审核日志活动

本文中的表介绍了在 Microsoft 365 中审核的活动。 可以通过在 Microsoft Purview 门户Microsoft Purview 合规门户中搜索审核日志来搜索这些活动。

这些表对相关活动或特定服务中的活动进行分组。 这些表包括“ 活动 ”下拉列表中显示的友好名称 (或 PowerShell) 中提供的友好名称,以及导出搜索结果时在审核记录的详细信息和 CSV 文件中出现的相应操作的名称。 有关详细信息的说明,请参阅 审核日志详细属性

提示

选择本文顶部的 “在本文中 ”列表中的一个链接,直接转到特定的产品表。

应用程序管理活动

下表列出了当管理员添加或更改在 Microsoft Entra ID 中注册的应用程序时记录的应用程序管理员活动。 依赖于Microsoft Entra ID进行身份验证的任何应用程序都必须在 目录中注册。

注意

下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。

友好名称 操作 说明
已添加委派条目 添加委派条目。 已在 Microsoft Entra ID 中创建/授予应用程序的身份验证权限。
已添加服务主体 添加服务主体。 应用程序已在 Microsoft Entra ID 中注册。 在目录中,应用程序由服务主体表示。
已向服务主体添加凭据 添加服务主体凭据。 凭据已添加到 Microsoft Entra ID 中的服务主体。 在目录中,服务主体代表应用程序。
已删除委派条目 删除委派条目。 从 Microsoft Entra ID 的应用程序中删除了身份验证权限。
已从目录删除服务主体 删除服务主体。 已从Microsoft Entra ID中删除/取消注册应用程序。 在目录中,应用程序由服务主体表示。
已从服务主体删除凭据 删除服务主体凭据。 凭据已从 Microsoft Entra ID 中的服务主体中删除。 在目录中,服务主体代表应用程序。
已设置委派条目 设置委派条目。 Microsoft Entra ID 中更新了应用程序的身份验证权限。

简介电子邮件活动

下表列出了“简报”电子邮件中记录Microsoft 365 审核日志中的活动。 有关简介电子邮件的详细信息,请参阅:

友好名称 操作 说明
已更新组织隐私设置 UpdatedOrganizationBriefingSettings 管理员更新 “简介电子邮件” 的组织隐私设置。
已更新用户隐私设置 UpdatedUserBriefingSettings 管理员更新 “简介电子邮件” 的用户隐私设置。

通信合规性活动

下表列出 Microsoft 365 审核日志中记录的通信合规性活动。 有关详细信息,请参阅了解Microsoft Purview 通信合规性

注意

使用 Search-UnifiedAuditLog PowerShell cmdlet 时,可以使用这些活动。 这些活动在 “活动 ”下拉列表中不可用。

友好名称 操作 说明
策略更新 SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted 通信合规性管理员已执行策略更新。
策略匹配 SupervisionRuleMatch 用户已发送匹配策略条件的邮件。
已应用于邮件的标记 SupervisoryReviewTag 标记已应用于邮件或已解析邮件。

合规性管理器活动

下表列出了管理员在合规性管理器中管理设置时记录的操作和活动。 有关详细信息,请参阅 了解合规性管理器

友好名称 操作 说明
角色更改 ComplianceManagerRolesChange 管理员更改了用户的角色。
租户自动化级别更改 ComplianceManagerAutomationLevelChange 管理员在所有操作中更改了租户的自动化级别。
测试源自动化更改 ComplianceManagerAutomationChange 管理员更改了测试源自动化设置。

内容浏览器活动

下表列出了审核日志中记录的内容浏览器活动。 内容资源管理器,可通过 Microsoft Purview 门户和合规性门户中的数据分类工具进行访问。 有关详细信息,请参阅使用数据分类内容浏览器

友好名称 操作 说明
访问的项 LabelContentExplorerAccessedItem 管理员(或是作为内容浏览器内容查看器角色组成员的用户)使用内容浏览器来查看电子邮件或 SharePoint/OneDrive 文档。

Copilot 活动

下表列出了审核日志中记录智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot中的活动。 可以跨Microsoft服务访问 Copilot。 活动包括用户与 Copilot 交互的方式和时间。 这包括发生活动的Microsoft服务,以及对交互期间访问的文件的引用。 有关 Copilot 交互事件和架构示例的详细信息,请参阅 Copilot 交互事件概述

若要在交互期间从用户的提示访问文本,请参阅内容搜索或从活动资源管理器查看 Microsoft Purview AI 中心 中的 AI 交互事件。

有关 Copilot 的审核和其他合规性管理选项的详细信息,请参阅 Microsoft Purview 支持 Copilot 的合规性管理

友好名称 操作 说明
创建了新的 Copilot 插件 CreateCopilotPlugin 代表用户 (或管理员或系统的用户) 创建了一个新的 Copilot 插件。
创建了新的 Copilot 提示簿 CreateCopilotPromptBook 代表用户 (或管理员或系统的用户) Copilot 中创建了一个新的提示簿。
删除了 Copilot 插件 DeleteCopilotPlugin 代表用户 (或管理员或系统的用户) 删除了 Copilot 插件。
删除了 Copilot 提示簿 DeleteCopilotPromptBook 代表用户 (或管理员或系统的用户) 删除了 Copilot 提示簿。
禁用 Copilot 插件 DisableCopilotPlugin 代表用户 (或管理员或系统的用户) 禁用了 Copilot 插件。
禁用 Copilot 提示簿 DisableCopilotPromptBook 代表用户 (或管理员或系统的用户) 禁用了 Copilot 提示簿。
已启用 Copilot 插件 EnableCopilotPlugin 代表用户 (或管理员或系统的用户) 启用了 Copilot 插件。
已启用 Copilot 提示簿 EnableCopilotPromptBook 代表用户 (或管理员或系统的用户) 启用了 Copilot 提示簿。
与 Copilot 交互 CopilotInteraction 代表用户 (或管理员或系统的用户) Copilot 中输入的提示。
更新了 Copilot 插件设置 UpdateCopilotPlugin 代表用户 (或管理员或系统的用户) 更新 Copilot 插件设置。
更新了 Copilot promptbook 设置 UpdateCopilotPromptBook 代表用户 (或管理员或系统的用户) 更新 Copilot promptbook 设置。
更新了 Copilot 设置 UpdateCopilotSettings 代表管理员的管理员 (或系统) 更新了 Copilot 设置。

目录管理活动

下表列出了管理员在Microsoft 365 管理中心或 Azure 管理门户中管理其组织时记录的Microsoft Entra目录和域相关活动。

注意

下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。

友好名称 操作 说明
已向公司添加域 向公司添加域。 已向你的组织添加域。
已向目录添加合作伙伴 向公司添加合作伙伴。 已向你的组织添加合作伙伴(委派管理员)。
已从公司删除域 从公司删除域。 已从你的组织删除域。
已从目录删除合作伙伴 从公司删除合作伙伴。 已从你的组织删除合作伙伴(委派管理员)。
设置公司信息 设置公司信息。 已更新你的组织的公司信息。 包括 Microsoft 365 发送的与订阅相关的电子邮件的电子邮件地址,以及有关 Microsoft 365 服务的技术通知。
设置域身份验证 设置域身份验证。 已更改你的组织的域身份验证设置。
已更新域的联盟设置 设置域的联盟设置。 已更改你的组织的联盟(外部共享)设置。
设置密码策略 设置密码策略。 已更改你的组织中用户密码的长度和字符约束。
已打开Azure AD Sync 已设置 DirSyncEnabled 标志。 设置启用 Azure AD Sync 同步的目录的属性。
已更新域 更新域。 已更新你组织中的域设置。
已验证域 验证域。 已验证你的组织是否为域所有者。
已验证通过电子邮件验证的域 验证通过电子邮件验证的域。 已使用电子邮件验证来验证你的组织是否为域所有者。

处置评审活动

下表列出了处置审阅者在项目达到其配置的保留期结束时,或者项目自动移动到下一处置阶段或因自动批准而永久删除时所执行的活动

友好名称 操作 说明
已批准的处置 ApproveDisposal 对于手动审批:处置审阅者批准项目的处置,以将其移动到下一处置阶段。 如果项目处于处置评审的唯一或最后阶段,则处置审批会将该项目标记为符合永久删除的条件。

对于自动批准:在配置的自动批准时间段内未执行任何手动操作,因此项目会自动移动到下一个处置阶段。 如果项目处于处置评审的唯一或最后阶段,该项目将自动成为永久删除的资格。
延长保留期 ExtendRetention 处置审阅者已延长项目的保留期。
重新标记的项目 RelabelItem 处置审阅者已重新标记保留标签。
已添加审阅者 AddReviewer 处置审阅者已将一个或多个其他用户添加到当前处置评审阶段。

电子数据展示活动

Microsoft Purview 门户中执行的Microsoft Purview 电子数据展示 (Standard) 和Microsoft Purview 电子数据展示 (高级) ) (与内容搜索和电子数据展示相关的活动Microsoft Purview 合规门户或通过运行相应的 PowerShell cmdlet 记录在审核日志中。 当管理员或电子数据展示管理员 (或任何分配电子数据展示权限的用户) 在门户中执行以下内容搜索和电子数据展示 (Standard) 任务时,将记录事件:

  • 创建和管理电子数据展示 (Standard) 和电子数据展示 (高级版) 案例。
  • 创建、启动和编辑内容搜索。
  • 执行搜索操作,例如预览、导出和删除搜索结果。
  • 管理电子数据展示 (Premium) 中的保管人和审阅集。
  • 为内容搜索配置权限筛选。
  • 管理电子数据展示管理员角色。

有关搜索审核日志、所需权限和导出搜索结果的详细信息,请参阅 搜索审核日志

注意

在“活动”下拉列表中,“电子数据展示”和“电子数据展示 (高级) 活动”下列出的活动最多需要 30 分钟才能显示在搜索结果中。 相反,电子数据展示 cmdlet 活动的相应事件需要长达 24 小时才可显示在搜索结果中。

内容搜索和电子数据展示 (Standard) 活动

下表描述了管理员或电子数据展示管理员使用合规性门户执行与电子数据展示相关的活动时记录的内容搜索和电子数据展示 (Standard) 活动。 在此列表中搜索活动时,可能会返回电子数据展示 (Premium) 中执行的某些活动。

注意

本节中所述的电子数据展示活动提供了与下一部分所述的电子数据展示 cmdlet 活动类似的信息。 建议使用本部分所述的电子数据展示活动,因为它们将在 30 分钟内显示在审核日志搜索结果中。 电子数据展示 cmdlet 活动可能需要长达 24 小时才能显示在审核日志搜索结果中。

友好名称 操作 相应的 cmdlet 说明
向电子数据展示案例添加了成员
CaseMemberAdded
Add-ComplianceCaseMember
用户已添加为电子数据展示案例的成员。 作为案例的成员,用户可以执行各种与案例相关的任务,具体取决于他们是否已获得必要的权限。
更改了内容搜索
SearchUpdated
Set-ComplianceSearch
现有内容搜索已更改。 更改可能包括添加或删除内容位置或编辑搜索查询。
已更改电子数据展示管理员成员身份
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
组织中电子数据展示管理员的列表已更改。 当电子数据展示管理员列表替换为一组新用户时,将记录此活动。 如果添加或删除单个用户,则会记录 CaseAdminAdded 操作。
已更改电子数据展示大小写
CaseUpdated
Set-ComplianceCase
电子数据展示事例已更改。 更改包括关闭未结案例或重新打开已结案。
已更改电子数据展示案例成员身份
CaseMemberUpdated
Update-ComplianceCaseMember
电子数据展示事例的成员身份列表已更改。 当将所有成员替换为一组新用户时,将记录此活动。 如果添加或删除了单个成员,则会记录 CaseMemberAdded 或 CaseMemberRemoved 操作。
更改了搜索权限筛选器
SearchPermissionUpdated
Set-ComplianceSecurityFilter
搜索权限筛选器已更改。
更改了电子数据展示事例保留的搜索查询
HoldUpdated
Set-CaseHoldRule
与电子数据展示事例关联的基于查询的保留已更改。 可能的更改包括编辑基于查询的保留的查询或日期范围。
下载的内容搜索预览项
PreviewItemDownloaded
不适用
用户在预览搜索结果时选择“ 下载原始项目 ”链接) , (将项目下载到其本地计算机。
列出的内容搜索预览项
PreviewItemListed
不适用
用户选择了 “预览搜索结果 ”以显示预览搜索结果页面,其中最多列出了搜索结果中的 1,000 个项目。
已创建内容搜索
SearchCreated
New-ComplianceSearch
已创建新的内容搜索。
已创建电子数据展示管理员
CaseAdminAdded
Add-eDiscoveryCaseAdmin
用户被添加为组织中的电子数据展示管理员。
已创建电子数据展示案例
CaseAdded
New-ComplianceCase
已创建电子数据展示事例。 创建事例时,只需为其指定一个名称。 其他与案例相关的任务(例如添加成员、创建保留和创建与案例关联的内容搜索)会导致记录其他事件。
已创建搜索权限筛选器
SearchPermissionCreated
New-ComplianceSecurityFilter
已创建搜索权限筛选器。
为电子数据展示保留创建了搜索查询
HoldCreated
New-CaseHoldRule
已创建与电子数据展示事例关联的基于查询的保留。
已删除的内容搜索
SearchRemoved
Remove-ComplianceSearch
删除了现有内容搜索。
已删除电子数据展示管理员
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
电子数据展示管理员已从组织中删除。
已删除电子数据展示案例
CaseRemoved
Remove-ComplianceCase
已删除电子数据展示案例。 在删除案例之前,必须删除与案例关联的任何保留。
已删除的搜索权限筛选器
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
已删除搜索权限筛选器。
已删除电子数据展示事例保留的搜索查询
HoldRemoved
Remove-CaseHoldRule
已删除与电子数据展示事例关联的基于查询的保留。 从保留中删除查询通常是删除保留的结果。 删除保留或保留查询时,将释放保留的内容位置。
下载的内容搜索导出
SearchExportDownloaded
不适用
用户已将内容搜索的结果下载到其本地计算机。 必须先启动 内容搜索活动的“开始导出 ”,然后才能下载搜索结果。
内容搜索的预览结果
SearchPreviewed
不适用
用户预览了内容搜索结果。
内容搜索的已清除结果
SearchResultsPurged
New-ComplianceSearchAction
用户通过运行 New-ComplianceSearchAction -Purge 命令清除内容搜索结果。
删除了内容搜索分析
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
删除了为电子数据展示准备搜索结果 (内容搜索准备操作, (Premium) ) 。 如果准备操作不到两周,则为电子数据展示 (高级版) 准备的搜索结果将从 Microsoft Azure 存储区域中删除。 如果准备操作超过 2 周,则此事件指示仅删除了相应的准备操作。
删除了内容搜索的导出
RemovedSearchExported
Remove-ComplianceSearchAction
内容搜索导出操作已删除。 如果导出操作不到两周,则会删除上传到 Azure 存储区域的搜索结果Microsoft。 如果导出操作超过 2 周,则此事件指示仅删除了相应的导出操作。
从电子数据展示案例中删除成员
CaseMemberRemoved
Remove-ComplianceCaseMember
用户作为电子数据展示案例的成员被删除。
删除了内容搜索的预览结果
RemovedSearchPreviewed
Remove-ComplianceSearchAction
内容搜索预览操作已删除。
删除了对内容搜索执行的清除操作
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
删除了内容搜索清除操作。
删除了搜索报表
SearchReportRemoved
Remove-ComplianceSearchAction
内容搜索导出报表操作已删除。
开始对内容搜索进行分析
SearchResultsSentToZoom
New-ComplianceSearchAction
内容搜索结果已准备好在电子数据展示 (Premium) 进行分析。
已启动内容搜索
SearchStarted
Start-ComplianceSearch
内容搜索已启动。 使用合规性门户创建或更改内容搜索时,将自动启动搜索。
开始导出内容搜索
SearchExported
New-ComplianceSearchAction
用户导出了内容搜索结果。
已启动导出报表
SearchReport
New-ComplianceSearchAction
用户导出了内容搜索报表。
已停止内容搜索
SearchStopped
Stop-ComplianceSearch
用户停止了内容搜索。
(无) CaseViewed Get-ComplianceCase 用户在合规性门户中查看了电子数据展示 (Standard) 案例。 此事件的审核记录包括查看的案例的名称。
(无) SearchViewed Get-ComplianceSearch 用户通过在电子数据展示 (Standard) 事例中的“搜索”选项卡上访问搜索,或者在“内容搜索”页上访问该搜索,在合规性门户中查看了内容搜索。 此事件的审核记录包括查看的搜索的标识。
(无) ViewedSearchExported Get-ComplianceSearchAction -Export 用户通过在内容搜索页上 的“导出 ”选项卡上访问导出,在合规性门户中查看了 内容搜索导出 。 当用户查看与电子数据展示 (Standard) 事例关联的导出时,也会记录此活动。
(无) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview 用户在合规性门户中预览了内容搜索结果。 当用户预览与电子数据展示 (Standard) 事例关联的搜索结果时,也会记录此活动。

电子数据展示(高级版)活动

下表描述了在审核日志中记录的电子数据展示 (Premium) 活动。 这些活动可用于帮助你跟踪电子数据展示 (Premium) 案例中的活动进度。

友好名称 操作 说明
已将数据添加到另一审阅集 AddWorkingSetQueryToWorkingSet 用户已将文档从一个审阅集添加到另一审阅集。
已将数据添加到审阅集 AddQueryToWorkingSet 用户将与电子数据展示 (Premium) 事例关联的内容搜索的搜索结果添加到审阅集。
已将非 Microsoft 365 数据添加到审阅集 AddNonOffice365DataToWorkingSet 用户已将非 Microsoft 365 数据添加到审阅集。
已将修正的文档添加到审阅集 AddRemediatedData 用户上传了文档,这些文档具有已在审阅集中修复的索引错误。
已分析审阅集中的数据 RunAlgo 用户对审阅集中的文档运行了分析。
已批注审阅集中的文档 AnnotateDocument 用户已批注审阅集中的文档。 批注包含文档中的编修内容。
已比较加载集 LoadComparisonJob 用户已对审阅集中的两个不同加载集进行比较。 将与案例关联的内容搜索中的数据添加到审阅集时需要使用加载集。
已将编修文档转换为 PDF BurnJob 用户已将审阅集中的所有编修文档转换为 PDF 文件。
已创建审阅集 CreateWorkingSet 用户已创建审阅集。
已创建审阅集搜索 CreateWorkingSetSearch 用户已创建用于在审阅集中搜索文档的搜索查询。
已创建标记 CreateTag 用户已在审阅集中创建标记组。 标记组可以包含一个或多个子标记。 这些标记随后用于标记审阅集中的文档。
已删除审阅集搜索 DeleteWorkingSetSearch 用户已删除审阅集中的搜索查询。
已删除标记 DeleteTag 用户已删除审阅集中的标记或标记组。
已下载文档 DownloadDocument 用户从审阅集下载了文档。
已编辑标记 UpdateTag 用户已更改审阅集中的标记。
已从审阅集导出文档 ExportJob 用户已从审阅集导出文档。
已修改案例设置 UpdateCaseSettings 用户已修改案例设置。 案例设置包括控制搜索和分析行为的案例信息、访问权限和设置。
已修改审阅集搜索 UpdateWorkingSetSearch 用户已编辑审阅集中的搜索查询。
已预览审阅集搜索 PreviewWorkingSetSearch 用户已预览审阅集中的搜索查询结果。
已修正错误文档 ErrorRemediationJob 用户修复了包含索引错误的文件。
已标记文档 TagFiles 用户标记审阅集中的文档。
已标记查询结果 TagJob 用户标记与审阅集中的搜索查询条件相匹配的所有文档。
已查看审阅集中的文档 ViewDocument 用户已查看审阅集中的文档。

电子数据展示 cmdlet 活动

下表列出了管理员或用户使用合规性门户或通过在安全性 & 合规性 PowerShell 中运行相应的 cmdlet 来执行电子数据展示相关活动时记录的 cmdlet 审核日志记录。 对于此表中列出的 cmdlet 活动和上一部分所述的电子数据展示活动,审核日志记录中的详细信息是不同的。

如前所述,最长可能需要 24 小时,电子数据展示 cmdlet 活动才会显示在审核日志搜索结果中。

提示

下表中 “操作” 列中的 cmdlet 链接到 TechNet 上的相应 cmdlet 帮助主题。 转到 cmdlet 帮助主题,了解每个 cmdlet 的可用参数的说明。 与 cmdlet 一起使用的参数和参数值包含在记录的每个电子数据展示 cmdlet 活动的审核日志条目中。

友好名称 操作 (cmdlet) 说明
在电子数据展示案例中创建保留
New-CaseHoldPolicy
已为电子数据展示案例创建保留。 可以使用或不指定内容源来创建保留。 如果指定了内容源,则会在审核日志条目中标识它们。
从电子数据展示案例中删除了保留
Remove-CaseHoldPolicy
已删除与电子数据展示案例关联的保留。 删除保留会释放保留中的所有内容位置。 删除保留还会导致删除与保留关联的事例保留规则 (请参阅 Remove-CaseHoldRule) 。
在电子数据展示案例中更改了保留
Set-CaseHoldPolicy
与电子数据展示关联的保留已更改。 可能的更改包括添加或删除内容位置,或关闭 (禁用) 保留。
为电子数据展示保留创建了搜索查询
New-CaseHoldRule
已创建与电子数据展示事例关联的基于查询的保留。
已删除电子数据展示事例保留的搜索查询
Remove-CaseHoldRule
已删除与电子数据展示事例关联的基于查询的保留。 从保留中删除查询通常是删除保留的结果。 删除保留或保留查询时,将释放保留的内容位置。
更改了电子数据展示事例保留的搜索查询
Set-CaseHoldRule
与电子数据展示事例关联的基于查询的保留已更改。 可能的更改包括编辑基于查询的保留的查询或日期范围。
已创建电子数据展示案例
New-ComplianceCase
已创建电子数据展示事例。 创建事例时,只需为其指定一个名称。 其他与案例相关的任务(例如添加成员、创建保留和创建与案例关联的内容搜索)会导致记录其他事件。
已删除电子数据展示案例
Remove-ComplianceCase
已删除电子数据展示案例。 在删除案例之前,必须删除与案例关联的任何保留。
已更改电子数据展示大小写
Set-ComplianceCase
电子数据展示事例已更改。 更改包括关闭未结案例或重新打开已结案。
向电子数据展示案例添加了成员
Add-ComplianceCaseMember
用户已添加为电子数据展示案例的成员。 作为案例的成员,用户可以执行各种与案例相关的任务,具体取决于他们是否已获得必要的权限。
从电子数据展示案例中删除成员
Remove-ComplianceCaseMember
用户作为电子数据展示案例的成员被删除。
已更改电子数据展示案例成员身份
Update-ComplianceCaseMember
电子数据展示事例的成员身份列表已更改。 当将所有成员替换为一组新用户时,将记录此活动。 如果添加或删除了单个成员,则会记录 Add-ComplianceCaseMemberRemove-ComplianceCaseMember 操作。
已创建内容搜索
New-ComplianceSearch
已创建新的内容搜索。
已删除的内容搜索
Remove-ComplianceSearch
删除了现有内容搜索。
更改了内容搜索
Set-ComplianceSearch
现有内容搜索已更改。 更改可能包括添加或删除搜索的内容位置以及编辑搜索查询。
已启动内容搜索
Start-ComplianceSearch
内容搜索已启动。 使用合规性门户 GUI 创建或更改内容搜索时,将自动启动搜索。 如果使用 New-ComplianceSearchSet-ComplianceSearch cmdlet 创建或更改搜索,则必须运行 Start-ComplianceSearch cmdlet 才能开始搜索。
已停止内容搜索
Stop-ComplianceSearch
正在运行的内容搜索已停止。
已创建内容搜索操作
New-ComplianceSearchAction
已创建内容搜索操作。 内容搜索操作包括预览搜索结果、导出搜索结果、准备在电子数据展示 (Premium) 中进行分析的搜索结果,以及永久删除与内容搜索的搜索条件匹配的项目。
已删除内容搜索操作
Remove-ComplianceSearchAction
内容搜索操作已删除。
已创建搜索权限筛选器
New-ComplianceSecurityFilter
已创建搜索权限筛选器。
已删除的搜索权限筛选器
Remove-ComplianceSecurityFilter
已删除搜索权限筛选器。
更改了搜索权限筛选器
Set-ComplianceSecurityFilter
搜索权限筛选器已更改。
已创建电子数据展示管理员
Add-eDiscoveryCaseAdmin
用户已添加为组织中的电子数据展示管理员。
已删除电子数据展示管理员
Remove-eDiscoveryCaseAdmin
电子数据展示管理员已从组织中删除。
已更改电子数据展示管理员成员身份
Update-eDiscoveryCaseAdmin
组织中电子数据展示管理员的列表已更改。 当电子数据展示管理员列表替换为一组新用户时,将记录此活动。 如果添加或删除了单个用户,则会记录 Add-eDiscoveryCaseAdminRemove-eDiscoveryCaseAdmin 操作。
(无) Get-ComplianceCase
当用户查看电子数据展示 (Standard) 或电子数据展示列表 (Premium) 案例时,将记录此活动。 当用户在电子数据展示 (Standard) 中查看特定案例时,也会记录此活动。 当用户查看特定案例时,审核记录包括已查看案例的标识。 如果用户仅查看案例列表,则审核记录不包含案例标识。
(无) Get-ComplianceSearch 当用户查看与电子数据展示 (Standard) 事例关联的内容搜索或搜索列表时,将记录此活动。 当用户查看特定内容搜索或查看与电子数据展示 (Standard) 事例关联的特定搜索时,也会记录此活动。 当用户查看特定搜索时,审核记录包括已查看的搜索的标识。 如果用户仅查看了搜索列表,则审核记录不包含搜索标识。
(无) Get-ComplianceSearchAction 当用户查看符合性搜索操作列表时,会记录此活动 (例如导出、预览或清除) 以及与电子数据展示 (Standard) 案例关联的操作。 当用户查看特定的符合性搜索操作 ((例如导出) )或查看与电子数据展示 (Standard) 案例关联的特定操作时,也会记录此活动。 当用户查看搜索操作时,审核记录包括已查看的搜索操作的标识。 如果用户仅查看了操作列表,则审核记录不包含操作标识。

电子数据展示活动的详细属性

下表描述了搜索结果中列出的电子数据展示活动的浮出控件页上包含的属性。 导出审核日志搜索结果时,这些属性也会包含在 CSV 文件中。 电子数据展示活动的审核日志记录不包括下表中列出的每个详细属性。

提示

导出搜索结果时,CSV 文件包含名为 AudtiData 的列,该列包含下表所述的多值属性的详细属性。 可以使用 Excel 中的Power Query功能将此列拆分为多个列,以便每个属性都有自己的列。 这样,就可以对这些属性中的一个或多个属性进行排序和筛选。 有关详细信息,请参阅 搜索审核日志

属性 说明
情况
标识 (已创建、更改或删除的电子数据展示事例的 GUID) 。
ClientApplication
电子数据展示 cmdlet 活动具有此属性的 “EMC ”值。 这表示活动是通过使用合规性门户 GUI 或在 PowerShell 中运行 cmdlet 执行的。
ClientIP
记录活动时使用的设备的 IP 地址。 IP 地址显示为 IPv4 或 IPv6 地址格式。
ClientRequestId
对于电子数据展示活动,此属性通常为空白。
CmdletVersion
组织中运行的合规性门户版本的内部版本号。
CreationTime
协调世界时 (UTC 中的日期和时间) 电子数据展示活动完成时。
EffectiveOrganization
Microsoft 365 组织的名称。
ExchangeLocations
Exchange Online包含在内容搜索中或在电子数据展示案例中处于保留状态的邮箱。
排除项
在电子数据展示案例中,从内容搜索或保留中排除的邮箱或站点位置。
ExtendedProperties
内容搜索、内容搜索操作或电子数据展示案例中保留的其他属性,例如对象 GUID 以及执行活动时使用的相应 cmdlet 和 cmdlet 参数。
Id
报表条目的 ID。 ID 唯一标识审核日志条目。
NonPIIParameters
参数列表 (,其中没有任何值) 与 Operation 属性中标识的 cmdlet 一起使用。 此属性中列出的参数与 Parameters 属性中列出的参数相同。
ObjectId
对象的 GUID 或名称 (例如,由 Operation 属性中列出的活动创建、访问、更改或删除) 内容搜索或电子数据展示 (Standard) 事例。 此对象也在审核日志搜索结果的“项”列中标识。
ObjectType
用户创建、删除或修改的电子数据展示对象的类型;例如,内容搜索操作 (预览、导出或清除) 、电子数据展示事例或内容搜索。
操作
与已执行的电子数据展示活动对应的操作的名称。
OrganizationId
Microsoft 365 组织的 GUID。
参数
与相应的 cmdlet 一起使用的参数的名称和值。
PublicFolderLocations
Exchange Online中的公用文件夹位置,这些文件夹位置包含在内容搜索中或在电子数据展示事例中处于保留状态。
查询
与活动关联的搜索查询,例如内容搜索或基于查询的保留。
RecordType
记录指示的操作类型。 值 18 表示与 电子数据展示 cmdlet 活动 部分中列出的活动相关的事件。 值 24 表示与 电子数据展示 活动部分中列出的活动相关的事件。
ResultStatus
指示操作(在 Operation 属性中指定)成功还是失败。
SecurityComplianceCenterEventType
指示活动是合规性门户事件。 对于此属性,所有电子数据展示活动的值为 0
SharepointLocations
包含在内容搜索中或在电子数据展示案例中处于保留状态的 SharePoint Online 网站。
StartTime
协调世界时 (UTC) 启动电子数据展示活动的日期和时间。
UserID
执行活动的用户 (操作属性) 中指定的,导致记录记录。 审核日志中还包括由系统帐户 ((例如 NT AUTHORITY\SYSTEM) )执行的电子数据展示活动的记录。
UserKey
UserID 属性中标识的用户的备选 ID。 对于电子数据展示活动,此属性的值通常与 UserId 属性相同。
UserServicePlan
组织使用的订阅。 对于电子数据展示活动,此属性通常为空白。
UserType
执行操作的用户类型。 以下值指示用户类型。
0 普通用户。 2 组织中的管理员。 3 Microsoft数据中心管理员或数据中心系统帐户。 4 系统帐户。 5 应用程序。 6 服务主体。
版本
指示由记录的 Operation 属性) 标识的活动 (版本号。
Workload
发生活动的服务。 对于电子数据展示活动,值为 SecurityComplianceCenter

已加密的消息门户活动

访问日志通过加密的消息门户可用于加密消息,使组织能够确定消息何时被外部收件人阅读和转发。 有关启用和使用加密消息门户活动日志的详细信息,请参阅 加密消息门户活动日志

跟踪消息的每个审核条目包含以下字段:

  • MessageID:包含正在跟踪的消息的 ID。 用于通过系统跟踪消息的密钥标识符。
  • 收件人:所有收件人电子邮件地址的列表。
  • 发件人:原始电子邮件地址。
  • AuthenticationMethod:介绍用于访问邮件的身份验证方法,例如 OTP、Yahoo、Gmail 或 Microsoft。
  • AuthenticationStatus:包含一个值,该值指示身份验证成功或失败。
  • OperationStatus:指示指示的操作是成功还是失败。
  • AttachmentName:附件的名称。
  • OperationProperties:可选属性的列表。 例如,发送的 OTP 密码数或电子邮件主题。

Exchange 管理员活动

当管理员(或已分配管理权限的用户)在 Exchange Online 组织中做出更改时,Exchange 管理员审核日志记录(已在 Microsoft 365 中默认启用)将在审核日志中记录事件。 通过使用 Exchange 管理中心所做的更改或通过运行 Exchange Online PowerShell 中的某个 cmdlet 所做的更改会记录在 Exchange 管理员审核日志中。 以 谓词 Get-Search-Test- 开头的 Cmdlet 不会记录在审核日志中。 有关 Exchange 中管理员审核日志记录的更多详细信息,请参阅管理员审核日志记录

重要

某些 Exchange Online cmdlet 未记录在 Exchange 管理员审核日志中(或审核日志中)。 其中许多 cmdlet 都与维护 Exchange Online 服务有关,并由 Microsoft 数据中心人员或服务帐户运行。 未记录这些 cmdlet,因为它们会导致大量“嘈杂”的审核事件。 如果存在未审核的 Exchange Online cmdlet,请向 Microsoft 支持部门提交设计更改请求 (DCR)。

以下是在搜索审核日志时搜索 Exchange 管理员活动的一些提示:

  • 使用日期范围框和“用户”列表缩小由特定 Exchange 管理员在特定日期范围内运行的 cmdlet 的搜索结果范围。
  • 若要显示 Exchange 管理员审核日志中的事件,请选择“ 活动” 列以按字母顺序对 cmdlet 名称进行排序。
  • 若要获取有关已运行的 cmdlet、已使用的参数和参数值以及受影响对象的信息,可以导出搜索结果并选择“下载所有结果”选项。 有关详细信息,请参阅导出、配置和查看审核日志记录
  • 你还可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog -RecordType ExchangeAdmin 命令仅从 Exchange 管理员审核日志中返回审核记录。 运行 Exchange cmdlet 后,可能需要长达 30 分钟的时间在搜索结果中返回相应的审核日志条目。 有关详细信息,请参阅 Search-UnifiedAuditLog。 有关将 Search-UnifiedAuditLog cmdlet 所返回的搜索结果导出到 CSV 文件的信息,请参阅导出、配置和查看审核日志记录中的“有关导出和查看审核日志的提示”部分。

Exchange 邮箱活动

下表列出了可以由邮箱审核日志记录的活动。 邮箱所有者、委派用户或管理员执行的邮箱活动会在审核日志中自动记录长达 180 天。 管理员可以为组织中的所有用户关闭邮箱审核日志记录。 在这种情况下, ,不会记录任何用户的邮箱操作。 有关详细信息,请参阅管理邮箱审核

重要

审核 (Standard) 的默认保留期已从 90 天更改为 180 天。 2023 年 10 月 17 日之前生成的审核 (Standard) 日志将保留 90 天。 在 2023 年 10 月 17 日或之后生成的审核 (Standard) 日志遵循新的默认保留期 180 天。

你还可以使用 Exchange Online PowerShell 中的 Search-MailboxAuditLog cmdlet 来搜索邮箱活动。

友好名称 操作 说明
访问的邮箱项目 MailItemsAccessed 已在邮箱中读取或访问邮件。 此活动的审核记录通过下面两种方式之一触发:当邮箱客户端(如 Outlook)对邮件执行绑定操作时,或者当邮箱客户端(如 Exchange ActiveSync 或 IMAP)同步邮箱文件夹中的项目时。 调查被盗用的电子邮件帐户时,分析此活动的审核记录非常有用。
已添加代理邮箱权限 Add-MailboxPermission 管理员已将一位用户(称为“代理”)的 FullAccess 邮箱权限分配给另一用户邮箱。 FullAccess 权限允许代理打开他人的邮箱,查看和管理邮箱内容。 当 Microsoft 365 服务中的系统帐户定期代表组织执行维护任务时,也会生成此活动的审核记录。 系统帐户执行的常见任务是更新系统邮箱的权限。 有关详细信息,请参阅 Exchange 邮箱审核记录中的系统帐户
已添加或删除具有日历文件夹代理访问权限的用户 UpdateCalendarDelegation 已在其他用户邮箱的日历中添加或删除具有代理身份的用户。 日历代理为同一组织内的其他人授予管理邮箱所有者日历的权限。
已向文件夹添加权限 AddFolderPermissions 已添加文件夹权限。 文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。
已将邮件复制到其他文件夹 复制 已将邮件复制到其他文件夹。
已创建邮箱项目 创建 在邮箱的日历、联系人、备注或任务文件夹中创建项目。 例如,创建新的会议请求。 不会审核邮件的创建、发送或接收。 此外,不会审核邮箱文件夹的创建。
已在 Outlook Web App 中创建新的收件箱规则 New-InboxRule 有权访问邮箱的邮箱所有者或其他用户在 Outlook Web App 中创建了收件箱规则。
已从“已删除邮件”文件夹中删除邮件 SoftDelete 已永久删除或已从“已删除邮件”文件夹中删除邮件。 系统会将这些项目移动到“可恢复邮件”文件夹。 用户选择邮件并按 Shift+Delete 时,会将该邮件移动到“可恢复邮件”文件夹。
已将邮件标记为记录 ApplyRecordLabel 已将邮件分类为记录。 将内容分类为记录的保留标签手动或自动应用于邮件时发生。
已将邮件移动到其他文件夹 移动 已将邮件移动到其他文件夹。
已将邮件移动到“已删除邮件”文件夹 MoveToDeletedItems 已删除邮件,并已将其移动到“已删除邮件”文件夹。
已修改文件夹权限 UpdateFolderPermissions 文件夹权限已更改。 文件夹权限用于控制组织中哪些用户可以访问邮箱文件夹以及文件夹中的邮件。
已在 Outlook Web App 中修改收件箱规则 Set-InboxRule 有权访问邮箱的邮箱所有者或其他用户在 Outlook Web App 中修改了收件箱规则。
已从邮箱清除邮件 HardDelete 已从“可恢复邮件”文件夹中清除邮件(已从邮箱中永久删除)。
已删除代理邮箱权限 Remove-MailboxPermission 管理员已从用户邮箱删除分配给代理的 FullAccess 权限。 删除 FullAccess 权限后,代理无法打开他人邮箱,也无法访问该邮箱中的任何内容。
已从文件夹中删除权限 RemoveFolderPermissions 已删除文件夹权限。 文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。
已发送邮件 发送 邮件已发送、答复或转发。
已使用“发送方式”权限发送邮件 SendAs 已使用“发送方式”权限发送邮件。 这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。
已使用“代表发送”权限发送邮件 SendOnBehalf 已使用“代表发送”权限发送邮件。 这表示另一个用户代表邮箱所有者发送了邮件。 邮件将向收件人说明发送此邮件时使用的身份及实际发送者。
已从 Outlook 客户端更新收件箱规则 UpdateInboxRules 具有邮箱访问权限的邮箱所有者或其他用户通过使用 Outlook 客户端创建、修改或删除了收件箱规则。
已更新邮件 更新 已更改邮件或其属性。
用户已登录到邮箱 MailboxLogin 用户登录其邮箱。
将邮件标记为记录 用户已将保留标签应用于电子邮件,并且该标签被配置为将项目标记为记录。

Exchange 邮箱审核记录中的系统帐户

在某些邮箱活动的审核记录中 (尤其是 Add-MailboxPermissions),你可能会注意到执行活动的用户 (在 User 和 UserId 字段中标识) 为 NT AUTHORITY\SYSTEM 或 NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost)。 这表明进行该活动的“用户”是 Microsoft 云中 Exchange 服务的一个系统账户。 此系统帐户通常代表你的组织执行计划的维护任务。 例如,由 NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) 账户执行的一个常见的审计活动是更新系统邮箱 DiscoverySearchMailbox 的权限。 此更新的目的是验证 FullAccess 权限 (默认) 是否分配给 DiscoverySearchMailbox 的发现管理角色组。 确保电子数据展示管理员可以在其组织中执行必要的任务。

可在 Add-MailboxPermission 的审核记录中标识的另一个系统用户帐户是 Administrator@apcprd03.prod.outlook.com。 该服务账户也包括在与验证和更新分配给 DiscoverySearchMailbox 系统邮箱的发现管理角色组的 FullAccess 权限相关的邮箱审计记录中。 具体而言,当Microsoft支持人员代表组织运行基于角色的访问控制诊断工具时,通常会触发标识 Administrator@apcprd03.prod.outlook.com 帐户的审核记录。

文件和页面活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的文件和页面活动。

友好名称 操作 说明
已访问文件 FileAccessed 用户或系统帐户访问文件。 用户访问文件后,同一用户的 FileAccessed 事件在接下来的五分钟内不会为同一用户再次记录。
(无) FileAccessedExtended 这与“已访问文件”(FileAccessed) 活动有关。 如果一个用户长时间(至 3 小时)持续访问某一文件,则会记录下 FileAccessedExtended 事件。

记录 FileAccessedExtended 事件是为了减少持续访问文件时所记录的 FileAccessed 事件数。 这有助于减小(实际上是)同一用户活动的多个 FileAccessed 记录的干扰,从而专注于初始(和更重要的)FileAccessed 事件。
已更改文件的保留标签 ComplianceSettingChanged 保留标签已应用于文档或已从文档中删除。 手动或自动将保留标签应用于消息时触发此事件。
已将记录状态更改为“已锁定” LockRecord 将文档分类为记录的保留标签的记录状态为“已锁定”。 这意味着无法修改或删除文档。 仅至少分配有网站参与者权限的用户才能更改文档的记录状态。
已将记录状态更改为“未锁定” UnlockRecord 将文档分类为记录的保留标签的记录状态为“未锁定”。 这意味着可以修改或删除文档。 仅至少分配有网站参与者权限的用户才能更改文档的记录状态。
已签入文件 FileCheckedIn 用户签入其从文档库中签出的文档。
已签出文件 FileCheckedOut 用户签出位于文档库中的文档。 用户可以对与其共享的文档执行签出和更改操作。
已复制文件 FileCopied 用户从网站复制文档。 可以将复制的文件保存到网站上的另一个文件夹。
已删除文件 FileDeleted 用户从网站删除文档。
从回收站删除文件 FileDeletedFirstStageRecycleBin 用户从网站的回收站中删除文件。
从第二阶段回收站删除文件 FileDeletedSecondStageRecycleBin 用户从网站的第二阶段回收站中删除文件。
标记为记录的已删除文件 RecordDelete 已删除标记为记录的文档或电子邮件。 当在内容上贴上将项目标记为记录的保留标签时,将将该项目视为已记录。
检测到文档敏感度不匹配 DocumentSensitivityMismatchDetected 用户将文档上传到受敏感度标签保护的网站上,该文档的敏感度标签的优先级比该网站应用的敏感度标签高。 例如,标有“机密”的文档上传到标有“常规”的网站上。

如果文档的敏感度标签的优先级低于网站应用的敏感度标签,则不触发此事件。 例如,标有“常规”的文档上传到标有“机密”的网站上。 有关敏感度标签优先级的详细信息,请参阅标签优先级(顺序)
在文件中检测到恶意软件 FileMalwareDetected SharePoint 防病毒引擎在文件中检测到恶意软件。
已放弃文件签出 FileCheckOutDiscarded 用户放弃 (或撤消) 签出文件。 这意味着他们在签出文件时对文件所做的任何更改都将被放弃,而不会保存到文档库中的文档版本中。
已下载的文件 FileDownloaded 用户从网站下载文档。
已修改文件 FileModified 用户或系统帐户修改网站上文档的内容或属性。 当同一用户修改同一文档的内容或属性时,系统将等待 5 分钟,然后再记录另一个 FileModified 事件。
(无) FileModifiedExtended 这与“已修改文件”(FileModified) 活动相关。 如果一个用户长时间(至 3 小时)持续修改某一文件,则会记录下 FileModifiedExtended 事件。

记录 FileModifiedExtended 事件是为了减少持续修改文件时所记录的 FileModified 事件数。 这有助于减小(实际上是)同一用户活动的多个 FileModified 记录的干扰,从而专注于初始(和更重要的)FileModified 事件。
已移动文件 FileMoved 用户将文档从网站上的当前位置移动到新位置。
(无) FilePreviewed 用户在 SharePoint 或 OneDrive for Business 网站上预览文件。 这些事件通常发生在基于单个活动的高容量情形中,例如查看图库。
已执行的搜索查询 SearchQueryPerformed 用户或系统帐户在 SharePoint 或 OneDrive for Business 中执行搜索。 服务帐户执行搜索查询的一些常见方案包括向网站和 OneDrive 帐户应用电子数据展示保留和保留策略,以及自动将保留或敏感度标签应用于网站内容。 若要为此活动启用日志记录,请参阅 审核解决方案入门
已回收文件 FileRecycled 用户将文件移入 SharePoint 回收站。
已回收文件夹 FolderRecycled 用户将文件夹移入 SharePoint 回收站。
已回收文件的次要版本 FileVersionsAllMinorsRecycled 用户从文件版本历史记录中删除所有次要版本。 已删除的版本移动到网站的回收站。
已回收所有版本的文件 FileVersionsAllRecycled 用户从文件版本历史记录中删除所有版本。 已删除的版本移动到网站的回收站。
已回收文件版本 FileVersionRecycled 用户从文件版本历史记录中删除某个版本。 已删除的版本移动到网站的回收站。
已重命名文件 FileRenamed 用户重命名文档。
已还原文件 FileRestored 用户从网站回收站还原文档。
已上传文件 FileUploaded 用户将文档上传到网站上的文件夹。
已查看页面 PageViewed 用户在网站上查看页面。 这不包括使用 Web 浏览器查看位于文档库中的文件。 用户查看页面后,在接下来的 5 分钟内不会为同一个页面的同一用户再次记录 PageViewed 事件。
(无) PageViewedExtended 这与“已查看页面”(PageViewed) 活动相关。 如果一个用户长时间(至 3 小时)持续查看某一网页,则会记录下 PageViewedExtended 事件。

记录 PageViewedExtended 事件是为了减少持续查看页面时所记录的 PageViewed 事件数。 这有助于减小(实际上是)同一用户活动的多个 PageViewed 记录的干扰,从而专注于初始(和更重要的)PageViewed 事件。
按客户端查看信号 ClientViewSignaled 用户的客户端(例如网站或移动应用)已发出信号,表明用户已查看指示的页面。 此活动通常在页面的 PagePrefetched 事件后记录。

注意:由于 ClientViewSignaled 事件由客户端而非服务器发出信号,因此服务器可能不会记录该事件,从而导致该事件可能未显示在审核日志中。 审核记录中的信息也可能不可信。 但是,由于用户身份由用于创建信号的令牌验证,因此相应审核记录中列出的用户身份是准确的。 当同一用户的客户端发出用户再次查看页面的信号时,系统将等待 5 分钟,然后再记录同一事件。
(无) PagePrefetched 用户的客户端(例如网站或移动应用)已请求指示的页面,以帮助提高用户浏览时的性能。 记录此事件以指示页面内容已服务于用户的客户端。 此事件未明确指示用户导航到页面。

当客户端(根据用户请求)呈现页面内容时,应生成 ClientViewSignaled 事件。 并非所有客户端都支持指示预提取,因此某些预提取活动可能会改为记录为 PageViewed 事件。

有关 FileAccessed 和 FilePreviewed 事件的常见问题

任何非用户活动都可以触发包含 "OneDriveMpc-Transform_Thumbnail" 等之类用户代理的 FilePreviewed 审核记录吗?

我们不知道非用户操作生成此类事件的情况。 用户操作(如在Outlook 网页版) 的邮件中选择其姓名或电子邮件地址)打开用户配置文件卡 (将生成类似的事件。

对 OneDriveMpc Transform_Thumbnail 的调用是否始终由用户有意触发?

否。 但类似事件可以作为浏览器预提取的结果记录。

如果看到来自 Microsoft 注册的 IP 地址的 FilePreviewed 事件,是否表示预览显示在用户设备的屏幕上?

否。 事件可能是由于浏览器预提取而记录的。

是否存在用户预览文档时生成文件访问事件的场景?

FilePreviewed 和 FileAccessed 事件都表明用户的调用导致了对文件的读取(或对文件的缩略图呈现的读取)。 虽然这些事件旨在与访问意向保持一致,但事件的区别并不能保证用户的意图。

审核记录中的app@sharepoint用户

在某些文件活动(和其他 SharePoint 相关活动)的审核记录中,你可能会注意到执行该活动的用户(在“用户”和“用户 ID”字段中识别)是 app@sharepoint。 这表示执行活动的“用户”是一个应用程序。 在这种情况下,该应用程序被授予 SharePoint 中代表用户、管理员或服务执行组织范围内操作(例如,搜索 SharePoint 网站或 OneDrive 帐户)的权限。 授予应用程序权限的过程被称为“仅限 SharePoint 应用”访问权限。 这表明提供给 SharePoint 执行操作的身份验证是由应用程序而不是用户做出的。 这就是为什么在某些审核记录中标识 app@sharepoint 用户的原因。 有关详细信息,请参阅通过仅限 SharePoint 应用授予访问权限

例如,app@sharepoint 通常被标识为“已执行搜索查询”和“已访问文件”事件的用户。 这是因为在将保留策略应用到网站和 OneDrive 帐户时,组织中具有仅限 SharePoint 应用访问权限的应用程序会执行搜索查询和访问文件。

以下是一些其他情形,其中审核记录中的 app@sharepoint 可能被标识为执行活动的用户:

  • Microsoft 365 组。 用户或管理员创建新组时,会生成审核记录,用于创建网站集、更新列表以及将成员添加到 SharePoint 组。 应用程序将代表创建组的用户执行这些任务。
  • Microsoft Teams。 与 Microsoft 365 组类似,也会生成审核记录,用于创建网站集、更新列表以及在创建团队时将成员添加到 SharePoint 组。
  • 合规性功能。 当管理员实现合规性功能(如保留策略、电子数据展示保留和自动应用敏感度标签)时。

在这些和其他情形下,你还会注意到,以 app@sharepoint 作为指定用户的多个审核记录是在较短的时间范围内创建的,通常每条记录只需几秒钟。 这也表明它们可能由同一个用户启动的任务触发。 而且,审核记录中的 ApplicationDisplayName 和 EventData 字段可以帮助你识别触发此事件的应用场景或应用程序。

文件夹活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的文件夹活动。 如前所述,某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起操作的用户或管理员执行的活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户

友好名称 操作 说明
已复制文件夹 FolderCopied 用户将文件夹从网站复制到 SharePoint 或 OneDrive for Business 的其他位置。
已创建文件夹 FolderCreated 用户在网站上创建一个文件夹。
已删除文件夹 FolderDeleted 用户从网站中删除一个文件夹。
从回收站删除文件夹 FolderDeletedFirstStageRecycleBin 用户从网站上的回收站中删除文件夹。
从第二阶段回收站删除文件夹 FolderDeletedSecondStageRecycleBin 用户从网站上的第二阶段回收站中删除文件夹。
已修改文件夹 FolderModified 用户在网站上修改文件夹。 这包括更改文件夹元数据,例如更改标签和属性。
已移动文件夹 FolderMoved 用户将文件夹移动到网站上的其他位置。
已重命名文件夹 FolderRenamed 用户在网站上重命名文件夹。
已还原文件夹 FolderRestored 用户从网站上的回收站中还原文件夹。

信息障碍活动

下表列出了在 Microsoft 365 审计日志中记录的信息屏障中的活动。 有关信息障碍的更多信息,请参阅 了解 Microsoft 365 中的信息障碍

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

友好名称 操作 说明
更改了租户的 AppBypassInformationBarrier 设置 AppBypassInformationBarrier SharePoint 或全局管理员更改了 SharePoint 网站的应用访问权限。
已将信息屏障模式应用到站点 SiteIBModeSet SharePoint 或全局管理员已将模式应用于网站。
已将段应用到站点 SiteIBSegmentsSet SharePoint、全局管理员或站点所有者向站点添加一个或多个信息障碍段。
更改了站点的信息屏障模式 SiteIBModeChanged SharePoint 或全局管理员已更新网站的模式。
已更改网站段 SiteIBSegmentsChanged SharePoint 或全局管理员更改站点的一个或多个信息障碍段。
已禁用 SharePoint 和 OneDrive 的信息屏障 SPOIBIsDisabled SharePoint 或全局管理员在组织中禁用了 SharePoint 和 OneDrive 的信息屏障。
为 SharePoint 和 OneDrive 启用信息屏障 SPOIBIsEnabled SharePoint 或全局管理员在组织中禁用了 SharePoint 和 OneDrive 的信息屏障。
已完成的信息屏障见解报告 InformationBarriersInsightsReportCompleted 系统完成信息屏障见解报表的生成。
查询的信息屏障见解报表 OneDrive 部分 InformationBarriersInsightsReportOneDriveSectionQueried 管理员查询 OneDrive 帐户的信息屏障见解报表。
计划的信息屏障见解报告 InformationBarriersInsightsReportSchedule 管理员计划信息屏障见解报告。
查询的信息屏障见解报表 SharePoint 部分 InformationBarriersInsightsReportSharePointSectionQueried 管理员查询 Sharepoint 网站的信息屏障见解报告。
从网站中删除了段 SiteIBSegmentsRemoved SharePoint 或全局管理员从站点中删除一个或多个信息障碍段。

Microsoft 365 备份活动

下表列出了 Microsoft 365 审核日志中记录的 Microsoft 365 备份 中的活动。 Microsoft 365 备份旨在确保组织的数据始终受保护且易于恢复。 有关Microsoft 365 备份的详细信息,请参阅Microsoft 365 备份概述

友好名称 操作 说明
激活了备份策略 BackupPolicyActivated 从非活动状态激活Microsoft 365 备份策略。
激活草稿还原任务 RestoreTaskActivated 激活Microsoft 365 备份的草稿还原任务。 这是一个长时间运行的操作。
已创建备份项 BackupItemAdded 将一个或多个备份项添加到Microsoft 365 备份策略。
已删除备份项 BackupItemRemoved 将从Microsoft 365 备份策略中删除一个或多个备份项。
已完成还原任务 RestoreTaskCompleted 还原任务在 Microsoft 365 备份 中完成。
已创建草稿还原任务 DraftRestoreTaskCreated 还原任务是在 Microsoft 365 备份 中创建的。 默认情况下,还原任务创建为草稿。
创建了新的备份策略 NewBackupPolicyCreated 全局管理员已创建新的Microsoft 365 备份策略。默认情况下,备份策略以非活动状态创建。
删除了备份策略 BackupPolicyDeleted 删除Microsoft 365 备份策略。
已删除草稿还原任务 DraftRestoreTaskDeleted 草稿还原任务在 Microsoft 365 备份 中删除。
编辑了备份策略 BackupPolicyEdited 更新了Microsoft 365 备份策略。 备份策略通过以下任一操作进行更新:

1. 重命名策略。
2. 添加一个或多个保护单元。
3. 删除一个或多个保护单元。
已编辑草稿还原任务 DraftRestoreTaskEdited 在 Microsoft 365 备份 中编辑草稿还原任务。
已暂停备份策略 BackupPolicyPaused Microsoft 365 备份策略已从活动状态暂停。
以编程方式获取备份项 GetBackupItem 用户以编程方式使用 Microsoft 365 备份 请求备份的保护单元。
以编程方式获取备份策略的详细信息 ViewBackupPolicyDetails 以编程方式访问Microsoft 365 备份策略的详细信息。
以编程方式获取还原任务的详细信息 GetRestoreTaskDetails 用户按Microsoft 365 备份中的标识符请求还原任务的详细信息。
以编程方式获取所有备份策略的列表 ListAllBackupPolicies 用户以编程方式获取使用 Microsoft 365 备份 备份的所有备份策略的列表。
以编程方式获取备份策略中的备份项列表 ListAllBackupItemsInPolicies 以编程方式请求Microsoft 365 备份备份策略中存在的所有保护单元的列表。
以编程方式获取租户中备份项的列表 ListAllBackupItemsInTenant 用户以编程方式获取使用Microsoft 365 备份备份的组织中所有保护单元的列表。
以编程方式获取工作负载中的备份项列表 ListAllBackupItemsInWorkload 用户以编程方式获取使用 Microsoft 365 备份 备份 (SharePoint、OneDrive 或 Exchange) 工作负荷中的所有保护单元的列表。
以编程方式获取还原任务中的还原项列表 GetAllRestoreArtifactsInTask 用户以编程方式在 Microsoft 365 备份 中获取还原任务中的所有项目。
以编程方式获取还原点列表 ListAllRestorePoints 用户以编程方式获取Microsoft 365 备份中的所有还原点。 还原点表示根据保护策略) (项目受到保护时的时间戳。 只有全局管理员有权访问。
以编程方式获取还原任务列表 ListAllRestoreTasks 用户以编程方式获取Microsoft 365 备份中现有还原会话的列表。 这包括为组织中注册的每个服务类型创建的还原会话。
还原项还原完成 BackupItemRestoreCompleted 已完成Microsoft 365 备份备份的项的还原。
已触发还原项还原 BackupItemRestoreTriggered 为使用Microsoft 365 备份备份的项触发还原。

Microsoft Defender for Endpoint常规设置活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender for Endpoint常规设置的活动。 有关Microsoft Defender for Endpoint设置的详细信息,请参阅配置常规 Defender for Endpoint 设置

若要查看Microsoft Defender for Endpoint活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
下载的卸载包 DownloadOffboardingPkg 下载了用于从 Defender for Endpoint 中删除设备的包。
已下载的载入包 DownloadOnboardingPkg 下载了用于将设备载入到 Defender for Endpoint 的包。
更改了数据保留期 ChangeDataRetention 编辑了 Defender for Endpoint 的数据保留设置。
设置高级功能 SetAdvancedFeatures 更改了 Defender for Endpoint 中的高级功能,从而在事件期间启用更精确的控制。 Microsoft 365 审核日志中仅记录了正式发布的高级功能的设置。

Microsoft Defender for Endpoint指示器设置活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender for Endpoint指示器设置的活动。 有关Microsoft Defender for Endpoint指标的详细信息,请参阅管理指示器

若要查看Microsoft Defender for Endpoint活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
添加了指示器 AddIndicator 创建了可用于跟踪攻击和事件的新泄露指示器。
已编辑的指示器 EditIndicator 编辑了泄露指示器。
已删除的指示器 DeleteIndicator 删除了泄露指示器。

Microsoft Defender for Endpoint响应操作活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender for Endpoint响应操作(包括实时响应)的活动。 有关Microsoft Defender for Endpoint响应操作的详细信息,请参阅在设备上执行响应操作

若要查看Microsoft Defender for Endpoint活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
收集的调查包 CollectInvestigationPackage 收集有关用于了解攻击工具和技术的设备的信息。
运行防病毒扫描 RunAntiVirusScan 在设备上运行了Microsoft Defender防病毒扫描。
受限制的应用执行 RestrictAppExecution 阻止恶意应用运行。
删除了应用限制 RemoveAppRestrictions 允许应用运行。
独立设备 IsolateDevice 将设备与网络隔离,帮助防止攻击蔓延。
从隔离中释放 ReleaseFromIsolation 将隔离设备重新添加到网络。
已停止和隔离的文件 StopAndQuarantineFile 已隔离可疑文件以供进一步分析。
已下载的文件 DownloadFile 下载了可疑文件以供进一步调查。
已卸载的设备 DeviceOffBoarding 从 Defender for Endpoint 中删除了设备。
运行实时响应 API RunLiveResponseApi 通过 API 调用打开了实时响应会话,在设备中打开了远程 shell。
收集的日志 LogsCollection 收集有关 Defender for Endpoint 的日志信息。
已运行获取实时响应文件链接 LiveResponseGetFile 打开了实时响应会话,将远程 shell 打开到设备中。
已运行实时响应会话 RunLiveResponseSession 运行了实时响应会话,在设备中打开远程 shell。

Microsoft Defender for Endpoint角色设置活动

下表列出了Microsoft 365 审核日志中记录Microsoft Defender for Endpoint角色设置的活动。 有关Microsoft Defender for Endpoint中的角色的详细信息,请参阅创建和管理基于角色的访问控制的角色

若要查看Microsoft Defender for Endpoint活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
AddRole 添加了角色 添加了新的安全角色和权限。
EditRole 已编辑的角色 已编辑的安全角色和权限。
DeleteRole 已删除的角色 删除了安全角色和权限。

专家活动Microsoft Defender

下表列出了 Microsoft Defender Experts 中登录到 Microsoft 365 审核日志中的活动。 有关Microsoft Defender专家的详细信息,请参阅了解Microsoft Defender XDR 专家了解Microsoft Defender 搜寻专家

友好名称 操作 说明
已创建 Defender Experts 分析师权限 DefenderExpertsAnalystPermissionCreated 管理员向 Defender 专家分析师授予了一个或多个角色权限,以调查事件或修正威胁。
已修改 Defender Experts 分析师权限 DefenderExpertsAnalystPermissionModified 管理员修改了 Defender Experts 分析师用于调查事件或修正威胁的角色权限。

Microsoft Defender for Identity活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender for Identity的活动。

若要查看Microsoft Defender for Identity活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
更新了实体标记 TagingConfigurationUpdated 已在实体中添加或移除标记。
添加了排除项配置 ExclusionConfigurationAdded 为警报或实体添加了全局排除。
更新了排除项配置 ExclusionConfigurationUpdated 已针对警报或实体更新全局排除。
已删除的排除项配置 ExclusionConfigurationDeleted 已删除警报或实体的全局排除项。
更新了警报阈值配置 WorkspaceAlertThresholdLevelUpdated 警报阈值配置已更新。
下载的安全警报 Excel AlertExcelDownloaded 已下载警报的详细 Excel 文件。
添加了修正操作 RemediationActionAdded 修正操作已添加到队列。
更新了修正操作 RemediationActionUpdated 修正操作已完成。
更新了传感器配置 SensorConfigurationUpdated 传感器的配置已更新。
添加了传感器 SensorCreated 添加了一个新的传感器。
已删除传感器 SensorDeleted 已删除传感器。
检索到的传感器部署密钥 SensorDeploymentAccessKeyReceived 已检索传感器访问密钥。
重新生成传感器部署密钥 SensorDeploymentAccessKeyUpdated 传感器访问密钥已重新生成。
下载的域控制器覆盖范围 Excel DomainControllerCoverageExcelDownloaded 已下载域控制器覆盖范围 Excel 文件。
更新了目录服务帐户配置 DirectoryServicesAccountConfigurationUpdated 目录服务帐户集已修改。
更新了修正操作配置 RemediationActionConfigurationUpdated 已修改“管理操作帐户”集。
更新了实体修正配置 EntityRemediatorConfigurationUpdated 修改了“管理操作帐户”模式。
更新的运行状况问题 MonitoringAlertUpdated 已修改运行状况问题。
已下载报告 ReportDownloaded 已下载报表。
更新了报告器配置 ReporterConfigurationUpdated 报表的计划已修改。
更新了 syslog 转发配置 SyslogServiceConfigurationUpdated 修改了 syslog 转发配置。
更新了安全通知配置 NotificationConfigurationUpdated 安全警报或运行状况问题通知配置已修改。
添加了警报通知收件人 AlertNotificationsRecipientAdded 已将收件人添加到安全警报通知配置。
已删除警报通知收件人 AlertNotificationsRecipientDeleted 已从安全警报通知配置中删除收件人。
添加了运行状况问题通知收件人 MonitoringAlertNotificationRecipientAdded 已将收件人添加到运行状况问题通知配置。
已删除运行状况问题通知收件人 MonitoringAlertNotificationRecipientDeleted 已从健康问题通知配置中删除收件人。
已更新 VPN 配置 VpnConfigurationUpdated VPN (半径计帐) 配置已修改。
更新了统一 RBAC 配置 URbacAuthorizationStatusChanged 修改了统一基于角色访问控制配置。
已创建工作区 WorkspaceCreated 工作区已创建。
已删除的工作区 WorkspaceDeleted 工作区已删除。

Microsoft Defender XDR自定义检测活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender XDR的自定义检测活动。 有关Microsoft Defender XDR自定义检测的详细信息,请参阅创建和管理自定义检测规则

若要查看Microsoft Defender XDR活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
已创建自定义检测规则 CreateCustomDetection 已创建新的自定义检测规则。
已编辑的自定义检测规则 EditCustomDetection 修改了自定义检测规则。
更改了自定义检测规则状态 ChangeCustomDetectionRuleStatus 自定义检测规则已关闭或打开。
运行自定义检测规则 RunCustomDetection 自定义检测规则已手动运行。
已删除自定义检测规则 DeleteCustomDetection 已删除自定义检测规则。

Microsoft Defender XDR事件活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender XDR的事件活动。 有关 Microsoft Defender XDR 中的事件的详细信息,请参阅事件概述

若要查看Microsoft Defender XDR活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
向事件添加了注释 AddCommentToIncident。 向事件添加了注释。
已将用户分配到事件 AssignUserToIncident 已将用户分配到事件。
未将用户分配到事件 UnAssignUserFromIncident 未将用户分配到事件。
更新的事件状态 UpdateIncidentStatus 已更新事件状态。
编辑事件分类 EditIncidentClassification 编辑事件分类。
向事件添加了标记 AddTagsToIncident 向事件添加了标记。
从事件中删除了标记 RemoveTagsFromIncident 从事件中删除了标记。

Microsoft Defender XDR抑制规则活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Defender XDR抑制规则的活动。 有关Microsoft Defender XDR中的抑制规则的详细信息,请参阅管理抑制规则

若要查看Microsoft Defender XDR活动,必须在Microsoft Defender XDR门户中启用统一审核日志。 有关详细信息,请参阅 启用统一审核日志

友好名称 操作 说明
已创建抑制规则 CreateSuppressionRule 已创建警报抑制规则。
已编辑的抑制规则 EditSuppressionRule 已删除警报抑制规则。
已启用抑制规则 EnableSuppressionRule 已启用警报抑制规则。
禁用的抑制规则 DisableSuppressionRule 禁用了警报抑制规则。
已删除的抑制规则 DeleteSuppressionRule 已删除警报抑制规则。

Microsoft Entra组管理活动

下表列出了在管理员或用户创建或更改 Microsoft 365 组或在管理员通过使用 Microsoft 365 管理中心 或 Azure 管理门户创建安全组时记录的组管理活动。 有关 Microsoft 365 中的组的详细信息,请参阅在 Microsoft 365 管理中心查看、创建和删除组

注意

下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。

友好名称 操作 说明
已添加组 添加组。 已创建组。
已向组添加成员 向组添加成员。 已将成员添加到组。
已删除组 删除组。 已删除组。
已删除组中成员 删除组中成员。 已删除组中成员。
已更新组 "更新"组。 已更改组的属性。

Microsoft Fabric 活动

可以在审核日志中搜索 Power BI 内的活动。 有关审核设置的信息,请参阅 审核和使用租户设置

默认情况下,Microsoft 365 组织的审核日志记录处于打开状态。 如果未为组织启用审核,则会显示一个横幅,提示你开始记录用户和管理员活动。 有关说明,请参阅 启用审核

Microsoft Forms 活动

下表列出了 Microsoft Forms 中记录在审核日志中的用户和管理员活动。 Microsoft Forms 是用于收集分析数据的表单/测验/调查工具。 在下面的说明中可以看到,一些操作包含其他活动参数。

如果Forms活动由共同作者或匿名响应者执行,则记录方式略有不同。 有关详细信息,请参阅共同创作者和匿名响应者执行的 Forms 活动部分。

友好名称 操作 说明
已创建批注 CreateComment 表单所有者向测验添加批注或分数。
已创建表单 CreateForm 表单所有者创建一个新表单。

Property DataMode:string 指示如果属性值等于 DataSync,则当前表单设置为与新的或现有 Excel 工作簿同步。 属性 ExcelWorkbookLink:string 指示当前表单的关联 Excel 工作簿 ID。
已编辑表单 EditForm 表单所有者编辑表单,如创建、删除或编辑问题。 EditOperation:string 属性表示编辑操作名称。 可能的操作如下:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage 包含表单中用户可上传图像的任何位置,例如在查询中或作为背景主题。
已移动表单 MoveForm 表单所有者移动表单。

属性 DestinationUserId:string 表示移动表单的人员的用户 ID。 属性 NewFormId:string 是新复制的表单的新 ID。 属性 IsDelegateAccess:boolean 指示当前表单移动操作是通过管理员代理页面执行的。
已删除表单 DeleteForm 表单所有者删除表单。 这包括 SoftDelete(使用删除选项并将表单移动到回收站)和 HardDelete(清空回收站)。
已查看表单(设计时) ViewForm 表单所有者打开现有表单进行编辑。

属性 AccessDenied:boolean 指示由于权限检查,拒绝了当前表单的访问。 属性 FromSummaryLink:boolean 指示当前请求来自摘要链接页。
已预览表单 PreviewForm 表单所有者使用“预览”功能预览表单。
已导出表单 ExportForm 表单所有者将结果导出到 Excel。

属性 ExportFormat:string 表示 Excel 文件是下载还是在线文件。
已允许共享表单以进行复制 AllowShareFormForCopy 表单所有者创建模板链接以便与其他用户共享表单。 当表单所有者选择生成模板 URL 时,将记录此事件。
不允许共享表单以进行复制 DisallowShareFormForCopy 表单所有者删除模板链接。
已添加表单合著者 AddFormCoauthor 用户使用协作链接来帮助设计/查看响应。 当用户使用协作 URL 时(而不是首次生成协作 URL 时),将记录此事件。
已删除表单合著者 RemoveFormCoauthor 表单所有者删除协作链接。
已查看响应页面 ViewRuntimeForm 用户已打开响应页面以进行查看。 无论用户是否提交响应,都将记录此事件。
已创建响应 CreateResponse 类似于接收新响应。 用户提交了对表单的响应。

属性 ResponseId:string 和属性 ResponderId:string 表示正在查看的结果。

对于匿名响应者,ResponderId 属性为 null。
已更新响应 UpdateResponse 表单所有者更新了测验的批注或分数。

属性 ResponseId:string 和属性 ResponderId:string 表示正在查看的结果。

对于匿名响应者,ResponderId 属性为 null。
已删除所有响应 DeleteAllResponses 表单所有者删除所有响应数据。
已删除响应 DeleteResponse 表单所有者删除一个响应。

属性 ResponseId:string 表示正在删除的响应。
已查看多个响应 ViewResponses 表单所有者查看聚合的响应列表。

属性 ViewType:string 表示表单所有者是在查看详细还是聚合数据
已查看单个响应 ViewResponse 表单所有者查看特定响应。

属性 ResponseId:string 和属性 ResponderId:string 表示正在查看的结果。

对于匿名响应者,ResponderId 属性为 null。
已创建摘要链接 GetSummaryLink 表单所有者创建摘要结果链接以共享结果。
已删除摘要链接 DeleteSummaryLink 表单所有者删除摘要结果链接。
已更新表单钓鱼状态 UpdatePhishingStatus 无论是否更改了最终安全状态(例如,表单现为“已关闭”或“已打开”状态),只要内部安全状态的详细信息值发生更改,就会记录此事件。 这意味着可能会在最终安全状态未更改的情况下看到重复的事件。 此事件的可能状态值如下:
- Take Down
- Take Down by Admin
- Admin Unblocked
- Auto Blocked
- Auto Unblocked
- Customer Reported
- Reset Customer Reported
已更新用户钓鱼状态 UpdateUserPhishingStatus 每当用户安全状态值更改时,都会记录此事件。 用户创建由 Microsoft Online 安全团队删除的网络钓鱼表单时,审核记录中的用户状态值为“确认为钓鱼者”。 如果管理员取消阻止该用户,则该用户状态的值将设置为“重置为普通用户”。
已发送 Forms Pro 邀请 ProInvitation 用户选择激活 Pro 试用版。
已更新表单设置 UpdateFormSetting 表单所有者更新一个或多个表单设置。

属性 FormSettingName:string 指示已更新敏感设置的名称。 属性 NewFormSettings:string 指示已更新设置的名称和新值。 属性 thankYouMessageContainsLink:boolean 指示更新的 thankyou 消息包含 URL 链接。
已更新用户设置 UpdateUserSetting 表单所有者更新用户设置。

属性 UserSettingName:string 表示设置的名称和新值
已列出表单 ListForms 表单所有者正在查看表单列表。

属性 ViewType:string 表示表单所有者正在使用的查看视图:“所有表单”、“与我共享”或“组表单”
已提交响应 SubmitResponse 用户提交对表单的响应。

属性 IsInternalForm:boolean 表示响应者是否与表单所有者位于同一组织中。
启用任何人都可以响应设置 AllowAnonymousResponse 表单所有者启用允许任何一人响应表单的设置。
已禁用任何人都可响应设置 DisallowAnonymousResponse 表单所有者关闭允许任何一人响应表单的设置。
已启用特定人员可响应设置 EnableSpecificResponse 表单所有者启用该设置,仅允许当前组织中的特定人员或特定组响应表单。
已禁用特定人员可响应设置 DisableSpecificResponse 表单所有者关闭仅允许当前组织中的特定人员或特定组响应表单的设置。
已添加特定响应者 AddSpecificResponder 表单所有者将新用户或组添加到特定响应者列表。
已删除特定响应者 RemoveSpecificResponder 表单所有者从特定响应者列表中删除用户或组。
已禁用协作 DisableCollaboration 表单所有者关闭表单上的协作设置。
已启用 Office 365 工作或学校帐户协作 EnableWorkOrSchoolCollaboration 表单所有者打开设置,允许拥有 Microsoft 365 工作或学校帐户的用户查看和编辑表单。
已启用组织中人员协作 EnableSameOrgCollaboration 表单所有者打开设置,允许当前组织中的用户查看和编辑表单。
已启用特定人员协作 EnableSpecificCollaboaration 表单所有者启用设置,仅允许当前组织中的特定人员或特定组查看和编辑表单。
已连接到 Excel 工作簿 ConnectToExcelWorkbook 已将表单连接到 Excel 工作簿。

属性 ExcelWorkbookLink:string 指示当前表单的关联 Excel 工作簿 ID。
已创建集合 CollectionCreated 表单所有者创建了一个集合。
已更新集合 CollectionUpdated 表单所有者更新了集合属性。
已从回收站中删除集合 CollectionHardDeleted 表单所有者硬删除了回收站中的集合。
已将集合移动到回收站 CollectionSoftDeleted 表单所有者将集合移到了回收站。
已重命名集合 CollectionRenamed 表单所有者更改了集合的名称。
已将表单移动到集合中 MovedFormIntoCollection 表单所有者将表单移入集合。
已将表单从集合中移出 MovedFormOutofCollection 表单所有者已将表单移出集合。

合著者和匿名响应者执行的 Forms 活动

Forms 支持在设计表单时和分析响应时进行协作。 表单协作者被称为合著者。 合著者可执行表单所有者可执行的所有操作,但删除或移动表单除外。 Forms 还允许你创建可以匿名响应的表单。 这意味着响应者无需登录到组织即可响应表单。

下表介绍了合著者和匿名响应者执行的活动的审核记录中的审核活动和信息。

活动类型 内部或外部用户 记录的用户 ID 登录到的组织 Forms 用户类型
共同创作活动 内部 UPN 表单所有者的组织 合著者
共同创作活动 外部 UPN
合著者的组织
合著者
共同创作活动 外部 urn:forms:coauthor#a0b1c2d3@forms.office.com
(ID 的第二部分是哈希,不同用户的哈希有所不同)
表单所有者的组织
合著者
响应活动 外部 UPN
响应者的组织
响应者
响应活动 外部 urn:forms:external#a0b1c2d3@forms.office.com
(用户 ID 的第二部分是哈希,不同用户的哈希有所不同)
表单所有者的组织 响应者
响应活动 匿名 urn:forms:anonymous#a0b1c2d3@forms.office.com
(用户 ID 的第二部分是哈希,不同用户的哈希有所不同)
表单所有者的组织 响应者

Microsoft Graph 数据连接

下表列出了 Microsoft Graph Data Connect 中记录以供审核的用户和管理员活动。 表包括“ 活动” 列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应操作的名称。

友好名称 操作 说明
已批准或拒绝应用 ConsentModificationRequest 用户执行了同意修改请求。
提取已运行 DataAccessRequestOperation 用户执行了提取。 将排除合作伙伴数据集和 ISV 运行。

Microsoft Planner活动

下表列出了记录用于审核的 Microsoft Planner 中的用户和管理员活动。 表包括“ 活动” 列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应操作的名称。

注意

Planner 中的项目组合活动记录为 web 路线图活动的 Microsoft Project。 有关详细信息,请参阅Microsoft Project 网页版活动部分。

友好名称 操作 说明
阅读计划 PlanRead 计划由用户或应用读取。 如果读取操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ContainerType 指示 ContainerType.Invalid,ContainerId 指示 null。
已创建计划 PlanCreated 计划由用户或应用创建。 如果创建操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 指示 null,ContainerType 指示 ContainerType.Invalid,ContainerId 指示 null。
修改了计划 PlanModified 计划由用户或应用修改。
删除了计划 PlanDeleted 计划由用户或应用删除。
复制了计划 PlanCopied 计划由用户或应用复制。 如果复制操作是 ResultStatus.Failure 或 ResultStatus.Failure,则 newPlanId 指示 null,newContainerType 指示 ContainerType.Invalid,newContainerId 指示 null。
读取任务 TaskRead 任务由用户或应用读取。 如果读取操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 PlanId 指示 null。
已创建任务 TaskCreated 任务由用户或应用创建。 如果创建操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 指示 null,PlanId 指示 null。
修改了任务 TaskModified 任务由用户或应用修改。
已删除任务 TaskDeleted 任务由用户或应用删除。
已分配任务 TaskAssigned 任务被用户或应用修改。 这可以是已分配的未分配任务,也可以是已分配的任务具有新的被分配者。
完成任务 TaskCompleted 任务由用户或应用标记为已完成。
已创建名单 RosterCreated 名单由用户或应用创建。 如果创建操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 指示 null,MemberId 表示空字符串。
已删除名单 RosterDeleted 名单由用户或应用删除。
向名单添加了成员 () RosterMemberAdded 成员 () 添加到名单中。 如果添加操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 MemberIds 指示尝试的成员 ID 列表。
删除了成员 (名册) RosterMemberDeleted 将从名单中删除成员 () 。 如果删除操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 MemberIds 指示尝试的成员 ID 列表。
阅读计划列表 PlanListRead 计划列表由用户或应用查询。 如果查询操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,PlanList 指示空字符串。
读取任务列表 TaskListRead 任务列表由用户或应用查询。 如果查询操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 TaskList 指示空字符串。
更新了租户设置 TenantSettingsUpdated 租户设置由租户管理员更新。如果更新操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,则 ObjectId 指示原始设置,TenantSettings 指示尝试的租户设置。
更新了名单的敏感度标签 RosterSensitivityLabelUpdated 用户或应用更新名单的敏感度标签。

Microsoft Power Apps 活动

可以在审核日志中搜索 Power Apps 中与应用相关的活动。 这些活动包括创建、启动和发布应用。 还会审核为应用分配权限。 有关所有Power Apps活动的说明,请参阅 Power Apps 的活动日志记录

注意

警报策略 (保护警报) 审核事件 (RecordType:45) 目前不支持PowerApps。

Microsoft Power Automate 活动

可以在审核日志中搜索 Power Automate(以前称为 Microsoft Flow)内的活动。 这些活动包括创建、编辑和删除流以及更改流权限。 有关 Power Automate 活动的审核信息,请参阅 博客 Power Automate 审核事件现已在合规性门户中提供

Microsoft Project 网页版活动

可以在审核日志中搜索Microsoft Project 网页版中的活动。 Microsoft Project 网页版基于 Microsoft Dataverse 构建,并且具有关联的 Project Power App。 若要为用户使用 Microsoft Dataverse 或 Project Power App 的方案启用审核,请参阅 “系统设置审核”选项卡 指南。 有关Project 网页版相关实体的列表,请参阅从Project 网页版导出用户数据指南。

有关Microsoft Project 网页版的信息,请参阅 Microsoft Project 网页版

注意

审核Microsoft Project 网页版活动的事件需要付费Project 计划 1许可证 (或更高版本) 。

友好名称 操作 说明
已创建项目 ProjectCreated 项目由用户或应用创建。
已创建路线图 路线图创建 路线图或项目组合由用户或应用创建。
已创建路线图项 RoadmapItemCreated 路线图或项目组合项由用户或应用创建。
已创建任务 TaskCreated 任务由用户或应用创建。
已删除的项目 ProjectDeleted 项目由用户或应用删除。
已删除的路线图 RoadmapDeleted 路线图或项目组合由用户或应用删除。
已删除的路线图项 RoadmapItemDeleted 路线图或项目组合项由用户或应用删除。
已删除的任务 TaskDeleted 任务由用户或应用删除。
已访问的项目 ProjectAccessed 项目为读取或应用。
已访问项目主页 ProjectListAccessed 用户会查询项目和/或路线图的列表。
访问路线图 RoadmapAccessed 路线图或项目组合由用户或应用读取。
访问的路线图项 RoadmapItemAccessed 路线图或项目组合项由用户或应用读取。
已访问的任务 TaskAccessed 任务由用户或应用读取。
更新了项目设置 ProjectForTheWebProjectSettings 项目设置由管理员更新。
更新的路线图 RoadmapUpdated 路线图或项目组合由用户或应用修改。
更新了路线图项 RoadmapItemUpdated 路线图或项目组合项由用户或应用修改。
更新了路线图设置 ProjectForTheWebRoadmaptSettings 路线图或项目组合设置由管理员更新。
更新的任务 TaskUpdated 任务由用户或应用修改。
更新了项目 ProjectUpdated 项目由用户或应用修改。

Microsoft Purview 审核解决方案活动

下表列出了Microsoft Purview 门户、Microsoft Purview 合规门户和审核搜索图形 API中与审核解决方案关联的活动。 这些活动在 SecurityComplianceCenter 工作负载下进行审核。 有关详细信息,请参阅 搜索审核日志

不会审核使用 Search-UnifiedAuditLog 执行的审核搜索 和导出活动。

友好名称 操作 说明
已创建审核搜索 AuditSearchCreated 将提交新的审核搜索请求。
审核搜索已完成 AuditSearchCompleted 审核搜索作业已完成。
审核搜索已取消 AuditSearchCancelled 审核搜索作业已取消。
已删除审核搜索 AuditSearchDeleted 审核搜索作业已删除。
已创建的审核搜索导出作业 AuditSearchExportJobCreated 创建导出作业以导出审核搜索查询的搜索结果。
审核搜索导出作业已完成 AuditSearchExportJobCompleted 导出审核搜索查询搜索结果的导出作业已完成。
审核下载的搜索导出结果 AuditSearchExportResultsDownloaded 审核搜索查询的搜索结果已下载。

Microsoft Purview 治理活动

下表列出了Microsoft 365 审核日志中记录Microsoft Purview 治理活动。 有关详细信息,请参阅 Microsoft Purview 治理解决方案

友好名称 操作 说明
已创建资产或实体 EntityCreated 将创建一个新的资产或实体或将其添加到现有资产。
已添加分类 ClassificationAdded 将分类添加到资产实体。
已创建分类定义 ClassificationDefinitionCreated 创建分类类型。
已删除分类定义 ClassificationDefinitionDeleted 删除分类类型。
已更新分类定义 ClassificationDefinitionUpdated 更新分类类型。
已删除分类 ClassificationDeleted 从资产实体中删除分类。
已更新分类 ClassificationUpdated 更新资产实体的分类。
实体已删除 EntityDeleted 资产或实体将从现有资产中删除。
实体已更新 EntityUpdated 包括:属性更新、业务属性更新、集合信息 (仅包括集合 ID) 、联系人更新、customAttributes、hierarchy、homeId、标签、sourceDetails
已分配术语表术语 GlossaryTermAssigned 将术语分配给资产实体。
已创建术语表术语 GlossaryTermCreated 创建术语。
已删除术语表术语 GlossaryTermDeleted 删除术语。
已取消关联的术语表术语 GlossaryTermDisassociated 取消术语与资产实体的关联。
术语表术语更新 GlossaryTermUpdated 更新术语。
敏感度标签已更改 SensitivityLabelChanged 添加/更新/删除敏感度标签。

Microsoft Stream 活动

可以在审核日志中搜索 Microsoft Stream 内的活动。 这些活动包括用户执行的视频活动、组频道活动和管理员活动,例如管理用户、管理组织设置和导出报告。 有关这些活动的说明,请参阅 Microsoft Stream 中的审核日志的“Stream 中记录的活动”部分。

Microsoft Teams 活动

下表列出了Microsoft 365 审核日志中记录的Microsoft Teams 活动。 你可以在审核日志中搜索 Microsoft Teams 内的用户和管理员活动。 Teams 是 Microsoft 365 中以聊天为中心的工作区。 它将团队的对话、会议、文件和笔记集中到一个位置。 有关更详细的搜索指南,请参阅 在审核日志中搜索 Microsoft Teams 中的事件

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

友好名称 操作 说明
已向团队添加自动程序 BotAddedToTeam 用户将自动程序添加到团队。
已添加频道 ChannelAdded 用户将频道添加到团队。
已添加连接器 ConnectorAdded 用户将连接器添加到频道。
添加了有关 Teams 会议 9 的详细信息 MeetingDetail Teams 添加了有关会议的信息,包括开始时间、结束时间和要加入会议的 URL。
添加了有关会议参与者的信息 9 MeetingParticipantDetail Teams 添加了有关会议参与者的信息,包括每个参与者的用户 ID、参与者加入会议的时间以及参与者离开会议的时间。
添加了成员 6、8 MemberAdded 团队所有者将成员添加到团队、频道或群组聊天中。
已添加选项卡 TabAdded 用户将选项卡添加到频道。
应用的敏感度标签 SensitivityLabelApplied 用户或会议组织者向 Teams 会议应用了敏感度标签。
已更改的频道设置 ChannelSettingChanged 团队成员执行以下活动时将记录 ChannelSettingChanged 操作。 对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。
  • 更改团队频道的名称 (频道名称)
  • 更改团队频道的说明 (频道说明)
已更改组织设置 TeamsTenantSettingChanged 当Microsoft 365 管理中心中的全局管理员执行以下活动时,将记录 TeamsTenantSettingChanged 操作。 这些活动会影响组织范围的 Teams 设置。 若要了解详细信息,请参阅 为组织管理 Teams 设置
对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。
  • 为组织启用或禁用 Teams (Microsoft Teams) 。
  • 为组织启用或禁用 Microsoft Teams 和 Skype for Business 之间的互操作性 (Skype for Business互操作性) 。
  • 在 Microsoft Teams 客户端中启用或禁用组织结构图视图 (组织图表视图) 。
  • 启用或禁用团队成员安排私人会议的功能, (私人会议安排) 。
  • 启用或禁用团队成员 (频道会议 安排) 的功能。
  • 启用或禁用 Teams 会议中的视频通话 (Skype 会议 的视频) 。
  • 为组织启用或禁用Microsoft Teams 会议中的屏幕 共享 (Skype 会议) 屏幕共享
  • 启用或禁用将名为 Giphys) 的动画图像 (添加到 Teams 对话 (动画图像) 的功能。
  • 更改组织 (内容分级) 的内容分级 设置。 内容评级限制了可在对话中显示的动画图像的类型。
  • 启用或禁用团队成员将可自定义图像 (称为自定义 meme) 从 Internet 添加到团队对话的功能, (来自 Internet) 的可自定义图像
  • 启用或禁用团队成员将可编辑图像 (称为贴纸) 添加到团队对话 (可编辑图像) 的功能。
  • 启用或禁用团队成员在Microsoft Teams 聊天和频道中使用机器人的功能, (组织范围的机器人)
  • 为Microsoft Teams 启用特定的机器人。 这不包括 T-Bot,即组织启用机器人时可用的 Teams 帮助机器人(“单个机器人”)。
  • 启用或禁用团队成员 (扩展或选项卡) 添加 扩展或选项卡 的功能。
  • 启用或禁用Microsoft Teams 专有机器人的旁加载 (机器人) 的旁加载
  • 启用或禁用用户将电子邮件发送到Microsoft Teams 频道 (频道电子邮件) 的功能。
已更改团队成员的角色 MemberRoleChanged 团队所有者更改团队中成员的角色。 以下值指示分配给用户的角色类型。

1 - 指示成员角色。
2 - 指示所有者角色。
3 - 表示“来宾”角色。

Members 属性还包括组织名称和成员的电子邮件地址。
已更改的团队设置 TeamSettingChanged 团队所有者执行以下活动时将记录 TeamSettingChanged 操作。 对于其中每个活动,已更改的设置的说明 (显示在圆括号中,) 显示在审核日志搜索结果的 “项” 列中。
  • 更改团队的访问类型。 团队可以设置为专用或公共 (团队访问类型) 。 当团队为专用(默认设置)时,用户只能通过邀请访问该团队。 当团队为公用时,任何人都可以发现它。
  • 更改团队 (团队分类) 的信息分类。 例如,可将团队数据分类为高业务影响、中等业务影响或低业务影响。
  • 更改团队名称 (团队名称) 。
  • 更改团队说明 (团队 说明) 。
  • 对团队设置所做的更改。 若要访问这些设置,团队所有者可以右键单击团队,选择“ 管理团队”,然后选择 “设置” 选项卡。对于这些活动,已更改的设置的名称将显示在审核日志搜索结果的 “项 ”列中。
已更改敏感度标签 SensitivityLabelChanged 用户更改了 Teams 会议中的敏感度标签。
创建了聊天 1 ChatCreated 已创建 Teams 聊天。
已创建团队 TeamCreated 用户创建团队。
已删除消息 2 MessageDeleted 聊天或频道中的消息已删除。
已删除所有组织应用 DeletedAllOrganizationApps 从目录中删除了所有组织应用。
已删除的应用 AppDeletedFromCatalog 已从目录中删除应用。
已删除频道 ChannelDeleted 用户从团队中删除频道。
已删除团队 TeamDeleted 团队所有者删除了团队。
在 Teams 中使用 URL 链接编辑了邮件 MessageEditedHasLink 用户在 Teams 中编辑邮件并添加指向该邮件的 URL 链接。
导出的邮件 1,2 MessagesExported 聊天或频道消息已导出。
导出的录音 1 RecordingExported 聊天录制内容已导出。
导出的脚本 1 TranscriptsExported 聊天脚本已导出。
未能验证对共享频道 3 的邀请 FailedValidation 用户响应对共享频道的邀请,但邀请验证失败。
提取的聊天 1 ChatRetrieved 检索了Microsoft Teams 聊天。
提取消息1 的所有托管内容 MessageHostedContentsListed 已检索消息中的所有托管内容,例如图像或代码片段。
已安装应用 AppInstalled 已安装应用。
对卡执行了操作 PerformedCardAction 用户对聊天中的自适应卡执行了操作。 自适应卡片通常由机器人用来允许在聊天中丰富地显示信息和交互。

注意:审核日志中仅提供对聊天中自适应卡的内联输入操作。 例如,当用户在由投票机器人生成的自适应卡的频道对话中提交投票响应时。 将打开对话框的用户操作(例如“查看结果”)或对话中的用户操作在审核日志中不可用。
已发布新消息 1、6、8 MessageSent 新消息已发布到聊天或频道。
已发布的应用 AppPublishedToCatalog 应用已添加到目录中。
阅读消息 1 MessageRead 检索了聊天或频道的消息。
读取消息 1 的托管内容 MessageHostedContentRead 已检索消息中的托管内容,例如图像或代码片段。
已从团队中删除自动程序 BotRemovedFromTeam 用户从团队中删除自动程序。
已删除连接器 ConnectorRemoved 用户从通道中删除连接器。
已删除的成员 8 MemberRemoved 团队所有者从团队、频道或群组聊天中删除成员。
已删除敏感度标签 SensitivityLabelRemoved 用户从 Teams 会议中删除了敏感度标签。
删除了团队频道 3 的共享 TerminatedSharing 团队或频道所有者禁用了共享频道的共享。
恢复了团队频道 3 的共享 SharingRestored 团队或频道所有者为共享频道重新启用共享。
已删除选项卡 TabRemoved 用户从频道中删除选项卡。
已响应共享频道 3 的邀请 InviteeResponded 用户响应了共享频道邀请。
响应了对共享频道 3 的被邀请者响应 ChannelOwnerResponded 频道所有者响应了响应共享频道邀请的用户的响应。
检索到的消息 1 MessagesListed 检索了来自聊天或频道的消息。
在 Teams 中使用 URL 链接发送了消息 MessageCreatedHasLink 用户在 Teams 中发送包含 URL 链接的消息。
发送消息创建更改通知 1 MessageCreatedNotification 已发送更改通知,通知订阅的侦听器应用程序收到新消息。
发送消息删除更改通知 1 MessageDeletedNotification 已发送更改通知,通知订阅的侦听器应用程序已删除的消息。
已发送消息更新 1 的更改通知 MessageUpdatedNotification 已发送更改通知,通知订阅的侦听器应用程序更新的消息。
已发送共享频道 3 邀请 InviteSent 频道所有者或成员向共享频道发送邀请。 如果频道策略配置为与外部用户共享频道,则可以向组织外部的人员发送共享频道邀请。
已订阅消息更改通知 1 SubscribedToMessages 订阅由侦听器应用程序创建,用于接收消息的更改通知。
卸载的应用 AppUninstalled 应用已卸载。
更新的应用 AppUpdatedInCatalog 已在目录中更新应用。
更新了聊天 1 ChatUpdated Teams 聊天已更新。
更新了消息 1 MessageUpdated 聊天或频道的消息已更新。
已更新连接器 ConnectorUpdated 用户修改了频道中的连接器。
已更新选项卡 TabUpdated 用户修改了频道中的选项卡。
已升级的应用 AppUpgraded 应用已升级到目录中的最新版本。
用户已登录到 Teams TeamsSessionStarted 用户登录到 Microsoft Teams 客户端。 此事件不会捕获令牌刷新活动。
已发布新消息 3,4,6,8 MessageSent 新消息已发布到聊天或频道。

注意

1 仅当通过调用 Microsoft 图形 API 来执行操作时,才会记录此事件的审核记录。 如果在 Teams 客户端中执行操作,则不会记录审核记录
2 此事件仅在审核 (Premium) 中可用。 这意味着必须先为用户分配相应的许可证,然后才能将这些事件记录到审核日志中。 有关仅在审核 (Premium) 中可用的活动的详细信息,请参阅 Microsoft Purview 中的审核 (Premium) 。 有关审核(高级版)许可要求,请参阅 Microsoft 365 中的审核解决方案
3 此事件以公共预览版提供。
4仅当存在来宾、联合用户和/或匿名用户时,才会为聊天生成此事件。
5 此事件目前在政府社区云 (GCC) 、政府社区云高 (GCC-High) 和国防部 (DoD) 组织中不可用。
6 此事件包含在联合聊天的所有参与租户中。
7 此事件包含 1:1 联合聊天的参与域信息。
8 此事件包含在由组织管理的外部 Teams 用户与非组织管理的外部 Teams 用户之间的所有聊天对话中。
9 此事件目前在政府社区云 (GCC) 中不可用,但在政府社区云高 (GCC-High) 和国防部 (DoD) 组织中可用。

Microsoft Teams 医疗保健活动

如果你的组织正在使用 Microsoft Teams 中的患者应用程序,你可以在审核日志中搜索与使用患者应用相关的活动。 如果你的环境配置为支持患者应用,则可在“活动”选择器列表中找到这些活动的附加活动组。

“活动”选取器列表中的 Microsoft Teams 医疗保健活动。

有关患者应用活动的说明,请参阅患者应用的审核日志

Microsoft Teams 班次活动

下表列出了 Microsoft 365 审核日志中记录的 Microsoft Teams 活动中的 Shift 应用。 如果你的组织正在使用 Microsoft Teams 中的“班次”应用,你可以在审核日志中搜索与使用“班次”应用相关的活动。 如果你的环境配置为支持“班次”应用,则可在“活动”选择器列表中找到这些活动的附加活动组。

友好名称 操作 说明
添加了计划组 ScheduleGroupAdded 用户已成功将新的计划组添加到计划。
已编辑的计划组 ScheduleGroupEdited 用户已成功编辑计划组。
已删除的计划组 ScheduleGroupDeleted 用户已成功从计划中删除计划组。
撤销计划 ScheduleWithdrawn 用户成功撤回已发布的计划。
添加了班次 ShiftAdded 用户成功添加班次。
已编辑的班次 ShiftEdited 用户已成功编辑班次。
已删除的班次 ShiftDeleted 用户成功删除了班次。
增加了休假时间 TimeOffAdded 用户已成功在计划上增加休假时间。
编辑的休假时间 TimeOffEdited 用户已成功编辑休假。
已删除休假 TimeOffDeleted 用户已成功删除休假。
添加了开放班次 OpenShiftAdded 用户已成功将打开的班次添加到计划组。
编辑的打开班次 OpenShiftEdited 用户成功编辑了计划组中的未完成的班次。
已删除的打开班次 OpenShiftDeleted 用户已成功从计划组中删除未完成的班次。
共享计划 ScheduleShared 用户已成功共享日期范围的团队计划。
使用 Time clock 打卡 ClockedIn 用户使用“时间时钟”成功打卡。
使用 Time clock 打卡出 ClockedOut 用户使用 Time clock 成功打卡。
使用时间时钟开始中断 BreakStarted 用户在活动时钟会话期间成功开始中断。
使用时钟结束中断 BreakEnded 用户在活动时钟会话期间成功结束中断。
添加了时钟条目 TimeClockEntryAdded 用户已成功在时间表上添加新的手动时钟条目。
已编辑的时钟条目 TimeClockEntryEdited 用户已成功编辑时间表上的时钟条目。
已删除的时钟条目 TimeClockEntryDeleted 用户成功删除了时间表上的时钟条目。
添加了排班请求 RequestAdded 用户添加了排班请求。
响应了班次请求 RequestRespondedTo 用户响应了排班请求。
已取消的排班请求 RequestCancelled 用户取消了排班请求。
更改了计划设置 ScheduleSettingChanged 用户更改排班设置中的设置。
添加了劳动力集成 WorkforceIntegrationAdded Shifts 应用与第三方系统集成。
接受的关闭班次消息 OffShiftDialogAccepted 用户确认下班消息,以在轮班时间后访问 Teams。

Microsoft Teams 汇报活动

下表列出了Microsoft 365 审核日志中记录的 Microsoft Teams 活动中汇报应用。 如果你的组织正在使用 Microsoft Teams 中的 汇报 应用,则可以使用 汇报 应用在审核日志中搜索与 相关的活动。 如果环境配置为支持汇报应用,活动选取器列表中提供了这些活动的其他活动组。

友好名称 操作 说明
创建更新请求 CreateUpdateRequest 用户成功创建更新请求。
编辑更新请求 EditUpdateRequest 用户打开请求编辑向导并选择“ 保存” 以确认并保存任何更改,或者直接启用或禁用更新请求。
提交更新 SubmitUpdate 用户成功提交更新。
查看一个更新的详细信息 ViewUpdate 用户查看更新的详细信息。

Microsoft要执行的操作活动

下表列出了Microsoft 365 审核日志中记录的 Microsoft To Do 中的活动。 有关Microsoft要完成的详细信息,请参阅 对Microsoft To Do 的支持

注意

Microsoft To Do 活动的审核事件需要付费Project 计划 1许可证 (或更高版本) ,以及相关的 Microsoft 365 许可证,其中包括审核 (Premium) 的权利。

友好名称 操作 说明
文件夹上的已接受共享链接 AcceptedSharingLinkOnFolder 文件夹的已接受共享链接。
已创建的附件 AttachmentCreated 已为任务创建附件。
附件已更新 AttachmentUpdated 附件已更新。
附件已删除 AttachmentDeleted 附件已删除。
文件夹共享链接共享 FolderSharingLinkShared 为文件夹创建了共享链接。
已删除链接实体 LinkedEntityDeleted 链接实体已删除。
已更新链接实体 LinkedEntityUpdated 已更新链接实体。
已创建链接实体 LinkedEntityCreated 已创建任务的链接实体。
已创建 SubTask SubTaskCreated 已创建子任务。
已删除 SubTask SubTaskDeleted 删除了子任务。
已更新子任务 SubTaskUpdated 已更新子任务。
已创建任务 TaskCreated 已创建任务。
已删除的任务 TaskDeleted 已删除任务。
任务读取 TaskRead 已读取任务。
任务已更新 TaskUpdated 任务已更新。
已创建 TaskList TaskListCreated 已创建任务列表。
TaskList 读取 TaskListRead 已读取任务列表。
已更新 TaskList TaskListUpdated 更新了任务列表。
用户已邀请 UserInvited 已邀请用户加入文件夹。

Microsoft Viva Insights活动

Viva Insights可深入了解组织之间的组协作方式。 下表列出了Viva Insights中分配有管理员角色或分析师角色的用户执行的活动。 分配有分析员角色的用户拥有对所有服务功能的完全访问权限,并且可使用产品进行分析。 分配有管理员角色的用户可以配置隐私设置和系统默认值,并且可以在 Viva Insights 中准备、上传和验证组织数据。 有关详细信息,请参阅Microsoft Viva Insights简介

友好名称 操作 说明
已访问 OData 链接 AccessedOdataLink 分析员已访问查询的 OData 链接。
添加了委托访问权限 AddDelegates 用户为组织见解或 Copilot 仪表板添加了委托访问权限。
已取消查询 CanceledQuery 分析员已取消正在运行的查询。
已创建会议排除 MeetingExclusionCreated 分析员已创建会议排除规则。
已删除结果 DeletedResult 分析员已删除查询结果。
已下载报告 DownloadedReport 分析员已下载查询结果文件。
已执行查询 ExecutedQuery 分析员已运行查询。
已删除委托访问权限 RemoveDelegates 用户删除了对组织见解或 Copilot 仪表板的委托访问权限。
已更新数据访问设置 UpdatedDataAccessSetting 管理员已更新数据访问设置。
已更新隐私设置 UpdatedPrivacySetting 管理员更新的隐私设置;例如,最小组大小。
已上传组织数据 UploadedOrgData 管理员已上传组织数据文件。
用户已登录* UserLoggedIn 已登录到其 Microsoft 365 用户帐户的用户。
用户已注销* UserLoggedOff 已注销其 Microsoft 365 用户帐户的用户。
已查看“探索”页 ViewedExplore 分析员在一个或多个“探索”页选项卡中查看了可视化。

注意

*用户登录时会创建Microsoft Entra登录和注销活动事件。 即使组织中未打开Viva Insights,也会记录此活动。 有关用户登录活动的详细信息,请参阅 Microsoft Entra ID 中的登录日志

个人见解活动

下表列出了Microsoft 365 审核日志中记录的个人见解中的活动。 有关个人见解的详细信息,请参阅个人见解管理员指南

友好名称 操作 说明
已更新组织 MyAnalytics 设置 UpdatedOrganizationMyAnalyticsSettings 管理员更新个人见解的组织级别设置。
已更新用户 MyAnalytics 设置 UpdatedUserMyAnalyticsSettings 管理员更新个人见解的用户设置。

隔离活动

下表列出了可在审核日志中搜索的隔离活动。 有关隔离的详细信息,请参阅隔离电子邮件

友好名称 操作 说明
已删除隔离邮件 QuarantineDeleteMessage 管理员或用户删除了被视为有害的电子邮件。
拒绝隔离邮件释放请求 QuarantineReleaseRequestDeny 管理员拒绝用户对被视为有害的电子邮件的释放请求。
已导出隔离邮件 QuarantineExport 管理员或用户导出了被视为有害的电子邮件。
已预览隔离邮件 QuarantinePreview 管理员或用户预览了被视为有害的电子邮件。
已发布隔离邮件 QuarantineRelease 管理员或用户从隔离区中释放了被视为有害的电子邮件。
释放请求隔离消息 QuarantineReleaseRequest 用户请求释放被视为有害的电子邮件。
已查看隔离邮件的标题 QuarantineViewHeader 管理员或用户查看了被视为有害的电子邮件的标头。

报告活动

下表列出了在 Microsoft 365 审核日志中记录的使用情况报告的活动。

友好名称 操作 说明
已更新使用情况报告的隐私设置 UpdateUsageReportsPrivacySetting 管理员更新了使用情况报告的隐私设置。

保留策略和保留标签活动

下表描述了在创建、重新配置或删除保留策略和保留标签时的配置活动。

友好名称 操作 说明
已更改自适应作用域成员身份 ApplicableAdaptiveScopeChange 用户、网站或组已添加到自适应范围或从自适应范围中删除。 这些更改是运行该作用域查询的结果。 由于更改是系统启动的,因此报告的用户显示为 GUID 而不是用户帐户。
保留策略的配置设置 NewRetentionComplianceRule 管理员已配置新保留策略的保留设置。 保留设置包括项目保留时长和保留期到期时对项目执行的操作(例如,删除项目、保留项目,或保留然后将其删除)。 此活动还对应于运行 RetentionComplianceRule cmdlet。
已创建自适应作用域 NewAdaptiveScope 管理员创建了自适应作用域。
已创建保留标签 NewComplianceTag 管理员已创建新的保留标签。
已创建保留策略 NewRetentionCompliancePolicy 管理员已创建新的保留策略。
已删除自适应作用域 RemoveAdaptiveScope 管理员删除了自适应作用域。
已从保留策略中删除设置 RemoveRetentionComplianceRule
管理员已删除保留策略的配置设置。 当管理员删除保留策略或运行 RetentionComplianceRule cmdlet 时,很可能会记录此活动。
已删除保留标签 RemoveComplianceTag 管理员已删除保留标签。
已删除保留策略 RemoveRetentionCompliancePolicy
管理员已删除保留策略。
已启用保留标签的合规性记录选项
SetRestrictiveRetentionUI 管理员已运行 RegulatoryComplianceUI cmdlet,以便随后可以选择保留标签的 UI 配置选项,将内容标记为合规性记录。
主动保留的电子邮件项 ExchangeDataProactivelyPreserved 自适应保护自动应用保留标签以在 Exchange 中保留项目。
主动保留的文件 SharePointDataProactivelyPreserved 自适应保护自动应用保留标签来保留 SharePoint 或 OneDrive 中的项目。
更新了自适应作用域 SetAdaptiveScope 管理员更改了现有自适应作用域的说明或查询。
已更新保留策略的设置 SetRetentionComplianceRule 管理员已更改现有保留策略的保留设置。 保留设置包括项目保留时长和保留期到期时对项目执行的操作(例如,删除项目、保留项目,或保留然后将其删除)。 此活动还对应于运行 Set-RetentionComplianceRule cmdlet。
已更新保留标签 SetComplianceTag 管理员已更新现有保留标签。
已更新保留策略 SetRetentionCompliancePolicy 管理员已更新现有保留策略。 触发此事件的更新包括添加或排除应用该保留策略的内容位置。

角色管理活动

下表列出了Microsoft Entra管理员在Microsoft 365 管理中心或 Azure 管理门户中管理管理员角色时记录的角色管理活动。

注意

下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。

友好名称 操作 说明
向角色添加成员 向角色添加成员。 已向 Microsoft 365 中的管理员角色添加用户。
已从目录角色删除用户 删除角色中的成员。 已从 Microsoft 365 中的管理员角色删除用户。
设置公司联系人信息 设置公司联系人信息。 已为你的组织更新公司级别联系人首选项。 这包括由 Microsoft 365 发送的订阅相关电子邮件的电子邮件地址,以及有关服务的技术通知。

敏感信息类型活动

下表描述了涉及创建和更新 敏感信息类型的活动的审核事件。

友好名称 操作 说明
创建了新的敏感信息类型 CreateRulePackage/EditRulePackage* 创建新的敏感信息类型。 这包括通过复制 现装的 SIT 创建的任何 SIT。

注意:此活动显示在审核活动“已创建规则包”或“已编辑的规则包”下。

已编辑敏感信息类型 EditRulePackage 已编辑现有的敏感信息类型。 这可以包括添加/删除模式以及编辑与敏感信息类型关联的正则表达式/关键字 (keyword) 等操作。

注意: 此活动显示在审核活动“已编辑的规则包”下。

删除了敏感信息类型 EditRulePackage/RemoveRulePackage 已删除现有的敏感信息类型。

注意: 此活动显示在审核活动“已编辑的规则包”或“已删除的规则包”下。

敏感度标签活动

下表列出了将 敏感度标签 与 Microsoft Purview 管理的网站和项目结合使用而导致的事件。 项目包括文档、电子邮件和日历事件。 对于自动标记策略,项还包括Microsoft Purview 数据映射中的文件和架构化数据资产。

友好名称 操作 说明
已向网站应用敏感度标签 SiteSensitivityLabelApplied 敏感度标签已应用于未与组连接的 SharePoint 网站或 Teams 网站。
已从网站中删除敏感度标签 SiteSensitivityLabelRemoved 敏感度标签已从未连接组的 SharePoint 网站或 Teams 网站中删除。
已向文件应用敏感度标签 FileSensitivityLabelApplied

SensitivityLabelApplied
使用 Microsoft 365 应用、Office 网页版或自动标记策略将敏感度标签应用于项目。

此活动的操作因标签的应用方式而异:
- Office 网页版或自动标记策略 (FileSensitivityLabelApplied)
- Microsoft 365 个应用 (SensitivityLabelApplied)
已更改应用于文件的敏感度标签 FileSensitivityLabelChanged

SensitivityLabelUpdated
对项应用了不同的敏感度标签。

此活动的操作因标签的更改方式而异:
- Office 网页版或自动标记策略 (FileSensitivityLabelChanged)
- Microsoft 365应用版 (SensitivityLabelUpdated)
已在网站上更改敏感度标签 SiteSensitivityLabelChanged 其他敏感度标签已应用于未连接组的 SharePoint 网站或 Teams 网站。
已从文件除敏感度标签 FileSensitivityLabelRemoved

SensitivityLabelRemoved
使用 Microsoft 365 应用、Office 网页版、自动标记策略或 Unlock-SPOSensitivityLabelEncryptedFile cmdlet 从项目中删除了敏感度标签。

此活动的操作因删除标签的方式而异:
- Office 网页版或自动标记策略 (FileSensitivityLabelRemoved)
- Microsoft 365 个应用 (SensitivityLabelRemoved)

敏感度标签的其他审核信息:

SharePoint 列表活动

下表介绍了当用户与 SharePoint Online 中的列表和列表项进行交互时执行的相关活动。 某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起操作的用户或管理员执行的活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户

友好名称 操作 说明
已创建列表 ListCreated 用户已创建 SharePoint 列表。
已创建列表列 ListColumnCreated 用户已创建 SharePoint 列表列。 列表列是指附加到一个或多个 SharePoint 列表的列。
已创建列表内容类型 ListContentTypeCreated 用户已创建列表内容类型。 列表内容类型是指附加到一个或多个 SharePoint 列表的内容类型。
已创建列表项 ListItemCreated 用户已在现有的 SharePoint 列表中创建项目。
已创建网站列 SiteColumnCreated 用户已创建 SharePoint 网站列。 网站列是指未附加到列表的列。 网站列还是一种可供给定 Web 中的任何列表使用的元数据结构。
已创建网站内容类型 Site ContentType Created 用户已创建网站内容类型。 网站内容类型是指附加到父网站的内容类型。
已删除列表 ListDeleted 用户已删除 SharePoint 列表。
已删除列表列 List Column Deleted 用户已删除 SharePoint 列表列。
已删除列表内容类型 ListContentTypeDeleted 用户已删除列表内容类型。
已删除列表项 List Item Deleted 用户已删除 SharePoint 列表项。
已删除网站列 SiteColumnDeleted 用户已删除 SharePoint 网站列。
已删除网站内容类型 SiteContentTypeDeleted 用户已删除网站内容类型。
已回收列表项 ListItemRecycled 用户已将 SharePoint 列表项移到回收站。
已还原列表 ListRestored 用户已从回收站还原 SharePoint 列表。
已还原列表项 ListItemRestored 用户已从回收站还原 SharePoint 列表项。
已更新列表 ListUpdated 用户通过修改一个或多个属性更新了 SharePoint 列表。
已更新列表列 ListColumnUpdated 用户通过修改一个或多个属性更新了 SharePoint 列表列。
已更新列表内容类型 ListContentTypeUpdated 用户通过修改一个或多个属性更新了列表内容类型。
已更新列表项 ListItemUpdated 用户通过修改一个或多个属性更新了 SharePoint 列表项。
更新的列表视图 ListViewUpdated 用户通过修改一个或多个属性来更新 SharePoint 列表视图。
已更新网站列 SiteColumnUpdated 用户通过修改一个或多个属性更新了 SharePoint 网站列。
已更新网站内容类型 SiteContentTypeUpdated 用户通过修改一个或多个属性更新了网站内容类型。

共享和访问请求活动

下表介绍了 SharePoint Online 和 OneDrive for Business 中的用户共享和访问请求活动。 对于共享事件,“结果”下的“详细信息”列标识了与之共享项目的用户名或组名以及该用户或组是否为组织中的成员或来宾。 有关详细信息,请参阅在审核日志中使用共享审核

注意

用户可以是 成员来宾 ,具体取决于用户对象的 UserType 属性。 通常,成员为员工,来宾则为组织外部的合作者。 用户接受共享邀请(而尚未成为你组织的一员)时,将在组织的目录中为其创建来宾帐户。 来宾用户在你的目录中拥有帐户后,即可与其直接共享资源(无需邀请)。

友好名称 操作 说明
已向网站集添加权限级别 PermissionLevelAdded 已向网站集添加权限级别。
已接受访问请求 AccessRequestAccepted 已接受对网站、文件夹或文档的访问请求,并已授予请求用户访问权限。
已接受共享邀请 SharingInvitationAccepted 用户(成员或来宾)接受共享邀请并被授予对资源的访问权限。 此事件包含受邀用户的信息以及用于接受邀请的电子邮件地址(可能有所不同)。 此活动通常伴有第二事件,描述向用户授予资源访问权限的方式,例如将用户添加到可以访问资源的组。
已阻止共享邀请 SharingInvitationBlocked 由于基于目标用户的域允许或拒绝外部共享的外部共享策略,已阻止组织中的用户发送的共享邀请。 在这种情况下,阻止共享邀请的原因如下:
允许的域列表中不包含目标用户的域。

目标用户的域包含在阻止的域列表中。
有关基于域允许或阻止外部共享的详细信息,请参阅 SharePoint Online 和 OneDrive for Business 中的受限域共享
已创建访问请求 AccessRequestCreated 用户请求访问其无权访问的网站、文件夹或文档。
已创建公司可共享链接 CompanyLinkCreated 用户已创建指向某资源的公司范围链接。 公司范围链接仅供组织内的成员使用。 来宾无法使用。
已创建匿名链接 AnonymousLinkCreated 用户创建了指向某资源的匿名链接。 拥有此链接的任何人均可访问资源,无需通过身份验证。
已创建安全链接 SecureLinkCreated 已为此项目创建安全共享链接。
已创建共享邀请 SharingInvitationCreated 用户与不在组织目录中的用户共享了 SharePoint Online 或 OneDrive for Business 中的资源。
已删除安全链接 SecureLinkDeleted 已删除安全共享链接。
已拒绝访问请求 AccessRequestDenied 对网站、文件夹或文档的访问请求被拒绝。
已删除公司可共享链接 CompanyLinkRemoved 用户删除了指向某资源的公司范围链接。 无法再使用该链接访问资源。
已删除匿名链接 AnonymousLinkRemoved 用户删除了指向某资源的匿名链接。 无法再使用该链接访问资源。
已共享文件、文件夹或网站 SharingSet 用户(成员或来宾)与组织目录中的用户共享了 SharePoint 或 OneDrive for Business 中的文件、文件夹或网站。 此活动的“详细信息”列中的值标识了与之共享资源的用户的名称以及该用户是成员还是来宾。

此活动通常伴有第二事件,描述向用户授予资源访问权限的方式。 例如将用户添加到可以访问资源的组。
已更新访问请求 AccessRequestUpdated 已更新项目的访问请求。
已更新匿名链接 AnonymousLinkUpdated 用户更新了指向某资源的匿名链接。 导出搜索结果时,EventData 属性中包括更新后的字段。
已更新共享邀请 SharingInvitationUpdated 已更新外部共享邀请。
已使用匿名链接 AnonymousLinkUsed 匿名用户使用匿名链接访问了资源。 用户身份可能未知,但你可以获得其他详细信息,例如用户的 IP 地址。
已取消共享文件、文件夹或网站 SharingRevoked 用户(成员或来宾)取消共享以前与其他用户共享的文件、文件夹或网站。
已使用公司可共享链接 CompanyLinkUsed 用户使用公司范围链接访问了资源。
已使用安全链接 SecureLinkUsed 用户已使用安全链接。
已将用户添加到安全链接 AddedToSecureLink 已将用户添加到可使用安全共享链接的实体列表中。
已从安全链接中删除用户 RemovedFromSecureLink 已从可使用安全共享链接的实体列表中删除用户。
已撤消共享邀请 SharingInvitationRevoked 用户撤消了针对某资源的共享邀请。

网站管理活动

下表列出了 SharePoint Online 中的网站管理任务所产生的事件。 如前所述,某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起操作的用户或管理员执行的活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

友好名称 操作 说明
已添加允许的数据位置 AllowedDataLocationAdded SharePoint 或全局管理员在多地理环境中添加了允许的数据位置。
已添加豁免用户代理 ExemptUserAgentSet SharePoint 或全局管理员向 SharePoint 管理中心的豁免用户代理列表添加了用户代理。
已添加地理位置管理员 GeoAdminAdded SharePoint 或全局管理员已将用户添加为地理位置管理员。
已允许用户创建组 AllowGroupCreationSet 网站管理员或所有者向网站添加权限级别,允许分配了该权限的用户为网站创建组。
已取消网站地域移动 SiteGeoMoveCancelled SharePoint 或全局管理员成功取消 SharePoint 或 OneDrive 网站地域移动。 Multi-Geo 功能可让一个组织跨越多个 Microsoft 数据中心地理位置(称之为“地理位置”)。 有关详细信息,请参阅 OneDrive 和 SharePoint Online 的 Multi-Geo 功能
已更改共享策略 SharingPolicyChanged SharePoint 或全局管理员通过使用 Microsoft 365 管理中心、SharePoint 管理中心或 SharePoint Online 命令行管理程序更改了 SharePoint 共享策略。 将记录对组织中的共享策略设置所做的任何更改。 已更改的策略在事件记录详细属性的 ModifiedProperties 字段中标识。
已更改设备访问策略 DeviceAccessPolicyChanged SharePoint 或全局管理员已更改组织的非托管设备策略。 此策略控制未加入组织的设备对 SharePoint、OneDrive 和 Microsoft 365 的访问权限。 配置此策略需要企业移动性 + 安全性订阅。 有关详细信息,请参阅控制非托管设备的访问
已更改豁免用户代理 CustomizeExemptUsers SharePoint 或全局管理员自定义 SharePoint 管理中心的豁免用户代理列表。 你可以指定免于接收要索引的整个网页的用户代理。 这意味着,当你指定为豁免的用户代理遇到 InfoPath 表单时,该表单将作为 XML 文件而不是整个网页返回。 这可以加速对 InfoPath 表单编制索引。
已更改网络访问策略 NetworkAccessPolicyChanged SharePoint 或全局管理员已通过 SharePoint 管理中心或 SharePoint Online PowerShell 更改基于位置的访问策略(也称为“受信任的网络边界”)。 这类策略基于指定的授权 IP 地址范围控制组织中的用户对 SharePoint 和 OneDrive 资源的访问权限。 有关详细信息,请参阅基于网络位置控制对 SharePoint Online 和 OneDrive 数据的访问权限
已完成的迁移作业 MigrationJobCompleted 迁移作业已成功完成。
已完成网站地域移动 SiteGeoMoveCompleted 组织中的全局管理员计划的网站地域移动已成功完成。 Multi-Geo 功能可让一个组织跨越多个 Microsoft 数据中心地理位置(称之为“地理位置”)。 有关详细信息,请参阅 OneDrive 和 SharePoint Online 的 Multi-Geo 功能
已创建“收件人​​”连接 SendToConnectionAdded SharePoint 或全局管理员在 SharePoint 管理中心中的“记录管理”页上创建新“发送至”连接。 “发送至”连接指定文档存储库或记录中心设置。 创建“收件人”连接时,内容管理器可以将文档提交到指定位置。
已创建网站集 SiteCollectionCreated SharePoint 或全局管理员在 SharePoint Online 组织中创建网站集,或者用户设置其 OneDrive for Business 网站。
已删除孤立中心网站 HubSiteOrphanHubDeleted SharePoint 或全局管理员已删除孤立中心网站,它是没有任何关联网站的中心网站。 孤立中心可能是由删除原始中心网站引起的。
已删除“收件人”连接 SendToConnectionRemoved SharePoint 或全局管理员在 SharePoint 管理中心的“记录管理”页上删除“发送至”连接。
已删除网站 SiteDeleted 网站管理员删除网站。
已启用文档预览 PreviewModeEnabledSet 网站管理员为网站启用文档预览。
已启用传统工作流 LegacyWorkflowEnabledSet 网站管理员或所有者向网站添加 SharePoint 2013 Workflow Task 内容类型。 全局管理员还可以在 SharePoint 管理中心中对整个组织启用工作流。
已启用 Office on Demand OfficeOnDemandSet 网站管理员启用 Office on Demand,允许用户访问最新版本的 Office 桌面应用程序。 SharePoint 管理中心启用了 Office on Demand,并需要包括全套已安装的 Office 应用程序的 Microsoft 365 订阅。
已启用人员搜索的结果来源 PeopleResultsScopeSet 网站管理员为网站创建人员搜索的结果来源。
已启用 RSS 源 NewsFeedEnabledSet 网站管理员或所有者为网站启用 RSS 源。 全局管理员可以在 SharePoint 管理中心中对整个组织启用 RSS 源。
已将网站加入到中心网站 HubSiteJoined 网站所有者将其网站与中心网站相关联。
修改的网站集配额 SiteCollectionQuotaModified 网站管理员修改网站集的配额。
注册中心网站 HubSiteRegistered SharePoint 或全局管理员创建中心网站。 结果是该网站已注册为中心网站。
已删除允许的数据位置 AllowedDataLocationDeleted SharePoint 或全局管理员在多地理环境中删除了允许的数据位置。
已删除地理位置管理员 GeoAdminDeleted SharePoint 或全局管理员已删除作为地理位置管理员的用户。
已重命名网站 SiteRenamed 网站管理员或所有者重命名网站
已计划网站地域移动 SiteGeoMoveScheduled SharePoint 或全局管理员成功计划 SharePoint 或 OneDrive 网站地域移动。 Multi-Geo 功能可让一个组织跨越多个 Microsoft 数据中心地理位置(称之为“地理位置”)。 有关详细信息,请参阅 OneDrive 和 SharePoint Online 的 Multi-Geo 功能
已设置主机网站 HostSiteSet SharePoint 或全局管理员更改了用于托管个人或 OneDrive for Business 网站的指定网站。
已为地理位置设置存储配额 GeoQuotaAllocated SharePoint 或全局管理员为多地理环境中的地理位置配置了存储配额。
已从中心网站脱离网站 HubSiteUnjoined 网站所有者解除其网站与中心网站的关联。
已注销中心网站 HubSiteUnregistered SharePoint 或全局管理员注销作为中心网站的网站。 如果已注销中心网站,则它将不再用作中心网站。

网站权限活动

下表列出了与在 SharePoint 中分配权限以及使用组授予(和撤销)网站访问权限相关的事件。 如前所述,某些 SharePoint 活动的审核记录指示app@sharepoint用户代表发起操作的用户或管理员执行的活动。 有关详细信息,请参阅审核记录中的 app@sharepoint 用户

友好名称 操作 说明
已添加网站集管理员 SiteCollectionAdminAdded 网站集管理员或所有者为网站添加了作为网站集管理员的人员。 网站集管理员具有网站集和所有子网站的完全控制权限。 当管理员(通过编辑 SharePoint 管理中心的用户配置文件或使用 Microsoft 365 管理中心)向自己授予对用户 OneDrive 帐户的访问权限时,也将记录此活动。
已向 SharePoint 组添加用户或组 AddedToGroup 用户向 SharePoint 组添加了成员或来宾。 这可能是目的性操作,也可能是其他活动(例如共享事件)的结果。
中断权限级别继承 PermissionLevelsInheritanceBroken 已更改项目,使其不再从父级继承权限级别。
中断共享继承 SharingInheritanceBroken 已更改项目,使其不再从父级继承共享权限。
已创建组 GroupAdded 网站管理员或所有者为网站创建组,或执行将导致创建组的任务。 例如,当用户首次创建共享文件的链接时,系统组会被添加到用户的 OneDrive for Business 网站中。 此事件也可以是用户使用编辑权限创建共享文件链接的结果。
已删除组 GroupRemoved 用户从网站删除组。
已修改访问请求设置 WebRequestAccessModified 已修改网站上的访问请求设置。
已修改“成员可共享”设置 WebMembersCanShareModified 已修改网站上的“成员可共享”设置。
已修改网站集的权限级别 PermissionLevelModified 已更改网站集的权限级别。
已修改网站权限 SitePermissionsModified 网站管理员或所有者(或系统帐户)更改分配给网站上的组的权限级别。 如果从组中删除所有权限,也将记录此活动。

注意:SharePoint Online 中已弃用此操作。 若要查找相关事件,可搜索其他权限相关的活动,例如已添加网站集管理员已向 SharePoint 组添加用户或组已允许用户创建组已创建组已删除组
已删除网站集的权限级别 PermissionLevelRemoved 已删除网站集的权限级别。
已删除网站集管理员 SiteCollectionAdminRemoved 网站集管理员或所有者为网站删除了作为网站集管理员的人员。 当管理员(通过在 SharePoint 管理中心编辑用户配置文件)从用户 OneDrive 帐户的网站集管理员列表中删除自己时,也会记录此活动。 若要在审核日志搜索结果中返回此活动,必须搜索所有活动。
已从 SharePoint 组中删除用户或组 RemovedFromGroup 用户已从 SharePoint 组中删除成员或来宾。 这可能是一项目的性操作,也可能是其他活动(例如取消共享事件)的结果。
已请求网站管理员权限 SiteAdminChangeRequest 用户请求将自己添加为网站集的网站集管理员。 网站集管理员具有网站集和所有子网站的完全控制权限。
已还原共享继承 SharingInheritanceReset 已进行更改,使项目能够从父级继承共享权限。
已更新组 GroupUpdated 网站管理员或所有者为网站更改组设置。 这可能包括更改组名、可以查看或编辑组成员身份的人员,以及成员身份请求的处理方式。

同步活动

下表列出了 SharePoint Online 和 OneDrive for Business 中的文件同步活动。

友好名称 操作 说明
已允许计算机同步文件 ManagedSyncClientAllowed 用户成功建立与网站的同步关系。 同步关系之所以成功,是因为用户计算机是添加到域列表(称为安全收件人列表)的域成员,可以访问组织中的文档库。

有关此功能的详细信息,请参阅使用 PowerShell cmdlet 为安全收件人列表中的域启用 OneDrive 同步
已阻止计算机同步文件 UnmanagedSyncClientBlocked 用户尝试与计算机中的网站建立同步关系,该计算机不是组织域的成员,或者是尚未添加到域列表中的域的成员, (称为安全 收件人列表) 可以访问组织中的文档库。 不允许同步关系,并且阻止用户的计算机同步、下载或上传文档库中的文件。

有关此功能的信息,请参阅 使用 Windows PowerShell cmdlet 为安全收件人列表中的域启用 OneDrive 同步
已将文件下载到计算机 FileSyncDownloadedFull 用户使用 OneDrive 同步应用 (OneDrive.exe) 从 SharePoint 文档库或 OneDrive for Business 将文件下载到计算机。
已将文件更改下载到计算机 FileSyncDownloadedPartial 此事件已与旧的 OneDrive for Business 同步应用 (Groove.exe) 一起弃用。
已将文件上传到文档库 FileSyncUploadedFull 用户使用 OneDrive 同步应用 (OneDrive.exe) 上传新文件或将更改上传到 SharePoint 文档库或 OneDrive for Business 中的文件。
已将文件更改上传到文档库 FileSyncUploadedPartial 此事件已与旧的 OneDrive for Business 同步应用 (Groove.exe) 一起弃用。

SystemSync 活动

下表列出了在 Microsoft 365 审核日志中记录的 SystemSync 活动。

友好名称 操作 说明
已创建数据共享 DataShareCreated 当用户创建数据导出时。
已删除数据共享 DataShareDeleted 当用户删除数据导出时。
生成数据湖数据的副本 GenerateCopyOfLakeData 生成 数据湖数据的副本时。
下载数据湖数据的副本 DownloadCopyOfLakeData 下载数据湖数据的副本时。

用户管理活动

下表列出了管理员使用通过使用 Microsoft 365 管理中心 或 Azure 管理门户添加或更改用户帐户时记录的用户管理活动。

注意

下表中“操作” 中列出的操作名称包含一个周期 ( . )。 如果在 PowerShell 命令中搜索审核日志、创建审核保留策略、创建警报策略或创建活动警报时,您必须在操作名称中包括该期限。 另请确保使用双引号 (" ") 来包含操作名称。

活动 操作 说明
已添加用户 添加用户。 已创建用户帐户。
已更改用户许可证 更改用户许可证。 分配给用户的许可证有所更改。 若要查看已更改的许可证,请参阅相应的“已更新用户”活动。
已更改用户密码 更改用户密码。 用户更改了自己的密码。 必须为组织中的所有用户或选定的用户启用自助密码重置,以允许用户重置其密码。 还可以在 Microsoft Entra ID 中跟踪自助密码重置活动。 有关详细信息,请参阅用于Microsoft Entra密码管理的报告选项
已删除用户 删除用户。 已删除用户帐户。
重置用户密码 重置用户密码。 管理员重置了用户的密码。
已设置强制用户更改密码的属性 设置强制更改用户密码。 管理员设置了强制用户在下次登录到 Microsoft 365 时更改密码的属性。
设置许可证属性 设置许可证属性。 管理员修改分配给用户的许可证属性。
已更新用户 更新用户。 管理员更改用户帐户的一个或多个属性。 有关可更新的用户属性列表,请参阅Microsoft Entra审核报告事件中的“更新用户属性”部分。

Viva Goals活动

下表列出了记录用于审核的 Viva Goals 中的用户和管理员活动。 表包括“活动”列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应操作的名称。

搜索审核日志 详细介绍了如何从 Microsoft Purview 门户和合规性门户搜索审核日志。 用户必须是全局管理员或具有审核读取权限才能访问审核日志。 可以使用“活动”筛选器搜索特定活动,并列出可在“记录类型”筛选器中选择“VivaGoals”的所有Viva Goals活动。 还可以使用日期范围框和用户列表进一步缩小搜索结果范围。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

友好名称 操作 说明
已创建组织 已创建组织 管理员或用户在 Viva Goals 上创建了一个新组织。
已添加用户 已添加用户 已在 Viva Goals 上将新用户添加到组织。
用户已停用 用户已停用 用户已在组织中停用。
用户已删除 用户已删除 已在 Viva Goals 上从组织中删除用户。
用户已登录 用户已登录 用户已登录到 Viva Goals。
已添加团队 已添加团队 已在Viva Goals的组织中创建了一个新团队。
团队已更新 团队已更新 组织内Viva Goals团队已修改或更新。
已删除团队 已删除团队 用户删除了组织内Viva Goals团队。
导出的数据 导出的数据 用户在Viva Goals上导出了 OKR 列表或组织中的用户列表。
已更新Goals策略 已更新Goals策略 全局管理员已在Viva Goals上修改了租户级别的策略或设置。 例如,全局管理员已配置谁可以在Viva Goals上创建组织。
已更新组织设置 已更新组织设置 用户 (通常为组织所有者或管理员,) 更新了Viva Goals上的组织特定设置。
组织集成已更新 组织集成已更新 用户通常 (组织所有者或管理员) 已在Viva Goals上为组织配置了第三方集成或更新了现有的第三方集成。
OKR 或项目已创建 OKR 或项目已创建 用户已在 Viva Goals 上创建了 OKR 或项目。
OKR 或项目已更新 OKR 或项目已更新 已修改 OKR/Project,或者用户已进行检查或Viva Goals上的集成。
OKR 或项目已删除 OKR 或项目已删除 用户已删除 OKR 或项目。
已创建仪表板 已创建仪表板 用户在 Viva Goals 上创建了一个新仪表板
仪表板已更新 仪表板已更新 用户已更新Viva Goals上的仪表板
已删除仪表板 已删除仪表板 用户已删除Viva Goals上的仪表板。

Viva Engage活动

下表列出了审核日志中记录Viva Engage中的用户和管理员活动。 若要从审核日志返回与Viva Engage相关的活动,必须在“活动”列表中选择“显示所有活动的结果”。 使用日期范围框和“用户”列表,缩小搜索结果的范围。

注意

某些Viva Engage审核活动仅在审核 (高级版) 中可用。 这意味着在审核日志中记录这些活动之前,必须为用户分配适当的许可证。 有关详细信息,请参阅 审核 (Premium) 。 有关审核(高级版)许可要求,请参阅 Microsoft 365 中的审核解决方案

在下表中,审核(高级版)活动用星号 (*) 突出显示。

友好名称 操作 说明
已更改数据保留策略 SoftDeleteSettingsUpdated 验证管理员将网络数据保留策略的设置更新为了硬删除或软删除。 仅验证管理员可以执行此操作。
已更改网络配置 NetworkConfigurationUpdated 网络或已验证的管理员更改Viva Engage网络配置。 其中包括设置了导出数据和启用聊天室的时间间隔。
已更改网络配置文件设置 ProcessProfileFields 网络或验证管理员更改了网络用户网络的成员配置文件上显示的信息。
已更改私密内容模式 SupervisorAdminToggled 已验证管理员打开或关闭 专用内容模式 。 此模式使管理员能够在专用组中查看公告并可在个人用户(或用户组)之间查看私人消息。 只有验证管理员可执行此操作。
已更改安全配置 NetworkSecurityConfigurationUpdated 已验证管理员更新Viva Engage网络的安全配置。 其中包括设置了密码过期策略和 IP 地址限制。 仅验证管理员可以执行此操作。
已创建文件 FileCreated 用户上传了文件。
已创建组 GroupCreation 用户创建组。
已创建消息 MessageCreation 用户创建消息。
已删除组 GroupDeletion 将从 Viva Engage 中删除组。
已删除消息 MessageDeleted 用户删除了消息。
已下载的文件 FileDownloaded 用户下载了文件。
已导出数据 DataExport 已验证管理员导出Viva Engage网络数据。 仅验证管理员可以执行此操作。
无法访问社区 CommunityAccessFailure 用户无法访问社区。
无法访问文件 FileAccessFailure 用户无法访问文件。
无法访问消息 MessageAccessFailure 用户无法访问消息。
对消息做出反应 MarkedMessageChanged 用户对消息做出反应。
删除特选主题* RemoveCuratedTopic 用户删除特选主题。
已共享文件 FileShared 用户与其他用户共享了文件。
已挂起网络用户 NetworkUserSuspended 网络管理员或已验证管理员暂停 (从Viva Engage停用) 用户。
已挂起用户 UserSuspension 挂起(停用)了用户帐户。
已更新文件说明 FileUpdateDescription 用户更改了文件说明。
已更新文件名 FileUpdateName 用户更改了文件名。
已更新邮件 MessageUpdated 用户更新了消息。
已查看文件 FileVisited 用户查看了文件。
已查看邮件 MessageViewed 用户查看了消息。

Viva Pulse 活动

下表列出了 Viva Pulse 中记录以供审核的用户和管理员活动。 表包括“活动”列中显示的友好名称,以及导出搜索结果时显示在审核记录详细信息和 CSV 文件中的相应操作的名称。

搜索审核日志 详细介绍了如何从 Microsoft Purview 门户和合规性门户搜索审核日志。 用户必须是全局管理员或具有审核读取权限才能访问审核日志。 可以使用“活动”筛选器搜索特定活动,并列出所有Viva Pulse 活动,可以在“记录类型”筛选器中选择 VivaPulse。 还可以使用日期范围框和用户列表进一步缩小搜索结果范围。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

友好名称 操作 说明
用户提交了对脉冲调查的响应 PulseSubmit 管理员或用户为Viva Pulse 反馈请求提供了反馈。
用户创建了 Pulse 调查 PulseCreate 创建新的Viva Pulse 反馈请求。
用户延长了其脉冲调查截止时间 PulseExtendDeadline 延长了现有Viva Pulse 反馈请求的最后期限。
用户邀请其他用户加入 Pulse 调查 PulseInvite 邀请其他用户访问现有的 Viva Pulse 反馈请求。
用户取消了 Pulse 调查 PulseCancel 用户取消了 Pulse 调查。
用户共享了脉冲报告 PulseShareResults Viva Pulse 反馈结果已与用户共享。
用户创建了 Pulse 草稿 PulseCreateDraft 用户创建了 Pulse 草稿。
用户删除了 Pulse 草稿 PulseDeleteDraft 用户删除了 Pulse 草稿。
管理员删除了用户的数据 PulseDeleteUserData 管理员删除了用户的数据。
管理员更新的租户设置 PulseTenantSettingsUpdate 管理员更新了 Viva Pulse 的组织设置。

Windows 365客户密码箱活动

下表列出了在审核日志中记录Windows 365客户密码箱中的用户和管理员活动。 若要从审核日志中返回Windows 365客户密码箱相关活动,请在“记录类型”下选择“Windows365CustomerLockbox”。 使用日期范围框和“用户”列表,缩小搜索结果的范围。

友好名称 操作 说明
触发设备修正 触发设备修正 触发设备修正。
将文件夹上传到 Blob 将文件夹上传到 Blob 压缩客户设备的文件夹并将其上传到 Blob。
检查 PowerShell 执行策略 检查 PowerShell 执行策略 检查 PowerShell 执行策略。
安装 RD 代理 安装 RD 代理 在用户的设备上安装 RD 代理。
运行混合 AADJ 扩展 运行混合 AADJ 扩展 在用户的设备上运行混合 AADJ 扩展。
创建 VmExtension 请求 创建 VmExtention 请求 创建 VM 扩展请求以执行 VM 扩展,以在客户设备上运行自定义脚本。
触发器业务流程协调程序 触发器业务流程协调程序 为用户触发业务流程协调程序。
通过 SaaF 触发泛型操作 通过 SaaF 触发泛型操作 触发设备操作 (用户重定向、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) 。
触发泛型操作 触发泛型操作 触发用户的设备操作。
使用选项触发泛型操作 使用选项触发泛型操作 使用选项参数触发设备操作,比触发器泛型操作的功能更强大。
(计划程序) 创建新的工作项 (计划程序) 创建新的工作项 创建新的工作项,例如,预配、取消预配、重新预配等。
远程操作后操作 远程操作后操作 发布远程操作,以及通过 GetActions 操作轮询结果。
VM 上的 OCE 运行命令 VM 上的 OCE 运行命令 按 tenantID、deviceID 列表和脚本运行命令。
创建 LogCollection 请求 创建 LogCollection 请求 创建对云电脑的日志收集请求。
触发 CMD 代理 Canary 检查。 触发 CMD 代理 Canary 检查。 在特定设备上触发 CMD 代理 Canary 检查。
执行 AppHealthPlugin 执行 AppHealthPlugin 执行 AppHealthPlugin。
回填 CMD 代理 AddDevicesToBackfill 操作 在云电脑上回填 CMD 代理。
重新安装 CMD 代理 AddDevicesToReinstall 操作 按需重新安装 CMD 代理。
批量重新安装 CMD 代理 TriggerClientAgentCheckBulkAction 操作 按需批量重新安装 CMD 代理。
在 ActionModeratorService 中创建远程操作操作 在 ActionModeratorService 中创建远程操作操作 按 tenantID、workspaceID、actionType、actionParameters 创建远程操作。