Esquema da API da Atividade de Gerenciamento do Office 365
O esquema da API de Atividade de Gestão de Office 365 é fornecido como um serviço de dados em duas camadas:
Esquema comum. A interface para acessar os principais conceitos de auditoria do Office 365, como Tipo de registro, Hora de criação, Tipo de usuário e Ação, além de fornecer dimensões principais (como ID de usuário), especificações do local (como endereço IP do cliente) e propriedades específicas do serviço (como ID de objeto). Ele estabelece exibições uniformes e consistentes para os usuários extraírem todos os dados de auditoria do Office 365 em algumas exibições de nível superior com os parâmetros apropriados e fornece um esquema fixo para todas as fontes de dados, o que reduz significativamente o custo do aprendizado. O esquema Comum é originado de dados de produto que pertencem a cada equipe de produto, como o Exchange, o SharePoint, o Azure Active Directory, o Yammer e o OneDrive for Business. O campo ID de objeto pode ser estendido por equipes de produtos do Microsoft 365 para adicionar propriedades específicas do serviço.
Esquema específico do serviço. Criado sobre o esquema comum para fornecer um conjunto de atributos específicos do serviço do Microsoft 365; por exemplo, esquema do SharePoint, esquema do OneDrive for Business e esquema de administração do Exchange.
Esquemas da API de Gerenciamento do Office 365
Este artigo fornece detalhes sobre o esquema Comum, bem como esquemas específicos do serviço. A tabela a seguir descreve os esquemas disponíveis.
Nome do esquema | Descrição |
---|---|
Esquema Comum | O modo de exibição para extrair o Tipo de registro, ID de usuário, IP do cliente, Tipo de usuário e Ação junto com as dimensões principais, como propriedades do usuário (como UserID), propriedades do local (como IP do cliente) e propriedades específicas do serviço (como ID de objeto). |
Esquema copilot | Os eventos incluem como e quando interagir com o Copilot, no qual o serviço do Microsoft 365 ocorreu, e referências aos ficheiros armazenados no Microsoft 365 que foram acedidos durante a interação. |
Esquema Base do SharePoint | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do SharePoint. |
Operações de Arquivos do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do acesso e manipulação de arquivos no SharePoint. |
Listar Operações do Sharepoint | Estende o esquema Base do SharePoint com as propriedades específicas para interações com listas e itens de lista no SharePoint Online. |
Esquema de compartilhamento do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do compartilhamento de arquivos. |
Esquema do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do SharePoint, mas não está relacionado ao acesso e manipulação de arquivos. |
Esquema do Project | Estende o esquema Base do SharePoint com as propriedades específicas do Project. |
Esquema de administração do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do Exchange. |
Esquema de caixa de correio do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria da caixa de correio do Exchange. |
Esquema de Autenticação OWA | Expande o esquema Comum com as propriedades específicas dos dados da Autenticação OWA. |
esquema base do Microsoft Entra ID | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra. |
Microsoft Entra esquema de início de sessão da conta | Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão Microsoft Entra. |
Microsoft Entra ID esquema de Início de Sessão STS Seguro | Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão do Serviço de Token Seguro (STS) Microsoft Entra ID. |
Microsoft Entra esquema | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra. |
Esquema DLP | Estende o esquema Comum com as propriedades específicas de Eventos de Prevenção Contra Perda de Dados. |
Esquema do Centro de Conformidade e Segurança | Estende o esquema Comum com as propriedades específicas de todos os Eventos do Centro de Conformidade e Segurança. |
Esquema de Alertas de Conformidade e Segurança | Estende o esquema Comum com as propriedades específicas de todos os alertas de conformidade e segurança do Office 365. |
Esquema do Yammer | Estende o esquema Comum com as propriedades específicas de todos os eventos do Yammer. |
Esquema Base de Segurança do Data Center | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria de segurança do data center. |
Esquema Cmdlet de Segurança do Data Center | Estende o esquema Base de Segurança do Data Center com as propriedades específicas de todos os dados de auditoria do cmdlet de segurança do datacenter. |
Esquema do Microsoft Teams | Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Teams. |
Microsoft Defender para Office 365 e esquema de Investigação e Resposta a Ameaças | Estende o esquema Comum com as propriedades específicas do Defender for Office 365 e investigação de ameaças e dados de resposta. |
Esquema de envio | Estende o Esquema Comum com as propriedades específicas para envios de usuário e administrador no Microsoft Defender para Office 365. |
Esquema de eventos de investigação e resposta automatizadas | Estende o esquema Comum com as propriedades específicas para os eventos de investigação e resposta (AIR) automatizados do Office 365. Para ver um exemplo, consulte o blog da Comunidade de Tecnologia: Melhore a eficácia do seu SOC com o Microsoft Defender para Office 365 e a API de gerenciamento do O365. |
Esquema de eventos de higiene | Estende o esquema Comum com as propriedades específicas para eventos na Proteção do Exchange Online e no Microsoft Defender para Office 365. |
Esquema do Power BI | Estende o esquema Comum com as propriedades específicas de todos os eventos do Power BI. |
Esquema do Dynamics 365 | Estende o esquema Comum com as propriedades específicas dos eventos do Dynamics 365. |
Esquema do Workplace Analytics | Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Workplace Analytics. |
Esquema de quarentena | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
Esquema do Microsoft Forms | Estende o esquema Comum com as propriedades específicas a todos os eventos do Microsoft Forms. |
Esquema de rótulos MIP | Estende o esquema comum com as propriedades específicas a rótulos de sensibilidade aplicados manualmente ou automaticamente às mensagens de email. |
Esquema de eventos do portal de mensagens criptografadas | Estende o esquema Comum com as propriedades específicas do portal de mensagens criptografadas acessadas por destinatários externos. |
Esquema de conformidade de comunicações do Exchange | Estende o esquema comum com as propriedades específicas para o modelo de linguagem ofensiva de conformidade de comunicações. |
Esquema de relatórios | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
Esquema do conector de conformidade | Estende o esquema Comum com as propriedades específicas para importar dados que não são da Microsoft usando conectores de dados. |
Esquema SystemSync | Estende o esquema Comum com as propriedades específicas dos dados ingeridos por meio do SystemSync. |
Viva Goals esquema | Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Goals. |
Microsoft Planner esquema | Expande o esquema Comum com as propriedades específicas para Microsoft Planner eventos. |
Esquema do Microsoft Project para a Web | Expande o esquema Comum com as propriedades específicas dos eventos do Microsoft Project para a Web. |
esquema Viva Pulse | Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Pulse. |
Esquema do Gestor de Conformidade | Expande o esquema Comum com as propriedades específicas dos eventos do Gestor de Conformidade. |
Esquema de Política de Cópia de Segurança | Expande o esquema Comum com as propriedades específicas para políticas de Backup do Microsoft 365. |
Restaurar Esquema de tarefas | Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 Tarefas de Restauro. |
Esquema de Item de Cópia de Segurança | Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 artefactos. |
Restaurar esquema de Item | Expande o esquema comum com as propriedades específicas para Backup do Microsoft 365 Restaurar Itens. |
Esquema do serviço de Política de Cloud | Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria do serviço da Política de Cloud. |
Esquema de configuração do perfil do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do perfil do Cloud Update. |
Esquema de configuração do inquilino do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do inquilino do Cloud Update. |
Esquema de configuração de dispositivos do Cloud Update | Expande o esquema Comum com as propriedades específicas dos dados de auditoria de configuração do dispositivo do Cloud Update. |
Esquema Comum
EntityType Name: AuditRecord
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Id | Combination GUIDEdm.Guid | Sim | Identificador exclusivo de um registro de auditoria. |
RecordType | Self.AuditLogRecordType | Sim | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. |
CreationTime | Edm.Date | Sim | A data e hora na Hora Universal Coordenada (UTC) em que o registo de auditoria foi gerado. |
Operation | Edm.String | Sim | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. Para eventos Dlp, as opções podem ser "DlpRuleMatch", "DlpRuleUndo" ou "DlpInfo", que são descritas em "Esquema DLP" abaixo. |
OrganizationId | Edm.Guid | Sim | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
UserType | Self.UserType | Sim | O tipo de usuário que executou a operação. Confira a tabela UserType para detalhes sobre os tipos de usuários. |
UserKey | Edm.String | Sim | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
Workload | Edm.String | Sim | O serviço do Office 365 em que a atividade ocorreu. |
ResultStatus | Edm.String | Não | Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. Os valores possíveis são Succeeded, PartiallySucceeded ou Failed. Para a atividade de administração do Exchange, o valor é Verdadeiro ou Falso. Importante: Cargas de trabalho diferentes podem substituir o valor da propriedade ResultStatus. Por exemplo, para Microsoft Entra ID eventos de início de sessão STS, um valor com Êxito para ResultStatus indica apenas que a operação HTTP foi bem-sucedida; não significa que o início de sessão foi bem-sucedido. Para determinar se o início de sessão real foi ou não bem-sucedido, veja a propriedade LogonError no Microsoft Entra ID esquema de Início de Sessão STS. Se o logon falhar, o valor dessa propriedade conterá o motivo da falha na tentativa de logon. |
ObjectId | Edm.string | Não | Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. Para o serviço Cloud Policy, o ID de objeto da configuração da política. |
UserId | Edm.string | Sim | O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name . Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria. |
ClientIP | Edm.String | Sim | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Microsoft Entra ID eventos relacionados, o endereço IP não é registado e o valor da propriedade ClientIP é null . |
Escopo | Self.AuditLogScope | Não | Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente. |
AppAccessContext | CollectionSelf.AppAccessContext | Não | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. |
Enumeração: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
Valor | Nome do membro | Descrição |
---|---|---|
1 | ExchangeAdmin | Eventos do log de auditoria do administrador do Exchange. |
2 | ExchangeItem | Eventos de um log de auditoria de caixa de correio do Exchange para ações executadas em um único item, como criar ou receber uma mensagem de email. |
3 | ExchangeItemGroup | Eventos de um log de auditoria de caixa de correio do Exchange para ações que podem ser executadas em vários itens, como mover ou excluir uma ou mais mensagens de email. |
4 | SharePoint | Eventos do SharePoint. |
6 | SharePointFileOperation | Eventos de operação de arquivos do SharePoint. |
7 | OneDrive | Eventos do OneDrive for Business. |
8 | AzureActiveDirectory | Microsoft Entra ID eventos. |
9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID eventos de início de sessão OrgId (preterido). |
10 | DataCenterSecurityCmdlet | Eventos de cmdlet de segurança do Data Center. |
11 | ComplianceDLPSharePoint | Eventos de proteção contra perda de dados (DLP) no SharePoint e no OneDrive for Business. |
13 | ComplianceDLPExchange | Eventos de Proteção contra a Perda de Dados (DLP), quando configurados via Política DLP Unificada. Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange. |
14 | SharePointSharingOperation | Eventos de compartilhamento do SharePoint. |
15 | AzureActiveDirectoryStsLogon | Eventos de início de sessão do Serviço de Tokens Seguros (STS) no Microsoft Entra ID. |
16 | SkypeForBusinessPSTNUsage | Eventos da Rede Telefônica Pública Comutada (PSTN) do Skype for Business. |
17 | SkypeForBusinessUsersBlocked | Eventos de usuário bloqueados do Skype for Business. |
18 | SecurityComplianceCenterEOPCmdlet | Ações de administração do Centro de Conformidade e Segurança. |
19 | ExchangeAggregatedOperation | Eventos de auditoria de caixa de correio do Exchange agregado. |
20 | PowerBIAudit | Eventos do Power BI. |
21 | CRM | Eventos do Dynamics 365. |
22 | Yammer | Eventos do Yammer. |
23 | SkypeForBusinessCmdlets | Eventos do Skype for Business. |
24 | Descoberta | Eventos para atividades de Descoberta Eletrônica realizados executando pesquisas de conteúdo e gerenciando casos de Descoberta Eletrônica no Centro de Conformidade e Segurança. |
25 | MicrosoftTeams | Eventos do Microsoft Teams. |
28 | ThreatIntelligence | Eventos de phishing e malware da Proteção do Exchange Online e do Microsoft Defender para Office 365. |
29 | MailSubmission | Envio de eventos da Proteção do Exchange Online e do Microsoft Defender para Office 365. |
30 | MicrosoftFlow | Eventos do Microsoft Power Automate (anteriormente chamado de Microsoft Flow). |
31 | AeD | Eventos de Descoberta Eletrônica Avançada. |
32 | MicrosoftStream | Eventos do Microsoft Stream. |
33 | ComplianceDLPSharePointClassification | Eventos relacionados à classificação DLP no SharePoint. |
34 | ThreatFinder | Eventos relacionados à campanha do Microsoft Defender para Office 365. |
35 | Project | Eventos do Microsoft Project. |
36 | SharePointListOperation | Eventos da Lista do SharePoint. |
37 | SharePointCommentOperation | Eventos de comentário do Microsoft Office SharePoint Online. |
38 | DataGovernance | Eventos relacionados às políticas de retenção e rótulos de retenção no Centro de Conformidade e Segurança |
39 | Kaizala | Eventos do Kaizala. |
40 | SecurityComplianceAlerts | Sinais de alerta de conformidade e segurança. |
41 | ThreatIntelligenceUrl | Eventos de anulação de bloqueios e de tempo de bloqueio de links seguros a partir do Microsoft Defender para Office 365 |
42 | SecurityComplianceInsights | Eventos relacionados à informações e relatórios no centro de segurança e conformidade do Office 365. |
43 | MIPLabel | Eventos relacionados à detecção no pipeline de transporte de mensagens de email que foram marcadas (manual ou automaticamente) com rótulos de confidencialidade. |
44 | WorkplaceAnalytics | Eventos do Workplace Analytics. |
45 | PowerAppsApp | Eventos dos Aplicativos de Energia. |
46 | PowerAppsPlan | Eventos de plano de assinatura para Power Apps. |
47 | ThreatIntelligenceAtpContent | Eventos de phishing e malware para arquivos no SharePoint, OneDrive for Business e Microsoft Teams do Microsoft Defender para Office 365. |
48 | LabelContentExplorer | Eventos relacionados ao explorador de conteúdo de classificação de dados. |
49 | TeamsHealthcare | Eventos relacionados ao Aplicativo dos pacientes no Microsoft Teams para Assistência Médica. |
50 | ExchangeItemAggregated | Eventos relacionados à ação de auditoria da caixa de correio MailItemsAccessed. |
51 | HygieneEvent | Eventos relacionados à proteção contra spam de saída. |
52 | DataInsightsRestApiAudit | Informações sobre os dados de eventos da API REST. |
53 | InformationBarrierPolicyApplication | Eventos relacionados à aplicação de políticas de barreira de informação. |
54 | SharePointListItemOperation | Eventos de item de lista do SharePoint. |
55 | SharePointContentTypeOperation | Eventos do tipo de conteúdo de lista do SharePoint. |
56 | SharePointFieldOperation | Eventos de campo de lista do SharePoint. |
57 | MicrosoftTeamsAdmin | Eventos de administração do Teams. |
58 | HRSignal | Eventos relacionados a sinais de dados de RH que dão suporte à solução de gerenciamento de risco interno. |
59 | MicrosoftTeamsDevice | Eventos de dispositivo do Teams. |
60 | MicrosoftTeamsAnalytics | Eventos de análise do Teams. |
61 | InformationWorkerProtection | Eventos relacionados a alertas de usuários comprometidos. |
62 | Campanha | Eventos de campanha por email do Microsoft Defender para Office 365. |
63 | DLPEndpoint | Eventos Endpoint DLP. |
64 | AirInvestigation | Eventos de resposta automática de incidente (AIR). |
65 | Quarentena | Eventos de quarentena. |
66 | MicrosoftForms | Eventos do Microsoft Forms. |
67 | ApplicationAudit | Eventos de auditoria de aplicativos. |
68 | ComplianceSupervisionExchange | Eventos controlados pelo modelo de linguagem ofensivo de conformidade de comunicações. |
69 | CustomerKeyServiceEncryption | Eventos relacionados ao serviço de criptografia de chave do cliente. |
70 | OfficeNative | Eventos relacionados a rótulos de confidencialidade aplicados a documentos do Office. |
71 | MipAutoLabelSharePointItem | Eventos de rotulagem automática no Microsoft Office SharePoint Online. |
72 | MipAutoLabelSharePointPolicyLocation | Eventos de política de rotulagem automática no Microsoft Office SharePoint Online. |
73 | MicrosoftTeamsShifts | Eventos de Turnos do Teams. |
75 | MipAutoLabelExchangeItem | Eventos de rotulagem automática no Exchange. |
76 | CortanaBriefing | Resumo dos eventos por email. |
78 | WDATPAlerts | Eventos relacionados a alertas gerados pelo Windows Defender para Endpoint. |
79 | PowerAppsResource | Eventos relacionados com Conectores do Microsoft Power Platform (Pré-visualização). |
82 | SensitivityLabelPolicyMatch | Eventos gerados quando o arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
83 | SensitivityLabelAction | Evento gerado quando rótulos de sensibilidade são aplicados, atualizados ou removidos de um arquivo. |
84 | SensitivityLabeledFileAction | Eventos gerados quando um arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
85 | AttackSim | Eventos relacionados com atividades de utilizadores na Formação do & de Simulação de Ataques no Microsoft Defender para Office 365. |
86 | AirManualInvestigation | Eventos relacionados a investigações manuais em investigação e resposta automatizada (AIR). |
87 | SecurityComplianceRBAC | Eventos do RBAC de segurança e conformidade. |
88 | UserTraining | Eventos relacionados com a formação de utilizadores na Formação & de Simulação de Ataques no Microsoft Defender para Office 365. |
89 | AirAdminActionInvestigation | Eventos relacionados com ações de administrador na investigação e resposta automatizadas (AIR). |
90 | MSTIC | Eventos de inteligência de ameaças no Microsoft Defender para Office 365. |
91 | PhysicalBadgingSignal | Eventos relacionados a sinais físicos de identificação que são compatíveis com a solução de gerenciamento de risco interno. |
93 | AipDiscover | Eventos do scanner do AIP |
94 | AipSensitivityLabelAction | Eventos de etiqueta de confidencialidade do AIP |
95 | AipProtectionAction | Eventos de proteção do AIP |
96 | AipFileDeleted | Eventos de eliminação de ficheiros do AIP |
97 | AipHeartBeat | Eventos de heartbeat do AIP |
98 | MCASAlerts | Eventos correspondentes a alertas acionados pelo Microsoft Cloud App Security. |
99 | OnPremisesFileShareScannerDlp | Eventos relacionados à verificação de dados confidenciais em compartilhamentos de arquivos. |
100 | OnPremisesSharePointScannerDlp | Eventos relacionados à verificação de dados confidenciais no Microsoft Office SharePoint Online. |
101 | ExchangeSearch | Eventos relacionados ao uso do Outlook na Web (OWA) para pesquisar itens da caixa de correio. |
102 | SharePointSearch | Eventos relacionados à pesquisa no site inicial do Microsoft Office SharePoint Online de uma organização. |
103 | PrivacyInsights | Eventos de informações de privacidade. |
105 | MyAnalyticsSettings | Eventos do MyAnalytics. |
106 | SecurityComplianceUserChange | Eventos relacionados à modificação ou exclusão de um usuário. |
107 | ComplianceDLPExchangeClassification | Eventos de classificação do Exchange DLP. |
109 | MipExactDataMatch | Eventos de classificação Exact Data Match (EDM). |
113 | MS365DCustomDetection | Eventos relacionados a ações de detecção personalizadas no Microsoft 365 Defender. |
147 | CoreReportingSettings | Relatórios de eventos de configurações. |
148 | ComplianceConnector | Eventos relacionados à importação de dados que não são da Microsoft usando conectores de dados no Centro de conformidade do Microsoft Purview. |
154 | OMEPortal | Logs de eventos do portal de mensagens criptografados gerados por destinatários externos. |
164 | ScorePlatformGenericAuditRecord | Registo de Auditoria Genérico utilizado para Conectores de Dados. |
174 | DataShareOperation | Eventos relacionados ao compartilhamento de dados ingeridos por meio do SystemSync. |
181 | EduDataLakeDownloadOperation | Eventos relacionados à exportação de dados ingeridos do SystemSync do data lake. |
183 | MicrosoftGraphDataConnectOperation | Eventos relacionados a extrações feitas pelo Microsoft Graph Data Connect. |
186 | PowerPagesSite | Atividades relacionadas com o site do Power Pages. |
187 | PowerPlatformAdminDlp | Eventos relacionados com o DLP do Microsoft Power Platform (Pré-visualização). |
188 | PlannerPlan | Microsoft Planner planear eventos. |
189 | PlannerCopyPlan | Microsoft Planner copiar eventos do plano. |
190 | PlannerTask | Microsoft Planner eventos de tarefas. |
191 | PlannerRoster | Microsoft Planner eventos de lista e de associação à lista. |
192 | PlannerPlanList | Microsoft Planner listar eventos. |
193 | PlannerTaskList | Microsoft Planner eventos de lista de tarefas. |
194 | PlannerTenantSettings | Microsoft Planner eventos de definições de inquilino. |
195 | ProjectForThewebProject | Eventos de projeto do Microsoft Project para a Web. |
196 | ProjectForThewebTask | Eventos de tarefas do Microsoft Project para a Web. |
197 | ProjectForThewebRoadmap | Eventos de mapa de objetivos do Microsoft Project para a Web. |
198 | ProjectForThewebRoadmapItem | Eventos de itens de mapa de objetivos do Microsoft Project para a Web. |
199 | ProjectForThewebProjectSettings | Eventos de definições de inquilino do projeto do Microsoft Project para a Web. |
200 | ProjectForThewebRoadmapSettings | Eventos de definições de inquilino do mapa de objetivos do Microsoft Project para a Web. |
216 | Viva Goals | Viva Goals eventos. |
217 | MicrosoftGraphDataConnectConsent | Eventos para ações de consentimento realizadas por administradores de inquilinos para aplicações do Microsoft Graph Data Connect. |
218 | AttackSimAdmin | Eventos relacionados com atividades de administrador na Formação de & de Simulação de Ataques no Microsoft Defender para Office 365. |
230 | TeamsUpdates | Eventos de Aplicações do Teams Atualizações. |
231 | PlannerRosterSensitivityLabel | Microsoft Planner eventos de etiqueta de confidencialidade da lista. |
237 | DefenderExpertsforXDRAdmin | Microsoft Defender Eventos de ação de Administrador de Especialistas. |
251 | VfamCreatePolicy | Viva a política de Gestão de Acesso criar eventos. |
252 | VfamUpdatePolicy | Viva eventos de atualização da política de Gestão de Acesso. |
253 | VfamDeletePolicy | Viva eventos de eliminação da política de Gestão de Acesso. |
261 | CopilotInteraction | Eventos de interação copilot. |
275 | OWAAuth | Token de Acesso para Eventos emitidos com êxito pelo Recurso. |
280 | VivaPulseResponse | Viva eventos de resposta do inquérito pulse. |
281 | VivaPulseOrganizador | Viva eventos do organizador do inquérito pulse. |
282 | VivaPulseAdmin | Viva eventos de administração do Pulse. |
283 | VivaPulseReport | Viva Pulse reporta eventos relacionados. |
287 | ProjectForThewebAssignedToMeSettings | O Microsoft Project para a Web atribuído a eventos de definições de inquilino. |
288 | CloudPolicyService | Eventos do serviço Cloud Policy. |
298 | BackupPolicy | Eventos relacionados com políticas de Backup do Microsoft 365. |
299 | RestoreTask | Eventos relacionados com Backup do Microsoft 365 Tarefas de Restauro. |
300 | RestoreItem | Eventos relacionados com artefactos com cópia de segurança com Backup do Microsoft 365. |
301 | BackupItem | Eventos relacionados com itens que estão a ser restaurados com Backup do Microsoft 365. |
332 | ComplianceSettingsChange | As definições de Conformidade do Microsoft Purview alteram os eventos. |
337 | CloudUpdateProfileConfig | Eventos da configuração do perfil do Cloud Update. |
338 | CloudUpdateTenantConfig | Eventos da configuração do inquilino do Cloud Update. |
339 | CloudUpdateDeviceConfig | Eventos da configuração de dispositivos geridos do Cloud Update. |
Enumeração: User Type - Tipo: Edm.Int32
User Type
Valor | Nome do membro | Descrição |
---|---|---|
0 | Regular | Um utilizador normal sem permissões de administrador. |
1 | Reserved | Um valor reservado, não para utilização. |
2 | Admin | Um administrador na sua organização do Microsoft 365. ** |
3 | DCAdmin | Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. |
4 | System | Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano. |
5 | Application | Um evento de auditoria acionado por uma aplicação Microsoft Entra. |
6 | ServicePrincipal | Uma entidade de serviço. |
7 | CustomPolicy | Um cliente criou ou geriu uma política. |
8 | SystemPolicy | Uma política de sistema ou gerida pela Microsoft. |
9 | PartnerTechnician | O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP). |
10 | Guest | Um utilizador convidado ou anónimo. |
Observação
** Para Microsoft Entra eventos relacionados, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicarão que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identificará a pessoa (utilizador ou administrador normal) que realizou esta atividade.
Enumeração: AuditLogScope - Tipo: Edm.Int32
AuditLogScope
Valor | Nome do membro | Descrição |
---|---|---|
0 | Online | Este evento foi criado por um serviço hospedado no O365. |
1 | Onprem | Este evento foi criado por um servidor local. |
Tipo complexo AppAccessContext
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AADSessionId | Edm.String | Não | O Microsoft Entra SessionId do início de sessão entra que foi realizado pela aplicação em nome do utilizador. |
APIId | Edm.String | Não | O Id para o caminho da API que é usado para acessar o recurso; por exemplo, acesso por meio da API do Microsoft Graph. |
ClientAppId | Edm.String | Não | O ID da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador. |
ClientAppName | Edm.String | Não | O nome da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador. |
CorrelationId | Edm.String | Não | Um identificador que pode ser usado para correlacionar as ações de um usuário específico entre Microsoft 365 serviços. |
UniqueTokenId | Edm.String | Não | UniqueTokenId é definido se o token de Microsoft Entra estiver disponível para o pedido. É um identificador exclusivo por-token que diferencia maiúsculas de minúsculas. |
IssuedAtTime | Edm.Date | Não | "Emitido Em" é definido se o token de Microsoft Entra estiver disponível para o pedido e indicar quando ocorreu a autenticação para este token de Microsoft Entra. |
Esquema base do SharePoint
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Site | Edm.Guid | Não | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Não | O tipo de objeto que foi acessado ou modificado. Confira a tabela ItemType para obter detalhes sobre os tipos de objetos. |
EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Não | Identifica que um evento ocorreu no SharePoint. Valores possíveis são SharePoint ou ObjectModel. |
SourceName | Edm.String | Não | A entidade que acionou a operação auditada. Valores possíveis são SharePoint ou ObjectModel. |
UserAgent | Edm.String | Não | Informações sobre o cliente ou navegador do usuário. Esta informação é fornecida pelo cliente ou navegador. |
MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
ListItemUniqueId | Edm.Guid | Não | O GUID de um item de lista exclusivamente identificável. Esta informação está presente apenas se for aplicável. |
ListId | Edm.Guid | Não | O GUID da lista. Esta informação está presente apenas se for aplicável. |
ApplicationId | Edm.String | Não | O ID do aplicativo que está executando a operação. |
ApplicationDisplayName | Edm.String | Não | O nome de exibição do aplicativo que está executando a operação. |
IsWorkflow | Edm.Boolean | Não | Isso está definido como True se os Fluxos de Trabalho do SharePoint dispararem o evento auditado. |
Enumeração: ItemType - Tipo: Edm.Int32
ItemType
Valor | Nome do membro | Descrição |
---|---|---|
0 | Invalid | O item não consiste em nenhum dos outros tipos de itens (listados nesta tabela). |
1 | File | O item é um arquivo. |
5 | Folder | O item é uma pasta. |
6 | web | O item é uma Web. |
7 | Site | O item é um site. |
8 | Tenant | O item é um locatário. |
9 | DocumentLibrary | O item é uma biblioteca de documentos. |
11 | Page | O item é uma página. |
Enumeração: EventSource - Tipo: Edm.Int32
EventSource
Valor | Nome do membro | Descrição |
---|---|---|
0 | SharePoint | A origem do evento é o SharePoint. |
1 | ObjectModel | A origem do evento é o ObjectModel. |
Enumeração: SharePointAuditOperation - Tipo: Edm.Int32
Nome do membro | Descrição |
---|---|
AccessInvitationAccepted | O destinatário de um convite para exibir ou editar um arquivo compartilhado (ou pasta) acessou o arquivo compartilhado clicando no link do convite. |
AccessInvitationCreated | O usuário envia um convite a outra pessoa (dentro ou fora da organização) para exibir ou editar um arquivo ou pasta compartilhada em um site do SharePoint ou do OneDrive for Business. Os detalhes da entrada do evento identificam o nome do arquivo que foi compartilhado, o usuário ao qual o convite foi enviado e o tipo de permissão de compartilhamento selecionado pela pessoa que enviou o convite. |
AccessInvitationExpired | Um convite enviado a um usuário externo expira. Por padrão, um convite enviado a um usuário fora de sua organização expira após sete dias se o convite não for aceito. |
AccessInvitationRevoked | O administrador do site ou proprietário de um site ou documento no SharePoint ou OneDrive for Business retira um convite que foi enviado para um usuário fora da organização. Um convite pode ser retirado somente antes de ser aceito. |
AccessInvitationUpdated | O usuário que criou e enviou um convite a outra pessoa para exibir ou editar um arquivo (ou pasta) compartilhado em um site do SharePoint ou do OneDrive for Business reenvia o convite. |
AccessRequestApproved | O administrador do site ou proprietário de um site ou documento no SharePoint ou no OneDrive for Business aprova uma solicitação do usuário para acessar o site ou documento. |
AccessRequestCreated | O usuário solicita acesso a um site ou documento no SharePoint ou no OneDrive for Business que ele não tem permissão para acessar. |
AccessRequestRejected | O administrador do site ou proprietário de um site ou documento no SharePoint recusa uma solicitação do usuário para acessar o site ou documento. |
ActivationEnabled | Os usuários podem habilitar modelos de formulário para navegador que não contenham código de formulário, exijam confiança total, permitam a renderização em um dispositivo móvel ou usem uma conexão de dados gerenciada por um administrador de servidor. |
AdministratorAddedToTermStore | Administrador do repositório de termos adicionado. |
AdministratorDeletedFromTermStore | Administrador do repositório de termos excluído. |
AllowGroupCreationSet | O administrador ou proprietário do site adiciona um nível de permissão a um site do SharePoint ou do OneDrive for Business que permite ao usuário designado criar um grupo para esse site. |
AppCatalogCreated | Catálogo de aplicativos criado para disponibilizar aplicativos de negócios personalizados para o seu ambiente do SharePoint. |
AuditPolicyRemoved | Política de Ciclo de Vida do Documento removida para um conjunto de sites. |
AuditPolicyUpdate | Política de Ciclo de Vida do Documento atualizada para um conjunto de sites. |
AzureStreamingEnabledSet | Um proprietário de portal de vídeo permitiu o streaming de vídeo do Azure. |
CollaborationTypeModified | O tipo de colaboração permitido em sites (por exemplo, intranet, extranet ou público) foi modificado. |
ConnectedSiteSettingModified | O utilizador criou, modificou ou eliminou a ligação entre um projeto e um site de projeto ou o utilizador modifica a definição de sincronização na ligação no Project Web App. |
CreateSSOApplication | Aplicativo de destino criado no Serviço de Repositório Seguro. |
CustomFieldOrLookupTableCreated | O utilizador criou um campo personalizado ou uma tabela/item de referência no Project Web App. |
CustomFieldOrLookupTableDeleted | O utilizador eliminou um campo personalizado ou uma tabela/item de referência no Project Web App. |
CustomFieldOrLookupTableModified | O utilizador modificou um campo personalizado ou uma tabela/item de referência no Project Web App. |
CustomizeExemptUsers | O administrador global personalizou a lista de agentes do usuário isentos no Centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isto significa que, quando um agente de utilizador que especificou como isento encontrar um formulário do InfoPath, o formulário será devolvido como um ficheiro XML em vez de uma página Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida. |
DefaultLanguageChangedInTermStore* | Configuração de idioma alterada no repositório de terminologia. |
DelegateModified | O utilizador criou ou modificou um delegado de segurança no Project Web App. |
DelegateRemoved | O utilizador eliminou um delegado de segurança no Project Web App. |
DeleteSSOApplication | Um aplicativo SSO foi excluído. |
eDiscoveryHoldApplied | Um Bloqueio In-loco foi colocado em uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
eDiscoveryHoldRemoved | Um Bloqueio In-loco foi removido de uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
eDiscoverySearchPerformed | Uma pesquisa de Descoberta Eletrônica foi realizada usando um conjunto de sites de Descoberta Eletrônica no SharePoint. |
EngagementAccepted | O utilizador aceita uma atribuição de recursos no Project Web App. |
EngagementModified | O utilizador modifica uma atribuição de recursos no Project Web App. |
EngagementRejected | O utilizador rejeita uma atribuição de recursos no Project Web App. |
EnterpriseCalendarModified | O utilizador copia, modifica ou elimina um calendário empresarial no Project Web App. |
EntityDeleted | O utilizador elimina uma folha de horas no Project Web App. |
EntityForceCheckedIn | O utilizador força uma marcar num calendário, campo personalizado ou tabela de referência no Project Web App. |
ExemptUserAgentSet | O administrador global adiciona um agente do usuário à lista de agentes do usuário isentos no Centro de administração do SharePoint. |
FileAccessed | O usuário ou a conta do sistema acessa um arquivo em um site do SharePoint ou OneDrive for Business. Contas do sistema também podem gerar eventos FileAccessed. |
FileCheckOutDiscarded | O usuário descarta (ou desfaz) um arquivo que passou por check-out. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos. |
FileCheckedIn | O usuário devolve um documento que retirou de uma biblioteca de documentos do SharePoint ou do OneDrive for Business. |
FileCheckedOut | O usuário faz check-out de um documento localizado em uma biblioteca de documentos do SharePoint ou do OneDrive for Business. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles. |
FileCopied | O usuário copia um documento de um site do SharePoint ou do OneDrive for Business. O arquivo copiado pode ser salvo em outra pasta no site. |
FileDeleted | O usuário exclui um documento de um site do SharePoint ou do OneDrive for Business. |
FileDeletedFirstStageRecycleBin | O usuário exclui um arquivo da lixeira em um site do SharePoint ou do OneDrive for Business. |
FileDeletedSecondStageRecycleBin | O usuário exclui um arquivo da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business. |
FileDownloaded | O usuário faz download de um documento de um site do SharePoint ou do OneDrive for Business. |
FileFetched | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
FileModified | O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site do SharePoint ou do OneDrive for Business. |
FileMoved | O usuário move um documento de seu local atual em um site do SharePoint ou do OneDrive for Business para um novo local. |
FilePreviewed | O usuário visualiza um documento em um site do SharePoint ou OneDrive for Business. |
FileRecycled | O utilizador move um documento para a Reciclagem do SharePoint ou do OneDrive. |
FileRenamed | O usuário renomeia um documento em um site do SharePoint ou OneDrive for Business. |
FileRestored | O usuário restaura um documento da lixeira de um site do SharePoint ou OneDrive for Business. |
FileSyncDownloadedFull | O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
FileSyncDownloadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
FileSyncUploadedFull | O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
FileSyncUploadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
FileUploaded | O usuário faz upload de um documento para uma pasta em um site do SharePoint ou do OneDrive for Business. |
FileViewed | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
FolderCopied | O usuário copia uma pasta de um site do SharePoint ou do OneDrive for Business para outro local no SharePoint ou no OneDrive for Business. |
FolderCreated | O usuário cria uma pasta em um site do SharePoint ou do OneDrive for Business. |
FolderDeleted | O usuário exclui uma pasta de um site do SharePoint ou do OneDrive for Business. |
FolderDeletedFirstStageRecycleBin | O usuário exclui uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business. |
FolderDeletedSecondStageRecycleBin | O usuário exclui uma pasta da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business. |
FolderModified | O usuário modifica uma pasta em um site do SharePoint ou do OneDrive for Business. Este evento inclui alterações de metadados da pasta, como tags e propriedades. |
FolderMoved | O usuário move uma pasta de um site do SharePoint ou do OneDrive for Business. |
FolderRecycled | O utilizador move uma pasta para a Reciclagem do SharePoint ou do OneDrive. |
FolderRenamed | O usuário renomeia uma pasta de um site do SharePoint ou do OneDrive for Business. |
FolderRestored | O usuário restaura uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business. |
GroupAdded | O administrador ou proprietário do site cria um grupo para um site do SharePoint ou OneDrive for Business ou executa uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado. |
GroupRemoved | O usuário exclui um grupo de um site do SharePoint ou do OneDrive for Business. |
GroupUpdated | O administrador ou proprietário do site altera as configurações de um grupo para um site do SharePoint ou do OneDrive for Business. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas. |
LanguageAddedToTermStore | Idioma adicionado ao repositório de terminologia. |
LanguageRemovedFromTermStore | Idioma removido do repositório de terminologia. |
LegacyWorkflowEnabledSet | O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint. |
LookAndFeelModified | O utilizador modifica uma iniciação rápida, formatos de gráfico Gantt ou formatos de grupo. Ou o utilizador cria, modifica ou elimina uma vista no Project Web App. |
ManagedSyncClientAllowed | O usuário estabelece com êxito uma relação de sincronização com um site do SharePoint ou do OneDrive for Business. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que pode acessar bibliotecas de documentos em sua organização. Para obter mais informações, consulte Utilizar o PowerShell do SharePoint Online para ativar Sincronização do OneDrive para domínios que estão na lista de destinatários seguros. |
MaxQuotaModified | A cota máxima de um site foi modificada. |
MaxResourceUsageModified | O uso máximo permitido de recursos para um site foi modificado. |
MySitePublicEnabledSet | O sinalizador que permite aos usuários ter MySites públicos foi definido pelo Administrador de serviços do SharePoint. |
NewsFeedEnabledSet | O administrador ou proprietário do site habilita feeds RSS para um site do SharePoint ou do OneDrive for Business. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint. |
ODBNextUXSettings | Uma nova interface do usuário do OneDrive for Business foi ativada. |
OfficeOnDemandSet | O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Office 365 que inclua aplicativos completos do Office instalados. |
PageViewed | O usuário visualiza uma página em um site do SharePoint ou no site do OneDrive for Business. Isso não inclui a exibição de arquivos da biblioteca de documentos de um site do SharePoint ou do site One Drive for Business em um navegador. |
PeopleResultsScopeSet | O administrador do site cria ou altera a fonte de resultados para Pesquisas de Pessoas em um site do SharePoint. |
PermissionSyncSettingModified | O utilizador modifica as definições de sincronização de permissões do projeto no Project Web App. |
PermissionTemplateModified | O utilizador cria, modifica ou elimina um modelo de permissões no Project Web App. |
PortfolioDataAccessed | O utilizador acede a conteúdos de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App. |
PortfolioDataModified | O utilizador cria, modifica ou elimina dados de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App. |
PreviewModeEnabledSet | O administrador do site habilita a visualização do documento para um site do SharePoint. |
ProjectAccessed | O utilizador acede ao conteúdo do projeto no Project Web App. |
ProjectCheckedIn | O utilizador verifica num projeto que deu saída a partir de uma aplicação Web do Project. |
ProjectCheckedOut | O utilizador dá saída de um projeto localizado numa aplicação Web do Project. Os usuários podem fazer check-out e fazer alterações em projetos para os quais têm permissão para abrir. |
ProjectCreated | O utilizador cria um projeto no Project Web App. |
ProjectDeleted | O utilizador elimina um projeto no Project Web App. |
ProjectForceCheckedIn | O utilizador força uma marcar num projeto no Project Web App. |
ProjectModified | O utilizador modifica um projeto no Project Web App. |
ProjectPublished | O utilizador publica um projeto no Project Web App. |
ProjectWorkflowRestarted | O utilizador reinicia um fluxo de trabalho no Project Web App. |
PWASettingsAccessed | O utilizador acede às definições do Project Web App através do CSOM. |
PWASettingsModified | O utilizador modifica a configuração de uma aplicação Web do Project. |
QueueJobStateModified | O utilizador cancela ou reinicia uma tarefa de fila no Project Web App. |
QuotaWarningEnabledModified | Aviso de cota de armazenamento modificada. |
RenderingEnabled | Modelos de formulário habilitados para navegador serão processados pelos serviços de formulários do InfoPath. |
ReportingAccessed | O utilizador acedeu ao ponto final de relatórios no Project Web App. |
ReportingSettingModified | O utilizador modifica a configuração de relatórios no Project Web App. |
ResourceAccessed | O utilizador acede a um conteúdo de recurso empresarial no Project Web App. |
ResourceCheckedIn | O utilizador verifica num recurso empresarial que deu saída do Project Web App. |
ResourceCheckedOut | O utilizador dá saída de um recurso empresarial localizado no Project Web App. |
ResourceCreated | O utilizador cria um recurso empresarial no Project Web App. |
ResourceDeleted | O utilizador elimina um recurso empresarial no Project Web App. |
ResourceForceCheckedIn | O utilizador força uma entrada de um recurso empresarial no Project Web App. |
ResourceModified | O utilizador modifica um recurso empresarial no Project Web App. |
ResourcePlanCheckedInOrOut | O utilizador dá entrada ou saída de um plano de recursos no Project Web App. |
ResourcePlanModified | O utilizador modifica um plano de recursos no Project Web App. |
ResourcePlanPublished | O utilizador publica um plano de recursos no Project Web App. |
ResourceRedacted | O utilizador redigi um recurso empresarial ao remover todas as informações pessoais no Project Web App. |
ResourceWarningEnabledModified | Aviso de cota de recursos modificada. |
SSOGroupCredentialsSet | Credenciais de grupo definidas no Serviço de Repositório Seguro. |
SSOUserCredentialsSet | Credenciais de usuário definidas no Serviço de Repositório Seguro. |
SearchCenterUrlSet | Conjunto de URLs do Centro de Pesquisa. |
SecondaryMySiteOwnerSet | Um usuário adicionou um proprietário secundário ao seu MySite. |
SecurityCategoryModified | O utilizador cria, modifica ou elimina uma categoria de segurança no Project Web App. |
SecurityGroupModified | O utilizador cria, modifica ou elimina um grupo de segurança no Project Web App. |
SendToConnectionAdded | O administrador global cria uma nova conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada. |
SendToConnectionRemoved | O administrador global exclui uma conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. |
SharedLinkCreated | O usuário cria um link para um arquivo compartilhado no SharePoint ou no OneDrive for Business. Este link pode ser enviado para outras pessoas para dar acesso ao arquivo. Um usuário pode criar dois tipos de links: um link que permite ao usuário visualizar e editar o arquivo compartilhado, ou um link que permite ao usuário apenas visualizar o arquivo. |
SharedLinkDisabled | O usuário desabilita (permanentemente) um link que foi criado para compartilhar um arquivo. |
SharingInvitationAccepted * | O usuário aceita um convite para compartilhar um arquivo ou uma pasta. Esse evento é registrado quando um usuário compartilha um arquivo com outros usuários. |
SharingRevoked | O usuário desassocia um arquivo ou pasta que foi compartilhado anteriormente com outros usuários. Esse evento é registrado quando um usuário deixa de compartilhar um arquivo com outros usuários. |
SharingSet | O usuário compartilha um arquivo ou pasta localizado no SharePoint ou no OneDrive for Business com outro usuário dentro de sua organização. |
SiteAdminChangeRequest | O usuário solicita ser adicionado como um administrador do conjunto de sites de um conjunto de sites do SharePoint. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
SiteCollectionAdminAdded* | O administrador ou proprietário do conjunto de sites adiciona uma pessoa como administrador do conjunto de sites para um site do SharePoint ou do OneDrive for Business. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
SiteCollectionCreated | O administrador global cria um novo conjunto de sites em sua organização do SharePoint. |
SiteRenamed | O administrador ou proprietário do site renomeia um site do SharePoint ou do OneDrive for Business. |
StatusReportModified | O utilizador cria, modifica ou elimina um relatório de status no Project Web App. |
SyncGetChanges | O usuário clica em Sincronizar na bandeja de ação no SharePoint ou no OneDrive for Business para sincronizar as alterações feitas no arquivo em uma biblioteca de documentos ao computador. |
SyntexBillingSubscriptionSettingsChanged | As definições da subscrição de Faturação do Syntex foram alteradas. Este evento é acionado quando uma versão de avaliação do Syntex expira. |
TaskStatusAccessed | O utilizador acede ao status de uma ou mais tarefas no Project Web App. |
TaskStatusApproved | O utilizador aprova uma atualização status de uma ou mais tarefas no Project Web App. |
TaskStatusRejected | O utilizador rejeita uma atualização status de uma ou mais tarefas no Project Web App. |
TaskStatusSaved | O utilizador guarda uma atualização status de uma ou mais tarefas no Project Web App. |
TaskStatusSubmitted | O utilizador submete uma atualização status de uma ou mais tarefas no Project Web App. |
TimesheetAccessed | O utilizador acede a uma folha de horas no Project Web App. |
TimesheetApproved | O utilizador aprova a folha de horas no Project Web App. |
TimesheetRejected | O utilizador rejeita uma folha de horas no Project Web App. |
TimesheetSaved | O utilizador guarda uma folha de horas no Project Web App. |
TimesheetSubmitted | O utilizador submete uma folha de horas status no Project Web App. |
UnmanagedSyncClientBlocked | O usuário tenta estabelecer uma relação de sincronização com um site do SharePoint ou do OneDrive for Business em um computador que não é membro do domínio de sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que podem acessar bibliotecas de documentos em sua organização. A relação de sincronização não é permitida e o computador do usuário é impedido de sincronizar, fazer download ou fazer upload de arquivos em uma biblioteca de documentos. Para obter informações sobre esse recurso, confira Usar os cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na Lista de Destinatários Confiáveis. |
UpdateSSOApplication | Aplicativo de destino atualizado no Serviço de Repositório Seguro. |
UserAddedToGroup | O administrador ou proprietário do site adiciona uma pessoa a um grupo em um site do SharePoint ou OneDrive for Business. Adicionar uma pessoa a um grupo concede ao usuário as permissões que foram atribuídas ao grupo. |
UserRemovedFromGroup | O administrador ou proprietário do site remove uma pessoa de um grupo em um site do SharePoint ou OneDrive for Business. Depois que a pessoa é removida, ela não recebe mais as permissões que foram atribuídas ao grupo. |
WorkflowModified | O utilizador cria, modifica ou elimina fases ou fases de Tipo de Projeto Empresarial ou Fluxo de Trabalho no Project Web App. |
Operações de arquivos do SharePoint
Os eventos do SharePoint relacionados aos arquivos listados na seção “Atividades de arquivos e pastas” em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
SiteUrl | Edm.String | Sim | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. |
SourceFileName | Edm.String | Sim | O nome do arquivo ou pasta acessado pelo usuário. |
SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
DestinationRelativeUrl | Edm.String | Não | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores dos parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro que foi copiado. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
DestinationFileName | Edm.String | Não | O nome do arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
DestinationFileExtension | Edm.String | Não | A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
UserSharedWith | Edm.String | Não | O usuário com o qual um recurso foi compartilhado. |
SharingType | Edm.String | Não | O tipo de permissões de compartilhamento que foram designadas ao usuário com o qual o recurso foi compartilhado. Este utilizador é identificado pelo parâmetro UserSharedWith . |
SourceLabel | Edm.String | Não | O rótulo original do arquivo antes de ser alterado por uma ação do usuário. |
DestinationLabel | Edm.String | Não | O rótulo final do arquivo depois que ele é alterado por uma ação do usuário. |
SensitivityLabelOwnerEmail | Edm.String | Não | O endereço de email do proprietário do rótulo de confidencialidade. |
SensitivityLabelId | Edm.String | Não | A ID do rótulo de confidencialidade atual do arquivo. |
Listar Operações do SharePoint
As listas do SharePoint e os eventos relacionados a itens de lista listados na seção "Atividades de lista do SharePoint" em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ListTitle | Edm.String | Não | O título da lista de SharePoint. |
ListName | Edm.String | Não | O nome da lista do SharePoint. |
ListUrl | Edm.String | Não | O URL da lista em relação ao site que o contém. |
ListBaseType | Edm.String | Não | Especifica o tipo base para uma lista. |
ListBaseTemplateType | Edm.String | Não | O tipo de definição de lista no qual a lista se baseia. |
IsHiddenList | Edm.Boolean | Não | Esse valor será definido para True se a lista do SharePoint estiver oculta. |
IsDocLib | Edm.Boolean | Não | Este valor está definido como True se a lista do SharePoint for do tipo Biblioteca de Documentos. |
Esquema de compartilhamento do SharePoint
Os eventos do SharePoint relacionados ao compartilhamento de arquivos. Eles são diferentes dos eventos relacionados a arquivos e pastas em que um usuário está realizando uma ação que afeta outro usuário. Para obter informações sobre o esquema de compartilhamento do SharePoint, consulte Usar a auditoria de compartilhamento no log de auditoria .
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
TargetUserOrGroupName | Edm.String | Não | Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado. |
TargetUserOrGroupType | Edm.String | Não | Identifica se o usuário ou grupo de destino é um Membro, Convidado, Grupo ou Parceiro. |
EventData | Código XML | Não | Transmite informações de acompanhamento sobre a ação de compartilhamento que ocorreu, como adicionar um usuário a um grupo ou conceder permissões de edição. |
SiteUrl | Edm.String | Não | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador. |
SourceFileName | Edm.String | Não | O nome do arquivo ou pasta acessado pelo usuário. |
SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
UniqueSharingId | Edm.String | Não | O ID de compartilhamento exclusivo associado à operação de compartilhamento. |
Esquema do SharePoint
Os eventos do SharePoint listados em Pesquisar o log de auditoria no centro de conformidade (excluindo os eventos de arquivo e pasta) usam esse esquema.
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
CustomEvent | Edm.String | Não | Cadeia de caracteres opcional para eventos personalizados. |
EventData | Edm.String | Não | Carga opcional para eventos personalizados. |
ModifiedProperties | Collection(ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador, como adicionar um usuário como membro de um site ou grupo de administradores de um conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site), o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site) e o valor anterior do objeto modificado. |
Esquema do Project
Parâmetro | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Entity | Edm.String | Sim | ProjectEntity da auditoria. |
Action | Edm.String | Sim | ProjectAction tomada. |
OnBehalfOfResId | Edm.Guid | Não | A ID do recurso em nome da qual a ação foi tomada. |
Enumeração: Project Action - Tipo: Edm.Int32
Ação do projeto
Nome do membro | Descrição |
---|---|
Accepted | O usuário aceitou um evento ou fluxo de trabalho. |
Accessed | O usuário acessou uma entidade. |
Activated | O usuário ativou uma entidade, evento ou fluxo de trabalho. |
Cancelled | O usuário cancelou um evento ou fluxo de trabalho. |
CheckedIn | O usuário fez check-in em uma entidade. |
CheckedOut | O usuário fez check-out em uma entidade. |
Copied | O usuário copiou uma entidade. |
Created | O usuário criou uma entidade. |
Deactivated | O usuário desativou uma entidade. |
Deleted | O usuário excluiu uma entidade. |
Exported | O usuário exportou uma entidade. |
ForceCheckedIn | O usuário fez com que uma entidade fosse obrigada a fazer check-in. |
Modified | O usuário modificou uma entidade. |
Published | O usuário publicou uma entidade. |
Redacted | O usuário redigiu uma entidade. |
Rejected | O usuário rejeitou uma entidade. |
Restarted | O usuário reiniciou um evento ou fluxo de trabalho. |
Saved | O usuário salvou uma entidade. |
Sent | O usuário enviou uma entidade. |
Submitted | O usuário enviou uma entidade para revisão ou fluxo de trabalho. |
Enumeração: Project Entity - Tipo: Edm.Int32
Entidade do projeto.
Nome do membro | Descrição |
---|---|
CustomField | Representa um campo personalizado da empresa. |
Driver | Representa um indicador de portfólio. |
DriverPrioritization | Representa uma priorização de portfólio. |
Engagement | Representa um compromisso de recurso. |
EnterpriseCalendar | Representa um calendário de recursos empresariais. |
EnterpriseProjectType | Representa um tipo de projeto corporativo. |
FiscalPeriod | Representa um período fiscal. |
GanttChartFormat | Representa um formato de gráfico de Gantt. |
GroupingFormat | Representa um formato de agrupamento de visualizações. |
LineClassification | Representa uma classificação de linha de quadro de horários. |
LookupTable | Representa uma tabela de pesquisa corporativa. |
PermissionTemplate | Representa um modelo de permissão de segurança. |
PortfolioAnalysis | Representa uma análise de portfólio. |
Project | Representa um projeto. |
QueueJob | Representa um trabalho em fila. |
QuickLaunch | Representa um item de inicialização rápida. |
Reporting | Representa o ponto de extremidade de relatório. |
Resource | Representa um recurso da empresa. |
ResourcePlan | Representa um plano de recursos associado a um projeto. |
SecurityCategory | Representa uma categoria de segurança. |
SecurityGroup | Representa um grupo de segurança. |
Setting | Representa uma definição do Project Web App |
Statusing | Representa uma atualização de status da tarefa. |
StatusReport | Representa um relatório de status. |
TimeReportingPeriod | Representa um período de tempo para um quadro de horários. |
Timesheet | Representa uma entidade de quadro de horários. |
TimesheetAuditLog | Representa um log de auditoria do quadro de horários. |
TimesheetManager | Representa o gerente de um quadro de horários. |
UserDelegate | Representa uma delegação de usuário para outro usuário. |
View | Representa uma definição de exibição. |
WorkflowPhase | Representa uma fase em um fluxo de trabalho. |
WorkflowStage | Representa um estágio em um fluxo de trabalho. |
Esquema de administração do Exchange
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
ModifiedObjectResolvedName | Edm.String | Não | Esse é o nome amigável do objeto que foi modificado pelo cmdlet. Ele é registrado somente se o cmdlet modificar o objeto. |
Parâmetros | Collection(Common.NameValuePair) | Não | O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations. |
ModifiedProperties | Collection(Common.ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado. |
ExternalAccess | Edm.Boolean | Sim | Especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe de datacenters da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. |
OriginatingServer | Edm.String | Não | O nome do servidor do qual o cmdlet foi executado. |
OrganizationName | Edm.String | Não | O nome do locatário. |
Esquema de caixa de correio do Exchange
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
LogonType | Self.LogonType | Não | Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada. |
InternalLogonType | Self.LogonType | Não | Reservado para uso interno. |
MailboxGuid | Edm.String | Não | O GUID do Exchange da caixa de correio que foi acessada. |
MailboxOwnerUPN | Edm.String | Não | O endereço de email da pessoa que possui a caixa de correio que foi acessada. |
MailboxOwnerSid | Edm.String | Não | O SID do proprietário da caixa de correio. |
MailboxOwnerMasterAccountSid | Edm.String | Não | SID da conta principal da conta do proprietário da caixa de correio. |
LogonUserSid | Edm.String | Não | O SID do usuário que executou a operação. |
LogonUserDisplayName | Edm.String | Não | O nome amigável do usuário que executou a operação. |
ExternalAccess | Edm.Boolean | Sim | Isso se aplica se o domínio do usuário de logon for diferente do domínio do proprietário da caixa de correio. |
OriginatingServer | Edm.String | Não | De onde a operação se originou. |
OrganizationName | Edm.String | Não | O nome do locatário. |
ClientInfoString | Edm.String | Não | Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações do dispositivo móvel. |
ClientIPAddress | Edm.String | Não | O endereço IP do dispositivo que foi usado quando a operação foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
ClientMachineName | Edm.String | Não | O nome da computador que hospeda o cliente do Outlook. |
ClientProcessName | Edm.String | Não | O cliente de email que foi usado para acessar a caixa de correio. |
ClientVersion | Edm.String | Não | A versão do cliente de email. |
Enumeração: LogonType - Tipo: Edm.Int32
LogonType
Valor | Nome do membro | Descrição |
---|---|---|
0 | Owner | O proprietário da caixa de correio. |
1 | Admin | Uma pessoa com privilégios administrativos para a caixa de correio de uma pessoa. |
2 | Delegated | Uma pessoa com privilégios de delegado para a caixa de correio de uma pessoa. |
3 | Transport | Um serviço de transporte no datacenter da Microsoft. |
4 | SystemService | Uma conta de serviço no datacenter da Microsoft. |
5 | BestAccess | Reservado para uso interno. |
6 | DelegatedAdmin | Um administrador delegado. |
Esquema ExchangeMailboxAuditGroupRecord
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Folder | Self.ExchangeFolder | Não | A pasta onde um grupo de itens está localizado. |
CrossMailboxOperations | Edm.Boolean | Não | Indica se a operação envolveu mais de uma caixa de correio. |
DestMailboxId | Edm.Guid | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino. |
DestMailboxOwnerUPN | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino. |
DestMailboxOwnerSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino. |
DestMailboxOwnerMasterAccountSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID do SID da conta principal do proprietário da caixa de correio de destino. |
DestFolder | Self.ExchangeFolder | Não | A pasta de destino, para operações como Mover. |
Folders | Collection(Self.ExchangeFolder) | Não | Informações sobre as pastas de origem envolvidas em uma operação; por exemplo, se as pastas forem selecionadas e excluídas. |
AffectedItems | Collection(Self.ExchangeItem) | Não | Informações sobre cada item no grupo. |
Esquema ExchangeMailboxAuditRecord
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Item | Self.ExchangeItem | Não | Representa o item no qual a operação foi executada |
ModifiedProperties | Collection(Edm.String) | Não | A definir |
SendAsUserSmtp | Edm.String | Não | Endereço SMTP do usuário que está sendo representado. |
SendAsUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar email. |
SendOnBehalfOfUserSmtp | Edm.String | Não | O endereço SMTP do usuário em nome de quem o email é enviado. |
SendOnBehalfOfUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar emails. |
Tipo complexo ExchangeItem
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Id | Edm.String | Sim | A ID do repositório. |
Subject | Edm.String | Não | A linha de assunto da mensagem que foi acessada. |
ParentFolder | Edm.ExchangeFolder | Não | O nome da pasta onde o item está localizado. |
Attachments | Edm.String | Não | Uma lista dos nomes e tamanho de arquivo de todos os itens anexados à mensagem. |
Tipo complexo ExchangeFolder
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Id | Edm.String | Sim | A ID do repositório do objeto da pasta. |
Path | Edm.String | Não | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. |
Esquema de Autenticação OWA
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
UniqueTokenIdentifier | Edm.String | Não | Um identificador exclusivo para o recurso. |
ResourceURL | Edm.String | Não | O URL do recurso. |
Esquema Base do Azure Active Directory
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Sim | O tipo de evento Microsoft Entra. |
ExtendedProperties | Collection(Common.NameValuePair) | Não | As propriedades expandidas do evento Microsoft Entra. |
ModifiedProperties | Collection(Common.ModifiedProperty) | Não | Esta propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32
AzureActiveDirectoryEventType
Nome do membro | Descrição |
---|---|
AccountLogon | O evento de logon da conta. |
AzureApplicationAuditEvent | O evento de segurança do aplicativo do Azure. |
Esquema de Logon da Conta do Azure Active Directory
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Application | Edm.String | Não | O aplicativo que dispara o evento de login da conta, como o Office 15. |
Client | Edm.String | Não | Detalhes sobre o dispositivo cliente, o SO do dispositivo e o navegador do dispositivo que foi usado para o evento de logon da conta. |
LoginStatus | Edm.Int32 | Sim | Esta propriedade é diretamente do OrgIdLogon.LoginStatus. O mapeamento de várias falhas interessantes de logon pode ser feito por meio do alerta de algoritmos. |
UserDomain | Edm.String | Sim | Informações de Identidade do Locatário (TII, Tenant Identity Information). |
Enumeração: CredentialType - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
-1 | Other | Outra autenticação. |
0 | Password | A credencial do usuário é o nome de usuário e a senha. |
1 | MobilePhone | A credencial do usuários é o telefone celular. |
2 | SecretQuestion | A credencial do usuário é a pergunta secreta. |
3 | SecurePin | A credencial do usuário é um PIN seguro. |
4 | SecurePinReset | A credencial do usuário é a redefinição do PIN seguro. |
11 | EasyID | A credencial do usuário é EasyID. |
14 | PasswordIndexCredentialType | A credencial do usuário é PasswordIndexCredentialType. |
16 | Device | A credencial do usuário é um dispositivo. |
17 | ForeignRealmIndex | A credencial do usuário é ForeignRealmIndex. |
Enumeração: LoginType - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
-1 | Other | Outro tipo de i. |
1 | InitialAuth | Login com autenticação inicial. |
2 | CookieCopy | Login com cookies. |
3 | SilentReAuth | Logon com reautenticação silenciosa. |
Enumeração: AuthenticationMethod - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | Min | O método de autenticação é um Min. |
1 | Password | O método de autenticação é uma senha. |
2 | Digest | O método de autenticação é um resumo. |
3 | ProxyAuth | O método de autenticação é um ProxyAuth. |
4 | InfoCard | O método de autenticação é um InfoCard. |
5 | DAToken | O método de autenticação é um DAToken. |
6 | Sha1RememberMyPassword | O método de autenticação é um Sha1RememberMyPassword. |
7 | LMPasswordHash | O método de autenticação é um LMPasswordHash. |
8 | ADFSFederatedToken | O método de autenticação é um ADFSFederatedToken. |
9 | EID | O método de autenticação é um EID. |
10 | DeviceID | O método de autenticação é um DeviceID. |
11 | MD5 | O método de autenticação é MD5. |
12 | EncProxyPasswordHash | O método de autenticação é um EncProxyPasswordHash. |
13 | LWAFederation | O método de autenticação é um LWAFederation. |
14 | Sha1HashedPassword | O método de autenticação é um Sha1HashedPassword. |
15 | SecurePin | O método de autenticação é um Pin seguro. |
16 | SecurePinReset | O método de autenticação é uma redefinição de um Pin seguro. |
17 | SAML20PostSimpleSign | O método de autenticação é um SAML20PostSimpleSign. |
18 | SAML20Post | O método de autenticação é um SAML20Post. |
19 | OneTimeCode | O método de autenticação é um código único. |
Esquema do Azure Active Directory
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Actor | Collection(Self.IdentityTypeValuePair) | Não | O usuário ou a entidade de serviço que executou a ação. |
ActorContextId | Edm.String | Não | O GUID da organização à qual o ator pertence. |
ActorIpAddress | Edm.String | Não | O endereço IP do ator no formato de endereço IPV4 ou IPV6. |
InterSystemsId | Edm.String | Não | O GUID que controla as ações entre componentes dentro do serviço do Office 365. |
IntraSystemsId | Edm.String | Não | O GUID gerado pelo Azure Active Directory para acompanhar a ação. |
SupportTicketId | Edm.String | Não | O ID do ticket de suporte ao cliente para a ação em situações de "agir em nome de". |
Target | Collection(Self.IdentityTypeValuePair) | Não | O usuário em que a ação (identificada pela propriedade Operation) foi executada. |
TargetContextId | Edm.String | Não | O GUID da organização à qual o usuário de destino pertence. |
Tipo complexo IdentityTypeValuePair
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ID | Edm.String | Sim | O valor da identidade de acordo com o tipo. |
Type | Self.IdentityType | Sim | O tipo da identidade. |
Enumeração: IdentityType - Tipo: Edm.Int32
IdentityType
Nome do membro | Descrição |
---|---|
Claim | A identidade é uma declaração para fins de autorização. |
Name | O ator de ação de auditoria ou o nome de exibição da identidade de destino. |
Other | A identidade do ator é outro tipo, como o ObjectId no GUID gerado pelo serviço do Office 365. |
PUID | O ator da ação de auditoria ou a ID exclusiva do passaporte de destino (PUID). |
SPN | A identidade de uma entidade de segurança de serviço, se a ação for executada pelo serviço do Office 365. |
UPN | O nome da entidade de segurança do usuário. |
Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ApplicationId | Edm.String | Não | O GUID que representa o aplicativo que está solicitando o logon. O nome de exibição pode ser pesquisado por meio da API de gráfico do Azure Active Directory. |
Client | Edm.String | Não | Informações do dispositivo cliente, fornecidas pelo navegador que executa o logon. |
DeviceProperties | Collection(Common.NameValuePair) | Não | Esta propriedade inclui vários detalhes do dispositivo, incluindo Id, Nome do Display, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId e DeviceTrustType. A propriedade DeviceTrustType pode ter os seguintes valores: 0 - Microsoft Entra registado 1 - Microsoft Entra aderido 2 - Associação a Microsoft Entra híbrida |
ErrorCode | Edm.String | Não | Para logons com falha (em que o valor da propriedade Operation é UserLoginFailed), essa propriedade contém o código de erro STS do Azure Active Directory (AADSTS). Para obter descrições desses códigos de erro, confira Códigos de erro de autenticação e autorização. Um valor de 0 indica um logon bem-sucedido. |
LogonError | Edm.String | Não | Para logons com falha, esta propriedade contém uma descrição legível pelo usuário do motivo do logon com falha. |
Esquema DLP
Os eventos DLP estão disponíveis para Exchange Online, Ponto Final (dispositivos) e SharePoint Online e OneDrive para Empresas. Observe que os eventos de DLP no Exchange só estão disponíveis para eventos com base na política DLP unificada (por exemplo, configurados por meio do Centro de Conformidade e Segurança). Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.
Os eventos de DLP (Prevenção contra Perda de Dados) sempre terão UserKey = "DlpAgent" no esquema Comum. Existem três tipos DlpEvents que estão armazenados como o valor da propriedade Operation do esquema comum:
DlpRuleMatch – indica que uma regra foi correspondida. Estes eventos existem em todos os OneDrive for Business e Exchange, Endpoint(dispositivos) e SharePoint Online. Para o Exchange, inclui informações de falsos positivos e de substituição. Para o SharePoint Online e o OneDrive for Business, falsos positivos e as substituições geram eventos separados.
DlpRuleUndo – existem apenas no SharePoint Online e no OneDrive for Business e indicam que uma ação de política aplicada anteriormente foi "desfeita" – seja por causa de designação de falso positivo/substituição pelo usuário, ou porque o documento não está mais sujeito à política (seja devido a mudança de política ou alteração de conteúdo no documento).
DlpInfo – existem apenas no SharePoint Online e no OneDrive for Business e indicam uma designação de falso positivo, mas nenhuma ação foi "desfeita".
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
SharePointMetaData | Self.SharePointMetadata | Não | Descreve os metadados sobre o documento no SharePoint ou o OneDrive for Business que continham as informações confidenciais. |
ExchangeMetaData | Self.ExchangeMetadata | Não | Descreve os metadados sobre a mensagem de email que continha as informações confidenciais. |
EndpointMetaData | Eu próprio. EndpointMetadata | Não | Descreve metadados sobre o documento no ponto final que continha as informações confidenciais |
ExceptionInfo | Edm.String | Não | Identifica os motivos pelos quais uma política não se aplica mais e/ou qualquer informação sobre falso positivos e/ou substituição observada pelo usuário final. |
PolicyDetails | Collection(Self.PolicyDetails) | Sim | Informações sobre uma ou mais políticas que dispararam o evento de DLP. |
SensitiveInfoDetectionIsIncluded | Boolean | Sim | Indica se o evento contém o valor do tipo de dados confidenciais e o contexto adjacente do conteúdo de origem. O acesso a dados confidenciais exige a permissão "Ler eventos de política DLP, incluindo detalhes confidenciais" no Azure Active Directory. |
Tipo complexo SharePointMetadata
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
From | Edm.String | Sim | O usuário que disparou o evento. Será FileOwner, LastModifier ou LastSharer. |
itemCreationTime | Edm.Date | Sim | Datetimestamp em UTC de quando o evento foi registrado. |
SiteCollectionGuid | Edm.Guid | Sim | O GUID do conjunto de sites. |
SiteCollectionUrl | Edm.String | Sim | Nome do site do SharePoint. |
FileName | Edm.String | Sim | Nome do caminho. |
FileOwner | Edm.String | Sim | O proprietário do documento. |
FilePathUrl | Edm.String | Sim | A URL do documento. |
DocumentLastModifier | Edm.String | Sim | O usuário que modificou o documento pela última vez. |
DocumentSharer | Edm.String | Sim | O usuário que modificou pela última vez o compartilhamento do documento. |
UniqueId | Edm.String | Sim | Uma GUID que identifica o arquivo. |
LastModifiedTime | Edm.DateTime | Sim | Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez. |
IsViewableByExternalUsers | Edm.Boolean | Sim | Determina se o arquivo é acessível para qualquer usuário externo. |
Tipo complexo ExchangeMetadata
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
MessageID | Edm.String | Sim | A ID da mensagem do email que disparou o evento. |
From | Edm.String | Sim | O usuário que enviou o email. |
To | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha Para da mensagem. |
CC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha CC da mensagem. |
BCC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha BCC da mensagem. |
Subject | Edm.String | Sim | Assunto da mensagem de email. |
Sent | Edm.DateTime | Sim | O horário em UTC de quando o email foi enviado. |
RecipientCount | Edm.Int32 | Sim | O número total de todos os destinatários nas linhas TO, CC e BCC da mensagem. |
Tipo complexo EndpointMetadata
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
EnforcementMode | Edm.String | Sim | Indique se a Regra DLP está definida como 03/01/2/4/5 que ilustra auditoria/aviso(bloco com substituição)/avisar e ignorar/bloquear/permitir(auditoria sem alertas), respetivamente. |
FileExtension | Edm.String | Não | A extensão de ficheiro do documento que continha as informações confidenciais. |
FileType | Edm.String | Não | O tipo de ficheiro do documento que continha as informações confidenciais. |
DeviceName | Edm.String | Não | O nome do dispositivo no qual a correspondência da regra DLP foi detetada. |
Tipo complexo PolicyDetails
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
PolicyId | Edm.Guid | Sim | O GUID da política DLP para este evento. |
PolicyName | Edm.String | Sim | O nome amigável da política DLP para este evento. |
Rules | Collection(Self.Rules) | Sim | As informações sobre as regras da política que foram atendidas para este evento. |
Tipo complexo Rules
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RuleId | Edm.Guid | Sim | O GUID da regra DLP para este evento. |
RuleName | Edm.String | Sim | O nome amigável da regra DLP para este evento. |
Actions | Collection(Edm.String) | Não | Uma lista de ações tomadas como resultado de um evento DLP RuleMatch. |
OverriddenActions | Collection(Edm.String) | Não | Uma lista de ações realizadas anteriormente que foram desfeitas como resultado de um evento DLPRuleUndo. |
Severity | Edm.String | Não | A gravidade (Baixa, Média e Alta) da conformidade com a regra. |
RuleMode | Edm.String | Sim | Indique se a regra DLP foi definida como Enforce, Audit with Notify ou somente Audit. |
ConditionsMatched | Self.ConditionsMatched | Não | Os detalhes sobre quais condições da regra foram atendidas para este evento. |
Tipo complexo ConditionsMatched
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
DocumentProperties | Collection(NameValuePair) | Não | As informações sobre as propriedades do documento que dispararam uma correspondência de regra. |
OtherConditions | Collection(NameValuePair) | Não | Uma lista de pares de valores chave que descrevem quaisquer outras condições que foram correspondidas. |
Tipo complexo SensitiveInformation
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Confidence | Edm.Int | Sim | A confiança agregada de todos os padrões corresponde ao Tipo de Informação Confidencial. |
Count | Edm.Int | Sim | O número total de instâncias confidenciais detectadas. |
Local | Edm.String | Não | |
SensitiveType | Edm.Guid | Sim | Um guid que identifica o tipo de dados confidenciais detectados. |
SensitiveInformationDetections | Self.SensitiveInformationDetections | Não | Uma matriz de objetos que contêm dados de informações confidenciais com os seguintes detalhes – valor correspondente e contexto do valor correspondente. |
SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
Sim | Informações sobre a contagem de tipos de informações confidenciais detetados para cada um dos três níveis de confiança (Alto, Médio e Baixo) e que correspondem ou não à regra DLP. |
SensitiveInformationTypeName | Edm.String | Não | O nome do tipo de informação confidencial. |
UniqueCount | Edm.Int32 | Sim | A contagem exclusiva de instâncias confidenciais detectadas. |
Tipo complexo SensitiveInformationDetailedClassificationAttributes
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Confidence | Edm.int32 | Sim | O nível de confiança do padrão que foi detectado. |
Contar | Edm.Int32 | Sim | O número de instâncias confidenciais detetadas para um determinado nível de confiança. |
IsMatch | Edm.Boolean | Sim | Indica se a contagem fornecida e o nível de confiança do tipo confidencial detectado resulta em uma correspondência de regra de DLP. |
Tipo complexo SensitiveInformationDetections
Os dados confidenciais de DLP só estão disponíveis na API do feed de atividades para usuários que receberam permissões para "Ler dados confidenciais de DLP".
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ValoresDetectados | Coleção(Common.NameValuePair) | Sim | Uma matriz de informações confidenciais que foram detectadas. As informações contêm pares chave-valor com Valor = valor correspondente (por exemplo, Valor de card de crédito) e Context = um excerto do conteúdo de origem que contém o valor correspondente. |
ResultsTruncated | Edm.Boolean | Sim | Indica se os logs foram truncados devido ao grande número de resultados. |
Tipo complexo ExceptionInfo
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Reason | Edm.String | Não | Para um evento DLPRuleUndo, isso indica por que a regra não se aplica mais, o que pode ocorrer devido a um dos três motivos: substituição, alteração de documento ou alteração de política |
FalsePositive | Edm.Boolean | Não | Indica se o usuário designou esse evento como falso positivo. |
Justification | Edm.String | Não | Se o usuário tiver optado por substituir a política, qualquer justificativa especificada pelo usuário será capturada aqui. |
Rules | Collection(Edm.Guid) | Não | Uma coleção de guids para cada regra designada como falso positivo ou substituta, ou para a qual uma ação foi desfeita. |
Esquema do Centro de Conformidade e Segurança
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
StartTime | Edm.Date | Não | A data e hora em que o cmdlet foi executado. |
ClientRequestId | Edm.String | Não | Um GUID que pode ser usado para correlacionar esse cmdlet com as operações de UX do Centro de Conformidade e Segurança. Essas informações são usadas apenas pelo suporte da Microsoft. |
CmdletVersion | Edm.String | Não | A versão de build do cmdlet quando foi executado. |
EffectiveOrganization | Edm.String | Não | O GUID da organização afetada pelo cmdlet. (Descontinuado: este parâmetro será retirado no futuro.) |
UserServicePlan | Edm.String | Não | O plano de serviço Proteção do Exchange Online atribuído ao usuário que executou o cmdlet. |
ClientApplication | Edm.String | Não | Se o cmdlet tiver sido executado por um aplicativo, ao contrário do PowerShell remoto, esse campo conterá o nome desse aplicativo. |
Parâmetros | Edm.String | Não | O nome e o valor dos parâmetros que foram usados com o cmdlet que não incluem Informações de Identificação Pessoal. |
NonPiiParameters | Edm.String | Não | O nome e o valor dos parâmetros que foram usados com o cmdlet que incluem Informações de Identificação Pessoal. (Preterido: esse campo será retirado no futuro e seu conteúdo mesclado com o campo de parâmetros.) |
Esquema de Alertas de Conformidade e Segurança
Os sinais de alerta incluem:
- Todos os alertas gerados baseados nas Políticas de alerta no Centro de Conformidade e Segurança.
- Alertas relacionados ao Office 365 gerados no Office 365 Cloud App Security e no Microsoft Cloud App Security.
O UserId e o UserKey desses eventos são sempre SecurityComplianceAlerts. Existem três tipos de alertas de eventos que estão armazenados como o valor da propriedade Operation do esquema comum:
AlertTriggered – um novo alerta é gerado devido a uma correspondência com a política.
AlertEntityGenerated – uma nova entidade é adicionada a um alerta. Este evento somente é aplicável aos alertas gerados com base nas Políticas de Alerta no Centro de Conformidade e Segurança. Cada alerta gerado pode ser associado a um ou vários desses eventos. Por exemplo, uma política de alerta é definida para disparar um alerta se um usuário exclui mais de 100 arquivos em cinco minutos. Se dois usuários ultrapassarem o limite ao mesmo tempo, haverá dois eventos AlertEntityGenerated, mas apenas um evento AlertTriggered.
AlertUpdated - uma atualização foi feita aos metadados de um alerta. Esse evento é registrado quando o status de um alerta é alterado (por exemplo, de "ativo" para "resolvido") e quando alguém adiciona um comentário ao alerta.
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
AlertId | Edm.Guid | Sim | O GUID do alerta. |
AlertType | Self.String | Sim | Tipo do alerta. Os tipos de alertas incluem:
|
Name | Edm.String | Sim | Nome do alerta. |
PolicyId | Edm.Guid | Não | O GUID da política que disparou o alerta. |
Status | Edm.String | Não | Status do alerta. Os status incluem:
|
Severity | Edm.String | Não | Gravidade do alerta. Os níveis de gravidade incluem:
|
Categoria | Edm.String | Não | Categoria do alerta. As categorias incluem:
|
Source | Edm.String | Não | Fonte do alerta. As fontes incluem:
|
Comments | Edm.String | Não | Comentários realizados pelos usuários que visualizaram o alerta. Por padrão, é "Novo alerta". |
Data | Edm.String | Não | O BLOB de dados de detalhes do alerta ou da entidade de alerta. |
AlertEntityId | Edm.String | Não | O identificador da entidade de alerta. Esse parâmetro só é aplicável em eventos AlertEntityGenerated. |
EntityType | Edm.String | Não | Tipo de entidade ou entidade de alerta. Os tipos de entidades incluem:
|
Esquema do Yammer
Os eventos do Yammer listados em Pesquisar no log de auditoria no Centro de Conformidade e Segurança usarão esse esquema.
Parâmetros | Tipo | Obrigatório | Descrição |
---|---|---|---|
ActorUserId | Edm.String | Não | Email do usuário que executou a operação. |
ActorYammerUserId | Edm.Int64 | Não | ID do usuário que executou a operação. |
DataExportType | Edm.String | Não | Retorna "dados" se a exportação de dados incluir mensagens, notas, arquivos, tópicos, usuários e grupos; retorna "usuário" se a exportação de dados incluir apenas usuários. |
FileId | Edm.Int64 | Não | ID do arquivo na operação. |
FileName | Edm.String | Não | Nome do arquivo na operação. Será exibido em branco se não for relevante para a operação. |
GroupName | Edm.String | Não | Nome do grupo na operação. Será exibido em branco se não for relevante para a operação. |
IsSoftDelete | Edm.Boolean | Não | Retorna "true" se a política de retenção de dados da rede estiver definida como exclusão reversível; retorna "false" se a política de retenção de dados da rede estiver definida como Exclusão Irreversível. |
MessageId | Edm.Int64 | Não | ID da mensagem na operação. |
ModifiedProperties | Collection(ModifiedProperty) | Não | Inclui o nome da propriedade que foi modificada, o novo valor do objeto modificado e o valor anterior do objeto modificado. |
YammerNetworkId | Edm.Int64 | Não | ID da rede do usuário que executou a operação. |
TargetObjectId | Edm.String | Não | Entra ID do utilizador de destino na operação. |
TargetUserId | Edm.String | Não | Email do usuário de destino na operação. Será exibido em branco se não for relevante para a operação. |
TargetYammerUserId | Edm.Int64 | Não | ID do usuário de destino na operação. |
ThreadId | Edm.Int64 | Não | ID do tópico Mensagem na operação. |
VersionId | Edm.Int64 | Não | ID da versão do arquivo na operação. |
Esquema Base de Segurança do Data Center
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Sim | O tipo de evento cmdlet na caixa de bloqueio. |
Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32
DataCenterSecurityEventType
Nome do membro | Descrição |
---|---|
DataCenterSecurityCmdletAuditEvent | Esse é o valor de enumeração para o evento de tipo de auditoria de cmdlet. |
Esquema Cmdlet de Segurança do Data Center
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
StartTime | Edm.Date | Sim | O horário de início da execução do cmdlet. |
EffectiveOrganization | Edm.String | Sim | O nome do locatário para o qual a elevação/cmdlet foi direcionado. |
ElevationTime | Edm.Date | Sim | O horário de início da elevação. |
ElevationApprover | Edm.String | Sim | O nome de um gerente da Microsoft. |
ElevationApprovedTime | Edm.Date | Não | O carimbo de data/hora para quando a elevação foi aprovada. |
ElevationRequestId | Edm.Guid | Sim | Um identificador exclusivo para a solicitação de elevação. |
ElevationRole | Edm.String | Não | A função da elevação. |
ElevationDuration | Edm.Int32 | Sim | A duração para a qual a elevação estava ativa. |
GenericInfo | Edm.String | Não | Usada para comentários e outras informações genéricas. |
Esquema do Microsoft Teams
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Action | Edm.String | Não | Para eventos de canal compartilhado, a ação realizada pelo convidado ou pelo proprietário do canal para um compartilhamento com convite de equipe. |
AddOnGuid | Edm.Guid | Não | O identificador exclusivo do complemento que gerou esse evento. |
AddOnName | Edm.String | Não | O nome do complemento que gerou esse evento. |
AddOnType | Self.AddOnType | Não | O tipo de complemento que gerou esse evento. |
ChannelGuid | Edm.Guid | Não | Um identificador exclusivo para o canal que está sendo auditado. |
ChannelName | Edm.String | Não | O nome do canal que está sendo auditado. |
ChannelType | Edm.String | Não | O tipo de canal que está sendo auditado (padrão/particular). |
ExtraProperties | Coleção (Self. KeyValuePair) | Não | Uma lista de propriedades adicionais. |
HostedContents | Coleção (Self.HostedContent) | Não | Uma coleção de conteúdo hospedado por mensagem de chat ou canal. |
Convidado | Edm.String | Não | Para eventos de canal compartilhado, o UPN do proprietário da equipe convidada que aceita ou recusa o convite para um compartilhamento com convite de equipe. |
Members | Collection(Self.MicrosoftTeamsMember) | Não | Uma lista de usuários dentro de uma equipe. |
MessageId | Edm.String | Não | Um identificador para uma mensagem de bate-papo ou canal. |
MessageURLs | Edm.String | Não | Presente para qualquer URL enviado nas mensagens do Teams. |
Mensagens | Coleção (Self.Message) | Não | Uma coleção de mensagens de chat ou canal. |
MessageSizeInBytes | Edm.Int64 | Não | O tamanho de uma mensagem de chat ou canal em bytes com codificação UTF-16. |
Nome | Edm.String | Não | Só apresenta para eventos de configurações. Nome da configuração que foi alterada. |
NewValue | Edm.String | Não | Só apresenta para eventos de configurações. Novo valor da configuração. |
OldValue | Edm.String | Não | Só apresenta para eventos de configurações. Valor antigo da configuração. |
SubscriptionId | Edm.String | Não | Um identificador exclusivo de uma assinatura de notificação de alteração do Microsoft Graph. |
TabType | Edm.String | Não | Só apresenta para eventos de tabulação. O tipo de guia que gerou esse evento. |
TeamGuid | Edm.Guid | Não | Um identificador exclusivo para a equipe que está sendo auditada. |
TeamName | Edm.String | Não | O nome da equipe que está sendo auditada. |
Tipo complexo MicrosoftTeamsMember
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
UPN | Edm.String | Não | O nome da entidade de segurança do usuário. |
Role | Self.MemberRoleType | Não | A função de usuário dentro da equipe. |
DisplayName | Edm.String | Não | O nome de exibição do usuário. |
Enumeração: MemberRoleType - Tipo: Edm.Int32
MemberRoleType
Valor | Nome do membro | Descrição |
---|---|---|
0 | Member | Um usuário que é um membro da equipe. |
1 | Owner | Um usuário que é o proprietário da equipe. |
2 | Guest | Um usuário que não é um membro da equipe. |
KeyValuePair tipo complexo
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Chave | Edm.String | Não | A chave do par de valor-chave. |
Valor | Edm.String | Não | O valor do par de valor-chave. |
Enumeração: AddOnType - Tipo: Edm.Int32
AddOnType
Valor | Nome do membro | Descrição |
---|---|---|
1 | Bot | Um bot do Microsoft Teams. |
2 | Connector | Um conector do Microsoft Teams. |
3 | Tab | Uma guia do Microsoft Teams. |
Tipo complexo HostedContent
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Id | Edm.String | Sim | Um identificador exclusivo do conteúdo hospedado da mensagem. |
Sizeinbytes | Edm.Int64 | Não | O tamanho do conteúdo hospedado da mensagem em bytes. |
Tipo complexo de mensagem
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AADGroupId | Edm.String | Não | Um identificador exclusivo do grupo no Azure Active Directory ao qual a mensagem pertence. |
Id | Edm.String | Sim | Um identificador exclusivo da mensagem de chat ou canal. |
ChannelGuid | Edm.String | Não | Um identificador exclusivo do canal a que pertence a mensagem. |
ChannelName | Edm.String | Não | O nome do canal ao qual a mensagem pertence. |
ChannelType | Edm.String | Não | O tipo do canal ao qual a mensagem pertence. |
Nome do Chat | Edm.String | Não | O nome do chat ao qual a mensagem pertence. |
ChatThreadId | Edm.String | Não | Um identificador exclusivo do chat ao qual a mensagem pertence. |
ParentMessageId | Edm.String | Não | Um identificador exclusivo da mensagem do canal ou chat pai. |
Sizeinbytes | Edm.Int64 | Não | O tamanho da mensagem em bytes com codificação UTF-16. |
TeamGuid | Edm.String | Não | Um identificador exclusivo da equipe à qual a mensagem pertence. |
TeamName | Edm.String | Não | O nome da equipe à qual a mensagem pertence. |
Versão | Edm.String | Não | A versão do chat ou mensagem do canal. |
Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças
Microsoft Defender para Office 365 e eventos de Investigação e Resposta a Ameaças estão disponíveis para clientes do Office 365 que tenham um Plano 1 do Defender para Office 365, Plano 2 do Defender para Office 365 ou uma assinatura E5. Cada evento no feed do Defender para Office 365 corresponde aos seguintes eventos que foram determinados como contendo uma ameaça:
Detecção em mensagens de email enviadas ou recebidas por um usuário na organização no momento da entrega e na Limpeza automática zero hora.
URLs clicados por um usuário na organização que foram detectados como maliciosos no momento do clique com base na proteção Links Seguros no Defender para Office 365.
Um arquivo no SharePoint Online, OneDrive for Business ou Microsoft Teams que foi detectado como malicioso pela proteção do Microsoft Defender para Office 365.
Um alerta que é acionado e inicia uma investigação automática.
Observação
As capacidades do Microsoft Defender para Office 365 e da Investigação e Resposta a Ameaças do Office 365(anteriormente conhecidos como Inteligência contra Ameaças do Office 365) agora fazem parte do Plano 2 do Defender para Office 365, com recursos adicionais de proteção contra ameaças. Para saber mais, consulte Planos e preços do Microsoft Defender para Office 365 e a Descrição do serviço Defender para Office 365.
Eventos de mensagens de email
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AttachmentData | Collection(Self.AttachmentData) | Não | Os dados sobre anexos na mensagem de email que acionaram o evento. |
Tipo de detecção | Edm.String | Sim | O tipo de detecção (por exemplo, Embutido – detectada na hora da entrega; Atrasado – detectada após a entrega; ZAP – mensagens removidas pela Limpeza Automática Zero Hora). Os eventos com o tipo de detecção ZAP normalmente são precedidos por uma mensagem com um tipo de detecção Atrasado. |
DetectionMethod | Edm.String | Sim | O método ou tecnologia usada pelo Defender for Office 365 para a detecção. |
InternetMessageId | Edm.String | Sim | A ID da mensagem da Internet. |
NetworkMessageId | Edm.String | Sim | A ID da mensagem de rede do Exchange Online. |
P1Sender | Edm.String | Sim | O caminho de retorno do remetente da mensagem de email. |
P2Sender | Edm.String | Sim | O remetente da mensagem de email. |
Política | Self.Policy | Sim | O tipo de política de filtragem (por exemplo, Anti-spam ou Anti-phishing) e o tipo de ação relacionada (por exemplo, Spam de Alta Confiança, Spam ou Phishing) relevante para a mensagem de email. |
Política | Self.PolicyAction | Sim | A ação configurada na política de filtragem (por exemplo, Mover para a pasta Lixo Eletrônico ou Quarentena) relevante para a mensagem de email. |
P2Sender | Edm.String | Sim | O Remetente: da mensagem de email. |
Destinatários | Collection(Edm.String) | Sim | Uma matriz de destinatários da mensagem de email. |
SenderIp | Edm.String | Sim | O endereço IP que enviou o email do Office 365. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
Subject | Edm.String | Sim | A linha de assunto da mensagem. |
Verdict | Edm.String | Sim | A conclusão da mensagem. |
MessageTime | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual a mensagem de email foi recebida ou enviada. |
EventDeepLink | Edm.String | Sim | Link profundo para o evento de email no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança do Office 365. |
Ação de Entrega | Edm.String | Sim | A ação de entrega original na mensagem. |
Local de Entrega original | Edm.String | Sim | O local de entrega original da mensagem. |
Local de Entrega mais recente | Edm.String | Sim | O local de entrega mais recente da mensagem no momento do evento. |
Directionality | Edm.String | Sim | Identifica se uma mensagem foi de entrada, de saída ou de dentro da organização. |
ThreatsAndDetectionTech | Edm.String | Sim | As ameaças e as tecnologias de detecção correspondentes. Este campo expõe todas as ameaças em uma mensagem, incluindo a adição mais recente no veredicto de spam. Por exemplo, ["Phishing: [falsificar DMARC]", "Spam: [URL de reputação maliciosa]"]. As diferentes ameaças de detecção e tecnologias de detecção são descritas a seguir. |
AdditionalActionsAndResults | Collection(Edm.String) | Não | As ações adicionais realizadas no email, como ZAP ou Correção Manual. Também inclui os resultados correspondentes. |
Conectores | Edm.String | Não | Os nomes e GUIDs dos conectores associados ao email. |
AuthDetails | Collection(Self.AuthDetails) | Não | As verificações de autenticação feitas para o email. Também inclui os valores de SPF, DKIM, DMARC e CompAuth. |
SystemOverrides | Collection(Self.SystemOverrides) | Não | Substituições que são aplicáveis ao email. Estas podem ser anulações do sistema ou do usuário. |
Nível de Confiança de Phishing | Edm.String | Não | Indica o nível de confiança associado ao veredicto de Phishing. Pode ser Normal ou Alto. |
Observação
Recomendamos o uso do novo campo ThreatsAndDetectionTech porque ele mostra vários veredictos e as tecnologias de detecção atualizadas. Esse campo também se alinha com os valores observados em outras experiências, como no Explorador de ameaças e na busca avançada de ameaças.
Tecnologias de detecção
Nome | Descrição |
---|---|
Filtro avançado | Sinais de phishing com base no aprendizado de máquina. |
Mecanismo antimalware | Detecção de mecanismos antimalware. |
Campanha | Mensagens identificadas como parte de uma campanha. |
Reputação do domínio | Análise baseada na reputação do domínio. |
Detonação de arquivo | Anexos de arquivo considerados perigosos durante a análise de detonação. |
Reputação da detonação de arquivo | Anexo de arquivo marcado como perigoso devido à reputação da detonação anterior. |
Reputação de arquivos | Anexos de arquivo marcados como perigosos devido à má reputação. |
Correspondência de impressão digital | A mensagem foi marcada como perigosa devido a mensagens anteriores. |
Filtro geral | Sinais de phishing baseados em regras. |
Marca de usurpação de identidade | O tipo de arquivo do anexo. |
Domínio de usurpação de identidade | Usurpação de identidade de domínios que o cliente possui ou define. |
Usuário de usurpação de identidade | Usurpação de identidade de usuários definida pelo administrador ou aprendida por meio da inteligência de caixa de correio. |
Usurpação de identidade da inteligência de caixa de correio | Usurpação de identidade baseada na inteligência de caixa de correio. |
Detecção de análise mista | Vários filtros contribuíram para o veredicto desta mensagem. |
DMARC falso | Falha de autenticação DMARC para mensagens. |
Domínio externo falso | O remetente está tentando falsificar algum outro domínio. |
Falsificação dentro da organização | O remetente está tentando falsificar o domínio do destinatário. |
Detonação de URL | A mensagem foi considerada perigosa devido a uma detonação de URL maliciosa anterior. |
Reputação da detonação de URL | A mensagem foi considerada perigosa devido à detonação de URL mal-intencionada. |
Reputação mal-intencionada de URL | A mensagem foi considerada perigosa devido a uma URL mal-intencionada. |
Tipo complexo AttachmentData
AttachmentData
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
FileName | Edm.String | Sim | O nome do arquivo do anexo. |
FileType | Edm.String | Sim | O tipo de arquivo do anexo. |
FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
Observação
Na família Malware, poderá ver o nome exato MalwareFamily (por exemplo, HTML/Phish.VS! MSR) ou Payload Malicioso como uma cadeia estática. Uma carga maliciosa ainda deve ser tratada como email malicioso quando um nome específico não é identificado.
Tipo complexo SystemOverrides
SystemOverrides
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Detalhes | Edm.String | Não | Os detalhes sobre a substituição específica (como ETR ou Remetente seguro) que foi aplicada. |
FinalOverride | Edm.String | Não | Indica a substituição que afetou a entrega no caso de várias substituições. |
Resultado | Edm.String | Não | Indica se o email foi definido como permitido ou bloqueado com base na substituição. |
Source | Edm.String | Não | Indica se a substituição foi configurada pelo usuário ou pelo locatário. |
Tipo complexo AuthDetails
AuthDetails
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Nome | Edm.String | Não | O nome da verificação de autenticação específica, como DKIM ou DMARC. |
Valor | Edm.String | Não | O valor associado à verificação de autenticação específica, como Verdadeiro ou Falso. |
Enumeração: FileVerdict - Tipo: Edm.Int32
FileVerdict
Valor | Nome do membro | Descrição |
---|---|---|
0 | Good | Nenhuma ameaça detectada. |
1 | Bad | Malware encontrado no anexo. |
-1 | Error | Erro de varredura/análise. |
-2 | Timeout | Tempo limite de varredura/análise. |
-3 | Pending | Varredura/análise não concluída. |
Enumeração: Policy - Tipo: Edm.Int32
Tipo de política e tipo de ação
Valor | Nome do membro | Descrição |
---|---|---|
1 | Anti-spam, HSPM | Ação de HSPM (Spam de Alta Confiança) na política anti-spam. |
2 | Anti-spam, SPM | Ação de Spam (SPM) na política anti-spam. |
3 | Anti-spam, em massa | Ação em massa na política anti-spam. |
4 | Anti-spam, PHSH | Ação de PHSH (phishing) na política anti-spam. |
5 | Anti-phishing, DIMP | Ação de Representação de Domínio (DIMP) na política anti-phishing. |
6 | Anti-phishing, UIMP | Ação de Representação de Usuários (UIMP) na política anti-phishing. |
7 | Anti-phishing, SPOOF | Ação falsa na política anti-phishing. |
8 | Anti-phishing, GIMP | Ação de inteligência da caixa de correio na política Antiphishing. |
9 | Antimalware, AMP | Ação de política de malware na política antimalware. |
10 | Anexo seguro, SAP | Ação da política nos anexos Seguros na política do Defender para Office 365. |
11 | Regra de transporte do Exchange, ETR | Ação de diretiva na Regra de Transporte do Exchange. |
12 | Antimalware, ZAPM | Ação de política de malware na política antimalware aplicada ao ZAP (zero-hour purge). |
13 | Anti-phishing, ZAPP | Ação de política de phishing na política anti-phishing aplicada ao ZAP. |
14 | Anti-phishing, ZAPS | Ação de política de spam na política antispam aplicada ao ZAP. |
15 | Antispam, email de phishing de alta confiança (HPHISH) | Ação de política de phishing de alta confiabilidade na política antispam. |
17 | Antispam, política de spam de saída (OSPM) | Ação de política na política de filtro de spam de saída em Antispam. |
Enumeração: PolicyAction - Tipo: Edm.Int32
Ação de política
Valor | Nome do membro | Descrição |
---|---|---|
0 | MoveToJMF | A ação de política é mover para a pasta Lixo Eletrônico. |
1 | AddXHeader | A ação de política é adicionar o cabeçalho X à mensagem de email. |
2 | ModifySubject | A ação de política é modificar o assunto na mensagem de email com as informações especificadas pela política de filtragem. |
3 | Redirecionamento | A ação de política é redirecionar a mensagem de email para o endereço de email especificado pela política de filtragem. |
4 | Excluir | A ação de política é excluir (descartar) a mensagem de email. |
5 | Quarentena | A ação de política é colocar a mensagem de email em quarentena. |
6 | NoAction | A política está configurada para não executar nenhuma ação na mensagem de email. |
7 | BccMessage | A ação de política é Cco a mensagem de email para o endereço de email especificado pela política de filtragem. |
8 | ReplaceAttachment | A ação de política é substituir o anexo na mensagem de email com as informações especificadas pela política de filtragem. |
Eventos de momento do clique da URL
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
UserId | Edm.String | Sim | O identificador (por exemplo, endereço de email) do usuário que clicou na URL. |
AppName | Edm.String | Sim | O serviço do Office 365 em que a URL foi clicada (por exemplo, o Email). |
URLClickAction | Automaticamente. URLClickAction | Sim | Clique na ação para o URL com base nas políticas da organização para Links Seguros no Defender para Office 365. |
SourceId | Edm.String | Sim | O identificador do serviço do Office 365 em que a URL foi clicada (por exemplo, para o Email, essa é a ID de Mensagens da Rede do Exchange Online). |
TimeOfClick | Edm.Date | Sim | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário clicou na URL. |
URL | Edm.String | Sim | URL clicada pelo usuário. |
UserIp | Edm.String | Sim | O endereço IP do usuário que clicou na URL. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
Enumeração: URLClickAction – Tipo: Edm.Int32
URLClickAction
Valor | Nome do membro | Descrição |
---|---|---|
2 | Blockpage | Usuário impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365. |
3 | PendingDetonationPage | É apresentado ao Usuário uma página de detonação pendente pelo serviço Links Seguros no Defender para o Office 365. |
4 | BlockPageOverride | O usuário é impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar para a URL |
5 | PendingDetonationPageOverride | É apresentado ao Usuário uma página de detonação pelo serviço Links Seguros no Defender para o Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar até o URL. |
Eventos de arquivo
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
FileData | Self.FileData | Sim | Dados sobre o arquivo que disparou o evento. |
SourceWorkload | Self.SourceWorkload | Sim | Carga de trabalho ou serviço em que o arquivo foi encontrado (por exemplo, SharePoint Online, OneDrive for Business ou Microsoft Teams) |
DetectionMethod | Edm.String | Sim | O método ou tecnologia usada pelo Microsoft Defender para Office 365 para a detecção. |
LastModifiedDate | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual o arquivo foi criado ou modificado pela última vez. |
LastModifiedBy | Edm.String | Sim | O identificador (por exemplo, um endereço de email) do usuário que criou ou modificou pela última vez o arquivo. |
EventDeepLink | Edm.String | Sim | Link profundo para o evento de arquivo no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança. |
Tipo complexo FileData
FileData
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
DocumentId | Edm.String | Sim | O identificador exclusivo do arquivo nas plataformas SharePoint, OneDrive ou Microsoft Teams. |
FileName | Edm.String | Sim | Nome do arquivo que disparou o evento. |
FilePath | Edm.String | Sim | Caminho (local) do arquivo no SharePoint, OneDrive ou Microsoft Teams. |
FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
FileSize | Edm.String | Sim | Tamanho do arquivo em bytes. |
Enumeração: SourceWorkload – Tipo: Edm.Int32
SourceWorkload
Valor | Nome do membro |
---|---|
0 | SharePoint Online |
1 | OneDrive for Business |
2 | Microsoft Teams |
Esquema de envio
Os eventos de envio estão disponíveis para todos os clientes do Office 365, pois vêm com segurança. Isso inclui organizações que usam a Proteção do Exchange Online e o Microsoft Defender para Office 365. Cada evento no feed de envio corresponde a falsos positivos ou falsos negativos que foram enviados como:
- Envio do administrador. Mensagens, arquivos ou URLs enviados à Microsoft para análise.
- Item relatádo pelo usuário. Mensagens relatadas pelos usuários finais ao administrador ou à Microsoft para análise.
Eventos de envio
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AdminSubmissionRegistered | Edm.String | Não | O envio do administrador está registrado e está pendente para processamento. |
AdminSubmissionDeliveryCheck | Edm.String | Não | O sistema de envio do administrador verificou a política do email. |
AdminSubmissionSubmitting | Edm.String | Não | O sistema de envio do administrador está enviando o email. |
AdminSubmissionSubmitted | Edm.String | Não | O sistema de envio do administrador enviou o email. |
AdminSubmissionTriage | Edm.String | Não | O envio do administrador é classificado pelo avaliador. |
AdminSubmissionTimeout | Edm.String | Não | O envio do administrador atingiu o tempo limite sem nenhum resultado. |
UserSubmission | Edm.String | Não | O envio foi relatado pela primeira vez por um usuário final. |
UserSubmissionTriage | Edm.String | Não | O envio do usuário é classificado pelo avaliador. |
CustomSubmission | Edm.String | Não | A mensagem relatada por um usuário foi enviada à caixa de correio personalizada da organização, conforme definido nas configurações de mensagens de relatório do usuário. |
AttackSimUserSubmission | Edm.String | Não | A mensagem relatada pelo usuário era, na verdade, uma mensagem de treinamento de simulação de phishing. |
AdminSubmissionTablAllow | Edm.String | Não | Uma permissão foi criada no momento do envio para executar a ação imediatamente em mensagens semelhantes enquanto ela está sendo verificada novamente. |
SubmissionNotification | Edm.String | Não | Os comentários da administração são enviados para o usuário final. |
Eventos de investigação e resposta automatizadas no Office 365
Os eventos de investigação e resposta automatizada do Office 365 (AIR) estão disponíveis para clientes do Office 365 que possuem uma assinatura que inclui o Plano 2 do Microsoft Defender para Office 365 ou Office 365 E5. Os eventos de investigação são registrados com base em uma alteração no status de investigação. Por exemplo, quando um administrador realiza uma ação que altera o status de uma investigação de Ações Pendentes para Concluídas, um evento é registrado.
No momento, somente investigações automatizadas são registradas. (Eventos de investigações geradas manualmente serão disponibilizados em breve.) Os seguintes valores de status são registrados:
- Investigação Iniciada
- Nenhuma ameaça encontrada
- Encerrado pelo sistema
- Ação Pendente
- Ameaça Encontrada
- Remediado
- Falhou
- Encerrado pela limitação
- Encerrado Pelo Usuário
- Em execução
Esquema de investigação principal
Nome | Tipo | Descrição |
---|---|---|
InvestigationId | Edm.String | ID/GUID da Investigação. |
InvestigationName | Edm.String | Nome da investigação. |
InvestigationType | Edm.String | Tipo da investigação. Pode ter um dos seguintes valores: - Mensagens relatadas pelo usuário - Malware com Limpeza Automática Zero Hora - Phishing com Limpeza Automática Zero Hora - Alteração de Veredito de URL (Investigações manuais não estão disponíveis no momento. Serão disponibilizadas em breve.) |
LastUpdateTimeUtc | Edm.Date | Hora UTC da última atualização para uma investigação. |
StartTimeUtc | Edm.Date | Hora de início de uma investigação. |
Status | Edm.String | Estado de investigação, Execução, Ações Pendentes, etc. |
DeeplinkURL | Edm.String | URL de ligação avançada para uma investigação no Centro de Conformidade & de Segurança Office 365. |
Ações | Coleção (Edm.String) | Coleção de ações recomendadas por uma investigação. |
Data | Edm.String | Cadeia de dados que contém mais detalhes sobre entidades de investigação e informações sobre alertas relacionados à investigação. As entidades estão disponíveis em um nó separado no blob de dados. |
Ações
Campo | Tipo | Descrição |
---|---|---|
ID | Edm.String | ID da ação |
ActionType | Edm.String | O tipo de ação, como remediação de e-mail. |
ActionStatus | Edm.String | Os valores incluem: - Pendente - Executando - Aguardando o recurso - Concluído - Falhou |
ApprovedBy | Edm.String | Nulo se for aprovado automaticamente; caso contrário, o nome de usuário/ID (isso será lançado em breve) |
TimestampUtc | Edm.DateTime | O carimbo de data/hora da ação status ser alterado. |
ActionId | Edm.String | Identificador exclusivo para a ação. |
InvestigationId | Edm.String | Identificador exclusivo para investigação. |
RelatedAlertIds | Collection(Edm.String) | Alertas relacionados com uma investigação. |
StartTimeUtc | Edm.DateTime | Carimbo de data/hora da criação da ação. |
EndTimeUtc | Edm.DateTime | Carimbo de data/hora da atualização final da ação status. |
Identificadores de recursos | Edm.String | Consiste na ID de locatário do Azure Active Directory. |
Entidades | Collection(Edm.String) | Lista de uma ou mais entidades afetadas por ação. |
IDs de Alertas Relacionados | Edm.String | Alerta relacionado com uma investigação. |
Entidades
MailMessage
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | "mail-message" |
Arquivos | Coleção (Self.File) | Detalhes sobre os ficheiros dos anexos desta mensagem. |
Destinatário | Edm.String | O destinatário desta mensagem de correio. |
URLs | Collection(Self.URL) | Os URLs contidos nesta mensagem de correio. |
Remetente | Edm.String | O endereço de e-mail do remetente. |
SenderIp | Edm.String | O endereço IP do remetente. |
ReceivedDate | Edm.DateTime | A data de receção desta mensagem. |
NetworkMessageId | Edm.Guid | O ID da mensagem de rede desta mensagem de correio. |
InternetMessageId | Edm.String | O ID da mensagem da Internet desta mensagem de correio. |
Assunto | Edm.String | O assunto desta mensagem de correio. |
IP
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | "ip" |
Endereço | Edm.String | O endereço IP como uma cadeia, como 127.0.0.1 . |
URL
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | "url" |
Url | Edm.String | O URL completo para o qual uma entidade aponta. |
Caixa de correio (também equivalente ao usuário)
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | “Caixa de correio” |
MailboxPrimaryAddress | Edm.String | O endereço principal da caixa de correio. |
DisplayName | Edm.String | O nome a apresentar da caixa de correio. |
UPN | Edm.String | O UPN da caixa de correio. |
Arquivo
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | “Arquivo” |
Nome | Edm.String | O nome do ficheiro sem caminho. |
FileHashes | Coleção (Edm.String) | Os hashes de ficheiro associados ao ficheiro. |
FileHash
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | "filehash" |
Algoritmo | Edm.String | O tipo de algoritmo hash, que pode ser um destes valores: - Desconhecido - MD5 - SHA1 - SHA256 - SHA256AC |
Valor | Edm.String | O valor hash. |
MailCluster
Campo | Tipo | Descrição |
---|---|---|
Tipo | Edm.String | "MailCluster" Determina o tipo de entidade que está a ser discutida. |
NetworkMessageIds | Coleção (Edm.String) | Lista dos IDs de mensagens de correio que fazem parte do cluster de correio. |
CountByDeliveryStatus | Coleções (Edm.String) | Contagem de mensagens de correio por representação da cadeia DeliveryStatus. |
CountByThreatType | Coleções (Edm.String) | Contagem de mensagens de correio por representação da cadeia ThreatType. |
Ameaças | Coleções (Edm.String) | As ameaças de mensagens de email que fazem parte do cluster de emails. As ameaças incluem valores como Phish e Malware. |
Consulta | Edm.String | A consulta que foi utilizada para identificar as mensagens do cluster de correio. |
QueryTime | Edm.DateTime | O tempo de consulta. |
MailCount | Edm.int | O número de mensagens de correio que fazem parte do cluster de correio. |
Origem | Cadeia de Caracteres | A origem do cluster de email; o valor da origem do cluster. |
Esquema de eventos de higiene
Os eventos de higiene estão relacionados à proteção contra spam de saída. Esses eventos estão relacionados a usuários impedidos de enviar email. Para saber mais, confira:
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Auditoria | Edm.String | Não | Informações do sistema relacionadas ao evento de higiene. |
Evento | Edm.String | Não | O tipo de evento de higiene. Os valores para este parâmetro são Listado ou Removido. |
EventId | Edm.Int64 | Não | O ID do tipo de evento de higiene. |
EventValue | Edm.String | Não | O usuário que foi impactado. |
Reason | Edm.String | Não | Detalhes sobre o evento de higiene. |
Esquema do Power BI
Os eventos do Power BI listados em Pesquisar o log de auditoria no Centro de Proteção do Office 365 usarão este esquema.
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do aplicativo em que o evento ocorreu. |
DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do painel onde o evento ocorreu. |
DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | As classificação dos dados, se houver, do painel onde o evento ocorreu. |
DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do conjunto de dados onde o evento ocorreu. |
MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações de associação sobre o grupo. |
OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Lista de permissões de um aplicativo organizacional (toda a organização, usuários específicos ou grupos específicos). |
NomeDoRelatório | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do relatório em que o evento ocorreu. |
SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre a pessoa para quem é enviado um convite de compartilhamento. |
SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre o estado das várias opções de nível do locatário. |
WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do espaço de trabalho em que o evento ocorreu. |
Tipo de complexo MembershipInformationType
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do grupo. |
Status | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Não está preenchido no momento. |
SharingInformationType tipo complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do destinatário de um convite de compartilhamento. |
RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do destinatário de um convite de compartilhamento. |
ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | A permissão sendo concedida ao destinatário. |
Esquema do Dynamics 365
Os registros de auditoria para eventos relacionados aos aplicativos controlados por modelos no Dynamics 365 usam um esquema de operações de entidade e base. Para obter mais informações, consulte Ativar e usar o Log de Atividade.
Esquema base do Dynamics 365
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
CrmOrganizationUniqueName | Edm.String | Sim | O nome exclusivo da organização. |
InstanceUrl | Edm.String | Sim | A URL da instância. |
ItemUrl | Edm.String | Não | A URL do registro que emite o log. |
ItemType | Edm.String | Não | O nome da entidade. |
UserAgent | Edm.String | Não | O identificador exclusivo da GUID de usuário na organização. |
Campos | Collection(Common.NameValuePair) | Não | Um objeto JSON que contém os pares da propriedade chave-valor criados ou atualizados. |
Esquema de operações de entidade do Dynamics 365
Eventos de entidade de aplicativos controlados por modelos no Dynamics 365 use este esquema para criar o esquema base do Dynamics 365. Esse esquema inclui informações sobre a operação de entidade que disparou o evento auditado.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
EntityId | Edm.Guid | Não | Identificador exclusivo da entidade. |
EntityName | Edm.String | Sim | O nome da entidade na organização. Exemplos de entidades incluem contact ou authentication . |
Mensagem | Edm.String | Sim | Esse parâmetro contém a operação que foi realizada em relação à entidade. Por exemplo, se tiver sido criado um novo contacto, o valor da propriedade Mensagem é Create e o valor correspondente da propriedade EntityName é contact . |
Consulta | Edm.String | Não | Os parâmetros da consulta de filtro que foi usada durante a execução da operação FetchXML. |
PrimaryFieldValue | Edm.String | Não | Indica o valor do atributo que é o campo principal da entidade. |
Esquema do Workplace Analytics
Os eventos do WorkPlace Analytics listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
WpaUserRole | Edm.String | Não | A função do Workplace Analytics do usuário que executou a ação. |
ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
OperationDetails | Coleção (Common.NameValuePair) | Não | Uma lista de propriedades estendidas para a configuração que foi alterada. Cada propriedade terá um Nome e Valor. |
Esquema de quarentena
Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema. Para saber mais sobre a quarentena, confira Mensagens de email em quarentena no Office 365.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RequestType | Self.RequestType | Não | O tipo de solicitação de quarentena executada por um usuário. |
RequestSource | Self.RequestSource | Não | A origem de uma solicitação de quarentena pode vir do Centro de Conformidade e Segurança (SCC), de um cmdlet ou de um URLlink. |
NetworkMessageId | Edm.String | Não | A ID da mensagem de rede da mensagem de email em quarentena. |
ReleaseTo | Edm.String | Não | O destinatário da mensagem de email. |
Enum: RequestType - Type: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | Visualização | Esta é uma solicitação de um usuário para visualizar uma mensagem de email considerada prejudicial. |
1 | Excluir | Esta é uma solicitação de um usuário para excluir uma mensagem de email considerada prejudicial. |
2 | Liberar | Esta é uma solicitação de um usuário para liberar uma mensagem de email considerada prejudicial. |
3 | Exportar | Esta é uma solicitação de um usuário para exportar uma mensagem de email considerada prejudicial. |
4 | ViewHeader | Esta é uma solicitação de um usuário para exibir o cabeçalho de uma mensagem de email considerada prejudicial. |
5 | Solicitação de liberação | Esta é uma solicitação de liberação de um usuário para liberar uma mensagem de email considerada prejudicial. |
Enum: RequestSource - Type: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | SCC | O Centro de Conformidade e Segurança (SCC) é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
1 | Cmdlet | Um cmdlet é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
2 | URLlink | Essa é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
Esquema do Microsoft Forms
Os eventos do Microrosft Forms listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
FormsUserTypes | Coleção (Self.FormsUserTypes) | Sim | O papel do usuário que executou a ação. Os valores desse parâmetro são Administrador, Proprietário, Responder ou Coautoria. |
SourceApp | Edm.String | Sim | Indica se a ação é do site do Forms ou de outro aplicativo. |
FormName | Edm.String | Não | Nome do formulário atual. |
FormId | Edm.String | Não | A ID do formulário de destino. |
FormTypes | Coleção (Self.FormTypes) | Não | Indica se isso é um Formulário, Quiz ou Pesquisa. |
ActivityParameters | Edm.String | Não | Cadeia de caracteres JSON contendo parâmetros de atividade. Confira Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365 para saber mais. |
Enum: FormsUserTypes - Tipo: Edm.Int32
FormsUserTypes
Valor | Tipo de Usuário do Formulário | Descrição |
---|---|---|
0 | Administrador | Um administrador que tem acesso ao formulário. |
1 | Proprietário | Um usuário que é o proprietário do formulário. |
2 | Respondente | Um usuário que enviou uma resposta a um formulário. |
3 | Co-autor | Um usuário que usou um link de colaboração fornecido pelo proprietário do formulário para fazer logon e editar um formulário. |
Enum: FormTypes - Tipo: Edm.Int32
FormTypes
Valor | Tipos de Formulário | Descrição |
---|---|---|
0 | Formulário | Formulários criados com a opção Novo Formulário. |
1 | Quiz | Quizzes criados com a Nova Opção de Quiz. Um quiz é um tipo especial de formulário que inclui recursos adicionais como valores de ponto, classificações automáticas e manuais e comentários. |
2 | Pesquisa | Pesquisas criadas com a opção Nova Pesquisa. Uma pesquisa é um tipo especial de formulário que inclui recursos adicionais como a integração e o suporte a CMS para regras de Fluxo. |
Esquema de rótulos MIP
Os eventos no esquema de rótulo da Proteção de Informações do Microsoft Purview são disparados quando o Microsoft 365 detecta uma mensagem de email processada por agentes no pipeline de Transporte que tem um rótulo de confidencialidade aplicado a ele. O rótulo de confidencialidade pode ter sido aplicado manual ou automaticamente e pode ter sido aplicado dentro ou fora do pipeline de Transporte. Os rótulos de confidencialidade podem ser aplicados automaticamente às mensagens de email por meio da aplicação automática de políticas de rótulo.
O propósito desse esquema de auditoria é representar a soma de toda a atividade de email que envolve rótulos de confidencialidade. Em outras palavras, deve haver uma atividade de auditoria redirecionada para cada mensagem de email que será enviada para ou a partir de usuários na organização que tenha um rótulo de confidencialidade aplicado a ele, independentemente de quando ou como o rótulo de sensibilidade tenha sido aplicado. Para obter mais informações sobre rótulos de confidencialidade, confira:
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Remetente | Edm.String | Não | O endereço de email no campo De da mensagem de email. |
Receptores | Collection(Edm.String) | Não | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
ItemName | Edm.String | Não | A cadeia de caracteres no campo Assunto da mensagem de email. |
LabelID | Edm.Guid | Não | O GUID do rótulo de confidenciallidade aplicado à mensagem de email. |
LabelName | Edm.String | Não | O nome do rótulo de sensibilidade aplicado à mensagem de email. |
Labelaction | Edm.String | Não | As ações especificadas pelo rótulo de confidencialidade que foram aplicados à mensagem de email antes da mensagem entrar no pipeline de transporte de email. |
LabelAppliedDateTime | Edm.Date | Não | A data em que o rótulo de confidencialidade foi aplicado à mensagem de email. |
Applicationmode | Edm.String | Não | Especifica como o rótulo de confidencialidade foi aplicado à mensagem de email. O valor Privilegiado indica que o rótulo foi aplicado manualmente por um usuário. O valor Padrão indica que o rótulo foi aplicado automaticamente por um processo de rotulagem do lado do cliente ou do serviço. |
Esquema de eventos do portal de mensagens criptografadas
Os eventos para o esquema do portal de mensagens criptografadas são disparados quando a Criptografia de Mensagens do Purview detecta que uma mensagem de email criptografada é acessada no portal por um destinatário externo. O email pode ter sido criptografado manualmente com um rótulo de confidencialidade ou um modelo RMS, ou automaticamente por uma regra de transporte, uma política de Prevenção contra Perda de Dados ou uma política de rotulagem automática.
A intenção desse esquema de auditoria é representar a soma de todas as atividades do portal que envolvem o acesso ao email criptografado por destinatários externos. Em outras palavras, deve haver uma atividade de auditoria registrada para um destinatário que tente entrar no portal e para as atividades relacionadas ao acesso ao email criptografado. Isso inclui emails enviados para ou de usuários na organização quando tem criptografia aplicada a ele, independentemente de quando ou como a criptografia foi aplicada. Para obter mais informações, confira Saiba mais sobre os logs do portal de mensagens criptografadas.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
MessageId | Edm.String | Não | A ID da mensagem. |
Destinatário | Edm.String | Não | Endereço de e-mail do destinatário. |
Remetente | Edm.String | Não | Endereço de e-mail do remetente. |
AuthenticationMethod | Self.AuthenticationMethod | Não | Método de autenticação ao acessar a mensagem, ou seja, OTP, Yahoo, Gmail, Microsoft. |
AuthenticationStatus | Self.AuthenticationStatus | Não | 0 – Êxito, 1 – Falha. |
OperationStatus | Self.OperationStatus | Não | 0 – Êxito, 1 – Falha. |
AttachmentName | Edm.String | Não | Nome do anexo. |
OperationProperties | Collection(Common.NameValuePair) | Não | Propriedades adicionais, ou seja, número de senha OTP enviada, assunto do email etc. |
Esquema de conformidade de comunicações do Exchange
Os eventos de conformidade de comunicação listados no log de auditoria do Office 365 usam esse esquema. Isso inclui registros de auditoria para a operação SupervisoryReviewOLAudit gerados quando o conteúdo da mensagem de email contém uma linguagem ofensiva identificada por modelos antispam com uma precisão de correspondência de >= 99,5%.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ExchangeDetails | ExchangeDetails | Não | Propriedades da mensagem de email que disparou o evento SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
Nome do membro | Tipo | Descrição |
---|---|---|
NetworkMessageId | Edm.Guid | A ID de mensagem da rede da mensagem de email. |
InternetMessageId | Edm.String | A ID de mensagem da internet da mensagem de email. |
AttachmentData | Collection(AttachmentDetails) | Informações sobre arquivos anexados à mensagem de emails. |
Destinatários | Collection(Edm.String) | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
Assunto | Edm.String | O texto no campo Assunto da mensagem de email. |
MessageTime | Edm.Date | A data e a hora em que a mensagem foi enviada. |
De | Edm.String | O endereço de email no campo De da mensagem de email. |
Directionality | Edm.String | O status da origem da mensagem de email. |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
Nome do membro | Tipo | Descrição |
---|---|---|
FileName | Edm.String | O nome do arquivo anexado à mensagem de email. |
FileType | Edm.String | A extensão de arquivo do arquivo anexado à mensagem de email. |
SHA256 | Edm.String | O hash SHA-256 do arquivo anexado à mensagem de email. |
Esquema de relatórios
Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Esquema do conector de conformidade
Os eventos no esquema do conector de conformidade são disparados quando itens importados por um conector de dados são ignorados ou não podem ser importados para caixas de correio do usuário. Para obter mais informações sobre conectores de dados, consulte Saiba mais sobre os conectores de dados de terceiros.
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
JobId | Edm.String | Não | Esse é um identificador exclusivo do conector de dados. |
TaskId | Edm.String | Não | Identificador exclusivo da instância periódica do conector de dados. Os conectores de dados importam dados em intervalos periódicos. |
JobType | Edm.String | Não | O nome do conector de dados. |
ItemId | Edm.String | Não | Identificador exclusivo do item (por exemplo, uma mensagem de email) que está sendo importado. |
ItemSize | Edm.Int64 | Não | O tamanho do item que está sendo importado. |
SourceUserId | Edm.String | Não | O identificador exclusivo do usuário da fonte de dados de terceiros. Por exemplo, para um conector de dados do Slack, essa propriedade especifica a ID de usuário no espaço de trabalho do Slack. |
FailureType | Self.FailureType | Não | Indica o tipo de falha de importação de dados. Por exemplo, o valor incorrectusermapping indica que o item não foi importado porque não foi encontrado nenhum mapeamento de usuário entre a fonte de dados de terceiros e o Microsoft 365. |
ResultMessage | Edm.String | Não | Indica o tipo de falha, como Mensagem duplicada. |
IsRetry | Edm.Boolean | Não | Indica se o conector de dados repetiu a importação do item. |
Anexos | Coleção.Anexo | Não | Uma lista de anexos recebidos da fonte de dados de terceiros. |
Enumeração: FailureType - Tipo: Edm.Int32
Valor | Nome do membro |
---|---|
0 | Padrão |
1 | MailboxWrite |
Tipo complexo de anexo
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
FileName | Edm.String | Não | O nome do anexo. |
Detalhes | Edm.String | Não | Outros detalhes sobre o anexo. |
Esquema SystemSync
Os eventos no esquema SystemSync são disparados quando os dados ingeridos do SystemSync são exportados por meio do Data Lake ou compartilhados por meio de outros serviços.
DataLakeExportOperationAuditRecord
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
DataStoreType | DataStoreType | Sim | Indica de qual repositório os dados foram baixados. Consulte DataStoreType para obter todos os valores possíveis. |
UserAction | DataLakeUserAction | Sim | Indica qual ação o usuário executou no repositório de dados. Consulte DataLakeUserAction para obter todos os valores possíveis. |
ExportTriggeredAt | Edm.DateTimeOffset | Sim | Indica quando a exportação de dados foi disparada. |
NameOfDownloadedZipFile | Edm.String | Não | O nome do arquivo compactado que o administrador baixou do Data Lake. |
DataShareOperationAuditRecord
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Convite | DataShareInvitationType | Não | Detalhes do convite enviado ao destinatário do Data Share. |
Tipo complexo DataShareInvitationType
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ShareId | Edm.Guid | Sim | Identificador atribuído pelo sistema para o Data Share. |
Convidados | Collection(Edm.Guid) | Sim | Lista de usuários administradores para os quais o convite foi enviado. |
InviteeTenantId | Edm.Guid | Sim | O locatário de destino ao qual o convite se destina. |
ShareName | Edm.String | Sim | Nome atribuído pelo sistema para o Data Share. |
SyncFrequency | Self.SyncFrequency | Sim | Frequência na qual os dados são sincronizados com a conta de armazenamento de destino depois que o compartilhamento é estabelecido. Consulte SyncFrequency para obter os valores possíveis. |
SyncStartTime | Edm.DateTimeOffset | Sim | Data e hora da primeira sincronização. |
Enum: SyncFrequency - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | A cada hora | Indica que os dados serão sincronizados a cada hora. |
1 | Diariamente | Indica que os dados serão sincronizados uma vez por dia. |
Enum: DataStoreType - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | CanonicalStore | Indica que os dados serão baixados do repositório canônico. |
1 | StagingStore | Indica que os dados serão baixados do repositório de preparo. |
Enum: DataLakeUserAction - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
0 | TriggerExport | O usuário administrador disparou a exportação do Data Lake. |
1 | DownloadZipFile | O usuário administrador baixou os dados exportados. |
Tipo complexo MicrosoftGraphDataConnectOperation
Parâmetros | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
ApplicationName | Edm.String | Sim | O nome do aplicativo. |
PipelineName | Edm.String | Sim | Nome do pipeline dinâmico. |
PipelineRunId | Edm.Guid | Não | A identificação dessa execução de pipeline. |
CopyActivityRunId | Edm.Guid | Não | A identificação da atividade de cópia do ADF. |
RunStartTime | Edm.Date | Sim | Data e hora da extração. |
RunEndTime | Edm.Date | Sim | Data e hora da extração. |
DatasetName | Edm.String | Sim | O nome do conjunto de dados que está sendo extraído. |
DatasetColumns | Edm.String | Sim | O conjunto de colunas selecionadas que estão sendo extraídas. |
Lista de Escopos | Edm.String | Sim | O escopo da extração. |
ScopeCountRequested | Edm.Int64 | Não | A contagem de escopos solicitada para esta extração. |
ScopeCountDelivered | Edm.Int64 | Não | A contagem de escopo entregue para esta extração. |
UndeliveredScope | Edm.String | Não | O escopo não entregue da extração. |
RowCount | Edm.Int64 | Não | O número de linhas extraídas. |
Status | Edm.String | Sim | O status de extração. |
Reason | Edm.String | Não | A mensagem de erro em caso de falha. |
AipDiscover
A tabela seguinte contém informações relacionadas com eventos de scanner do Azure Proteção de Informações (AIP).
Evento | Descrição |
---|---|
ApplicationId | O ID do aplicativo que está executando a operação. |
ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
DataState | Descreve o estado dos dados. |
DeviceName | O dispositivo no qual a atividade ocorreu. |
Id | GUID do registo atual. |
IsProtected | Se protegido: Verdadeiro/Falso |
Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e cloud. |
ObjectId | Caminho completo do ficheiro (URL). Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. |
Operação | Descreve o tipo de acesso. |
OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS) |
ProcessName | O nome do processo relevante, por exemplo. Outlook, msip.app, WinWord. |
ProductVersion | Versão do cliente AIP. |
ProtectionOwner | Proprietário do Rights Management no formato UPN. |
ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
RecordType | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. Para obter uma lista atualizada completa e uma descrição completa do Log RecordType, consulte a mensagem de blogue Atividades de registo de auditoria de Conformidade do Microsoft 365 através da API de Gestão do O365. Aqui, listamos apenas os tipos de Registo MIP relevantes. |
Escopo | Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente. |
SensitiveInfoTypeData | Armazena o tipo de dados dos dados do tipo Informações Confidenciais. |
SensitivityLabelId | O GUID da etiqueta de confidencialidade MIP atual. Utilize cmdlt Get-Label para obter os valores completos do GUID. |
TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
UserId | O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou no registo ser registado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
Versão | ID da versão do arquivo na operação. |
Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
AipSensitivityLabelAction
A tabela seguinte contém informações relacionadas com eventos de etiqueta de confidencialidade do AIP.
Evento | Descrição |
---|---|
ApplicationId | Corresponde ao ID da Aplicação Microsoft Entra. |
ApplicationName | Nome amigável da aplicação que executa a operação. |
CreationDate | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade. |
DataState | Especifica o estado dos dados. |
DeviceName | O nome do dispositivo do utilizador. |
Identidade | A identidade do utilizador ou serviço a autenticar. |
IsProtected | Se protegido: Verdadeiro/Falso |
IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso |
IsValid | Booliano |
Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud. |
ObjectState | Especifica o estado do objeto. |
Operação | O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
Identidade | A identidade do utilizador ou serviço a autenticar. |
PSComputerName | Nome do Computador |
PSShowComputerName | O valor é Falso para documentos editados no Office 365. |
Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS). |
ProcessName | Processo que aloja o SDK MIP. |
ProductVersion | Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria. |
ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo. |
RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
SensitiveInfoTypeData | Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais |
TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. |
AipProtectionAction
Evento | Descrição |
---|---|
PSComputerName | Nome do computador |
RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
PSShowComputerName | O valor é falso para um documento editado no Office 365. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo. |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
Identidade | A identidade do utilizador ou serviço a autenticar. |
ObjectState | Estado do Objeto após o evento atual. |
ApplicationId | A aplicação onde a atividade ocorreu e foi apresentada no GUID. |
ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
ProcessName | Nome do processo da aplicação do Office. |
Plataforma | A plataforma na qual a atividade ocorreu. Por exemplo, Windows. |
DeviceName | Dispositivo em que o evento foi gravado. |
ProductVersion | Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria. |
UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
Id | GUID do registo atual. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. |
OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
Versão | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria |
Escopo | Especifica o âmbito. |
AipFileDeleted
Evento | Descrição |
---|---|
PSComputerName | Nome do computador |
RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
PSShowComputerName | O valor é falso para um documento editado no Office 365. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo. |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
UserId | O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
Identidade | A identidade do utilizador ou serviço a autenticar. |
ObjectState | Estado do Objeto após o evento atual. |
ApplicationId | A aplicação onde a atividade ocorreu e foi apresentada no GUID. |
ApplicationName | Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro). |
ProcessName | Nome do processo da aplicação do Office. |
Plataforma | A plataforma na qual a atividade ocorreu. Por exemplo, Windows. |
DeviceName | Dispositivo em que o evento foi gravado. |
ProductVersion | Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria. |
UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
Id | GUID do registo atual. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. |
CreationTime | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado. |
Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. |
OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
Workload | Armazena o serviço Office 365 onde ocorreu a atividade. |
Versão | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria |
Escopo | Especifica o âmbito. |
AipHeartBeat
A tabela seguinte contém informações relacionadas com eventos de heartbeat do AIP.
Evento | Descrição |
---|---|
ApplicationId | Corresponde ao ID da Aplicação Microsoft Entra. |
ApplicationName | Nome amigável da aplicação que executa a operação. |
CreationDate | A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade. |
DataState | Especifica o estado dos dados. |
DeviceName | O nome do dispositivo do utilizador. |
Identidade | A identidade do utilizador ou serviço a autenticar. |
IsProtected | Se protegido: Verdadeiro/Falso |
IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso |
IsValid | Booliano |
Local | A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud. |
ObjectState | Especifica o estado do objeto. |
Operação | O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. |
PSComputerName | Nome do Computador |
PSShowComputerName | O valor é Falso para documentos editados no Office 365. |
Plataforma | Plataforma de dispositivos (Win, OSX, Android, iOS). |
ProcessName | Processo que aloja o SDK MIP. |
ProductVersion | Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria. |
ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
RecordType | Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo. |
RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos. |
SensitiveInfoTypeData | Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais. |
TemplateId | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
UserId | O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria. |
UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
Tipo complexo MicrosoftGraphDataConnectConsent
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
ApplicationVersion | Edm.String | Sim | A versão da aplicação. |
AppRegistrationTenantId | Edm.Guid | Sim | O ID do inquilino do registo de aplicações. |
Aprovador | Edm.String | Sim | O nome principal de utilizador do aprovador. |
ApprovalUpdatedDateInUTC | Edm.Date | Sim | A data e hora da atualização em UTC. |
ApprovalExpiryDateInUTC | Edm.Date | Sim | A data de expiração em UTC. |
ApprovalValidDays | Edm.Int32 | Sim | O número de dias a contar da atualização para a qual a aprovação será válida. |
DestinationSinks | Edm.String | Sim | O destino afunda. |
DestinationTenantId | Edm.Guid | Sim | O ID do inquilino de destino. |
Reason | Edm.String | Não | O motivo fornecido pelo administrador que efetuou a operação. |
Estado | Edm.String | Sim | O estado de consentimento. |
Conjuntos de dados | Coleção Própria. MGDCDataset | Sim | Detalhes sobre os conjuntos de dados que foram consentidos como parte desta operação. |
Tipo Complexo MGDCDataset
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
DatasetName | Edm.String | Sim | O nome do conjunto de dados na operação de consentimento. |
DatasetColumns | Edm.String | Sim | A lista de colunas do conjunto de dados na operação de consentimento. |
DenyGroups | Edm.String | Não | A lista de grupos de negação do conjunto de dados na operação de consentimento. |
Escopo | Edm.String | Sim | Os tipos de âmbito do conjunto de dados na operação de consentimento. Os valores possíveis são Todos, List e FilterUri. |
ScopeFiltersUris | Edm.String | Não | O URI do filtro de âmbito para o conjunto de dados na operação de consentimento. |
Lista de Escopos | Edm.String | Não | A lista de grupos de âmbito do conjunto de dados na operação de consentimento. |
PrivacyPolicyType | Edm.String | Sim | Os tipos de política de privacidade para o conjunto de dados na operação de consentimento. Os valores possíveis são None e DenyList. |
Viva Goals esquema
Os registos de auditoria de eventos relacionados com Viva Goals utilizar este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre a captura de eventos e atividades relacionadas com Viva Goals, veja Atividades de registo de auditoria.
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Detalhe | Edm.String | Não | Uma descrição do evento ou da atividade que ocorreu no Viva Goals. |
Nome de usuário | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome do utilizador que acionou o evento. |
UserRole | Edm.String | Não | A função do utilizador que acionou este evento no Viva Goals. Isto menção se o utilizador for um administrador da organização ou um proprietário. |
OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome da organização no Viva Goals onde o evento foi acionado. |
OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O proprietário da organização no Viva Goals onde ocorreu o evento. |
OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | Os administradores da organização no Viva Goals onde ocorreu o evento. Pode haver um ou mais administradores na organização. |
UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O agente do utilizador (detalhes do browser) do utilizador que acionou o evento. O UserAgent pode não estar presente no caso de um evento gerado pelo sistema. |
Campos Modificados | Collection(Common.NameValuePair) | Não | Uma lista de atributos que foram modificados juntamente com os respetivos valores novos e antigos são apresentados como JSON. |
ItemDetails | Collection(Common.NameValuePair) | Não | Propriedades adicionais sobre o objeto que foi modificado. |
Microsoft Planner esquema
Microsoft Planner substitui a definição de ObjectId e ResultStatus no esquema Comum. A definição objectId de Microsoft Planner está vinculada ao tipo de registo de cada Microsoft Planner e será ilustrada individualmente.
Microsoft Planner's ResultStatus é definido como o seguinte.
Enumeração: ResultStatus - Tipo: Edm.Int32
ResultStatus
Valor | Nome do membro | Descrição |
---|---|---|
1 | Êxito | O pedido do utilizador foi efetuada com êxito. |
2 | Falha | O pedido do utilizador falhou devido a motivos que não a autorização. |
3 | AuthorizationFailure | O utilizador pedido falhou devido a uma falha na autorização. |
Microsoft Planner expande o esquema Comum com os seguintes tipos de registo.
Tipo de registo do PlannerPlan
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | ID do plano pedido. |
ContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao plano. |
ContainerId | Edm.String | ID do contentor associado ao plano. |
SharedWithContainerId | Edm.String | ID do contentor com acesso partilhado ao plano. |
SharedWithContainerType | Eu próprio. ContainerType | Tipo de contentor com acesso partilhado ao plano. |
SharedWithContainerAccessLevel | Eu próprio. PlanAccessLevel | Nível de acesso concedido ao contentor com acesso partilhado ao plano. |
Enumeração: ContainerType - Tipo Edm.Int32
ContainerType
Valor | Nome do membro | Descrição |
---|---|---|
0 | Invalid | Utilizado quando o plano pedido não é encontrado. |
2 | Group | O plano está associado a um Grupo M365. |
3 | TeamsConversation | O plano está associado a uma conversação do Teams. |
4 | OfficeDocument | O plano está associado a um documento do Office. |
5 | Lista | O plano está associado a um grupo de listas. |
6 | Project | O plano tem origem no Microsoft Project. |
Enumeração: PlanAccessLevel - Tipo Edm.Int32
PlanAccessLevel
Valor | Nome do membro | Descrição |
---|---|---|
1 | ReadAccess | Acesso para ler Plano. |
2 | ReadWriteAccess | Acesso para ler e escrever no Plano. |
3 | FullAccess | Acesso para ler, escrever e configurar o Plano. |
Tipo de registo PlannerCopyPlan
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | ID do plano a ser copiado. |
OriginalPlanId | Edm.String | ID do plano a ser copiado. O mesmo que ObjectId. |
OriginalContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao plano original. |
OriginalContainerId | Edm.String | ID do contentor associado ao plano original. |
NewPlanId | Edm.String | ID do novo plano. Nulo quando a operação falhou. |
NewContainerType | Eu próprio. ContainerType | Tipo do contentor associado ao novo plano. |
NewContainerId | Edm.String | ID do contentor associado ao novo plano. |
Tipo de registo plannerTask
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | ID da tarefa pedida. |
PlanId | Edm.String | ID do plano que contém a tarefa. |
Tipo de registo plannerRoster
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | ID da lista pedida. |
MemberIds | Edm.String | Uma cadeia separada por vírgulas de IDs de membro mudou para a lista. |
Tipo de registo PlannerPlanList
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | Uma representação da consulta de vista de uma lista de planos. |
Lista de Planos | Edm.String | Uma cadeia separada por vírgulas de IDs de plano consultados. |
Tipo de registo PlannerTaskList
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | Uma representação da consulta ver de uma lista de tarefas. |
Lista de Planos | Edm.String | Uma cadeia separada por vírgulas de IDs de tarefas consultadas. |
Tipo de registo PlannerTenantSettings
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | Definições de inquilino originais no JSON. |
TenantSettings | Edm.String | Novas definições de inquilino no JSON. |
PlannerRosterSensitivityLabel record type (Tipo de registo PlannerRosterSensitivityLabel)
Properties | Tipo | Descrição |
---|---|---|
ObjectId | Edm.String | ID da etiqueta de confidencialidade. Nulo quando a etiqueta de confidencialidade é removida. |
Lista | Edm.String | ID da lista para a qual a etiqueta de confidencialidade é alterada. |
AssignmentMethod | Eu próprio. SensitivityLabelAssignmentMethod | O método de atribuição da etiqueta de confidencialidade. |
Enumeração: SensitivityLabelAssignmentMethod - Tipo Edm.Int32
SensitivityLabelAssignmentMethod
Valor | Nome do membro | Descrição |
---|---|---|
0 | Padrão | A etiqueta de confidencialidade é aplicada automaticamente, mas não pode substituir uma atribuição de etiqueta com privilégios. |
1 | Com privilégios | A etiqueta de confidencialidade é aplicada manualmente por um utilizador ou por um administrador. |
2 | Auto | A etiqueta de confidencialidade é aplicada automaticamente e tem permissão para substituir uma atribuição de etiqueta com privilégios. |
Esquema do Microsoft Project para a Web
O Microsoft Project For The Web expande o esquema Comum com os seguintes tipos de registo.
Tipo de registo ProjectForThewebProject
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ProjectId | Edm.Guid | Não | ID do Projeto a ser auditado. |
AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebTask
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ProjectId | Edm.Guid | Sim | ID do Projeto a ser auditado. |
TaskId | Edm.Guid | Sim | ID da Tarefa a ser auditada. |
AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebRoadmap
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RoadmapId | Edm.Guid | Sim | ID do Mapa de Objetivos a ser auditado. |
AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo de registo ProjectForThewebRoadmapItem
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RoadmapItemId | Edm.Guid | Sim | ID do Item de Mapa de Objetivos a ser auditado. |
AdditionalInfo | Coleção Própria. AdditionalInfo | Não | Informações adicionais. |
Tipo Complexo AdditionalInfo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
EnvironmentName | Edm.String | Não | ID do ambiente onde a ação foi executada. |
Tipo de registo ProjectForThewebProjectSetting
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ProjectEnabled | Edm.Boolean | Sim | O valor que foi definido para Project para a Web (1= ativado, 0 desativado). |
ProjectForThewebRoadampSetting record type (Tipo de registo ProjectForThewebRoadampSetting)
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Mapa de ObjetivosEnabled | Edm.Boolean | Sim | O valor que foi definido para Mapa de Objetivos (1= ativado, 0 desativado). |
Tipo de registo ProjectForThewebAssignedToMeSetting
Properties | Tipo | Obrigatório? | Descrição |
---|---|---|---|
AssignedToMeEnabled | Edm.Boolean | Sim | O valor que foi definido para AssignedToMe (1= ativado, 0 desativado). |
esquema Viva Pulse
Os registos de auditoria de eventos relacionados com Viva Pulse utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Viva Pulse, veja Atividades de registo de auditoria.
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
EventName | Edm.String | Não | Uma descrição do evento ou da atividade que ocorreu no Viva Pulse. |
PulseId | Edm.String | Não | ID da pesquisa de pulso. |
EventDetails | Collection(Common.NameValuePair) | Não | Propriedades adicionais sobre o evento. |
Alguns dos eventos VivaPulse registam propriedades diferentes em EventDetails. Cada propriedade registada em EventDetail é descrita na tabela.
EventName | PropertName | Descrição |
---|---|---|
PulseReportShare | Destinatários | Lista de IDs de destinatários com os quais o inquérito de pulso é partilhado. |
PulseCreate | Destinatários | Lista de IDs de utilizador que são participantes do inquérito de pulso spcified. |
PulseInvite | Destinatários | Lista de IDs de utilizador que são convidados adicionalmente para o pulso. |
PulseTenantSettingsUpdate | TenantSettingName | Nome das definições alterado. |
PulseSubmit | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
PulseExtendDeadline | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
PulseCancel | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
PulseCreateDraft | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
PulseDeleteDraft | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
PulseDeleteUserData | Não aplicável | Este evento não regista nenhuma propriedade em EventDetails. |
Esquema do Gestor de Conformidade
Os registos de auditoria de eventos relacionados com o Gestor de Conformidade do Microsoft Purview utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Gestor de Conformidade, veja Atividades de registo de auditoria.
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Detalhes | Collection(SettingsChange) | Não | Uma descrição do evento que ocorreu para um Gestor de Conformidade do Microsoft Purview. |
Os valores tomados por DefiniçõesAlterar propriedades em Detalhes para operações diferentes são descritos na tabela abaixo.
Operação | PropertyName | Descrição |
---|---|---|
Todas as Operações | Nome | Nome da definição envolvida na operação do Gestor de Conformidade. |
Todas as Operações | NewValue | Novo valor para as novas definições. |
Todas as Operações | OriginalValue | Valor original da nova definição. |
Observação
- Para alterações de função, o nome será o tipo de função.
- O registo de auditoria refletirá a alteração no evento, como a atribuição de uma função ou a função revogada ao utilizador.
- O valor original e novo terá os e-mails do utilizador para os quais a função foi alterada.
- Caso não haja nenhuma alteração na função, esse tipo de função não estará presente no registo de auditoria.
Esquema de Política de Cópia de Segurança
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
PolicyID | Edm.String | Sim | O ID da política. |
EditMethodology | Edm.String | Não | Como a política foi criada/editada. |
CountOfArtifactsBeingAdded | Edm.Int32 | Não | Número de artefactos a serem adicionados. |
CountOfArtifactsBeingRemoved | Edm.Int32 | Não | Número de artefactos a serem removidos. |
ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Restaurar Esquema de tarefas
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
TaskID | Edm.String | Sim | O ID da Tarefa de Restauro. |
CreationMethodology | Edm.String | Não | Como a Tarefa de Restauro foi criada/editada. |
CountOfArtifactsBeingAdded | Edm.Int32 | Não | Número de artefactos a serem adicionados. |
CountOfArtifactsBeingRemoved | Edm.Int32 | Não | Número de artefactos a serem removidos. |
ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Restaurar esquema de Item
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RestoreTime | Edm.DateTime | Sim | Hora para a qual o item está a ser restaurado. |
RestoreLocationType | Edm.String | Sim | Tipo de localização para o qual o item está a ser restaurado. |
RestoreLocation | Edm.String | Não | Localização para a qual o item está a ser restaurado. |
TaskID | Edm.String | Sim | O ID da tarefa Restaurar. |
BackupItemID | Edm.String | Sim | ID do Item de Cópia de Segurança a ser restaurado. |
ProtectionUnitID | Edm.String | Sim | ID da Unidade de Proteção do item a ser restaurado. |
SuccessStatus | Edm.String | Não | Se a operação de restauro foi efetuada com êxito. |
BackupItemType | Edm.String | Sim | Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio. |
ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Esquema de Item de Cópia de Segurança
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
PolicyID | Edm.String | Sim | ID da Política à quais o item está a ser adicionado. |
ItemID | Edm.String | Sim | ID do Item de Cópia de Segurança. |
ProtectionUnitID | Edm.String | Sim | ID da Unidade de Proteção do item em cópia de segurança. |
ResultStatus | Edm.String | Não | Se a operação de restauro foi efetuada com êxito. |
BackupItemType | Edm.String | Sim | Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio. |
EditMethodology | Edm.String | Não | Como é que o item de cópia de segurança deve ser adicionado. |
ServiceType | Edm.String | Não | Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness. |
Esquema do serviço de Política de Cloud
Os registos de auditoria de eventos relacionados com o serviço Política de Cloud expandem o esquema Comum da seguinte forma:
PolicyConfigChangeAuditRecord
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ConfigId | Edm.String | Não | ID da configuração da política |
ConfigName | Edm.String | Não | Nome dado da configuração da política |
Descrição | Edm.String | Não | Descrição fornecida para a configuração da política |
ConfigScope | Eu próprio. CPSScope | Não | Âmbito da configuração da política |
Grupos | Collection(Common.NameValuePair) | Não | Lista de grupos configurados |
Prioridade | Edm.Int32 | Não | Valor prioritário da configuração da política |
Políticas | Coleção(Self.Política) | Não | Lista de definições de política configuradas |
Prioridades | Coleção(Self.PrioritySetting) | Não | Lista de configurações de políticas e os respetivos valores de prioridade |
Enumeração: CPSScope - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | Tenant | A configuração da política está confinada a todos os utilizadores no inquilino. |
2 | Anônimo | A configuração da política está confinada a utilizadores anónimos. |
3 | Usuário | A configuração da política está confinada aos utilizadores nos grupos Microsoft Entra configurados. |
Política de Tipo Complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
PolicyId | Edm.String | Não | ID da definição de política |
PolicyName | Edm.String | Não | Nome da configuração de política |
Valor | Edm.String | Não | Valor configurado da definição de política |
Configurações | Coleção(Self.Definição) | Não | Definição configurada |
Definição de Tipo Complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
SettingId | Edm.String | Não | ID da definição |
SettingName | Edm.String | Não | Nome da definição |
Valor | Edm.String | Não | Valor configurado da definição |
Prioridade de Tipo ComplexoDefinição
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ConfigId | Edm.String | Não | ID da configuração da política |
ConfigName | Edm.String | Não | Nome dado da configuração da política |
Valor | Edm.String | Não | Prioridade configurada da configuração da política |
Esquema de configuração do perfil de atualização da cloud
Os eventos relacionados com a configuração do perfil do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateProfileConfigAuditRecord
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ProfileName | Edm.String | Sim | Nome do perfil |
ProfileState | Eu próprio. ProfileState | Não | Estado do perfil |
Data limite | Edm.Int32 | Não | Prazo configurado |
UpdateValidationState | Eu próprio. UpdateValidationState | Não | Estado da Validação de Atualização |
Ondas | Coleção(Self.Onda) | Não | Coleção que contém ondas configuradas |
WaveDelay | Edm.Int32 | Não | Definir o atraso entre ondas |
Enumeração: ProfileState - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | Habilitado | O perfil está ativado e ativo. |
2 | Desabilitado | O perfil está desativado. |
3 | Em pausa | O perfil está ativado, mas em pausa. |
Enumeração: UpdateValidationState - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | Habilitado | A Validação de Atualização está ativada. |
2 | Desabilitado | A Validação de Atualização está desativada. |
Onda de Tipo Complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Nome | Edm.String | Não | Nome da onda |
Tipo | Eu próprio. Tipo de Onda | Não | Onda especificada pelo administrador ou onda de catch-all automática |
Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos configurados para esta onda |
Enumeração: WaveType - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | Grupos | O Wave foi configurado pelo administrador através de grupos. |
2 | Dispositivos Restantes | Onda criada automaticamente, que inclui todos os dispositivos no âmbito do perfil que não são abrangidos por ondas anteriores. |
Esquema de configuração do inquilino do Cloud Update
Os eventos relacionados com a configuração do inquilino do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateTenantConfigAuditRecord
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ProfileExclusionWindows | Coleção(Self.ExclusionWindow) | Não | Coleção de janelas de exclusão configuradas |
ExclusionList | Collection(Common.NameValuePair) | Não | Coleção de exclusões configuradas |
TAK | Edm.String | Não | Chave de Associação de Inquilinos |
Exclusão de Tipo ComplexoWindow
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
Nome | Edm.String | Não | Nome indicado da janela de exclusão |
StartDate | Edm.Date | Não | Data de início das janelas de exclusão |
EndDate | Edm.Date | Não | Data de fim das janelas de exclusão |
Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos a que a janela de exclusão está confinada |
Esquema do dispositivo do Cloud Update
Os eventos relacionados com o dispositivo do Cloud Update expandem o esquema Comum com os seguintes tipos de registo.
CloudUpdateDeviceConfigAuditRecord
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RollbackDevices | Eu próprio. Reversão | Não | Reversões acionadas |
ChannelChangeDevices | Eu próprio. ChannelChange | Não | Alterações de canal acionadas |
Reversão de Tipo Complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
RollbackType | Eu próprio. RollbackType | Não | Tipo de reversão |
RollbackBuildNumber | Edm.String | Não | Número de compilação de destino a reverter para |
Dispositivos | Collection(Edm.String) | Não | Coleção de dispositivos visados pela reversão |
Enumeração: RollbackType - Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | SpecificDevices | A reversão foi direcionada para um subconjunto específico de dispositivos. |
2 | AllDevices | A reversão foi direcionada para todos os dispositivos no âmbito do perfil. |
ChannelChange de Tipo Complexo
Parameters | Tipo | Obrigatório? | Descrição |
---|---|---|---|
ChannelChange | Eu próprio. Canal | Não | Canal de atualização direcionado |
Dispositivos | Collection(Edm.String) | Não | Coleção de dispositivos visados |
Grupos | Collection(Common.NameValuePair) | Não | Coleção de grupos visados |
Enumeração: Canal – Tipo: Edm.Int32
Valor | Nome do membro | Descrição |
---|---|---|
1 | MonthlyEnterpriseChannel | Canal Empresarial Mensal |
2 | CurrentChannel | Canal Atual |