다음을 통해 공유


감사 로그 활동

이 문서의 표에서는 Microsoft 365에서 감사되는 활동에 대해 설명합니다. Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 감사 로그를 검색하여 이러한 활동을 검색할 수 있습니다.

표에는 관련 활동 또는 특정 서비스의 활동이 그룹화되어 표시됩니다. 테이블에는 활동 드롭다운 목록에 표시되는 식별 이름(또는 PowerShell에서 사용할 수 있음)과 검색 결과를 내보낼 때 감사 레코드의 자세한 정보 및 CSV 파일에 표시되는 해당 작업의 이름이 포함됩니다. 자세한 정보에 대한 설명은 감사 로그 상세 속성을 참조하세요.

이 문서의 맨 위에 있는 이 문서 목록에서 링크 중 하나를 선택하여 특정 제품 테이블로 직접 이동합니다.

응용 프로그램 관리 활동

다음 표에서는 관리자가 Microsoft Entra ID 등록된 애플리케이션을 추가하거나 변경할 때 기록되는 애플리케이션 관리자 활동을 나열합니다. 인증을 위해 Microsoft Entra ID 사용하는 모든 애플리케이션은 디렉터리에 등록해야 합니다.

참고

다음 표의 작업 열에 나열된 작업 이름에는 마침표(.)가 포함되어 있습니다. 감사 로그를 검색하거나, 감사 보존 정책을 만들거나, 경고 정책을 만들거나, 활동 알림을 만들 때 PowerShell 명령에서 작업을 지정하는 경우 작업 이름에 기간을 포함해야 합니다. 작업 이름을 포함하기 위해 반드시 두 개의 물음표(" ")를 사용해야 합니다.

이름 작업 설명
위임 항목 추가됨 위임 항목을 추가합니다. Microsoft Entra ID 애플리케이션에 인증 권한이 생성/부여되었습니다.
서비스 사용자 추가됨 서비스 사용자를 추가합니다. 애플리케이션이 Microsoft Entra ID 등록되었습니다. 응용 프로그램은 디렉터리에서 서비스 사용자로 표시됩니다.
서비스 사용자에 자격 증명 추가됨 서비스 사용자 자격 증명을 추가합니다. 자격 증명이 Microsoft Entra ID 서비스 주체에 추가되었습니다. 서비스 사용자는 디렉터리의 응용 프로그램을 나타냅니다.
위임 항목 제거됨 위임 항목을 제거합니다. Microsoft Entra ID 애플리케이션에서 인증 권한이 제거되었습니다.
디렉터리에서 서비스 사용자 제거됨 서비스 사용자를 제거합니다. 애플리케이션이 Microsoft Entra ID 삭제/등록 취소되었습니다. 응용 프로그램은 디렉터리에서 서비스 사용자로 표시됩니다.
서비스 사용자에서 자격 증명 제거됨 서비스 사용자 자격 증명를 제거합니다. Microsoft Entra ID 서비스 주체에서 자격 증명이 제거되었습니다. 서비스 사용자는 디렉터리의 응용 프로그램을 나타냅니다.
위임 항목 설정 위임 항목을 설정합니다. Microsoft Entra ID 애플리케이션에 대한 인증 권한이 업데이트되었습니다.

브리핑 전자 메일 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 브리핑 이메일의 활동을 나열합니다. 브리핑 전자 메일에 대한 자세한 내용은 다음을 참조하세요.

이름 작업 설명
조직의 개인 정보 보호 설정이 업데이트됨 UpdatedOrganizationBriefingSettings 관리자가 브리핑 전자 메일에 대한 조직 개인 정보 보호 설정을 업데이트합니다.
사용자 개인 정보 보호 설정이 업데이트됨 UpdatedUserBriefingSettings 관리자가 브리핑 전자 메일에 대한 사용자 개인 정보 보호 설정을 업데이트합니다.

커뮤니케이션 규정 준수 작업

다음 표에서는 Microsoft 365 감사 로그에 기록되는 통신 준수 활동을 나열합니다. 자세한 내용은 Microsoft Purview 커뮤니케이션 규정 준수 대해 알아보기를 참조하세요.

참고

이러한 활동은 Search-UnifiedAuditLog PowerShell cmdlet을 사용할 때 사용할 수 있습니다. 이러한 활동은 활동 드롭다운 목록에서 사용할 수 없습니다.

이름 작업 설명
정책 업데이트 SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted 통신 준수 관리자가 정책을 업데이트했습니다.
정책 일치 SupervisionRuleMatch 사용자가 정책의 조건과 일치하는 메시지를 보냈습니다.
메시지에 적용된 태그 SupervisoryReviewTag 메시지에 적용된 태그나 해결된 메시지

준수 관리자 활동

다음 표에서는 관리자가 준수 관리자에서 설정을 관리할 때 기록되는 작업 및 활동을 나열합니다. 자세한 내용은 준수 관리자에 대해 알아보기를 참조하세요.

이름 작업 설명
역할 변경 ComplianceManagerRolesChange 관리자가 사용자의 역할을 변경했습니다.
테넌트 자동화 수준 변경 ComplianceManagerAutomationLevelChange 관리자가 모든 작업에서 테넌트 자동화 수준을 변경했습니다.
원본 자동화 변경 테스트 ComplianceManagerAutomationChange 관리자가 테스트 원본 자동화 설정을 변경했습니다.

콘텐츠 탐색기 활동

다음 표에서는 콘텐츠 탐색기에서 감사 로그에 기록되는 활동을 보여줍니다. 콘텐츠 탐색기 - Microsoft Purview 포털 및 규정 준수 포털의 데이터 분류 도구에서 액세스합니다. 자세한 내용은 데이터 분류 콘텐츠 탐색기 사용을 참조하세요.

이름 작업 설명
액세스한 항목 LabelContentExplorerAccessedItem 관리자(또는 콘텐츠 탐색기 콘텐츠 뷰어 역할 그룹의 구성원인 사용자)는 콘텐츠 탐색기로 전자 메일 메시지나 SharePoint/OneDrive 문서를 볼 수 있습니다.

부조종사 활동

다음 표에서는 감사 로그에 기록된 Microsoft 365 Copilot 및 Microsoft Copilot 활동을 나열합니다. Copilot는 Microsoft 서비스에서 액세스할 수 있습니다. 활동에는 사용자가 Copilot와 상호 작용하는 방법과 시기가 포함됩니다. 여기에는 활동이 발생한 Microsoft 서비스 및 상호 작용 중에 액세스한 파일에 대한 참조가 포함됩니다. Copilot 상호 작용 이벤트 및 스키마 예제에 대한 자세한 내용은 Copilot 상호 작용 이벤트 개요를 참조하세요.

상호 작용 중에 사용자의 프롬프트에서 텍스트에 액세스하려면 콘텐츠 검색 을 참조하거나 AI용 데이터 보안 태세 관리의 활동 탐색기에서 AI 상호 작용 이벤트를 봅니다.

Copilot에 대한 감사 및 기타 규정 준수 관리 옵션에 대한 자세한 내용은 Copilot에 대한 Microsoft Purview 지원 규정 준수 관리를 참조하세요.

이름 작업 설명
새 Copilot 플러그 인을 만들었습니다. CreateCopilotPlugin 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 새 Copilot 플러그 인을 만들었습니다.
새 Copilot 프롬프트북을 만들었습니다. CreateCopilotPromptBook 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot에서 새 프롬프트북을 만들었습니다.
Copilot 플러그 인을 삭제했습니다. DeleteCopilotPlugin 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 플러그 인을 삭제했습니다.
Copilot 프롬프트북을 삭제했습니다. DeleteCopilotPromptBook 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 프롬프트북을 삭제했습니다.
Copilot 플러그 인 사용 안 함 DisableCopilotPlugin 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 플러그 인을 사용하지 않도록 설정했습니다.
Copilot 프롬프트북 사용 안 함 DisableCopilotPromptBook 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 프롬프트북을 사용하지 않도록 설정했습니다.
Copilot 플러그 인 사용 EnableCopilotPlugin 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 플러그 인을 사용하도록 설정했습니다.
Copilot 프롬프트북 사용 EnableCopilotPromptBook 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 프롬프트북을 사용하도록 설정했습니다.
Copilot와 상호 작용 CopilotInteraction 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot에 프롬프트를 입력했습니다.
Copilot 플러그 인 설정 업데이트됨 UpdateCopilotPlugin 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 플러그 인 설정을 업데이트했습니다.
Copilot 프롬프트북 설정 업데이트됨 UpdateCopilotPromptBook 사용자(또는 사용자를 대신하여 관리자 또는 시스템)가 Copilot 프롬프트북 설정을 업데이트했습니다.
Copilot 설정 업데이트됨 UpdateCopilotSettings 관리자(또는 관리자 대신 시스템)가 Copilot 설정을 업데이트했습니다.

디렉터리 관리 활동

다음 표에서는 관리자가 Microsoft 365 관리 센터 또는 Azure 관리 포털에서 organization 관리할 때 기록되는 Microsoft Entra 디렉터리 및 도메인 관련 활동을 나열합니다.

참고

다음 표의 작업 열에 나열된 작업 이름에는 마침표(.)가 포함되어 있습니다. 감사 로그를 검색하거나, 감사 보존 정책을 만들거나, 경고 정책을 만들거나, 활동 알림을 만들 때 PowerShell 명령에서 작업을 지정하는 경우 작업 이름에 기간을 포함해야 합니다. 작업 이름을 포함하기 위해 반드시 두 개의 물음표(" ")를 사용해야 합니다.

이름 작업 설명
회사에 도메인 추가됨 회사에 도메인을 추가합니다. 조직에 도메인을 추가했습니다.
디렉터리에 파트너 추가됨 회사에 파트너를 추가합니다. 조직에 파트너(위임된 관리자)를 추가했습니다.
회사에서 도메인 제거됨 회사에서 도메인을 제거합니다. 조직에서 도메인을 제거했습니다.
디렉터리에서 파트너 제거됨 회사에서 파트너를 제거합니다. 조직에서 파트너(위임된 관리자)를 제거했습니다.
회사 정보 설정 회사 정보를 설정합니다. 조직에 대한 회사 정보를 업데이트했습니다. Microsoft 365에서 보낸 구독 관련 전자 메일의 이메일 주소와 Microsoft 365 서비스에 대한 기술 알림을 포함합니다.
도메인 인증 설정 도메인 인증을 설정합니다. 조직에 대한 도메인 인증 설정을 변경했습니다.
도메인에 대한 페더레이션 설정 업데이트됨 도메인에 대한 페더레이션 설정을 지정합니다. 조직에 대한 페더레이션(외부 공유) 설정을 변경했습니다.
암호 정책 설정 암호 정책을 설정합니다. 조직의 사용자 암호에 대한 길이 및 문자 제약 조건을 변경했습니다.
Azure AD Sync 켜짐 DirSyncEnabled 플래그를 설정합니다. Azure AD 동기화에 대해 디렉터리를 사용하도록 설정하는 속성을 설정합니다.
도메인 업데이트됨 도메인을 업데이트합니다. 조직의 도메인 설정을 업데이트했습니다.
도메인 확인됨 도메인을 확인합니다. 조직이 도메인의 소유자임을 확인했습니다.
전자 메일 확인 도메인 확인됨 전자 메일 확인 도메인을 확인합니다. 전자 메일 확인을 사용하여 조직이 도메인의 소유자임을 확인했습니다.

처리 검토 활동

다음 표에서는 항목이 구성된 보존 기간의 끝에 도달하거나 항목이 자동으로 다음 처리 단계로 이동되거나 자동 승인의 결과로 영구적으로 삭제될 때 처리 검토자가 수행한 활동을 나열합니다.

이름 작업 설명
승인된 폐기 ApproveDisposal 수동 승인을 위해: 처리 검토자가 다음 처리 단계로 이동하기 위해 항목의 처리를 승인했습니다. 항목이 처리 검토의 유일한 또는 최종 단계에 있는 경우 처분 승인은 항목을 영구 삭제 대상으로 표시했습니다.

자동 승인의 경우: 구성된 자동 승인 기간 내에 수동 작업이 수행되지 않았기 때문에 항목이 자동으로 다음 처리 단계로 이동되었습니다. 항목이 처리 검토의 유일한 또는 최종 단계에 있는 경우 항목은 자동으로 영구 삭제될 수 있습니다.
연장된 보존 기간 ExtendRetention 처리 검토자가 항목의 보존 기간을 연장했습니다.
레이블이 변경된 항목 RelabelItem 처리 검토자가 보존 레이블의 레이블을 다시 지정했습니다.
추가된 검토자 AddReviewer 처리 검토자가 현재 처리 검토 단계에 하나 이상의 다른 사용자를 추가했습니다.

eDiscovery 활동

Microsoft Purview 포털에서 수행되는 콘텐츠 검색 및 eDiscovery 관련 활동(Microsoft Purview eDiscovery(Standard) 및 Microsoft Purview eDiscovery(프리미엄)의 경우) Microsoft Purview 규정 준수 포털또는 해당 PowerShell cmdlet을 실행하면 감사 로그에 기록됩니다. 이벤트는 관리자 또는 eDiscovery 관리자(또는 사용자가 할당한 eDiscovery 권한)가 포털에서 다음 콘텐츠 검색 및 eDiscovery(Standard) 작업을 수행할 때 기록됩니다.

  • eDiscovery(Standard) 및 eDiscovery(프리미엄) 사례를 만들고 관리합니다.
  • 콘텐츠 검색 만들기, 시작 및 편집
  • 검색 결과 미리 보기, 내보내기 및 삭제와 같은 검색 작업을 수행합니다.
  • eDiscovery(프리미엄)에서 보유자 및 검토 집합 관리.
  • 콘텐츠 검색에 대한 권한 필터링 구성
  • eDiscovery 관리자 역할 관리.

감사 로그 검색, 필요한 권한 및 검색 결과를 내보내는 방법에 대한 자세한 내용은 감사 로그 검색을 참조하세요.

참고

eDiscovery 활동 아래에 나열된 활동과 활동 드롭다운 목록의 eDiscovery(프리미엄) 활동으로 인해 발생하는 활동이 검색 결과에 표시되는 데 최대 30분이 걸립니다. 반대로, eDiscovery cmdlet 활동의 해당 이벤트가 검색 결과에 나타날 때까지는 최대 24시간이 걸립니다.

콘텐츠 검색 및 eDiscovery(Standard) 활동

다음 표에서는 관리자 또는 eDiscovery 관리자가 규정 준수 포털을 사용하여 eDiscovery 관련 활동을 수행할 때 기록되는 콘텐츠 검색 및 eDiscovery(Standard) 활동에 대해 설명합니다. eDiscovery(프리미엄)에서 수행된 일부 활동은 이 목록에서 활동을 검색할 때 반환될 수 있습니다.

참고

이 섹션에 설명된 eDiscovery 활동은 다음 섹션에 설명된 eDiscovery cmdlet 활동과 유사한 정보를 제공합니다. 30분 이내에 감사 로그 검색 결과에 표시되므로 이 섹션에 설명된 eDiscovery 활동을 사용하는 것이 좋습니다. eDiscovery cmdlet 활동이 감사 로그 검색 결과에 표시되는 데 최대 24시간이 걸릴 수 있습니다.

이름 작업 해당 cmdlet 설명
eDiscovery 사례에 멤버 추가
CaseMemberAdded
Add-ComplianceCaseMember
사용자가 eDiscovery 사례의 멤버로 추가되었습니다. 사례의 멤버로서 사용자는 필요한 권한이 할당되었는지 여부에 따라 다양한 사례 관련 작업을 수행할 수 있습니다.
변경된 콘텐츠 검색
SearchUpdated
Set-ComplianceSearch
기존 콘텐츠 검색이 변경되었습니다. 변경 내용에는 콘텐츠 위치 추가 또는 제거 또는 검색 쿼리 편집이 포함될 수 있습니다.
eDiscovery 관리자 구성원이 변경됨
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
organization eDiscovery 관리자 목록이 변경되었습니다. 이 활동은 eDiscovery 관리자 목록이 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 사용자를 추가하거나 제거하면 CaseAdminAdded 작업이 기록됩니다.
eDiscovery 케이스 변경됨
CaseUpdated
Set-ComplianceCase
eDiscovery 사례가 변경되었습니다. 변경 내용에는 열린 케이스를 닫거나 닫힌 케이스를 다시 여는 것이 포함됩니다.
eDiscovery 사례 멤버 자격 변경
CaseMemberUpdated
Update-ComplianceCaseMember
eDiscovery 사례의 멤버 자격 목록이 변경되었습니다. 이 활동은 모든 멤버가 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 멤버를 추가하거나 제거하면 CaseMemberAdded 또는 CaseMemberRemoved 작업이 기록됩니다.
변경된 검색 권한 필터
SearchPermissionUpdated
Set-ComplianceSecurityFilter
검색 권한 필터가 변경되었습니다.
eDiscovery 사례 보존에 대한 검색 쿼리가 변경됨
HoldUpdated
Set-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 변경되었습니다. 가능한 변경 사항에는 쿼리 기반 보류에 대한 쿼리 또는 날짜 범위 편집이 포함됩니다.
콘텐츠 검색 미리 보기 항목 다운로드됨
PreviewItemDownloaded
해당 없음
사용자가 검색 결과를 미리 볼 때 원래 항목 다운로드 링크를 선택하여 로컬 컴퓨터에 항목을 다운로드 했습니다.
나열된 콘텐츠 검색 미리 보기 항목
PreviewItemListed
해당 없음
사용자가 검색 결과 미리 보기를 선택하여 검색 결과에서 최대 1,000개 항목을 나열하는 미리 보기 검색 결과 페이지를 표시했습니다.
만든 콘텐츠 검색
SearchCreated
New-ComplianceSearch
새 콘텐츠 검색이 만들어졌습니다.
eDiscovery 관리자를 만들었습니다.
CaseAdminAdded
Add-eDiscoveryCaseAdmin
사용자가 organization eDiscovery 관리자로 추가되었습니다.
만든 eDiscovery 사례
CaseAdded
New-ComplianceCase
eDiscovery 사례가 만들어졌습니다. 케이스가 만들어지면 이름을 지정하기만 하면 됩니다. 멤버 추가, 보류 만들기 및 사례와 관련된 콘텐츠 검색 만들기와 같은 기타 사례 관련 작업으로 인해 추가 이벤트가 기록됩니다.
만든 검색 권한 필터
SearchPermissionCreated
New-ComplianceSecurityFilter
검색 권한 필터가 만들어졌습니다.
eDiscovery 사례 보존에 대한 검색 쿼리를 만들었습니다.
HoldCreated
New-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 만들어졌습니다.
삭제된 콘텐츠 검색
SearchRemoved
Remove-ComplianceSearch
기존 콘텐츠 검색이 삭제되었습니다.
삭제된 eDiscovery 관리자
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
eDiscovery 관리자가 organization 삭제되었습니다.
삭제된 eDiscovery 사례
CaseRemoved
Remove-ComplianceCase
eDiscovery 사례가 삭제되었습니다. 케이스를 삭제하려면 케이스와 관련된 모든 보류를 제거해야 합니다.
삭제된 검색 권한 필터
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
검색 권한 필터가 삭제되었습니다.
eDiscovery 사례 보존에 대한 삭제된 검색 쿼리
HoldRemoved
Remove-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 삭제되었습니다. 보류에서 쿼리를 제거하는 것은 보류를 삭제한 결과인 경우가 많습니다. 보류 또는 보류 쿼리가 삭제되면 보류 중인 콘텐츠 위치가 해제됩니다.
콘텐츠 검색의 다운로드된 내보내기
SearchExportDownloaded
해당 없음
사용자가 콘텐츠 검색 결과를 로컬 컴퓨터에 다운로드했습니다. 검색 결과를 다운로드하려면 먼저 콘텐츠 검색 활동의 시작 내보내기를 시작해야 합니다.
콘텐츠 검색의 미리 보기 결과
SearchPreviewed
해당 없음
사용자가 콘텐츠 검색 결과를 미리 찾습니다.
콘텐츠 검색의 제거된 결과
SearchResultsPurged
New-ComplianceSearchAction
사용자가 New-ComplianceSearchAction -Purge 명령을 실행하여 콘텐츠 검색 결과를 제거했습니다.
콘텐츠 검색 분석 제거됨
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
콘텐츠 검색 준비 작업(eDiscovery(프리미엄)에 대한 검색 결과를 준비하기 위해)이 삭제되었습니다. 준비 작업이 2주 미만인 경우 eDiscovery(프리미엄)를 위해 준비된 검색 결과가 Microsoft Azure 스토리지 영역에서 삭제되었습니다. 준비 작업이 2주보다 오래된 경우 이 이벤트는 해당 준비 작업만 삭제되었음을 나타냅니다.
콘텐츠 검색 내보내기 제거됨
RemovedSearchExported
Remove-ComplianceSearchAction
콘텐츠 검색 내보내기 작업이 삭제되었습니다. 내보내기 작업이 2주 미만인 경우 Microsoft Azure 스토리지 영역에 업로드된 검색 결과가 삭제되었습니다. 내보내기 작업이 2주보다 오래된 경우 이 이벤트는 해당 내보내기 작업만 삭제되었음을 나타냅니다.
eDiscovery 사례에서 멤버 제거됨
CaseMemberRemoved
Remove-ComplianceCaseMember
사용자가 eDiscovery 사례의 멤버로 제거되었습니다.
콘텐츠 검색의 미리 보기 결과 제거됨
RemovedSearchPreviewed
Remove-ComplianceSearchAction
콘텐츠 검색 미리 보기 작업이 삭제되었습니다.
콘텐츠 검색에서 수행된 제거 작업 제거
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
콘텐츠 검색 제거 작업이 삭제되었습니다.
검색 보고서 제거됨
SearchReportRemoved
Remove-ComplianceSearchAction
콘텐츠 검색 내보내기 보고서 작업이 삭제되었습니다.
콘텐츠 검색 분석 시작
SearchResultsSentToZoom
New-ComplianceSearchAction
콘텐츠 검색 결과는 eDiscovery(프리미엄)에서 분석을 위해 준비되었습니다.
시작된 콘텐츠 검색
SearchStarted
Start-ComplianceSearch
콘텐츠 검색이 시작되었습니다. 규정 준수 포털을 사용하여 콘텐츠 검색을 만들거나 변경하면 검색이 자동으로 시작됩니다.
콘텐츠 검색 내보내기 시작
SearchExported
New-ComplianceSearchAction
사용자가 콘텐츠 검색 결과를 내보냅니다.
내보내기 시작 보고서
SearchReport
New-ComplianceSearchAction
사용자가 콘텐츠 검색 보고서를 내보냅니다.
중지된 콘텐츠 검색
SearchStopped
Stop-ComplianceSearch
사용자가 콘텐츠 검색을 중지했습니다.
(없음) CaseViewed Get-ComplianceCase 사용자가 규정 준수 포털에서 eDiscovery(Standard) 사례를 확인했습니다. 이 이벤트에 대한 감사 레코드에는 조회된 사례의 이름이 포함됩니다.
(없음) SearchViewed Get-ComplianceSearch 사용자는 eDiscovery(Standard) 사례의 검색 탭에서 검색에 액세스하거나 콘텐츠 검색 페이지에서 액세스하여 규정 준수 포털에서 콘텐츠 검색을 확인했습니다. 이 이벤트에 대한 감사 레코드에는 조회된 검색의 ID가 포함됩니다.
(없음) ViewedSearchExported Get-ComplianceSearchAction -Export 사용자가 콘텐츠 검색 페이지의 내보내 기 탭에서 내보내기 액세스하여 규정 준수 포털에서 콘텐츠 검색 내보내기를 찾습니다. 이 활동은 사용자가 eDiscovery(Standard) 사례와 연결된 내보내기도 볼 때 기록됩니다.
(없음) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview 사용자가 규정 준수 포털에서 콘텐츠 검색 결과를 미리 찾습니다. 이 활동은 사용자가 eDiscovery(Standard) 사례와 관련된 검색 결과를 미리 볼 때도 기록됩니다.

eDiscovery(프리미엄) 활동

다음 표에서는 감사 로그에 기록된 eDiscovery(프리미엄) 활동에 대해 설명합니다. 이러한 활동을 사용하여 eDiscovery(프리미엄) 사례에서 활동의 진행 상황을 추적할 수 있습니다.

이름 작업 설명
다른 검토 집합에 데이터 추가됨 AddWorkingSetQueryToWorkingSet 사용자가 한 검토 집합에서 다른 검토 집합으로 문서를 추가했습니다.
검토 집합에 데이터 추가됨 AddQueryToWorkingSet 사용자는 eDiscovery(프리미엄) 사례와 연결된 콘텐츠 검색의 검색 결과를 검토 집합에 추가했습니다.
검토 집합에 비 Microsoft 365 데이터 추가됨 AddNonOffice365DataToWorkingSet 사용자가 검토 집합에 비 Microsoft 365 데이터를 추가했습니다.
수정된 문서가 검토 집합에 추가됨 AddRemediatedData 사용자가 검토 집합으로 수정된 색인 작성 오류가 있는 문서를 업로드합니다.
검토 집합의 데이터가 분석됨 RunAlgo 사용자는 검토 집합의 문서에 대한 분석을 실행했습니다.
검토 집합의 문서에 주석이 달림 AnnotateDocument 사용자가 검토 집합의 문서에 주석을 달았습니다. 주석에는 문서의 내용을 편집하는 것이 포함되어 있습니다.
부하 집합 비교됨 LoadComparisonJob 사용자가 검토 집합에서 서로 다른 두 개의 부하 집합을 비교했습니다. 부하 집합은 사례와 연결된 콘텐츠 검색 데이터가 검토 집합에 추가되는 경우입니다.
편집된 문서가 PDF로 변환됨 BurnJob 사용자가 검토의 모든 편집된 문서를 PDF 파일로 변환했습니다.
검토 집합 생성됨 CreateWorkingSet 사용자가 검토 집합을 만들었습니다.
검토 집합 검색 생성됨 CreateWorkingSetSearch 사용자가 검토 집합에서 문서를 검색하는 검색 쿼리를 만들었습니다.
태그 생성됨 태그 생성 사용자가 검토 집합에 태그 그룹을 만들었습니다. 태그 그룹에는 하나 이상의 하위 태그가 포함될 수 있습니다. 그런 다음 이 태그를 사용하여 검토 집합의 문서에 태그를 지정합니다.
검토 집합 검색 삭제됨 DeleteWorkingSetSearch 사용자가 검토 집합에서 검색 쿼리를 삭제했습니다.
태그 삭제됨 DeleteTag 사용자가 검토 집합의 태그 그룹을 삭제었습니다.
문서 다운로드됨 DownloadDocument 사용자가 검토 집합에서 문서를 다운로드했습니다.
태그 편집됨 UpdateTag 사용자가 검토 집합에서 태그를 변경했습니다.
검토 집합에서 문서 내보냄 ExportJob 사용자가 검토 집합에서 문서를 내보냈습니다.
사례 설정 수정됨 UpdateCaseSettings 사용자가 사례에 대한 설정을 수정했습니다. 사례 설정에는 사례 정보, 액세스 권한 및 검색 및 분석 동작을 제어하는 설정이 포함됩니다.
검토 집합 검색 수정됨 UpdateWorkingSetSearch 사용자가 검토 집합에서 검색 쿼리를 편집했습니다.
검토 집합 검색 미리 보기됨 PreviewWorkingSetSearch 사용자가 검토 집합에 검색 쿼리의 결과를 미리 보았습니다.
오류 문서 수정됨 ErrorRemediationJob 사용자가 인덱싱 오류가 있는 파일을 수정합니다.
문서에 태그가 지정됨 TagFiles 사용자가 검토 집합의 문서에 태그를 지정합니다.
쿼리의 결과가 태그됨 TagJob 사용자는 검토 집합의 검색 쿼리 조건과 일치하는 모든 문서를 태그합니다.
검토 집합의 문서 조회됨 ViewDocument 사용자가 검토 집합의 문서를 조회했습니다.

eDiscovery cmdlet 작업

다음 표에서는 관리자 또는 사용자가 규정 준수 포털을 사용하거나 보안 & 준수 PowerShell에서 해당 cmdlet을 실행하여 eDiscovery 관련 작업을 수행할 때 기록되는 cmdlet 감사 로그 레코드를 나열합니다. 감사 로그 레코드의 자세한 정보는 이 테이블에 나열된 cmdlet 작업과 이전 섹션에 설명된 eDiscovery 작업에 따라 다릅니다.

앞에서 설명한 대로 eDiscovery cmdlet 활동이 감사 로그 검색 결과에 표시되는 데 최대 24시간이 걸릴 수 있습니다.

다음 표의 작업 열에 있는 cmdlet은 TechNet의 해당 cmdlet 도움말 항목에 연결됩니다. 각 cmdlet에 사용 가능한 매개 변수에 대한 설명을 보려면 cmdlet 도움말 항목으로 이동합니다. cmdlet과 함께 사용된 매개 변수 및 매개 변수 값은 기록된 각 eDiscovery cmdlet 작업에 대한 감사 로그 항목에 포함됩니다.

이름 작업(cmdlet) 설명
eDiscovery 사례에서 보류 만들기
New-CaseHoldPolicy
eDiscovery 사례에 대한 보류가 만들어졌습니다. 콘텐츠 원본을 지정하거나 지정하지 않고 보류를 만들 수 있습니다. 콘텐츠 원본이 지정된 경우 감사 로그 항목에서 식별됩니다.
eDiscovery 사례에서 삭제된 보존
Remove-CaseHoldPolicy
eDiscovery 사례와 연결된 보류가 삭제되었습니다. 보류를 삭제하면 보류에서 모든 콘텐츠 위치가 해제됩니다. 보류를 삭제하면 보류와 연결된 사례 보존 규칙도 삭제됩니다( Remove-CaseHoldRule 참조).
eDiscovery 케이스의 보류 변경됨
Set-CaseHoldPolicy
eDiscovery와 연결된 보류가 변경되었습니다. 가능한 변경 사항에는 콘텐츠 위치 추가 또는 제거 또는 보류 해제(비활성화)가 포함됩니다.
eDiscovery 사례 보존에 대한 검색 쿼리를 만들었습니다.
New-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 만들어졌습니다.
eDiscovery 사례 보존에 대한 삭제된 검색 쿼리
Remove-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 삭제되었습니다. 보류에서 쿼리를 제거하는 것은 보류를 삭제한 결과인 경우가 많습니다. 보류 또는 보류 쿼리가 삭제되면 보류 중인 콘텐츠 위치가 해제됩니다.
eDiscovery 사례 보존에 대한 검색 쿼리가 변경됨
Set-CaseHoldRule
eDiscovery 사례와 연결된 쿼리 기반 보류가 변경되었습니다. 가능한 변경 사항에는 쿼리 기반 보류에 대한 쿼리 또는 날짜 범위 편집이 포함됩니다.
만든 eDiscovery 사례
New-ComplianceCase
eDiscovery 사례가 만들어졌습니다. 케이스가 만들어지면 이름을 지정하기만 하면 됩니다. 멤버 추가, 보류 만들기 및 사례와 관련된 콘텐츠 검색 만들기와 같은 기타 사례 관련 작업으로 인해 추가 이벤트가 기록됩니다.
삭제된 eDiscovery 사례
Remove-ComplianceCase
eDiscovery 사례가 삭제되었습니다. 케이스를 삭제하려면 케이스와 관련된 모든 보류를 제거해야 합니다.
eDiscovery 케이스 변경됨
Set-ComplianceCase
eDiscovery 사례가 변경되었습니다. 변경 내용에는 열린 케이스를 닫거나 닫힌 케이스를 다시 여는 것이 포함됩니다.
eDiscovery 사례에 멤버 추가
Add-ComplianceCaseMember
사용자가 eDiscovery 사례의 멤버로 추가되었습니다. 사례의 멤버로서 사용자는 필요한 권한이 할당되었는지 여부에 따라 다양한 사례 관련 작업을 수행할 수 있습니다.
eDiscovery 사례에서 멤버 제거됨
Remove-ComplianceCaseMember
사용자가 eDiscovery 사례의 멤버로 제거되었습니다.
eDiscovery 사례 멤버 자격 변경
Update-ComplianceCaseMember
eDiscovery 사례의 멤버 자격 목록이 변경되었습니다. 이 활동은 모든 멤버가 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 멤버를 추가하거나 제거하면 Add-ComplianceCaseMember 또는 Remove-ComplianceCaseMember 작업이 기록됩니다.
만든 콘텐츠 검색
New-ComplianceSearch
새 콘텐츠 검색이 만들어졌습니다.
삭제된 콘텐츠 검색
Remove-ComplianceSearch
기존 콘텐츠 검색이 삭제되었습니다.
변경된 콘텐츠 검색
Set-ComplianceSearch
기존 콘텐츠 검색이 변경되었습니다. 변경 내용에는 검색되는 콘텐츠 위치 추가 또는 제거 및 검색 쿼리 편집이 포함될 수 있습니다.
시작된 콘텐츠 검색
Start-ComplianceSearch
콘텐츠 검색이 시작되었습니다. 규정 준수 포털 GUI를 사용하여 콘텐츠 검색을 만들거나 변경하면 검색이 자동으로 시작됩니다. New-ComplianceSearch 또는 Set-ComplianceSearch cmdlet을 사용하여 검색을 만들거나 변경하는 경우 Start-ComplianceSearch cmdlet을 실행하여 검색을 시작해야 합니다.
중지된 콘텐츠 검색
Stop-ComplianceSearch
실행 중인 콘텐츠 검색이 중지되었습니다.
만든 콘텐츠 검색 작업
New-ComplianceSearchAction
콘텐츠 검색 작업이 만들어졌습니다. 콘텐츠 검색 작업에는 검색 결과 미리 보기, 검색 결과 내보내기, eDiscovery에서 분석을 위한 검색 결과 준비(프리미엄), 콘텐츠 검색의 검색 조건과 일치하는 항목을 영구적으로 삭제하는 작업이 포함됩니다.
삭제된 콘텐츠 검색 작업
Remove-ComplianceSearchAction
콘텐츠 검색 작업이 삭제되었습니다.
만든 검색 권한 필터
New-ComplianceSecurityFilter
검색 권한 필터가 만들어졌습니다.
삭제된 검색 권한 필터
Remove-ComplianceSecurityFilter
검색 권한 필터가 삭제되었습니다.
변경된 검색 권한 필터
Set-ComplianceSecurityFilter
검색 권한 필터가 변경되었습니다.
eDiscovery 관리자를 만들었습니다.
Add-eDiscoveryCaseAdmin
사용자가 organization eDiscovery 관리자로 추가되었습니다.
삭제된 eDiscovery 관리자
Remove-eDiscoveryCaseAdmin
eDiscovery 관리자가 organization 삭제되었습니다.
eDiscovery 관리자 구성원이 변경됨
Update-eDiscoveryCaseAdmin
organization eDiscovery 관리자 목록이 변경되었습니다. 이 활동은 eDiscovery 관리자 목록이 새 사용자 그룹으로 대체될 때 기록됩니다. 단일 사용자를 추가하거나 제거하면 Add-eDiscoveryCaseAdmin 또는 Remove-eDiscoveryCaseAdmin 작업이 기록됩니다.
(없음) Get-ComplianceCase
이 활동은 사용자가 eDiscovery(Standard) 또는 eDiscovery(프리미엄) 사례 목록을 볼 때 기록됩니다. 이 활동은 사용자가 eDiscovery(Standard)에서 특정 사례를 볼 때도 기록됩니다. 사용자가 특정 사례를 볼 때 감사 레코드에는 조회된 사례의 ID가 포함됩니다. 사용자가 사례 목록만 본 경우 감사 레코드에는 사례 ID가 포함되지 않습니다.
(없음) Get-ComplianceSearch 이 활동은 사용자가 eDiscovery(Standard) 사례와 관련된 콘텐츠 검색 또는 검색 목록을 볼 때 기록됩니다. 이 활동은 사용자가 특정 콘텐츠 검색을 보거나 eDiscovery(Standard) 사례와 관련된 특정 검색을 볼 때도 기록됩니다. 사용자가 특정 검색을 볼 때 감사 레코드에는 조회된 검색의 ID가 포함됩니다. 사용자가 검색 목록만 본 경우 감사 레코드에는 검색 ID가 포함되지 않습니다.
(없음) Get-ComplianceSearchAction 이 활동은 사용자가 준수 검색 작업(예: 내보내기, 미리 보기 또는 제거) 또는 eDiscovery(Standard) 사례와 관련된 작업 목록을 볼 때 기록됩니다. 또한 이 활동은 사용자가 특정 준수 검색 작업(예: 내보내기)을 보거나 eDiscovery(Standard) 사례와 관련된 특정 작업을 볼 때 기록됩니다. 사용자가 검색 작업을 볼 때 감사 레코드에는 조회된 검색 작업의 ID가 포함됩니다. 사용자가 작업 목록만 본 경우 감사 레코드에는 작업 ID가 포함되지 않습니다.

eDiscovery 활동에 대한 자세한 속성

다음 표에서는 검색 결과에 나열된 eDiscovery 활동의 플라이아웃 페이지에 포함된 속성에 대해 설명합니다. 이러한 속성은 감사 로그 검색 결과를 내보낼 때 CSV 파일에도 포함됩니다. eDiscovery 활동에 대한 감사 로그 레코드에는 다음 표에 나열된 모든 세부 속성이 포함되지 않습니다.

검색 결과를 내보낼 때 CSV 파일에는 다중 값 속성의 다음 표에 설명된 자세한 속성이 포함된 AudtiData라는 열이 포함됩니다. Excel의 Power Query 기능을 사용하여 각 속성에 고유한 열이 있도록 이 열을 여러 열로 분할할 수 있습니다. 이렇게 하면 이러한 속성 중 하나 이상을 정렬하고 필터링할 수 있습니다. 자세한 내용은 감사 로그 검색을 참조하세요.

속성 설명
사례
생성, 변경 또는 삭제된 eDiscovery 사례의 ID(GUID)입니다.
ClientApplication
eDiscovery cmdlet 작업에는 이 속성에 대한 EMC 값이 있습니다. 이는 준수 포털 GUI를 사용하거나 PowerShell에서 cmdlet을 실행하여 활동이 수행되었음을 나타냅니다.
ClientIP
활동이 기록될 때 사용된 장치의 IP 주소입니다. IP 주소는 IPv4 또는 IPv6 주소 형식으로 표시됩니다.
ClientRequestId
eDiscovery 작업의 경우 이 속성은 일반적으로 비어 있습니다.
CmdletVersion
organization 실행되는 규정 준수 포털 버전의 빌드 번호입니다.
CreationTime
eDiscovery 작업이 완료된 UTC(협정 세계시)의 날짜 및 시간입니다.
EffectiveOrganization
Microsoft 365 organization 이름입니다.
ExchangeLocations
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 Exchange Online 사서함입니다.
제외
콘텐츠 검색 또는 eDiscovery 케이스의 보류에서 제외되는 사서함 또는 사이트 위치입니다.
ExtendedProperties
콘텐츠 검색의 추가 속성, 콘텐츠 검색 작업 또는 eDiscovery 사례(예: 개체 GUID 및 활동이 수행될 때 사용된 해당 cmdlet 및 cmdlet 매개 변수)를 보유합니다.
Id
보고서 항목의 ID입니다. ID는 감사 로그 항목을 고유하게 식별합니다.
NonPIIParameters
Operation 속성에서 식별된 cmdlet과 함께 사용된 매개 변수 목록(값 없음)입니다. 이 속성에 나열된 매개 변수는 Parameters 속성에 나열된 매개 변수와 동일합니다.
ObjectId
Operation 속성에 나열된 활동에 의해 생성, 액세스, 변경 또는 삭제된 개체의 GUID 또는 이름(예: 콘텐츠 검색 또는 eDiscovery(Standard) 사례)입니다. 이 개체는 감사 로그 검색 결과의 Item 열에서도 식별됩니다.
ObjectType
사용자가 생성, 삭제 또는 수정한 eDiscovery 개체의 형식입니다. 예를 들어 콘텐츠 검색 작업(미리 보기, 내보내기 또는 제거), eDiscovery 사례 또는 콘텐츠 검색이 있습니다.
작업
수행된 eDiscovery 작업에 해당하는 작업의 이름입니다.
OrganizationId
Microsoft 365 organization 대한 GUID입니다.
매개 변수
해당 cmdlet과 함께 사용된 매개 변수의 이름 및 값입니다.
PublicFolderLocations
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 Exchange Online 공용 폴더 위치입니다.
쿼리
콘텐츠 검색 또는 쿼리 기반 보류와 같은 활동과 연결된 검색 쿼리입니다.
RecordType
레코드로 표시된 작업의 형식입니다. 값 18eDiscovery cmdlet 활동 섹션에 나열된 활동과 관련된 이벤트를 나타냅니다. 값 24eDiscovery 활동 섹션에 나열된 활동과 관련된 이벤트를 나타냅니다.
ResultStatus
작업(Operation 속성에 지정됨)이 성공했는지 여부를 나타냅니다.
SecurityComplianceCenterEventType
활동이 규정 준수 포털 이벤트임을 나타냅니다. 모든 eDiscovery 활동 값은 이 속성에 대해 0 입니다.
SharepointLocations
콘텐츠 검색에 포함되거나 eDiscovery 사례에 보류된 SharePoint Online 사이트입니다.
StartTime
eDiscovery 활동이 시작된 UTC(협정 세계시)의 날짜 및 시간입니다.
UserId
레코드가 기록된 작업(Operation 속성에 지정됨)을 수행한 사용자입니다. 시스템 계정(예: NT AUTHORITY\SYSTEM)에서 수행하는 eDiscovery 활동에 대한 레코드도 감사 로그에 포함됩니다.
UserKey
UserId 속성에서 식별된 사용자의 대체 ID입니다. eDiscovery 작업의 경우 이 속성의 값은 일반적으로 UserId 속성과 동일합니다.
UserServicePlan
organization 사용하는 구독입니다. eDiscovery 작업의 경우 이 속성은 일반적으로 비어 있습니다.
UserType
작업을 수행한 사용자 유형입니다. 다음 값은 사용자 유형을 나타냅니다.
0 일반 사용자입니다. 2 organization 관리자입니다. 3 Microsoft 데이터 센터 관리자 또는 데이터 센터 시스템 계정. 4 시스템 계정. 5 애플리케이션입니다. 6 서비스 주체.
버전
기록된 작업의 버전 번호(Operation 속성으로 식별됨)를 나타냅니다.
워크로드
활동이 발생한 서비스입니다. eDiscovery 활동의 경우 값은 SecurityComplianceCenter입니다.

암호화된 메시지 포털 활동

암호화된 메시지 포털을 통해 암호화된 메시지에 액세스 로그를 사용할 수 있으며, 이를 통해 조직에서 외부 받는 사람이 메시지를 읽고 전달하는 시기를 결정할 수 있습니다. 암호화된 메시지 포털 활동 로그 활성화 및 사용에 대한 자세한 내용은 암호화된 메시지 포털 활동 로그를 참조하세요.

추적된 메시지에 대한 각 감사 항목에는 다음 필드가 포함됩니다.

  • MessageID: 추적 중인 메시지의 ID를 포함합니다. 시스템을 통해 메시지를 따르는 데 사용되는 키 식별자입니다.
  • 받는 사람: 모든 받는 사람 전자 메일 주소 목록입니다.
  • 보낸 사람: 원래 전자 메일 주소입니다.
  • AuthenticationMethod: 메시지에 액세스하기 위한 인증 방법(예: OTP, Yahoo, Gmail 또는 Microsoft)을 설명합니다.
  • AuthenticationStatus: 인증이 성공했거나 실패했음을 나타내는 값을 포함합니다.
  • OperationStatus: 표시된 작업이 성공했는지 실패했는지 여부를 나타냅니다.
  • AttachmentName: 첨부 파일의 이름입니다.
  • OperationProperties: 선택적 속성 목록입니다. 예를 들어 전송된 OTP 암호 수 또는 이메일 제목입니다.

Exchange 관리자 활동

관리자(또는 관리 권한이 할당 된 사용자)가 Exchange Online 조직에서 변경 작업을 수행할 때 Exchange 관리자 감사 로깅(Microsoft 365에서 기본적으로 사용하도록 설정됨)은 감사 로그에 이벤트를 기록합니다. Exchange 관리 센터를 사용하거나 Exchange Online PowerShel에서 cmdlet을 실행하여 수행한 변경 내용은 Exchange 관리 감사 로그에 기록 됩니다. 동사 Get-, Search 또는Test -로 시작하는 Cmdlet은 감사 로그에 기록되지 않습니다. Exchange의 관리자 감사 로깅에 대한 자세한 내용은 관리자 감사 로깅을 참조하세요.

중요

Exchange 관리자 감사 로그(또는 감사 로그)에 기록되지 않는 일부 Exchange Online cmdlet도 있습니다. 이러한 cmdlet 중 다수는 Exchange Online 서비스 유지 관리와 관련이 있으며 Microsoft 데이터 센터 직원 또는 서비스 계정에 의해 실행됩니다. 이 cmdlet은 많은 양의 "소음이 발생 하는" 감사 이벤트를 생성하므로 기록되지 않습니다. 감사 대상이 아닌 Exchange Online cmdlet이 있는 경우 Microsoft 지원에 DCR(디자인 변경 요청)을 제출하세요.

다음은 감사 로그를 검색하는 경우 Exchange 관리 활동을 검색하기 위한 몇 가지 팁입니다.

  • 날짜 범위 상자와 사용자 목록을 사용하여 특정 Exchange 관리자가 특정 날짜 범위 내에 실행한 cmdlet에 대한 검색 결과로 범위를 좁힙니다.
  • Exchange 관리자 감사 로그의 이벤트를 표시하려면 활동 열을 선택하여 cmdlet 이름을 사전순으로 정렬합니다.
  • 실행된 cmdlet, 사용된 매개 변수 및 매개 변수 값, 영향을 받은 개체에 대한 정보를 가져오려면 모든 결과 다운로드 옵션을 선택하여 검색 결과를 내보낼 수 있습니다. 자세한 내용은 감사 로그 레코드 내보내기, 구성 및 보기를 참조하세요.
  • Exchange Online PowerShell에서 Search-UnifiedAuditLog -RecordType ExchangeAdmin 명령을 사용하여 Exchange 관리자 감사 로그의 감사 레코드만 반환할 수도 있습니다. Exchange cmdlet가 실행된 후 해당 감사 로그 항목이 검색 결과에 반환되려면 최대 30분이 걸릴 수 있습니다. 자세한 내용은 Search-UnifiedAuditLog를 참조하세요. Search-UnifiedAuditLog cmdlet에서 반환되는 검색 결과를 CSV 파일로 내보내는 방법에 대한 자세한 내용은 감사 로그 레코드 내보내기, 구성 및 보기의 "감사 로그 내보내기 및 보기 팁" 섹션을 참조하세요.

Exchange 사서함 활동

다음 표에서는 사서함 감사 로깅에서 기록할 수 있는 활동을 보여 줍니다. 사서함 소유자, 위임된 사용자 또는 관리자가 수행하는 사서함 활동은 최대 180일 동안 감사 로그에 자동으로 기록됩니다. 관리자는 조직의 모든 사용자에 대한 사서함 감사 로깅을 해제할 수 있습니다. 이 경우 어떤 사용자에 대한 사서함 작업도 기록되지 않습니다. 자세한 내용은 사서함 감사 관리를 참조하세요.

중요

감사(Standard)의 기본 보존 기간이 90일에서 180일로 변경되었습니다. 2023년 10월 17일 이전에 생성된 감사(Standard) 로그는 90일 동안 유지됩니다. 2023년 10월 17일 또는 그 이후에 생성된 감사(Standard) 로그는 180일의 새로운 기본 보존 기간을 따릅니다.

Exchange Online PowerShell에서 Search-MailboxAuditLog cmdlet을 사용하여 사서함 활동을 검색할 수도 있습니다.

이름 작업 설명
액세스한 사서함 항목 MailItemsAccessed 사서함에서 메시지를 읽거나 액세스했습니다. 이 활동에 대한 감사 레코드는 메일 클라이언트(예: Outlook)가 메시지에 대한 바인드 작업을 수행하는 경우 또는 메일 프로토콜(예: Exchange ActiveSync 또는 IMAP)이 메일 폴더의 항목을 동기화하는 경우의 두 가지 방법 중 하나로 트리거됩니다. 이 활동에 대한 감사 레코드를 분석하면 손상된 전자 메일 계정을 조사할 때 유용합니다.
대리인 사서함 사용 권한 추가됨 Add-MailboxPermission 관리자가 다른 사람의 사서함에 사용자(대리인)에 대한 FullAcess 사서함 사용 권한을 부여했습니다. FullAccess 사용 권한이 부여된 대리인은 다른 사람의 사서함을 열고 사서함의 콘텐츠를 읽거나 관리할 수 있습니다. 이 활동에 대한 감사 레코드는 Microsoft 365 서비스의 시스템 계정이 조직을 대신하여 주기적으로 유지 관리 작업을 수행할 때도 생성됩니다. 시스템 계정에서 수행하는 일반적인 작업은 시스템 사서함에 대한 권한을 업데이트하는 것입니다. 자세한 내용은 Exchange 사서함 감사 레코드의 시스템 계정을 참조하세요.
일정 폴더에 대한 대리인 액세스 권한이 있는 사용자 추가 또는 제거 됨 UpdateCalendarDelegation 사용자가 다른 사용자의 사서함 일정에 대리인으로 추가 또는 제거되었습니다. 일정 위임 기능을 사용하여 같은 조직의 다른 사용자가 사서함 소유자의 일정을 관리할 수 있습니다.
폴더에 사용 권한 추가됨 AddFolderPermissions 폴더 사용 권한이 추가되었습니다. 폴더 사용 권한은 사서함의 폴더와 해당 폴더에 있는 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다.
메시지가 다른 폴더에 복사됨 복사 메시지가 다른 폴더에 복사되었습니다.
생성된 사서함 항목 만들기 항목이 사서함의 일정, 연락처, 메모 또는 작업 폴더에 만들어집니다. 예를 들면 새 모임 요청이 만들어집니다. 메시지 작성, 보내기 또는 받기는 감사되지 않습니다. 또한 사서함 폴더 만들기는 감사되지 않습니다.
Outlook 웹앱에서 새 편지함 규칙 만들어짐 New-InboxRule 사서함에 액세스할 수 있는 사서함 소유자 또는 다른 사용자가 Outlook 웹앱에서 받은 편지함 규칙을 만들었습니다.
지운 편지함 폴더에서 메시지 삭제됨 SoftDelete 지운 편지함 폴더에서 메시지가 영구적으로 삭제 또는 삭제되었습니다. 이러한 항목은 복구 가능한 항목 폴더로 이동됩니다. 사용자가 메시지를 선택하고 Shift+Delete를 누르는 경우에도 복구 가능한 항목 폴더로 이동됩니다.
메시지가 레코드로 지정됨 ApplyRecordLabel 메시지가 레코드로 분류되었습니다. 콘텐츠를 레코드로 분류하는 보존 레이블이 메시지에 수동으로 또는 자동으로 적용될 때 발생합니다.
메시지가 다른 폴더로 이동됨 이동 메시지가 다른 폴더로 이동되었습니다.
메시지가 지운 편지함 폴더로 이동됨 MoveToDeletedItems 메시지가 삭제되어 지운 편지함 폴더로 이동되었습니다.
폴더 권한이 수정됨 UpdateFolderPermissions 폴더 권한이 변경되었습니다. 폴더 권한은 사서함 폴더와 폴더의 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다.
Outlook 웹앱에서 받은 편지함 규칙이 수정됨 Set-InboxRule 사서함에 액세스할 수 있는 사서함 소유자 또는 다른 사용자가 Outlook 웹앱을 사용하여 받은 편지함 규칙을 수정했습니다.
사서함에서 메시지 제거됨 HardDelete 메시지가 복구 가능한 항목 폴더에서 제거되었습니다(사서함에서 영구적으로 삭제됨).
대리인 사서함 사용 권한 제거됨 Remove-MailboxPermission 관리자가 다른 사람의 사서함에서 (대리인에게 부여되었던) FullAccess 사용 권한을 제거했습니다. FullAccess 사용 권한이 제거되면 대리인이 더 이상 다른 사람의 사서함을 열거나 사서함의 콘텐츠에 액세스할 수 없습니다.
폴더에서 사용 권한이 제거됨 RemoveFolderPermissions 폴더 사용 권한이 제거되었습니다. 폴더 사용 권한은 사서함의 폴더와 해당 폴더에 있는 메시지에 액세스할 수 있는 조직의 사용자를 제어합니다.
보낸 메시지 보내기 메시지가 전송되었거나 회신 또는 전달되었습니다.
다른 사람 이름으로 보내기 권한을 사용하여 메시지 전송됨 SendAs SendAs 권한을 사용하여 메시지가 전송되었습니다. 즉 사서함 소유자가 보낸 것처럼 보이도록 하여 다른 사용자가 메시지를 보냈습니다.
대신 보내기 권한을 사용하여 메시지 전송됨 SendOnBehalf SendOnBehalf 권한을 사용하여 메시지가 전송되었습니다. 즉 다른 사용자가 사서함 소유자 대신에 메시지를 보낸 것입니다. 이 메시지는 메시지가 대신 전송된 사람과 실제로 메시지를 보낸 사람을 받는 사람에게 알립니다.
Outlook 클라이언트로부터 편지함 규칙 업데이트됨 UpdateInboxRules 사서함 소유자 또는 사서함에 액세스할 수 있는 다른 사용자가 Outlook 클라이언트를 사용하여 받은 편지함 규칙을 생성, 수정 또는 제거했습니다.
메시지 업데이트됨 업데이트 메시지 또는 해당 속성이 변경되었습니다.
사용자가 사서함에 로그인함 MailboxLogin 사용자가 자신의 사서함에 로그인했습니다.
메시지에 레코드로 레이블을 지정합니다. 사용자가 전자 메일 메시지에 보존 레이블을 적용했으며 해당 레이블은 항목을 레코드로 표시하도록 구성되어 있습니다.

Exchange 사서함 감사 레코드의 시스템 계정

일부 사서함 활동(특히 Add-MailboxPermissions)에 대한 감사 레코드에서 활동을 수행한 사용자(사용자 및 UserId 필드에서 식별됨)가 NT AUTHORITY\SYSTEM 또는 NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost)임을 알 수 있습니다. 이는 활동을 수행한 "사용자"가 Microsoft 클라우드의 Exchange 서비스에 있는 시스템 계정임을 나타냅니다. 이 시스템 계정은 종종 조직을 대신하여 예약된 유지 관리 작업을 수행합니다. 예를 들어 NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) 계정이 수행하는 일반적인 감사 활동은 시스템 사서함인 DiscoverySearchMailbox에 대한 사용 권한을 업데이트하는 것입니다. 이 업데이트의 목적은 FullAccess 권한(기본값)이 DiscoverySearchMailbox에 대한 검색 관리 역할 그룹에 할당되었는지 확인하는 것입니다. eDiscovery 관리자가 organization 필요한 작업을 수행할 수 있는지 확인합니다.

Add-MailboxPermission에 대한 감사 레코드에서 식별될 수 있는 또 다른 시스템 사용자 계정은 입니다Administrator@apcprd03.prod.outlook.com. 이 서비스 계정은 DiscoverySearchMailbox 시스템 사서함에 대한 검색 관리 역할 그룹에 할당된 FullAccess 권한 확인 및 업데이트와 관련된 사서함 감사 레코드에도 포함됩니다. 특히 계정을 식별하는 Administrator@apcprd03.prod.outlook.com 감사 레코드는 일반적으로 Microsoft 지원 담당자가 organization 대신하여 역할 기반 액세스 제어 진단 도구를 실행할 때 트리거됩니다.

파일 및 페이지 활동

다음 표에서는 SharePoint Online 및 비즈니스용 OneDrive의 파일 및 페이지 활동에 대해 설명합니다.

이름 작업 설명
파일에 액세스함 FileAccessed 사용자 또는 시스템 계정이 파일에 액세스합니다. 사용자가 파일에 액세스하면 FileAccessed 이벤트는 다음 5분 동안 동일한 파일에 대해 동일한 사용자에 대해 다시 기록되지 않습니다.
(없음) FileAccessedExtended “파일에 액세스함"(FileAccessed) 활동과 관련이 있습니다. FileAccessedExtended 이벤트는 동일한 사용자가 장시간(최대 3시간) 지속적으로 파일에 액세스할 때 기록됩니다.

FileAccessedExtened 이벤트 로깅의 목적은 파일에 지속적으로 액세스할 때 기록되는 FileAccessed 이벤트의 수를 줄이는 것입니다. 이렇게 하면 기본적으로 무엇이 동일한 사용자 활동인지에 대한 여러 FileAccessed 레코드의 노이즈를 줄일 수 있으며 초기( 및 중요한) FileAccessed 이벤트에 집중할 수 있습니다.
파일의 보존 레이블 변경 ComplianceSettingChanged 보존 레이블이 문서에 적용되거나 문서에서 제거되었습니다. 이 이벤트는 보존 레이블이 수동으로 또는 메시지에 자동으로 적용될 때 트리거됩니다.
레코드 상태를 잠김으로 변경함 LockRecord 문서를 레코드로 분류하는 보존 레이블의 레코드 상태가 잠겼습니다. 즉, 문서를 수정하거나 삭제할 수 없습니다. 사이트에 대한 최소한 참가자 권한이 할당된 사용자만 문서의 레코드 상태를 변경할 수 있습니다.
레코드 상태를 잠김 해제로 변경함 UnlockRecord 문서를 레코드로 분류하는 보존 레이블의 레코드 상태의 잠금이 해제되었습니다. 즉, 문서를 수정하거나 삭제할 수 있습니다. 사이트에 대한 최소한 참가자 권한이 할당된 사용자만 문서의 레코드 상태를 변경할 수 있습니다.
파일 체크 인됨 FileCheckedIn 사용자가 문서 라이브러리에서 체크 아웃한 문서를 체크 인합니다.
파일 체크 아웃됨 FileCheckedOut 사용자가 문서 라이브러리에 있는 문서를 체크 아웃합니다. 사용자는 공유된 문서를 체크 아웃한 후 변경할 수 있습니다.
파일 복사됨 FileCopied 사용자가 사이트에서 문서를 복사합니다. 복사한 파일을 사이트의 다른 폴더에 저장할 수 있습니다.
파일 삭제됨 FileDeleted 사용자가 사이트에서 문서를 삭제합니다.
휴지통에서 파일 삭제됨 FileDeletedFirstStageRecycleBin 사용자가 사이트의 휴지통에서 파일을 삭제합니다.
2단계 휴지통에서 파일 삭제됨 FileDeletedSecondStageRecycleBin 사용자가 사이트의 2단계 휴지통에서 파일을 삭제합니다.
레코드로 표시된 삭제된 파일 RecordDelete 레코드로 표시된 문서 또는 전자 메일이 삭제되었습니다. 아이템을 레코드로 표시하는 보존 레이블이 문서에 적용될 때 항목은 레코드로 간주됩니다.
발견된 문서 민감도 불일치 DocumentSensitivityMismatchDetected 사용자는 민감도 레이블로 보호된 사이트에 문서를 업로드하고 문서는 사이트에 적용된 민감도 레이블보다 우선 순위 민감도 레이블을 갖습니다. 예를 들어 기밀 이라는 레이블이 지정된 문서가 일반 사이트에 업로드됩니다.

이 이벤트는 사이트에 적용된 민감도 레이블 보다 문서에 적용된 민감도 레이블이 우선 순위가 낮은 경우 트리거되지 않습니다. 예를 들어 일반이라는 레이블이 지정된 문서가 기밀 사이트에 업로드됩니다. 민감도 레이블 우선 순위에 대한 자세한 정보는 라벨 우선 순위(순서 중요)를 참조하십시오.
파일에서 맬웨어 검색됨 FileMalwareDetected SharePoint 바이러스 백신 엔진이 파일에서 맬웨어를 검색합니다.
파일 체크 아웃 취소됨 FileCheckOutDiscarded 사용자가 체크 아웃된 파일을 삭제(또는 취소)합니다. 즉, 체크 아웃한 파일의 변경 내용은 취소되고, 문서 라이브러리에 있는 문서 버전에 저장되지 않습니다.
다운로드한 파일 FileDownloaded 사용자가 사이트에서 문서를 다운로드합니다.
파일 수정됨 FileModified 사용자 또는 시스템 계정이 사이트에 있는 문서의 콘텐츠 또는 속석을 수정합니다. 동일한 사용자가 동일한 문서의 내용이나 속성을 수정할 때 시스템은 다른 FileModified 이벤트를 기록하기 전에 5분을 기다립니다.
(없음) FileModifiedExtended “파일 수정됨"(FileModified) 활동과 관련이 있습니다. FileModifiedExtended 이벤트는 동일한 사용자가 장시간(최대 3시간) 지속적으로 파일을 수정할 때 기록됩니다.

FileModifiedExtended 이벤트 로깅의 목적은 파일이 지속적으로 수정될 때 기록되는 FileModified 이벤트의 수를 줄이는 것입니다. 이렇게 하면 기본적으로 무엇이 동일한 사용자 활동인지에 대한 여러 FileModified 레코드의 노이즈를 줄일 수 있으며 초기( 및 중요한) FileModified 이벤트에 집중할 수 있습니다.
파일 이동됨 FileMoved 사용자가 사이트의 현재 위치에서 새 위치로 문서를 이동합니다.
(없음) FilePreviewed 사용자가 SharePoint 또는 비즈니스용 OneDrive 사이트에서 파일을 미리 봅니다. 이러한 이벤트는 일반적으로 이미지 갤러리 보기와 같이 단일 활동을 기반으로 대량으로 발생합니다.
수행한 검색 쿼리 SearchQueryPerformed 사용자 또는 시스템 계정이 SharePoint 또는 비즈니스용 OneDrive에서 검색을 수행합니다. 서비스 계정이 검색 쿼리를 수행하는 몇 가지 일반적인 시나리오에는 사이트 및 OneDrive 계정에 eDiscovery 보존 및 보존 정책을 적용하고 사이트 콘텐츠에 보존 또는 민감도 레이블을 자동으로 적용하는 것이 포함됩니다. 이 활동에 대한 로깅을 사용하도록 설정하려면 감사 솔루션 시작을 참조하세요.
파일을 휴지통으로 이동함 FileRecycled 사용자가 파일을 SharePoint 휴지통 이동합니다.
폴더를 휴지통으로 이동함 FolderRecycled 사용자가 폴더를 SharePoint 휴지통 이동합니다.
파일의 모든 부 버전이 재생됨 FileVersionsAllMinorsRecycled 사용자가 파일의 버전 기록에서 모든 부 버전을 삭제합니다. 삭제된 버전은 사이트의 휴지통으로 이동됩니다.
파일의 모든 버전이 재생됨 FileVersionsAllRecycled 사용자가 파일의 버전 기록에서 모든 버전을 삭제합니다. 삭제된 버전은 사이트의 휴지통으로 이동됩니다.
파일의 버전이 재생됨 FileVersionRecycled 사용자가 파일의 버전 기록에서 버전을 삭제합니다. 삭제된 버전은 사이트의 휴지통으로 이동됩니다.
파일 이름 바뀜 FileRenamed 사용자가 문서의 이름을 바꿉니다.
파일 복원됨 FileRestored 사용자가 사이트의 휴지통에서 문서를 복원합니다.
파일 업로드됨 FileUploaded 사용자가 사이트의 폴더에 문서를 업로드합니다.
페이지 확인함 PageViewed 사용자가 사이트에서 페이지를 확인합니다. 웹 브라우저를 사용하여 문서 라이브러리에 있는 파일을 확인하는 작업은 포함되지 않습니다. 사용자가 페이지를 보는 경우 다음 5분 동안 동일한 사용자에 대해 PageViewed 이벤트가 다시 기록되지 않습니다.
(없음) PageViewedExtended “페이지 확인함”(PageViewed) 활동과 관련이 있습니다. PageViewedExtended 이벤트는 동일한 사용자가 장시간(최대 3시간) 지속적으로 웹 페이지를 확인할 때 기록됩니다.

PageViewedExtended 이벤트 로깅의 목적은 페이지가 지속적으로 조회될 때 기록되는 PageViewed 이벤트 수를 줄이는 것입니다. 이렇게 하면 기본적으로 무엇이 동일한 사용자 활동인지에 대한 여러 PageViewed 레코드의 노이즈를 줄일 수 있으며 초기( 및 중요한) PageViewed 이벤트에 집중할 수 있습니다.
클라이언트가 신호를 보낸 보기 ClientViewSignaled 사용자의 클라이언트(예 : 웹 사이트 또는 모바일 앱)가 표시된 페이지를 사용자가 본다는 신호를 보냈습니다. 이 활동은 페이지에 대한 PagePrefetched 이벤트를 통해 기록되는 경우가 많습니다.

참고 : ClientViewSignaled 이벤트는 서버가 아닌 클라이언트가 신호하므로 이벤트가 서버에 의해 기록되지 않아 감사 로그에 표시되지 않을 수 있습니다. 감사 레코드의 정보가 신뢰되지 않을 수도 있습니다. 그러나 사용자의 ID는 신호를 만드는 데 사용되는 토큰에 의해 유효성이 검사되므로 해당 감사 레코드에 나열된 사용자 ID가 정확합니다. 시스템은 동일한 사용자의 클라이언트가 사용자가 페이지를 다시 보았다는 신호를 보낼 때 동일한 이벤트를 기록하기 전에 5분을 기다립니다.
(없음) PagePrefetched 사용자의 클라이언트(예 : 웹 사이트 또는 모바일 앱)가 사용자가 웹 페이지를 탐색할 때 성능을 개선할 수 있도록 표시된 페이지를 요청했습니다. 이 이벤트는 페이지 콘텐츠가 사용자의 클라이언트에게 제공되었음을 나타내기 위해 기록됩니다. 이 이벤트는 사용자가 페이지를 탐색했다는 명확한 표시가 아닙니다.

클라이언트가 페이지 콘텐츠를 렌더링하면(사용자 요청에 따라) ClientViewSignaled 이벤트가 생성되어야 합니다. 일부 클라이언트는 프리페치를 나타내는 것을 지원하지 않으므로 일부 프리페치된 활동은 PageViewed 이벤트로 기록될 수 있습니다.

FileAccessed 및 FilePreviewed 이벤트에 대한 자주 묻는 질문

비사용자의 활동이 "OneDriveMpc-Transform_Thumbnail"과 같은 사용자 에이전트를 포함하는 FilePreviewed 감사 레코드를 트리거할 수 있나요?

비사용자 작업에서 이와 같은 이벤트를 생성하는 시나리오는 알지 못합니다. 사용자 프로필 카드 여는 것과 같은 사용자 작업(웹용 Outlook 메시지에서 이름 또는 전자 메일 주소를 선택하여)은 유사한 이벤트를 생성합니다.

OneDriveMpc-Transform_Thumbnail에 대한 통화는 항상 사용자가 의도적으로 트리거하나요?

아니요. 그러나 브라우저 프리페치의 결과로 유사한 이벤트를 기록할 수 있습니다.

Microsoft에서 등록한 IP 주소에서 오는 FilePreviewed 이벤트가 표시되는 경우, 사용자의 장치 화면에 미리 보기가 표시되었다는 것을 의미 하나요?

아니요. 이벤트가 브라우저 프리페치의 결과로 기록되었을 수 있습니다.

문서를 미리 보는 사용자가 FileAccessed 이벤트를 생성하는 경우의 시나리오가 있나요?

FilePreviewed 및 FileAccessed 이벤트 모두 사용자의 통화에서 파일의 읽기(혹은 파일의 축소판 그림 렌더링의 읽기)로 이어졌음을 나타냅니다. 이러한 이벤트는 미리 보기와 액세스 의도에 맞추어 정렬되지만, 이벤트의 구분이 사용자의 의도를 보장하지는 않습니다.

감사 레코드의 app@sharepoint 사용자

일부 파일 작업(및 기타 SharePoint 관련 작업)에 대한 감사 기록에서 작업을 수행한 사용자(User 및 UserId 필드에 식별됨)가 app@sharepoint인 것을 알 수 있습니다. 이는 작업을 수행한 "사용자"가 응용 프로그램임을 나타냅니다. 이 경우 응용 프로그램은 사용자, 관리자 또는 서비스를 대신하여 조직 전체 작업(예: SharePoint 사이트 검색 또는 OneDrive 계정 검색)을 수행할 수 있는 권한을 SharePoint에서 부여 받았습니다. 응용 프로그램에 대한 사용 권한을 부여하는 프로세스를 SharePoint 앱 전용 액세스 권한이라고 합니다. 이는 사용자가 아닌 응용 프로그램에서 작업을 수행하기 위해 SharePoint에 제공되는 인증을 의미합니다. App@sharepoint 사용자가 특정 감사 레코드로 식별되었기 때문입니다. 자세한 내용은 SharePoint 앱 전용을 사용하여 액세스 허가를 참조하세요.

예를 들어 app@sharepoint은 종종 "검색 쿼리 수행" 및 "액세스 파일" 이벤트에 대한 사용자로 식별됩니다. 이는 조직에서 SharePoint 앱 전용 액세스 권한을 가진 응용 프로그램이 사이트 및 OneDrive 계정에 보존 정책을 적용할 때 검색 쿼리를 수행하고 파일에 액세스하기 때문입니다.

다음은 app@sharepoint를 감사 기록에서 활동을 수행한 사용자로 식별할 수 있는 몇 가지 다른 시나리오입니다.

  • Microsoft 365 그룹. 사용자 또는 관리자가 새 그룹을 만들 때 사이트 수집, 목록 업데이트 및 SharePoint 그룹에 구성원을 추가하기 위한 감사 레코드가 생성됩니다. 이 작업은 그룹을 만든 사용자를 대신하여 응용 프로그램을 수행합니다.
  • Microsoft Teams. Microsoft 365 그룹과 마찬가지로 팀이 생성될 때 사이트 수집을 생성하고, 목록을 업데이트하고, SharePoint 그룹에 구성원을 추가하는 감사 레코드가 생성됩니다.
  • 규정 준수 기능. 관리자가 보존 정책, eDiscovery 보류 및 민감도 레이블 자동 적용과 같은 규정 준수 기능을 구현하는 경우

이러한 시나리오 및 기타 시나리오에서는 app@sharepoint가 지정된 사용자인 여러 개의 감사 레코드가 짧은 시간 내에, 종종 몇 초 이내에 생성되었음을 알 수 있습니다. 이는 또한 동일한 사용자 시작 작업에 의해 트리거되었을 수 있음을 나타냅니다. 또한 감사 레코드의 ApplicationDisplayName 및 EventData 필드는 이벤트를 트리거한 시나리오 또는 응용 프로그램을 식별하는 데 도움이 될 수 있습니다.

폴더 활동

다음 표에서는 SharePoint Online 및 비즈니스용 OneDrive의 폴더 활동에 대해 설명합니다. 앞서 설명한 것처럼 일부 SharePoint 활동에 대한 감사 레코드는 사용자가 작업을 시작한 사용자 또는 관리자를 대신하여 활동을 수행한 app@sharepoint 나타냅니다. 자세한 내용은 감사 레코드의 app@sharepoint 사용자를 참조하세요.

이름 작업 설명
폴더 복사됨 FolderCopied 사용자가 사이트의 폴더를 SharePoint 또는 비즈니스용 OneDrive의 다른 위치에 복사합니다.
폴더 생성됨 FolderCreated 사용자가 사이트에 폴더를 생성합니다.
폴더 삭제됨 FolderDeleted 사용자가 사이트에서 폴더를 삭제합니다.
휴지통에서 폴더 삭제됨 FolderDeletedFirstStageRecycleBin 사용자가 사이트의 휴지통에서 폴더를 삭제합니다.
2단계 휴지통에서 폴더 삭제됨 FolderDeletedSecondStageRecycleBin 사용자가 사이트의 2단계 휴지통에서 폴더를 삭제합니다.
폴더 수정됨 FolderModified 사용자가 사이트에서 폴더를 수정합니다. 태그 및 속성 변경과 같은 폴더 메타데이터 변경이 포함됩니다.
폴더 이동됨 FolderMoved 사용자가 폴더를 사이트의 다른 위치로 이동합니다.
폴더 이름 변경됨 FolderRenamed 사용자가 사이트에서 폴더 이름을 변경합니다.
폴더 복원됨 FolderRestored 사용자가 사이트의 휴지통에서 삭제된 폴더를 복원합니다.

정보 장벽 활동

다음 표에 Microsoft 365 감사 로그에 기록되는 정보 장벽 활동이 나와 있습니다. 정보 장벽에 대한 자세한 내용은 Microsoft 365의 정보 장벽에 대한 자세한 정보를 참조하세요.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

이름 작업 설명
테넌트에서 AppBypassInformationBarrier 설정이 변경됨 AppBypassInformationBarrier SharePoint 또는 전역 관리자가 SharePoint 사이트에 대한 앱 액세스를 변경했습니다.
사이트에 적용된 정보 장벽 모드 SiteIBModeSet SharePoint 또는 전역 관리자가 사이트에 모드를 적용했습니다.
사이트에 적용된 세그먼트 SiteIBSegmentsSet SharePoint, 전역 관리자 또는 사이트 소유자가 하나 이상의 정보 장벽 세그먼트를 사이트에 추가했습니다.
사이트의 변경된 정보 장벽 모드 SiteIBModeChanged SharePoint 또는 전역 관리자가 사이트의 모드를 업데이트했습니다.
사이트 세그먼트 변경 SiteIBSegmentsChanged SharePoint 또는 전역 관리자가 사이트에 대한 하나 이상의 정보 장벽 세그먼트를 변경했습니다.
SharePoint 및 OneDrive에 대한 사용 안 함 정보 장벽 SPOIBIsDisabled SharePoint 또는 전역 관리자가 organization SharePoint 및 OneDrive에 대한 정보 장벽을 사용하지 않도록 설정했습니다.
SharePoint 및 OneDrive에 대해 사용 가능한 정보 장벽 SPOIBIsEnabled SharePoint 또는 전역 관리자가 organization SharePoint 및 OneDrive에 대한 정보 장벽을 사용하지 않도록 설정했습니다.
정보 장벽 인사이트 보고서 완료 InformationBarriersInsightsReportCompleted 시스템은 정보 장벽 인사이트 보고서의 빌드를 완료합니다.
정보 장벽 인사이트 보고서 OneDrive 섹션 쿼리 InformationBarriersInsightsReportOneDriveSectionQueried 관리자는 OneDrive 계정에 대한 정보 장벽 인사이트 보고서를 쿼리합니다.
정보 장벽 인사이트 보고서 예약됨 InformationBarriersInsightsReportSchedule 관리자는 정보 장벽 인사이트 보고서를 예약합니다.
정보 장벽 인사이트 보고서 SharePoint 섹션 쿼리 InformationBarriersInsightsReportSharePointSectionQueried 관리자는 Sharepoint 사이트에 대한 정보 장벽 인사이트 보고서를 쿼리합니다.
사이트에서 세그먼트 제거 SiteIBSegmentsRemoved SharePoint 또는 전역 관리자가 사이트에서 하나 이상의 정보 장벽 세그먼트를 제거했습니다.

Microsoft 365 앱 관리 Services 클라우드 업데이트 활동

다음 표에서는 Microsoft 365 감사 로그에 캡처된 클라우드 업데이트 서비스의 구성 변경 및 트리거된 작업에 대한 활동을 나열합니다.

이름 작업 설명
디바이스 구성 업데이트됨 updatedeviceconfiguration 클라우드 업데이트로 관리되는 디바이스에 대한 작업이 트리거되었습니다. 여기에는 롤백 트리거, 롤백된 디바이스 다시 시작 또는 업데이트 채널 변경이 포함됩니다.
프로필 구성 업데이트됨 updatedprofileconfiguration 클라우드 업데이트 프로필의 구성이 변경되었습니다. 여기에는 프로필 상태 변경, 최종 기한 설정, 유효성 검사 사용 업데이트, 구성된 웨이브 및 웨이브 지연이 포함됩니다.
테넌트 구성 업데이트됨 updatetenantconfiguration 클라우드 업데이트의 테넌트 전체 구성이 변경되었습니다. 여기에는 제외 변경, 제외 창 및 새 TAK(테넌트 연결 키) 생성이 포함됩니다.

Microsoft 365 앱 관리 Services 클라우드 정책 활동

다음 표에서는 Microsoft 365 감사 로그에 캡처된 클라우드 정책 서비스의 정책 구성 변경에 대한 활동을 나열합니다.

이름 작업 설명
만든 정책 구성 CreatedPolicyConfig 새 정책 구성이 만들어졌습니다.
삭제된 정책 구성 DeletedPolicyConfig 정책 구성이 삭제되었습니다.
업데이트된 정책 구성 UpdatedPolicyConfig 정책 설정을 추가, 변경 또는 제거하거나 정책 구성의 이름, 설명 또는 scope 변경하는 등 기존 정책 구성이 업데이트되었습니다.
업데이트된 정책 구성 우선 순위 UpdatedPolicyConfigPriority 정책 구성의 우선 순위가 변경되었습니다.

Microsoft 365 백업 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft 365 백업 활동을 나열합니다. Microsoft 365 백업 organization 데이터가 항상 보호되고 쉽게 복구할 수 있도록 설계되었습니다. Microsoft 365 백업 대한 자세한 내용은 Microsoft 365 백업 개요를 참조하세요.

이름 작업 설명
백업 정책 활성화 BackupPolicyActivated Microsoft 365 백업 정책은 비활성 상태에서 활성화됩니다.
활성화된 초안 복원 작업 RestoreTaskActivated Microsoft 365 백업 대한 초안 복원 작업이 활성화됩니다. 장기 실행 작업입니다.
만든 백업 항목 BackupItem추가됨 하나 이상의 백업 항목이 Microsoft 365 백업 정책에 추가됩니다.
백업 항목 제거됨 BackupItemRemoved 하나 이상의 백업 항목이 Microsoft 365 백업 정책에서 제거됩니다.
완료된 복원 작업 RestoreTaskCompleted 복원 작업은 Microsoft 365 백업 완료됩니다.
만든 초안 복원 작업 DraftRestoreTaskCreated 복원 작업은 Microsoft 365 백업 만들어집니다. 기본적으로 복원 작업은 초안으로 만들어집니다.
새 Backup 정책 만들기 NewBackupPolicyCreated 글로벌 관리 새 Microsoft 365 백업 정책을 만들었습니다. 기본적으로 백업 정책은 비활성 상태로 만들어집니다.
백업 정책 삭제 BackupPolicyDeleted Microsoft 365 백업 정책이 삭제됩니다.
삭제된 초안 복원 작업 DraftRestoreTaskDeleted 초안 복원 작업은 Microsoft 365 백업 삭제됩니다.
백업 정책 편집 BackupPolicyEdited Microsoft 365 백업 정책이 업데이트됩니다. 백업 정책은 다음 작업으로 업데이트됩니다.

1. 정책 이름 바꾸기
2. 하나 이상의 보호 단위를 추가합니다.
3. 하나 이상의 보호 장치를 제거합니다.
편집된 초안 복원 작업 DraftRestoreTaskEdited 초안 복원 작업은 Microsoft 365 백업 편집됩니다.
백업 정책 일시 중지 BackupPolicyPaused Microsoft 365 백업 정책이 활성 상태에서 일시 중지됩니다.
프로그래밍 방식으로 백업 항목이 있음 GetBackupItem 사용자는 프로그래밍 방식으로 Microsoft 365 백업 사용하여 백업된 보호 단위를 요청합니다.
프로그래밍 방식으로 백업 정책의 세부 정보를 얻었습니다. ViewBackupPolicyDetails Microsoft 365 백업 정책의 세부 정보는 프로그래밍 방식으로 액세스됩니다.
프로그래밍 방식으로 복원 작업의 세부 정보를 얻었습니다. GetRestoreTaskDetails 사용자는 Microsoft 365 백업 식별자에 의해 복원 작업의 세부 정보를 요청합니다.
프로그래밍 방식으로 모든 백업 정책 목록이 있음 ListAllBackupPolicies 사용자는 프로그래밍 방식으로 Microsoft 365 백업 사용하여 백업된 모든 백업 정책 목록을 가져옵니다.
프로그래밍 방식으로 백업 정책의 백업 항목 목록이 있음 ListAllBackupItemsInPolicies Microsoft 365 백업 백업 정책에 있는 모든 보호 단위 목록이 프로그래밍 방식으로 요청됩니다.
테넌트에서 프로그래밍 방식으로 백업 항목 목록이 있음 ListAllBackupItemsInTenant 사용자는 프로그래밍 방식으로 Microsoft 365 백업 사용하여 백업된 organization 모든 보호 단위 목록을 가져옵니다.
프로그래밍 방식으로 워크로드의 백업 항목 목록이 있음 ListAllBackupItemsInWorkload 사용자는 프로그래밍 방식으로 Microsoft 365 백업 사용하여 백업된 워크로드(SharePoint, OneDrive 또는 Exchange)의 모든 보호 단위 목록을 가져옵니다.
프로그래밍 방식으로 복원 작업의 복원 항목 목록이 있음 GetAllRestoreArtifactsInTask 사용자는 Microsoft 365 백업 복원 작업의 모든 아티팩트 를 프로그래밍 방식으로 가져옵니다.
프로그래밍 방식으로 복원 지점 목록이 있습니다. ListAllRestorePoints 사용자는 프로그래밍 방식으로 Microsoft 365 백업 모든 복원 지점을 가져옵니다. 복원 지점은 아티팩트가 보호될 때의 타임스탬프를 나타냅니다(보호 정책별). 전역 관리자만 액세스할 수 있습니다.
프로그래밍 방식으로 복원 작업 목록이 표시되었습니다. ListAllRestoreTasks 사용자는 프로그래밍 방식으로 Microsoft 365 백업 기존 복원 세션 목록을 가져옵니다. 여기에는 organization 등록된 모든 서비스 유형에 대해 생성된 복원 세션이 포함됩니다.
복원 항목 복원 완료 BackupItemRestoreCompleted Microsoft 365 백업 백업한 항목의 복원이 완료됩니다.
항목 복원이 트리거됨 BackupItemRestoreTriggered 복원은 Microsoft 365 백업 백업된 항목에 대해 트리거됩니다.

엔드포인트용 Microsoft Defender 일반 설정 작업

다음 표에서는 Microsoft 365 감사 로그에 기록된 엔드포인트용 Microsoft Defender 일반 설정에 대한 활동을 나열합니다. 설정 엔드포인트용 Microsoft Defender 대한 자세한 내용은 엔드포인트용 일반 Defender 설정 구성을 참조하세요.

엔드포인트용 Microsoft Defender 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
다운로드한 오프보딩 패키지 DownloadOffboardingPkg 엔드포인트용 Defender에서 디바이스를 제거하는 데 사용되는 패키지를 다운로드했습니다.
다운로드한 온보딩 패키지 DownloadOnboardingPkg 엔드포인트용 Defender에 디바이스를 온보딩하는 데 사용되는 패키지를 다운로드했습니다.
변경된 데이터 보존 ChangeDataRetention 엔드포인트용 Defender의 데이터 보존 설정을 편집했습니다.
고급 기능 설정 SetAdvancedFeatures 엔드포인트용 Defender의 고급 기능이 변경되어 인시던트 중 보다 정확한 제어를 사용할 수 있습니다. 일반적으로 사용할 수 있는 고급 기능에 대한 설정만 Microsoft 365 감사 로그에 기록됩니다.

엔드포인트용 Microsoft Defender 표시기 설정 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 엔드포인트용 Microsoft Defender 표시기 설정에 대한 활동을 나열합니다. 엔드포인트용 Microsoft Defender 지표에 대한 자세한 내용은 표시기 관리를 참조하세요.

엔드포인트용 Microsoft Defender 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
표시기가 추가됨 AddIndicator 공격 및 이벤트를 추적하는 데 사용할 수 있는 새로운 손상 지표를 만들었습니다.
편집된 표시기 EditIndicator 손상 표시기를 편집했습니다.
삭제된 표시기 DeleteIndicator 손상 표시기를 제거했습니다.

엔드포인트용 Microsoft Defender 응답 작업 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 라이브 응답을 포함하여 엔드포인트용 Microsoft Defender 응답 작업에 대한 활동을 나열합니다. 엔드포인트용 Microsoft Defender 응답 작업에 대한 자세한 내용은 디바이스에서 응답 작업 수행을 참조하세요.

엔드포인트용 Microsoft Defender 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
수집된 조사 패키지 CollectInvestigationPackage 공격 도구 및 기술을 이해하는 데 사용되는 디바이스에 대한 정보를 수집했습니다.
바이러스 백신 검사 실행 RunAntiVirusScan 디바이스에서 바이러스 백신 검사를 Microsoft Defender 실행했습니다.
제한된 앱 실행 RestrictAppExecution 악성 앱이 실행되지 않도록 방지합니다.
앱 제한 제거 RemoveAppRestrictions 앱이 실행되도록 허용합니다.
격리된 디바이스 IsolateDevice 네트워크에서 디바이스를 격리하여 공격이 확산되는 것을 방지합니다.
격리에서 해제됨 ReleaseFromIsolation 격리된 디바이스를 네트워크에 다시 추가했습니다.
중지 및 격리된 파일 StopAndQuarantineFile 추가 분석을 위해 의심스러운 파일을 격리했습니다.
다운로드한 파일 DownloadFile 추가 조사를 위해 의심스러운 파일을 다운로드했습니다.
오프보딩된 디바이스 DeviceOffBoarding 엔드포인트용 Defender에서 디바이스를 제거했습니다.
라이브 응답 API 실행 RunLiveResponseApi API 호출을 통해 라이브 응답 세션을 열고 디바이스에 원격 셸을 열었습니다.
수집된 로그 LogsCollection 엔드포인트용 Defender에 대한 수집된 로그 정보입니다.
라이브 응답 파일 가져오기 링크 실행 LiveResponseGetFile 라이브 응답 세션을 열고 디바이스에 원격 셸을 열었습니다.
라이브 응답 세션 실행 RunLiveResponseSession 라이브 응답 세션을 실행하여 디바이스에 원격 셸을 엽니다.

역할 설정 활동 엔드포인트용 Microsoft Defender

다음 표에서는 Microsoft 365 감사 로그에 기록된 엔드포인트용 Microsoft Defender 역할 설정에 대한 활동을 나열합니다. 엔드포인트용 Microsoft Defender 역할에 대한 자세한 내용은 역할 기반 액세스 제어를 위한 역할 만들기 및 관리를 참조하세요.

엔드포인트용 Microsoft Defender 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
AddRole 역할이 추가됨 새 보안 역할 및 권한이 추가되었습니다.
EditRole 편집된 역할 보안 역할 및 권한을 편집했습니다.
DeleteRole 삭제된 역할 보안 역할 및 권한이 제거되었습니다.

전문가 활동을 위한 Microsoft Defender

다음 표에서는 Microsoft 365 감사 로그에 로그인한 Microsoft Defender 전문가의 활동을 나열합니다. Microsoft Defender 전문가에 대한 자세한 내용은 XDR용 Microsoft Defender 전문가 대해 알아보기 및 헌팅용 Microsoft Defender 전문가

이름 작업 설명
Defender 전문가 분석가 권한 생성 DefenderExpertsAnalystPermissionCreated 관리자는 인시던트를 조사하거나 위협을 수정하기 위해 Defender 전문가 분석가에게 하나 이상의 역할 권한을 부여했습니다.
Defender 전문가 분석가 권한 수정 DefenderExpertsAnalystPermissionModified 관리자가 인시던트를 조사하거나 위협을 수정하기 위해 Defender 전문가 분석가의 역할 권한을 수정했습니다.

Microsoft Defender for Identity 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft Defender for Identity 대한 활동을 나열합니다.

Microsoft Defender for Identity 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
업데이트된 엔터티 태그 TaggingConfigurationUpdated 엔터티에서 태그를 추가하거나 제거했습니다.
제외 구성 추가됨 ExclusionConfiguration추가됨 경고 또는 엔터티에 대한 전역 제외가 추가되었습니다.
업데이트된 제외 구성 ExclusionConfigurationUpdated 경고 또는 엔터티에 대한 전역 제외가 업데이트되었습니다.
삭제된 제외 구성 ExclusionConfigurationDeleted 경고 또는 엔터티에 대한 전역 제외가 삭제되었습니다.
업데이트된 경고 임계값 구성 WorkspaceAlertThresholdLevelUpdated 경고 임계값 구성이 업데이트되었습니다.
다운로드한 보안 경고 Excel AlertExcelDownloaded 경고의 자세한 Excel 파일이 다운로드되었습니다.
수정 작업이 추가됨 RemediationAction추가됨 수정 작업이 큐에 추가되었습니다.
업데이트된 수정 작업 RemediationActionUpdated 수정 작업이 완료되었습니다.
업데이트된 센서 구성 SensorConfigurationUpdated 센서의 구성이 업데이트되었습니다.
센서 추가 SensorCreated 새 센서가 추가되었습니다.
제거된 센서 SensorDeleted 센서가 삭제되었습니다.
검색된 센서 배포 키 SensorDeploymentAccessKeyReceived 센서 액세스 키가 검색되었습니다.
다시 생성된 센서 배포 키 SensorDeploymentAccessKeyUpdated 센서 액세스 키가 다시 생성되었습니다.
업데이트된 센서 활성화 모드 SensorActivationMethodConfigurationUpdated 센서 활성화 모드가 수정되었습니다.
다운로드한 도메인 컨트롤러 검사 Excel DomainControllerCoverageExcelDownloaded 도메인 컨트롤러 검사 Excel 파일이 다운로드되었습니다.
업데이트된 디렉터리 서비스 계정 구성 DirectoryServicesAccountConfigurationUpdated 디렉터리 서비스 계정 집합이 수정되었습니다.
업데이트된 수정 작업 구성 RemediationActionConfigurationUpdated 작업 계정 관리 집합이 수정되었습니다.
업데이트된 엔터티 수정 구성 EntityRemediatorConfigurationUpdated 작업 계정 관리 모드가 수정되었습니다.
업데이트된 상태 문제 MonitoringAlertUpdated 상태 문제가 수정되었습니다.
보고서 다운로드됨 ReportDownloaded 보고서가 다운로드되었습니다.
업데이트된 보고자 구성 ReporterConfigurationUpdated 보고서의 일정이 수정되었습니다.
업데이트된 syslog 전달 구성 SyslogServiceConfigurationUpdated syslog 전달 구성이 수정되었습니다.
업데이트된 보안 알림 구성 NotificationConfigurationUpdated 보안 경고 또는 상태 문제 알림 구성이 수정되었습니다.
경고 알림 수신자가 추가됨 AlertNotificationsRecipientAdded 수신자가 보안 경고 알림 구성에 추가되었습니다.
삭제된 경고 알림 받는 사람 AlertNotificationsRecipientDeleted 수신자가 보안 경고 알림 구성에서 제거되었습니다.
상태 문제 알림 수신자가 추가됨 MonitoringAlertNotificationRecipientAdded 받는 사람이 상태 문제 알림 구성에 추가되었습니다.
삭제된 상태 문제 알림 받는 사람 MonitoringAlertNotificationRecipientDeleted 수신자가 히스 문제 알림 구성에서 제거되었습니다.
업데이트된 VPN 구성 VpnConfigurationUpdated VPN(반경 회계) 구성이 수정되었습니다.
통합 RBAC 구성 업데이트됨 URbacAuthorizationStatusChanged 통합 역할 기반 Access Control 구성이 수정되었습니다.
만든 작업 영역 작업 영역만들기 작업 영역이 만들어졌습니다.
삭제된 작업 영역 WorkspaceDeleted 작업 영역이 삭제되었습니다.

사용자 지정 검색 활동 Microsoft Defender XDR

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft Defender XDR 대한 사용자 지정 검색 활동을 나열합니다. Microsoft Defender XDR 사용자 지정 검색에 대한 자세한 내용은 사용자 지정 검색 규칙 만들기 및 관리를 참조하세요.

Microsoft Defender XDR 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
사용자 지정 검색 규칙 만들기 CreateCustomDetection 새 사용자 지정 검색 규칙이 만들어졌습니다.
편집된 사용자 지정 검색 규칙 EditCustomDetection 사용자 지정 검색 규칙이 수정되었습니다.
사용자 지정 검색 규칙 상태 변경됨 ChangeCustomDetectionRuleStatus 사용자 지정 검색 규칙이 꺼져 있거나 켜져 있습니다.
사용자 지정 검색 규칙 실행 RunCustomDetection 사용자 지정 검색 규칙이 수동으로 실행되었습니다.
삭제된 사용자 지정 검색 규칙 DeleteCustomDetection 사용자 지정 검색 규칙이 제거되었습니다.

인시던트 활동 Microsoft Defender XDR

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft Defender XDR 대한 인시던트 활동을 나열합니다. Microsoft Defender XDR 인시던트에 대한 자세한 내용은 인시던트 개요를 참조하세요.

Microsoft Defender XDR 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
인시던트에 주석 추가 AddCommentToIncident. 인시던트에 주석이 추가되었습니다.
인시던트에 할당된 사용자 AssignUserToIncident 인시던트에 할당된 사용자입니다.
인시던트에 할당되지 않은 사용자 UnAssignUserFromIncident 인시던트에 할당되지 않은 사용자입니다.
업데이트된 인시던트 상태 UpdateIncidentStatus 업데이트된 인시던트 상태.
인시던트 분류 편집 EditIncidentClassification 인시던트 분류를 편집합니다.
인시던트에 태그 추가 AddTagsToIncident 인시던트에 태그를 추가했습니다.
인시던트에서 태그 제거 RemoveTagsFromIncident 인시던트에서 태그를 제거했습니다.

Microsoft Defender XDR 제거 규칙 작업

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft Defender XDR 대한 표시 안 함 규칙에 대한 활동을 나열합니다. Microsoft Defender XDR 제거 규칙에 대한 자세한 내용은 제거 규칙 관리를 참조하세요.

Microsoft Defender XDR 활동을 보려면 Microsoft Defender XDR 포털에서 통합 감사 로그를 사용하도록 설정해야 합니다. 자세한 내용은 통합 감사 로그 사용을 참조하세요.

이름 작업 설명
만든 표시 안 함 규칙 CreateSuppressionRule 경고 표시 안 함 규칙을 만들었습니다.
편집된 표시 안 함 규칙 EditSuppressionRule 삭제된 경고 표시 안 함 규칙.
사용 안 함 규칙 EnableSuppressionRule 경고 표시 안 함 규칙을 사용하도록 설정했습니다.
비활성화된 표시 안 함 규칙 DisableSuppressionRule 비활성화된 경고 표시 안 함 규칙.
삭제된 표시 안 함 규칙 DeleteSuppressionRule 삭제된 경고 표시 안 함 규칙.

그룹 관리 활동 Microsoft Entra

다음 표에서는 관리자 또는 사용자가 Microsoft 365 그룹을 만들거나 변경할 때 또는 관리자가 Microsoft 365 관리 센터 또는 Azure 관리 포털을 사용하여 보안 그룹을 만들 때 기록되는 그룹 관리 활동을 보여 줍니다. Microsoft 365의 그룹에 대한 자세한 내용은 Microsoft 365 관리 센터에서 그룹 보기, 만들기, 삭제를 참조하세요.

참고

다음 표의 작업 열에 나열된 작업 이름에는 마침표(.)가 포함되어 있습니다. 감사 로그를 검색하거나, 감사 보존 정책을 만들거나, 경고 정책을 만들거나, 활동 알림을 만들 때 PowerShell 명령에서 작업을 지정하는 경우 작업 이름에 기간을 포함해야 합니다. 작업 이름을 포함하기 위해 반드시 두 개의 물음표(" ")를 사용해야 합니다.

이름 작업 설명
그룹 추가됨 그룹을 추가합니다. 그룹이 생성되었습니다.
그룹에 구성원 추가됨 그룹에 구성원을 추가합니다. 그룹에 구성원이 추가되었습니다.
그룹 삭제됨 그룹을 삭제합니다. 그룹이 삭제되었습니다.
그룹에서 구성원 제거됨 그룹에서 구성원을 제거합니다. 그룹에서 구성원이 제거되었습니다.
그룹 업데이트됨 그룹을 업데이트합니다. 그룹의 속성이 변경되었습니다.

Microsoft Fabric 활동

Power BI에서 활동에 대한 감사 로그를 검색할 수 있습니다. 감사 설정에 대한 자세한 내용은 감사 및 사용 테넌트 설정을 참조하세요.

감사 로깅은 기본적으로 Microsoft 365 조직에 대해 설정됩니다. organization 대한 감사가 켜져 있지 않으면 사용자 및 관리자 활동 기록을 시작하라는 메시지가 표시되는 배너가 나타납니다. 자세한 내용은 감사 켜기를 참조하세요.

Microsoft Forms 활동

이 섹션의 테이블은 감사 로그에 기록된 Microsoft Forms의 사용자 및 관리자 활동입니다. Microsoft Forms는 분석 데이터를 수집하는 데 사용되는 양식/퀴즈/설문 조사 도구입니다. 아래의 설명에서 언급된 것과 같이, 일부 작업은 추가 활동 매개 변수를 포함합니다.

공동 작성자 또는 익명 응답자가 Forms 작업을 수행하는 경우 약간 다르게 기록됩니다. 자세한 내용은 공동 작성자 및 익명 응답자가 수행하는 Forms 활동 섹션을 참조하세요.

이름 작업 설명
메모가 작성됨 CreateComment 양식 소유자가 퀴즈에 메모 또는 점수를 추가합니다.
양식이 만들어짐 CreateForm 양식 소유자가 새 양식을 만듭니다.

DataMode:string 속성은 속성 값이 DataSync와 같을 경우 현재 양식이 새 Excel 통합 문서 또는 기존 Excel 통합 문서와 동기화되도록 설정되어 있음을 나타냅니다. ExcelWorkbookLink:string 속성은 현재 양식과 관련된 Excel 통합 문서 ID를 나타냅니다.
양식이 편집됨 EditForm 양식 소유자는 질문을 만들거나, 제거하거나, 편집하는 등 양식을 편집합니다. 속성 EditOperation:string은 편집 작업의 이름을 나타냅니다. 가능한 작업은 다음과 같습니다.
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage에는 사용자가 이미지를 업로드할 수 있는 양식 내의 모든 위치(예: 쿼리나 배경 테마)가 포함됩니다.
양식 이동됨 MoveForm 양식 소유자가 양식을 이동합니다.

속성 DestinationUserId: 문자열은 양식을 이동한 사람의 사용자 ID를 나타냅니다. 속성 NewFormId: 문자열은 새로 복사한 양식의 새 ID입니다. IsDelegateAccess:boolean 속성은 현재 양식 이동 작업이 관리자 대리인 페이지를 통해 수행됨을 나타냅니다.
양식 삭제됨 DeleteForm 양식 소유자가 양식을 삭제합니다. 여기에는 SoftDelete(삭제 옵션이 사용되고 양식은 휴지통으로 이동) 및 HardDelete(휴지통 비워짐)가 포함됩니다.
양식을 확인함(디자인 타임) ViewForm 양식 소유자가 편집할 기존 양식을 엽니다.

AccessDenied:boolean 속성은 권한 확인으로 인해 현재 양식의 액세스가 거부되었음을 나타냅니다. FromSummaryLink:boolean 속성은 현재 요청이 요약 링크 페이지에서 온 것임을 나타냅니다.
양식을 미리 봄 PreviewForm 양식 소유자가 미리 보기 기능을 사용하여 양식을 미리 봅니다.
양식을 내보냄 ExportForm 양식 소유자가 Excel로 결과를 내보냅니다.

속성 ExportFormat: 문자열은 Excel 파일이 다운로드인지 온라인인지를 나타냅니다.
공유 양식 복사가 허용됨 AllowShareFormForCopy 양식 소유자는 다른 사용자와 양식을 공유하는 서식 파일 링크를 만듭니다. 이 이벤트는 양식 소유자가 템플릿 URL을 생성하도록 선택할 때 기록됩니다.
공유 양식 복사가 허용되지 않음 DisallowShareFormForCopy 양식 소유자 서식 파일 링크를 삭제합니다.
양식 공동 작성이 추가됨 AddFormCoauthor 사용자가 공동 작업 링크를 사용하여 응답을 설계/볼 수 있습니다. 이 이벤트는 사용자가 collab URL을 사용하는 경우 기록됩니다(collab URL이 처음 생성될 때 아님).
양식 공동 작성이 제거됨 RemoveFormCoauthor 양식 소유자가 공동 작업 링크를 삭제합니다.
응답 페이지를 확인함 ViewRuntimeForm 사용자가 보기 위해 응답 페이지를 열었습니다. 이 이벤트는 사용자가 응답을 제출하는지 여부에 관계없이 기록됩니다.
응답이 만들어짐 CreateResponse 새 응답을 받는 것과 비슷함. 사용자가 양식에 응답을 제출했습니다.

속성 ResponseId: 문자열 및 속성 ResponderId: 문자열은 어떤 결과를 보고 있는지 나타냅니다.

익명 응답자의 경우 ResponderId 속성은 null입니다.
응답이 업데이트됨 UpdateResponse 양식 소유자가 퀴즈에 대한 메모나 점수를 업데이트했습니다.

속성 ResponseId: 문자열 및 속성 ResponderId: 문자열은 어떤 결과를 보고 있는지 나타냅니다.

익명 응답자의 경우 ResponderId 속성은 null입니다.
모든 응답이 삭제됨 DeleteAllResponses 양식 소유자가 모든 응답 데이터를 삭제합니다.
응답이 삭제됨 DeleteResponse 양식 소유자가 하나의 응답을 삭제합니다.

속성 ResponseId: 문자열은 삭제되는 응답을 나타냅니다.
응답을 확인함 ViewResponses 양식 소유자가 집계된 응답 목록을 봅니다.

속성 ViewType: 문자열은 양식 소유자가 세부 정보를 보는지 집계를 보는지 여부를 나타냅니다.
응답을 확인함 ViewResponse 양식 소유자가 특정 응답을 봅니다.

속성 ResponseId: 문자열 및 속성 ResponderId: 문자열은 어떤 결과를 보고 있는지 나타냅니다.

익명 응답자의 경우 ResponderId 속성은 null입니다.
요약 링크가 만들어짐 GetSummaryLink 양식 소유자는 결과를 공유하기 위한 요약 결과 링크를 만듭니다.
요약 링크가 삭제됨 DeleteSummaryLink 양식 소유자가 요약 결과 링크를 삭제합니다.
양식 피싱 상태가 업데이트됨 UpdatePhishingStatus 이 이벤트는 최종 보안 상태가 변경되었는지에 관계없이 내부 보안 상태에 대한 세부 값이 변경될 때마다 기록됩니다(예: 이제 양식이 닫힘 또는 열림). 즉, 최종 보안 상태의 변경이 없는 중복 이벤트를 볼 수 있습니다. 이 이벤트에 대한 가능한 상태 값은 다음과 같습니다.
- 다운시킴
- 관리자가 다운시킴
- 관리자가 차단 해제함
- 자동 차단됨
- 자동 차단 해제됨
- 보고된 고객
- 보고된 고객 초기화
사용자 피싱 상태 업데이트됨 UpdateUserPhishingStatus 이 이벤트는 사용자 보안 상태의 값이 변경되었을 때마다 기록됩니다. 사용자가 Microsoft Online Safety Team에서 다운시킨 피싱 양식을 만들었을 때 감사 레코드에서 사용자의 상태 값이 피셔로 확인됩니다. 관리자가 사용자의 차단을 해제하는 경우, 사용자의 상태 값은 정규 사용자로 재설정됩니다.
Forms Pro 초대가 보내짐 ProInvitation 사용자가 Pro 평가판을 활성화하도록 선택합니다.
양식 설정을 업데이트함 UpdateFormSetting 양식 소유자는 하나 이상의 양식 설정을 업데이트합니다.

FormSettingName:string 속성은 업데이트된 중요한 설정의 이름을 나타냅니다. NewFormSettings:string 속성은 업데이트된 설정의 이름과 새 값을 나타냅니다. thankYouMessageContainsLink:boolean 속성은 업데이트된 감사에 URL 링크가 포함되어 있음을 나타냅니다.
사용자 설정이 업데이트됨 UpdateUserSetting 양식 소유자가 사용자 설정을 업데이트합니다.

속성 UserSettingName: 문자열은 설정의 이름과 새 값을 나타냅니다.
양식이 나열됨 ListForms 양식 소유자가 양식 목록을 보고 있습니다.

속성 ViewType: 문자열은 모든 양식, 나와 공유된 항목, 그룹 양식과 같이 양식 소유자가 보고 있는 보기 형식을 나타냅니다.
응답이 제출됨 SubmitResponse 사용자가 양식에 응답을 제출합니다.

속성 IsInternalForm: 부울은 응답자가 양식 소유자와 동일한 조직 내에 있는지를 나타냅니다.
누구나 응답할 수 있게 설정 AllowAnonymousResponse 양식 소유자가 해당 설정을 켜면 양식에 누구나 응답할 수 있게 됩니다.
아무나 응답할 수 없게 설정 DisallowAnonymousResponse 양식 소유자가 해당 설정을 끄면 양식에 누구나 응답할 수 있게 됩니다.
특정 사용자가 응답할 수 있게 설정 EnableSpecificResponse 양식 소유자가 해당 설정을 켜면 현재 조직의 특정 사용자 또는 특정 그룹만 양식에 응답할 수 있게 됩니다.
특정 사용자가 응답할 수 없게 설정 DisableSpecificResponse 양식 소유자가 해당 설정을 끄면 현재 조직의 특정 사용자 또는 특정 그룹만 양식에 응답할 수 있게 됩니다.
특정 응답자 추가됨 AddSpecificResponder 양식 소유자가 특정 응답자 목록에 새로운 사용자 또는 그룹을 추가합니다.
특정 응답자 제거됨 RemoveSpecificResponder 양식 소유자가 특정 응답자 목록에서 사용자 또는 그룹을 제거합니다.
공동 작업 사용 안 함 DisableCollaboration 양식 소유자가 양식에서 공동 작업 설정을 해제합니다.
Office 365 회사 또는 학교 계정 공동 작업 사용 EnableWorkOrSchoolCollaboration 양식 소유자가 해당 설정을 켜면 Microsoft 365 회사 또는 학교 계정이 있는 사용자가 양식을 보고 편집할 수 있게 됩니다.
조직 사용자 공동 작업 사용 EnableSameOrgCollaboration 양식 소유자가 해당 설정을 켜면 현재 조직 내 사용자가 양식을 보고 편집할 수 있게 됩니다.
특정 사용자 공동 작업 활성화 EnableSpecificCollaboaration 양식 소유자가 해당 설정을 켜면 현재 조직의 특정 사용자 또는 특정 그룹만 양식을 보고 편집할 수 있게 됩니다.
Excel 통합 문서에 연결됨 ConnectToExcelWorkbook 양식을 Excel 통합 문서에 연결했습니다.

ExcelWorkbookLink:string 속성은 현재 양식과 관련된 Excel 통합 문서 ID를 나타냅니다.
컬렉션을 생성함 CollectionCreated 양식 소유자가 컬렉션을 만들었습니다.
컬렉션 업데이트됨 CollectionUpdated 양식 소유자가 컬렉션 속성을 업데이트했습니다.
휴지통에서 컬렉션을 삭제함 CollectionHardDeleted 양식 소유자가 휴지통에서 컬렉션을 영구 삭제했습니다.
컬렉션을 휴지통으로 이동함 CollectionSoftDeleted 양식 소유자가 컬렉션을 휴지통으로 이동했습니다.
컬렉션의 이름을 변경함 CollectionRenamed 양식 소유자가 컬렉션의 이름을 변경했습니다.
양식이 컬렉션으로 이동됨 MovedFormIntoCollection 양식 소유자가 양식을 컬렉션으로 이동했습니다.
양식이 컬렉션 외부로 이동됨 MovedFormOutofCollection 양식 소유자가 양식을 컬렉션 밖으로 이동했습니다.

공동 작성자 및 익명 응답자가 수행하는 Forms 활동

폼은 양식이 디자인되고 응답을 분석할 때 공동 작업을 지원합니다. 양식 협력자는 공동 작성자라고 합니다. 공동 작성자는 양식을 삭제하거나 이동하는 것을 제외하고 양식 소유자가 할 수 있는 모든 작업을 수행할 수 있습니다. Forms를 사용하면 익명으로 응답할 수 있는 양식을 만들 수도 있습니다. 즉, 응답자는 조직에 로그인하지 않아도 양식에 응답할 수 있습니다.

다음 표에서는 공동 작성자와 익명 응답자가 수행한 활동에 대한 감사 레코드의 감사 활동과 정보를 설명합니다.

활동 유형 내부 또는 외부 사용자 기록된 사용자 ID 로그인한 조직 양식 사용자 유형
공동 작성 활동 내부 UPN 양식 소유자의 조직 공동 작성자
공동 작성 활동 외부 UPN
공동 작성자의 조직
공동 작성자
공동 작성 활동 외부 urn:forms:coauthor#a0b1c2d3@forms.office.com
(ID의 두 번째 부분은 해시이며, 사용자마다 다릅니다.)
양식 소유자의 조직
공동 작성자
응답 활동 외부 UPN
응답자의 조직
응답자
응답 활동 외부 urn:forms:external#a0b1c2d3@forms.office.com
(ID의 두 번째 부분은 해시이며, 사용자마다 다릅니다.)
양식 소유자의 조직 응답자
응답 활동 익명 urn:forms:anonymous#a0b1c2d3@forms.office.com
(ID의 두 번째 부분은 해시이며, 사용자마다 다릅니다.)
양식 소유자의 조직 응답자

Microsoft Graph Data Connect

다음 표에서는 감사를 위해 기록된 Microsoft Graph Data Connect 의 사용자 및 관리자 활동을 나열합니다. 테이블에는 활동 열에 표시되는 식별 이름과 검색 결과를 내보낼 때 감사 레코드의 자세한 정보 및 CSV 파일에 표시되는 해당 작업의 이름이 포함됩니다.

이름 작업 설명
앱 승인 또는 거부 ConsentModificationRequest 사용자가 동의 수정 요청을 수행했습니다.
추출 실행 DataAccessRequestOperation 사용자가 추출을 수행했습니다. 파트너 데이터 세트 및 ISV 실행은 제외됩니다.

Microsoft Planner 활동

다음 표에서는 감사를 위해 기록된 Microsoft Planner 사용자 및 관리자 활동을 나열합니다. 테이블에는 활동 열에 표시되는 식별 이름과 검색 결과를 내보낼 때 감사 레코드의 자세한 정보 및 CSV 파일에 표시되는 해당 작업의 이름이 포함됩니다.

참고

Planner 포트폴리오 활동은 웹 로드맵 작업에 대한 Microsoft Project로 기록됩니다. 자세한 내용은 Microsoft 웹용 Project 활동 섹션을 참조하세요.

이름 작업 설명
계획 읽기 PlanRead 플랜은 사용자 또는 앱에서 읽습니다. 읽기 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 ContainerType은 ContainerType.Invalid를 나타내고 ContainerId는 null을 나타냅니다.
계획 만들기 PlanCreated 계획은 사용자 또는 앱에 의해 만들어집니다. Create 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 ObjectId는 null을 나타내고 ContainerType은 ContainerType.Invalid를 나타내고 ContainerId는 null을 나타냅니다.
플랜 수정 PlanModified 계획은 사용자 또는 앱에 의해 수정됩니다.
플랜을 삭제했습니다. PlanDeleted 사용자 또는 앱에서 플랜을 삭제합니다.
플랜 복사 PlanCopied 계획은 사용자 또는 앱에 의해 복사됩니다. 복사 작업이 ResultStatus.Failure 또는 ResultStatus.Failure인 경우 newPlanId는 null을 나타내고 newContainerType은 ContainerType.Invalid를 나타내고 newContainerId는 null을 나타냅니다.
작업 읽기 TaskRead 사용자 또는 앱에서 작업을 읽습니다. 읽기 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 PlanId는 null을 나타냅니다.
작업 만들기 작업만들기 작업은 사용자 또는 앱에 의해 만들어집니다. Create 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 ObjectId는 null을 나타내고 PlanId는 null을 나타냅니다.
작업 수정 TaskModified 작업은 사용자 또는 앱에 의해 수정됩니다.
작업 삭제됨 TaskDeleted 사용자 또는 앱에서 작업을 삭제합니다.
작업 할당 TaskAssigned 태스크의 담당자는 사용자 또는 앱에 의해 수정됩니다. 할당되지 않은 작업이 할당되거나 할당된 태스크에 새 담당자가 있을 수 있습니다.
작업 완료 TaskCompleted 작업이 사용자 또는 앱에 의해 완료된 것으로 표시됩니다.
명단 만들기 명단만들기 명단은 사용자 또는 앱에서 만듭니다. Create 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 ObjectId는 null을 나타내고 MemberIds는 빈 문자열을 나타냅니다.
명단 삭제 RosterDeleted 사용자 또는 앱에서 명단을 삭제합니다.
명단에 멤버 추가 RosterMember추가됨 멤버가 명단에 추가됩니다. Add 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 MemberIds는 시도한 멤버 ID 목록을 나타냅니다.
명단에서 멤버를 제거했습니다. RosterMemberDeleted 멤버가 명단에서 제거됩니다. 제거 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 MemberIds는 시도한 멤버 ID 목록을 나타냅니다.
계획 목록 읽기 PlanListRead 계획 목록은 사용자 또는 앱에서 쿼리합니다. 쿼리 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 PlanList는 빈 문자열을 나타냅니다.
작업 목록 읽기 TaskListRead 작업 목록은 사용자 또는 앱에서 쿼리합니다. 쿼리 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 TaskList는 빈 문자열을 나타냅니다.
업데이트된 테넌트 설정 TenantSettingsUpdated 테넌트 설정은 테넌트 관리자가 업데이트합니다. 업데이트 작업이 ResultStatus.Failure 또는 ResultStatus.AuthorizationFailure인 경우 ObjectId는 원래 설정을 나타내고 TenantSettings는 테넌트 설정을 시도했음을 나타냅니다.
명단의 민감도 레이블 업데이트 RosterSensitivityLabelUpdated 사용자 또는 앱이 명단의 민감도 레이블을 업데이트합니다.

Microsoft Power Apps 활동

Power Apps에서 활동에 대한 감사 로그를 검색할 수 있습니다. 이러한 활동에는 앱을 만들고, 시작하고, 게시하는 작업이 포함됩니다. 앱에 대한 사용 권한을 할당하는 방법도 감사할 수 있습니다. 모든 PowerApps 활동에 대한 설명은 Power Apps에 대한 활동 로깅을 참조하세요.

참고

경고 정책(보호 경고) 감사 이벤트(RecordType:45)는 현재 PowerApps 지원되지 않습니다.

Microsoft Power Automate 활동

Power Automate(이전의 Microsoft Flow)에서 활동에 대한 감사 로그를 검색할 수 있습니다. 이러한 활동에는 흐름 만들기, 편집, 삭제 및 흐름의 사용 권한 변경이 포함됩니다. Power Automate 활동에 대한 감사에 대한 자세한 내용은 이제 규정 준수 포털에서 사용할 수 있는 Power Automate 감사 이벤트 블로그를 참조하세요.

Microsoft 웹용 Project 활동

감사 로그에서 Microsoft 웹용 Project 활동을 검색할 수 있습니다. Microsoft 웹용 Project Microsoft Dataverse를 기반으로 하며 연결된 Project Power App이 있습니다. 사용자가 Microsoft Dataverse 또는 Project Power App을 사용하는 시나리오에 대한 감사를 사용하도록 설정하려면 시스템 설정 감사 탭 지침을 참조하세요. 웹용 Project 관련된 엔터티 목록은 웹용 Project 지침에서 사용자 데이터 내보내기를 참조하세요.

Microsoft 웹용 Project 대한 자세한 내용은 Microsoft 웹용 Project 참조하세요.

참고

Microsoft 웹용 Project 활동에 대한 이벤트를 감사하려면 유료 Project 플랜 1 라이선스(이상)가 필요합니다.

이름 작업 설명
만든 프로젝트 ProjectCreated 프로젝트는 사용자 또는 앱에 의해 만들어집니다.
만든 로드맵 로드맵만들기 사용자 또는 앱에서 로드맵 또는 포트폴리오를 만듭니다.
만든 로드맵 항목 RoadmapItemCreated 사용자 또는 앱에서 로드맵 또는 포트폴리오 항목을 만듭니다.
만든 작업 작업만들기 사용자 또는 앱에서 작업을 만듭니다.
삭제된 프로젝트 ProjectDeleted 사용자 또는 앱에서 프로젝트를 삭제합니다.
삭제된 로드맵 로드맵디렛됨 사용자 또는 앱에서 로드맵 또는 포트폴리오를 삭제합니다.
삭제된 로드맵 항목 RoadmapItemDeleted 사용자 또는 앱에서 로드맵 또는 포트폴리오 항목을 삭제합니다.
삭제된 작업 TaskDeleted 사용자 또는 앱에서 작업을 삭제합니다.
프로젝트에 액세스했습니다. ProjectAccessed 프로젝트가 읽기 또는 앱입니다.
액세스한 프로젝트 홈 ProjectListAccessed 사용자가 프로젝트 및/또는 로드맵 목록을 쿼리합니다.
로드맵 액세스 로드맵액세스 사용자 또는 앱에서 로드맵 또는 포트폴리오를 읽습니다.
액세스된 로드맵 항목 RoadmapItemAccessed 로드맵 또는 포트폴리오 항목은 사용자 또는 앱에서 읽습니다.
액세스된 작업 TaskAccessed 사용자 또는 앱에서 작업을 읽습니다.
업데이트된 프로젝트 설정 ProjectForTheWebProjectSettings 프로젝트 설정은 관리자가 업데이트합니다.
업데이트된 로드맵 로드맵업dated 사용자 또는 앱에서 로드맵 또는 포트폴리오를 수정합니다.
업데이트된 로드맵 항목 RoadmapItemUpdated 사용자 또는 앱에서 로드맵 또는 포트폴리오 항목을 수정합니다.
업데이트된 로드맵 설정 ProjectForTheWebRoadmaptSettings 로드맵 또는 포트폴리오 설정은 관리자가 업데이트합니다.
업데이트된 작업 TaskUpdated 작업은 사용자 또는 앱에 의해 수정됩니다.
업데이트된 프로젝트 ProjectUpdated 프로젝트는 사용자 또는 앱에 의해 수정됩니다.

솔루션 활동 Microsoft Purview 감사

다음 표에서는 Microsoft Purview 포털, Microsoft Purview 규정 준수 포털 및 감사 검색 Graph API 감사 솔루션과 관련된 활동을 나열합니다. 이러한 활동은 SecurityComplianceCenter 워크로드에서 감사됩니다. 자세한 내용은 감사 로그 검색을 참조하세요.

Search-UnifiedAuditLog를 사용하여 수행된 감사 검색 및 내보내기 활동은 감사되지 않습니다.

이름 작업 설명
감사 검색 생성됨 AuditSearchCreated 새 감사 검색 요청이 제출됩니다.
감사 검색 완료 AuditSearchCompleted 감사 검색 작업이 완료되었습니다.
감사 검색이 취소됨 AuditSearchCancelled 감사 검색 작업이 취소되었습니다.
감사 검색 삭제됨 AuditSearchDeleted 감사 검색 작업이 삭제됩니다.
검색 내보내기 작업 만들기 감사 AuditSearchExportJobCreated 감사 검색 쿼리의 검색 결과를 내보내기 위한 내보내기 작업이 만들어집니다.
감사 검색 내보내기 작업 완료 AuditSearchExportJobCompleted 감사 검색 쿼리의 검색 결과를 내보내는 내보내기 작업이 완료되었습니다.
다운로드한 검색 내보내기 결과 감사 AuditSearchExportResultsDownloaded 감사 검색 쿼리의 검색 결과가 다운로드되었습니다.

Microsoft Purview 거버넌스 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft Purview 거버넌스 활동을 나열합니다. 자세한 내용은 Microsoft Purview 거버넌스 솔루션을 참조하세요.

이름 작업 설명
만든 자산 또는 엔터티 EntityCreated 새 자산 또는 엔터티가 만들어지거나 기존 자산에 추가됩니다.
분류가 추가됨 분류추가됨 자산 엔터티에 분류를 추가합니다.
생성된 분류 정의 ClassificationDefinitionCreated 분류 유형을 만듭니다.
분류 정의 삭제됨 ClassificationDefinitionDeleted 분류 유형을 삭제합니다.
분류 정의 업데이트됨 ClassificationDefinitionUpdated 분류 유형을 업데이트합니다.
분류 삭제됨 ClassificationDeleted 자산 엔터티에서 분류를 삭제합니다.
분류 업데이트됨 ClassificationUpdated 자산 엔터티의 분류를 업데이트합니다.
엔터티 삭제됨 EntityDeleted 자산 또는 엔터티는 기존 자산에서 삭제됩니다.
엔터티 업데이트됨 EntityUpdated 포함: 특성 업데이트, 비즈니스 특성 업데이트, 컬렉션 정보(컬렉션 ID만 포함), 연락처 업데이트, customAttributes, 계층 구조, homeId, 레이블, sourceDetails
용어집 용어가 할당됨 용어집TermAssigned 자산 엔터티에 용어를 할당합니다.
용어집 용어 만들기 용어집테름만들기 용어를 만듭니다.
용어집 용어 삭제됨 용어집TermDeleted 용어를 삭제합니다.
용어집 용어가 분리됨 용어집TermDisassociated 자산 엔터티에서 용어를 분리합니다.
용어집 용어 업데이트됨 용어집TermUpdated 용어를 업데이트합니다.
민감도 레이블이 변경됨 SensitivityLabelChanged 민감도 레이블이 추가/업데이트/삭제됩니다.

Microsoft Stream 활동

Microsoft Stream에서 활동에 대한 감사 로그를 검색할 수 있습니다. 이러한 활동에는 사용자가 수행한 비디오 활동, 그룹 채널 활동 및 관리자 활동(예: 사용자 관리, 조직 설정 관리, 보고서 내보내기 등)이 포함됩니다. 이러한 활동에 대한 설명은 Microsoft Stream의 감사 로그에서 "Stream에 기록된 활동" 섹션을 참조하세요.

Microsoft Teams 활동

다음 표에는 Microsoft 365 감사 로그에 기록된 Microsoft Teams 활동이 나와 있습니다. Microsoft Teams에서 사용자 및 관리자 활동에 대한 감사 로그를 검색할 수 있습니다. Teams는 Microsoft 365에서 채팅 중심의 작업 영역입니다. Microsoft Teams를 사용하면 팀의 대화, 모임, 파일 및 메모를 모두 한곳에서 관리할 수 있습니다. 자세한 검색 지침은 Microsoft Teams에서 이벤트에 대한 감사 로그 검색을 참조하세요.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

친숙한 이름 작업 설명
팀에 봇이 추가됨 BotAddedToTeam 사용자가 팀에 봇을 추가합니다.
채널 추가됨 ChannelAdded 사용자가 팀에 채널을 추가합니다.
커넥터 추가됨 ConnectorAdded 사용자가 채널에 커넥터를 추가합니다.
Teams 모임 9에 대한 세부 정보가 추가됨 MeetingDetail Teams는 모임에 참가하기 위한 시작 시간, 종료 시간 및 URL을 포함하여 모임에 대한 정보를 추가했습니다.
모임 참가자 9에 대한 정보가 추가됨 MeetingParticipantDetail Teams는 각 참가자의 사용자 ID, 참가자가 모임에 참가한 시간 및 참가자가 모임을 떠난 시간을 포함하여 모임 참가자에 대한 정보를 추가했습니다.
멤버 6, 8이 추가됨 MemberAdded 팀 소유자가 팀, 채널 또는 그룹 채팅에 구성원을 추가합니다.
탭 추가됨 TabAdded 사용자가 채널에 탭을 추가합니다.
적용된 민감도 레이블 SensitivityLabelApplied 사용자 또는 모임 이끌이가 Teams 모임에 민감도 레이블을 적용했습니다.
채널 설정 변경함 ChannelSettingChanged ChannelSettingChanged 작업은 팀 구성원이 다음 활동을 수행하는 경우 로깅됩니다. 이러한 각 활동에 대해 변경된 설정에 대한 설명(괄호로 표시됨)이 감사 로그 검색 결과의 항목 열에 표시됩니다.
  • 팀 채널의 이름 변경(채널 이름)
  • 팀 채널에 대한 설명 변경(채널 설명)
조직 설정 변경함 TeamsTenantSettingChanged TeamsTenantSettingChanged 작업은 Microsoft 365 관리 센터 전역 관리자가 다음 작업을 수행할 때 기록됩니다. 이러한 활동은 조직 전체 Teams 설정에 영향을 줍니다. 자세한 내용은 organization 대한 Teams 설정 관리를 참조하세요.
이러한 각 활동에 대해 변경된 설정에 대한 설명(괄호로 표시됨)이 감사 로그 검색 결과의 항목 열에 표시됩니다.
  • organization Teams를 사용하거나 사용하지 않도록 설정합니다(Microsoft Teams).
  • organization(비즈니스용 Skype 상호 운용성)에 대해 Microsoft Teams와 비즈니스용 Skype 간의 상호 운용성을 사용하거나 사용하지 않도록 설정합니다.
  • Microsoft Teams 클라이언트(조직도 보기)에서 조직도 보기를 사용하거나 사용하지 않도록 설정합니다.
  • 팀 구성원이 비공개 모임(비공개 모임 예약)을 예약할 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다.
  • 팀 구성원이 채널 모임을 예약할 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다(채널 모임 예약).
  • Teams 모임에서 화상 통화를 사용하거나 사용하지 않도록 설정합니다(Skype 모임용 비디오).
  • organization(Skype 모임의 화면 공유)에 대한 Microsoft Teams 모임에서 화면 공유를 사용하거나 사용하지 않도록 설정합니다.
  • 애니메이션 이미지(Giphys라고 함)를 Teams 대화(애니메이션 이미지)에 추가하는 기능을 사용하거나 사용하지 않도록 설정합니다.
  • organization(콘텐츠 등급)에 대한 콘텐츠 등급 설정을 변경합니다. 콘텐츠 등급으로 인해 대화에 표시될 수 있는 애니메이션 이미지의 유형이 제한됩니다.
  • 팀 구성원이 인터넷에서 팀 대화(인터넷에서 사용자 지정 가능한 이미지)에 사용자 지정 가능한 이미지(사용자 지정 밈이라고 함)를 추가할 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다.
  • 팀 구성원이 편집 가능한 이미지(스티커라고 함)를 팀 대화(편집 가능한 이미지)에 추가할 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다.
  • 팀 구성원이 Microsoft Teams 채팅 및 채널(조직 전체 봇)에서 봇을 사용할 수 있도록 설정하거나 사용하지 않도록 설정합니다.
  • Microsoft Teams에 특정 봇을 사용하도록 설정합니다. 조직에서 봇이 활성화된 경우 사용할 수 있는 Teams 도움말 봇인 T-Bot은 여기에 포함되지 않습니다(개별 봇).
  • 팀 구성원이 확장 또는 탭(확장 또는 탭)을 추가할 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다.
  • Microsoft Teams(봇의 사이드 로드)에 대한 독점 봇의 테스트용 로드를 사용하거나 사용하지 않도록 설정합니다.
  • 사용자가 Microsoft Teams 채널(채널 이메일)에 전자 메일 메시지를 보낼 수 있는 기능을 사용하거나 사용하지 않도록 설정합니다.
팀의 구성원 역할이 변경됨 MemberRoleChanged 팀 소유자가 팀의 구성원 역할을 변경합니다. 다음 값은 사용자에게 할당된 역할 유형을 나타냅니다.

1 - 멤버 역할을 나타냅니다.
2 - 소유자 역할을 나타냅니다.
3 - 게스트 역할을 나타냅니다.

Members 속성에는 organization 이름과 구성원의 이메일 주소도 포함됩니다.
팀 설정 변경함 TeamSettingChanged TeamSettingChanged 작업은 팀 소유자가 다음 활동을 수행하는 경우 로깅됩니다. 이러한 각 활동에 대해 변경된 설정에 대한 설명(괄호로 표시됨)이 감사 로그 검색 결과의 항목 열에 표시됩니다.
  • 팀의 액세스 유형을 변경합니다. Teams는 프라이빗 또는 퍼블릭(팀 액세스 유형)으로 설정할 수 있습니다. 비공개 팀(기본값)은 초대받은 사용자만 액세스할 수 있습니다. 공개 팀은 누구나 검색할 수 있습니다.
  • 팀의 정보 분류를 변경합니다(팀 분류). 예를 들어, 팀 데이터는 높은 비즈니스 영향, 중간 비즈니스 영향 또는 낮은 비즈니스 영향으로 분류될 수 있습니다.
  • 팀 이름(팀 이름)을 변경합니다.
  • 팀 설명을 변경합니다(팀 설명).
  • 팀 설정이 변경되었습니다. 이러한 설정에 액세스하려면 팀 소유자가 팀을 마우스 오른쪽 단추로 클릭하고 팀 관리를 선택한 다음 설정 탭을 선택할 수 있습니다. 이러한 활동의 경우 변경된 설정의 이름이 감사 로그 검색 결과의 항목 열에 표시됩니다.
변경된 민감도 레이블 SensitivityLabelChanged 사용자가 Teams 모임에서 민감도 레이블을 변경했습니다.
채팅 만들기 1, 6 ChatCreated Teams 채팅이 만들어졌습니다.
팀 생성됨 TeamCreated 사용자가 팀을 만듭니다.
메시지 삭제 2 MessageDeleted 채팅 또는 채널의 메시지가 삭제되었습니다.
모든 organization 앱 삭제 DeletedAllOrganizationApps 카탈로그에서 모든 organization 앱을 삭제했습니다.
삭제된 앱 AppDeletedFromCatalog 앱이 카탈로그에서 삭제되었습니다.
채널 삭제됨 ChannelDeleted 사용자는 팀에서 채널을 삭제합니다.
팀 삭제됨 TeamDeleted 팀 소유자가 팀을 삭제합니다.
Teams에서 URL 링크가 있는 메시지 편집 MessageEditedHasLink 사용자가 메시지를 편집하고 Teams에서 URL 링크를 추가합니다.
내보낸 메시지 1,2 MessagesExported 채팅 또는 채널 메시지를 내보냅니다.
내보낸 녹음 /녹화 1 RecordingExported 채팅 녹음/녹화를 내보냅니다.
내보낸 대본 1 TranscriptsExported 채팅 대화 내용이 내보내졌다.
공유 채널 3에 대한 초대의 유효성을 검사하지 못했습니다. FailedValidation 사용자가 공유 채널에 대한 초대에 응답하지만 초대 유효성 검사에 실패했습니다.
가져온 채팅 1 ChatRetrieved Microsoft Teams 채팅이 검색되었습니다.
메시지1의 호스트된 모든 콘텐츠를 페치했습니다. MessageHostedContentsListed 메시지의 모든 호스트된 콘텐츠(예: 이미지 또는 코드 조각)가 검색되었습니다.
설치된 앱 AppInstalled 앱이 설치되었습니다.
카드 대해 수행된 작업 PerformedCardAction 사용자가 채팅 내의 적응형 카드 조치를 취했습니다. 적응형 카드는 일반적으로 봇에서 채팅에서 다양한 정보 및 상호 작용을 표시할 수 있도록 하는 데 사용됩니다.

메모: 채팅 내의 적응형 카드 대한 인라인 입력 작업만 감사 로그에서 사용할 수 있습니다. 예를 들어 사용자가 설문 조사 봇에서 생성된 적응형 카드 채널 대화에서 설문 조사 응답을 제출하는 경우입니다. 대화 상자를 여는 "결과 보기"와 같은 사용자 작업 또는 대화 상자 내의 사용자 작업은 감사 로그에서 사용할 수 없습니다.
새 메시지 1, 6, 8을 게시했습니다. MessageSent 새 메시지가 채팅 또는 채널에 게시되었습니다.
채팅에서 AI 생성 노트 채우기 AINotesUpdate 그룹 채팅을 위해 AI에서 생성된 노트가 채워졌습니다.
라이브 모임에서 AI 생성 노트 채우기 LiveNotesUpdate AI 생성 노트가 라이브 모임을 위해 채워졌습니다.
게시된 앱 AppPublishedToCatalog 앱이 카탈로그에 추가되었습니다.
메시지 읽기 1 MessageRead 채팅 또는 채널의 메시지가 검색되었습니다.
메시지의 호스트된 콘텐츠 읽기 1 MessageHostedContentRead 메시지의 호스트된 콘텐츠(예: 이미지 또는 코드 조각)가 검색되었습니다.
팀에서 봇이 제거됨 BotRemovedFromTeam 사용자가 팀에서 봇을 제거합니다.
커넥터 제거됨 ConnectorRemoved 사용자가 채널에서 커넥터를 제거합니다.
제거된 멤버 6, 8 MemberRemoved 팀 소유자가 팀, 채널 또는 그룹 채팅에서 구성원을 제거합니다.
제거된 민감도 레이블 SensitivityLabelRemoved 사용자가 Teams 모임에서 민감도 레이블을 제거했습니다.
팀 채널 3의 공유가 제거됨 TerminatedSharing 팀 또는 채널 소유자가 공유 채널에 대한 공유를 사용하지 않도록 설정했습니다.
팀 채널 3의 복원된 공유 SharingRestored 팀 또는 채널 소유자가 공유 채널에 대한 공유를 다시 사용하도록 설정했습니다.
탭 제거됨 TabRemoved 사용자는 채널에서 탭을 제거합니다.
공유 채널 3에 대한 초대에 응답 InviteeResponded 사용자가 공유 채널 초대에 응답했습니다.
공유 채널 3에 대한 초대 응답에 응답 ChannelOwnerResponded 채널 소유자가 공유 채널 초대에 응답한 사용자의 응답에 응답했습니다.
검색된 메시지 1 MessagesListed 채팅 또는 채널의 메시지가 검색되었습니다.
Teams에서 URL 링크가 있는 메시지 보내기 MessageCreatedHasLink 사용자가 Teams의 URL 링크가 포함된 메시지를 보냅니다.
메시지 만들기를 위한 변경 알림 전송 1 MessageCreatedNotification 구독된 수신기 애플리케이션에 새 메시지를 알리기 위해 변경 알림이 전송되었습니다.
메시지 삭제에 대한 변경 알림 전송 1 MessageDeletedNotification 구독된 수신기 애플리케이션에 삭제된 메시지를 알리기 위해 변경 알림이 전송되었습니다.
메시지 업데이트 1에 대한 변경 알림 전송 MessageUpdatedNotification 구독된 수신기 애플리케이션에 업데이트된 메시지를 알리기 위해 변경 알림이 전송되었습니다.
공유 채널 3에 대한 초대 보내기 InviteSent 채널 소유자 또는 구성원이 공유 채널에 초대를 보냅니다. 채널 정책이 외부 사용자와 채널을 공유하도록 구성된 경우 organization 외부 사용자에게 공유 채널 초대를 보낼 수 있습니다.
메시지 변경 알림 구독 1 SubscribedToMessages 메시지에 대한 변경 알림을 수신하기 위해 수신기 애플리케이션에서 구독을 만들었습니다.
제거된 앱 AppUninstalled 앱이 제거되었습니다.
업데이트된 앱 AppUpdatedInCatalog 카탈로그에서 앱이 업데이트되었습니다.
채팅 업데이트 1 ChatUpdated Teams 채팅이 업데이트되었습니다.
메시지 업데이트 1 MessageUpdated 채팅 또는 채널의 메시지가 업데이트되었습니다.
커넥터가 업데이트됨 ConnectorUpdated 사용자가 채널의 커넥터를 수정했습니다.
탭이 업데이트됨 TabUpdated 사용자가 채널의 탭을 수정했습니다.
업그레이드된 앱 AppUpgraded 앱이 카탈로그의 최신 버전으로 업그레이드되었습니다.
사용자가 Teams에 로그인함 TeamsSessionStarted 사용자가 Microsoft Teams 클라이언트에 로그인합니다. 이 이벤트는 토큰 새로 고침 활동을 캡처하지 않습니다.
게시된 새 메시지 3,4,6, 8 MessageSent 새 메시지가 채팅 또는 채널에 게시되었습니다.

참고

1 이 이벤트에 대한 감사 레코드는 Microsoft Graph API 호출하여 작업을 수행할 때만 기록됩니다. Teams 클라이언트에서 작업을 수행하는 경우 감사 레코드가 기록되지 않습니다.
2 이 이벤트는 감사(프리미엄)에서만 사용할 수 있습니다. 즉, 이러한 이벤트가 감사 로그에 기록되기 전에 사용자에게 적절한 라이선스가 할당되어야 합니다. 감사(프리미엄)에서만 사용할 수 있는 활동에 대한 자세한 내용은 Microsoft Purview의 감사(프리미엄)를 참조하세요. 감사(프리미엄) 라이선스 요구 사항은 Microsoft 365의 감사 솔루션을 참조하세요.
3 이 이벤트는 공개 미리 보기로 제공됩니다.
4이 이벤트는 게스트, 페더레이션 및/또는 익명 사용자가 있는 경우에만 채팅용으로 생성됩니다.
5 이 이벤트는 현재 GCC(정부 커뮤니티 클라우드), GCC-High(Government Community Cloud High) 및 국방부(DoD) 조직에서 사용할 수 없습니다.
6 이 이벤트는 페더레이션된 채팅에 참여하는 모든 테넌트에서 포함됩니다.
7 이 이벤트에는 1:1 페더레이션 채팅에 대한 참여 도메인 정보가 있습니다.
8 이 이벤트는 organization 관리하는 외부 Teams 사용자와 organization 관리되지 않는 외부 Teams 사용자 간의 모든 채팅 대화에 포함됩니다.
9 이 이벤트는 현재 GCC(정부 커뮤니티 클라우드)에서 사용할 수 없지만 GCC-High(Government Community Cloud High) 및 국방부(DoD) 조직에서 사용할 수 있습니다.

Microsoft Teams 보건 활동

조직에서 Microsoft Teams의 환자 응용 프로그램을 사용하는 경우 환자 앱을 사용과 관련된 활동에 대한 감사 로그를 검색할 수 있습니다. 환자 앱을 지원하도록 환경을 구성한 경우 이러한 활동에 대한 추가 활동 그룹을 활동 선택기 목록에서 사용할 수 있습니다.

활동 선택기 목록의 Microsoft Teams 보건 활동

환자 앱 활동에 대한 자세한 내용은 환자 앱에 대한 감사 로그를 참조하세요.

Microsoft Teams Shifts 활동

다음 표에는 Microsoft 365 감사 로그에 기록된 Microsoft Teams 활동의 Shift 앱이 나와 있습니다. 조직에서 Microsoft Teams의 Shifts 앱을 사용하는 경우, Shifts 앱 사용과 관련된 활동에 대한 감사 로그를 검색할 수 있습니다. Shifts 앱을 지원하도록 환경을 구성한 경우 이러한 활동에 대한 추가 활동 그룹을 활동 선택기 목록에서 사용할 수 있습니다.

이름 작업 설명
예약 그룹 추가됨 ScheduleGroup추가됨 사용자가 새 일정 그룹을 일정에 성공적으로 추가합니다.
편집된 예약 그룹 ScheduleGroupEdited 사용자가 예약 그룹을 성공적으로 편집합니다.
삭제된 예약 그룹 ScheduleGroupDeleted 사용자가 일정에서 예약 그룹을 성공적으로 삭제합니다.
철회된 일정 ScheduleWithdrawn 사용자가 게시된 일정을 성공적으로 철회합니다.
교대 근무 추가 ShiftAdded 사용자가 교대 근무를 성공적으로 추가했습니다.
편집된 교대 근무 ShiftEdited 사용자가 교대 근무를 성공적으로 편집합니다.
삭제된 교대 근무 ShiftDeleted 사용자가 교대 근무를 성공적으로 삭제합니다.
추가된 시간 TimeOffAdded 사용자가 일정에 따라 휴가를 성공적으로 추가합니다.
편집된 시간 끄기 TimeOffEdited 사용자가 휴가를 성공적으로 편집합니다.
삭제된 시간 TimeOffDeleted 사용자가 휴가를 성공적으로 삭제합니다.
열린 교대 근무가 추가됨 OpenShiftAdded 사용자가 예약 그룹에 열린 교대 근무를 성공적으로 추가합니다.
편집된 열린 교대 근무 OpenShiftEdited 사용자가 예약 그룹에서 열린 교대 근무를 성공적으로 편집합니다.
열린 교대 근무가 삭제됨 OpenShiftDeleted 사용자가 예약 그룹에서 열린 교대 근무를 성공적으로 삭제합니다.
공유 일정 ScheduleShared 사용자가 날짜 범위에 대한 팀 일정을 성공적으로 공유했습니다.
시간 클록을 사용하여 클록 ClockedIn 사용자가 Time clock을 사용하여 을(를) 성공적으로 클럭합니다.
시간 시계를 사용하여 클록 아웃됨 ClockedOut 사용자가 Time clock을 사용하여 시계를 성공적으로 시계로 표시합니다.
시간 시계를 사용하여 중단 시작 BreakStarted 사용자가 활성 시간 클록 세션 중에 휴식을 성공적으로 시작합니다.
시간 시계를 사용하여 중단 종료 BreakEnded 사용자가 활성 시간 클록 세션 중에 중단을 성공적으로 종료합니다.
시간 클록 항목이 추가됨 TimeClockEntry추가됨 사용자가 Time Sheet에 새 수동 시간 시계 항목을 성공적으로 추가했습니다.
편집된 시간 클록 항목 TimeClockEntryEdited 사용자가 Time Sheet에서 시간 클록 항목을 성공적으로 편집합니다.
삭제된 시간 클록 항목 TimeClockEntryDeleted 사용자가 Time Sheet에서 시간 클록 항목을 성공적으로 삭제합니다.
교대 근무 요청 추가됨 요청추가됨 사용자가 교대 근무 요청을 추가했습니다.
교대 근무 요청에 응답 RequestRespondedTo 사용자가 교대 근무 요청에 응답했습니다.
취소된 교대 근무 요청 RequestCancelled 사용자가 교대 근무 요청을 취소했습니다.
변경된 일정 설정 ScheduleSettingChanged 사용자가 Shifts 설정에서 설정을 변경합니다.
인력 통합 추가 WorkforceIntegration추가됨 Shifts 앱은 타사 시스템과 통합됩니다.
수락된 끄기 메시지 OffShiftDialogAccepted 사용자가 교대 근무 시간 후 Teams에 액세스하는 오프 시프트 메시지를 승인합니다.

Microsoft Teams 업데이트 활동

다음 표에는 Microsoft 365 감사 로그에 기록된 Microsoft Teams 활동의 업데이트 앱이 나와 있습니다. organization Microsoft Teams에서 업데이트 앱을 사용하는 경우 감사 로그에서 업데이트 앱을 사용하여 과 관련된 활동을 검색할 수 있습니다. 환경이 업데이트 앱을 지원하도록 구성된 경우 이러한 활동에 대한 추가 활동 그룹을 활동 선택기 목록에서 사용할 수 있습니다.

이름 작업 설명
업데이트 요청 만들기 CreateUpdateRequest 사용자가 업데이트 요청을 성공적으로 만듭니다.
업데이트 요청 편집 EditUpdateRequest 사용자가 요청 편집 마법사를 열고 저장 을 선택하여 변경 내용을 확인하고 저장하거나 업데이트 요청을 직접 사용하거나 사용하지 않도록 설정합니다.
업데이트 제출 SubmitUpdate 사용자가 업데이트를 성공적으로 제출합니다.
하나의 업데이트에 대한 세부 정보 보기 ViewUpdate 사용자가 업데이트의 세부 정보를 볼 수 있습니다.

Microsoft 할 일 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 Microsoft To Do의 활동을 나열합니다. Microsoft To Do에 대한 자세한 내용은 Microsoft To Do 지원을 참조하세요.

참고

Microsoft To Do 활동에 대한 감사 이벤트를 사용하려면 감사(프리미엄) 자격이 포함된 관련 Microsoft 365 라이선스 외에 유료 Project 플랜 1 라이선스(이상)가 필요합니다.

이름 작업 설명
폴더의 허용된 공유 링크 AcceptedSharingLinkOnFolder 폴더에 대한 허용된 공유 링크입니다.
첨부 파일 생성됨 AttachmentCreated 작업에 대한 첨부 파일이 만들어졌습니다.
첨부 파일 업데이트됨 AttachmentUpdated 첨부 파일이 업데이트되었습니다.
첨부 파일이 삭제됨 AttachmentDeleted 첨부 파일이 삭제되었습니다.
폴더 공유 링크 공유 FolderSharingLinkShared 폴더에 대한 공유 링크를 만들었습니다.
연결된 엔터티 삭제됨 LinkedEntityDeleted 연결된 엔터티가 삭제되었습니다.
연결된 엔터티 업데이트됨 LinkedEntityUpdated 연결된 엔터티가 업데이트되었습니다.
연결된 엔터티 생성됨 LinkedEntityCreated 작업의 연결된 엔터티가 만들어졌습니다.
SubTask 생성됨 SubTaskCreated 하위 작업이 만들어졌습니다.
SubTask 삭제됨 SubTaskDeleted 하위 작업이 삭제되었습니다.
SubTask 업데이트됨 SubTaskUpdated 하위 작업이 업데이트되었습니다.
만든 작업 작업만들기 작업이 만들어졌습니다.
작업 삭제됨 TaskDeleted 작업이 삭제되었습니다.
작업 읽기 TaskRead 작업을 읽었습니다.
작업 업데이트됨 TaskUpdated 작업이 업데이트되었습니다.
TaskList 생성됨 TaskListCreated 작업 목록이 만들어졌습니다.
TaskList 읽기 TaskListRead 작업 목록을 읽었습니다.
TaskList 업데이트됨 TaskListUpdated 작업 목록이 업데이트되었습니다.
초대된 사용자 UserInvited 사용자를 폴더에 초대했습니다.

Microsoft Viva Insights 활동

Viva Insights organization 그룹이 공동 작업하는 방법에 대한 인사이트를 제공합니다. 다음 표에서는 Viva Insights 관리자 역할 또는 분석가 역할이 할당된 사용자가 수행한 활동을 나열합니다. 분석 역할이 할당된 사용자는 모든 서비스 기능에 대한 전체 액세스 권한을 가지며 제품을 사용하여 분석을 수행합니다. 관리자 역할이 할당된 사용자는 개인 정보 설정 및 시스템 기본값을 구성할 수 있으며 Viva Insights 조직 데이터를 준비, 업로드 및 확인할 수 있습니다. 자세한 내용은 Microsoft Viva Insights 소개를 참조하세요.

이름 작업 설명
OData 링크 액세스됨 AccessedOdataLink 분석가가 쿼리에 대해 OData 링크에 액세스했습니다.
대리자 액세스 추가 AddDelegates 사용자가 organization 인사이트 또는 Copilot dashboard 대한 대리자 액세스를 추가했습니다.
쿼리 취소됨 CanceledQuery 분석가가 실행 중인 쿼리를 취소했습니다.
모임 제외 만들어짐 MeetingExclusionCreated 분석가가 모임 제외 규칙을 만들었습니다.
결과 삭제됨 DeletedResult 분석가가 쿼리 결과를 삭제했습니다.
보고서 다운로드됨 DownloadedReport 분석가가 쿼리 결과 파일을 다운로드했습니다.
쿼리 실행됨 ExecutedQuery 분석가가 쿼리를 실행했습니다.
대리자 액세스 제거됨 RemoveDelegates 사용자가 organization 인사이트 또는 Copilot dashboard 대한 대리자 액세스를 제거했습니다.
데이터 액세스 설정 업데이트됨 UpdatedDataAccessSetting 관리자가 데이터 액세스 설정을 업데이트했습니다.
개인 정보 설정 업데이트됨 UpdatedPrivacySetting 관리 업데이트된 개인 정보 설정(예: 최소 그룹 크기)입니다.
조직 데이터가 업로드됨 UploadedOrgData 관리자가 조직 데이터 파일을 업로드했습니다.
사용자가 로그인됨* UserLoggedIn 사용자가 Microsoft 365 사용자 계정에 로그인했습니다.
사용자가 로그아웃함* UserLoggedOff 사용자가 Microsoft 365 사용자 계정에서 로그아웃했습니다.
탐색 보기 ViewedExplore 분석가가 하나 이상의 탐색 페이지 탭에서 시각화를 봤습니다.

참고

*사용자가 로그인할 때 Microsoft Entra 로그인 및 로그오프 활동 이벤트가 만들어집니다. 이 활동은 organization Viva Insights 설정되지 않은 경우에도 기록됩니다. 사용자 로그인 활동에 대한 자세한 내용은 Microsoft Entra ID 로그인 로그를 참조하세요.

개인 인사이트 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 개인 인사이트의 활동을 나열합니다. 개인 인사이트에 대한 자세한 내용은 개인 인사이트에 대한 관리 가이드를 참조하세요.

이름 작업 설명
조직 MyAnalytics 설정이 업데이트됨 UpdatedOrganizationMyAnalyticsSettings 관리 개인 인사이트에 대한 organization 수준 설정을 업데이트합니다.
사용자 MyAnalytics 설정이 업데이트됨 UpdatedUserMyAnalyticsSettings 관리 개인 인사이트에 대한 사용자 설정을 업데이트합니다.

격리 활동

다음 표에는 감사 로그에서 검색 할 수 있는 격리 활동이 나와 있습니다. 격리에 대한 자세한 내용은 전자 메일 메시지 격리를 참조하세요.

이름 작업 설명
삭제된 격리 메시지 QuarantineDeleteMessage 관리자 또는 사용자가 유해한 것으로 간주되는 전자 메일 메시지를 삭제했습니다.
격리 메시지 릴리스 요청이 거부됨 QuarantineReleaseRequestDeny 유해한 것으로 간주되는 전자 메일 메시지에 대한 사용자의 릴리스 요청에 대한 관리자 거부입니다.
내보내기한 격리 메시지 QuarantineExport 관리자 또는 사용자가 유해한 것으로 간주되는 전자 메일 메시지를 내보냅니다.
미리보기한 격리 메시지 QuarantinePreview 관리자 또는 사용자가 유해한 것으로 간주되는 전자 메일 메시지를 미리 했습니다.
릴리스된 격리 메시지 QuarantineRelease 관리자 또는 사용자가 유해한 것으로 간주되는 격리에서 전자 메일 메시지를 공개했습니다.
릴리스 요청 격리 메시지 QuarantineReleaseRequest 사용자가 유해한 것으로 간주되는 전자 메일 메시지의 릴리스를 요청했습니다.
확인한 격리 메시지 머리글 QuarantineViewHeader 관리자 또는 사용자가 헤더에 유해한 것으로 간주되는 전자 메일 메시지를 확인했습니다.

보고서 활동

다음 표에서는 Microsoft 365 감사 로그에 기록된 사용 현황 보고서에 대한 활동을 나열합니다.

친숙한 이름 작업 설명
업데이트된 사용 현황 보고서 개인 정보 설정 UpdateUsageReportsPrivacySetting 관리자가 사용 현황 보고서에 대한 개인 정보 설정을 업데이트했습니다.

유지 정책 및 보존 레이블 활동

다음 표에서는 생성, 다시 구성 또는 삭제된 보존 정책 및 보존 레이블에 대한 구성 작업에 대해 설명합니다.

이름 작업 설명
변경된 적응형 범위 멤버십 ApplicableAdaptiveScopeChange 사용자, 사이트 또는 그룹이 적응형 범위에 추가되거나 범위에서 제거되었습니다. 이러한 변경 내용은 범위의 쿼리를 실행한 결과입니다. 변경 내용이 시스템에서 시작되어 보고된 사용자가 사용자 계정이 아닌 GUID로 표시됩니다.
보존 정책에 대해 구성된 설정 NewRetentionComplianceRule 관리자가 새 보존 정책에 대한 보존 설정을 구성했습니다. 보존 설정에는 항목이 보존되는 기간과 보존 기간이 만료될 때 발생하는 작업(예: 항목 삭제, 항목 보존, 보존 및 삭제)이 포함됩니다. 이 활동은 New-RetentionComplianceRule cmdlet을 실행하는 것과도 같습니다.
적응형 범위 생성됨 NewAdaptiveScope 관리자가 적응형 범위를 만들었습니다.
보존 레이블을 만들었습니다. NewComplianceTag 관리자가 새 보존 레이블을 만들었습니다.
보존 정책을 만들었습니다. NewRetentionCompliancePolicy 관리자가 새 보존 정책을 만들었습니다.
적응형 범위 삭제됨 RemoveAdaptiveScope 관리자가 적응형 범위를 삭제했습니다.
보존 정책에서 설정을 삭제했습니다. RemoveRetentionComplianceRule
관리자가 보존 정책의 구성 설정을 삭제했습니다. 이 활동은 관리자가 보존 정책을 삭제하거나 RetentionComplianceRule 제거 cmdlet을 실행할 때 기록될 가능성이 높습니다.
보존 레이블 삭제. RemoveComplianceTag 관리자가 보존 레이블을 삭제했습니다.
보존 정책을 삭제했습니다. RemoveRetentionCompliancePolicy
관리자가 보존 정책을 삭제했습니다.
보존 레이블에 대한 규제 레코드 옵션이 활성화되었습니다.
SetRestrictiveRetentionUI 관리자가 Set-RegulatoryCompliance를 설정 cmdlet을 사용하면 관리자가 보존 레이블에 대한 UI 구성 옵션을 선택하여 내용을 규제 레코드로 표시할 수 있습니다.
사전에 보존된 전자 메일 항목 ExchangeDataProactivelyPreserved 적응형 보호는 Exchange에서 항목을 보존하기 위해 보존 레이블을 자동으로 적용했습니다.
사전에 보존된 파일 SharePointDataProactivelyPreserved 적응형 보호는 SharePoint 또는 OneDrive에서 항목을 보존하기 위해 보존 레이블을 자동으로 적용했습니다.
적응형 범위 업데이트됨 SetAdaptiveScope 관리자가 기존 적응형 범위에 대한 설명이나 쿼리를 변경했습니다.
보존 정책에 대한 설정 업데이트 SetRetentionComplianceRule 관리자가 기존 보존 정책에 대한 보존 설정을 변경했습니다. 보존 설정에는 항목이 보존되는 기간과 보존 기간이 만료될 때 발생하는 작업(예: 항목 삭제, 항목 보존, 보존 및 삭제)이 포함됩니다. 이 활동은 New-RetentionComplianceRule cmdlet을 실행하는 것과도 같습니다.
보존 레이블 업데이트 SetComplianceTag 관리자가 기존 보존 레이블을 업데이트했습니다.
보존 정책이 업데이트되었습니다. SetRetentionCompliancePolicy 관리자가 기존 보존 정책을 업데이트했습니다. 이 이벤트를 트리거하는 업데이트에는 보존 정책이 적용되는 콘텐츠 위치 추가 또는 제외가 포함됩니다.

역할 관리 활동

다음 표에는 관리자가 Microsoft 365 관리 센터 또는 Azure 관리 포털에서 관리자 역할을 관리할 때 기록되는 Microsoft Entra 역할 관리 작업이 나와 있습니다.

참고

다음 표의 작업 열에 나열된 작업 이름에는 마침표(.)가 포함되어 있습니다. 감사 로그를 검색하거나, 감사 보존 정책을 만들거나, 경고 정책을 만들거나, 활동 알림을 만들 때 PowerShell 명령에서 작업을 지정하는 경우 작업 이름에 기간을 포함해야 합니다. 작업 이름을 포함하기 위해 반드시 두 개의 물음표(" ")를 사용해야 합니다.

이름 작업 설명
역할에 구성원 추가 역할에 구성원을 추가합니다. Microsoft 365의 관리자 역할에 사용자를 추가했습니다.
디렉터리 역할에서 사용자 제거됨 역할에서 구성원을 제거합니다. Microsoft 365의 관리자 역할에서 사용자를 제거했습니다.
회사 연락처 정보 설정 회사 연락처 정보를 설정합니다. 조직에 대한 회사 차원의 연락처 기본 설정을 업데이트했습니다. 여기에는 Microsoft 365에서 보내는 구독 관련 전자 메일의 전자 메일 주소와 서비스에 대한 기술 알림이 포함됩니다.

중요한 정보 유형 활동

다음 표에서는 중요한 정보 유형의 생성 및 업데이트와 관련된 활동에 대한 감사 이벤트를 설명합니다.

이름 작업 설명
새 중요한 정보 유형 만들기 CreateRulePackage / EditRulePackage* 새 중요한 정보 유형이 만들어졌습니다. 여기에는 기본 SIT를 복사하여 만든 모든 SID가 포함됩니다.

참고: 이 활동은 감사 활동 '만든 규칙 패키지' 또는 '편집된 규칙 패키지' 아래에 표시됩니다.

중요한 정보 유형을 편집했습니다. EditRulePackage 기존 중요한 정보 유형이 편집되었습니다. 여기에는 패턴을 추가/제거하고 중요한 정보 유형과 관련된 regex/키워드(keyword) 편집하는 등의 작업이 포함될 수 있습니다.

메모: 이 활동은 감사 활동 "편집된 규칙 패키지" 아래에 표시됩니다.

중요한 정보 유형을 삭제했습니다. EditRulePackage / RemoveRulePackage 기존 중요한 정보 유형이 삭제되었습니다.

메모: 이 활동은 감사 작업 "편집된 규칙 패키지" 또는 "제거된 규칙 패키지" 아래에 표시됩니다.

민감도 레이블 활동

다음 표에서는 Microsoft Purview에서 관리하는 사이트 및 항목과 함께 민감도 레이블을 사용하여 발생하는 이벤트를 나열합니다. 항목에는 문서, 전자 메일 및 일정 이벤트가 포함됩니다. 자동 레이블 지정 정책의 경우 항목에는 Microsoft Purview 데이터 맵 파일 및 스키마화된 데이터 자산도 포함됩니다.

이름 작업 설명
사이트에 적용된 민감도 레이블 SiteSensitivityLabelApplied 그룹 연결되지 않은 SharePoint 사이트 또는 Teams 사이트에 민감도 레이블이 적용되었습니다.
사이트에서 제거된 민감도 레이블 SiteSensitivityLabelRemoved 그룹 연결되지 않은 SharePoint 사이트 또는 Teams 사이트에서 민감도 레이블이 제거되었습니다.
파일에 적용된 민감도 레이블 FileSensitivityLabelApplied

SensitivityLabelApplied
민감도 레이블은 Microsoft 365 앱, 웹용 Office 또는 자동 레이블 지정 정책을 사용하여 항목에 적용되었습니다.

이 작업에 대한 작업은 레이블이 적용된 방식에 따라 다릅니다.
- 웹용 Office 또는 자동 레이블 지정 정책(FileSensitivityLabelApplied)
- Microsoft 365 앱(SensitivityLabelApplied)
파일에 변경된 민감도 레이블을 적용 FileSensitivityLabelChanged

SensitivityLabelUpdated
항목에 다른 민감도 레이블이 적용되었습니다.

이 작업에 대한 작업은 레이블이 변경된 방법에 따라 다릅니다.
- 웹용 Office 또는 자동 레이블 지정 정책(FileSensitivityLabelChanged)
- Microsoft 365 앱(SensitivityLabelUpdated)
사이트의 민감도 레이블이 변경됨 SiteSensitivityLabelChanged 그룹에 연결되지 않은 SharePoint 사이트 또는 Teams 사이트에 다른 민감도 레이블이 적용되었습니다.
파일에서 제거된 민감도 레이블 FileSensitivityLabelRemoved

SensitivityLabelRemoved
Microsoft 365 앱, 웹용 Office, 자동 레이블 지정 정책 또는 Unlock-SPOSensitivityLabelEncryptedFile cmdlet을 사용하여 항목에서 민감도 레이블이 제거되었습니다.

이 작업에 대한 작업은 레이블이 제거된 방법에 따라 다릅니다.
- 웹용 Office 또는 자동 레이블 지정 정책(FileSensitivityLabelRemoved)
- Microsoft 365 앱(SensitivityLabelRemoved)

민감도 레이블에 대한 추가 감사 정보:

SharePoint 목록 활동

다음 표에서는 사용자가 SharePoint Online에서 목록과 목록 항목과 상호 작용하는 경우와 관련된 활동에 대해 설명합니다. 일부 SharePoint 활동에 대한 감사 레코드는 사용자가 작업을 시작한 사용자 또는 관리자를 대신하여 활동을 수행한 app@sharepoint 나타냅니다. 자세한 내용은 감사 레코드의 app@sharepoint 사용자를 참조하세요.

이름 작업 설명
목록이 만들어짐 ListCreated 사용자가 SharePoint 목록을 만들었습니다.
목록 열이 만들어짐 ListColumnCreated 사용자가 SharePoint 목록 열을 만들었습니다. 목록 열은 하나 이상의 SharePoint 목록에 첨부되는 열입니다.
목록 콘텐츠 유형이 만들어짐 ListContentTypeCreated 사용자가 목록 콘텐츠 유형을 만들었습니다. 목록 콘텐츠 유형은 하나 이상의 SharePoint 목록에 첨부된 콘텐츠 유형입니다.
목록 항목이 만들어짐 ListItemCreated 사용자가 기존 SharePoint 목록에서 항목을 만들었습니다.
사이트 열 만들기 SiteColumnCreated 사용자가 SharePoint 사이트 열을 만들었습니다. 사이트 열은 목록에 첨부되지 않은 열입니다. 사이트 열은 지정된 웹의 모든 목록에서 사용할 수 있는 메타 데이터 구조이기도 합니다.
사이트 콘텐츠 유형이 만들어짐 사이트 ContentType이 만들어짐 사용자가 사이트 콘텐츠 유형을 만들었습니다. 사이트 콘텐츠 유형은 상위 사이트에 첨부된 콘텐츠 유형입니다.
목록이 삭제됨 ListDeleted 사용자가 SharePoint 목록을 삭제했습니다.
목록 열이 삭제됨 목록 열이 삭제됨 사용자가 SharePoint 목록 열을 삭제했습니다.
목록 콘텐츠 유형이 삭제됨 ListContentTypeDeleted 사용자가 목록 콘텐츠 유형을 삭제했습니다.
목록 항목이 삭제됨 목록 항목이 삭제됨 사용자가 SharePoint 목록 항목을 삭제했습니다.
사이트 열이 삭제됨 SiteColumnDeleted 사용자가 SharePoint 사이트 열을 삭제했습니다.
사이트 콘텐츠 유형이 삭제됨 SiteContentTypeDeleted 사용자가 사이트 콘텐츠 유형을 삭제했습니다.
목록 항목 휴지통으로 이동 ListItemRecycled 사용자가 SharePoint 목록 항목을 휴지통으로 이동했습니다.
목록 복원됨 ListRestored 사용자가 SharePoint 목록을 휴지통에서 복원했습니다.
목록 항목 복원됨 ListItemRestored 사용자가 SharePoint 목록 항목을 휴지통에서 복원했습니다.
목록 업데이트됨 ListUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 목록을 업데이트했습니다.
목록 열이 업데이트됨 ListColumnUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 목록 열을 업데이트했습니다.
목록 콘텐츠 유형이 업데이트됨 ListContentTypeUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 목록 콘텐츠 유형을 업데이트했습니다.
목록 항목 업데이트됨 ListItemUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 목록 항목을 업데이트했습니다.
업데이트된 목록 보기 ListViewUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 목록 보기를 업데이트했습니다.
사이트 열 업데이트됨 SiteColumnUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 사이트 열을 업데이트했습니다.
사이트 콘텐츠 유형이 업데이트됨 SiteContentTypeUpdated 사용자가 하나 이상의 속성을 수정하여 SharePoint 사이트 콘텐츠 유형을 업데이트했습니다.

공유 및 액세스 요청 활동

다음 표에서는 SharePoint Online 및 비즈니스용 OneDrive의 사용자 공유 및 액세스 요청 활동에 대해 설명합니다. 공유 이벤트의 경우 결과 아래의 세부 정보 열에서 항목이 공유된 사용자 또는 그룹의 이름과 해당 사용자 또는 그룹이 조직의 구성원인지, 게스트인지를 식별합니다. 자세한 내용은 감사 로그에서 공유 감사 사용을 참조하세요.

참고

사용자는 사용자 개체의 UserType 속성을 기반으로 멤버 또는 게스트 일 수 있습니다. 구성원은 일반적으로 직원이고, 게스트는 일반적으로 조직 외부의 공동 작업자입니다. 조직에 속하지 않은 사용자가 공유 초대를 수락하면 조직의 디렉터리에 해당 게스트 계정이 만들어집니다. 게스트 사용자의 계정이 디렉터리에 있으면 초대장 없이 해당 사용자와 직접 리소스를 공유할 수 있습니다.

이름 작업 설명
사이트 모음에 사용 권한 수준 추가됨 PermissionLevelAdded 사이트 모음에 사용 권한 수준이 추가되었습니다.
액세스 요청 수락됨 AccessRequestAccepted 사이트, 폴더 또는 문서에 대한 액세스 요청이 수락되었으며 요청하는 사용자에게 액세스 권한이 부여되었습니다.
공유 초대 수락됨 SharingInvitationAccepted 사용자(구성원 또는 게스트)가 공유 초대를 수락했으며 리소스에 대한 액세스 권한이 부여되었습니다. 이 이벤트에는 초대를 받은 사용자 및 초대를 수락하는 데 사용된 전자 메일 주소에 대한 정보가 포함됩니다(다를 수 있음). 이 활동에는 대체로 사용자에게 리소스에 대한 액세스 권한이 어떻게 부여되었는지를 설명(예: 리소스에 대한 액세스 권한이 있는 그룹에 사용자 추가)하는 두 번째 이벤트가 수반됩니다.
공유 초대 차단됨 SharingInvitationBlocked 조직의 사용자가 보낸 공유 초대가 대상 사용자의 도메인을 기반으로 외부 공유를 허용하거나 거부하는 외부 공유 정책으로 인해 차단되었습니다. 이 경우 공유 초대는 다음과 같은 이유로 차단되었습니다.
대상 사용자의 도메인이 허용된 도메인 목록에 포함되어 있지 않습니다.
또는
대상 사용자의 도메인이 차단된 도메인 목록에 포함되어 있습니다.
도메인을 기반으로 한 외부 공유 허용 또는 차단에 대한 자세한 내용은 SharePoint Online 및 비즈니스용 OneDrive의 제한된 도메인 공유를 참조하세요.
액세스 요청 생성됨 AccessRequestCreated 사용자가 액세스 권한이 없는 사이트, 폴더 또는 문서에 대한 액세스를 요청합니다.
회사에서 공유할 수 있는 링크 생성됨 CompanyLinkCreated 사용자가 리소스에 대한 회사 전체 링크를 생성했습니다. 회사 전체 링크는 조직의 구성원만 사용할 수 있습니다. 게스트는 사용할 수 없습니다.
익명 링크 생성됨 AnonymousLinkCreated 사용자가 리소스에 대한 익명 링크를 만들었습니다. 이 링크만 있으면 누구든지 인증 필요 없이 리소스에 액세스할 수 있습니다.
보안 링크 생성됨 SecureLinkCreated 이 항목에 대한 보안 공유 링크가 생성되었습니다.
공유 초대 생성됨 SharingInvitationCreated 사용자가 SharePoint Online 또는 비즈니스용 OneDrive에서 조직의 디렉터리에 없는 사용자와 리소스를 공유했습니다.
보안 링크 삭제됨 SecureLinkDeleted 보안 공유 링크가 삭제되었습니다.
액세스 요청 거부됨 AccessRequestDenied 사이트, 폴더 또는 문서에 대한 액세스 요청을 거부했습니다.
회사에서 공유할 수 있는 링크 제거됨 CompanyLinkRemoved 사용자가 리소스에 대한 회사 차원의 링크를 제거했습니다. 더 이상 링크를 사용하여 리소스에 액세스할 수 없습니다.
익명 링크 제거됨 AnonymousLinkRemoved 사용자가 리소스에 대한 익명 링크를 제거했습니다. 더 이상 링크를 사용하여 리소스에 액세스할 수 없습니다.
공유 파일, 폴더 또는 사이트 SharingSet 사용자(구성원 또는 게스트)가 SharePoint Online 또는 비즈니스용 OneDrive에서 조직의 디렉터리에 있는 사용자와 파일, 폴더 또는 사이트를 공유했습니다. 이 활동에 대한 세부 정보 열의 값은 리소스가 공유된 사용자의 이름과 이 사용자가 구성원인지, 게스트인지를 식별합니다.

이 활동에는 대체로 사용자에게 리소스에 대한 액세스 권한이 어떻게 부여되었는지를 설명하는 두 번째 이벤트가 수반됩니다. 예를 들어, 리소스에 대한 액세스 권한이 있는 그룹에 사용자를 추가합니다.
액세스 요청 업데이트됨 AccessRequestUpdated 항목에 대한 액세스 요청이 업데이트되었습니다.
익명 링크 업데이트됨 AnonymousLinkUpdated 사용자가 리소스에 대한 익명 링크를 업데이트했습니다. 업데이트된 필드는 검색 결과를 내보낼 때 EventData 속성에 포함됩니다.
공유 초대 업데이트됨 SharingInvitationUpdated 외부 공유 초대가 업데이트되었습니다.
익명 링크 사용됨 AnonymousLinkUsed 익명 사용자가 익명 링크를 사용하여 리소스에 액세스했습니다. 사용자 ID는 모르지만 사용자 IP 주소와 같은 다른 세부 정보를 얻을 수 있습니다.
파일, 폴더 또는 사이트 공유 해제됨 SharingRevoked 사용자(구성원 또는 게스트)가 이전에 다른 사용자와 공유된 파일, 폴더 또는 사이트 공유를 해제했습니다.
회사에서 공유할 수 있는 링크 사용됨 CompanyLinkUsed 사용자가 회사 차원의 링크를 사용하여 리소스에 액세스했습니다.
보안 링크 사용됨 SecureLinkUsed 사용자가 보안 링크를 사용했습니다.
보안 링크에 사용자 추가됨 AddedToSecureLink 보안 공유 링크를 사용할 수 있는 엔터티 목록에 사용자가 추가되었습니다.
보안 링크에서 사용자 제거됨 RemovedFromSecureLink 보안 공유 링크를 사용할 수 있는 엔터티 목록에 사용자가 제거되었습니다.
공유 초대 제거됨 SharingInvitationRevoked 사용자가 리소스에 대한 공유 초대를 제거했습니다.

사이트 관리 활동

다음 표에는 사용자가 SharePoint Online에서 사이트 관리 작업이 수행될 때 발생하는 이벤트가 나와 있습니다. 앞서 설명한 것처럼 일부 SharePoint 활동에 대한 감사 레코드는 사용자가 작업을 시작한 사용자 또는 관리자를 대신하여 활동을 수행한 app@sharepoint 나타냅니다. 자세한 내용은 감사 레코드의 app@sharepoint 사용자를 참조하세요.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

이름 작업 설명
허용된 데이터 위치 추가됨 AllowedDataLocationAdded SharePoint 또는 전역 관리자가 여러 지리적 환경에서 허용되는 데이터 위치를 추가했습니다.
예외 사용자 에이전트 추가됨 ExemptUserAgentSet SharePoint 또는 전역 관리자가 SharePoint 관리 센터에서 예외 사용자 에이전트 목록에 사용자 에이전트를 추가했습니다.
지리적 위치 관리자 추가됨 GeoAdminAdded SharePoint 또는 전역 관리자가 위치에 대한 지리적 관리자로 사용자를 추가했습니다.
사용자가 그룹을 만들 수 있도록 허용됨 AllowGroupCreationSet 사이트 관리자 또는 소유자가 해당 권한이 할당된 사용자가 사이트에 대한 그룹을 만들 수 있도록 허용하는 사용 권한 수준을 사이트에 추가합니다.
사이트 지리적 이동 취소됨 SiteGeoMoveCancelled SharePoint 또는 전역 관리자가 SharePoint 또는 OneDrive 사이트 지리적 이동을 성공적으로 취소했습니다. Multi-Geo Capabilities를 사용하면 조직이 geos라는 여러 데이터센터 지역에 걸쳐 있을 수 있습니다. 자세한 내용은 OneDrive 및 SharePoint Online의 여러 지리 기능을 참조하세요.
공유 정책 변경됨 SharingPolicyChanged SharePoint 또는 전역 관리자가 Microsoft 365 관리 센터, SharePoint 관리자 센터 또는 SharePoint Online 관리 셸을 사용하여 SharePoint 공유 정책을 변경했습니다. 조직의 공유 정책 설정에 대한 변경 내용이 모두 기록됩니다. 변경 된 정책은 이벤트 레코드의 자세한 속성에서 ModifiedProperties 필드에서 식별됩니다.
장치 액세스 정책 변경됨 DeviceAccessPolicyChanged SharePoint 또는 전역 관리자가 조직의 관리되지 않는 장치 정책을 변경했습니다. 이 정책은 조직에 가입되지 않은 장치에서의 SharePoint, OneDrive, Microsoft 365 액세스를 제어합니다. 이 정책을 구성하려면 Enterprise Mobility + Security 구독이 필요합니다. 자세한 내용은 관리되지 않는 장치에서의 액세스 제어를 참조하세요.
예외 사용자 에이전트 변경됨 CustomizeExemptUsers SharePoint 또는 전역 관리자가 SharePoint 관리 센터에서 예외 사용자 에이전트 목록을 사용자 지정했습니다. 인덱스에 전체 웹 페이지를 받을 수 없도록 제외할 사용자 에이전트를 지정할 수 있습니다. 즉, 제외로 지정한 사용자 에이전트가 InfoPath 양식을 발견하면 양식이 전체 웹 페이지 대신 XML 파일로 반환됩니다. 이렇게 하면 InfoPath 양식을 더 빠르게 인덱싱할 수 있습니다.
네트워크 액세스 정책 변경됨 NetworkAccessPolicyChanged SharePoint 또는 전역 관리자가 SharePoint 관리 센터에서 또는 SharePoint PowerShell을 사용하여 위치 기반 액세스 정책(신뢰할 수 있는 네트워크 경계라고도 함)을 변경했습니다. 이 정책 유형은 지정한 권한 있는 IP 주소 범위를 기반으로 조직의 SharePoint 및 OneDrive 리소스에 액세스할 수 있는 사용자를 제어합니다. 자세한 내용은 네트워크 위치를 기반으로 SharePoint Online 및 OneDrive 데이터에 대한 액세스 제어를 참조하세요.
완료된 마이그레이션 작업 MigrationJobCompleted 마이그레이션 작업이 성공적으로 완료되었습니다.
사이트 지리적 이동 완료됨 SiteGeoMoveCompleted 조직의 전역 관리자가 예약한 사이트 지리적 이동이 완료되었습니다. Multi-Geo Capabilities를 사용하면 조직이 geos라는 여러 데이터센터 지역에 걸쳐 있을 수 있습니다. 자세한 내용은 OneDrive 및 SharePoint Online의 여러 지리 기능을 참조하세요.
받는 사람 연결 생성됨 SendToConnectionAdded SharePoint 또는 전역 관리자가 SharePoint 관리 센터의 레코드 관리 페이지에서 새 보내기 연결을 만듭니다. 받는 사람 연결은 문서 리포지토리 또는 레코드 센터에 대한 설정을 지정합니다. 받는 사람 연결을 만들면 콘텐츠 구성 도우미가 문서를 지정된 위치에 제출할 수 있습니다.
사이트 모음 생성됨 SiteCollectionCreated Sharepoint 또는 전역 관리자가 SharePoint Online 조직에서 사이트 모음을 만들거나 사용자가 비즈니스용 OneDrive 사이트를 프로비전합니다.
분리된 허브 사이트 삭제됨 HubSiteOrphanHubDeleted SharePoint 또는 전역 관리자가 연결된 사이트가 없는 허브 사이트인 분리된 허브 사이트를 삭제합니다. 분리된 허브는 원본 허브 사이트를 삭제하여 발생하는 문제일 수 있습니다.
받는 사람 연결 삭제됨 SendToConnectionRemoved SharePoint 또는 전역 관리자가 SharePoint 관리 센터의 레코드 관리 페이지에서 보내기 연결을 삭제합니다.
사이트 삭제됨 SiteDeleted 사이트 관리자가 사이트를 삭제합니다.
문서 미리 보기가 사용하도록 설정됨 PreviewModeEnabledSet 사이트 관리자가 사이트에 대해 문서 미리 보기를 사용하도록 설정합니다.
레거시 워크플로가 사용하도록 설정됨 LegacyWorkflowEnabledSet 사이트 관리자 또는 소유자가 SharePoint 2013 워크플로 작업 콘텐츠 형식을 사이트에 추가합니다. 전역 관리자는 SharePoint 관리 센터에서 전체 조직에 대해 워크플로를 사용하도록 설정할 수도 있습니다.
Office on Demand가 사용하도록 설정됨 OfficeOnDemandSet 사이트 관리자가 최신 버전의 Office 데스크톱 응용 프로그램에 액세스할 수 있도록 하는 Office on Demand를 사용하도록 설정합니다. Office on Demand는 SharePoint 관리 센터에서 사용되도록 설정되며 설치된 전체 Office 응용 프로그램을 포함하는 Microsoft 365 구독이 있어야 사용할 수 있습니다.
사용자 검색 결과 원본이 사용하도록 설정됨 PeopleResultsScopeSet 사이트 관리자가 사이트에 대한 사용자 검색 결과 원본을 만듭니다.
RSS 피드가 사용하도록 설정됨 NewsFeedEnabledSet 사이트 관리자 또는 소유자가 사이트에 대해 RSS 피드를 사용하도록 설정합니다. 전역 관리자는 SharePoint 관리 센터에서 전체 조직에 대해 RSS 피드를 사용하도록 설정할 수 있습니다.
사이트가 허브 사이트에 연결됨 HubSiteJoined 사이트 소유자가 사이트를 허브 사이트에 연결합니다.
수정된 사이트 모음 할당량 SiteCollectionQuotaModified 사이트 관리자는 사이트 모음의 할당량을 수정합니다.
허브 사이트 등록됨 HubSiteRegistered SharePoint 또는 전역 관리자가 허브 사이트를 만듭니다. 그 결과 사이트는 허브 사이트에 등록됩니다.
허용된 데이터 위치 제거됨 AllowedDataLocationDeleted SharePoint 또는 전역 관리자가 여러 지리적 환경에서 허용되는 데이터 위치를 제거했습니다.
지리적 위치 관리자 제거됨 GeoAdminDeleted SharePoint 또는 전역 관리자가 위치에 대한 지리적 관리자로 사용자를 제거했습니다.
사이트 이름 바뀜 SiteRenamed 사이트 관리자 또는 소유자가 사이트 이름을 바꿉니다.
예약된 사이트 지리적 이동 SiteGeoMoveScheduled SharePoint 또는 전역 관리자가 SharePoint 또는 OneDrive 사이트 지리적 이동을 예약합니다. Multi-Geo Capabilities를 사용하면 조직이 geos라는 여러 데이터센터 지역에 걸쳐 있을 수 있습니다. 자세한 내용은 OneDrive 및 SharePoint Online의 여러 지리 기능을 참조하세요.
호스트 사이트 설정됨 HostSiteSet SharePoint 또는 전역 관리자가 개인 또는 비즈니스용 OneDrive 사이트를 호스트하도록 지정된 사이트를 변경합니다.
지리적 위치에 대한 저장소 할당량 설정됨 GeoQuotaAllocated SharePoint 또는 전역 관리자가 다중 지리적 환경에서 지리적 위치에 대한 저장소 할당량을 구성했습니다.
허브 사이트의 사이트 연결이 끊김 HubSiteUnjoined 사이트 소유자가 사이트를 허브 사이트에서 연결을 끊습니다.
허브 사이트 등록이 취소됨 HubSiteUnregistered SharePoint 또는 전역 관리자가 허브 사이트로 등록을 취소합니다. 허브 사이트의 등록이 취소되면 더 이상 허브 사이트 역할을 하지 않습니다.

사이트 사용 권한 활동

다음 표에서는 SharePoint에서 사용 권한을 할당하고 그룹을 사용하 여 사이트에 대한 액세스를 제공하고 철회하는 데 관련된 이벤트를 보여 줍니다. 앞서 설명한 것처럼 일부 SharePoint 활동에 대한 감사 레코드는 사용자가 작업을 시작한 사용자 또는 관리자를 대신하여 활동을 수행한 app@sharepoint 나타냅니다. 자세한 내용은 감사 레코드의 app@sharepoint 사용자를 참조하세요.

이름 작업 설명
사이트 모음 관리자 추가됨 SiteCollectionAdminAdded 사이트 모음 관리자 또는 소유자가 사이트에 대한 사이트 모음 관리자로 사용자를 추가합니다. 사이트 모음 관리자는 사이트 모음 및 모든 하위 사이트에 대한 모든 권한을 갖습니다. 이 활동은 또한 관리자가 사용자의 OneDrive 계정에 액세스할 수 있는 경우(SharePoint 관리 센터에서 사용자 프로필을 편집하거나 Microsoft 365 관리 센터를 사용하는 경우)에도 기록됩니다.
SharePoint 그룹에 사용자 또는 그룹 추가됨 AddedToGroup 사용자가 SharePoint 그룹에 구성원 또는 게스트를 추가했습니다. 이는 의도된 작업이거나 공유 이벤트와 같은 다른 활동의 결과일 수 있습니다.
사용 권한 수준 상속 해제 PermissionLevelsInheritanceBroken 항목이 더 이상 부모에서 사용 권한을 상속하지 않도록 변경되었습니다.
상속 공유 해제 SharingInheritanceBroken 항목이 더 이상 부모에서 공유 권한을 상속하지 않도록 변경되었습니다.
그룹 생성됨 GroupAdded 사이트 관리자 또는 소유자가 사이트에 대한 그룹을 만들거나 그룹이 생성되게 하는 작업을 수행합니다. 예를 들어 처음으로 사용자가 파일 공유에 대한 링크를 만들면 사용자의 skydrive_pro 사이트에 시스템 그룹이 추가됩니다. 이 이벤트는 공유 파일에 대한 편집 권한이 있는 사용자가 링크를 만들 때 발생하는 결과일 수도 있습니다.
그룹 삭제됨 GroupRemoved 사용자가 사이트에서 그룹을 삭제합니다.
액세스 요청 설정 수정됨 WebRequestAccessModified 액세스 요청 설정이 사이트에서 수정되었습니다.
'구성원이 공유할 수 있음’ 설정 수정됨 WebMembersCanShareModified 구성원이 공유할 수 있음 설정이 수정되었습니다.
사이트 모음에서 사용 권한 수준 수정됨 PermissionLevelModified 사이트 모음에서 사용 권한 수준이 변경되었습니다.
사이트 사용 권한 수정됨 SitePermissionsModified 사이트 관리자 또는 소유자(또는 시스템 계정)가 사이트에 대한 그룹에 할당된 사용 권한 수준을 변경합니다. 그룹에서 모든 사용 권한이 제거된 경우에도 이 활동이 기록됩니다.

참고:이 작업은 SharePoint Online에서 더 이상 사용되지 않습니다. 관련 이벤트를 찾으려면 사이트 모음 관리자 추가됨, SharePoint 그룹에 사용자 또는 그룹을 추가함, 사용자가 그룹을 만들 수 있도록 허용됨, 그룹 생성됨, 그룹 삭제됨 같은 기타 권한 관련 활동을 검색할 수 있습니다.
사이트 모음에서 사용 권한 수준 제거됨 PermissionLevelRemoved 사이트 모음에서 사용 권한 수준이 제거되었습니다.
사이트 모음 관리자 제거됨 SiteCollectionAdminRemoved 사이트 모음 관리자 또는 소유자가 사이트에 대한 사이트 모음 관리자로 사용자를 제거합니다. 이 활동은 또한 관리자가 사용자의 OneDrive 계정의 사이트 모음 관리자 목록에서 자신을 제거할 경우(SharePoint 관리 센터에서 사용자 프로필을 편집하여)에도 기록됩니다. 감사 로그 검색 결과에서 이 활동을 반환하려면 모든 활동을 검색해야 합니다.
SharePoint 그룹에 사용자 또는 그룹 제거됨 RemovedFromGroup 사용자가 SharePoint 그룹에서 구성원 또는 게스트를 제거했습니다. 이는 의도된 작업이거나 공유 해제 이벤트와 같은 다른 활동의 결과일 수 있습니다.
사이트 관리자 권한 요청됨 SiteAdminChangeRequest 사용자가 사이트 모음의 사이트 모음 관리자로 추가되도록 요청합니다. 사이트 모음 관리자는 사이트 모음 및 모든 하위 사이트에 대한 모든 권한을 갖습니다.
상속 공유 복원됨 SharingInheritanceReset 항목이 상위 항목에서 공유 권한을 상속하도록 변경되었습니다.
그룹 업데이트됨 GroupUpdated 사이트 관리자 또는 소유자가 사이트에 대한 그룹 설정을 변경합니다. 여기에는 그룹 이름 변경, 그룹 구성원을 보거나 편집할 수 있는 사람, 구성원 자격 요청의 처리 방법이 포함될 수 있습니다.

동기화 활동

다음 표에서는 SharePoint Online 및 비즈니스용 OneDrive의 파일 동기화 활동에 대해 나열합니다.

이름 작업 설명
컴퓨터에서 파일을 동기화할 수 있도록 허용됨 ManagedSyncClientAllowed 사용자가 사이트와 동기화 관계를 설정합니다. 사용자 컴퓨터가 조직의 문서 라이브러리에 액세스할 수 있는 도메인 목록(수신 허용-받는 사람 목록)에 추가된 도메인의 구성원이므로 동기화 관계는 성공적으로 설정됩니다.

이 기능에 관한 자세한 내용은 PowerShell cmdlet을 사용하여 수신 허용 목록에 있는 도메인에 대해 OneDrive 동기화 사용 설정을 참조하세요.
컴퓨터에서 파일을 동기화할 수 없도록 차단됨 UnmanagedSyncClientBlocked 사용자는 organization 도메인의 구성원이 아니거나 organization 문서 라이브러리에 액세스할 수 있는 도메인 목록에 추가되지 않은 도메인의 구성원인 컴퓨터에서 사이트와의 동기화 관계를 설정하려고 합니다. 동기화 관계는 허용되지 않으며 사용자의 컴퓨터가 문서 라이브러리의 파일 동기화, 다운로드 또는 업로드가 차단됩니다.

이 기능에 관한 자세한 내용은 PowerShell cmdlet을 사용하여 수신 허용 목록에 있는 도메인에 대해 OneDrive 동기화 사용 설정을 참조하세요.
컴퓨터에 파일 다운로드됨 FileSyncDownloadedFull 사용자가 OneDrive 동기화 앱(OneDrive.exe)을 사용하여 SharePoint 문서 라이브러리 또는 비즈니스용 OneDrive 파일을 컴퓨터에 다운로드합니다.
컴퓨터에 파일 변경 내용 다운로드됨 FileSyncDownloadedPartial 이 이벤트는 이전 비즈니스용 OneDrive 동기화 앱(Groove.exe)과 함께 사용되지 않습니다.
문서 라이브러리에 파일 업로드됨 FileSyncUploadedFull 사용자가 OneDrive 동기화 앱(OneDrive.exe)을 사용하여 SharePoint 문서 라이브러리 또는 비즈니스용 OneDrive 새 파일 또는 변경 내용을 파일에 업로드합니다.
문서 라이브러리에 파일 변경 내용 업로드됨 FileSyncUploadedPartial 이 이벤트는 이전 비즈니스용 OneDrive 동기화 앱(Groove.exe)과 함께 사용되지 않습니다.

SystemSync 활동

다음 표에서는 Microsoft 365 감사 로그에 기록되는 SystemSync에 대한 활동을 나열합니다.

이름 작업 설명
데이터 공유 생성됨 DataShareCreated 사용자가 데이터 내보내기를 만드는 경우입니다.
데이터 공유가 삭제됨 DataShareDeleted 사용자가 데이터 내보내기를 삭제하는 경우입니다.
Lake 데이터의 복사본 생성 GenerateCopyOfLakeData Lake Data의 복사본이 생성되는 경우입니다.
레이크 데이터 사본 다운로드 DownloadCopyOfLakeData Lake Data의 복사본을 다운로드할 때입니다.

사용자 관리 활동

다음 표에서는 365 관리 센터 또는 Azure 관리 포털을 사용하여 관리자가 사용자 계정을 추가하거나 변경할 때 기록되는 사용자 관리 활동을 보여 줍니다.

참고

다음 표의 작업 열에 나열된 작업 이름에는 마침표(.)가 포함되어 있습니다. 감사 로그를 검색하거나, 감사 보존 정책을 만들거나, 경고 정책을 만들거나, 활동 알림을 만들 때 PowerShell 명령에서 작업을 지정하는 경우 작업 이름에 기간을 포함해야 합니다. 작업 이름을 포함하기 위해 반드시 두 개의 물음표(" ")를 사용해야 합니다.

활동 작업 설명
사용자 추가됨 사용자를 추가합니다. 사용자 계정이 생성되었습니다.
사용자 라이선스 변경됨 사용자 라이선스를 변경합니다. 사용자에게 할당된 라이선스가 변경되었습니다. 변경된 라이선스를 확인하려면 해당 사용자 업데이트됨 활동을 참조하세요.
사용자 암호 변경됨 사용자 암호를 변경합니다. 사용자가 암호를 변경합니다. 사용자가 암호를 재설정할 수 있도록 하려면 조직에서 셀프 서비스 암호 재설정을 활성화해야(모든 사용자 또는 선택된 사용자 대상) 합니다. Microsoft Entra ID 셀프 서비스 암호 재설정 작업을 추적할 수도 있습니다. 자세한 내용은 Microsoft Entra 암호 관리에 대한 보고 옵션을 참조하세요.
사용자 삭제됨 사용자를 삭제합니다. 사용자 계정이 삭제되었습니다.
사용자 암호 재설정 사용자 암호를 재설정합니다. 관리자가 사용자 암호를 재설정했습니다.
강제로 사용자 암호를 변경하게 하는 속성 설정 사용자 암호를 강제 변경 설정합니다. 관리자가 다음에 Microsoft 365에 로그인할 때 강제로 사용자 암호를 변경하게 하는 속성을 설정했습니다.
라이선스 속성 설정 라이선스 속성을 설정합니다. 관리자가 사용자에게 할당된 라이선스의 속성을 수정했습니다.
사용자 업데이트됨 사용자를 업데이트합니다. 관리자가 사용자 계정의 속성을 하나 이상 변경합니다. 업데이트할 수 있는 사용자 속성 목록은 보고서 이벤트 감사 Microsoft Entra "사용자 특성 업데이트" 섹션을 참조하세요.

Viva Goals 활동

다음 표에서는 감사를 위해 기록된 Viva Goals 사용자 및 관리자 활동을 나열합니다. 테이블에는 활동 열에 표시되는 식별 이름과 검색 결과를 내보낼 때 감사 레코드의 자세한 정보 및 CSV 파일에 표시되는 해당 작업의 이름이 포함됩니다.

Microsoft Purview 포털 및 규정 준수 포털에서 감사 로그를 검색하는 방법을 감사 로그 세부 정보를 검색합니다. 사용자는 전역 관리자이거나 감사 로그에 액세스하기 위한 감사 읽기 권한이 있어야 합니다. 활동 필터를 사용하여 특정 활동을 검색하고 레코드 유형 필터에서 'VivaGoals'를 선택할 수 있는 모든 Viva Goals 활동을 나열할 수 있습니다. 날짜 범위 상자와 사용자 목록을 사용하여 검색 결과를 더 좁힐 수도 있습니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

이름 작업 설명
조직 만들기 조직 만들기 관리 또는 사용자가 Viva Goals 새 organization 만들었습니다.
사용자가 추가됨 사용자가 추가됨 새 사용자가 Viva Goals organization 추가되었습니다.
사용자가 비활성화됨 사용자가 비활성화됨 사용자가 organization 비활성화되었습니다.
사용자가 삭제됨 사용자가 삭제됨 사용자가 Viva Goals organization 삭제되었습니다.
사용자가 로그인됨 사용자가 로그인됨 사용자가 Viva Goals 로그인했습니다.
팀이 추가됨 팀이 추가됨 Viva Goals organization 내에 새 팀이 만들어졌습니다.
팀 업데이트됨 팀 업데이트됨 Viva Goals organization 내의 팀이 수정되거나 업데이트되었습니다.
팀이 삭제됨 팀이 삭제됨 Viva Goals organization 내의 팀이 사용자가 삭제했습니다.
내보낸 데이터 내보낸 데이터 사용자가 VIVA GOALS organization OKR 목록 또는 사용자 목록을 내보냅니다.
Goals 정책 업데이트됨 Goals 정책 업데이트됨 전역 관리자가 Viva Goals 테넌트 수준에서 정책 또는 설정을 수정했습니다. 예를 들어 전역 관리자는 Viva Goals 조직을 만들 수 있는 사용자를 구성했습니다.
조직 설정 업데이트됨 조직 설정 업데이트됨 사용자(일반적으로 조직 소유자 또는 관리자)는 Viva Goals organization 특정 설정을 업데이트했습니다.
조직 통합 업데이트됨 조직 통합 업데이트됨 사용자(일반적으로 조직 소유자 또는 관리자)는 Viva Goals organization 대한 타사 통합을 구성하거나 기존 타사 통합을 업데이트했습니다.
OKR 또는 프로젝트를 만들었습니다. OKR 또는 프로젝트를 만들었습니다. 사용자가 Viva Goals OKR 또는 Project를 만들었습니다.
OKR 또는 Project 업데이트됨 OKR 또는 Project 업데이트됨 OKR/프로젝트가 수정되었거나 사용자 또는 Viva Goals 통합에 의해 검사.
OKR 또는 프로젝트 삭제됨 OKR 또는 프로젝트 삭제됨 사용자가 OKR 또는 프로젝트를 삭제했습니다.
만든 대시보드 만든 대시보드 사용자가 Viva Goals 새 dashboard 만들었습니다.
대시보드 업데이트됨 대시보드 업데이트됨 사용자가 Viva Goals dashboard 업데이트했습니다.
대시보드 삭제됨 대시보드 삭제됨 사용자가 Viva Goals dashboard 삭제했습니다.

Viva Engage 활동

다음 표에서는 감사 로그에 기록된 Viva Engage 사용자 및 관리자 활동을 나열합니다. 감사 로그에서 Viva Engage 관련 활동을 반환하려면 활동 목록의모든 활동에 대한 결과 표시를 선택해야 합니다. 날짜 범위 상자와 사용자 목록을 사용하여 결과를 좁힙니다.

참고

일부 Viva Engage 감사 작업은 감사(프리미엄)에서만 사용할 수 있습니다. 즉, 이러한 활동이 감사 로그에 기록되기 전에 사용자에게 적절한 라이선스가 할당되어야 합니다. 자세한 내용은 감사(프리미엄)를 참조하세요. 감사(프리미엄) 라이선스 요구 사항은 Microsoft 365의 감사 솔루션을 참조하세요.

다음 표에서 감사(프리미엄) 활동은 별표(*)로 강조 표시됩니다.

이름 작업 설명
회사 커뮤니케이터 추가 AddUserRole 사용자는 회사 커뮤니케이터로 할당됩니다.
변경된 사용자 지정 사용 정책 UsagePolicyUpdated 테넌트 관리자가 사용자 지정 사용 정책을 업데이트합니다.
데이터 보존 정책이 변경됨 SoftDeleteSettingsUpdated 확인된 관리자가 네트워크 데이터 보존 정책의 설정을 영구 삭제 또는 일시 삭제로 업데이트했습니다. 이 작업은 확인된 관리자만 수행할 수 있습니다.
네트워크 구성이 변경됨 NetworkConfigurationUpdated 네트워크 또는 확인된 관리자가 Viva Engage 네트워크의 구성을 변경합니다. 여기에는 데이터 내보내기 간격 및 채팅 활성화 설정이 포함됩니다.
네트워크 프로필 설정이 변경됨 ProcessProfileFields 네트워크 관리자 또는 확인된 관리자가 네트워크 사용자 네트워크의 회원 프로필에 표시되는 정보를 변경합니다.
비공개 콘텐츠 모드가 변경됨 SupervisorAdminToggled 확인된 관리자는 프라이빗 콘텐츠 모드 를 켜거나 끕니다. 이 모드를 통해 관리자는 비공개 그룹의 게시물을 보고 개별 사용자(또는 사용자 그룹) 간 비공개 메시지를 볼 수 있습니다. 이 작업은 확인된 관리자만 수행할 수 있습니다.
보안 구성이 변경됨 NetworkSecurityConfigurationUpdated 확인된 관리자는 Viva Engage 네트워크의 보안 구성을 업데이트합니다. 여기에는 암호 만료 정책 및 IP 주소 제한 설정이 포함됩니다. 이 작업은 확인된 관리자만 수행할 수 있습니다.
대화 닫힘 CloseConversation Viva Engage 스레드가 닫혀 사용자가 회신할 수 없습니다. 이 작업은 관리자, 회사 커뮤니케이터 또는 사용자 대리인이 수행할 수 있습니다.
대화가 열렸습니다. OpenConversation 사용자가 스레드에 회신할 수 있는 Viva Engage 스레드 대화가 열렸습니다. 이 작업은 관리자, 회사 통신 또는 사용자 대리자가 수행할 수 있습니다.
파일이 생성됨 FileCreated 사용자가 파일을 업로드했습니다.
그룹 생성됨 GroupCreation 사용자가 그룹을 만듭니다.
메시지가 생성됨 MessageCreation 사용자가 메시지를 만듭니다.
그룹 삭제됨 GroupDeletion 그룹이 Viva Engage 삭제됩니다.
메시지가 삭제됨 MessageDeleted 사용자가 메시지를 삭제했습니다.
다운로드한 파일 FileDownloaded 사용자가 파일을 다운로드했습니다.
데이터를 내보냄 DataExport 확인된 관리자는 네트워크 데이터를 Viva Engage 내보냅니다. 이 작업은 확인된 관리자만 수행할 수 있습니다.
파일에 액세스하지 못함 FileAccessFailure 사용자가 파일에 액세스하지 못했습니다.
그룹에 액세스하지 못했습니다. GroupAccessFailure 사용자가 그룹에 액세스하지 못했습니다.
스레드에 액세스하지 못했습니다. ThreadAccessFailure 사용자가 메시지 스레드에 액세스하지 못했습니다.
메시지에 반응 MarkedMessageChanged 사용자가 메시지에 반응했습니다.
회사 커뮤니케이터 제거됨 RemoveUserRole 사용자가 회사 Communicator 역할에서 제거됩니다.
큐레이팅된 토픽 제거* RemoveCuratedTopic 사용자가 큐레이팅된 토픽을 제거합니다.
파일이 공유됨 FileShared 사용자가 다른 사용자와 파일을 공유했습니다.
네트워크 사용자가 일시 중단됨 NetworkUserSuspended 네트워크 또는 확인된 관리자는 사용자가 Viva Engage 일시 중단(비활성화)합니다.
사용자가 일시 중단됨 UserSuspension 사용자 계정이 일시 중단(비활성화)되었습니다.
테넌트 사용 정책 동의 UsagePolicyAcceptance 사용자가 테넌트별 사용 정책을 수락합니다.
스레드 음소거됨 AdminThreadMuted 관리자 또는 watch 경고(시스템 사용자)에 의해 스레드가 음소거되었습니다. watch 경고는 스레드가 특정 테마에 대해 플래그가 지정되고(관리자가 설정) 시스템에서 자동으로 음소거될 때 발생합니다.
스레드 제거됨 AdminThreadUnmuted 관리 스레드를 제거했습니다.
파일 설명이 업데이트됨 FileUpdateDescription 사용자가 파일의 설명을 변경했습니다.
파일 이름이 업데이트됨 FileUpdateName 사용자가 파일의 이름을 변경했습니다.
메시지 업데이트됨 MessageUpdated 사용자가 메시지를 업데이트합니다.
네트워크 관리 대한 역할 할당이 업데이트되었습니다. NetworkAdminUpdated 사용자가 네트워크 관리 역할로 승격되거나 강등됩니다.
확인된 관리 대한 역할 할당이 업데이트됨 NetworkVerifiedAdminUpdated 사용자는 확인된 관리 역할로 승격되거나 강등됩니다.
파일이 조회됨 FileVisited 사용자가 파일을 조회했습니다.
표시된 스레드 ThreadViewed 사용자가 메시지 스레드를 볼 수 있습니다.

Viva 펄스 활동

다음 표에서는 감사를 위해 기록된 Viva Pulse의 사용자 및 관리자 활동을 나열합니다. 테이블에는 활동 열에 표시되는 식별 이름과 검색 결과를 내보낼 때 감사 레코드의 자세한 정보 및 CSV 파일에 표시되는 해당 작업의 이름이 포함됩니다.

Microsoft Purview 포털 및 규정 준수 포털에서 감사 로그를 검색하는 방법을 감사 로그 세부 정보를 검색합니다. 사용자는 전역 관리자이거나 감사 로그에 액세스하기 위한 감사 읽기 권한이 있어야 합니다. 활동 필터를 사용하여 특정 활동을 검색하고 레코드 유형 필터에서 VivaPulse를 선택할 수 있는 모든 Viva Pulse 활동을 나열할 수 있습니다. 날짜 범위 상자와 사용자 목록을 사용하여 검색 결과를 더 좁힐 수도 있습니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

이름 작업 설명
사용자가 펄스 설문 조사에 응답을 제출했습니다. PulseSubmit 관리 또는 사용자가 Viva Pulse 피드백 요청에 대한 피드백을 제공했습니다.
사용자가 Pulse 설문 조사를 만들었습니다. PulseCreate 새 Viva Pulse 피드백 요청이 생성됩니다.
사용자가 펄스 설문 조사 기한을 연장했습니다. PulseExtendDeadline 기존 Viva Pulse 피드백 요청의 마감일이 연장되었습니다.
사용자가 Pulse 설문 조사에 추가 사용자를 초대했습니다. PulseInvite 기존 Viva Pulse 피드백 요청에 추가 사용자를 초대했습니다.
사용자가 Pulse 설문 조사를 취소했습니다. PulseCancel 사용자가 Pulse 설문 조사를 취소했습니다.
사용자가 펄스 보고서를 공유했습니다. PulseShareResults Viva Pulse 피드백 결과가 사용자와 공유되었습니다.
사용자가 Pulse 초안을 만들었습니다. PulseCreateDraft 사용자가 Pulse 초안을 만들었습니다.
사용자가 Pulse 초안을 삭제했습니다. PulseDeleteDraft 사용자가 Pulse 초안을 삭제했습니다.
관리 사용자의 데이터를 삭제했습니다. PulseDeleteUserData 관리 사용자의 데이터를 삭제했습니다.
업데이트된 테넌트의 설정 관리 PulseTenantSettingsUpdate 관리 Viva Pulse에 대한 organization 설정을 업데이트했습니다.

고객 Lockbox 활동 Windows 365

다음 표에서는 감사 로그에 기록된 Windows 365 Customer Lockbox의 사용자 및 관리자 활동을 나열합니다. 감사 로그에서 Windows 365 고객 Lockbox 관련 활동을 반환하려면 레코드 유형에서 Windows365CustomerLockbox를 선택합니다. 날짜 범위 상자와 사용자 목록을 사용하여 결과를 좁힙니다.

이름 작업 설명
디바이스 수정 트리거 디바이스 수정 트리거 디바이스 수정을 트리거합니다.
Blob에 폴더 업로드 Blob에 폴더 업로드 고객 디바이스의 폴더를 Blob에 압축하고 업로드합니다.
PowerShell 실행 정책 확인 PowerShell 실행 정책 확인 PowerShell 실행 정책을 확인합니다.
RD 에이전트 설치 RD 에이전트 설치 사용자의 디바이스에 RD 에이전트를 설치합니다.
하이브리드 AADJ 확장 실행 하이브리드 AADJ 확장 실행 사용자의 디바이스에서 하이브리드 AADJ 확장을 실행합니다.
VmExtension 요청 만들기 VmExtention 요청 만들기 VM 확장을 실행하여 고객 디바이스에서 사용자 지정 스크립트를 실행하는 VM 확장 요청을 만듭니다.
트리거 오케스트레이터 트리거 오케스트레이터 사용자에 대한 오케스트레이터를 트리거합니다.
SaaF로 제네릭 작업 트리거 SaaF로 제네릭 작업 트리거 사용자에 대한 디바이스 작업 트리거(대상 변경, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix)
제네릭 작업 트리거 제네릭 작업 트리거 사용자에 대한 디바이스 작업을 트리거합니다.
옵션을 사용하여 제네릭 작업 트리거 옵션을 사용하여 제네릭 작업 트리거 트리거 제네릭 작업보다 더 강력한 옵션 매개 변수를 사용하여 디바이스 작업을 트리거합니다.
새 작업 항목 만들기(Scheduler) 새 작업 항목 만들기(Scheduler) 프로비전, 프로비전 해제, 다시 프로비전 등과 같은 새 작업 항목을 만듭니다.
원격 작업 후 작업 원격 작업 후 작업 원격 작업을 게시하고 GetActions 작업으로 결과를 폴링합니다.
VM에서 OCE 실행 명령 VM에서 OCE 실행 명령 tenantID, deviceID 목록 및 스크립트별로 명령을 실행합니다.
LogCollection 요청 만들기 LogCollection 요청 만들기 클라우드 PC에 대한 로그 수집 요청을 만듭니다.
CMD 에이전트 카나리아 검사 트리거합니다. CMD 에이전트 카나리아 검사 트리거합니다. 특정 디바이스에서 CMD 에이전트 카나리아 검사 트리거합니다.
AppHealthPlugin 실행 AppHealthPlugin 실행 AppHealthPlugin을 실행합니다.
백필 CMD 에이전트 AddDevicesToBackfill 작업 클라우드 PC에서 CMD 에이전트 백필.
CMD 에이전트 다시 설치 AddDevicesToReinstall 작업 주문형 CMD 에이전트를 다시 설치합니다.
CMD 에이전트 대량 다시 설치 TriggerClientAgentCheckBulkAction 작업 주문형 CMD 에이전트를 대량으로 다시 설치합니다.
ActionModeratorService에서 원격 작업 만들기 ActionModeratorService에서 원격 작업 만들기 tenantID, workspaceID, actionType, actionParameters별로 원격 작업을 만듭니다.