Atividades do log de auditoria
As tabelas neste artigo descrevem as atividades auditadas no Microsoft 365. Pode procurar estas atividades ao procurar no registo de auditoria no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview.
Essas tabelas agrupam atividades relacionadas ou as atividades de um serviço específico. As tabelas incluem o nome amigável apresentado na lista pendente Atividades (ou que estão disponíveis no PowerShell) e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa. Para obter descrições das informações detalhadas, veja Propriedades detalhadas do registo de auditoria.
Dica
Selecione uma das ligações na lista Neste artigo na parte superior deste artigo para aceder diretamente a uma tabela de produtos específica.
Atividades de administração de aplicativos
A tabela seguinte lista as atividades de administrador de aplicações que são registadas quando um administrador adiciona ou altera uma aplicação registada no Microsoft Entra ID. Qualquer aplicação que dependa de Microsoft Entra ID para autenticação tem de ser registada no diretório.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( .
). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" "
) para conter o nome da operação.
Nome amigável | Operação | Descrição |
---|---|---|
Entrada da delegação adicionada | Adicione entrada de delegação. | Foi criada/concedida uma permissão de autenticação a uma aplicação no Microsoft Entra ID. |
Entidade de serviço adicionada | Adicione entidade de serviço. | Uma aplicação foi registada no Microsoft Entra ID. Um aplicativo é representado por uma entidade de serviço no diretório. |
Credenciais adicionadas a uma entidade de serviço | Adicione credenciais da entidade de serviço. | As credenciais foram adicionadas a um principal de serviço no Microsoft Entra ID. Uma entidade de serviço representa um aplicativo no diretório. |
Entrada de delegação removida | Remova a entrada de delegação. | Uma permissão de autenticação foi removida de uma aplicação no Microsoft Entra ID. |
Entidade de serviço removida do diretório | Remova a entidade de serviço. | Uma aplicação foi eliminada/não registou Microsoft Entra ID. Um aplicativo é representado por uma entidade de serviço no diretório. |
Credenciais removidas de uma entidade de serviço | Remova as credenciais da entidade de serviço. | As credenciais foram removidas de um principal de serviço no Microsoft Entra ID. Uma entidade de serviço representa um aplicativo no diretório. |
Definir entrada de delegação | Defina a entrada de delegação. | Foi atualizada uma permissão de autenticação para uma aplicação no Microsoft Entra ID. |
Atividades do email de resumo
A tabela seguinte lista as atividades em Briefing email that are logged in the Microsoft 365 audit log (Informar e-mail com sessão iniciada no registo de auditoria do Microsoft 365). Para saber mais sobre o email de Resumo. confira:
Nome amigável | Operação | Descrição |
---|---|---|
Configurações de privacidade da organização atualizadas | UpdatedOrganizationBriefingSettings | O administrador atualiza as configurações de privacidade da organização para email de Resumo. |
Configurações de privacidade do usuário atualizadas | UpdatedUserBriefingSettings | O administrador atualiza as configurações de privacidade do usuário para email de Resumo. |
Atividades de conformidade de comunicações
A tabela a seguir lista as atividades de conformidade de comunicações registradas no log de auditoria do Microsoft 365. Para obter mais informações, consulte Saiba mais sobre Conformidade de Comunicações do Microsoft Purview.
Observação
Estas atividades estão disponíveis ao utilizar o cmdlet do PowerShell Search-UnifiedAuditLog . Estas atividades não estão disponíveis na lista pendente Atividades .
Nome amigável | Operação | Descrição |
---|---|---|
Atualização de política | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Um administrador de conformidade de comunicações realizou uma atualização de política. |
Correspondência de política | SupervisionRuleMatch | Um usuário enviou uma mensagem que corresponde à condição de uma política. |
Marca aplicada a mensagens | SupervisoryReviewTag | As marcas são aplicadas às mensagens ou as mensagens são resolvidas. |
Atividades do Gestor de Conformidade
A tabela seguinte lista as operações e atividades que são registadas quando um administrador gere as definições no Gestor de Conformidade. Para obter mais informações, veja Saiba mais sobre o Gestor de Conformidade.
Nome amigável | Operação | Descrição |
---|---|---|
Alteração de funções | ComplianceManagerRolesChange | Um administrador alterou as funções dos utilizadores. |
Alteração ao nível da automatização do inquilino | ComplianceManagerAutomationLevelChange | Um administrador alterou o nível de automatização do inquilino em todas as ações. |
Testar a alteração da automatização de origem | ComplianceManagerAutomationChange | Um administrador alterou as definições de automatização de origem de teste. |
Atividades do explorador de conteúdo
A tabela a seguir lista as atividades no explorador de conteúdo registradas no log de auditoria. Explorador de conteúdos, que é acedido na ferramenta Classificações de dados no portal do Microsoft Purview e no portal de conformidade. Para obter mais informações, consulte Usar o conteúdo de classificação de dados do Explorer.
Nome amigável | Operação | Descrição |
---|---|---|
Item acessado | LabelContentExplorerAccessedItem | Um administrador (ou um usuário que seja membro do grupo de funções do Visualizador de conteúdo do explorador de conteúdo) usa o explorador de conteúdo para exibir uma mensagem de e-mail ou documento do SharePoint/OneDrive. |
Atividades copilot
A tabela seguinte lista as atividades de Microsoft 365 Copilot e Microsoft Copilot que são registadas no registo de auditoria. O Copilot pode ser acedido através dos serviços Microsoft. As atividades incluem como e quando os utilizadores interagem com o Copilot. Isto inclui o serviço Microsoft onde a atividade ocorreu e referências aos ficheiros acedidos durante a interação. Para obter mais informações sobre eventos de interação copilot e um exemplo de esquema, veja Descrição geral dos eventos de interação copilot.
Para aceder ao texto a partir do pedido do utilizador durante a interação, veja Pesquisa de Conteúdo ou veja o evento de interação de IA do explorador de atividades na Gestão da Postura de Segurança de Dados para IA.
Para obter mais informações sobre a auditoria e outras opções de gestão de conformidade para a Copilot, consulte o artigo O Microsoft Purview suporta a gestão de conformidade do Copilot.
Nome Amigável | Operação | Descrição |
---|---|---|
Criou um novo plug-in Copilot | CreateCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo plug-in Copilot. |
Criou um novo promptbook do Copilot | CreateCopilotPromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo promptbook no Copilot. |
Plug-in Copilot eliminado | DeleteCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um plug-in copilot. |
Livro de instruções Copilot eliminado | DeleteCopilotPromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um promptbook do Copilot. |
Plug-in Copilot desativado | DisableCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um plug-in copilot. |
Desativado um promptbook copilot | DisableCopilotPromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um promptbook do Copilot. |
Ativou um plug-in Copilot | EnableCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um plug-in copilot. |
Ativado um promptbook copilot | EnableCopilotPromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um promptbook copilot. |
Interagiu com o Copilot | CopilotInteraction | Um utilizador (ou administrador ou sistema em nome de um utilizador) introduziu pedidos em Copilot. |
Definição de plug-in Copilot atualizada | UpdateCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição de plug-in Copilot. |
Definição atualizada de um promptbook copilot | UpdateCopilotPromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição do promptbook copilot. |
Definição copilot atualizada | UpdateCopilotSettings | Um administrador (ou sistema em nome de um administrador) atualizou uma definição copilot. |
Atividades de administração de diretórios
A tabela seguinte lista Microsoft Entra diretório e atividades relacionadas com o domínio que são registadas quando um administrador gere a organização no Centro de administração do Microsoft 365 ou no portal de gestão do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( .
). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" "
) para conter o nome da operação.
Nome amigável | Operação | Descrição |
---|---|---|
Domínio adicionado à empresa | Adicione o domínio à empresa. | Domínio adicionado à sua organização. |
Parceiro adicionado ao diretório | Adicione parceiro à empresa. | Parceiro (administrador delegado) adicionado à sua organização. |
Domínio removido da empresa | Remova o domínio da empresa. | Domínio removido da sua organização. |
Parceiro removido do diretório | Remova o parceiro da empresa. | Parceiro (administrador delegado) removido da sua organização. |
Definir informações da empresa | Defina a informações da empresa. | Informações da empresa atualizadas para a sua organização. Inclui endereços de e-mail para e-mails relacionados com a subscrição enviados pelo Microsoft 365 e notificações técnicas sobre os serviços do Microsoft 365. |
Definir autenticação de domínio | Defina a autenticação de domínio. | Configuração de autenticação de domínio alterada para a sua organização. |
Configurações de federação atualizadas para um domínio | Defina a configurações de federação no domínio. | Configurações de federação (compartilhamento externo) alteradas para a sua organização. |
Definir política de senha | Defina a política de senha. | Restrições de comprimento e caracteres alteradas para senhas de usuário na sua organização. |
Ativado Azure AD Sync | Defina o sinalizador DirSyncEnabled. | Definir a propriedade que habilita um diretório para sincronização do Azure AD. |
Domínio atualizado | Atualize o domínio. | Configurações de um domínio atualizadas na sua organização. |
Domínio verificado | Verifique o domínio. | Foi verificado que a sua organização é a proprietária de um domínio. |
Domínio confirmado de email verificado | Verifique o domínio confirmado de email. | Verificação de email usada para confirmar que a sua organização é proprietária de um domínio. |
Atividades de revisão de disposição
A tabela seguinte lista as atividades que um revisor de eliminação demorou quando um item chegou ao fim do período de retenção configurado ou um item foi movido automaticamente para a fase de eliminação seguinte ou eliminado permanentemente como resultado da aprovação automática.
Nome amigável | Operação | Descrição |
---|---|---|
Descarte aprovado | ApproveDisposal | Para aprovação manual: um revisor de eliminação aprovou a disposição do item para movê-lo para a fase de disposição seguinte. Se o item estava no estágio único ou final de revisão da disposição, a aprovação da disposição marcou o item como elegível para exclusão permanente. Para a aprovação automática: não foi efetuada qualquer ação manual dentro do período de tempo de aprovação automática configurado, pelo que o item foi movido automaticamente para a fase de eliminação seguinte. Se o item estava na única ou última fase da revisão da eliminação, o item tornou-se automaticamente elegível para eliminação permanente. |
Período de retenção estendido | ExtendRetention | Um revisor de disposição estendeu o período de retenção do item. |
Item com novo rótulo | RelabelItem | Um revisor de disposição etiquetou novamente o rótulo de retenção. |
Revisores adicionados | AddReviewer | Um revisor de disposição adicionou um ou mais outros usuários ao estágio de revisão de disposição atual. |
Atividades de Descoberta Eletrônica
Atividades relacionadas com Pesquisa de Conteúdos e Deteção de Dados Eletrónicos (para Descoberta Eletrônica do Microsoft Purview (Standard) e Descoberta Eletrônica do Microsoft Purview (Premium)) que são executadas no portal do Microsoft Purview, o portal de conformidade do Microsoft Purview ou ao executar os cmdlets do PowerShell correspondentes são registados no registo de auditoria. Os eventos são registados quando os administradores ou gestores de Deteção de Dados Eletrónicos (ou quaisquer permissões de Deteção de Dados Eletrónicos atribuídas por qualquer utilizador) efetuam as seguintes tarefas de Pesquisa e Deteção de Conteúdos (Standard) nos portais:
- Criar e gerir casos de Deteção de Dados Eletrónicos (Standard) e Deteção de Dados Eletrónicos (Premium).
- Criar, iniciar e editar pesquisas de Conteúdo.
- Executar ações de pesquisa, como pré-visualizar, exportar e eliminar resultados da pesquisa.
- Gerir depositários e conjuntos de revisão na Deteção de Dados Eletrónicos (Premium).
- Configurar a filtragem de permissões para a Pesquisa de conteúdos.
- Gerir a função de Administrador de Deteção de Dados Eletrónicos.
Para obter mais informações sobre a pesquisa no registo de auditoria, as permissões necessárias e a exportação dos resultados da pesquisa, consulte Pesquisar o registo de auditoria.
Observação
Demora até 30 minutos para que as atividades resultantes das atividades listadas em Atividades de Deteção de Dados Eletrónicos e atividades de Deteção de Dados Eletrónicos (Premium) na lista pendente Atividades sejam apresentadas nos resultados da pesquisa. Por outro lado, leva até 24 horas para que os eventos correspondentes das atividades de cmdlet de Descoberta Eletrônica apareçam nos resultados da pesquisa.
Atividades de Pesquisa e Deteção de Conteúdos (Standard)
A tabela seguinte descreve as atividades de Pesquisa de Conteúdo e Deteção de Dados Eletrónicos (Standard) que são registadas quando um administrador ou gestor de Deteção de Dados Eletrónicos realiza uma atividade relacionada com a Deteção de Dados Eletrónicos através do portal de conformidade. Algumas atividades realizadas na Deteção de Dados Eletrónicos (Premium) podem ser devolvidas quando procura atividades nesta lista.
Observação
As atividades de Deteção de Dados Eletrónicos descritas nesta secção fornecem informações semelhantes às atividades do cmdlet de Deteção de Dados Eletrónicos descritas na secção seguinte. Recomendamos que utilize as atividades de Deteção de Dados Eletrónicos descritas nesta secção, uma vez que serão apresentadas nos resultados da pesquisa do registo de auditoria dentro de 30 minutos. As atividades do cmdlet de Deteção de Dados Eletrónicos podem demorar até 24 horas a aparecer nos resultados da pesquisa de registos de auditoria.
Nome amigável | Operação | Cmdlet correspondente | Descrição |
---|---|---|---|
Foi adicionado membro ao caso de Deteção de Dados Eletrónicos |
CaseMemberAdded |
Add-ComplianceCaseMember |
Um utilizador foi adicionado como membro de um caso de Deteção de Dados Eletrónicos. Como membro de um caso, um utilizador pode efetuar várias tarefas relacionadas com casos, consoante lhes tenham sido atribuídas as permissões necessárias. |
Pesquisa de conteúdo alterada |
PesquisaAtualizada |
Set-ComplianceSearch |
Uma pesquisa de conteúdo existente foi alterada. As alterações podem incluir adicionar ou remover localizações de conteúdo ou editar a consulta de pesquisa. |
Foi alterada a associação de administrador da Deteção de Dados Eletrónicos |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
A lista de Administradores de Deteção de Dados Eletrónicos na sua organização foi alterada. Esta atividade é registada quando a lista de Administradores de Deteção de Dados Eletrónicos é substituída por um grupo de novos utilizadores. Se um único utilizador for adicionado ou removido, a operação CaseAdminAdded é registada. |
Caso de Deteção de Dados Eletrónicos alterado |
Maiúsculas/Minúsculas |
Set-ComplianceCase |
Um caso de Deteção de Dados Eletrónicos foi alterado. As alterações incluem fechar um caso aberto ou reabrir um caso fechado. |
Foi alterada a associação a um caso de Deteção de Dados Eletrónicos |
CaseMemberUpdated |
Update-ComplianceCaseMember |
A lista de membros de um caso de Deteção de Dados Eletrónicos foi alterada. Esta atividade é registada quando todos os membros são substituídos por um grupo de novos utilizadores. Se um único membro for adicionado ou removido, a operação CaseMemberAdded ou CaseMemberRemoved é registada. |
Filtro de permissões de pesquisa alterado |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
Foi alterado um filtro de permissões de pesquisa. |
Consulta de pesquisa alterada para suspensão de casos de Deteção de Dados Eletrónicos |
Suspondida |
Set-CaseHoldRule |
Uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos foi alterada. As possíveis alterações incluem editar a consulta ou o intervalo de datas de uma suspensão baseada em consultas. |
Item de pré-visualização da pesquisa de conteúdos transferido |
PreviewItemDownloaded |
N/D |
Um utilizador transferiu um item para o computador local (ao selecionar a ligação Transferir item original ) ao pré-visualizar os resultados da pesquisa. |
Item de pré-visualização da pesquisa de conteúdos listado |
PreviewItemListed |
N/D |
Um utilizador selecionou Pré-visualizar resultados de pesquisa para apresentar a página de resultados da pesquisa de pré-visualização, que lista até 1000 itens dos resultados de uma pesquisa. |
Pesquisa de conteúdos criada |
PesquisaCriada |
New-ComplianceSearch |
Foi criada uma nova pesquisa de conteúdos. |
Administrador de Deteção de Dados Eletrónicos criado |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Um utilizador foi adicionado como Administrador de Deteção de Dados Eletrónicos na organização. |
Caso de Deteção de Dados Eletrónicos criado |
CaseAdded |
New-ComplianceCase |
Foi criado um caso de Deteção de Dados Eletrónicos. Quando um caso é criado, só tem de lhe dar um nome. Outras tarefas relacionadas com casos, como adicionar membros, criar suspensões e criar pesquisas de conteúdo associadas ao caso, resultam na registo de eventos adicionais. |
Filtro de permissões de pesquisa criado |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
Foi criado um filtro de permissões de pesquisa. |
Consulta de pesquisa criada para suspensão de casos de Deteção de Dados Eletrónicos |
HoldCreated |
New-CaseHoldRule |
Foi criada uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos. |
Pesquisa de conteúdo eliminada |
SearchRemoved |
Remove-ComplianceSearch |
Uma pesquisa de conteúdo existente foi eliminada. |
Administrador de Deteção de Dados Eletrónicos eliminado |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Um Administrador de Deteção de Dados Eletrónicos foi eliminado da sua organização. |
Caso de Deteção de Dados Eletrónicos eliminado |
CaseRemoved |
Remove-ComplianceCase |
Foi eliminado um caso de Deteção de Dados Eletrónicos. Qualquer suspensão associada ao caso tem de ser removida antes de o caso poder ser eliminado. |
Filtro de permissões de pesquisa eliminado |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
Foi eliminado um filtro de permissões de pesquisa. |
Consulta de pesquisa eliminada para suspensão de casos de Deteção de Dados Eletrónicos |
HoldRemoved |
Remove-CaseHoldRule |
Foi eliminada uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos. Remover a consulta da suspensão é, muitas vezes, o resultado da eliminação de uma suspensão. Quando uma consulta de suspensão ou suspensão é eliminada, as localizações de conteúdo que estavam em suspensão são libertadas. |
Exportação transferida da pesquisa de conteúdos |
SearchExportDownloaded |
N/D |
Um utilizador transferiu os resultados de uma pesquisa de conteúdos para o respetivo computador local. Uma exportação iniciada da atividade de pesquisa de conteúdos tem de ser iniciada antes de os resultados da pesquisa poderem ser transferidos. |
Resultados pré-visualizados da pesquisa de conteúdos |
Pesquisa Pré-visualizada |
N/D |
Um utilizador pré-visualizava os resultados de uma pesquisa de conteúdos. |
Resultados removidos da pesquisa de conteúdos |
SearchResultsPurged |
New-ComplianceSearchAction |
Um utilizador purgou os resultados de uma pesquisa de Conteúdo ao executar o comando New-ComplianceSearchAction -Purge . |
Análise removida da pesquisa de conteúdos |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
Uma ação de preparação da pesquisa de conteúdos (para preparar os resultados da pesquisa para a Deteção de Dados Eletrónicos (Premium)) foi eliminada. Se a ação de preparação tiver menos de duas semanas, os resultados da pesquisa que foram preparados para Deteção de Dados Eletrónicos (Premium) foram eliminados da área de armazenamento do Microsoft Azure. Se a ação de preparação tiver mais de 2 semanas, este evento indica que apenas a ação de preparação correspondente foi eliminada. |
Exportação removida da pesquisa de conteúdos |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Foi eliminada uma ação de exportação da pesquisa de conteúdos. Se a ação de exportação tiver menos de duas semanas, os resultados da pesquisa que foram carregados para a área de armazenamento do Microsoft Azure foram eliminados. Se a ação de exportação tiver mais de 2 semanas, este evento indica que apenas a ação de exportação correspondente foi eliminada. |
Membro removido do caso de Deteção de Dados Eletrónicos |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Um utilizador foi removido como membro de um caso de Deteção de Dados Eletrónicos. |
Resultados de pré-visualização removidos da pesquisa de conteúdos |
RemoveSearchPreviewed |
Remove-ComplianceSearchAction |
Uma ação de pré-visualização da pesquisa de conteúdos foi eliminada. |
A ação de remoção removida efetuada na pesquisa de conteúdos |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Foi eliminada uma ação de remoção da pesquisa de conteúdos. |
Relatório de pesquisa removido |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Foi eliminada uma ação do relatório de exportação de pesquisa de conteúdos. |
Análise iniciada da pesquisa de conteúdos |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
Os resultados de uma pesquisa de conteúdos foram preparados para análise na Deteção de Dados Eletrónicos (Premium). |
Pesquisa de conteúdos iniciada |
SearchStarted |
Start-ComplianceSearch |
Foi iniciada uma pesquisa de conteúdos. Quando cria ou altera uma pesquisa de conteúdos através do portal de conformidade, a pesquisa é iniciada automaticamente. |
Exportação iniciada da pesquisa de conteúdos |
SearchExported |
New-ComplianceSearchAction |
Um utilizador exportou os resultados de uma pesquisa de conteúdos. |
Relatório de exportação iniciado |
SearchReport |
New-ComplianceSearchAction |
Um utilizador exportou um relatório de pesquisa de conteúdos. |
Pesquisa de conteúdo parada |
PesquisaTopped |
Stop-ComplianceSearch |
Um utilizador parou uma pesquisa de conteúdos. |
(nenhuma) | CaseViewed | Get-ComplianceCase | Um utilizador viu um caso de Deteção de Dados Eletrónicos (Standard) no portal de conformidade. O registo de auditoria deste evento inclui o nome do caso que foi visualizado. |
(nenhuma) | SearchViewed | Get-ComplianceSearch | Um utilizador viu uma pesquisa de Conteúdo no portal de conformidade ao aceder à pesquisa no separador Pesquisas num caso de Deteção de Dados Eletrónicos (Standard) ou ao aceder à mesma na página Pesquisa de conteúdos. O registo de auditoria deste evento inclui a identidade da pesquisa que foi visualizada. |
(nenhuma) | ViewedSearchExported | Get-ComplianceSearchAction -Exportar | Um utilizador viu uma exportação de Pesquisa de conteúdo no portal de conformidade ao aceder à exportação no separador Exportações na página Pesquisa de conteúdos . Esta atividade também é registada quando um utilizador vê uma exportação associada a um caso de Deteção de Dados Eletrónicos (Standard). |
(nenhuma) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Pré-visualização | Um utilizador pré-visualizava os resultados de uma pesquisa de Conteúdo no portal de conformidade. Esta atividade também é registada quando um utilizador pré-visualiza os resultados de uma pesquisa associada a um caso de Deteção de Dados Eletrónicos (Standard). |
Atividades de Descoberta Eletrônica (Premium)
A tabela seguinte descreve as atividades de Deteção de Dados Eletrónicos (Premium) registadas no registo de auditoria. Estas atividades podem ser utilizadas para ajudar a controlar a progressão da atividade num caso de Deteção de Dados Eletrónicos (Premium).
Nome amigável | Operação | Descrição |
---|---|---|
Adicionar dados a outro conjunto de revisão | AddWorkingSetQueryToWorkingSet | O usuário adicionou documentos de uma revisão definida para outro conjunto de revisão. |
Dados adicionados ao conjunto de revisão | AddQueryToWorkingSet | O utilizador adicionou os resultados da pesquisa de conteúdos associados a um caso de Deteção de Dados Eletrónicos (Premium) a um conjunto de revisão. |
Dados que não são da Microsoft 365 adicionados ao conjunto de revisão | AddNonOffice365DataToWorkingSet | Usuário adicionou dados que não são da Microsoft 365 a um conjunto de revisão. |
Documentos remedidos adicionados ao conjunto de revisão | AddRemediatedData | O usuário carrega documentos com erros de indexação corrigidos em um conjunto de revisão. |
Dados analisados no conjunto de revisão | RunAlgo | O utilizador executou análises nos documentos num conjunto de revisão. |
Documento com anotações no conjunto de revisão | AnnotateDocument | O usuário anota um documento em um conjunto de revisão. As anotações incluem a redação de conteúdo em um documento. |
Conjuntos de carga comparados | LoadComparisonJob | O usuário comparou dois conjuntos de carga diferentes em um conjunto de revisão. Um conjunto de carga é quando os dados de uma pesquisa de conteúdo que estão associados ao caso são adicionados a um conjunto de revisão. |
Documentos redigidos convertidos em PDF | BurnJob | O usuário converteu todos os documentos redigidos em uma revisão definida como arquivos PDF. |
Conjunto de revisão criado | CreateWorkingSet | O usuário criou um conjunto de revisão. |
Pesquisa de conjunto de revisão criada | CreateWorkingSetSearch | O usuário criou uma consulta de pesquisa que procura os documentos em um conjunto de revisão. |
Marca criada | CreateTag | O usuário criou um grupo de marcas em um conjunto de revisão. Um grupo de marcas pode conter uma ou mais marcas filho. Essas marcas são usadas para marcar documentos no conjunto de revisão. |
Pesquisa do conjunto de revisão excluído | DeleteWorkingSetSearch | O usuário excluiu uma consulta de pesquisa em um conjunto de revisão. |
Marca excluída | DeleteTag | O usuário excluiu um grupo de marcas em um conjunto de revisão. |
Documento baixado | DownloadDocument | O usuário baixou um documento de um conjunto de revisão. |
Marca editada | UpdateTag | O usuário alterou uma marca em um conjunto de revisão. |
Documentos exportados do conjunto de revisão | ExportJob | O usuário exporta documentos de um conjunto de revisão. |
Configuração de caso modificado | UpdateCaseSettings | O usuário modifica as configurações de uma ocorrência. As configurações da ocorrência incluem informações sobre o caso, permissões de acesso e configurações que controlam o comportamento da pesquisa e da análise. |
Pesquisa do conjunto de revisão modificada | UpdateWorkingSetSearch | O usuário editou uma consulta de pesquisa em um conjunto de revisão. |
Pesquisa do conjunto de revisão vizualizada | PreviewWorkingSetSearch | O usuário visualizou os resultados de uma consulta de pesquisa em um conjunto de revisão. |
Documentos de erro corrigidos | ErrorRemediationJob | O usuário corrige os arquivos que contêm erros de indexação. |
Documento marcado | TagFiles | O usuário marca um documento em um conjunto de revisão. |
Resultados marcados de uma consulta | TagJob | O usuário marca todos os documentos que correspondem aos critérios da consulta de pesquisa em um conjunto de revisão. |
Documento exibido no conjunto de revisão | ViewDocument | O usuário visualiza um documento em um conjunto de revisão. |
Atividades de cmdlets de Deteção de Dados Eletrónicos
A tabela seguinte lista os registos de auditoria do cmdlet que são registados quando um administrador ou utilizador realiza uma atividade relacionada com a Deteção de Dados Eletrónicos através do portal de conformidade ou ao executar o cmdlet correspondente no PowerShell de Conformidade do & de Segurança. As informações detalhadas no registo de auditoria são diferentes para as atividades de cmdlet listadas nesta tabela e as atividades de Deteção de Dados Eletrónicos descritas na secção anterior.
Conforme indicado anteriormente, pode demorar até 24 horas para que as atividades do cmdlet de Deteção de Dados Eletrónicos apareçam nos resultados da pesquisa do registo de auditoria.
Dica
Os cmdlets na coluna Operação na tabela seguinte estão ligados ao tópico de ajuda do cmdlet correspondente no TechNet. Aceda ao tópico de ajuda do cmdlet para obter uma descrição dos parâmetros disponíveis para cada cmdlet. O parâmetro e o valor do parâmetro que foram utilizados com um cmdlet estão incluídos na entrada de registo de auditoria para cada atividade de cmdlet de Deteção de Dados Eletrónicos registada.
Nome amigável | Operação (cmdlet) | Descrição |
---|---|---|
Suspensão criada no caso de Deteção de Dados Eletrónicos |
New-CaseHoldPolicy |
Foi criada uma suspensão para um caso de Deteção de Dados Eletrónicos. Pode ser criada uma suspensão com ou sem especificar uma origem de conteúdo. Se forem especificadas origens de conteúdo, serão identificadas na entrada do registo de auditoria. |
Suspensão eliminada do caso de Deteção de Dados Eletrónicos |
Remove-CaseHoldPolicy |
Foi eliminada uma suspensão associada a um caso de Deteção de Dados Eletrónicos. Eliminar uma suspensão liberta todas as localizações de conteúdo da suspensão. Eliminar a suspensão também resulta na eliminação das regras de suspensão de caso associadas à suspensão (veja Remove-CaseHoldRule). |
Suspensão alterada no caso de Deteção de Dados Eletrónicos |
Set-CaseHoldPolicy |
Uma suspensão associada a uma Deteção de Dados Eletrónicos foi alterada. As possíveis alterações incluem adicionar ou remover localizações de conteúdo ou desativar (desativar) a suspensão. |
Consulta de pesquisa criada para suspensão de casos de Deteção de Dados Eletrónicos |
New-CaseHoldRule |
Foi criada uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos. |
Consulta de pesquisa eliminada para suspensão de casos de Deteção de Dados Eletrónicos |
Remove-CaseHoldRule |
Foi eliminada uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos. Remover a consulta da suspensão é, muitas vezes, o resultado da eliminação de uma suspensão. Quando uma consulta de suspensão ou suspensão é eliminada, as localizações de conteúdo que estavam em suspensão são libertadas. |
Consulta de pesquisa alterada para suspensão de casos de Deteção de Dados Eletrónicos |
Set-CaseHoldRule |
Uma suspensão baseada em consultas associada a um caso de Deteção de Dados Eletrónicos foi alterada. As possíveis alterações incluem editar a consulta ou o intervalo de datas de uma suspensão baseada em consultas. |
Caso de Deteção de Dados Eletrónicos criado |
New-ComplianceCase |
Foi criado um caso de Deteção de Dados Eletrónicos. Quando um caso é criado, só tem de lhe dar um nome. Outras tarefas relacionadas com casos, como adicionar membros, criar suspensões e criar pesquisas de conteúdo associadas ao caso, resultam na registo de eventos adicionais. |
Caso de Deteção de Dados Eletrónicos eliminado |
Remove-ComplianceCase |
Foi eliminado um caso de Deteção de Dados Eletrónicos. Qualquer suspensão associada ao caso tem de ser removida antes de o caso poder ser eliminado. |
Caso de Deteção de Dados Eletrónicos alterado |
Set-ComplianceCase |
Um caso de Deteção de Dados Eletrónicos foi alterado. As alterações incluem fechar um caso aberto ou reabrir um caso fechado. |
Foi adicionado membro ao caso de Deteção de Dados Eletrónicos |
Add-ComplianceCaseMember |
Um utilizador foi adicionado como membro de um caso de Deteção de Dados Eletrónicos. Como membro de um caso, um utilizador pode efetuar várias tarefas relacionadas com casos, consoante lhes tenham sido atribuídas as permissões necessárias. |
Membro removido do caso de Deteção de Dados Eletrónicos |
Remove-ComplianceCaseMember |
Um utilizador foi removido como membro de um caso de Deteção de Dados Eletrónicos. |
Foi alterada a associação a um caso de Deteção de Dados Eletrónicos |
Update-ComplianceCaseMember |
A lista de membros de um caso de Deteção de Dados Eletrónicos foi alterada. Esta atividade é registada quando todos os membros são substituídos por um grupo de novos utilizadores. Se um único membro for adicionado ou removido, a operação Add-ComplianceCaseMember ou Remove-ComplianceCaseMember é registada. |
Pesquisa de conteúdos criada |
New-ComplianceSearch |
Foi criada uma nova pesquisa de conteúdos. |
Pesquisa de conteúdo eliminada |
Remove-ComplianceSearch |
Uma pesquisa de conteúdo existente foi eliminada. |
Pesquisa de conteúdo alterada |
Set-ComplianceSearch |
Uma pesquisa de conteúdo existente foi alterada. As alterações podem incluir adicionar ou remover localizações de conteúdo que são pesquisadas e editar a consulta de pesquisa. |
Pesquisa de conteúdos iniciada |
Start-ComplianceSearch |
Foi iniciada uma pesquisa de conteúdos. Quando cria ou altera uma pesquisa de conteúdos através da GUI do portal de conformidade, a pesquisa é iniciada automaticamente. Se criar ou alterar uma pesquisa com o cmdlet New-ComplianceSearch ou Set-ComplianceSearch , tem de executar o cmdlet Start-ComplianceSearch para iniciar a pesquisa. |
Pesquisa de conteúdo parada |
Stop-ComplianceSearch |
Uma pesquisa de conteúdos em execução foi parada. |
Ação de pesquisa de conteúdos criada |
New-ComplianceSearchAction |
Foi criada uma ação de pesquisa de conteúdos. As ações de pesquisa de conteúdos incluem a pré-visualização dos resultados da pesquisa, a exportação dos resultados da pesquisa, a preparação dos resultados da pesquisa para análise na Deteção de Dados Eletrónicos (Premium) e a eliminação permanente de itens que correspondem aos critérios de pesquisa de uma pesquisa de conteúdos. |
Ação de pesquisa de conteúdo eliminado |
Remove-ComplianceSearchAction |
Uma ação de pesquisa de conteúdos foi eliminada. |
Filtro de permissões de pesquisa criado |
New-ComplianceSecurityFilter |
Foi criado um filtro de permissões de pesquisa. |
Filtro de permissões de pesquisa eliminado |
Remove-ComplianceSecurityFilter |
Foi eliminado um filtro de permissões de pesquisa. |
Filtro de permissões de pesquisa alterado |
Set-ComplianceSecurityFilter |
Foi alterado um filtro de permissões de pesquisa. |
Administrador de Deteção de Dados Eletrónicos criado |
Add-eDiscoveryCaseAdmin |
Um utilizador foi adicionado como Administrador de Deteção de Dados Eletrónicos na sua organização. |
Administrador de Deteção de Dados Eletrónicos eliminado |
Remove-eDiscoveryCaseAdmin |
Um Administrador de Deteção de Dados Eletrónicos foi eliminado da sua organização. |
Foi alterada a associação de administrador da Deteção de Dados Eletrónicos |
Update-eDiscoveryCaseAdmin |
A lista de Administradores de Deteção de Dados Eletrónicos na sua organização foi alterada. Esta atividade é registada quando a lista de Administradores de Deteção de Dados Eletrónicos é substituída por um grupo de novos utilizadores. Se um único utilizador for adicionado ou removido, a operação Add-eDiscoveryCaseAdmin ou Remove-eDiscoveryCaseAdmin é registada. |
(nenhuma) |
Get-ComplianceCase |
Esta atividade é registada quando um utilizador visualiza uma lista de casos de Deteção de Dados Eletrónicos (Standard) ou de Deteção de Dados Eletrónicos (Premium). Esta atividade também é registada quando um utilizador vê um caso específico na Deteção de Dados Eletrónicos (Standard). Quando um utilizador vê um caso específico, o registo de auditoria inclui a identidade do caso que foi visualizado. Se o utilizador apenas visualizar uma lista de casos, o registo de auditoria não contém uma identidade de caso. |
(nenhuma) | Get-ComplianceSearch | Esta atividade é registada quando um utilizador visualiza uma lista de pesquisas ou pesquisas de Conteúdo associadas a um caso de Deteção de Dados Eletrónicos (Standard). Esta atividade também é registada quando um utilizador vê uma pesquisa de Conteúdo específica ou vê uma pesquisa específica associada a um caso de Deteção de Dados Eletrónicos (Standard). Quando um utilizador vê uma pesquisa específica, o registo de auditoria inclui a identidade da pesquisa que foi visualizada. Se o utilizador apenas visualizar uma lista de pesquisas, o registo de auditoria não contém uma identidade de pesquisa. |
(nenhuma) | Get-ComplianceSearchAction | Esta atividade é registada quando um utilizador visualiza uma lista de ações de pesquisa de conformidade (como exportações, pré-visualizações ou remoção) ou ações associadas a um caso de Deteção de Dados Eletrónicos (Standard). Esta atividade também é registada quando um utilizador vê uma ação de pesquisa de conformidade específica (como uma exportação) ou vê uma ação específica associada a um caso de Deteção de Dados Eletrónicos (Standard). Quando um utilizador vê uma ação de pesquisa, o registo de auditoria inclui a identidade da ação de pesquisa que foi visualizada. Se o utilizador apenas visualizar uma lista de ações, o registo de auditoria não contém uma identidade de ação. |
Propriedades detalhadas para atividades de Deteção de Dados Eletrónicos
A tabela seguinte descreve as propriedades que estão incluídas na página de lista de opções para uma atividade de Deteção de Dados Eletrónicos listada nos resultados da pesquisa. Estas propriedades também estão incluídas no ficheiro CSV quando exporta os resultados da pesquisa do registo de auditoria. Um registo de auditoria para uma atividade de Deteção de Dados Eletrónicos não incluirá todas as propriedades detalhadas listadas na tabela seguinte.
Dica
Ao exportar os resultados da pesquisa, o ficheiro CSV contém uma coluna com o nome AudtiData, que contém as propriedades detalhadas descritas na tabela seguinte numa propriedade de valores múltiplos. Pode utilizar a funcionalidade Power Query no Excel para dividir esta coluna em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Isto permite-lhe ordenar e filtrar uma ou mais destas propriedades. Para obter mais informações, veja Pesquisar o registo de auditoria.
Propriedade | Descrição |
---|---|
Caso |
A identidade (GUID) do caso de Deteção de Dados Eletrónicos que foi criado, alterado ou eliminado. |
ClientApplication |
As atividades de cmdlets de Deteção de Dados Eletrónicos têm um valor de EMC para esta propriedade. Isto indica que a atividade foi realizada através da GUI do portal de conformidade ou da execução do cmdlet no PowerShell. |
ClientIP |
O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
ClientRequestId |
Para atividades de Deteção de Dados Eletrónicos, esta propriedade está normalmente em branco. |
CmdletVersion |
O número de compilação da versão do portal de conformidade em execução na sua organização. |
CreationTime |
A data e hora na Hora Universal Coordenada (UTC) quando a atividade de Deteção de Dados Eletrónicos foi concluída. |
EffectiveOrganization |
O nome da organização do Microsoft 365. |
ExchangeLocations |
O Exchange Online caixas de correio incluídas numa pesquisa de conteúdos ou colocadas em espera num caso de Deteção de Dados Eletrónicos. |
Exclusões |
Localizações de caixa de correio ou site excluídas de uma pesquisa de conteúdos ou de uma suspensão num caso de Deteção de Dados Eletrónicos. |
ExtendedProperties |
Propriedades adicionais de uma pesquisa de conteúdos, uma ação de pesquisa de conteúdos ou uma suspensão num caso de Deteção de Dados Eletrónicos, como o GUID do objeto e os parâmetros de cmdlet e cmdlet correspondentes que foram utilizados quando a atividade foi realizada. |
Id |
O ID da entrada do relatório. O ID identifica exclusivamente a entrada do registo de auditoria. |
NonPIIParameters |
Uma lista dos parâmetros (sem quaisquer valores) que foram utilizados com o cmdlet identificado na propriedade Operação. Os parâmetros listados nesta propriedade são os mesmos que os listados na propriedade Parâmetros. |
ObjectId |
O GUID ou o nome do objeto (por exemplo, uma pesquisa de Conteúdo ou um caso de Deteção de Dados Eletrónicos (Standard) que foi criado, acedido, alterado ou eliminado pela atividade listada na propriedade Operação. Este objeto também é identificado na coluna Item nos resultados da pesquisa do registo de auditoria. |
ObjectType |
O tipo de objeto de Deteção de Dados Eletrónicos que o utilizador criou, eliminou ou modificou; por exemplo, uma ação de pesquisa de conteúdos (pré-visualização, exportação ou remoção), um caso de Deteção de Dados Eletrónicos ou uma pesquisa de conteúdos. |
Operação |
O nome da operação que corresponde à atividade de Deteção de Dados Eletrónicos que foi executada. |
OrganizationId |
O GUID da sua organização do Microsoft 365. |
Parâmetros |
O nome e o valor dos parâmetros que foram utilizados com o cmdlet correspondente. |
PublicFolderLocations |
As localizações das pastas públicas no Exchange Online incluídas numa pesquisa de conteúdos ou colocadas em espera num caso de Deteção de Dados Eletrónicos. |
Consultar |
A consulta de pesquisa associada à atividade, como uma pesquisa de conteúdos ou uma suspensão baseada em consultas. |
RecordType |
O tipo de operação indicado pelo registro. O valor de 18 indica um evento relacionado com uma atividade listada na secção atividades do cmdlet de Deteção de Dados Eletrónicos . Um valor de 24 indica um evento relacionado com uma atividade listada na secção Atividades de Deteção de Dados Eletrónicos . |
ResultStatus |
Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. |
SecurityComplianceCenterEventType |
Indica que a atividade foi um evento do portal de conformidade. Todas as atividades de Deteção de Dados Eletrónicos terão um valor de 0 para esta propriedade. |
SharepointLocations |
Os sites do SharePoint Online incluídos numa pesquisa de conteúdos ou colocados em espera num caso de Deteção de Dados Eletrónicos. |
StartTime |
A data e hora na Hora Universal Coordenada (UTC) em que a atividade de Deteção de Dados Eletrónicos foi iniciada. |
UserId |
O utilizador que efetuou a atividade (especificada na propriedade Operação) que resultou na sessão do registo. Os registos da atividade de Deteção de Dados Eletrónicos efetuados por contas de sistema (como NT AUTHORITY\SYSTEM) também estão incluídos no registo de auditoria. |
UserKey |
Uma ID alternativa para o usuário identificado na propriedade UserId. Para atividades de Deteção de Dados Eletrónicos, o valor desta propriedade é normalmente o mesmo que a propriedade UserId. |
UserServicePlan |
A subscrição utilizada pela sua organização. Para atividades de Deteção de Dados Eletrónicos, esta propriedade está normalmente em branco. |
UserType |
O tipo de usuário que executou a operação. Os seguintes valores indicam o tipo de utilizador. 0 Um utilizador normal. 2 Um administrador na sua organização. 3 Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. 4 Uma conta de sistema. 5 Uma aplicação. 6 Um principal de serviço. |
Versão |
Indica o número da versão da atividade (identificado pela propriedade Operação) que está registada. |
Workload |
O serviço onde ocorreu a atividade. Para atividades de Deteção de Dados Eletrónicos, o valor é SecurityComplianceCenter. |
Atividades do portal de mensagens criptografadas
Os logs de acesso estão disponíveis para mensagens criptografadas por meio do portal de mensagens criptografadas que permite que sua organização determine quando as mensagens são lidas e encaminhadas por seus destinatários externos. Para obter mais informações sobre como habilitar e usar logs de atividades do portal de mensagens criptografadas, consulte Log de atividades do portal de mensagens criptografadas.
Cada entrada de auditoria de uma mensagem controlada contém os seguintes campos:
- MessageID: contém o ID da mensagem que está a ser controlada. O identificador de chave utilizado para seguir uma mensagem através do sistema.
- Destinatário: lista de todos os endereços de e-mail de destinatários.
- Remetente: o endereço de e-mail de origem.
- AuthenticationMethod: descreve o método de autenticação para aceder à mensagem, por exemplo OTP, Yahoo, Gmail ou Microsoft.
- AuthenticationStatus: contém um valor que indica que a autenticação foi bem-sucedida ou falhou.
- OperationStatus: indica se a operação indicada teve êxito ou falhou.
- AttachmentName: nome do anexo.
- OperationProperties: uma lista de propriedades opcionais. Por exemplo, o número de códigos de acesso OTP enviados ou o assunto do e-mail.
Atividades de administradores do Exchange
Registro no log de auditoria do administrador do Exchange (que é habilitado por padrão no Microsoft 365) registra um evento no log de auditoria quando um administrador (ou um usuário que recebeu permissões administrativas) faz uma alteração em sua organização do Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet no PowerShell do Exchange Online são registradas no log de auditoria de administradores do Exchange. Os cmdlets que começam com os verbos Get-, Search-, ou Test- não são registados no registo de auditoria. Para obter informações mais detalhadas sobre o log de auditoria de administradores do Exchange, confira Log de auditoria de administradores.
Importante
Alguns cmdlets do Exchange Online que não estão registrados no log de auditoria de administradores do Exchange (ou no log de auditoria). Muitos desses cmdlets estão relacionados à manutenção do serviço do Exchange Online e são executados pela equipe do datacenter da Microsoft ou por contas de serviços. Esses cmdlets não são registrados porque resultariam em um grande número de eventos de auditoria "ruidosa". Se houver um cmdlet do Exchange Online que não está sendo auditado, envie uma solicitação de alteração de design (DCR) para Suporte da Microsoft.
Aqui estão algumas dicas para pesquisar atividades de administração do Exchange ao pesquisar o log de auditoria:
- Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa para cmdlets executados por um administrador específico do Exchange dentro de um intervalo de datas específico.
- Para apresentar eventos do registo de auditoria de administrador do Exchange, selecione a coluna Atividade para ordenar os nomes dos cmdlets por ordem alfabética.
- Para obter informações sobre qual cmdlet foi executado, quais parâmetros e valores de parâmetros foram usados e quais objetos foram afetados, você pode exportar os resultados da pesquisa selecionando a opção Baixar todos os resultados. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
- Você também pode usar o comando
Search-UnifiedAuditLog -RecordType ExchangeAdmin
no PowerShell do Exchange Online para retornar somente registros de auditoria do log de auditoria de administradores do Exchange. Pode levar até 30 minutos após a execução de um cmdlet do Exchange para que a entrada do log de auditoria correspondente seja retornada nos resultados da pesquisa. Para saber mais, confira Search-UnifiedAuditLog. Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.
Atividades de caixa de correio do Exchange
A tabela a seguir lista as atividades que podem ser registradas pelo log de auditoria da caixa de correio. As atividades da caixa de correio realizadas pelo proprietário da caixa de correio, um utilizador delegado ou um administrador são automaticamente registadas no registo de auditoria durante um máximo de 180 dias. É possível que um administrador desabilite o registro em log de auditoria da caixa de correio para todos os usuários em sua organização. Nesse caso, nenhuma ação da caixa de correio do usuário será registrada. Para saber mais, consulte Gerenciar a auditoria da caixa de correio.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Você também pode pesquisar atividades de caixa de correio utilizando o cmdlet Search-MailboxAuditLog no PowerShell do Exchange Online.
Nome amigável | Operação | Descrição |
---|---|---|
Itens de caixa de correio acessados | MailItemsAccessed | As mensagens foram lidas ou acessadas na caixa de correio. Os registros de auditoria dessa atividade são disparados de duas maneiras: quando um cliente de e-mail (como o Outlook) executa uma operação de vinculação em mensagens ou quando os protocolos de e-mail (como o Exchange ActiveSync ou IMAP) sincronizam em uma pasta de e-mail. A análise de registros de auditoria dessa atividade é útil ao investigar uma conta de e-mail comprometida. |
Permissões de caixa de correio delegada adicionadas | Add-MailboxPermission | Um administrador atribuiu a um usuário (conhecido como um representante) a permissão da caixa de correio FullAccess para a caixa de correio de outra pessoa. A permissão FullAccess permite que o representante abra a caixa de correio de outra pessoa e leia e gerencie o conteúdo da caixa de correio. O registro de auditoria desta atividade também é gerado quando uma conta do sistema no serviço do Microsoft 365 executa periodicamente tarefas de manutenção em nome da organização. Uma tarefa comum executada por uma conta do sistema é atualizar as permissões para caixas de correio do sistema. Para obter mais informações, confira Contas do sistema em registros de auditoria de caixa de correio do Exchange. |
Adicionado ou removido usuário com acesso delegado à pasta de calendário | UpdateCalendarDelegation | Um usuário foi adicionado ou removido como um representante para o calendário da caixa de correio de outro usuário. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio. |
Permissões adicionadas à pasta | AddFolderPermissions | Uma permissão da pasta foi adicionada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. |
Mensagens copiadas para outra pasta | Copiar | Uma mensagem foi copiada para outra pasta. |
Criação de item de caixa de correio | Criar | Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada. |
Criada nova regra da caixa de entrada do Outlook Web App | New-InboxRule | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio criou uma regra da caixa de entrada do Outlook Web App. |
Mensagens excluídas da pasta Itens Excluídos | SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Esses itens são movidos para a pasta Itens Recuperáveis. As mensagens também são movidas para a pasta Itens Recuperáveis quando um usuário as seleciona e pressiona Shift+Delete. |
Mensagem rotulada como um registro | ApplyRecordLabel | Uma mensagem foi classificada como um registro. Ocorre quando uma etiqueta de retenção que classifica o conteúdo como um registo é aplicada manual ou automaticamente a uma mensagem. |
Mensagens movidas para outra pasta | Mover | Uma mensagem foi movida para outra pasta. |
Mensagens movidas para a pasta Itens Excluídos | MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. |
Permissão de pasta modificada | UpdateFolderPermissions | Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da organização podem acessar as pastas de uma caixa de correio e as mensagens incluídas nessas pastas. |
Modificada regra de caixa de entrada do Outlook Web App | Set-InboxRule | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada usando o Outlook Web App. |
Mensagens limpas da caixa de correio | HardDelete | Uma mensagem foi limpa da pasta Itens Recuperáveis (permanentemente excluída da caixa de correio). |
Permissões de caixa de correio do representante removidas | Remove-MailboxPermission | Um administrador removeu a permissão FullAccess (que foi atribuída a um representante) da caixa de correio de uma pessoa. Depois que a permissão FullAccess for removida, o representante não pode abrir a caixa de correio de outra pessoa ou acessar nenhum conteúdo dela. |
Permissões removidas da pasta | RemoveFolderPermissions | Uma permissão da pasta foi removida. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. |
Mensagem enviada | Enviar | Uma mensagem foi enviada, respondida ou encaminhada. |
Mensagem enviada com permissões Enviar Como | SendAs | Uma mensagem foi enviada usando a permissão SendAs. Isto significa que outro usuário enviou a mensagem como se ela tivesse vindo do proprietário da caixa de correio. |
Mensagem enviada com permissões Enviar em Nome de | SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. Isto significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente enviou a mensagem. |
Regras atualizadas da caixa de entrada do cliente do Outlook | UpdateInboxRules | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada no cliente do Outlook. |
Mensagem atualizada | Atualizar | Uma mensagem ou suas propriedades foram alteradas. |
Usuário entrou na caixa de correio | MailboxLogin | O usuário entrou em sua caixa de correio. |
Etiquetar a mensagem como um registro | Um usuário aplicou um rótulo de retenção a uma mensagem de e-mail, e essa etiqueta é configurada para marcar o item como um registro. |
Contas do sistema em registros de auditoria de caixa de correio do Exchange
Em registros de auditoria para algumas atividades de caixa de correio (especialmente Add-MailboxPermissions), você pode notar que o usuário que realizou a atividade (e é identificado nos campos User e UserId) é NT AUTHORITY\SYSTEM ou NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Isso indica que o "usuário" que realizou a atividade era uma conta do sistema no serviço do Exchange na nuvem da Microsoft. Essa conta do sistema geralmente executa tarefas de manutenção agendadas em nome da organização. Por exemplo, uma atividade auditada comum executada pela conta NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) é para atualizar as permissões na DiscoverySearchMailbox, que é uma caixa de correio do sistema. O objetivo dessa atualização é verificar se a permissão FullAccess (que é o padrão) é atribuída ao grupo de função do Gerenciamento de Descoberta para o DiscoverySearchMailbox. Garante que os administradores de Deteção de Dados Eletrónicos podem realizar as tarefas necessárias na organização.
Outra conta de utilizador do sistema que pode ser identificada num registo de auditoria para Add-MailboxPermission é Administrator@apcprd03.prod.outlook.com. Essa conta de serviço também está incluída nos registros de auditoria de caixa de correio relacionados à verificação e atualização da permissão FullAccess que é atribuída ao grupo de função do Gerenciamento de Descoberta para a caixa de correio do sistema DiscoverySearchMailbox. Especificamente, os registos de auditoria que identificam a Administrator@apcprd03.prod.outlook.com conta são normalmente acionados quando o pessoal de suporte da Microsoft executa uma ferramenta de diagnóstico de controlo de acesso baseado em funções em nome da sua organização.
Atividades de arquivo e página
A tabela a seguir descreve as atividades de arquivo e página do SharePoint Online e do OneDrive for Business.
Nome amigável | Operação | Descrição |
---|---|---|
Arquivo acessado | FileAccessed | O usuário ou a conta do sistema acessa um arquivo. Assim que um utilizador aceder a um ficheiro, o evento FileAccessed não é novamente registado para o mesmo utilizador para o mesmo ficheiro durante os próximos cinco minutos. |
(nenhuma) | FileAccessedExtended | Isso está relacionado à atividade "Arquivo acessado" (FileAccessed). Um evento FileAccessedExtended é registrado em log quando a mesma pessoa acessa continuamente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileAccessedExtended em log é reduzir o número de eventos FileAccessed registrados quando um arquivo é acessado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileAccessed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileAccessed inicial (e mais importante). |
Mudança no rótulo de retenção de um arquivo | ComplianceSettingChanged | Um rótulo de retenção foi aplicado ou removido de um documento. Este evento é acionado quando uma etiqueta de retenção é aplicada manualmente ou automaticamente a uma mensagem. |
Status de registro alterado para bloqueado | LockRecord | O status do registro de um rótulo de retenção que classifica um documento como um registro foi bloqueado. Isso significa que o documento não pode ser modificado ou excluído. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento. |
Status de registro alterado para desbloqueado | UnlockRecord | O status do registro de um rótulo de retenção que classifica um documento como um registro foi debloqueado. Isso significa que o documento pode ser modificado ou excluído. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento. |
Arquivo com check-in | FileCheckedIn | O usuário faz check-in de um documento que estava em check-out em uma biblioteca de documentos. |
Arquivo em check-out | FileCheckedOut | O usuário faz check-out de um documento localizado em uma biblioteca de documentos. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles. |
Arquivo copiado | FileCopied | O usuário copia um documento de um site. O arquivo copiado pode ser salvo em outra pasta no site. |
Arquivo excluído | FileDeleted | O usuário exclui um documento de um site. |
Arquivo excluído da Lixeira | FileDeletedFirstStageRecycleBin | O usuário exclui um arquivo da lixeira de um site. |
Arquivo excluído da Lixeira de segundo estágio | FileDeletedSecondStageRecycleBin | O usuário exclui um arquivo da lixeira de segundo estágio de um site. |
Arquivo excluído marcado como um registro | RecordDelete | Um documento marcado como um registro foi excluído. Um documento é considerado um registro quando o rótulo de retenção, que marca itens como um registro, é aplicado ao conteúdo. |
Incompatibilidade de confidencialidade em documento detectada | DocumentSensitivityMismatchDetected | O usuário carrega um documento em um site protegido com um rótulo de sensibilidade e o documento possui um rótulo de sensibilidade de prioridade mais alta que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Confidencial é carregado em um site chamado Geral. Esse evento não é acionado se o documento tiver um rótulo de sensibilidade de prioridade mais baixo que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Geral é carregado em um site chamado Confidencial. Para obter mais informações sobre a prioridade dos rótulos de sensibilidade, consulte Prioridade de rótulo (questões do pedido). |
Malware detectado no arquivo | FileMalwareDetected | O mecanismo de antivírus do SharePoint detecta malwares em um arquivo. |
Check-out de arquivo descartado | FileCheckOutDiscarded | O utilizador elimina (ou anula) um ficheiro com saída dada. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos. |
Arquivo baixado | FileDownloaded | O usuário baixa um documento de um site. |
Arquivo modificado | FileModified | O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento em um site. O sistema aguarda cinco minutos antes de registrar outro evento FileModified quando o mesmo usuário modifica o conteúdo ou as propriedades do mesmo documento. |
(nenhum) | FileModifiedExtended | Isso está relacionado à atividade "Arquivo modificado" (FileModified). Um evento FileModifiedExtended é registrado em log quando a mesma pessoa modifica continuamente um arquivo por um longo período (até 3 horas). O propósito de registrar eventos FileModifiedExtended em log é reduzir o número de eventos FileModified registrados quando um arquivo é modificado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileModified para o que é essencialmente a mesma atividade do usuário e permite que você se concentre no evento FileModified inicial (e mais importante). |
Arquivo movido | FileMoved | O usuário move um documento de sua localização atual em um site até uma nova localização. |
(nenhum) | FilePreviewed | O usuário visualiza documentos em um site do SharePoint ou OneDrive for Business. Esses eventos geralmente ocorrem em grandes volumes com base em uma única atividade, como a exibição de uma galeria de imagens. |
Consulta de pesquisa realizada | SearchQueryPerformed | O usuário ou a conta do sistema realiza uma pesquisa no SharePoint ou OneDrive for Business. Alguns cenários comuns em que uma conta de serviço efetua uma consulta de pesquisa incluem a aplicação de uma deteção de dados eletrónicos e a política de retenção a sites e contas do OneDrive e a aplicação automática de etiquetas de retenção ou confidencialidade ao conteúdo do site. Para ativar o registo para esta atividade, veja Introdução às soluções de auditoria. |
Um arquivo reciclado | FileRecycled | O usuário move um arquivo para a Lixeira do SharePoint. |
Uma pasta reciclada | FolderRecycled | O usuário move uma pasta para a Lixeira do SharePoint. |
Todas as versões secundárias do arquivo foram recicladas | FileVersionsAllMinorsRecycled | O usuário exclui todas as versões secundárias do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site. |
Todas as versões do arquivo foram recicladas | FileVersionsAllRecycled | O usuário exclui todas as versões do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site. |
Versão do arquivo reciclada | FileVersionRecycled | O usuário exclui uma versão do histórico de versões de um arquivo. A versão excluída é movida para a lixeira do site. |
Arquivo renomeado | FileRenamed | O usuário renomeia um documento. |
Arquivo restaurado | FileRestored | O usuário restaura um documento da lixeira de um site. |
Arquivo carregado | FileUploaded | O usuário carrega um documento em uma pasta em um site. |
Página exibida | PageViewed | O usuário exibe uma página no site. Isso não inclui usar um navegador da Web para exibir arquivos localizados em uma biblioteca de documentos. Quando um utilizador vê uma página, o evento PageViewed não é novamente registado para o mesmo utilizador para a mesma página durante os próximos cinco minutos. |
(nenhum) | PageViewedExtended | Isso está relacionado à atividade "Página exibida" (PageViewed). Um evento PageViewedExtended é registrado em log quando a mesma pessoa exibe continuamente uma página da Web por um longo período (até 3 horas). O propósito de registrar eventos PageViewedExtended em log é reduzir o número de eventos PageViewed registrados quando uma página é exibida continuamente. Isso ajuda a reduzir o ruído de vários registros de PageViewed para o que é essencialmente a mesma atividade do usuário e permite que você se concentre no evento PageViewed inicial (e mais importante). |
Exibição sinalizada pelo cliente | ClientViewSignaled | Um cliente do usuário (por exemplo, site ou aplicativo móvel) sinalizou que a página indicada foi exibida pelo usuário. Essa atividade geralmente é registrada após um evento PagePrefetched para uma página. OBSERVAÇÃO: Como os eventos ClientViewSignaled são sinalizados pelo cliente, em vez do servidor, é possível que ele não seja registrado pelo servidor e, portanto, pode não aparecer no log de auditoria. Também é possível que as informações do registro de auditoria não sejam confiáveis. No entanto, como a identidade do usuário é validada por um token usado para criar o sinal, a identidade do usuário listada no registro de auditoria correspondente é precisa. O sistema aguarda cinco minutos antes de registrar o mesmo evento quando o cliente do mesmo usuário sinaliza que a página foi exibida novamente pelo usuário. |
(nenhum) | PagePrefetched | O cliente do usuário (por exemplo, site ou aplicativo móvel) solicitou a página indicada para ajudar a melhorar o desempenho se o usuário navegar por ela. Este evento é registrado para indicar que o conteúdo da página foi servido ao cliente do usuário. Esse evento não é um indício definitivo de que o usuário navegou pela página. Quando o conteúdo da página é renderizado pelo cliente (conforme a solicitação do usuário), um evento ClientViewSignaled deve ser gerado. Nem todos os clientes suportam a indicação de um pré-bloqueio e, por conseguinte, algumas atividades pré-selecionadas podem, em vez disso, ser registadas como eventos PageViewed. |
Perguntas frequentes sobre eventos do FileAccessed e FilePreviewed
Alguma atividade de não usuário pode acionar registros de auditoria FilePreviewed que contêm um agente de usuário como "OneDriveMpc-Transform_Thumbnail"?
Não temos conhecimento de cenários em que as ações nonuser geram eventos como estes. As ações do utilizador, como abrir um perfil de utilizador card (ao selecionar o respetivo nome ou endereço de e-mail numa mensagem no Outlook na Web) gerariam eventos semelhantes.
As chamadas para o OneDriveMpc-Transform_Thumbnail são sempre acionadas intencionalmente pelo usuário?
Não. No entanto, eventos semelhantes podem ser registados como resultado do pré-bloqueio do browser.
Se virmos um evento FilePreviewed vindo de um endereço IP registrado pela Microsoft, isso significa que a visualização foi exibida na tela do dispositivo do usuário?
Não. O evento pode ter sido registado como resultado do pré-bloqueio do browser.
Existem cenários em que um usuário visualizando um documento gera eventos FileAccessed?
Ambos eventos FilePreviewed e FileAccessed indicam que a chamada de um usuário levou à leitura do arquivo (ou leitura de uma renderização em miniatura do arquivo). Embora esses eventos tenham a intenção de se alinhar com a intenção de visualização vs. intenção de acesso, a distinção do evento não é uma garantia da intenção do usuário.
O utilizador app@sharepoint nos registos de auditoria
Nos registros de auditoria para algumas atividades de arquivo (e outras atividades relacionadas ao SharePoint), você pode perceber que o usuário que executou a atividade (identificado nos campos Usuário e ID do usuário) é app@sharepoint. Isso indica que o "usuário" que executou a atividade é um aplicativo. Nesse caso, o aplicativo recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Esse processo de conceder permissões a um aplicativo é chamado de acesso Somente Aplicativo do SharePoint. Isso indica que a autenticação apresentada ao SharePoint para executar uma ação foi realizada por um aplicativo, em vez de um usuário. É por isso que o usuário app@sharepoint é identificado em determinados registros de auditoria. Para obter mais informações, confira Conceder acesso usando Somente Aplicativo do SharePoint.
Por exemplo, app@sharepoint é frequentemente identificado como o usuário dos eventos "Consulta de pesquisa realizada" e "Arquivo acessado". Isso ocorre porque um aplicativo com acesso Somente Aplicativo do SharePoint em sua organização realiza consultas de pesquisa e acessa arquivos ao aplicar políticas de retenção a sites e contas do OneDrive.
Aqui estão alguns outros cenários em que app@sharepoint pode ser identificado em um registro de auditoria como o usuário que executou uma atividade:
- Grupos do Microsoft 365. Quando um usuário ou administrador cria um novo grupo, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint. Essas tarefas são executadas em nome do usuário que criou o grupo.
- Microsoft Teams. Semelhante aos grupos do Microsoft 365, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint quando uma equipe é criada.
- Funcionalidades de conformidade. Quando um administrador implementa funcionalidades de conformidade, como políticas de retenção, deteção de dados eletrónicos e etiquetas de confidencialidade de aplicações automáticas.
Neste e em outros cenários, você também notará que vários registros de auditoria com o usuário especificado como app@sharepoint foram criados dentro de um período de tempo muito curto, geralmente dentro de alguns segundos. Isso também indica que provavelmente eles foram disparados pela mesma tarefa iniciada pelo usuário. Além disso, os campos ApplicationDisplayName e EventData no registro de auditoria podem ajudar a identificar o cenário ou aplicativo que acionou o evento.
Atividades de pasta
A tabela a seguir descreve as atividades de pasta do SharePoint Online e do OneDrive for Business. Conforme explicado anteriormente, os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
Nome amigável | Operação | Descrição |
---|---|---|
Pasta copiada | FolderCopied | O usuário copia uma pasta de um site para outro local do SharePoint ou do OneDrive for Business. |
Pasta criada | FolderCreated | O usuário cria uma pasta no site. |
Pasta excluída | FolderDeleted | O usuário exclui uma pasta do site. |
Pasta excluída da Lixeira | FolderDeletedFirstStageRecycleBin | O usuário exclui uma pasta da Lixeira no site. |
Pasta excluída da Lixeira de segundo estágio | FolderDeletedSecondStageRecycleBin | O usuário exclui uma pasta da Lixeira de segundo estágio no site. |
Pasta modificada | FolderModified | O usuário modifica uma pasta no site. Isso inclui alterar os metadados da pasta, como propriedades e marcas. |
Pasta movida | FolderMoved | O usuário move uma pasta para um local diferente no site. |
Pasta renomeada | FolderRenamed | O usuário renomeia uma pasta no site. |
Pasta restaurada | FolderRestored | O usuário restaura uma pasta da lixeira de um site. |
Atividades das barreiras de informação
A tabela a seguir lista as atividades nas barreiras de informação registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre as barreiras de informação, consulte Saiba mais sobre as barreiras de informação no Microsoft 365.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Definição AppBypassInformationBarrier alterada para o inquilino | AppBypassInformationBarrier | Um administrador global ou do SharePoint alterou o acesso de aplicações para sites do SharePoint. |
Modo de barreira de informações aplicado ao site | SiteIBModeSet | Um administrador global ou do SharePoint aplicou um modo ao site. |
Segmentos aplicados ao site | SiteIBSegmentsSet | Um administrador global, do SharePoint ou proprietário de site adicionou um ou mais segmentos de barreiras de informação a um site. |
Alteração do modo de barreira de informações do site | SiteIBModeChanged | Um administrador global ou do SharePoint atualizou o modo do site. |
Segmentos alterados do site | SiteIBSegmentsChanged | Um administrador global ou do SharePoint alterou um ou mais segmentos de barreiras de informação para um site. |
Barreiras de informações desativadas para o SharePoint e o OneDrive | SPOIBIsDisabled | Um administrador global ou do SharePoint desativou barreiras de informações para o SharePoint e o OneDrive na organização. |
Barreiras de informações ativadas para o SharePoint e o OneDrive | SPOIBIsEnabled | Um administrador global ou do SharePoint desativou barreiras de informações para o SharePoint e o OneDrive na organização. |
Relatório de informações sobre barreiras de informação concluído | InformationBarriersInsightsReportCompleted | O sistema conclui a compilação do relatório de informações sobre barreiras de informação. |
Informações sobre barreiras de informações reportam a secção do OneDrive consultada | InformationBarriersInsightsReportOneDriveSectionQueried | Um administrador consulta o relatório de informações das barreiras de informações das contas do OneDrive. |
Relatório de informações sobre barreiras de informação agendado | InformationBarriersInsightsReportSchedule | Um administrador agenda o relatório de informações das barreiras de informação. |
Informações barreiras de informações reportam secção do SharePoint consultada | InformationBarriersInsightsReportSharePointSectionQueried | Um administrador consulta o relatório de informações das barreiras de informações dos sites do Sharepoint. |
Segmento removido do site | SiteIBSegmentsRemoved | Um administrador global ou do SharePoint removeu um ou mais segmentos de barreiras de informação de um site. |
atividades de Backup do Microsoft 365
A tabela seguinte lista as atividades no Backup do Microsoft 365 que são registadas no registo de auditoria do Microsoft 365. Backup do Microsoft 365 foi concebido para garantir que os dados da sua organização estão sempre protegidos e facilmente recuperáveis. Para obter mais informações sobre Backup do Microsoft 365, consulte Descrição geral do Backup do Microsoft 365.
Nome amigável | Operação | Descrição |
---|---|---|
Ativado uma Política de Cópia de Segurança | BackupPolicyActivated | Uma política de Backup do Microsoft 365 é ativada a partir de um estado inativo. |
Tarefa de Restauro de Rascunho Ativada | RestoreTaskActivated | É ativada uma tarefa de restauro de rascunho para Backup do Microsoft 365. É uma operação de execução prolongada. |
Item de Cópia de Segurança Criado | BackupItemAdded | Um ou mais itens de cópia de segurança são adicionados a uma política de Backup do Microsoft 365. |
Item de Cópia de Segurança Removido | BackupItemRemoved | Um ou mais itens de cópia de segurança são/são removidos de uma política de Backup do Microsoft 365. |
Tarefa de Restauro Concluída | RestoreTaskCompleted | Uma tarefa de restauro é concluída no Backup do Microsoft 365. |
Tarefa de Restauro de Rascunho Criada | DraftRestoreTaskCreated | É criada uma tarefa de restauro no Backup do Microsoft 365. Por predefinição, a tarefa de restauro é criada como rascunho. |
Nova política de Cópia de Segurança criada | NewBackupPolicyCreated | Uma nova política de Backup do Microsoft 365 foi criada por um Administração Global. Por predefinição, é criada uma política de cópia de segurança num estado inativo. |
Eliminou uma Política de Cópia de Segurança | BackupPolicyDeleted | Uma política de Backup do Microsoft 365 é eliminada. |
Tarefa de Restauro de Rascunho Eliminada | DraftRestoreTaskDeleted | Uma tarefa de restauro de rascunho é eliminada no Backup do Microsoft 365. |
Editou uma Política de Cópia de Segurança | BackupPolicyEdited | É atualizada uma política de Backup do Microsoft 365. As políticas de cópia de segurança são atualizadas por qualquer uma das seguintes ações: 1. Mudar o nome da política. 2. Adicione uma ou mais unidades de proteção. 3. A remover uma ou mais unidades de proteção. |
Tarefa de Restauro de Rascunho Editada | DraftRestoreTaskEdited | Uma tarefa de restauro de rascunho é editada no Backup do Microsoft 365. |
Colocar uma Política de Cópia de Segurança em Pausa | BackupPolicyPaused | Uma política de Backup do Microsoft 365 é colocada em pausa a partir do estado ativo. |
Item de Cópia de Segurança obtido programaticamente | GetBackupItem | O utilizador pede a cópia de segurança da unidade de proteção através de Backup do Microsoft 365 programaticamente. |
Obteve programaticamente Detalhes da Política de Cópias de Segurança | ViewBackupPolicyDetails | Os detalhes de uma política de Backup do Microsoft 365 são acedidos programaticamente. |
Programmaticamente obteve Detalhes da Tarefa de Restauro | GetRestoreTaskDetails | Um utilizador pede detalhes da tarefa de restauro pelo respetivo identificador no Backup do Microsoft 365. |
Obteve programaticamente a lista de todas as Políticas de Cópia de Segurança | ListAllBackupPolicies | Um utilizador obtém programaticamente a lista de todas as políticas de cópia de segurança com Backup do Microsoft 365. |
Obteve programaticamente a lista de Itens de Cópia de Segurança em Políticas de Cópia de Segurança | ListAllBackupItemsInPolicies | É pedida programaticamente uma lista de todas as unidades de proteção presentes numa política de cópia de segurança no Backup do Microsoft 365. |
Foi apresentada programaticamente a lista de Itens de Cópia de Segurança no Inquilino | ListAllBackupItemsInTenant | Um utilizador obtém programaticamente a lista de todas as unidades de proteção na organização com Backup do Microsoft 365. |
Obteve programaticamente a lista de Itens de Cópia de Segurança na Carga de Trabalho | ListAllBackupItemsInWorkload | Um utilizador obtém programaticamente a lista de todas as unidades de proteção na carga de trabalho (SharePoint, OneDrive ou Exchange) com Backup do Microsoft 365. |
Foi apresentada programaticamente a lista de Itens de Restauro na Tarefa de Restauro | GetAllRestoreArtifactsInTask | Um utilizador obtém programaticamente todos os artefactos numa tarefa de restauro no Backup do Microsoft 365. |
Lista de Pontos de Restauro obtidos programaticamente | ListAllRestorePoints | Um utilizador obtém programaticamente todos os pontos de restauro no Backup do Microsoft 365. Os Pontos de Restauro representam o carimbo de data/hora quando um artefacto está protegido (por Política de Proteção). Apenas os Administradores Globais têm acesso. |
Foi apresentada programaticamente a lista de Tarefas de Restauro | ListAllRestoreTasks | Um utilizador obtém programaticamente a lista de sessões de restauro existentes no Backup do Microsoft 365. Isto inclui a sessão de restauro criada para cada tipo de serviço inscrito na organização. |
Restauro do item de restauro concluído | BackupItemRestoreCompleted | O restauro de um item com cópia de segurança Backup do Microsoft 365 é concluído. |
Restauro de itens de restauro acionado | BackupItemRestoreTriggered | O restauro é acionado para um item com cópia de segurança com Backup do Microsoft 365. |
Microsoft Defender para Ponto de Extremidade atividades de definições gerais
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições gerais que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre as definições Microsoft Defender para Ponto de Extremidade, veja Configurar as definições gerais do Defender para Ponto Final.
Para ver Microsoft Defender para Ponto de Extremidade atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Pacote de exclusão transferido | DownloadOffboardingPkg | Transferiu o pacote utilizado para remover dispositivos do Defender para Endpoint. |
Pacote de inclusão transferido | DownloadOnboardingPkg | Transferiu o pacote utilizado para integrar dispositivos no Defender para Endpoint. |
Retenção de dados alterada | ChangeDataRetention | Editou as definições de retenção de dados do Defender para Endpoint. |
Definir funcionalidades avançadas | SetAdvancedFeatures | As funcionalidades avançadas alteradas no Defender para Endpoint permitem controlos mais precisos durante um incidente. Apenas as definições de funcionalidades avançadas que estão disponíveis em geral são registadas no registo de auditoria do Microsoft 365. |
atividades de definições de indicador Microsoft Defender para Ponto de Extremidade
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições de indicador que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade indicadores, veja Gerir indicadores.
Para ver Microsoft Defender para Ponto de Extremidade atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Indicador adicionado | AddIndicator | Criou um novo Indicador de compromisso que pode utilizar para controlar ataques e eventos. |
Indicador editado | EditIndicator | Editou um Indicador de comprometimento. |
Indicador eliminado | DeleteIndicator | Foi removido um Indicador de comprometimento. |
Microsoft Defender para Ponto de Extremidade atividades de ações de resposta
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade ações de resposta, incluindo resposta em direto, que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade ações de resposta, veja Tomar medidas de resposta num dispositivo.
Para ver Microsoft Defender para Ponto de Extremidade atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Pacote de investigação recolhido | CollectInvestigationPackage | Informações recolhidas sobre um dispositivo que é utilizado para compreender as ferramentas e técnicas de ataque. |
Análise do Antivírus executada | RunAntiVirusScan | Foi executada Microsoft Defender análise do Antivírus num dispositivo. |
Execução restrita de aplicações | RestrictAppExecution | Impedir a execução de uma aplicação maliciosa. |
Restrições de aplicações removidas | RemoveAppRestrictions | Permitir a execução de uma aplicação. |
Dispositivo isolado | IsolateDevice | Isolou um dispositivo da rede, ajudando a impedir a propagação de ataques. |
Libertado do isolamento | ReleaseFromIsolation | Foi adicionado um dispositivo isolado novamente à rede. |
Ficheiro parado e em quarentena | StopAndQuarantineFile | Colocou um ficheiro suspeito em quarentena para uma análise mais aprofundada. |
Arquivo baixado | DownloadFile | Transferiu um ficheiro suspeito para uma investigação mais aprofundada. |
Dispositivo offboarded | DeviceOffBoarding | Foi removido um dispositivo do Defender para Endpoint. |
API de resposta em direto executada | RunLiveResponseApi | Abriu uma sessão de resposta em direto através de uma chamada à API, abrindo uma shell remota num dispositivo. |
Registos Recolhidos | LogsCollection | Informações de registo recolhidas sobre o Defender para Endpoint. |
Ligação do ficheiro de resposta Get Live executada | LiveResponseGetFile | Abriu uma sessão de resposta em direto, abrindo uma shell remota num dispositivo. |
Sessão de resposta em direto executada | RunLiveResponseSession | Executou uma sessão de resposta em direto, abrindo uma shell remota num dispositivo. |
Microsoft Defender para Ponto de Extremidade atividades de definições de funções
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições de função que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre as funções no Microsoft Defender para Ponto de Extremidade, veja Criar e gerir funções para controlo de acesso baseado em funções.
Para ver Microsoft Defender para Ponto de Extremidade atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
AdicionarRole | Função adicionada | Foram adicionadas novas funções e permissões de segurança. |
EditArRole | Função editada | Funções e permissões de segurança editadas. |
EliminarRole | Função eliminada | Funções e permissões de segurança removidas. |
Microsoft Defender para atividades de Especialistas
A tabela seguinte lista as atividades no Microsoft Defender Especialistas que têm sessão iniciada no registo de auditoria do Microsoft 365. Para obter mais informações sobre especialistas em Microsoft Defender, consulte Saiba mais sobre Especialistas do Microsoft Defender para XDR e Saiba mais sobre Especialistas do Microsoft Defender para Busca
Nome amigável | Operação | Descrição |
---|---|---|
Permissão de analista de Especialistas em Defender criada | DefenderExpertsAnalystPermissionCreated | Um administrador concedeu uma ou mais permissões de função aos analistas de Especialistas do Defender para investigar incidentes ou remediar ameaças. |
Permissão de analista de Especialistas em Defender modificada | DefenderExpertsAnalystPermissionModified | Um administrador modificou as permissões de função para os analistas de Especialistas em Defender investigarem incidentes ou remediarem ameaças. |
atividades de Microsoft Defender para Identidade
A tabela seguinte lista as atividades de Microsoft Defender para Identidade que são registadas no registo de auditoria do Microsoft 365.
Para ver Microsoft Defender para Identidade atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Etiquetas de entidade atualizadas | TaggingConfigurationUpdated | Foi adicionada ou removida uma etiqueta de uma entidade. |
Configuração de exclusões adicionada | ExclusionConfigurationAdded | Foi adicionada uma exclusão global para um alerta ou para uma entidade. |
Configuração de exclusões atualizada | ExclusionConfigurationUpdated | Foi atualizada uma exclusão global para um alerta ou para uma entidade. |
Configuração de exclusões eliminadas | ExclusionConfigurationDeleted | Uma exclusão global foi eliminada para um alerta ou para uma entidade. |
Configuração atualizada do limiar de alerta | WorkspaceAlertThresholdLevelUpdated | A configuração dos limiares de alertas foi atualizada. |
Alerta de segurança transferido do Excel | AlertExcelDownloaded | O ficheiro detalhado do Excel de um alerta foi transferido. |
Ação de remediação adicionada | RemediationActionAdded | Foi adicionada uma ação de remediação à fila. |
Ação de remediação atualizada | RemediationActionUpdated | Foi concluída uma ação de remediação. |
Configuração do sensor atualizada | SensorConfigurationUpdated | A configuração de um sensor foi atualizada. |
Sensor adicionado | SensorCriado | Foi adicionado um novo sensor. |
Sensor removido | SensorDeleted | Um sensor foi eliminado. |
Chave de implementação do sensor obtida | SensorDeploymentAccessKeyReceived | A chave de acesso dos sensores foi obtida. |
Chave de implementação do sensor regenerado | SensorDeploymentAccessKeyUpdated | A chave de acesso dos sensores foi regenerada. |
Cobertura do Controlador de Domínio Transferido do Excel | DomainControllerCoverageExcelDownloaded | O ficheiro do Excel de cobertura do Controlador de Domínio foi transferido. |
Configuração da conta de serviços de diretório atualizada | DirectoryServicesAccountConfigurationUpdated | O conjunto de contas de Serviços de diretório foi modificado. |
Configuração da ação de remediação atualizada | RemediationActionConfigurationUpdated | O conjunto Gerir contas de ação foi modificado. |
Configuração de remediação de entidades atualizada | EntityRemediatorConfigurationUpdated | O modo Gerir contas de ação foi modificado. |
Problema de estado de funcionamento atualizado | MonitoringAlertUpdated | Foi modificado um problema de estado de funcionamento. |
Relatório baixado | RelatórioTransferido | Foi transferido um relatório. |
Configuração atualizada do jornalista | ReporterConfigurationUpdated | O agendamento de um relatório foi modificado. |
Configuração do reencaminhamento do syslog atualizada | SyslogServiceConfigurationUpdated | A configuração do reencaminhamento do syslog foi modificada. |
Configuração de notificação de segurança atualizada | NotificationConfigurationUpdated | A configuração de notificações de alertas de segurança ou problemas de estado de funcionamento foi modificada. |
Foi adicionado o destinatário da notificação de alerta | AlertNotificationsRecipientAdded | Foi adicionado um destinatário à configuração de notificação de alertas de segurança. |
Destinatário de notificação de alerta eliminado | AlertNotificationsRecipientDeleted | Um destinatário foi removido da configuração de notificação de alertas de segurança. |
Foi adicionado o destinatário da notificação de problemas de estado de funcionamento | MonitoringAlertNotificationRecipientAdded | Foi adicionado um destinatário à configuração de notificação de problemas de estado de funcionamento. |
Destinatário de notificação de problemas de estado de funcionamento eliminado | MonitoringAlertNotificationRecipientDeleted | Um destinatário foi removido da configuração de notificação de problemas de estado de funcionamento. |
Configuração de VPN atualizada | VpnConfigurationUpdated | A configuração da VPN (radius accounting) foi modificada. |
Configuração do RBAC Unificada atualizada | URbacAuthorizationStatusChanged | A configuração do Controle de Acesso Baseado em Funções Unificada foi modificada. |
Área de trabalho criada | Área de TrabalhoCriada | A área de trabalho foi criada. |
Área de trabalho eliminada | Área de TrabalhoDeletada | A área de trabalho foi eliminada. |
Microsoft Defender XDR atividades de deteção personalizadas
A tabela seguinte lista as atividades de deteção personalizadas para Microsoft Defender XDR que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender XDR deteções personalizadas, veja Criar e gerir regras de deteções personalizadas.
Para ver Microsoft Defender XDR atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Regra de deteção personalizada criada | CreateCustomDetection | Foi criada uma nova regra de deteção personalizada. |
Regra de deteção personalizada editada | EditArCustomDetection | Foi modificada uma regra de deteção personalizada. |
Regra de deteção personalizada alterada status | ChangeCustomDetectionRuleStatus | Uma regra de deteção personalizada foi desativada ou ativada. |
Regra de deteção personalizada executada | RunCustomDetection | Uma regra de deteção personalizada foi executada manualmente. |
Regra de deteção personalizada eliminada | DeleteCustomDetection | Uma regra de deteção personalizada foi removida. |
atividades de incidentes de Microsoft Defender XDR
A tabela seguinte lista as atividades de incidentes para Microsoft Defender XDR que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre incidentes no Microsoft Defender XDR, veja Descrição geral dos incidentes.
Para ver Microsoft Defender XDR atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Comentário adicionado ao incidente | AddCommentToIncident. | Foi adicionado um comentário ao incidente. |
Utilizador atribuído a incidente | AssignUserToIncident | Utilizador atribuído ao incidente. |
Incidente de utilizador não atribuído a | UnAssignUserFromIncident | Utilizador não atribuído ao incidente. |
Incidentes atualizados status | UpdateIncidentStatus | Status de incidentes atualizados. |
Editar classificação de incidentes | EditIncidentClassification | Editar classificação de incidentes. |
Foram adicionadas etiquetas ao incidente | AddTagsToIncident | Foram adicionadas etiquetas ao incidente. |
Etiquetas removidas do incidente | RemoveTagsFromIncident | Etiquetas removidas do incidente. |
atividades de regras de supressão de Microsoft Defender XDR
A tabela seguinte lista as atividades das regras de supressão para Microsoft Defender XDR que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre as regras de supressão no Microsoft Defender XDR, veja Gerir regras de supressão.
Para ver Microsoft Defender XDR atividades, o registo de auditoria unificado tem de estar ativado no portal do Microsoft Defender XDR. Para obter mais informações, veja Ativar o registo de auditoria unificado.
Nome amigável | Operação | Descrição |
---|---|---|
Regra de supressão criada | CreateSuppressionRule | Regra de supressão de alertas criada. |
Regra de supressão editada | EditSuppressionRule | Regra de supressão de alerta eliminada. |
Regra de supressão ativada | EnableSuppressionRule | Regra de supressão de alerta ativada. |
Regra de supressão desativada | DisableSuppressionRule | Regra de supressão de alertas desativada. |
Regra de supressão eliminada | DeleteSuppressionRule | Regra de supressão de alerta eliminada. |
atividades de administração de grupos de Microsoft Entra
A tabela a seguir lista as atividades de administração de grupos que são registradas quando um administrador ou um usuário cria ou altera um grupo do Microsoft 365 ou quando um administrador cria um grupo de segurança usando o Centro de administração do Microsoft 365 ou o portal de gerenciamento do Azure. Para obter mais informações sobre grupos no Microsoft 365, confira Exibir, criar e excluir grupos no Centro de administração do Microsoft 365.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( .
). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" "
) para conter o nome da operação.
Nome amigável | Operação | Descrição |
---|---|---|
Grupo adicionado | Adicione grupo. | Um grupo foi criado. |
Membro adicionado ao grupo | Adicione membro ao grupo. | Um membro foi adicionado a um grupo. |
Grupo excluído | Exclua o grupo. | Um grupo foi excluído. |
Membro removido do grupo | Remova membro do grupo. | Um membro foi removido de um grupo. |
Grupo atualizado | Atualize o grupo. | Uma propriedade de um grupo foi alterada. |
Atividades do Microsoft Fabric
Você pode pesquisar o log de auditoria das atividades do Power BI. Para obter informações sobre as definições de auditoria, veja Definições de inquilino de auditoria e utilização.
O registo de auditoria está ativado por predefinição para as organizações do Microsoft 365. Se a auditoria não estiver ativada para a sua organização, é apresentada uma faixa que lhe pede para começar a gravar a atividade de utilizador e administrador. Para obter instruções, consulte Ativar a auditoria.
Atividades do Microsoft Forms
A tabela a seguir lista as atividades de usuários e administradores no Microsoft Forms que estejam conectados ao log de auditoria. O Microsoft Forms é uma ferramenta de formulários/testes/pesquisa usada para coletar dados para análise. Onde indicado abaixo nas descrições, algumas operações contêm parâmetros adicionais de atividade.
Se uma atividade de Forms for realizada por um cocriador ou um participante anónimo, é registada de forma ligeiramente diferente. Para obter mais informações, confira a seção Atividades do Forms realizadas por coautores e respondentes anônimos.
Nome amigável | Operação | Descrição |
---|---|---|
Comentário criado | CreateComment | O proprietário do formulário adiciona um comentário ou pontuação a um teste. |
Formulário criado | CreateForm | O proprietário do formulário cria um novo formulário. A propriedade DataMode: a cadeia de caracteres indica que o formulário atual está definido para sincronizar com uma pasta de trabalho do Excel nova ou existente se o valor da propriedade for igual a DataSync. A propriedade ExcelWorkbookLink: a cadeia de caracteres indica a ID da pasta de trabalho do Excel associada ao formulário atual. |
Formulário editado | EditForm | O proprietário do formulário edita um formulário, criando, removendo ou editando uma pergunta. A propriedade EditOperation: cadeia de caracteres indica o nome da operação de edição. As operações possíveis são: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage inclui qualquer lugar dentro do Forms que o usuário pode carregar uma imagem, como em uma consulta ou como um tema de plano de fundo. |
Formulário movido | MoveForm | O proprietário do formulário move um formulário. A propriedade DestinationUserId:string indica a ID de usuário da pessoa que moveu o formulário. A propriedade NewFormId:string é a nova ID do formulário copiado recentemente. A propriedade IsDelegateAccess: booliano indica que a ação de movimentação do formulário atual é realizada por meio da página de delegado do administrador. |
Formulário excluído | DeleteForm | O proprietário do formulário exclui um formulário. Isso inclui SoftDelete (opção de exclusão usada e o formulário é movido para a lixeira) e HardDelete (a lixeira é esvaziada). |
Formulário exibido (tempo de design) | ViewForm | O proprietário do formulário abre um formulário existente para edição. A propriedade AccessDenied: booliano indica que o acesso do formulário atual foi negado devido à verificação de permissão. A propriedade FromSummaryLink: booliano indica que a solicitação atual vem da página do link de resumo. |
Formulário visualizado | PreviewForm | O proprietário do formulário visualiza um formulário usando a função Visualização. |
Formulário exportado | ExportForm | O proprietário do formulário exporta os resultados para o Excel. A propriedade ExportFormat:string indica se o arquivo do Excel foi baixado ou está online. |
Formulário de compartilhamento permitido para cópia | AllowShareFormForCopy | O proprietário do formulário cria um link de modelo para compartilhar o formulário com outros usuários. Este evento é registado quando o proprietário do formulário seleciona para gerar o URL do modelo. |
Formulário de compartilhamento não permitido para cópia | DisallowShareFormForCopy | O proprietário do formulário exclui o link do modelo. |
Coautor do formulário adicionado | AddFormCoauthor | Um usuário usa um link de colaboração para criar e exibir respostas. Esse evento é registrado em log quando um usuário usa uma URL de colaboração (não quando a URL de colaboração é gerada primeiro). |
Coautor do formulário removido | RemoveFormCoauthor | O proprietário do formulário exclui um link de colaboração. |
Página de resposta exibida | ViewRuntimeForm | O usuário abriu uma página de resposta para exibição. Esse evento é registrado independentemente de o usuário enviar uma resposta ou não. |
Resposta criada | CreateResponse | Semelhante a receber uma nova resposta. Um usuário enviou uma resposta a um formulário. A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
Resposta atualizada | UpdateResponse | O proprietário do formulário atualizou um comentário ou uma pontuação em um teste. A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
Todas as respostas excluídas | DeleteAllResponses | O proprietário exclui todos os dados de resposta. |
Resposta excluída | DeleteResponse | O proprietário do formulário exclui uma resposta. A propriedade ResponseId:string indica qual resposta está sendo excluída. |
Respostas exibidas | ViewResponses | O proprietário do formulário exibe a lista agregada de respostas. A propriedade ViewType:string indica se o proprietário do formulário está exibindo Detalhes ou Agregação |
Resposta exibida | ViewResponse | O proprietário do formulário exibe uma resposta específica. A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
Link de resumo criado | GetSummaryLink | O proprietário do formulário cria links de resumo para compartilhar resultados. |
Link de resumo excluído | DeleteSummaryLink | O proprietário do formulário exclui o link de resultados de resumo. |
Formulário de status de phishing atualizado | UpdatePhishingStatus | Este evento é registrado sempre que o valor detalhado para o status de segurança interna for alterado, independentemente de isso ter alterado o estado de segurança final (por exemplo, o formulário agora está Fechado ou Aberto). Isso significa que você pode ver eventos duplicados sem uma alteração final do estado de segurança. Os valores de status possíveis para este evento são: - Derrubar - Retirado por Administrador - Administrador Desbloqueado - Auto Bloqueado - Auto Desbloqueado - Relatado pelo Cliente -Redefinir Cliente Relatado |
Status de phishing do usuário atualizado | UpdateUserPhishingStatus | Este evento é registrado sempre que o valor do status de segurança do usuário é alterado. O valor do status do usuário no registro de auditoria é Confirmado como Phisher quando o usuário criou um formulário de phishing que foi removido pela equipe de segurança do Microsoft Online. Se um administrador desbloquear o usuário, o valor do status do usuário é definido como Redefinir como Usuário Normal. |
Convite do Forms Pro enviado | ProInvitation | O utilizador seleciona para ativar uma versão de avaliação Pro. |
Configuração do formulário atualizado | UpdateFormSetting | O proprietário do formulário atualiza uma ou várias configurações de formulário. A propriedade FormSettingName: cadeia de caracteres indica o nome das configurações confidenciais atualizadas. A propriedade NewFormSettings: cadeia de caracteres indica o nome das configurações atualizadas e o novo valor. A propriedade thankYouMessageContainsLink:boolean indica que a mensagem de agradecimento atualizada contém um link de URL. |
Configuração de usuário atualizada | UpdateUserSetting | O proprietário do formulário atualiza a configuração de um usuário. A propriedade UserSettingName:string indica o nome e o novo valor da configuração |
Formulários listados | ListForms | O proprietário do formulário está exibindo uma lista de formulários. A propriedade ViewType:string indica qual exibição o proprietário do formulário está olhando: Todos os Formulários, Compartilhado Comigo ou Formulários de Grupo |
Resposta enviada | SubmitResponse | Um usuário envia uma resposta a um formulário. A propriedade IsInternalForm:boolean indica se o respondente é da mesma organização que o proprietário do formulário. |
Habilitado, qualquer pessoa pode responder a configuração | AllowAnonymousResponse | O proprietário do formulário ativa a configuração que permite que qualquer pessoa responda ao formulário. |
Qualquer pessoa desabilitada pode responder configuração | DisallowAnonymousResponse | O proprietário do formulário desativa a configuração, permitindo que qualquer pessoa responda ao formulário. |
Pessoas específicas habilitadas podem responder configuração | EnableSpecificResponse | O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário. |
Pessoas específicas com deficiência podem responder a configuração | DisableSpecificResponse | O proprietário do formulário desativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário. |
Respondente específico adicionado | AddSpecificResponder | O proprietário do formulário adiciona um novo usuário ou grupo à lista de respondentes específica. |
Respondente específico removido | RemoveSpecificResponder | O proprietário do formulário remove um usuário ou grupo da lista de respondentes específica. |
Colaboração com deficiência | DisableCollaboration | O proprietário do formulário desativa a configuração de colaboração no formulário. |
Habilitou a colaboração de conta corporativa ou de estudante do Office 365 | EnableWorkOrSchoolCollaboration | O proprietário do formulário ativa a configuração que permite aos usuários com uma conta corporativa ou de estudante do Microsoft 365 exibir e editar o formulário. |
Pessoas habilitadas na colaboração da minha organização | EnableSameOrgCollaboration | O proprietário do formulário ativa a configuração que permite aos usuários na organização atual exibir e editar o formulário. |
Habilitou a colaboração de pessoas específicas | EnableSpecificCollaboaration | O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual vejam e editem o formulário. |
Conectado à pasta de trabalho do Excel | ConnectToExcelWorkbook | Conectou o formulário a uma pasta de trabalho do Excel. A propriedade ExcelWorkbookLink: a cadeia de caracteres indica a ID da pasta de trabalho do Excel associada ao formulário atual. |
Criou uma coleção | CollectionCreated | O proprietário do formulário criou uma coleção. |
Atualizou uma coleção | CollectionUpdated | O proprietário do formulário atualizou uma propriedade de coleção. |
Excluiu a coleção da lixeira | CollectionHardDeleted | O proprietário do formulário excluiu uma coleção da Lixeira. |
Coleção movida para a lixeira | CollectionSoftDeleted | O proprietário do formulário moveu uma coleção para a Lixeira. |
Renomeou uma coleção | CollectionRenamed | O proprietário do formulário alterou o nome de uma coleção. |
Moveu um formulário para a coleção | MovedFormIntoCollection | O proprietário do formulário moveu um formulário para uma coleção. |
Moveu um formulário para fora da coleção | MovedFormOutofCollection | O proprietário do formulário moveu um formulário de uma coleção. |
Atividades do Forms realizadas por coautores e respondentes anônimos
Os formulários oferecem suporte à colaboração quando os formulários são projetados e ao analisar as respostas. Um colaborador de formulário é conhecido como um coautor. Os coautores podem fazer tudo o que um proprietário de formulário pode fazer, exceto excluir ou mover um formulário. O Forms também permite criar um formulário que pode ser respondido anonimamente. Isso significa que o respondente não precisa estar conectado à sua organização para responder a um formulário.
A tabela a seguir descreve as atividades e informações de auditoria no registro de auditoria para atividades executadas por coautores e respondentes anônimos.
Tipo de atividade | Usuário interno ou externo | Identificação do usuário que está conectado | Organização conectada a | Tipo de usuário de formulários |
---|---|---|---|---|
Atividades de coautoria | Interno | UPN | Organização do proprietário do formulário | Coautor |
Atividades de coautoria | Externo | UPN |
Organização da coautoria |
Coautor |
Atividades de coautoria | Externo | urn:forms:coauthor#a0b1c2d3@forms.office.com (A segunda parte do ID é um hash, que será diferente para cada usuários) |
Organização do proprietário do formulário |
Coautor |
Atividades de resposta | Externo | UPN |
Organização do respondente |
Respondente |
Atividades de resposta | Externo | urn:forms:external#a0b1c2d3@forms.office.com (A segunda parte do ID do usuário é um hash, que será diferente para cada usuário) |
Organização do proprietário do formulário | Respondente |
Atividades de resposta | Anônimo | urn:forms:anonymous#a0b1c2d3@forms.office.com (A segunda parte do ID do usuário é um hash, que será diferente para cada usuário) |
Organização do proprietário do formulário | Respondente |
Microsoft Graph Data Connect
A tabela seguinte lista as atividades de utilizador e administrador no Microsoft Graph Data Connect que são registadas para auditoria. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Nome amigável | Operação | Descrição |
---|---|---|
Aprovou ou negou uma aplicação | ConsentModificationRequest | Um utilizador efetuou um pedido de modificação de consentimento. |
Extração executada | DataAccessRequestOperation | Um utilizador efetuou uma extração. Os conjuntos de dados de parceiros e as execuções de ISV são excluídos. |
atividades de Microsoft Planner
A tabela seguinte lista as atividades de utilizador e administrador no Microsoft Planner que são registadas para auditoria. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Observação
A atividade de portefólio no Planner é registada com a atividade de mapa de objetivos do Microsoft Project para Web. Para obter detalhes, consulte a secção Atividades do Microsoft Project para a Web.
Nome amigável | Operação | Descrição |
---|---|---|
Ler um plano | PlanRead | Um plano é lido por um utilizador ou uma aplicação. Se a operação de leitura for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid e ContainerId indica nulo. |
Criou um plano | PlanCreated | Um plano é criado por um utilizador ou uma aplicação. Se a operação de criação for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indica nulo, ContainerType indica ContainerType.Invalid e ContainerId indica nulo. |
Modificou um plano | PlanModified | Um plano é modificado por um utilizador ou uma aplicação. |
Eliminou um plano | PlanDeleted | Um plano é eliminado por um utilizador ou uma aplicação. |
Copiou um plano | PlanCopied | Um plano é copiado por um utilizador ou uma aplicação. Se a operação de cópia for ResultStatus.Failure ou ResultStatus.Failure, newPlanId indica nulo, newContainerType indica ContainerType.Invalid e newContainerId indica nulo. |
Ler uma tarefa | TaskRead | Uma tarefa é lida por um utilizador ou uma aplicação. Se a operação de leitura for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanId indica nulo. |
Criou uma tarefa | TarefaCriada | Uma tarefa é criada por um utilizador ou uma aplicação. Se a operação de criação for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indica nulo e PlanId indica nulo. |
Modificar uma tarefa | TarefaModificada | Uma tarefa é modificada por um utilizador ou uma aplicação. |
Eliminou uma tarefa | TaskDeleted | Uma tarefa é eliminada por um utilizador ou uma aplicação. |
Atribuiu uma tarefa | Tarefa Atribuída | O destinatário de uma tarefa é modificado por um utilizador ou uma aplicação. Pode ser uma tarefa não atribuída a ser atribuída ou uma tarefa atribuída tem um novo destinatário. |
Concluída uma tarefa | TaskCompleted | Uma tarefa é marcada como concluída por um utilizador ou uma aplicação. |
Criou uma lista | ListaCriada | Uma lista é criada por um utilizador ou uma aplicação. Se a operação de criação for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indica nulo, MemberIds indica uma cadeia vazia. |
Lista eliminada | ListaDeletada | Uma lista é eliminada por um utilizador ou uma aplicação. |
Foi adicionado um(s) membro(s) a uma lista | RosterMemberAdded | É adicionado um(s) membro(s) a uma lista. Se a operação de adição for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indica a lista de IDs de membro tentados. |
Foi removido um(s) membro(s) para uma lista | RosterMemberDeleted | Um(s) membro(s) é removido de uma lista. Se a operação de remoção for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indica a lista de IDs de membro tentados. |
Ler uma lista de planos | PlanListRead | Uma lista de planos é consultada por um utilizador ou uma aplicação. Se a operação de consulta for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanList indica uma cadeia vazia. |
Ler uma lista de tarefas | TaskListRead | Uma lista de tarefas é consultada por um utilizador ou uma aplicação. Se a operação de consulta for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, TaskList indica uma cadeia vazia. |
Definições de inquilino atualizadas | TenantSettingsUpdated | As definições do inquilino são atualizadas por um administrador de inquilinos. Se a operação de atualização for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indica as definições originais e TenantSettings indica as definições do inquilino tentadas. |
Etiqueta de confidencialidade de uma lista atualizada | RosterSensitivityLabelUpdated | Um utilizador ou uma aplicação atualiza a etiqueta de confidencialidade de uma lista. |
Atividades do Microsoft Power Apps
Você pode pesquisar o log de auditoria de atividades relacionadas a aplicativos no Power Apps. Essas atividades incluem criar, iniciar e publicar um aplicativo. Atribuir permissões a aplicativos também é auditado. Para obter uma descrição de todas as atividades do Power Apps, confira Log de atividades do Power Apps.
Observação
Os eventos de auditoria de Políticas de Alerta (Alerta de Proteção) (RecordType:45) não são atualmente suportados para PowerApps.
Atividades do Microsoft Power Automate
Você pode pesquisar o log de auditoria para atividades no Power Automate (anteriormente chamado Microsoft Flow). Essas atividades incluem criar, editar e excluir fluxos, e alterar as permissões de fluxo. Para obter informações sobre a auditoria das atividades do Power Automate, veja o blogue Eventos de auditoria do Power Automate agora disponíveis no portal de conformidade.
Atividades do Microsoft Project para a Web
Pode procurar atividades no registo de auditoria no Microsoft Project para a Web. O Microsoft Project para a Web baseia-se no Microsoft Dataverse e tem um Project Power App associado. Para ativar a auditoria para cenários em que o utilizador está a utilizar o Microsoft Dataverse ou o Project Power App, veja a documentação de orientação do separador Auditoria de Definições do Sistema . Para obter uma lista de entidades relacionadas com Project para a Web, veja a documentação de orientação Exportar dados de utilizador de Project para a Web.
Para obter informações sobre o Microsoft Project para a Web, consulte Microsoft Project para a Web.
Observação
A auditoria de eventos para atividades do Microsoft Project para a Web requer uma licença de Project Plano 1 paga (ou superior).
Nome amigável | Operação | Descrição |
---|---|---|
Projeto criado | ProjectCreated | Um projeto é criado por um utilizador ou aplicação. |
Mapa de objetivos criado | Mapa de ObjetivosCriado | Um mapa de objetivos ou portefólio é criado por um utilizador ou aplicação. |
Item de mapa de objetivos criado | RoadmapItemCreated | Um mapa de objetivos ou item de portefólio é criado por um utilizador ou aplicação. |
Tarefa criada | TarefaCriada | Uma tarefa é criada por um utilizador ou aplicação. |
Projeto eliminado | ProjectDeleted | Um projeto é eliminado por um utilizador ou aplicação. |
Mapa de objetivos eliminado | Mapa de ObjetivosDeleted | Um mapa de objetivos ou portefólio é eliminado por um utilizador ou aplicação. |
Item de mapa de objetivos eliminado | Informações GeraisItemDeleted | Um mapa de objetivos ou item de portefólio é eliminado por um utilizador ou aplicação. |
Tarefa eliminada | TaskDeleted | Uma tarefa é eliminada por um utilizador ou aplicação. |
Projeto acedido | ProjectAccessed | Um projeto é lido ou uma aplicação. |
Home page do Project acedida | ProjectListAccessed | Uma lista de projetos e/ou mapas de objetivos é consultada por um utilizador. |
Mapa de objetivos acedido | Mapa de ObjetivosAcesso | Um mapa de objetivos ou portefólio é lido por um utilizador ou aplicação. |
Item de mapa de objetivos acedido | Informações GeraisItemAccessed | Um mapa de objetivos ou item de portefólio é lido por um utilizador ou aplicação. |
Tarefa acedida | TarefaAccessed | Uma tarefa é lida por um utilizador ou aplicação. |
Definições de projeto atualizadas | ProjectForTheWebProjectSettings | As definições do projeto são atualizadas por um administrador. |
Mapa de objetivos atualizado | Mapa de ObjetivosAtualizado | Um mapa de objetivos ou portefólio é modificado por um utilizador ou aplicação. |
Item de mapa de objetivos atualizado | Informações GeraisItemUpdated | Um mapa de objetivos ou item de portefólio é modificado por um utilizador ou aplicação. |
Definições de mapa de objetivos atualizadas | ProjectForTheWebRoadmaptSettings | As definições de mapa de objetivos ou portefólio são atualizadas por um administrador. |
Tarefa atualizada | Tarefas Desatualizadas | Uma tarefa é modificada por um utilizador ou aplicação. |
Projeto atualizado | ProjectUpdated | Um projeto é modificado por um utilizador ou aplicação. |
atividades de solução de Auditoria do Microsoft Purview
A tabela seguinte lista as atividades associadas a soluções de auditoria no portal do Microsoft Purview, no portal de conformidade do Microsoft Purview e no API do Graph pesquisa de auditoria. Estas atividades são auditadas na carga de trabalho SecurityComplianceCenter . Para obter mais informações, veja Pesquisar o registo de auditoria.
As atividades de pesquisa e exportação de auditoria realizadas com Search-UnifiedAuditLog não são auditadas.
Nome amigável | Operação | Descrição |
---|---|---|
Pesquisa de auditoria criada | AuditSearchCreated | É submetido um novo pedido de pesquisa de auditoria. |
Pesquisa de auditoria concluída | AuditSearchCompleted | Uma tarefa de pesquisa de auditoria está concluída. |
Pesquisa de auditoria cancelada | AuditSearchCancelled | Uma tarefa de pesquisa de auditoria é cancelada. |
Pesquisa de auditoria eliminada | AuditSearchDeleted | Uma tarefa de pesquisa de auditoria é eliminada. |
Tarefa de exportação de pesquisa de auditoria criada | AuditSearchExportJobCreated | É criada uma tarefa de exportação para exportar os resultados da pesquisa de uma consulta de pesquisa de auditoria. |
Tarefa de exportação de pesquisa de auditoria concluída | AuditSearchExportJobCompleted | A tarefa de exportação para exportar os resultados da pesquisa de uma consulta de pesquisa de auditoria está concluída. |
Auditar os resultados da exportação de pesquisa transferidos | AuditSearchExportResultsDownloaded | Os resultados da pesquisa de uma consulta de pesquisa de auditoria foram transferidos. |
Atividades de governação do Microsoft Purview
A tabela seguinte lista as atividades de governação do Microsoft Purview que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações, veja Soluções de governação do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Recurso ou entidade criada | EntityCreated | É criado ou adicionado um novo recurso ou entidade a um recurso existente. |
Classificação adicionada | ClassificationAdded | Adicione classificações à entidade de recursos. |
Definição de classificação criada | ClassificationDefinitionCreated | Criar um tipo de classificação. |
Definição de classificação eliminada | ClassificationDefinitionDeleted | Eliminar um tipo de classificação. |
Definição de classificação atualizada | ClassificationDefinitionUpdated | Atualizar um tipo de classificação. |
Classificação eliminada | ClassificationDeleted | Eliminar classificações da entidade de recursos. |
Classificação atualizada | ClassificationUpdated | Atualizar classificações na entidade de recursos. |
Entidade eliminada | EntityDeleted | Um recurso ou entidade é eliminado de um recurso existente. |
Entidade atualizada | EntityUpdated | Inclui: atualização de atributos, atualização de atributos empresariais, informações de coleção (apenas incluem ID de coleção), atualização de contactos, customAttributes, hierarquia, homeId, etiquetas, sourceDetails |
Termo do glossário atribuído | GlossaryTermAssigned | Atribuir termos à entidade do recurso. |
Termo do glossário criado | GlossaryTermCreated | Crie um termo. |
Termo do glossário eliminado | GlossaryTermDeleted | Eliminar um termo. |
Termo glossário desassociado | GlossaryTermDisassociated | Desassociar termos da entidade de recurso. |
Termo do glossário atualizado | GlossaryTermUpdated | Atualizar um termo. |
Etiqueta de confidencialidade alterada | SensitivityLabelChanged | A etiqueta de confidencialidade é adicionada/atualizada/eliminada. |
Atividades do Microsoft Stream
Você pode pesquisar o log de auditoria para atividades no Microsoft Stream. Essas atividades incluem atividades de vídeo executadas por usuários, atividades de canal de grupo e atividades de administração, como gerenciar usuários, gerenciar as configurações da organização e exportar relatórios. Para obter uma descrição dessas atividades, consulte a seção "Atividades registradas no Microsoft Stream em Logs de auditoria do Microsoft Stream.
Atividades do Microsoft Teams
A tabela seguinte lista as atividades do Microsoft Teams que são registadas no registo de auditoria do Microsoft 365. Você pode pesquisar o log de auditoria das atividades de usuários e de administradores no Microsoft Teams. O Teams é um espaço de trabalho baseado em chat no Microsoft 365. Ele reúne as conversas, reuniões, arquivos e anotações da equipe em um único lugar. Para obter orientações de pesquisa mais detalhadas, consulte Procurar eventos no registo de auditoria no Microsoft Teams.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Bot adicionado à equipe | BotAddedToTeam | Um usuário adiciona um bot a uma equipe. |
Canal adicionado | ChannelAdded | Um usuário adiciona um canal a uma equipe. |
Conector adicionado | ConnectorAdded | Um usuário adiciona um conector a um canal. |
Detalhes adicionados sobre a reunião do Teams 9 | MeetingDetail | O Teams adicionou informações sobre uma reunião, incluindo a hora de início, a hora de fim e o URL para participar na reunião. |
Foram adicionadas informações sobre os participantes da reunião 9 | MeetingParticipantDetail | O Teams adicionou informações sobre os participantes de uma reunião, incluindo o ID de utilizador de cada participante, a hora em que um participante entrou na reunião e a hora em que um participante saiu da reunião. |
Membros adicionados 6, 8 | MemberAdded | O proprietário de uma equipe adiciona membros a uma equipe, canal ou chat em grupo. |
Guia adicionada | TabAdded | Um usuário adiciona uma guia a um canal. |
Etiqueta de confidencialidade aplicada | SensitivityLabelApplied | Um utilizador ou organizador da reunião aplicou uma etiqueta de confidencialidade a uma reunião do Teams. |
Configuração de canal alterada | ChannelSettingChanged | A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um membro da equipe. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
Configuração da organização alterada | TeamsTenantSettingChanged | A operação TeamsTenantSettingChanged é registada quando as seguintes atividades são executadas por um administrador global no Centro de administração do Microsoft 365. Estas atividades afetam as definições do Teams em toda a organização. Para saber mais, consulte Gerir definições do Teams para a sua organização. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
Função de membros alterada na equipe | MemberRoleChanged | Um proprietário altera a função dos membros de uma equipe. Os seguintes valores indicam o tipo de função atribuído ao utilizador. 1 - Indica a função Membro. 2 - Indica a função Proprietário. 3 – Indica a função de Convidado. A propriedade Membros também inclui o nome da sua organização e o endereço de e-mail do membro. |
Configuração da equipe alterada | TeamSettingChanged | A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um proprietário da equipe. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
Etiqueta de confidencialidade alterada | SensitivityLabelChanged | Um utilizador alterou uma etiqueta de confidencialidade numa reunião do Teams. |
Criou uma conversa 1, 6 | ChatCreated | Foi criada uma conversa do Teams. |
Equipe criada | TeamCreated | O usuário cria uma equipe. |
Eliminou uma mensagem 2 | MessageDeleted | Uma mensagem numa conversa ou canal foi eliminada. |
Todas as aplicações da organização eliminadas | DeletedAllOrganizationApps | Todas as aplicações da organização foram eliminadas do catálogo. |
Aplicação eliminada | AppDeletedFromCatalog | Uma aplicação foi eliminada do catálogo. |
Canal excluído | ChannelDeleted | Um usuário exclui um canal de uma equipe. |
Equipe excluída | TeamDeleted | Um proprietário de equipe exclui uma equipe. |
Editou uma mensagem com uma ligação de URL no Teams | MessageEditedHasLink | Um utilizador edita uma mensagem e adiciona uma ligação de URL à mesma no Teams. |
Mensagens exportadas 1,2 | MensagensExportadas | As mensagens de chat ou de canal foram exportadas. |
Gravações exportadas 1 | RecordingExported | As gravações de chat foram exportadas. |
Transcrições exportadas 1 | TranscriçõesExportadas | As transcrições de conversas foram exportadas. |
Falha ao validar o convite para o canal partilhado 3 | FailedValidation | Um utilizador responde a um convite para um canal partilhado, mas o convite falhou na validação. |
Conversa obtida 1 | ChatRetrieved | Foi obtida uma conversa do Microsoft Teams. |
Foi obtido todo o conteúdo alojado de uma mensagem1 | MessageHostedContentsListed | Todos os conteúdos alojados numa mensagem, como imagens ou fragmentos de código, foram obtidos. |
Aplicativo instalado | AppInstalled | Foi instalada uma aplicação. |
Ação executada no card | PerformedCardAction | Um utilizador tomou medidas numa card adaptável numa conversa. Normalmente, os cartões ajustáveis são utilizados por bots para permitir a apresentação avançada de informações e interação em conversas. Nota: Apenas as ações de entrada inline numa card adaptável dentro de uma conversa estarão disponíveis no registo de auditoria. Por exemplo, quando um utilizador submete uma resposta de inquérito numa conversação de canal numa card adaptável gerada por um bot de Inquérito. As ações do utilizador, como "Ver resultado", que abrirá uma caixa de diálogo ou as ações do utilizador dentro das caixas de diálogo não estarão disponíveis no registo de auditoria. |
Foi publicada uma nova mensagem 1, 6, 8 | MessageSent | Foi publicada uma nova mensagem numa conversa ou canal. |
Aplicação publicada | AppPublishedToCatalog | Foi adicionada uma aplicação ao catálogo. |
Ler uma mensagem 1 | MessageRead | Foi obtida uma mensagem de uma conversa ou canal. |
Ler o conteúdo alojado de uma mensagem 1 | MessageHostedContentRead | O conteúdo alojado numa mensagem, como uma imagem ou um fragmento de código, foi obtido. |
Bot removido da equipe | BotRemovedFromTeam | Um usuário remove um bot de uma equipe. |
Conector removido | ConnectorRemoved | Um utilizador remove um conector de um canal. |
Membros removidos 6, 8 | MemberRemoved | O proprietário de uma equipe remove membros de uma equipe, canal ou chat em grupo. |
Etiqueta de confidencialidade removida | SensitivityLabelRemoved | Um utilizador removeu uma etiqueta de confidencialidade de uma reunião do Teams. |
Partilha removida do canal de equipa 3 | TerminatedSharing | Um proprietário de equipa ou canal desativou a partilha de um canal partilhado. |
Partilha restaurada do canal de equipa 3 | PartilhaRestored | Um proprietário de equipa ou canal reativava a partilha para um canal partilhado. |
Guia removida | TabRemoved | Um usuário remove uma guia de um canal. |
Respondeu ao convite para o canal partilhado 3 | InviteeResponded | Um utilizador respondeu a um convite de canal partilhado. |
Respondeu à resposta do convite para o canal partilhado 3 | ChannelOwnerResponded | Um proprietário do canal respondeu a uma resposta de um utilizador que respondeu a um convite de canal partilhado. |
Mensagens obtidas 1 | Mensagens Listadas | Foram obtidas mensagens de um chat ou canal. |
Enviou uma mensagem com uma ligação de URL no Teams | MessageCreatedHasLink | Um utilizador envia uma mensagem com uma ligação de URL no Teams. |
Notificação de alteração enviada para a criação de mensagens 1 | MessageCreatedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma nova mensagem. |
Notificação de alteração enviada para eliminação de mensagens 1 | MessageDeletedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma mensagem eliminada. |
Notificação de alteração enviada para a atualização de mensagens 1 | MessageUpdatedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma mensagem atualizada. |
Convite enviado para o canal partilhado 3 | InviteSent | Um proprietário ou membro do canal envia um convite para um canal partilhado. Os convites para canais partilhados podem ser enviados para pessoas fora da sua organização se a política de canal estiver configurada para partilhar o canal com utilizadores externos. |
Subscrito às notificações de alteração de mensagens 1 | SubscribedToMessages | Uma subscrição foi criada por uma aplicação de serviço de escuta para receber notificações de alteração de mensagens. |
Aplicação desinstalada | AppUninstalled | Uma aplicação foi desinstalada. |
Aplicação atualizada | AppUpdatedInCatalog | Uma aplicação foi atualizada no catálogo. |
Atualização de uma conversa 1 | ChatUpdated | Foi atualizada uma conversa do Teams. |
Foi atualizada uma mensagem 1 | MessageUpdated | Foi atualizada uma mensagem de uma conversa ou canal. |
Conector atualizado | ConnectorUpdated | Um usuário modificou um conector em um canal. |
Guia atualizada | TabUpdated | Usuário modificou uma guia no canal. |
Aplicação atualizada | Atualizado | Uma aplicação foi atualizada para a versão mais recente no catálogo. |
Usuário entrou nas Equipes | TeamsSessionStarted | Um usuário entra em um cliente do Microsoft Teams. Este evento não captura as atividades de atualização de token. |
Mensagem Nova Publicada 3,4,6, 8 | MessageSent | Foi publicada uma nova mensagem numa conversa ou num canal. |
Observação
1 Um registo de auditoria para este evento só é registado quando a operação é efetuada ao chamar um API do Graph da Microsoft. Se a operação for efetuada no cliente do Teams, não será registado um registo de auditoria
2 Este evento só está disponível em Auditoria (Premium). Isto significa que tem de ser atribuída aos utilizadores a licença adequada antes de estes eventos serem registados no registo de auditoria. Para obter mais informações sobre as atividades apenas disponíveis na Auditoria (Premium), consulte Auditoria (Premium) no Microsoft Purview. Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
3 Este evento está em pré-visualização pública.
4Este evento é gerado para chat apenas se existirem convidados, utilizadores federados e/ou anónimos.
5 Este evento está atualmente indisponível nas organizações Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
6 Este evento está incluído em todos os inquilinos participantes para conversas federadas.
7 Este evento tem informações de domínio participantes para conversas federadas 1:1.
8 Este evento está incluído em todas as conversações de chat entre utilizadores externos do Teams geridos por uma organização e utilizadores externos do Teams não geridos por uma organização.
9 Este evento está atualmente indisponível na Cloud da Comunidade Governamental (GCC), mas está disponível nas organizações Government Community Cloud High (GCC-High) e Department of Defense (DoD).
Atividades do Microsoft Teams Healthcare
Se a sua organização estiver usando o aplicativo Patients do Microsoft Teams, você poderá pesquisar o log de auditoria para atividades relacionadas ao uso do aplicativo Patients. Se o seu ambiente estiver configurado para oferecer suporte ao aplicativo Patients, um grupo de atividades adicionais para essas atividades estará disponível na lista seletoraAtividades.
Para obter uma descrição das atividades do aplicativos Patients, confira Logs de auditoria para aplicativo Patients.
Atividades de Turnos do Microsoft Teams
A tabela seguinte lista a aplicação Shift nas atividades do Microsoft Teams que são registadas no registo de auditoria do Microsoft 365. Se sua organização estiver usando o aplicativo Turnos no Microsoft Teams, você poderá pesquisar o log de auditoria por atividades relacionadas ao uso do aplicativo Turnos. Se o seu ambiente estiver configurado para oferecer suporte ao aplicativo Turnos, um grupo de atividades adicionais para essas atividades estará disponível na lista de seleção Atividades.
Nome amigável | Operação | Descrição |
---|---|---|
Grupo de agendamento adicionado | ScheduleGroupAdded | Um utilizador adiciona com êxito um novo grupo de agendamento à agenda. |
Grupo de agendamento editado | ScheduleGroupEdited | Um utilizador edita com êxito um grupo de agendamento. |
Grupo de agendamento eliminado | ScheduleGroupDeleted | Um utilizador elimina com êxito um grupo de agendamento da agenda. |
Agenda retirada | ScheduleWithdrawn | Um utilizador retira com êxito uma agenda publicada. |
Turno adicionado | ShiftAdded | Um utilizador adiciona um turno com êxito. |
Turno editado | ShiftEdited | Um utilizador edita um turno com êxito. |
Turno eliminado | ShiftDeleted | Um utilizador elimina um turno com êxito. |
Tempo de folga adicionado | TimeOffAdded | Um utilizador adiciona com êxito folgas na agenda. |
Tempo de folga editado | TimeOffEdited | Um utilizador edita com êxito as folgas. |
Tempo de folga eliminado | TimeOffDeleted | Um utilizador elimina com êxito as folgas. |
Foi adicionado o turno aberto | OpenShiftAdded | Um utilizador adiciona com êxito um turno aberto a um grupo de agendamento. |
Turno aberto editado | OpenShiftEdited | Um utilizador edita com êxito um turno aberto num grupo de agendamento. |
Turno aberto eliminado | OpenShiftDeleted | Um utilizador elimina com êxito um turno aberto de um grupo de agendamento. |
Agenda partilhada | ScheduleShared | Um utilizador partilhou com êxito uma agenda de equipa para um intervalo de datas. |
Cronometrado com o relógio de tempo | ClockedIn | Um utilizador acede com êxito à utilização do Relógio de Tempo. |
Tempo limite excedido através do Relógio | ClockedOut | Um utilizador sai com êxito com o relógio de tempo. |
Interrupção iniciada com o Relógio de Tempo | BreakStarted | Um utilizador inicia uma pausa com êxito durante uma sessão ativa do Relógio. |
Interrupção terminada com o Relógio de Tempo | BreakEnded | Um utilizador termina uma interrupção com êxito durante uma sessão ativa do Relógio. |
Entrada de relógio de hora adicionada | TimeClockEntryAdded | Um utilizador adiciona com êxito uma nova entrada de relógio de hora manual na Folha de Horas. |
Entrada de relógio de hora editada | TimeClockEntryEdited | Um utilizador edita com êxito uma entrada de relógio de hora na Folha de Horas. |
Entrada de relógio de hora eliminada | TimeClockEntryDeleted | Um utilizador elimina com êxito uma entrada de relógio de hora na Folha de Horas. |
Pedido de turno adicionado | RequestAdded | Um utilizador adicionou um pedido de turno. |
Respondeu ao pedido de turno | RequestRespondedTo | Um utilizador respondeu a um pedido de turno. |
Pedido de turno cancelado | RequestCancelled | Um utilizador cancelou um pedido de turno. |
Definição de agenda alterada | ScheduleSettingChanged | Um utilizador altera uma definição nas definições de Turnos. |
Integração da força de trabalho adicionada | WorkforceIntegrationAdded | A aplicação Shifts está integrada num sistema de terceiros. |
Mensagem aceite fora do turno | OffShiftDialogAccepted | Um utilizador reconhece a mensagem off-shift para aceder ao Teams após o horário de turno. |
Atividades de Atualizações do Microsoft Teams
A tabela seguinte lista Atualizações aplicação nas atividades do Microsoft Teams que são registadas no registo de auditoria do Microsoft 365. Se a sua organização estiver a utilizar a aplicação Atualizações no Microsoft Teams, pode procurar no registo de auditoria atividades relacionadas com a utilização da aplicação Atualizações. Se o seu ambiente estiver configurado para suportar aplicações Atualizações, está disponível um grupo de atividade adicional para estas atividades na lista seletor de atividades.
Nome amigável | Operação | Descrição |
---|---|---|
Criar um pedido de atualização | CreateUpdateRequest | Um utilizador cria com êxito um pedido de atualização. |
Editar um pedido de atualização | EditUpdateRequest | Um utilizador abre o assistente de edição de pedidos e seleciona Guardar para confirmar e guardar quaisquer alterações ou ativa ou desativa o pedido de atualização diretamente. |
Submeter uma atualização | SubmitUpdate | Um utilizador submete uma atualização com êxito. |
Ver os detalhes de uma atualização | ViewUpdate | Um utilizador vê os detalhes da atualização. |
Atividades do Microsoft To Do
A tabela seguinte lista as atividades no Microsoft To Do que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre o Microsoft To Do, consulte Suporte para o Microsoft To Do.
Observação
Os eventos de auditoria das atividades do Microsoft To Do requerem uma licença de Project Plano 1 paga (ou superior) para além da licença do Microsoft 365 relevante que inclui direitos a Auditoria (Premium).
Nome amigável | Operação | Descrição |
---|---|---|
Ligação de partilha aceite na pasta | AcceptedSharingLinkOnFolder | Ligação de partilha aceite para uma pasta. |
Anexo criado | AnexoCriado | Foi criado um anexo para uma tarefa. |
Anexo atualizado | AnexoSatualizados | Um anexo foi atualizado. |
Anexo eliminado | AttachmentDeleted | Um anexo foi eliminado. |
Ligação de partilha de pastas partilhada | PastaSharingLinkShared | Criou uma ligação de partilha para uma pasta. |
Entidade ligada eliminada | LinkedEntityDeleted | Uma entidade ligada foi eliminada. |
Entidade ligada atualizada | LinkedEntityUpdated | Uma entidade ligada foi atualizada. |
Entidade ligada criada | LinkedEntityCreated | Foi criada uma entidade ligada da tarefa. |
SubTarefa criada | SubTarefaCriada | Foi criada uma subtarefa. |
SubTarefa eliminada | SubTaskDeleted | Uma subtarefa foi eliminada. |
SubTarefa atualizada | SubTaskUpdated | Foi atualizada uma subtarefa. |
Tarefa criada | TarefaCriada | Foi criada uma tarefa. |
Tarefa eliminada | TaskDeleted | Uma tarefa foi eliminada. |
Leitura da tarefa | TaskRead | Uma tarefa foi lida. |
Tarefa atualizada | Tarefas Desatualizadas | Uma tarefa foi atualizada. |
Lista de Tarefas criada | TaskListCreated | Foi criada uma lista de tarefas. |
Leitura da Lista de Tarefas | TaskListRead | Foi lida uma lista de tarefas. |
Lista de Tarefas atualizada | TaskListUpdated | Foi atualizada uma lista de tarefas. |
Utilizador convidado | UserInvited | Utilizador convidado para uma pasta. |
atividades de Microsoft Viva Insights
Viva Insights fornece informações sobre como os grupos colaboram na sua organização. A tabela seguinte lista as atividades executadas pelos utilizadores a que é atribuída a função de Administrador ou as funções de Analista no Viva Insights. Os usuários que receberam a função de Analista têm acesso total a todos os recursos de serviço e usam o produto para fazer análise. Os utilizadores atribuídos à função de Administrador podem configurar as predefinições de privacidade e do sistema e podem preparar, carregar e verificar os dados organizacionais no Viva Insights. Para obter mais informações, consulte Introdução Microsoft Viva Insights.
Nome amigável | Operação | Descrição |
---|---|---|
Link OData acessado | AccessedOdataLink | O analista acessou o link OData para uma consulta. |
Acesso delegado adicionado | AddDelegates | Um utilizador adicionou acesso delegado às informações da organização ou ao Copilot dashboard. |
Consulta cancelada | CanceledQuery | O analista cancelou uma consulta em execução. |
Exclusão de reunião criada | MeetingExclusionCreated | O analista criou uma regra de exclusão de reunião. |
Resultado excluído | DeletedResult | O analista excluiu um resultado de consulta. |
Relatório baixado | DownloadedReport | O analista baixou um arquivo de resultado da consulta. |
Consulta executada | ExecutedQuery | O analista executou uma consulta. |
Acesso delegado removido | RemoverDelegates | Um utilizador removeu o acesso delegado para informações da organização ou copilot dashboard. |
Configuração do acesso a dados atualizada | UpdatedDataAccessSetting | O administrador atualizou as configurações de acesso a dados. |
Configuração de privacidade atualizada | UpdatedPrivacySetting | Administração definições de privacidade atualizadas; por exemplo, o tamanho mínimo do grupo. |
Dados da organização carregados | UploadedOrgData | O administrador carregou um arquivo de dados organizacional. |
Usuário conectado* | UserLoggedIn | Um usuário conectado à conta de usuário do Microsoft 365. |
Usuário desconectado* | UserLoggedOff | Um usuário desconectado da sua conta de usuário do Microsoft 365. |
Exploração Exibida | ViewedExplore | O analista exibiu as visualizações em uma ou mais guias da página de Exploração. |
Observação
*é criado um evento de atividade de início de sessão e de fim de sessão Microsoft Entra quando um utilizador inicia sessão. Esta atividade é registada mesmo que não tenha Viva Insights ativado na sua organização. Para obter mais informações sobre as atividades de início de sessão do utilizador, veja Registos de início de sessão no Microsoft Entra ID.
Atividades de informações pessoais
A tabela seguinte lista as atividades nas informações pessoais que são registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre informações pessoais, veja Administração guia para informações pessoais.
Nome amigável | Operação | Descrição |
---|---|---|
Configurações atualizadas do MyAnalytics da organização | UpdatedOrganizationMyAnalyticsSettings | Administração atualiza as definições ao nível da organização para informações pessoais. |
Configurações atualizadas do usuário do MyAnalytics | UpdatedUserMyAnalyticsSettings | Administração atualiza as definições de utilizador para informações pessoais. |
Atividades de quarentena
A tabela a seguir lista as atividades de quarentena que podem ser pesquisadas no log de auditoria. Para obter mais informações sobre quarentena, confira Mensagens de email em quarentena.
Nome amigável | Operação | Descrição |
---|---|---|
Mensagem de quarentena excluída | QuarantineDeleteMessage | Um administrador ou utilizador eliminou uma mensagem de e-mail considerada prejudicial. |
Pedido de versão de mensagem de quarentena negado | QuarantineReleaseRequestDeny | Uma negação do administrador para um pedido de versão de um utilizador para uma mensagem de e-mail que foi considerada prejudicial. |
Mensagem de quarentena exportada | QuarantineExport | Um administrador ou utilizador exportou uma mensagem de e-mail considerada prejudicial. |
Mensagem de quarentena exibida | QuarantinePreview | Um administrador ou utilizador pré-visualizou uma mensagem de e-mail que foi considerada prejudicial. |
Mensagem de quarentena liberada | QuarantineRelease | Um administrador ou utilizador divulgou uma mensagem de e-mail da quarentena que foi considerada prejudicial. |
Mensagem de quarentena do pedido de versão | QuarantineReleaseRequest | Um utilizador pediu a divulgação de uma mensagem de e-mail que foi considerada prejudicial. |
Cabeçalho de mensagem de quarentena exibida | QuarantineViewHeader | Um administrador ou utilizador viu o cabeçalho de uma mensagem de e-mail que foi considerada prejudicial. |
Atividades de relatório
A tabela a seguir lista as atividades para relatórios de uso registradas no log de auditoria do Microsoft 365.
Nome amigável | Operação | Descrição |
---|---|---|
Configurações de privacidade do relatório de uso atualizadas | UpdateUsageReportsPrivacySetting | Configurações de privacidade atualizadas pelo administrador para relatórios de uso. |
Política de retenção e atividades do rótulo de retenção
A tabela a seguir descreve as atividades de configuração para políticas de retenção e rótulos de retenção quando foram criados, reconfigurados ou excluídos.
Nome amigável | Operação | Descrição |
---|---|---|
Associação de escopo adaptável alterada | ApplicableAdaptiveScopeChange | Usuários, sites ou grupos foram adicionados ou removidos do escopo adaptável. Essas alterações são os resultados da execução da consulta do escopo. Como as alterações são iniciadas pelo sistema, o usuário relatado é exibido como um GUID em vez de uma conta de usuário. |
Configurações definidas para uma política de retenção | NewRetentionComplianceRule | As configurações de retenção para uma nova política de retenção foram definidas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet New-RetentionComplianceRule. |
Escopo adaptável criado | NewAdaptiveScope | O administrador criou um escopo adaptável. |
Criado o rótulo de retenção | NewComplianceTag | Um novo rótulo de retenção foi criado pelo administrador. |
Criada a política de retenção | NewRetentionCompliancePolicy | Uma nova política de retenção foi criada pelo administrador. |
Escopo adaptável excluído | RemoveAdaptiveScope | O administrador excluiu um escopo adaptável. |
As configurações de uma política de retenção foram excluídas | RemoveRetentionComplianceRule |
As definições de configuração de uma política de retenção foram excluídas pelo administrador. Provavelmente, essa atividade é registrada quando um administrador exclui uma política de retenção ou executa o cmdlet Remove-RetentionComplianceRule. |
Rótulo de retenção excluído | RemoveComplianceTag | Um rótulo de retenção foi excluído pelo administrador. |
Excluída a política de retenção | RemoveRetentionCompliancePolicy |
Uma política de retenção foi excluída pelo administrador. |
A opção de registro regulatório foi habilitada para etiquetas de retenção |
SetRestrictiveRetentionUI | O administrador executou o cmdlet Set-RegulatoryComplianceUI para que um administrador possa selecionar a opção de configuração da IU para que um rótulo de retenção marque o conteúdo como um registro regulamentar. |
Item de e-mail retido proativamente | ExchangeDataProactivelyPreserved | A proteção adaptável aplicou automaticamente uma etiqueta de retenção para reter um item no Exchange. |
Ficheiro retido proativamente | SharePointDataProactivelyPreserved | A proteção adaptável aplicou automaticamente uma etiqueta de retenção para reter um item no SharePoint ou no OneDrive. |
Escopo adaptável atualizado | SetAdaptiveScope | O administrador alterou a descrição ou a consulta para um escopo adaptável existente. |
Configurações atualizadas para uma política de retenção | SetRetentionComplianceRule | As configurações de retenção para uma política de retenção existente foram alteradas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet Set-RetentionComplianceRule. |
Rótulo de retenção atualizado | SetComplianceTag | Um rótulo de retenção existente foi atualizado pelo administrador. |
Política de retenção atualizada | SetRetentionCompliancePolicy | Uma política de retenção existente foi atualizada pelo administrador. As atualizações que acionam este evento incluem adicionar ou excluir locais de conteúdo aos quais a política de retenção é aplicada. |
Atividades de administração de funções
A tabela seguinte lista Microsoft Entra atividades de administração de funções que são registadas quando um administrador gere funções de administrador no Centro de administração do Microsoft 365 ou no portal de gestão do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( .
). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" "
) para conter o nome da operação.
Nome amigável | Operação | Descrição |
---|---|---|
Adicionar membro à função | Adicione o membro à função. | Usuário adicionado a uma função de administração no Microsoft 365. |
Usuário removido de uma função de diretório | Remova membro da função. | Usuário removido de uma função de administração no Microsoft 365. |
Definir informações de contato da empresa | Defina as informações de contato da empresa. | Preferências de contato no nível da empresa atualizadas para a sua organização. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Microsoft 365 e notificações técnicas sobre serviços. |
Atividades de tipos de informações confidenciais
A tabela seguinte descreve os eventos de auditoria para atividades que envolvem a criação e atualização de tipos de informações confidenciais.
Nome amigável | Operação | Descrição |
---|---|---|
Novo tipo de informações confidenciais criado | CreateRulePackage/EditRulePackage* | Foi criado um novo tipo de informação confidencial. Isto inclui quaisquer SITs criados ao copiar um SIT fora da caixa. Nota: esta atividade é apresentada nas atividades de auditoria "Pacote de regra criado" ou "Pacote de regras editado". |
Editou um tipo de informação confidencial | EditRulePackage | Foi editado um tipo de informação confidencial existente. Isto pode incluir operações como adicionar/remover um padrão e editar o regex/palavra-chave associado ao tipo de informações confidenciais. Nota: Esta atividade é apresentada na atividade de auditoria "Pacote de regras editado". |
Eliminou um tipo de informação confidencial | EditRulePackage/RemoveRulePackage | Foi eliminado um tipo de informação confidencial existente. Nota: Esta atividade é apresentada na atividade de auditoria "Pacote de regras editada" ou "Pacote de regras removido". |
Atividades de rótulo de sensibilidade
A tabela seguinte lista os eventos resultantes da utilização de etiquetas de confidencialidade com sites e itens geridos pelo Microsoft Purview. Os itens incluem documentos, e-mails e eventos de calendário. Para políticas de etiquetagem automática, os itens também incluem ficheiros e recursos de dados esquematizados no Mapa de Dados do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Rótulo de sensibilidade aplicado ao site | SiteSensitivityLabelApplied | Foi aplicada uma etiqueta de confidencialidade a um site do SharePoint ou site do Teams que não está ligado a grupos. |
Rótulo de sensibilidade removido do site | SiteSensitivityLabelRemoved | Uma etiqueta de confidencialidade foi removida de um site do SharePoint ou site do Teams que não está ligado a grupos. |
Rótulo de sensibilidade aplicado ao site | FileSensitivityLabelApplied SensitivityLabelApplied |
Foi aplicada uma etiqueta de confidencialidade a um item através de aplicações do Microsoft 365, Office para a Web ou de uma política de etiquetagem automática. As operações para esta atividade são diferentes consoante a forma como a etiqueta foi aplicada: - Office para a Web ou uma política de etiquetagem automática (FileSensitivityLabelApplied) - Aplicações do Microsoft 365 (SensitivityLabelApplied) |
Rótulo de sensibilidade alterado aplicado ao arquivo | FileSensitivityLabelChanged SensitivityLabelUpdated |
Foi aplicada uma etiqueta de confidencialidade diferente a um item. As operações para essa atividade são diferentes dependendo de como o rótulo foi alterado: - Office para a Web ou uma política de etiquetagem automática (FileSensitivityLabelChanged) - Microsoft 365 Apps (SensitivityLabelUpdated) |
Rótulo de confidencialidade alterado em um site | SiteSensitivityLabelChanged | Foi aplicada uma etiqueta de confidencialidade diferente a um site do SharePoint ou a um site do Teams que não está ligado a grupos. |
Rótulo de sensibilidade removido do site | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Uma etiqueta de confidencialidade foi removida de um item através de aplicações do Microsoft 365, Office para a Web, uma política de etiquetagem automática ou o cmdlet Unlock-SPOSensitivityLabelEncryptedFile. As operações para esta atividade são diferentes consoante a forma como a etiqueta foi removida: - Office para a Web ou uma política de etiquetagem automática (FileSensitivityLabelRemoved) - Aplicações do Microsoft 365 (SensitivityLabelRemoved) |
Informações de auditoria adicionais para etiquetas de confidencialidade:
- Quando utiliza etiquetas de confidencialidade para Grupos do Microsoft 365 e, por conseguinte, sites do Teams ligados a grupos, as etiquetas são auditadas com a gestão de grupos no Microsoft Entra ID. Para obter mais informações, veja Registos de auditoria no Microsoft Entra ID.
- Quando utiliza etiquetas de confidencialidade para convites para reuniões do Teams e opções de reunião e chat do Teams, consulte Procurar eventos no registo de auditoria no Microsoft Teams.
- Quando utiliza etiquetas de confidencialidade com o Power BI, veja Auditar o esquema para etiquetas de confidencialidade no Power BI.
- Quando utiliza etiquetas de confidencialidade com Microsoft Defender para aplicações na cloud, veja Governing connected apps and the labeling information for file governance actions (Governar aplicações ligadas e informações de etiquetagem para ações de governação de ficheiros).
- Quando aplica etiquetas de confidencialidade com o cliente ou scanner Proteção de Informações do Microsoft Purview ou o SDK do Microsoft Proteção de Informações (MIP), veja Referência do registo de auditoria do Azure Proteção de Informações.
Atividades de lista do SharePoint
A tabela a seguir descreve as atividades relacionadas quando os usuários interagem com listas e itens de lista do SharePoint Online. Os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
Nome amigável | Operação | Descrição |
---|---|---|
Lista criada | ListCreated | Um usuário criou uma lista do SharePoint. |
Coluna de lista criada | ListColumnCreated | Um usuário criou uma coluna de lista do SharePoint. Uma coluna de lista é uma coluna anexada a uma ou mais listas do SharePoint. |
Tipo de conteúdo de lista criado | ListContentTypeCreated | Um usuário criou um tipo de conteúdo de lista. Um tipo de conteúdo de lista é um tipo de conteúdo anexado a uma ou mais listas do SharePoint. |
Item de lista criado | ListItemCreated | Um usuário criou um item em uma lista do SharePoint existente. |
Coluna de site criada | SiteColumnCreated | Um usuário criou uma coluna de site do SharePoint. Uma coluna de site é uma coluna que não está anexada a uma lista. Uma coluna de site é também uma estrutura de metadados que pode ser usada por qualquer lista em uma determinada Web. |
Tipo de conteúdo de site criado | ContentType do site criado | Um usuário criou um tipo de conteúdo de site. Um tipo de conteúdo de site é um tipo de conteúdo anexado ao site primário. |
Lista excluída | ListDeleted | Um usuário excluiu uma lista do SharePoint. |
Coluna de lista excluída | Coluna de Lista Excluída | Um usuário excluiu uma coluna de lista do SharePoint. |
Tipo de conteúdo de lista excluído | ListContentTypeDeleted | Um usuário excluiu um tipo de conteúdo de lista. |
Item de lista excluído | Item de Lista Excluído | Um usuário excluiu um item de lista do SharePoint. |
Coluna de site excluída | SiteColumnDeleted | Um usuário excluiu uma coluna de site do SharePoint. |
Tipo de conteúdo de site excluído | SiteContentTypeDeleted | Um usuário excluiu um tipo de conteúdo de site. |
Item de lista reciclado | ListItemRecycled | Um usuário moveu um item de lista do SharePoint para a Lixeira. |
Lista restaurada | ListRestored | Um usuário restaurou uma lista do SharePoint da Lixeira. |
Item de lista restaurado | ListItemRestored | Um usuário restaurou um item de lista do SharePoint da Lixeira. |
Lista atualizada | ListUpdated | Um usuário atualizou uma lista do SharePoint modificando uma ou mais propriedades. |
Coluna da lista atualizada | ListColumnUpdated | Um usuário atualizou uma coluna de lista do SharePoint modificando uma ou mais propriedades. |
Tipo de conteúdo de lista atualizado | ListContentTypeUpdated | Um usuário atualizou um tipo de conteúdo de lista modificando uma ou mais propriedades. |
Item de lista atualizado | ListItemUpdated | Um usuário atualizou um item de lista do SharePoint modificando uma ou mais propriedades. |
Vista de lista atualizada | ListViewUpdated | Um utilizador atualizou uma vista de lista do SharePoint ao modificar uma ou mais propriedades. |
Coluna de site atualizada | SiteColumnUpdated | Um usuário atualizou uma coluna de site do SharePoint modificando uma ou mais propriedades. |
Tipo de conteúdo de site atualizado | SiteContentTypeUpdated | Um usuário atualizou um tipo de conteúdo de site modificando uma ou mais propriedades. |
Atividades de compartilhamento e solicitação de acesso
A tabela a seguir descreve as atividades de compartilhamento e solicitação de acesso do usuário no SharePoint Online e no OneDrive for Business. Para eventos de compartilhamento, a coluna Detalhes em Resultados identifica o nome do usuário ou do grupo com o qual o item foi compartilhado e se esse usuário ou grupo é um membro ou convidado na sua organização. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria.
Observação
Os utilizadores podem ser membros ou convidados com base na propriedade UserType do objeto de utilizador. Um membro é geralmente um funcionário, enquanto um convidado é geralmente um colaborador fora da sua organização. Quando um usuário aceita um convite de compartilhamento (e ainda não faz parte da sua organização), uma conta de convidado é criada para ele no diretório da sua organização. Quando esse usuário convidado tem uma conta no seu diretório, recursos podem ser compartilhados diretamente com ele (sem a necessidade de um convite).
Nome amigável | Operação | Descrição |
---|---|---|
Nível de permissão adicionado ao conjunto de sites | PermissionLevelAdded | Um nível de permissão foi adicionado a um conjunto de sites. |
Solicitação de acesso aceita | AccessRequestAccepted | Uma solicitação de acesso a um site, pasta ou documento foi aceita, e o usuário solicitante recebeu acesso. |
Convite de compartilhamento aceito | SharingInvitationAccepted | O usuário (membro ou convidado) aceitou um convite de compartilhamento e recebeu acesso a um recurso. Esse evento inclui informações sobre o usuário que foi convidado e sobre o endereço de email que foi usado para aceitar o convite (eles podem ser diferentes). Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário obteve acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso. |
Convite de compartilhamento bloqueado | SharingInvitationBlocked | Um convite de compartilhamento enviado por um usuário em sua organização é bloqueado devido a uma política de compartilhamento externo que permite ou nega o compartilhamento externo com base no domínio do usuário de destino. Nesse caso, o convite de compartilhamento foi bloqueado porque: O domínio do usuário de destino não está incluído na lista de domínios permitidos. Ou O domínio do usuário de destino está incluído na lista de domínios bloqueados. Confira mais informações sobre como permitir ou bloquear o compartilhamento externo com base em domínios em Compartilhamento de domínios restritos no SharePoint Online e no OneDrive for Business. |
Solicitação de acesso criada | AccessRequestCreated | O usuário solicita acesso a um site, pasta ou documento que ele não tem permissões para acessar. |
Link compartilhável da empresa criado | CompanyLinkCreated | O usuário criou um link de toda a empresa para um recurso. os links de toda a empresa só podem ser usados pelos membros da sua organização. Eles não podem ser usados por convidados. |
Um link anônimo criado | AnonymousLinkCreated | O usuário criou um link anônimo para um recurso. Qualquer pessoa com esse link pode acessar o recurso sem ter que se autenticar. |
Link seguro criado | SecureLinkCreated | Um link de compartilhamento seguro foi criado para esse item. |
Convite de compartilhamento criado | SharingInvitationCreated | O usuário compartilhou um recurso do SharePoint Online ou do OneDrive for Business com um usuário que não está no diretório da sua organização. |
Link seguro excluído | SecureLinkDeleted | Um link de compartilhamento seguro foi excluído. |
Solicitação de acesso negada | AccessRequestDenied | Uma solicitação de acesso a um site, pasta ou documento foi negada. |
Link compartilhável da empresa removido | CompanyLinkRemoved | O usuário removeu um link de empresa para um recurso. O link não pode mais ser usado para acessar o recurso. |
Link anônimo removido | AnonymousLinkRemoved | O usuário removeu um link anônimo para um recurso. O link não pode mais ser usado para acessar o recurso. |
Arquivo, pasta ou site compartilhado | SharingSet | O usuário (membro ou convidado) compartilhou um arquivo, uma pasta ou um site no SharePoint ou no OneDrive for Business com um usuário no diretório da sua organização. O valor na coluna Detalhes dessa atividade identifica o nome do usuário com o qual o recurso foi compartilhado e se esse usuário é um membro ou convidado. Geralmente, essa atividade é acompanhada por um segundo evento que descreve como o usuário recebeu o acesso ao recurso. Por exemplo, a adição do usuário a um grupo com acesso ao recurso. |
Solicitação de acesso atualizado | AccessRequestUpdated | Uma solicitação de acesso a um item foi atualizada. |
Link anônimo atualizado | AnonymousLinkUpdated | O usuário atualizou um link anônimo para um recurso. O campo atualizado é incluído na propriedade EventData quando você exporta os resultados da pesquisa. |
Convite de compartilhamento atualizado | SharingInvitationUpdated | Um convite de compartilhamento externo foi atualizado. |
Link anônimo usado | AnonymousLinkUsed | Um usuário anônimo acessou um recurso usando um link anônimo. A identidade do usuário pode ser desconhecida, mas você pode obter outros detalhes, como seu endereço IP. |
Arquivo, pasta ou site não compartilhado | SharingRevoked | O usuário (membro ou convidado) cancelou o compartilhamento de um arquivo, pasta ou site que havia sido compartilhado com outro usuário. |
Link compartilhável da empresa usado | CompanyLinkUsed | O usuário acessou um recurso usando um link de empresa. |
Link seguro usado | SecureLinkUsed | Um usuário usou um link seguro. |
Usuário adicionado a um link seguro | AddedToSecureLink | Um usuário foi adicionado à lista de entidades que podem usar um link de compartilhamento seguro. |
Usuário removido do link seguro | RemovedFromSecureLink | Um usuário foi removido da lista de entidades que podem usar um link de compartilhamento seguro. |
Convite de compartilhamento retirado | SharingInvitationRevoked | O usuário retirou um convite de compartilhamento para um recurso. |
Atividades de administração do site
A tabela a seguir lista os eventos decorrentes de tarefas de administração de sites no SharePoint Online. Conforme explicado anteriormente, os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Local de dados permitido adicionado | AllowedDataLocationAdded | Um administrador global ou do SharePoint adicionou um local de dados permitido em um ambiente multigeográfico. |
Agente de usuário isento adicionado | ExemptUserAgentSet | Um administrador global ou do SharePoint adicionou um agente de usuário à lista de agentes de usuário isentos no centro de administração do SharePoint. |
Administrador de localização geográfica adicionado | GeoAdminAdded | Um administrador global ou do SharePoint adicionou um usuário como um administrador geográfico de um local. |
Usuário com permissão para criar grupos | AllowGroupCreationSet | O proprietário ou administrador do site adiciona um nível de permissão a um site, que permite que um usuário com essa permissão crie um grupo para esse site. |
Movimentação geográfica do site cancelada | SiteGeoMoveCancelled | Um administrador global ou do SharePoint cancela com êxito uma movimentação geográfica do site do SharePoint ou do OneDrive. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online. |
Política de compartilhamento alterada | SharingPolicyChanged | Um administrador global ou do Microsoft Office SharePoint Online alterou uma política de compartilhamento do SharePoint usando o Centro de administração do Microsoft 365, o Centro de administração do SharePoint ou o Shell de Gerenciamento do Microsoft Office SharePoint Online. Qualquer alteração nas configurações da política de compartilhamento na sua organização será registrada. A política que foi alterada é identificada no campo ModifiedProperties nas propriedades detalhadas do registro de evento. |
Política de acesso a dispositivo alterada | DeviceAccessPolicyChanged | Um administrador global ou do SharePoint alterou a política de dispositivos não gerenciados para sua organização. Esta política controla o acesso ao SharePoint, OneDrive e ao Microsoft 365 de dispositivos que não estão associados à sua organização. Configurar esta política requer uma assinatura do Enterprise Mobility + Security. Para obter informações, consulte Controlar o acesso de dispositivos gerenciados. |
Agentes de usuário isentos alterados | CustomizeExemptUsers | Um administrador global ou do SharePoint personalizou a lista de agentes de usuário isentos no centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isto significa que, quando um agente de utilizador especificado como isento encontra um formulário do InfoPath, o formulário é devolvido como um ficheiro XML, em vez de uma página Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida. |
Política de acesso à rede alterada | NetworkAccessPolicyChanged | Um administrador global do ou do SharePoint alterou a política de acesso baseado no local (também chamada de limite de rede confiável) no centro de administração do SharePoint ou usando o PowerShell do SharePoint Online. Esse tipo de política controla quem pode acessar os recursos do SharePoint e do OneDrive em sua organização com base em intervalos de endereços IP autorizados, especificados por você. Para saber mais, confira Controlar o acesso aos dados do SharePoint Online e do Onedrive com base no local de rede. |
Tarefa de migração concluída | MigrationJobCompleted | Uma tarefa de migração foi concluída com êxito. |
Movimentação geográfica do site concluída | SiteGeoMoveCompleted | Uma movimentação geográfica do site que foi agendada por um administrador global em sua organização foi concluído com sucesso. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online. |
Conexão Enviar Para criada | SendToConnectionAdded | Um administrador global ou do SharePoint cria uma nova conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada. |
Conjunto de sites criado | SiteCollectionCreated | Um administrador global ou do SharePoint cria um conjunto de sites na sua organização do SharePoint Online ou um usuário provisiona seu site do OneDrive for Business. |
Site do hub órfão excluído | HubSiteOrphanHubDeleted | Um administrador global ou do SharePoint excluiu um site do hub órfão, que é um site do hub que não tem sites associados a ele. Um hub órfão provavelmente é causado pela exclusão do site do hub original. |
Conexão Enviar Para excluída | SendToConnectionRemoved | Um administrador global ou do SharePoint exclui uma conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint. |
Site excluído | SiteDeleted | O administrador do site exclui um arquivo. |
Visualização de documentos habilitada | PreviewModeEnabledSet | O administrador do site habilita a visualização de documentos para um site. |
Fluxo de trabalho legado habilitado | LegacyWorkflowEnabledSet | O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint 2013 ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint. |
Office on Demand habilitado | OfficeOnDemandSet | O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Microsoft 365 que inclua aplicativos completos do Office instalados. |
Fonte de resultados habilitada para Pesquisas de Pessoas | PeopleResultsScopeSet | O administrador do site cria a fonte de resultado para Pesquisas de Pessoas em um site. |
RSS feeds habilitados | NewsFeedEnabledSet | O proprietário ou administrador do site habilita RSS feeds para um site. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint. |
Site associado ao site do hub | HubSiteJoined | Um proprietário de site associa seus sites a um site do hub. |
Cota do conjunto de sites modificado | SiteCollectionQuotaModified | O administrador do site modifica a cota para uma conjunto de sites. |
Site do hub registrado | HubSiteRegistered | Um administrador global ou do SharePoint cria um site do hub. Os resultados são que o site é registrado para ser um site do hub. |
Local de dados permitido removido | AllowedDataLocationDeleted | Um administrador global ou do SharePoint removeu um local de dados permitido em um ambiente multigeográfico. |
Administrador de localização geográfica removido | GeoAdminDeleted | Um administrador global ou do SharePoint removeu um usuário como um administrador geográfico de um local. |
Site renomeado | SiteRenamed | O proprietário ou administrador do site renomeia um site |
Movimentação geográfica do site agendada | SiteGeoMoveScheduled | Um administrador global ou do SharePoint agenda com êxito uma movimentação geográfica do site do SharePoint ou do OneDrive. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online. |
Definir site do host | HostSiteSet | Um administrador global ou do SharePoint altera o site designado para hospedar sites pessoais ou do OneDrive for Business. |
Definir a cota de armazenamento para uma localização geográfica | GeoQuotaAllocated | Um administrador global ou do SharePoint configurou a cota de armazenamento para uma localização geográfica em um ambiente multigeográfico. |
Site desvinculado do site do hub | HubSiteUnjoined | Um proprietário de site dissocia o site de um site do hub. |
Site do hub não registrado | HubSiteUnregistered | Um administrador global ou do SharePoint cancela registro de um site como um site do hub. Quando o registro de um site do hub é cancelado, ele não funciona mais como um site do hub. |
Atividades de permissões de site
A tabela a seguir lista os eventos relacionados para atribuir permissões no SharePoint e usar grupos para conceder (e revogar) acesso aos sites. Conforme explicado anteriormente, os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
Nome amigável | Operação | Descrição |
---|---|---|
Administrador de conjunto de sites adicionado | SiteCollectionAdminAdded | O proprietário ou administrador do conjunto de sites adiciona uma pessoa como administrador de conjunto de sites para um site. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. Essa atividade também será registrada quando um administrador conceder acesso a uma conta do usuário do Onedrive (editando o perfil do usuário no centro de administração do SharePoint ou usando o centro de administração do Microsoft 365). |
Usuário ou grupo adicionado ao grupo do SharePoint | AddedToGroup | O usuário adicionou um membro ou convidado a um grupo do SharePoint. Esta pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de compartilhamento. |
Herança de nível de permissão interrompida | PermissionLevelsInheritanceBroken | Um item foi alterado para que ele não mais herde os níveis de permissão de seu pai. |
Compartilhamento de herança interrompido | SharingInheritanceBroken | Um item foi alterado para que não herde mais as permissões de compartilhamento de seu pai. |
Grupo criado | GroupAdded | O proprietário ou administrador do site cria um grupo para um site ou realiza uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado. |
Grupo excluído | GroupRemoved | O usuário exclui um grupo de um site. |
Configuração da solicitação de acesso modificada | WebRequestAccessModified | As configurações de solicitação de acesso foram modificadas em um site. |
Configuração “Membros Podem Compartilhar" modificado | WebMembersCanShareModified | A configuração Membros Podem Compartilhar foi modificada em um site. |
Nível de permissão modificado em um conjunto de sites | PermissionLevelModified | Um nível de permissão foi alterado em um conjunto de sites. |
Permissões de site modificadas | SitePermissionsModified | O proprietário ou administrador do site (ou a conta do sistema) altera o nível de permissão que é atribuído a um grupo em um site. Essa atividade também será registrada se todas as permissões forem removidas de um grupo. OBSERVAÇÃO: Esta operação foi preterida no SharePoint Online. Para localizar os eventos relacionados, você pode procurar outras atividades relacionadas à permissão, como Administrador do conjunto de sites adicionado, Usuário ou grupo adicionado ao grupo do SharePoint, Usuário permitido para criar grupo, Grupo criado, e Grupo excluído. |
Nível de permissão removido do conjunto de sites | PermissionLevelRemoved | Um nível de permissão foi removido de um conjunto de sites. |
Administrador de conjunto de sites removido | SiteCollectionAdminRemoved | O proprietário ou administrador do conjunto de sites remove uma pessoa como administrador de conjunto de sites para um site. Essa atividade também será registrada quando um administrador remover a si mesmo da lista de administradores de conjunto de sites para a conta do usuário do OneDrive (editando o perfil de usuário no centro de administração do SharePoint). Para retornar essa atividade nos resultados de pesquisa do log de auditoria, é preciso procurar todas as atividades. |
Usuário ou grupo removido do grupo do SharePoint | RemovedFromGroup | O usuário removeu um membro ou convidado de um grupo do SharePoint. Essa pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de cancelamento de compartilhamento. |
Permissões de administrador de site solicitadas | SiteAdminChangeRequest | O usuário solicita ser adicionado como administrador do conjunto de sites para um conjunto de sites. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
Herança de compartilhamento restaurada | SharingInheritanceReset | Uma alteração foi feita para que um item herde permissões de compartilhamento de seu pai. |
Grupo atualizado | GroupUpdated | O proprietário ou administrador do site altera as configurações de um grupo para um site. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas. |
Atividades de sincronização
A tabela a seguir lista as atividades de sincronização de arquivos no SharePoint Online e no OneDrive for Business.
Nome amigável | Operação | Descrição |
---|---|---|
Computador com permissão para sincronizar arquivos | ManagedSyncClientAllowed | O usuário estabelece com êxito uma relação de sincronização com um site. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de lista de lista de destinatários seguros) que podem acessar bibliotecas de documentos em sua organização. Para obter mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis. |
Computador impedido de sincronizar arquivos | UnmanagedSyncClientBlocked | O utilizador tenta estabelecer uma relação de sincronização com um site a partir de um computador que não é membro do domínio da sua organização ou é membro de um domínio que não foi adicionado à lista de domínios (denominada lista de destinatários seguros) que podem aceder a bibliotecas de documentos na sua organização. A relação de sincronização não é permitida e o computador do utilizador está impedido de sincronizar, transferir ou carregar ficheiros numa biblioteca de documentos. Para mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis. |
Arquivos baixados no computador | FileSyncDownloadedFull | O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
Alterações de arquivo baixadas no computador | FileSyncDownloadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
Arquivos carregados na biblioteca de documentos | FileSyncUploadedFull | O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
Alterações de arquivo carregadas na biblioteca de documentos | FileSyncUploadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
Atividades do SystemSync
A tabela a seguir lista as atividades para SystemSync que estão registradas no log de auditoria do Microsoft 365.
Nome amigável | Operação | Descrição |
---|---|---|
Compartilhamento de dados criado | DataShareCreated | Quando a exportação de dados é criada pelo usuário. |
Compartilhamento de dados excluído. | DataShareDeleted | Quando a exportação de dados é excluída pelo usuário. |
Gerar cópia de dados do Lake | GenerateCopyOfLakeData | Quando a cópia do Lake Data é gerada. |
Baixar cópia dos dados do Lake | DownloadCopyOfLakeData | Quando a cópia dos dados do Lake é baixada. |
Atividades de administração de usuários
A tabela a seguir lista as atividades de administração de usuários que são registradas quando um administrador adiciona ou altera uma conta de usuário usando o Centro de administração do Microsoft 365 ou o portal de gerenciamento do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( .
). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" "
) para conter o nome da operação.
Atividade | Operação | Descrição |
---|---|---|
Usuário adicionado | Adicionar usuário. | Uma conta de usuário foi criada. |
Licença de usuário alterada | Altere a licença do usuário. | A licença atribuída a um usuário foi alterada. Para ver quais licenças foram alteradas, veja a atividade Usuário atualizado correspondente. |
Senha do usuário alterada | Altere a senha de usuário. | Um usuário altera sua senha. A redefinição de senha de autoatendimento deve estar ativada (para todos ou usuários selecionados) na sua organização para permitir que os usuários redefinam suas senhas. Também pode controlar a atividade de reposição personalizada de palavra-passe no Microsoft Entra ID. Para obter mais informações, veja Opções de relatórios para Microsoft Entra gestão de palavras-passe. |
Usuário excluído | Excluir usuário. | Uma conta de usuário foi excluída. |
Redefinir senha do usuário | Redefina a senha do usuário. | O administrador redefine a senha de um usuário. |
Propriedade definida que força o usuário a alterar a senha | Defina forçar a alteração da senha do usuário. | O administrador define a propriedade que força um usuário a alterar sua senha na próxima vez que o usuário entrar no Microsoft 365. |
Definir propriedades de licenças | Defina as propriedades de licenças. | O administrador modifica as propriedades de uma licença atribuída a um usuário. |
Usuário atualizado | Atualize o usuário. | O administrador altera uma ou mais propriedades de uma conta de usuário. Para obter uma lista das propriedades do utilizador que podem ser atualizadas, veja a secção "Atualizar atributos do utilizador" em Microsoft Entra auditar Eventos de Relatórios. |
atividades de Viva Goals
A tabela seguinte lista as atividades de utilizador e administrador no Viva Goals que são registadas para auditoria. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Pesquise nos detalhes do registo de auditoria como pode procurar os registos de auditoria no portal do Microsoft Purview e no portal de conformidade. O utilizador tem de ser um administrador global ou ter permissões de leitura de auditoria para aceder aos registos de auditoria. Pode utilizar o filtro Atividades para procurar atividades específicas e para listar todas as atividades Viva Goals que pode escolher "VivaGoals" no filtro Tipo de registo. Também pode utilizar as caixas de intervalo de datas e a lista Utilizadores para restringir ainda mais os resultados da pesquisa.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
Organização criada | Organização criada | Administração ou o utilizador criou uma nova organização no Viva Goals. |
Utilizador adicionado | Utilizador adicionado | Um novo utilizador foi adicionado a uma organização no Viva Goals. |
Utilizador desativado | Utilizador desativado | Um utilizador foi desativado numa organização. |
Utilizador eliminado | Utilizador eliminado | Um utilizador foi eliminado de uma organização no Viva Goals. |
Usuário conectado | Usuário conectado | O utilizador iniciou sessão no Viva Goals. |
Equipa adicionada | Equipa adicionada | Foi criada uma nova equipa numa organização no Viva Goals. |
Equipa atualizada | Equipa atualizada | Uma equipa dentro de uma organização no Viva Goals foi modificada ou atualizada. |
Equipe excluída | Equipe excluída | Uma equipa dentro de uma organização no Viva Goals foi eliminada pelo utilizador. |
Dados exportados | Dados exportados | Um utilizador exportou uma lista de OKRs ou uma lista de utilizadores numa organização no Viva Goals. |
Goals política atualizada | Goals política atualizada | O administrador global modificou a política ou as definições ao nível do inquilino no Viva Goals. Por exemplo, o administrador global configurou quem pode criar organizações no Viva Goals. |
Definições da organização atualizadas | Definições da organização atualizadas | O utilizador (normalmente proprietários ou administradores da organização) atualizou as definições específicas da organização no Viva Goals. |
Integrações da organização atualizadas | Integrações da organização atualizadas | O utilizador (normalmente Proprietários ou administradores da organização) configurou uma integração de terceiros ou atualizou uma integração de terceiros existente para uma organização no Viva Goals. |
OKR ou Project criado | OKR ou Project criado | O utilizador criou um OKR ou Um Projeto no Viva Goals. |
OKR ou Project atualizado | OKR ou Project atualizado | Um OKR/Project foi modificado ou foi efetuada uma marcar pelo utilizador ou uma integração no Viva Goals. |
OKR ou Project eliminados | OKR ou Project eliminados | O utilizador eliminou um OKR ou Um Projeto. |
Dashboard criado | Dashboard criado | O utilizador criou uma nova dashboard no Viva Goals |
Dashboard atualizado | Dashboard atualizado | O utilizador atualizou uma dashboard no Viva Goals |
Dashboard eliminado | Dashboard eliminado | O utilizador eliminou uma dashboard no Viva Goals. |
atividades de Viva Engage
A tabela seguinte lista as atividades de utilizador e administrador no Viva Engage que são registadas no registo de auditoria. Para devolver Viva Engage atividades relacionadas com o registo de auditoria, tem de selecionar Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.
Observação
Algumas atividades de auditoria Viva Engage só estão disponíveis em Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que essas atividades sejam registradas no log de auditoria. Para obter mais informações, veja Auditoria (Premium). Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
Na tabela a seguir, as atividades de Auditoria (Premium) são destacadas com um asterisco (*).
Nome amigável | Operação | Descrição |
---|---|---|
Política de retenção de dados alterada | SoftDeleteSettingsUpdated | O administrador verificado atualiza a configuração da política de retenção de dados da rede para Exclusão Irreversível ou Exclusão Temporária. Somente administradores verificados podem realizar essa operação. |
Configuração de rede alterada | NetworkConfigurationUpdated | O administrador verificado ou de rede altera a configuração do Viva Engage rede. Isso inclui a definição do intervalo de exportação de dados e de habilitação do chat. |
Configurações de perfil de rede alteradas | ProcessProfileFields | O administrador de rede ou verificado altera as informações que aparecem em perfis de membro para a rede de usuários da rede. |
Modo de Conteúdo Particular modificado | SupervisorAdminToggled | O administrador verificado ativa ou desativa o Modo de Conteúdo Privado . Esse modo permite que um administrador visualize postagens em grupos particulares e visualize mensagens particulares entre usuários individuais (ou grupos de usuários). Somente administradores verificados podem realizar essa operação. |
Configurações de segurança alteradas | NetworkSecurityConfigurationUpdated | O administrador verificado atualiza a configuração de segurança do Viva Engage rede. Isso inclui a definição de políticas de expiração de senha e restrições de endereços IP. Somente administradores verificados podem realizar essa operação. |
Arquivo criado | FileCreated | O usuário carrega um arquivo. |
Grupo criado | GroupCreation | O usuário cria um grupo. |
Mensagem criada | MessageCreation | O usuário cria uma mensagem. |
Grupo excluído | GroupDeletion | Um grupo é eliminado do Viva Engage. |
Mensagem excluída | MessageDeleted | O usuário exclui uma mensagem. |
Arquivo baixado | FileDownloaded | O usuário baixa um arquivo. |
Dados exportados | DataExport | O administrador verificado exporta Viva Engage dados de rede. Somente administradores verificados podem realizar essa operação. |
Falha ao acessar a comunidade | CommunityAccessFailure | O usuário não pôde acessar uma comunidade. |
Falha ao acessar o arquivo | FileAccessFailure | O usuário não pôde acessar um arquivo. |
Falha ao acessar a mensagem | MessageAccessFailure | O usuário não pôde acessar uma mensagem. |
Reagiu à mensagem | MarkedMessageChanged | O utilizador reagiu a uma mensagem. |
Remover tópico organizado* | RemoveCuratedTopic | O utilizador remove um tópico organizado. |
Arquivo compartilhado | FileShared | O usuário compartilha um arquivo com outros usuários. |
Usuário de rede suspenso | NetworkUserSuspended | O administrador verificado ou de rede suspende (desativa) um utilizador de Viva Engage. |
Usuário suspenso | UserSuspension | A conta de usuário é suspensa ou desativada. |
Descrição de arquivo atualizada | FileUpdateDescription | O usuário modifica a descrição de um arquivo. |
Nome de arquivo atualizado | FileUpdateName | O usuário modifica o nome de um arquivo. |
Mensagem atualizada | MessageUpdated | O usuário atualiza uma mensagem. |
Arquivo exibido | FileVisited | O usuário exibe um arquivo. |
Mensagem visualizada | MessageViewed | O usuário visualiza uma mensagem. |
atividades do Viva Pulse
A tabela seguinte lista as atividades de utilizador e administrador no Viva Pulse que são registadas para auditoria. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Pesquise nos detalhes do registo de auditoria como pode procurar os registos de auditoria no portal do Microsoft Purview e no portal de conformidade. O utilizador tem de ser um administrador global ou ter permissões de leitura de auditoria para aceder aos registos de auditoria. Pode utilizar o filtro Atividades para procurar atividades específicas e para listar todas as atividades Viva Pulse, pode escolher VivaPulse no filtro Tipo de registo. Também pode utilizar as caixas de intervalo de datas e a lista Utilizadores para restringir ainda mais os resultados da pesquisa.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Nome amigável | Operação | Descrição |
---|---|---|
O utilizador submeteu a resposta a um inquérito de pulso | PulseSubmit | Administração ou utilizador forneceu feedback para um pedido de feedback do Viva Pulse. |
O utilizador criou um inquérito do Pulse | PulseCreate | É criado um novo pedido de feedback Viva Pulse. |
O utilizador alargou o prazo do inquérito de pulso | PulseExtendDeadline | O prazo para o pedido de feedback do Viva Pulse existente foi alargado. |
Utilizador convidou utilizadores adicionais para o inquérito do Pulse | PulseInvite | Foram convidados utilizadores adicionais para um pedido de feedback do Viva Pulse existente. |
O utilizador cancelou um inquérito do Pulse | PulseCancel | O utilizador cancelou um inquérito do Pulse. |
O utilizador partilhou um relatório de pulso | PulseShareResults | Viva o resultado do feedback do Pulse foi partilhado com os utilizadores. |
O utilizador criou um rascunho do Pulse | PulseCreateDraft | O utilizador criou um rascunho do Pulse. |
O utilizador eliminou um rascunho do Pulse | PulseDeleteDraft | O utilizador eliminou um rascunho do Pulse. |
Administração eliminou os dados de um utilizador | PulseDeleteUserData | Administração eliminou os dados de um utilizador. |
Administração definições atualizadas do inquilino | PulseTenantSettingsUpdate | Administração atualizado uma definição de organização para Viva Pulse. |
Windows 365 atividades do Sistema de Proteção de Dados do Cliente
A tabela seguinte lista as atividades de utilizador e administrador no Windows 365 Sistema de Proteção de Dados do Cliente com sessão iniciada no registo de auditoria. Para devolver Windows 365 atividades relacionadas com o Sistema de Proteção de Dados do Cliente a partir do registo de auditoria, selecione Windows365CustomerLockbox em Tipos de registo. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.
Nome amigável | Operação | Descrição |
---|---|---|
Acionar a remediação do dispositivo | Acionar a remediação do dispositivo | Acionar a remediação do dispositivo. |
Carregar pasta para blob | Carregar pasta para blob | Comprima e carregue a pasta do dispositivo do cliente para o blob. |
Verificar a Política de Execução do PowerShell | Verificar a Política de Execução do PowerShell | Verifique a política de execução do PowerShell. |
Instalar o agente RD | Instalar o agente RD | Instale o agente RD no dispositivo do utilizador. |
Executar a extensão híbrida do AADJ | Executar a extensão híbrida do AADJ | Execute a extensão AADJ híbrida no dispositivo do utilizador. |
Criar Pedido VmExtension | Criar Pedido VmExtention | Cria pedidos de extensão de VM para executar a extensão de VM para executar scripts personalizados no dispositivo do cliente. |
Orquestrador de acionadores | Orquestrador de acionadores | Acionar orquestrador para o utilizador. |
Acionar a ação genérica por SaaF | Acionar a ação genérica por SaaF | Acionar a ação do dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para o utilizador. |
Acionar ação genérica | Acionar ação genérica | Acionar a ação do dispositivo para o utilizador. |
Acionar ação genérica com opções | Acionar ação genérica com opções | Acione a ação do dispositivo com parâmetros de opção, mais potentes do que os da ação genérica do acionador. |
Criar novos itens de trabalho (Scheduler) | Criar novos itens de trabalho (Scheduler) | Criar novos itens de trabalho, por exemplo, Aprovisionar, Desaprovisionar, Aprovisionar, etc. |
Pós-Operação de Ação Remota | Pós-Operação de Ação Remota | Publicar Ação Remota, além de consultar o resultado através da operação GetActions. |
Executar Comandos do OCE na VM | Executar Comandos do OCE na VM | Execute comandos por tenantID, lista deviceID e script. |
Criar Pedido LogCollection | Criar Pedido LogCollection | Crie um pedido de recolha de registos para o CLOUD PC. |
Acionar marcar Canary do Agente CMD. | Acionar marcar Canary do Agente CMD. | Acionar marcar Canary do Agente CMD num dispositivo específico. |
Executar AppHealthPlugin | Executar AppHealthPlugin | Execute AppHealthPlugin. |
Agente CMD de Backfill | Operação AddDevicesToBackfill | Agente CMD de Backfill no PC na Cloud. |
Reinstalar o Agente CMD | Operação AddDevicesToReinstall | Reinstale o Agente CMD a pedido. |
Reinstalar o Agente CMD em massa | Operação TriggerClientAgentCheckBulkAction | Reinstalar em massa o agente CMD a pedido. |
Criar Operação de Ação Remota em ActionModeratorService | Criar Operação de Ação Remota em ActionModeratorService | Crie a ação remota por tenantID, workspaceID, actionType, actionParameters. |