edm.String) いいえ 以前に実行されたものの、DLPRuleUndo イベントによって取り消されたアクションのリスト。
重要度 Edm.String いいえ ルールの重要度 (低、中、高) が一致します。
RuleMode Edm.String はい DLP ルールが強制、通知を伴う監査、または監査のみのいずれに設定されているかを示します。
ConditionsMatched Self.ConditionsMatched いいえ このイベントと一致したルールの条件に関する詳細。

ConditionsMatched 複合型

パラメーター 必須かどうか? 説明
SensitiveInformation Collection(Self.SensitiveInformation) いいえ 検出された機密情報の種類に関する情報。
DocumentProperties Collection(NameValuePair) いいえ ルールの一致をトリガーしたドキュメント プロパティに関する情報。
OtherConditions Collection(NameValuePair) いいえ 一致した他のすべての条件を説明するキーと値の組み合わせリスト。

SensitiveInformation 複合型

パラメーター 必須かどうか? 説明
Confidence Edm.Int はい 機密情報の種類のすべての一致するパターンの集計された信頼度。
カウント Edm.Int はい 検出された機密性の高いインスタンスの合計数。
場所 Edm.String いいえ
SensitiveType Edm.Guid はい 検出された機密性の高いデータの種類を識別する GUID。
SensitiveInformationDetections Self.SensitiveInformationDetections いいえ 詳細 (一致した値と一致した値のコンテキスト) のある機密情報データを含むオブジェクトの配列。
SensitiveInformationDetailed
ClassificationAttributes
Collection(SensitiveInformationDetailed
ConfidenceLevelResult)
はい 3 つの信頼レベル (高、中、低) ごとに検出された機密情報の種類の数に関する情報。DLP ルールと一致するかどうか。
SensitiveInformationTypeName Edm.String いいえ 機密情報の種類の名前。
UniqueCount Edm.Int32 はい 一意の検出された機密性の高いインスタンスの数。

SensitiveInformationDetailedClassificationAttributes complex type

パラメーター 必須かどうか? 説明
Confidence Edm.int32 はい 検出されたパターンの信頼度レベル。
カウント Edm.Int32 はい 特定の信頼度レベルで検出された機密性の高いインスタンスの数。
IsMatch Edm.Boolean はい 指定のカウントと DLP ルールで検出された機密の種類の信頼度レベルの結果が一致するかどうかを示します。

SensitiveInformationDetections complex type

DLP 機密データは、「DLP 機密データの読み取り」アクセス許可が付与されたユーザーが、アクティビティ フィード API でのみ利用できます。

パラメーター 必須かどうか? 説明
DetectedValues Collection(Common.NameValuePair) はい 検出された機密情報の配列。 情報には、値 = 一致した値を持つキー値のペアが含まれています (例:クレジット カードの値) と Context = 一致した値を含むソース コンテンツからの抜粋。
ResultsTruncated Edm.Boolean はい 結果が多いためにログが切り捨てられたかどうかを示します。

ExceptionInfo 複合型

パラメーター 必須かどうか? 説明
理由 Edm.String いいえ For a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change
FalsePositive Edm.Boolean いいえ ユーザーが誤検知としてこのイベントを指定したかどうかを示します。
妥当性 Edm.String いいえ ユーザーがポリシーを上書きすることにした場合、ユーザーによる指定の妥当性をここで確認できます。
ルール Collection(Edm.Guid) いいえ 誤検知または上書き、もしくはアクションが取り消されるものとして指定された各ルールの GUID のコレクション。

セキュリティ/コンプライアンス センター スキーマ

パラメーター 必須 説明
StartTime Edm.Date いいえ コマンドレットが実行された日付と時刻。
ClientRequestId Edm.String いいえ このコマンドレットを、セキュリティ センターとコンプライアンス センターの UX 操作と関連付けるために使用できる GUID。 この情報は Microsoft サポートによってのみ使用されます。
CmdletVersion Edm.String いいえ 実行された時のコマンドレットのビルド バージョン。
EffectiveOrganization Edm.String いいえ コマンドレットの影響を受けた組織の GUID。 (非推奨:このパラメーターは将来的になくなります。)
UserServicePlan Edm.String いいえ コマンドレットを実行したユーザーに割り当てられる Exchange Online Protection サービス プラン。
ClientApplication Edm.String いいえ コマンドレットが (リモート PowerShell とは対照的に) アプリケーションによって実行された場合、このフィールドにはそのアプリケーションの名前が含まれます。
パラメーター Edm.String いいえ 個人を特定できる情報を含まないコマンドレットで使用されたパラメーターの名前と値。
NonPiiParameters Edm.String いいえ 個人を特定できる情報を含むコマンドレットで使用されたパラメーターの名前と値。 (非推奨: このフィールドは将来的になくなり、そのコンテンツはパラメーター フィールドと結合されます。)

セキュリティとコンプライアンスのアラート スキーマ

アラートの通知には、次のものが含まれます。

これらのイベントの UserId と UserKey は、常に SecurityComplianceAlerts になります。 共通スキーマの Operation プロパティの値として格納される 3 種類の警告イベントがあります。

  • AlertTriggered: 新しいアラートがポリシーとの一致によって生成されている。

  • AlertEntityGenerated: 新しいエンティティがアラートに追加されている。 このイベントは、セキュリティ/コンプライアンス センターの警告 ポリシーに基づいて生成された警告にのみ適用されます。 生成されたアラートごとに、これらのイベントが 1 つまたは複数関連付けられます。 たとえば、いずれかのユーザーが 5 分以内に 100 ファイル以上削除したときに、アラートをトリガーするポリシーが定義されているとします。 2 人のユーザーがほとんど同時にしきい値を超えた場合、AlertEntityGenerated イベントは 2 つになりますが、AlertTriggered イベントは 1 つのみになります。

  • AlertUpdated - 警告のメタデータが更新されました。 このイベントは、警告のステータスが変更されたとき(例えば、「アクティブ」から「解決済み」に)、誰かが警告にコメントを追加したときにログに記録されます。

パラメーター 必須 Description
AlertId Edm.Guid はい アラートの GUID。
AlertType Self.String はい アラートの種類。 アラートの種類には、次のものが含まれます。
  • System
  • Custom
Name Edm.String はい アラートの名前。
PolicyId Edm.Guid いいえ アラートをトリガーしたポリシーの GUID。
Status Edm.String いいえ アラートの状態。 状態には、次のものが含まれます。
  • Active

  • Investigating
  • Resolved
  • Dismissed
重要度 Edm.String いいえ アラートの重大度。 重大度レベルには、次のものが含まれます。
カテゴリ Edm.String いいえ アラートのカテゴリ。 カテゴリには、次のものが含まれます。
  • AccessGovernance
  • DataGovernance
  • DataLossPrevention
  • InsiderRiskManagement
  • MailFlow
  • ThreatManagement
  • その他
Source Edm.String いいえ アラートのソース。 ソースには、次のものが含まれます。
  • Office 365 セキュリティ/コンプライアンス
  • Cloud App Security
Comments Edm.String いいえ アラートが表示されたユーザーが残したコメント。 既定は、"New alert" です。
Data Edm.String いいえ アラートまたはアラート エンティティの詳細データ BLOB。
AlertEntityId Edm.String いいえ アラート エンティティの識別子。 このパラメーターは、AlertEntityGenerated イベントにのみ適用されます。
EntityType Edm.String いいえ アラートまたはアラート エンティティの種類。 エンティティの種類には、次のものが含まれます。
  • User
  • Recipients
  • Sender
  • MalwareFamily
このパラメーターは、AlertEntityGenerated イベントにのみ適用されます。

Yammer スキーマ

セキュリティ/コンプライアンス センターで監査ログを検索する」にリストされている Yammer イベントは、このスキーマを使用します。

パラメーター 必須 説明
ActorUserId Edm.String いいえ 操作を実行したユーザーの電子メール。
ActorYammerUserId Edm.Int64 いいえ 操作を実行したユーザーの ID。
DataExportType Edm.String いいえ データのエクスポートにメッセージ、メモ、ファイル、トピック、ユーザー、およびグループが含まれている場合は "data" を返します。データのエクスポートにユーザーのみが含まれている場合は "user" を返します。
FileId Edm.Int64 いいえ 操作中のファイルの ID。
FileName Edm.String いいえ 操作中のファイルの名前。 操作に関係のない場合は空白が表示されます。
GroupName Edm.String いいえ 操作中のグループの名前。 操作に関係のない場合は空白が表示されます。
IsSoftDelete Edm.Boolean いいえ ネットワークのデータ保持ポリシーが論理的な削除に設定されている場合は "true" を返します。ネットワークのデータ保持ポリシーが物理的な削除に設定されている場合は "false" を返します。
MessageId Edm.Int64 いいえ 操作中のメッセージの ID。
ModifiedProperties Collection(ModifiedProperty) いいえ 変更されたプロパティの名前、変更されたオブジェクトの新しい値、および変更されたオブジェクトの以前の値が含まれます。
YammerNetworkId Edm.Int64 いいえ 操作を実行したユーザーのネットワーク ID。
TargetObjectId Edm.String いいえ 操作の対象ユーザーの Entra Id。
TargetUserId Edm.String いいえ 操作中のターゲット ユーザーのメール アドレス。 操作に関係のない場合は空白が表示されます。
TargetYammerUserId Edm.Int64 いいえ 操作中のターゲット ユーザーの ID。
ThreadId Edm.Int64 いいえ 操作のメッセージ スレッドの ID。
VersionId Edm.Int64 いいえ 操作中のファイルのバージョン ID。

データ センター セキュリティ基本スキーマ

パラメーター 必須かどうか? 説明
DataCenterSecurityEventType Self.DataCenterSecurityEventType はい ロック ボックス内のコマンドレット イベントのタイプ。

列挙:DataCenterSecurityEventType - タイプ:Edm.Int32

DataCenterSecurityEventType

メンバー名 説明
DataCenterSecurityCmdletAuditEvent これは、コマンドレット監査タイプ イベントの列挙型の値です。

データ センター セキュリティ コマンドレット スキーマ

パラメーター 必須かどうか? 説明
StartTime Edm.Date はい コマンドレット実行の開始時刻。
EffectiveOrganization Edm.String はい 昇格/コマンドレットの対象とされたテナントの名前。
ElevationTime Edm.Date はい イベントの開始時刻。
ElevationApprover Edm.String はい Microsoft 管理者の名前。
ElevationApprovedTime Edm.Date いいえ 昇格が承認されたときのタイムスタンプ。
ElevationRequestId Edm.Guid はい 昇格要求の一意識別子。
ElevationRole Edm.String いいえ 昇格が要求されたロール。
ElevationDuration Edm.Int32 はい 昇格がアクティブであった期間。
GenericInfo Edm.String いいえ コメントやその他の一般的な情報に使用されます。

Microsoft Teams スキーマ

パラメーター 必須かどうか? 説明
Action Edm.String 不要 共有チャネル イベントの場合、チーム招待との共有のために招待者またはチャネル所有者が実行するアクション。
AddOnGuid Edm.Guid いいえ イベントを生成したアドオンの一意識別子。
AddOnName Edm.String 不要 イベントを生成したアドオンの名前。
AddOnType Self.AddOnType いいえ このイベントを生成したアドオンの種類。
ChannelGuid Edm.Guid いいえ 監査対象のチャネルの一意識別子。
ChannelName Edm.String いいえ 監査対象のチャネルの名前。
ChannelType Edm.String いいえ 監査対象のチャネルの種類 (標準/プライベート)。 
ExtraProperties Collection(Self.KeyValuePair) いいえ 追加のプロパティのリスト。
HostedContents Collection(Self.HostedContent) いいえ チャットまたはチャネル メッセージでホストされるコンテンツのコレクション。
招待者 Edm.String 不要 共有チャネル イベントの場合、チーム招待との共有の招待を承認または拒否する招待チーム所有者のUPN。
メンバー Collection(Self.MicrosoftTeamsMember) いいえ チーム内のユーザーの一覧。
MessageId Edm.String いいえ チャットまたはチャネル メッセージの識別子。
MessageURLs Edm.String いいえ Teams メッセージで送信される URL に表示します。
メッセージ Collection(Self.Message) いいえ チャットまたはチャネル メッセージのコレクション。
MessageSizeInBytes Edm.Int64 いいえ UTF-16 エンコードを使用したチャットまたはチャネル メッセージのサイズ (バイト単位)。
名前 Edm.String いいえ 設定のイベントにのみ存在します。 変更された設定の名前。
NewValue Edm.String いいえ 設定のイベントにのみ存在します。 設定の新しい値。
OldValue Edm.String いいえ 設定のイベントにのみ存在します。 設定の以前の値。
SubscriptionId Edm.String いいえ Microsoft Graph 変更通知サブスクリプションの一意識別子。
TabType Edm.String いいえ タブ イベントにのみ存在します。 イベントを生成したタブの種類。
TeamGuid Edm.Guid いいえ 監査対象のチームの一意識別子。
TeamName Edm.String いいえ 監査対象のチームの名前。

MicrosoftTeamsMember complex type

パラメーター 必須かどうか? 説明
UPN Edm.String いいえ ユーザーのユーザー プリンシパル名。
Role Self.MemberRoleType いいえ チーム内のユーザーの役割。
DisplayName Edm.String いいえ ユーザーの表示名。

列挙値: MemberRoleType - 型: Edm.Int32

MemberRoleType

メンバー名 説明
0 Member チームのメンバーであるユーザー。
1 Owner チームの所有者であるユーザー。
2 Guest チームのメンバーでないユーザー。

KeyValuePair 複合型

パラメーター 必須かどうか? 説明
キー Edm.String いいえ キーと値のペアのキー。
Edm.String いいえ キーと値のペアの値。

列挙型: AddOnType - 型: Edm.Int32

AddOnType

メンバー名 説明
1 Bot Microsoft Teams ボット。
2 Connector Microsoft Teams コネクタ。
3 Tab Microsoft Teams タブ。

HostedContent 複合型

パラメーター 必須かどうか? 説明
ID Edm.String はい メッセージでホストされるコンテンツの一意の識別子。
SizeInBytes Edm.Int64 いいえ メッセージでホストされるコンテンツ サイズ (バイト単位)。

メッセージ複合型

パラメーター 必須かどうか? 説明
AADGroupId Edm.String いいえ メッセージが属する Azure Active Directory 内のグループの一意識別子。
ID Edm.String はい チャットまたはチャネル メッセージの一意識別子。
ChannelGuid Edm.String いいえ メッセージが属するチャネルの一意識別子。
ChannelName Edm.String いいえ メッセージが属するチャネルの名前。
ChannelType Edm.String いいえ メッセージが属するチャネルの種類。
ChatName Edm.String いいえ メッセージが属するチャットの名前。
ChatThreadId Edm.String いいえ メッセージが属するチャットの一意識別子。
ParentMessageId Edm.String いいえ 親チャットまたはチャネル メッセージの一意識別子。
SizeInBytes Edm.Int64 いいえ UTF-16 エンコードを使用したメッセージのサイズ (バイト単位)。
TeamGuid Edm.String いいえ メッセージが属するチームの一意識別子。
TeamName Edm.String いいえ メッセージが属するチームの名前。
バージョン Edm.String いいえ チャットまたはチャネル メッセージのバージョン。

Microsoft Defender for Office 365 および脅威の調査と対応スキーマ

Microsoft Defender for Office 365 と脅威の調査および対応のイベントは、Defender for Office 365 Plan 1、Defender for Office 365 Plan 2、またはE5サブスクリプションをお持ちの Office 365 のお客様にご利用いただけます。 Defender for Office 365 フィードの各イベントは、脅威が含まれていると判断された次のイベントに対応しています。

  • 配信時および Zero-hour Auto Purge によってメッセージに対する検出が行われた、組織内のユーザーが送信または受信する電子メール メッセージ。

  • Defender for Office 365 の安全なリンクの保護に基づいてクリック時に悪意があるとして検出された組織内のユーザーがクリックした URL。

  • Microsoft Defender for Office 365 により悪意があるとして検出された SharePoint Online、OneDrive for Business、または Microsoft Teams 内のファイル。

  • トリガーされ、自動調査を開始したアラート。

注:

Microsoft Defender for Office 365 および Office 365 脅威の調査および対応(旧称Office 365 Threat Intelligence)機能は、追加の脅威保護機能を備えたDefender for Office 365 Plan2の一部になりました。 詳細については、「Microsoft Defender for Office 365 のプランと価格」および「Defender for Office 365 サービス説明書」を参照してください。

電子メール メッセージ イベント

パラメーター 必須かどうか? 説明
AttachmentData Collection(Self.AttachmentData) いいえ イベントをトリガーした電子メール メッセージの添付ファイルに関するデータ。
DetectionType Edm.String はい 検出タイプ (例: Inline - 配信時に検出、Delayed - 配布後に検出、ZAP - Zero hour auto purge によって削除されたメッセージ)。 ZAP の検出タイプのイベントの前には、通常、Delayed 検出タイプのメッセージが表示されます。
DetectionMethod Edm.String はい Defender for Office 365 で検出に使用されるメソッドまたはテクノロジ。
InternetMessageId Edm.String はい インターネット メッセージ ID。
NetworkMessageId Edm.String はい Exchange Online のネットワーク メッセージ ID。
P1Sender Edm.String はい 電子メール メッセージの送信者の返信先。
P2Sender Edm.String はい 電子メール メッセージの送信者。
ポリシー Self.Policy はい メール メッセージに関連するフィルタリング ポリシーのタイプ (スパム対策フィッシング対策など) および関連するアクションタイプ (高確度スパムスパムフィッシングなど)。
ポリシー Self.PolicyAction はい メール メッセージに関連するフィルタリング ポリシーで構成されたアクション (たとえば、迷惑メールフォルダーに移動または検疫)。
P2Sender Edm.String はい 電子メール メッセージの送信者
受信者 Collection(Edm.String) はい 電子メール メッセージの受信者の配列。
SenderIp Edm.String はい Office 365 の電子メールを送信した IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
件名 Edm.String はい メッセージの件名。
Verdict Edm.String はい メッセージの判定。
MessageTime Edm.Date はい メール メッセージが受信または送信された、協定世界時 (UTC) での日時。
EventDeepLink Edm.String はい エクスプローラーのメール イベントまたは Office 365 セキュリティ/コンプライアンス センターのリアルタイム レポートへのディープリンク。
配信アクション Edm.String はい メール メッセージの元の配信操作。
元の配信場所 Edm.String はい メール メッセージの元の配信場所。
最新の配信場所 Edm.String はい イベントの時点でのメール メッセージの最新の配信場所。
方向性 Edm.String はい メール メッセージが受信、送信、または内部組織のメッセージであるかどうかを識別します。
ThreatsAndDetectionTech Edm.String はい 脅威と対応する検出テクノロジ。 このフィールドは、スパム判定に対する最新の追加を含む、メール メッセージのすべての脅威を公開します。  たとえば、["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"。 異なる検出の脅威と検出テクノロジを以下に示します。
AdditionalActionsAndResults Collection(Edm.String) いいえ ZAP や手動での修復など、メールに対して行われた追加アクション。 また、対応する結果も含まれます。
コネクタ Edm.String いいえ メールに関連するコネクターの名前と GUID。
AuthDetails Collection(Self.AuthDetails) いいえ メールに対して行われる認証チェックです。 また、SPF、DKIM、DMARC、および CompAuth の値も含まれます。
SystemOverrides Collection(Self.SystemOverrides) いいえ メールに適用可能なオーバーライド。 これらは、システムまたはユーザーによるオーバーライドが可能です。
フィッシング信頼度レベル Edm.String いいえ フィッシング判定に関連した信頼度を示します。 「標準」または「高」にすることができます。

注:

新しい ThreatsAndDetectionTech フィールドは、複数の判定と更新された検出テクノロジを示すので、使用することをお勧めします。 このフィールドは、脅威エクスプローラーや高度な検出などの他のエクスペリエンス内で表示される値と一致します。

検出技術

名前 説明
高度なフィルター 機械学習に基づくフィッシング シグナル。
マルウェア対策エンジン マルウェア対策エンジンによる検出。
キャンペーン キャンペーンの一部として識別されたメッセージ。
ドメインの評価 ドメインの評価に基づく分析。
ファイルのデトネーション デトネートされた分析の間、添付ファイルが悪い可能性が見つかりました。
ファイルのデトネーションの評価 以前のデトネーション評価が原因で、添付ファイルが悪質としてマークされました。
ファイルの評価 添付ファイルは、評価が悪いので悪質マークを付けられました。
指紋の一致 以前のメッセージが原因で、そのメッセージが悪質としてマークされた。
一般的なフィルター ルールに基づくフィッシング シグナル。
偽装ブランド 添付ファイルのファイルの種類。
偽装ドメイン 顧客が所有または定義しているドメインの偽装。
偽装ユーザー 管理者によって定義された、またはメールボックス インテリジェンス経由で理解されたユーザーの偽装。
メールボックス インテリジェンス偽装 メールボックス インテリジェンスに基づく偽装。
複合分析の検出 複数のフィルターがこのメッセージの判定に貢献しました。
スプーフィング DMARC メッセージに対する DMARC 認証エラー。
外部ドメインになりすます 送信者が、他のドメインのなりすましを試みしています。
組織内のなりすまし 送信者が受信者のドメインになりすましています。
URL のデトネーション 以前の悪意のある URL のデトネーションが原因で、メッセージが悪質と見なされました。
URL のデトネーションの評価 メッセージは、悪意のある URL のデトネーションのために、悪いと見なされました。
URL に悪意があるとする評価 悪意のある URL が原因でメッセージが悪質と見なされました。

AttachmentData complex type

AttachmentData

パラメーター 必須かどうか? 説明
FileName Edm.String はい 添付ファイルのファイル名。
FileType Edm.String はい 添付ファイルのファイルの種類。
FileVerdict Self.FileVerdict はい ファイルのマルウェア判定。
MalwareFamily Edm.String いいえ ファイルのマルウェア ファミリ。
SHA256 Edm.String はい ファイルの SHA256 ハッシュ。

注:

マルウェア ファミリ内では、正確な MalwareFamily 名 (HTML/フィッシング.VS! など) を確認できます。MSR) または悪意のあるペイロードを静的な文字列として指定します。 特定の名前が認識されていない場合、悪意のあるペイロードは引き続き悪意のあるメールとして扱う必要があります。

SystemOverrides 複合型

SystemOverrides

パラメーター 必須かどうか? 説明
詳細 Edm.String いいえ 適用された特定のオーバーライド (ETR や Safe Sender など) に関する詳細です。
FinalOverride Edm.String いいえ 複数のオーバーライドがある場合に、配信に影響を与えるオーバーライドを示します。
結果 Edm.String いいえ メールがオーバーライドに基づいて許可またはブロックに設定されたかどうかを示します。
Source Edm.String いいえ オーバーライドがユーザー構成によるものか、テナント構成によるものかを示します。

AuthDetails 複合型

AuthDetails

パラメーター 必須かどうか? 説明
名前 Edm.String いいえ DKIM や DMARC など、特定の認証チェックの名前です。
Edm.String いいえ 特定の認証チェックに関連する値 (True や False など)。

列挙値: FileVerdict - 型: Edm.Int32

FileVerdict

メンバー名 説明
0 Good 脅威は検出されませんでした。
1 Bad 添付ファイルにマルウェアが見つかりました。
-1 Error スキャン/分析のエラー。
-2 Timeout スキャン/分析のタイムアウト。
-3 Pending スキャン/分析が完了していません。

列挙値: Policy - 型: Edm.Int32

ポリシー タイプおよびアクション タイプ

メンバー名 説明
1 スパム対策、HSPM スパム対策ポリシーの高確度スパム (HSPM) アクション。
2 スパム対策、SPM スパム対策ポリシーのスパム (SPM) アクション。
3 スパム対策、バルク スパム対策ポリシーのバルク アクション。
4 スパム対策、PHSH スパム対策ポリシーのフィッシング (PHSH) アクション。
5 フィッシング対策、DIMP フィッシング対策ポリシーのドメイン偽装 (DIMP) アクション。
6 フィッシング対策、UIMP フィッシング対策ポリシーのユーザー偽装 (UIMP) アクション。
7 フィッシング対策、SPOOF フィッシング対策ポリシーのスプーフィング アクション。
8 フィッシング対策、GIMP フィッシング対策ポリシーのメールボックス インテリジェンス アクション。
9 マルウェア対策、AMP マルウェア対策ポリシーのマルウェア ポリシー アクション。
10 安全な添付ファイル、SAP Defender for Office 365 ポリシーの、安全な添付ファイルのポリシー アクション。
11 Exchange トランスポート ルール、ETR Exchange トランスポート ルールのポリシー アクション。
12 マルウェア対策、ZAPM ゼロアワー自動消去 (ZAP) に適用されるマルウェア対策ポリシーのマルウェア対策ポリシー アクション。
13 フィッシング対策、ZAPP ZAP に適用されるフィッシング対策のフィッシング詐欺ポリシー アクション。
14 フィッシング対策、ZAPS ZAP に適用されるスパム対策 ポリシーの迷惑メール ポリシー アクション。
15 スパム対策、高確度フィッシング メール (HPHISH) スパム対策ポリシーの高確度フィッシング ポリシー アクション。
17 スパム対策、送信スパム ポリシー (OSPM) スパム対策の送信スパム フィルター ポリシーのポリシー アクション。

列挙値: PolicyAction - 型: Edm.Int32

ポリシー アクション

メンバー名 説明
0 MoveToJMF 迷惑メールフォルダーに移動するポリシー アクション。
1 AddXHeader メール メッセージに X-header を追加するポリシー アクション。
2 ModifySubject フィルタリング ポリシーで指定された情報でメール メッセージの件名を変更するポリシー アクション。
3 Redirect フィルタリング ポリシーで指定されたメール アドレスにメール メッセージをリダイレクトするポリシー アクション。
4 Delete メール メッセージを削除 (ドロップ) するポリシー アクション。
5 Quarantine メール メッセージを隔離するポリシー アクション。
6 NoAction メール メッセージに対してアクションを実行しないように構成されたポリシー。
7 BccMessage フィルタリング ポリシーで指定されたメール アドレスにメール メッセージを Bcc するポリシー アクション。
8 ReplaceAttachment ポリシーアクションとは、フィルタリング ポリシーで指定されたメールメッセージの添付ファイルを置き換えることです。

URL time-of-click イベント

パラメーター 必須かどうか? 説明
UserId Edm.String はい URL をクリックしたユーザーの識別子 (例: 電子メール アドレス)。
AppName Edm.String はい URL がクリックされた Office 365 サービス (例: Outlook メール)。
URLClickAction Self.URLClickAction はい Defender for Office 365 の安全なリンクに関する組織のポリシーに基づいた、URL のクリック アクション。
SourceId Edm.String はい URL がクリックされた Office 365 サービスの識別子 (例: メールの場合、これは Exchange Online のネットワーク メッセージ ID)。
TimeOfClick Edm.Date はい ユーザーが URL をクリックした、世界協定時刻 (UTC) での日時。
URL Edm.String はい ユーザーがクリックした URL。
UserIp Edm.String はい URL をクリックしたユーザーの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。

列挙値: URLClickAction - タイプ: Edm.Int32

URLClickAction

メンバー名 説明
2 Blockpage Defender for Office 365 の安全なリンク機能により、ユーザーが URL に移動することがブロックされました。
3 PendingDetonationPage Defender for Office 365 の安全なリンク機能により、ユーザーに分析保留中のページが表示されました。
4 BlockPageOverride Defender for Office 365 の安全なリンク機能により、ユーザーが URL に移動することがブロックされましたが、ユーザーは URL に移動するためにブロックをオーバーライドしました。
5 PendingDetonationPageOverride Defender for Office 365 の安全なリンク機能により、ユーザーに分析保留中のページが表示されましたが、ユーザーは URL に移動するためにオーバーライドしました。

ファイルのイベント

パラメーター 必須かどうか? 説明
FileData Self.FileData はい イベントをトリガーしたファイルに関するデータ。
SourceWorkload Self.SourceWorkload はい ファイルが見つかったワークロードやサービス (例: SharePoint Online、OneDrive for Business、Microsoft Teams など)
DetectionMethod Edm.String はい Microsoft Defender for Office 365 で検出に使用されるメソッドまたはテクノロジ。
LastModifiedDate Edm.Date はい ファイルが作成または最後に変更された、世界協定時刻 (UTC) での日時。
LastModifiedBy Edm.String はい ファイルを作成または最後に変更したユーザーの識別子 (例: メール アドレス)。
EventDeepLink Edm.String はい エクスプローラーのファイル イベントまたはセキュリティ/コンプライアンス センターのリアルタイム レポートへのディープリンク。

FileData 複合型

FileData

パラメーター 必須かどうか? 説明
DocumentId Edm.String はい SharePoint、OneDrive、または Microsoft Teams のファイルの一意の識別子。
FileName Edm.String はい イベントをトリガーしたファイルの名前。
FilePath Edm.String はい SharePoint、OneDrive、または Microsoft Teams のファイルへのパス (場所)。
FileVerdict Self.FileVerdict はい ファイルのマルウェア判定。
MalwareFamily Edm.String いいえ ファイルのマルウェア ファミリ。
SHA256 Edm.String はい ファイルの SHA256 ハッシュ。
FileSize Edm.String はい ファイルのサイズ (バイト単位)。

列挙値: SourceWorkload - タイプ: Edm.Int32

SourceWorkload

メンバー名
0 SharePoint Online
1 OneDrive for Business
2 Microsoft Teams

報告スキーマ

報告イベントは、セキュリティを備えるためすべての Office 365 カスタマーが利用できます。 これには、Exchange Online Protection と Office 365 Advanced Threat Protection を使用する組織が含まれます。 報告フィードの各イベントは、以下のとおり報告された偽陽性または偽陰性に対応しています。

  • 管理者による報告。 分析のために Microsoft に報告されたメッセージ、ファイル、または URL。
  • ユーザー報告による項目。 レビューのためにエンド ユーザーから管理者や Microsoft に報告されたメッセージ。

報告イベント

パラメーター 必須かどうか? 説明
AdminSubmissionRegistered Edm.String いいえ 管理者の報告が登録され、処理が承認待ちになっています。
AdminSubmissionDeliveryCheck Edm.String いいえ 管理者報告システムがメールのポリシーを確認しました。
AdminSubmissionSubmitting Edm.String いいえ 管理者報告システムがメールを送信しています。
AdminSubmissionSubmitted Edm.String いいえ 管理者報告システムがメールを送信しました。
AdminSubmissionTriage Edm.String いいえ 管理者による報告はグレーダーによってトリアージ済みです。
AdminSubmissionTimeout Edm.String いいえ 管理者による報告は、結果がないままタイムアウトしています。
UserSubmission Edm.String いいえ 報告は、エンド ユーザーからの最初の報告です。
UserSubmissionTriage Edm.String いいえ ユーザーによる報告はグレーダーによってトリアージ済みです。
CustomSubmission Edm.String いいえ ユーザーが報告したメッセージが、ユーザーが報告したメッセージ設定の設定として組織のカスタム メールボックスに送信されていました。
AttackSimUserSubmission Edm.String いいえ ユーザーが報告したメッセージは、実際には、フィッシング シミュレーションのトレーニング メッセージでした。
AdminSubmissionTablAllow Edm.String いいえ 報告時に、再スキャン中に類似したメッセージにすぐに対応するための許可が作成されました。
SubmissionNotification Edm.String いいえ 管理者のフィードバックがエンド ユーザーに送信されます。

Office 365 の自動調査および対応イベント

Office 365 自动调查和响应 (AIR) 事件适用于订阅了 Microsoft Defender for Office 365 计划 2 或 Office 365 E5 的 Office 365 客户。 調査イベントは調査ステータスの変更に基づいてログに記録されます。 たとえば、管理者が [保留中のアクション] の調査ステータスを [完了] に変更する操作を行うと、イベントがログに記録されます。

現在のところ、自動調査のみがログに記録されます (手動で生成された調査のイベントは間もなく発生します)。次のステータス値がログに記録されます。

  • 調査が開始しました
  • 脅威は検出されませんでした
  • システムによって終了されました
  • 保留中のアクション
  • 脅威が検出されました
  • 修復済み
  • 失敗
  • スロットルにより終了しました
  • ユーザーによって終了されました
  • 実行中

主要な調査スキーマ

名前 説明
InvestigationId Edm.String 調査 ID/GUID。
InvestigationName Edm.String 調査の名前。
InvestigationType Edm.String 調査の種類。 次のいずれかの値を指定できます。
- ユーザーが報告したメッセージ
- zapped マルウェア
- zapped フィッシング
- URL の判定変更

(現在手動調査は利用できません。まもなく提供開始予定です)

LastUpdateTimeUtc Edm.Date 調査のための最後の更新の UTC 時刻。
StartTimeUtc Edm.Date 調査の開始時刻。
状態 Edm.String 調査、実行中、保留中のアクションなどの状態。
DeeplinkURL Edm.String セキュリティ & コンプライアンス センター Office 365調査へのディープ リンク URL。
Actions Collection (Edm.String) 調査によって推奨されるアクションのコレクション。
データ Edm.String 調査エンティティの詳細、調査に関連するアラートの情報が含まれているデータ文字列。 エンティティはデータ blob 内の個別のノードで使用できます。

Actions

Field 種類 説明
ID Edm.String 操作 ID
ActionType Edm.String 電子メールの修復など、アクションの種類。
ActionStatus Edm.String 値は次のとおりです。
- 保留中
- 実行中
- リソースの待機中
- 完了
- 失敗
ApprovedBy Edm.String 自動承認された場合は null 値、それ以外の場合はユーザー名または ID (まもなく対応予定)
TimestampUtc Edm.DateTime アクションの状態の変更のタイムスタンプ。
ActionId Edm.String アクションの一意識別子。
InvestigationId Edm.String 調査のための一意の識別子。
RelatedAlertIds Collection(Edm.String) 調査に関連するアラート。
StartTimeUtc Edm.DateTime アクション作成のタイムスタンプ。
EndTimeUtc Edm.DateTime アクションの最終状態の更新タイムスタンプ。
リソース識別子 Edm.String Azure Active Directory のテナント ID で構成されます。
Entities Collection(Edm.String) 影響を受ける 1 つ以上のエンティティをアクション別に一覧表示します。
関連するアラート ID Edm.String 調査に関連するアラート。

Entities

MailMessage (電子メール)

Field 種類 説明
Type Edm.String "mail-message"
Files Collection (Self.File) このメッセージの添付ファイルの詳細。
Recipient Edm.String このメール メッセージの受信者。
Urls Collection(Self.URL) このメール メッセージに含まれる URL。
Sender Edm.String 送信者のメール アドレス。
SenderIP Edm.String 送信者の IP アドレス。
ReceivedDate Edm.DateTime このメッセージの受信日。
NetworkMessageId Edm.Guid このメール メッセージのネットワーク メッセージ ID。
InternetMessageId Edm.String このメール メッセージのインターネット メッセージ ID。
件名 Edm.String このメール メッセージの件名。

IP

Field 種類 説明
Type Edm.String "ip"
Address Edm.String 127.0.0.1などの文字列としての IP アドレス。

URL

Field 種類 説明
Type Edm.String "url"
Url Edm.String エンティティが指す完全な URL。

Mailbox (ユーザーにも相当)

Field 種類 説明
Type Edm.String "mailbox"
MailboxPrimaryAddress Edm.String メールボックスのプライマリ アドレス。
DisplayName Edm.String メールボックスの表示名。
Upn Edm.String メールボックスの UPN。

File

Field 種類 説明
Type Edm.String "file"
Name Edm.String パスのないファイル名。
FileHashes Collection (Edm.String) ファイルに関連付けられているファイル ハッシュ。

FileHash

Field 種類 説明
Type Edm.String "filehash"
Algorithm Edm.String ハッシュ アルゴリズムの種類は、次のいずれかの値になります。
- Unknown
- MD5
- SHA1
- SHA256
- SHA256AC
Value Edm.String ハッシュ値。

MailCluster

Field 種類 説明
Type Edm.String "MailCluster"
説明するエンティティの種類を決定します。
NetworkMessageIds Collection (Edm.String) メール クラスターの一部であるメール メッセージ ID の一覧。
CountByDeliveryStatus Collections (Edm.String) DeliveryStatus 文字列表現によるメール メッセージの数。
CountByThreatType Collections (Edm.String) ThreatType 文字列表現によるメール メッセージの数。
Threats Collections (Edm.String) メール クラスターに含まれているメール メッセージの脅威。 脅威にはフィッシングやマルウェアなどの値が含まれます。
Query Edm.String メール クラスターのメッセージを識別するために使用されたクエリ。
QueryTime Edm.DateTime クエリ時刻。
MailCount Edm.int メール クラスターの一部であるメール メッセージの数。
ソース String メール クラスターのソース、クラスター ソースの値。

検疫イベント スキーマ

検疫イベントは送信スパム保護に関係しています。 これらのイベントは、メールの送信を制限されているユーザーに関係します。 詳細については、以下を参照してください。

パラメーター 必須かどうか? 説明
監査 Edm.String いいえ 検疫イベントに関連するシステム情報。
イベント Edm.String いいえ 検疫イベントの種類。 このパラメーターの有効な値は、一覧表示また一覧から除外です。
EventId Edm.Int64 いいえ 検疫イベントの種類の ID。
EventValue Edm.String いいえ 影響を受けたユーザー。
理由 Edm.String いいえ 検疫イベントの詳細。

Power BI スキーマ

Office 365 プロテクション センターでの監査ログの検索」にリストされている Power BI イベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
AppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したアプリの名前です。
DashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したダッシュ ボードの名前です。
DataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したダッシュボードのデータの分類 (存在する場合)。
DatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したデータセットの名前です。
MembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ グループのメンバーシップ情報。
OrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 組織のアプリのアクセス許可の一覧 (組織全体、特定のユーザー、特定のグループ)。
ReportName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したレポートの名前です。
SharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 共有の招待を送るユーザーについての情報。
SwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ さまざまなテナント レベル切り替えの状態についての情報。
WorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ イベントが発生したワークスペースの名前です。

MembershipInformationType 複合型

パラメーター 必須かどうか? 説明
MemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ グループの電子メール アドレス。
状態 Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 現在、入力されていません。

SharingInformationType 複合型

パラメーター 必須かどうか? 説明
RecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 共有の招待の受信者の電子メール アドレス。
RecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 共有の招待の受信者の名前。
ResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" いいえ 受信者にアクセス許可が付与されています。

Dynamics 365 スキーマ

Dynamics 365 イベントのモデル駆動型アプリに関連するイベントの監査レコードは、基本スキーマとエンティティオペレーションスキーマの両方を使用します。 詳細については、「アクティビティログを有効にして使用する」を参照してください。

Dynamics 365 基本スキーマ

パラメーター 必須かどうか? 説明
CrmOrganizationUniqueName Edm.String はい 組織の一意の名前。
InstanceUrl Edm.String はい インスタンスの URL。
ItemUrl Edm.String いいえ ログを発行しているレコードへのURL。
ItemType Edm.String いいえ エンティティの名前。
UserAgent Edm.String いいえ 組織内のユーザー GUID の一意の識別子。
フィールド Collection(Common.NameValuePair) いいえ 作成または更新されたプロパティのキーと値のペアを含む JSON オブジェクト。

Dynamics 365 エンティティ操作スキーマ

Dynamics 365 のモデル駆動型アプリからのエンティティイベントは、このスキーマを使用して、Dynamics 36 5基本スキーマに基づいて構築します。 このスキーマには、監査イベントをトリガーしたエンティティ操作に関する情報が含まれています。

パラメーター 必須かどうか? 説明
EntityId Edm.Guid いいえ エンティティの一意識別子。
EntityName Edm.String はい 組織のエンティティの名前。 エンティティの例には、contactauthenticationがあります。
メッセージ Edm.String はい このパラメーターには、エンティティーに関連して実行された操作が含まれています。 たとえば、新しい連絡先が作成された場合、Message プロパティの値は Create され、EntityName プロパティの対応する値は contact
クエリ Edm.String いいえ FetchXML操作の実行中に使用されたフィルタークエリのパラメーター。
PrimaryFieldValue Edm.String いいえ エンティティのプライマリフィールドである属性の値を示します。

Workplace Analytics スキーマ

Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」にリストされている WorkPlace Analytics イベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
WpaUserRole Edm.String いいえ アクションを実行したユーザーの Workplace Analytics ロール。
ModifiedProperties コレクション (Common.ModifiedProperty) いいえ このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。
OperationDetails コレクション (Common.NameValuePair) いいえ 変更された設定の拡張プロパティの一覧。 各プロパティには NameValue があります。

検疫スキーマ

Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」に記載されている検疫イベントは、このスキーマを使用します。 検疫の詳細については、「Office 365 の検疫」を参照してください。

パラメーター 必須かどうか? 説明
RequestType Self.RequestType いいえ ユーザーによって実行された検疫要求の型。
RequestSource Self.RequestSource いいえ 検疫要求のソースは、セキュリティ/コンプライアンス センター (SCC)、コマンドレット、URLlink に由来する場合があります。
NetworkMessageId Edm.String いいえ 検疫されたメール メッセージのネットワーク メッセージ ID。
ReleaseTo Edm.String いいえ メール メッセージの受信者。

Enum: RequestType - Type: Edm.Int32

メンバー名 説明
0 Preview これは、有害と見なされるメール メッセージをプレビューするように求める、ユーザーからの要求です。
1 Delete これは、有害と見なされるメール メッセージを削除するように求める、ユーザーからの要求です。
2 Release これは、有害と見なされるメール メッセージを解放するように求める、ユーザーからの要求です。
3 Export これは、有害と見なされるメール メッセージをエクスポートするように求める、ユーザーからの要求です。
4 ViewHeader これは、有害と見なされるメール メッセージのヘッダーを表示するように求める、ユーザーからの要求です。
5 リリース要求 これは、有害と見なされるメール メッセージを解放するように求める、ユーザーからのリリース要求です。

Enum: RequestSource - Type: Edm.Int32

メンバー名 説明
0 SCC セキュリティ/コンプライアンス センター (SCC) が、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。
1 コマンドレット コマンドレットが、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。
2 URLlink これが、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。

Microsoft Forms スキーマ

Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」に記載されている Micorosft Forms イベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
FormsUserTypes Collection(Self.FormsUserTypes) はい アクションを実行するユーザーの役割。 このパラメーターの値は、管理者、所有者、レスポンダー、または共同編集者です。
SourceApp Edm.String はい アクションが Forms Web サイトからのものなのか、他のアプリからのものなのかを示します。
FormName Edm.String いいえ 現在のフォームの名前。
FormId Edm.String いいえ 対象フォームの ID。
FormTypes Collection(Self.FormTypes) いいえ これが、フォーム、クイズ、またはアンケートなのかを示します。
ActivityParameters Edm.String いいえ アクティビティのパラメーターを含む JSON 文字列。 詳細については、「Office 365 セキュリティ/コンプライアンス センターで監査ログを検索する」を参照してください。

Enum: FormsUserTypes - Type: Edm.Int32

FormsUserTypes

フォーム ユーザーの種類 説明
0 管理者 フォームにアクセスできる管理者。
1 Owner フォームの所有者であるユーザー。
2 レスポンダー フォームに応答を送信したユーザー。
3 共同編集者 フォームの所有者から提供された、フォームにログインして編集するための共同編集者リンクを使用したユーザー。

Enum: FormTypes - Type: Edm.Int32

FormTypes

フォームの種類 説明
0 フォーム [新しいフォーム] オプションを使用して作成されたフォーム。
1 クイズ [新しいクイズ] オプションを使用して作成されたクイズ。 クイズは特殊な種類のフォームで、点数、自動および手動採点、コメントなどの追加の機能が含まれるフォームです。
2 アンケート [新しいアンケート] オプションを使用して作成されたアンケート。 アンケートは特殊な種類のフォームで、CMS 統合や Flow ルールのサポートなどの追加の機能が含まれるフォームです。

MIP ラベルのスキーマ

Microsoft Purview Information Protection ラベルのスキーマのイベントは、秘密度ラベルが適用されているトランスポート パイプラインのエージェントによって処理されたメール メッセージを Microsoft 365 が検出したときにトリガーされます。 秘密度ラベルは、手動または自動で、トランスポート パイプラインの内部または外部で適用されます。 秘密度ラベルは、ラベル ポリシーの自動適用により、メール メッセージに自動的に適用できます。

この監査スキーマの目的は、秘密度ラベルが適用されているすべてのメール アクティビティの合計を示すことです。 そのため、秘密度ラベルがいつどのように適用されたかに関係なく、秘密度ラベルが適用されている組織内のユーザー間で送受信されるメール メッセージごとに、監査のアクティビティが記録されます。 秘密度ラベルの詳細については、以下をご覧ください。

パラメーター 必須かどうか? 説明
Sender Edm.String いいえ メール メッセージの差出人フィールドのメール アドレス。
Receivers Collection(Edm.String) いいえ メール メッセージの [宛先]、[CC]、[BCC] フィールドにあるすべてのメール アドレス。
ItemName Edm.String いいえ メール メッセージの件名フィールドの文字列。
LabelId Edm.Guid いいえ メール メッセージに適用される秘密度ラベルの GUID。
LabelName Edm.String いいえ メール メッセージに適用される秘密度ラベルの名前。
LabelAction Edm.String いいえ メッセージがメールのトランスポート パイプラインに入る前にメール メッセージに適用された秘密度ラベルによって指定されたアクション。
LabelAppliedDateTime Edm.Date いいえ メール メッセージに秘密度ラベルが適用された日付。
ApplicationMode Edm.String いいえ メール メッセージに秘密度ラベルが適用された方法を指定します。 Privileged の値は、ラベルがユーザーによって手動で適用されたことを示します。 Standard の値は、ラベルがクライアント側またはサービス側のラベル付けのプロセスによって自動的に適用されたことを示します。

暗号化されたメッセージのポータル イベント スキーマ

暗号化されたメッセージのポータル スキーマのイベントは、外部受信者が暗号化されたメール メッセージにポータル経由でアクセスしたことが Purview Message Encryption によって検出されるとトリガーされます。 メールの暗号化が秘密度ラベルや RMS テンプレートによって手動で行われた場合もあれば、トランスポート ルール、データ損失防止ポリシー、自動ラベル付けポリシーによって自動的に行われた場合もあります。

この監査スキーマの目的は、外部受信者による暗号化されたメールへのアクセスに関わるすべてのポータル アクティビティの合計を表すことです。 つまり、ポータルへのサインインを試みる受信者と、暗号化されたメールへのアクセスに関連するすべてのアクティビティについて、記録された監査アクティビティが存在する必要があるということです。 これには、暗号化が適用された日時や方法に関係なく、メールに暗号化が適用されたときに組織内のユーザーとの間で送受信されるメールが含まれます。 詳細については、「暗号化されたメッセージ ポータルログについて」を参照してください。

パラメーター 必須かどうか? 説明
MessageId Edm.String 不要 メッセージの ID。
Recipient Edm.String 不要 受信者のメール アドレス。
Sender Edm.String 不要 送信者のメール アドレス。
AuthenticationMethod Self.AuthenticationMethod 不要 メッセージにアクセスした時の認証方法 (OTP、Yahoo、Gmail、Microsoft など)。
AuthenticationStatus Self.AuthenticationStatus 不要 0 – 成功、1 - 失敗。
OperationStatus Self.OperationStatus 不要 0 – 成功、1 - 失敗。
AttachmentName Edm.String 不要 添付ファイルの名前。
OperationProperties Collection(Common.NameValuePair) いいえ 追加のプロパティ (送信された OTP パスコードの数、メールの件名など)。

コミュニケーションコンプライアンス Exchange スキーマ

Office 365 監査ログにリストされているコミュニケーションコンプライアンスイベントは、このスキーマを使用します。 これには、電子メールメッセージのコンテンツに、一致精度が >= 99.5% のスパム対策モデルによって識別される不快な言語が含まれている場合に生成される SupervisoryReviewOLAudit 操作の監査レコードが含まれます。

パラメーター 必須かどうか? 説明
ExchangeDetails ExchangeDetails いいえ SupervisoryReviewOLAudit イベントをトリガーした電子メールメッセージのプロパティ。

Enum: ExchangeDetails - 種類: ExchangeDetails

ExchangeDetails

メンバー名 説明
NetworkMessageId Edm.Guid 電子メールメッセージのネットワークメッセージ ID。
InternetMessageId Edm.String 電子メールメッセージのインターネットメッセージ ID。
AttachmentData コレクション (AttachmentDetails) 電子メールメッセージに添付されたファイルに関する情報。
受信者 Collection(Edm.String) 電子メールメッセージのTo、Cc、Bccフィールドの電子メールアドレス。
件名 Edm.String 電子メールメッセージの件名フィールドのテキスト。
MessageTime Edm.Date 電子メールメッセージが送信された日時。
送信元 Edm.String 電子メール メッセージの差出人フィールドのメール アドレス。
方向性 Edm.String 電子メールメッセージの発信ステータス。

Enum: AttachmentDetails - 種類: Edm.Int32

AttachmentDetails

メンバー名 説明
FileName Edm.String 電子メールメッセージに添付されたファイルの名前。
FileType Edm.String 電子メールメッセージに添付されたファイルのファイル拡張子。
SHA256 Edm.String 電子メールメッセージに添付されたファイルの SHA-256 ハッシュ。

レポート スキーマ

「Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」 に記載されているレポート イベントは、このスキーマを使用します。

パラメーター 必須かどうか? 説明
ModifiedProperties コレクション (Common.ModifiedProperty) いいえ このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。

コンプライアンス コネクタ スキーマ

コンプライアンス コネクタ スキーマのイベントは、データ コネクタによってインポートされたアイテムがスキップされるか、ユーザー メールボックスにインポートできなかった場合にトリガーされます。 詳細については、「サードパーティ データのコネクタの詳細」を参照してください。

パラメーター 必須かどうか? 説明
JobId Edm.String いいえ これは、データ コネクタの一意の識別子です。
TaskId Edm.String いいえ 周期的なデータ コネクタ インスタンスの一意の識別子。 データ コネクタは、周期的な間隔でデータをインポートします。
JobType Edm.String いいえ データ コネクタの名前。
ItemId Edm.String いいえ インポートするアイテムの一意識別子 (電子メール メッセージなど)。
ItemSize Edm.Int64 いいえ インポートするアイテムのサイズ。
SourceUserId Edm.String いいえ サード パーティのデータ ソースからのユーザーの一意の識別子。 たとえば、Slack データ コネクタの場合、このプロパティは Slack ワークスペースのユーザー ID を指定します。
FailureType 自身。FailureType いいえ データ インポート エラーの種類を示します。 たとえば、incorrectusermappingは、サード パーティのデータ ソースと Microsoft 365の間にユーザー マッピングが見つからなかったため、アイテムがインポートされなかったことを示します。
ResultMessage Edm.String いいえ 重複メッセージなど、エラーの種類を示します。
IsRetry Edm.Boolean いいえ データ コネクタがアイテムのインポートを再試行したかどうかを示します。
添付ファイル コレクション。添付ファイル いいえ サード パーティのデータ ソースから受信した添付ファイルの一覧。

列挙値: FailureType - 型: Edm.Int32

メンバー名
0 既定値
1 MailboxWrite

添付ファイル複合型

パラメーター 必須かどうか? 説明
FileName Edm.String いいえ 添付ファイルの名前。
詳細 Edm.String いいえ 添付ファイルに関するその他の詳細。

SystemSync スキーマ

SystemSync スキーマのイベントは、SystemSync で取り込まれたデータが Data Lake 経由でエクスポートされるか、他のサービス経由で共有されたときにトリガーされます。

DataLakeExportOperationAuditRecord

パラメーター 必須かどうか? 説明
DataStoreType DataStoreType はい データのダウンロード元のデータ ストアを示します。 使用可能なすべての値については、DataStoreType を参照してください。
UserAction DataLakeUserAction はい ユーザーがデータ ストアで実行したアクションを示します。 使用可能なすべての値については、DataLakeUserAction を参照してください。
ExportTriggeredAt Edm.DateTimeOffset はい データエクスポートがトリガーされたタイミングを示します。
NameOfDownloadedZipFile Edm.String 不要 管理者が Data Lake からダウンロードした圧縮ファイルの名前。

DataShareOperationAuditRecord

パラメーター 必須かどうか? 説明
招待 DataShareInvitationType 不要 Data Share の受信者に送信された招待の詳細。

DataShareInvitationType 複合型

パラメーター 必須かどうか? 説明
ShareId Edm.Guid はい Data Share のシステム割り当て識別子。
招待された人 Collection(Edm.Guid) はい 招待が送信された管理者ユーザーの一覧。
InviteeTenantId Edm.Guid はい 招待の対象となるターゲット テナント。
ShareName Edm.String はい Data Share のシステム割り当て名。
SyncFrequency Self.SyncFrequency はい 共有が確立されると、データが移行先ストレージ アカウントに同期される頻度。 使用可能な値については、「SyncFrequency」を参照してください。
SyncStartTime Edm.DateTimeOffset はい 最初の同期の日時。

列挙: SyncFrequency - 型: Edm.Int32

メンバー名 説明
0 毎時 データが 1 時間ごとに同期されることを示します。
1 毎日 データが 1 日に 1 回同期されることを示します。

列挙:DataStoreType - タイプ: Edm.Int32

メンバー名 説明
0 CanonicalStore Canonical ストアからデータがダウンロードされることを示します。
1 StagingStore ステージング ストアからデータがダウンロードされることを示します。

列挙: DataLakeUserAction - タイプ: Edm.Int32

メンバー名 説明
0 TriggerExport 管理者ユーザーが Data Lake からのエクスポートをトリガーしました。
1 DownloadZipFile 管理者ユーザーがエクスポートされたデータをダウンロードしました。

MicrosoftGraphDataConnectOperation 複合型

パラメーター 必須かどうか? 説明
ApplicationId Edm.Guid はい アプリケーション ID。
ApplicationName Edm.String はい アプリケーションの名前を示す文字列を指定します。
PipelineName Edm.String はい パイプライン名。
PipelineRunId Edm.Guid いいえ このパイプライン実行の ID。
CopyActivityRunId Edm.Guid いいえ ADF コピー アクティビティの ID。
RunStartTime Edm.Date はい 抽出の日時。
RunEndTime Edm.Date はい 抽出の日時。
DatasetName Edm.String はい 抽出されるデータセット名。
DatasetColumns Edm.String はい 抽出される選択した列のセット。
ScopeList Edm.String はい 抽出のスコープ。
ScopeCountRequested Edm.Int64 いいえ この抽出の要求されたスコープ数。
ScopeCountDelivered Edm.Int64 いいえ この抽出の配信されたスコープ数。
UndeliveredScope Edm.String いいえ 抽出の配信解除されたスコープ。
RowCount Edm.Int64 いいえ 抽出された行数。
状態 Edm.String はい 抽出の状態。
理由 Edm.String いいえ 失敗した場合のエラー メッセージ。

AipDiscover

次の表に、Azure Information Protection (AIP) スキャナー イベントに関連する情報を示します。

イベント 説明
ApplicationId 操作を実行するアプリケーションの ID。
ApplicationName 操作を実行しているアプリケーションのフレンドリ名。 Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。
ClientIP アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
CreationTime 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。
DataState データの状態について説明します。
DeviceName アクティビティが発生したデバイス。
Id 現在のレコードの GUID。
IsProtected 保護されているかどうか: True/False
場所 ユーザーのデバイスに関するドキュメントの場所。 指定できる値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。
ObjectId ファイルの完全パス (URL)。 SharePoint および OneDrive for Business のアクティビティの場合、ユーザーによりアクセスされるファイルまたはフォルダーの完全パス名。
操作 アクセスの種類について説明します。
OrganizationId 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。
プラットフォーム デバイス プラットフォーム (Win、OSX、Android、iOS)
ProcessName 関連するプロセス名。例: Outlook、msip.app、WinWord。
ProductVersion AIP クライアントのバージョン。
ProtectionOwner UPN 形式の Rights Management 所有者。
ProtectionType 保護の種類は、テンプレートまたはアドホックにすることができます。
RecordType レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。 Log RecordType の完全な更新された一覧と完全な説明については、O365 Management API による Microsoft 365 コンプライアンス監査ログ アクティビティに関するブログ記事を参照してください。 ここでは、関連する MIP レコードの種類のみを一覧表示します。
範囲 このイベントは、ホストされた O365 サービスまたはオンプレミスのサーバーによって作成されたものですか。 設定できる値は online および onprem です。 SharePoint は現在、オンプレミスから O365 にイベントを送信する唯一のワークロードです。
SensitiveInfoTypeData 機密情報の種類データのデータ型を格納します。
SensitivityLabelId 現在の MIP 秘密度ラベル GUID。 cmdlt Get-Label を使用して、GUID の完全な値を取得します。
TemplateId TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、監査レコードのapp@sharepointユーザーに関するページを参照してください。
UserKey UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。
UserType 操作を実行したユーザーの種類。 users.
の種類の詳細については、UserType テーブルを参照してください。0 = Regular
1 = 予約済み
2 = 管理
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
バージョン 操作中のファイルのバージョン ID。
Workload アクティビティが発生したOffice 365 サービスを格納します。

AipSensitivityLabelAction

次の表に、AIP 秘密度ラベル イベントに関連する情報を示します。

イベント 説明
ApplicationId Microsoft Entra アプリケーション ID に対応します。
ApplicationName 操作を実行しているアプリケーションのアプリケーションフレンドリ名。
CreationDate ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。
DataState データの状態を指定します。
DeviceName ユーザーのデバイスの名前。
ID 認証するユーザーまたはサービスの ID。
IsProtected 保護されているかどうか: True/False
IsProtectedBefore 変更前にコンテンツが保護されたかどうか: True/False
IsValid ブール型
場所 ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。
ObjectState オブジェクトの状態を指定します。
操作 監査ログの操作の種類。ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明:
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。
ID 認証するユーザーまたはサービスの ID。
PSComputerName コンピューター名
PSShowComputerName Office 365で編集されたドキュメントの場合、値は False です。
プラットフォーム デバイス プラットフォーム (Win、OSX、Android、iOS)。 
ProcessName MIP SDK をホストするプロセス。
ProductVersion 監査アクションを実行した Azure Information Protection クライアントのバージョン。
ProtectionType 保護の種類は、テンプレートまたはアドホックにすることができます。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。
RunspaceId Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。
SensitiveInfoTypeData 機密情報の種類データのデータ型を格納します
TemplateId TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。たとえば、my_name@my_domain_name。

システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。

AipProtectionAction

イベント 説明
PSComputerName コンピューター名
RunspaceId Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。
PSShowComputerName Office 365で編集されたドキュメントの場合、値は false です。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。
CreationTime 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、my_name@my_domain_name。

システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。
操作 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。
ID 認証するユーザーまたはサービスの ID。
ObjectState 現在のイベントの後の Object の状態。
ApplicationId アクティビティが発生し、GUID に表示されたアプリケーション。
ApplicationName 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。
ProcessName Office アプリケーションのプロセス名。
プラットフォーム アクティビティが発生したプラットフォーム。 たとえば、Windows です。
DeviceName イベントが記録されたデバイス。
ProductVersion 監査アクションを実行した Azure Information Protection クライアントのバージョン。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。

システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。
ClientIP アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
Id 現在のレコードの GUID。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。
CreationTime 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。
Operation ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。
OrganizationId 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。
UserType 操作を実行したユーザーの種類。 users.
の種類の詳細については、UserType テーブルを参照してください。0 = Regular
1 = 予約済み
2 = 管理
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。
Workload アクティビティが発生したOffice 365 サービスを格納します。
バージョン 監査アクションを実行した Azure Information Protection クライアントのバージョン
範囲 スコープを指定します。

AipFileDeleted

イベント 説明
PSComputerName コンピューター名
RunspaceId Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。
PSShowComputerName Office 365で編集されたドキュメントの場合、値は false です。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。
CreationTime 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、my_name@my_domain_name。

システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。
操作 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened。
ID 認証するユーザーまたはサービスの ID。
ObjectState 現在のイベントの後の Object の状態。
ApplicationId アクティビティが発生し、GUID に表示されたアプリケーション。
ApplicationName 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。
ProcessName Office アプリケーションのプロセス名。
プラットフォーム アクティビティが発生したプラットフォーム。 たとえば、Windows です。
DeviceName イベントが記録されたデバイス。
ProductVersion 監査アクションを実行した Azure Information Protection クライアントのバージョン。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。

システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。
ClientIP アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
Id 現在のレコードの GUID。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。
CreationTime 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。
Operation ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。
OrganizationId 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。
UserType 操作を実行したユーザーの種類。 users.
の種類の詳細については、UserType テーブルを参照してください。0 = Regular
1 = 予約済み
2 = 管理
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。
Workload アクティビティが発生したOffice 365 サービスを格納します。
バージョン 監査アクションを実行した Azure Information Protection クライアントのバージョン
範囲 スコープを指定します。

AipHeartBeat

次の表に、AIP ハートビート イベントに関連する情報を示します。

イベント 説明
ApplicationId Microsoft Entra アプリケーション ID に対応します。
ApplicationName 操作を実行しているアプリケーションのアプリケーションフレンドリ名。
CreationDate ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。
DataState データの状態を指定します。
DeviceName ユーザーのデバイスの名前。
ID 認証するユーザーまたはサービスの ID。
IsProtected 保護されているかどうか: True/False
IsProtectedBefore 変更前にコンテンツが保護されたかどうか: True/False
IsValid ブール型
場所 ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。
ObjectState オブジェクトの状態を指定します。
操作 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。
PSComputerName コンピューター名
PSShowComputerName Office 365で編集されたドキュメントの場合、値は False です。
プラットフォーム デバイス プラットフォーム (Win、OSX、Android、iOS)。 
ProcessName MIP SDK をホストするプロセス。
ProductVersion 監査アクションを実行した Azure Information Protection クライアントのバージョン。
ProtectionType 保護の種類は、テンプレートまたはアドホックにすることができます。
RecordType ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。
RunspaceId Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。
SensitiveInfoTypeData 機密情報の種類データのデータ型を格納します。
TemplateId TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。
UserId レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、監査レコードのapp@sharepointユーザーに関するページを参照してください。
UserType 操作を実行したユーザーの種類。 users.
の種類の詳細については、UserType テーブルを参照してください。0 = Regular
1 = 予約済み
2 = 管理
3 = DcAdmin
4 = Systeml
5 = Application
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。

MicrosoftGraphDataConnectConsent 複合型

パラメーター 必須かどうか? 説明
ApplicationId Edm.Guid はい アプリケーション ID。
ApplicationVersion Edm.String はい アプリケーションのバージョン。
AppRegistrationTenantId Edm.Guid はい アプリケーション登録テナント ID。
承認 Edm.String はい 承認者のユーザー プリンシパル名。
ApprovalUpdatedDateInUTC Edm.Date はい 更新日時 (UTC)。
ApprovalExpiryDateInUTC Edm.Date はい UTC の有効期限日時。
ApprovalValidDays Edm.Int32 はい 承認が有効になる更新からの日数。
DestinationSinks Edm.String はい 宛先シンク。
DestinationTenantId Edm.Guid はい 移行先のテナント ID。
理由 Edm.String いいえ 操作を実行した管理者が提供する理由。
状態コード Edm.String はい 同意の状態。
データセット CollectionSelf。MGDCDataset はい この操作の一環として同意されたデータセットの詳細。

複合型 MGDCDataset

パラメーター 必須かどうか? 説明
DatasetName Edm.String はい 同意操作のデータセットの名前。
DatasetColumns Edm.String はい 同意操作でのデータセットの列の一覧。
DenyGroups Edm.String いいえ 同意操作のデータセットの拒否グループの一覧。
範囲 Edm.String はい 同意操作でのデータセットのスコープの種類。 使用可能な値は、All、List、FilterUri です。
ScopeFiltersUris Edm.String いいえ 同意操作のデータセットのスコープ フィルター URI。
ScopeList Edm.String いいえ 同意操作のデータセットのスコープ グループ の一覧。
PrivacyPolicyType Edm.String はい 同意操作のデータセットのプライバシー ポリシーの種類。 使用可能な値は None と DenyList です。

スキーマのViva Goals

(共通スキーマに加えて) このスキーマを使用Viva Goals関連するイベントの監査レコード。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 Viva Goalsに関連するイベントとアクティビティのキャプチャの詳細については、「監査ログ アクティビティ」を参照してください。

パラメーター 必須かどうか? 説明
詳細 Edm.String いいえ Viva Goalsで発生したイベントまたはアクティビティの説明。
Username Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
いいえ イベントをトリガーしたユーザーの名前。
UserRole Edm.String いいえ Viva Goalsでこのイベントをトリガーしたユーザーのロール。 これは、ユーザーがorganization管理者または所有者である場合にメンションされます。
OrganizationName Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
いいえ イベントがトリガーされたViva Goals内のorganizationの名前。
OrganizationOwner Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
いいえ イベントが発生したViva Goalsのorganizationの所有者。
OrganizationAdmins Collection(Edm.String)
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
いいえ イベントが発生したViva Goalsのorganizationの管理者。 organizationには 1 人以上の管理者が存在する場合があります。
UserAgent Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
いいえ イベントをトリガーしたユーザーのユーザー エージェント (ブラウザーの詳細)。 システムによって生成されたイベントの場合、UserAgent が存在しない可能性があります。
ModifiedFields Collection(Common.NameValuePair) いいえ 新しい値と古い値と共に変更された属性の一覧は、JSON として出力されます。
ItemDetails Collection(Common.NameValuePair) いいえ 変更されたオブジェクトに関する追加のプロパティ。

Microsoft Planner スキーマ

Microsoft Plannerは、共通スキーマの ObjectId と ResultStatus の定義を上書きします。 Microsoft Plannerの ObjectId 定義は、各Microsoft Plannerのレコード型にバインドされ、個別に示されます。

Microsoft Plannerの ResultStatus は次のように定義されます。

Enum: ResultStatus - 型: Edm.Int32

ResultStatus

メンバー名 説明
1 成功 ユーザー要求は成功しました。
2 失敗 承認以外の理由により、ユーザー要求が失敗しました。
3 AuthorizationFailure 承認が失敗したため、要求されたユーザーは失敗しました。

Microsoft Plannerは、次のレコード型を使用して Common スキーマを拡張します。

PlannerPlan レコードの種類

Properties 説明
ObjectId Edm.String 要求されたプランの ID。
ContainerType 自己。ContainerType プランに関連付けられているコンテナーの種類。
ContainerId Edm.String プランに関連付けられているコンテナーの ID。
SharedWithContainerId Edm.String プランへの共有アクセス権を持つコンテナーの ID。
SharedWithContainerType 自己。ContainerType プランへの共有アクセス権を持つコンテナーの種類。
SharedWithContainerAccessLevel 自己。PlanAccessLevel プランへの共有アクセス権を持つコンテナーに与えられるアクセス レベル。

Enum: ContainerType - 型 Edm.Int32

ContainerType

メンバー名 説明
0 Invalid 要求されたプランが見つからない場合に使用されます。
2 グループ プランは M365 グループに関連付けられています。
3 TeamsConversation プランは Teams の会話に関連付けられています。
4 OfficeDocument プランは Office ドキュメントに関連付けられています。
5 ロスター プランは名簿グループに関連付けられています。
6 Project このプランは Microsoft Project から作成されます。

Enum: PlanAccessLevel - 型 Edm.Int32

PlanAccessLevel

メンバー名 説明
1 ReadAccess プランを読み取るアクセス。
2 ReadWriteAccess Plan への読み取りと書き込みにアクセスできます。
3 FullAccess プランの読み取り、書き込み、構成へのアクセス。

PlannerCopyPlan レコードの種類

Properties 説明
ObjectId Edm.String コピーするプランの ID。
OriginalPlanId Edm.String コピーするプランの ID。 ObjectId と同じです。
OriginalContainerType 自己。ContainerType 元のプランに関連付けられているコンテナーの種類。
OriginalContainerId Edm.String 元のプランに関連付けられているコンテナーの ID。
NewPlanId Edm.String 新しいプランの ID。 操作が失敗した場合は Null。
NewContainerType 自己。ContainerType 新しいプランに関連付けられているコンテナーの種類。
NewContainerId Edm.String 新しいプランに関連付けられているコンテナーの ID。

PlannerTask レコードの種類

Properties 説明
ObjectId Edm.String 要求されたタスクの ID。
PlanId Edm.String タスクを含むプランの ID。

PlannerRoster レコードの種類

Properties 説明
ObjectId Edm.String 要求された名簿の ID。
MemberIds Edm.String メンバー ID のコンマ区切り文字列が名簿に変更されました。

PlannerPlanList レコードの種類

Properties 説明
ObjectId Edm.String プランの一覧に対するビュー クエリの表現。
PlanList Edm.String クエリされたプラン ID のコンマ区切りの文字列。

PlannerTaskList レコードの種類

Properties 説明
ObjectId Edm.String タスクの一覧に対するビュー クエリの表現。
PlanList Edm.String クエリされたタスク ID のコンマ区切りの文字列。

PlannerTenantSettings レコードの種類

Properties 説明
ObjectId Edm.String JSON の元のテナント設定。
TenantSettings Edm.String JSON の新しいテナント設定。

PlannerRosterSensitivityLabel レコード型

Properties 説明
ObjectId Edm.String 秘密度ラベルの ID。 秘密度ラベルが削除された場合は Null。
ロスター Edm.String 秘密度ラベルが変更される名簿の ID。
AssignmentMethod 自己。SensitivityLabelAssignmentMethod 秘密度ラベルの割り当て方法。

Enum: SensitivityLabelAssignmentMethod - 型 Edm.Int32

SensitivityLabelAssignmentMethod

メンバー名 説明
0 標準 秘密度ラベルは自動的に適用されますが、特権ラベルの割り当てをオーバーライドすることはできません。
1 特権 秘密度ラベルは、ユーザーまたは管理者によって手動で適用されます。
2 Auto 秘密度ラベルは自動的に適用され、特権ラベルの割り当てをオーバーライドできます。

Microsoft Project for the web スキーマ

Microsoft Project For The Web では、次のレコードの種類を使用して 共通スキーマ が拡張されます。

ProjectForThewebProject レコードの種類

Properties Type 必須かどうか? 説明
ProjectId Edm.Guid いいえ 監査対象のプロジェクトの ID。
AdditionalInfo CollectionSelf。AdditionalInfo いいえ 追加情報。

ProjectForThewebTask レコードの種類

Properties Type 必須かどうか? 説明
ProjectId Edm.Guid はい 監査対象のプロジェクトの ID。
TaskId Edm.Guid はい 監査対象のタスクの ID。
AdditionalInfo CollectionSelf。AdditionalInfo いいえ 追加情報。

ProjectForThewebRoadmap レコードの種類

Properties Type 必須かどうか? 説明
RoadmapId Edm.Guid はい 監査対象のロードマップの ID。
AdditionalInfo CollectionSelf。AdditionalInfo いいえ 追加情報。

ProjectForThewebRoadmapItem レコードの種類

Properties Type 必須かどうか? 説明
RoadmapItemId Edm.Guid はい 監査対象のロードマップ 項目の ID。
AdditionalInfo CollectionSelf。AdditionalInfo いいえ 追加情報。

複合型 AdditionalInfo

パラメーター 必須かどうか? 説明
EnvironmentName Edm.String いいえ アクションが実行された環境の ID。

ProjectForThewebProjectSetting レコードの種類

Properties Type 必須かどうか? 説明
ProjectEnabled Edm.Boolean はい Project for the webに設定された値 (1= 有効、0 が無効)。

ProjectForThewebRoadampSetting レコードの種類

Properties Type 必須かどうか? 説明
ロードマップEnabled Edm.Boolean はい ロードマップに設定された値 (1= が有効、0 が無効)。

ProjectForThewebAssignedToMeSetting レコードの種類

Properties Type 必須かどうか? 説明
AssignedToMeEnabled Edm.Boolean はい AssignedToMe に設定された値 (1= が有効、0 が無効)。

パルス スキーマのViva

Viva Pulse に関連するイベントの監査レコードでは、(共通スキーマに加えて) このスキーマが使用されます。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 Viva Pulse に関連するイベントとアクティビティのキャプチャの詳細については、「監査ログ アクティビティ」を参照してください。

パラメーター 必須かどうか? 説明
EventName Edm.String いいえ Viva Pulse で発生したイベントまたはアクティビティの説明。
PulseId Edm.String いいえ パルス調査の ID。
EventDetails Collection(Common.NameValuePair) いいえ イベントに関するその他のプロパティ。

VivaPulse イベントの中には、EventDetails のさまざまなプロパティを記録するものもあります。 EventDetail に記録された各プロパティについては、表を参照してください。

EventName PropertName 説明
PulseReportShare 受信者 パルス調査を共有する受信者 ID の一覧。
PulseCreate 受信者 spcified パルス調査の参加者であるユーザー ID の一覧。
PulseInvite 受信者 さらにパルスに招待されたユーザー ID の一覧。
PulseTenantSettingsUpdate TenantSettingName 設定名を変更しました。
PulseSubmit 該当なし このイベントは、EventDetails にプロパティを記録しません。
PulseExtendDeadline 該当なし このイベントは、EventDetails にプロパティを記録しません。
PulseCancel 該当なし このイベントは、EventDetails にプロパティを記録しません。
PulseCreateDraft 該当なし このイベントは、EventDetails にプロパティを記録しません。
PulseDeleteDraft 該当なし このイベントは、EventDetails にプロパティを記録しません。
PulseDeleteUserData 該当なし このイベントは、EventDetails にプロパティを記録しません。

Compliance Manager スキーマ

Microsoft Purview Compliance Manager に関連するイベントの監査レコードでは、(共通スキーマに加えて) このスキーマが使用 されます。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 コンプライアンス マネージャーに関連するイベントとアクティビティのキャプチャの詳細については、「 監査ログ アクティビティ」を参照してください。

パラメーター 必須かどうか? 説明
詳細 Collection(SettingsChange) いいえ Microsoft Purview コンプライアンス マネージャーで発生したイベントの説明。

さまざまな操作の詳細の SettingsChange プロパティによって取得される値については、次の表を参照してください。

操作名 PropertyName 説明
すべての操作 名前 コンプライアンス マネージャー操作に関係する設定の名前。
すべての操作 NewValue 新しい設定の新しい値。
すべての操作 OriginalValue 新しい設定の元の値。

注:

  1. ロールの変更の場合、名前はロールの種類になります。
  2. 監査レコードには、ユーザーにロールが割り当てられたり、ロールが取り消されたりするなど、イベントの変更が反映されます。
  3. 元の値と新しい値には、ロールが変更されたユーザーのメールが含まれます。
  4. ロールに変更がない場合、そのロールの種類は監査レコードに存在しません。

バックアップ ポリシー スキーマ

パラメーター 必須かどうか? 説明
PolicyID Edm.String はい ポリシーの ID。
EditMethodology Edm.String いいえ ポリシーの作成方法/編集方法。
CountOfArtifactsBeingAdded Edm.Int32 いいえ 追加される成果物の数。
CountOfArtifactsBeingRemoved Edm.Int32 いいえ 削除される成果物の数。
ServiceType Edm.String いいえ SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。

タスク スキーマの復元

パラメーター 必須かどうか? 説明
TaskID Edm.String はい 復元タスクの ID。
CreationMethodology Edm.String いいえ 復元タスクの作成/編集方法。
CountOfArtifactsBeingAdded Edm.Int32 いいえ 追加される成果物の数。
CountOfArtifactsBeingRemoved Edm.Int32 いいえ 削除される成果物の数。
ServiceType Edm.String いいえ SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。

アイテム スキーマの復元

パラメーター 必須かどうか? 説明
RestoreTime Edm.DateTime はい アイテムの復元先の時刻。
RestoreLocationType Edm.String はい アイテムの復元先の場所の種類。
RestoreLocation Edm.String いいえ アイテムが復元される場所。
TaskID Edm.String はい 復元タスクの ID。
BackupItemID Edm.String はい 復元するバックアップ項目の ID。
ProtectionUnitID Edm.String はい 復元される項目の保護ユニット ID。
SuccessStatus Edm.String いいえ 復元操作が成功したかどうか。
BackupItemType Edm.String はい バックアップ項目がサイト/アカウント/メールボックスであるかどうか。
ServiceType Edm.String いいえ SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。

バックアップ項目スキーマ

パラメーター 必須かどうか? 説明
PolicyID Edm.String はい 項目が追加されるポリシーのポリシー ID。
ItemID Edm.String はい バックアップ項目の ID。
ProtectionUnitID Edm.String はい バックアップするアイテムの保護ユニット ID。
ResultStatus Edm.String いいえ 復元操作が成功したかどうか。
BackupItemType Edm.String はい バックアップ項目がサイト/アカウント/メールボックスであるかどうか。
EditMethodology Edm.String いいえ バックアップ項目を追加する方法。
ServiceType Edm.String いいえ SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。

クラウド ポリシー サービス スキーマ

Cloud Policy サービスに関連するイベントの監査レコードは、次のように Common スキーマを拡張します。

PolicyConfigChangeAuditRecord

パラメーター 必須かどうか? 説明
ConfigId Edm.String いいえ ポリシー構成の ID
ConfigName Edm.String いいえ ポリシー構成の指定された名前
説明 Edm.String いいえ ポリシー構成に関する説明
ConfigScope 自己。CPSScope いいえ ポリシー構成のスコープ
グループ Collection(Common.NameValuePair) いいえ 構成済みグループの一覧
優先度 Edm.Int32 いいえ ポリシー構成の優先度値
ポリシー Collection(Self.ポリシー) いいえ 構成されたポリシー設定の一覧
優先 順位 Collection(Self.PrioritySetting) いいえ ポリシー構成とその優先順位の値の一覧

Enum: CPSScope - 型: Edm.Int32

メンバー名 説明
1 Tenant ポリシー構成のスコープは、テナント内のすべてのユーザーです。
2 匿名 ポリシー構成のスコープは匿名ユーザーです。
3 User ポリシー構成のスコープは、構成済みのMicrosoft Entraグループ内のユーザーに限定されます。

複合型ポリシー

パラメーター 必須かどうか? 説明
PolicyId Edm.String いいえ ポリシー設定の ID
PolicyName Edm.String いいえ ポリシー設定の名前
Edm.String いいえ ポリシー設定の構成済み値
Settings Collection(Self.設定) いいえ 構成済みの設定

複合型の設定

パラメーター 必須かどうか? 説明
SettingId Edm.String いいえ 設定の ID
SettingName Edm.String いいえ 設定の名前
Edm.String いいえ 設定値

複合型 PrioritySetting

パラメーター 必須かどうか? 説明
ConfigId Edm.String いいえ ポリシー構成の ID
ConfigName Edm.String いいえ ポリシー構成の指定された名前
Edm.String いいえ ポリシー構成の構成済みの優先順位

クラウド更新プロファイル構成スキーマ

Cloud Update プロファイル構成関連イベントは、次のレコードの種類で共通スキーマを拡張します。

CloudUpdateProfileConfigAuditRecord

パラメーター 必須かどうか? 説明
ProfileName Edm.String はい プロファイルの名前
ProfileState 自己。ProfileState いいえ プロファイルの状態
期限 Edm.Int32 いいえ 構成された期限
UpdateValidationState 自己。UpdateValidationState いいえ 更新の検証の状態
Collection(Self.Wave) いいえ 構成済みのウェーブを含むコレクション
WaveDelay Edm.Int32 いいえ ウェーブ間の遅延を設定する

Enum: ProfileState - 型: Edm.Int32

メンバー名 説明
1 有効 プロファイルは有効でアクティブです。
2 無効 プロファイルが無効になっています。
3 一時停止 プロファイルは有効ですが、一時停止状態です。

Enum: UpdateValidationState - 型: Edm.Int32

メンバー名 説明
1 有効 更新の検証が有効になっています。
2 無効 更新の検証が無効になっています。

複合型ウェーブ

パラメーター 必須かどうか? 説明
名前 Edm.String いいえ ウェーブの名前
自己。WaveType いいえ 管理者または自動キャッチオールウェーブによって指定されたウェーブ
グループ Collection(Common.NameValuePair) いいえ このウェーブ用に構成されたグループのコレクション

Enum: WaveType - 型: Edm.Int32

メンバー名 説明
1 グループ Wave は、グループを使用して管理者によって構成されました。
2 RemainingDevices 前のウェーブでカバーされていないプロファイルのスコープ内のすべてのデバイスを含む、自動的に作成されたウェーブ。

Cloud Update テナント構成スキーマ

Cloud Update テナント構成関連イベントは、次のレコードの種類で共通スキーマを拡張します。

CloudUpdateTenantConfigAuditRecord

パラメーター 必須かどうか? 説明
ProfileExclusionWindows Collection(Self.ExclusionWindow) いいえ 構成された除外ウィンドウのコレクション
ExclusionList Collection(Common.NameValuePair) いいえ 構成された除外のコレクション
TAK Edm.String いいえ テナント関連付けキー

複合型の除外ウィンドウ

パラメーター 必須かどうか? 説明
名前 Edm.String いいえ 指定された除外ウィンドウの名前
StartDate Edm.Date いいえ 除外ウィンドウの開始日
EndDate Edm.Date いいえ 除外ウィンドウの終了日
グループ Collection(Common.NameValuePair) いいえ 除外ウィンドウのスコープが設定されているグループのコレクション

Cloud Update デバイス スキーマ

Cloud Update デバイス関連のイベントは、次のレコードの種類で共通スキーマを拡張します。

CloudUpdateDeviceConfigAuditRecord

パラメーター 必須かどうか? 説明
RollbackDevices 自己。ロールバック いいえ ロールバックがトリガーされる
ChannelChangeDevices 自己。ChannelChange いいえ トリガーされたチャネルの変更

複合型のロールバック

パラメーター 必須かどうか? 説明
RollbackType 自己。RollbackType いいえ ロールバックの種類
RollbackBuildNumber Edm.String いいえ ロールバック先のビルド番号
デバイス Collection(Edm.String) いいえ ロールバックの対象となるデバイスのコレクション

Enum: RollbackType - 型: Edm.Int32

メンバー名 説明
1 SpecificDevices ロールバックは、デバイスの特定のサブセットを対象としていました。
2 AllDevices ロールバックは、プロファイルのスコープ内のすべてのデバイスを対象としていました。

複合型 ChannelChange

パラメーター 必須かどうか? 説明
ChannelChange 自己。チャンネル いいえ 対象となる更新チャネル
デバイス Collection(Edm.String) いいえ 対象となるデバイスのコレクション
グループ Collection(Common.NameValuePair) いいえ ターゲット グループのコレクション

Enum: Channel - Type: Edm.Int32

メンバー名 説明
1 MonthlyEnterpriseChannel 月次エンタープライズ チャネル
2 CurrentChannel 最新チャネル