稽核記錄活動
本文中的表格說明在 Microsoft 365 中稽核的活動。 您可以在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中搜尋稽核記錄,以搜尋這些活動。
這些表格會將相關或來自特定服務的活動集合成一個群組。 這些數據表包含 [ 活動 ] 下拉式清單中顯示的易記名稱, (或 PowerShell) 中可用的名稱,以及當您匯出搜尋結果時,出現在稽核記錄和 CSV 檔案詳細資訊中的對應作業名稱。 如需詳細資訊的描述,請參閱 稽核記錄詳細屬性。
提示
在本文頂端的 本文清單中 選取其中一個連結,以直接移至特定產品數據表。
應用程式管理活動
下表列出當系統管理員新增或變更在 Microsoft Entra ID 中註冊的應用程式時所記錄的應用程式系統管理員活動。 任何依賴 Microsoft Entra ID 進行驗證的應用程式都必須在目錄中註冊。
注意事項
下表的 [作業] 欄中所列的作業名稱包含一個句點 (.
)。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" "
) 來含括作業名稱。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增委派項目 | 新增委派項目。 | 已建立驗證許可權/授與 Microsoft Entra ID 中的應用程式。 |
已新增服務主體 | 新增服務主體。 | 應用程式已在 Microsoft Entra ID 中註冊。 應用程式在目錄中是由服務主體代表。 |
已新增認證至服務主體 | 新增服務主體認證。 | 認證已新增至 Microsoft Entra ID 中的服務主體。 服務主體代表目錄中的應用程式。 |
已移除委派項目 | 移除委派項目。 | 已從 Microsoft Entra ID 中的應用程式移除驗證許可權。 |
已移除目錄中的服務主體 | 移除服務主體。 | 應用程式已從 Microsoft Entra ID 刪除/取消註冊。 應用程式在目錄中是由服務主體代表。 |
已移除服務主體中的認證 | 移除服務主體認證。 | 認證已從 Microsoft Entra ID的服務主體中移除。 服務主體代表目錄中的應用程式。 |
設定委派項目 | 設定委派項目。 | 已在 Microsoft Entra ID 中更新應用程式的驗證許可權。 |
簡報電子郵件活動
下表列出 Microsoft 365 稽核記錄檔中記錄的簡報電子郵件活動。 如需有關如何簡報電子郵件的詳細資訊,請參閱:
易記名稱 | 作業 | 描述 |
---|---|---|
更新的組織隱私權設定 | UpdatedOrganizationBriefingSettings | 系統管理員會更新簡報電子郵件的組織隱私權設定。 |
更新的使用者隱私權設定 | UpdatedUserBriefingSettings | 系統管理員會更新簡報電子郵件的使用者隱私權設定。 |
通訊合規性活動
下表列出 Microsoft 365 稽核記錄中記錄的通訊合規性活動。 如需詳細資訊,請參閱瞭解 Microsoft Purview 通訊合規性。
注意事項
使用 Search-UnifiedAuditLog PowerShell Cmdlet 時,可以使用這些活動。 這些活動無法在 [ 活動 ] 下拉式清單中使用。
易記名稱 | 作業 | 描述 |
---|---|---|
原則更新 | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | 通訊合規性系統管理員已執行原則更新。 |
原則相符項目 | SupervisionRuleMatch | 使用者已傳送符合原則條件的郵件。 |
已套用至郵件的標記 | SupervisoryReviewTag | 標記會套用到郵件或郵件已解決。 |
合規性管理員活動
下表列出系統管理員在合規性管理員中管理設定時所記錄的作業和活動。 如需詳細資訊,請 參閱瞭解合規性管理員。
易記名稱 | 作業 | 描述 |
---|---|---|
角色變更 | ComplianceManagerRolesChange | 系統管理員已變更使用者的角色。 |
租使用者自動化層級變更 | ComplianceManagerAutomationLevelChange | 系統管理員已在所有動作中變更租使用者的自動化層級。 |
測試來源自動化變更 | ComplianceManagerAutomationChange | 系統管理員已變更測試來源自動化設定。 |
內容總管活動
下表列出稽核記錄中記錄的內容總管活動。 內容總管,可在 Microsoft Purview 入口網站和合規性入口網站的數據分類工具上存取。 如需詳細資訊,請參閱使用資料分類內容總管。
易記名稱 | 作業 | 描述 |
---|---|---|
已存取的項目 | LabelContentExplorerAccessedItem | 系統管理員 (或身為內容總管內容檢視器角色群組成員的使用者) 可使用內容總管來檢視電子郵件訊息或 SharePoint/OneDrive 文件。 |
Copilot 活動
下表列出稽核記錄中記錄 Microsoft 365 Copilot 和 Microsoft Copilot 的活動。 可跨Microsoft服務存取 Copilot。 活動包括使用者與 Copilot 互動的方式和時機。 這包括活動發生的Microsoft服務,以及互動期間所存取檔案的參考。 如需 Copilot 互動事件和架構範例的詳細資訊,請參閱 Copilot 互動事件概觀。
若要在互動期間從使用者的提示中存取文字,請參閱適用於 AI 的數據安全性狀態管理中的內容 搜尋 或從活動總管檢視 AI 互動 事件。
如需有關 Copilot 稽核和其他合規性管理選項的詳細資訊, 請參閱 Microsoft Purview 支援 Copilot 的合規性管理。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立新的 Copilot 外掛程式 | CreateCopilotPlugin | 使用者 (或系統管理員或系統代表使用者) 建立新的 Copilot 外掛程式。 |
已建立新的 Copilot 提示書 | CreateCopilotPromptBook | 使用者 (或系統管理員或系統代表使用者) 在 Copilot 中建立新的提示簿。 |
已刪除 Copilot 外掛程式 | DeleteCopilotPlugin | 使用者 (或系統管理員或系統代表使用者) 刪除 Copilot 外掛程式。 |
已刪除 Copilot 提示書 | DeleteCopilotPromptBook | 使用者 (或系統管理員或系統代表使用者) 刪除 Copilot 提示書。 |
停用 Copilot 外掛程式 | DisableCopilotPlugin | 使用者 (或系統管理員或系統代表) 停用 Copilot 外掛程式的使用者。 |
停用 Copilot 提示書 | DisableCopilotPromptBook | 使用者代表使用者 (或系統管理員或系統) 停用 Copilot 提示書。 |
啟用 Copilot 外掛程式 | EnableCopilotPlugin | 使用者代表) 啟用 Copilot 外掛程式的使用者 (或系統管理員或系統。 |
啟用 Copilot 提示書 | EnableCopilotPromptBook | 使用者 (或系統管理員或系統代表使用者) 啟用 Copilot 提示書。 |
與 Copilot 互動 | CopilotInteraction | 使用者 (或系統管理員或系統代表使用者) 在 Copilot 中輸入提示。 |
已更新 Copilot 外掛程式設定 | UpdateCopilotPlugin | 使用者 (或系統管理員或系統代表使用者) 更新 Copilot 外掛程式設定。 |
已更新 Copilot 提示簿設定 | UpdateCopilotPromptBook | 使用者 (或系統管理員或系統代表使用者) 更新 Copilot 提示簿設定。 |
已更新 Copilot 設定 | UpdateCopilotSettings | 系統管理員 (或系統代表系統管理員) 已更新 Copilot 設定。 |
目錄管理活動
下表列出當系統管理員在 Microsoft 365 系統管理中心 或 Azure 管理入口網站中管理其組織時所記錄的 Microsoft Entra 目錄和網域相關活動。
注意事項
下表的 [作業] 欄中所列的作業名稱包含一個句點 (.
)。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" "
) 來含括作業名稱。
易記名稱 | 作業 | 描述 |
---|---|---|
已將網域新增至公司 | 將網域新增至公司。 | 已將網域新增至您的組織。 |
已將合作夥伴新增至目錄 | 將合作夥伴新增至公司。 | 已將合作夥伴 (委派系統管理員) 新增至您的組織。 |
已從公司中移除網域 | 移除公司的網域。 | 已從您的組織中移除網域。 |
已從目錄中移除合作夥伴 | 移除公司的合作夥伴。 | 已從您的組織中移除合作夥伴 (委派系統管理員)。 |
已設定公司資訊 | 設定公司資訊。 | 已更新您的組織的公司資訊。 包含 Microsoft 365 所傳送訂用帳戶相關電子郵件的電子郵件位址,以及有關Microsoft 365 服務的技術通知。 |
設定網域驗證 | 設定網域驗證。 | 已變更您的組織之網域驗證設定。 |
已更新網域的同盟設定 | 設定網域上的同盟設定。 | 已變更您的組織之同盟 (外部共用) 設定。 |
已設定密碼原則 | 設定密碼原則。 | 已變更您的組織中使用者密碼的長度和字元限制。 |
已開啟 Azure AD 同步 | 設定 DirSyncEnabled 旗標。 | 設定可為 Azure AD 同步啟用目錄的屬性。 |
已更新網域 | 更新網域。 | 已更新您的組織中的網域設定。 |
已驗證網域 | 驗證網域。 | 已驗證貴組織是網域的擁有者。 |
已驗證電子郵件已驗證網域 | 驗證電子郵件已驗證的網域。 | 使用電子郵件驗證來驗證貴組織是否為網域的擁有者。 |
處置檢閱活動
下表列出 處置檢閱者 在項目達到設定的保留期間結束時所採取的活動,或專案已自動移至下一個處置階段,或因為 自動核准而永久刪除。
易記名稱 | 作業 | 描述 |
---|---|---|
已核准的處理 | ApproveDisposal | 手動核准:處置檢閱者已核准項目的處置,以將其移至下一個處置階段。 如果項目是在處置檢閱的唯一或最後階段,處置核准會標示項目符合永久刪除資格。 針對自動核准:在設定的自動核准期間內未採取任何手動動作,因此專案會自動移至下一個處置階段。 如果專案處於處置檢閱的唯一或最後一個階段,該專案就會自動變成永久刪除的資格。 |
延長保留期間 | ExtendRetention | 處置檢閱者延長項目的保留期間。 |
重新標記的項目 | RelabelItem | 處置檢閱者會重新標記保留標籤。 |
已新增檢閱者 | AddReviewer | 處置檢閱者將一或多個其他使用者新增至目前的處置檢閱階段。 |
電子文件探索活動
內容搜尋和電子檔探索相關活動 (Microsoft Purview 入口網站中執行的 Microsoft Purview 電子文件探索 (Standard) 和 Microsoft Purview 電子文件探索 (Premium) ) Microsoft Purview 合規性入口網站或藉由執行對應的PowerShell Cmdlet會記錄在稽核記錄中。 當系統管理員或電子檔探索管理員 (或任何使用者指派的電子檔探索許可權) 在入口網站中執行下列內容搜尋和電子檔探索 (Standard) 工作時,就會記錄事件:
- 建立和管理電子檔探索 (Standard) 和電子檔探索 (進階) 案例。
- 建立、啟動和編輯內容搜尋。
- 執行搜尋動作,例如預覽、匯出和刪除搜尋結果。
- 在 eDiscovery (Premium) 中管理監管人和檢閱集。
- 設定內容搜尋的許可權篩選。
- 管理電子檔案探索系統管理員角色。
如需搜尋稽核記錄、所需許可權及導出搜尋結果的詳細資訊,請參閱 搜尋稽核記錄。
注意事項
從電子檔探索活動和電子檔探索 ([進階] 下拉式清單中列出的活動,最多需要 30 分鐘的時間,才能在搜尋結果中顯示 [活動] 下拉式清單中的 [進階) 活動]。 相反地,系統需要 24 小時才能在搜尋結果中顯示電子文件探索 Cmdlet 活動的對應事件。
內容搜尋和電子檔探索 (Standard) 活動
下表說明內容搜尋和電子檔探索 (Standard) 活動,這些活動是在系統管理員或電子檔探索管理員使用合規性入口網站執行電子檔探索相關活動時所記錄。 當您在此清單中搜尋活動時,可能會傳回在 eDiscovery (Premium) 中執行的某些活動。
注意事項
本節所述的電子檔探索活動提供類似下一節所述的電子檔探索 Cmdlet 活動資訊。 建議您使用本節所述的電子檔探索活動,因為它們會在 30 分鐘內出現在稽核記錄搜尋結果中。 電子檔探索 Cmdlet 活動最多可能需要 24 小時才會出現在稽核記錄搜尋結果中。
易記名稱 | 作業 | 對應的 Cmdlet | 描述 |
---|---|---|---|
已將成員新增至電子檔探索案例 |
CaseMemberAdded |
Add-ComplianceCaseMember |
使用者已新增為電子檔探索案例的成員。 身為案例的成員,用戶可以根據是否獲指派必要的許可權來執行各種案例相關工作。 |
已變更內容搜尋 |
SearchUpdated |
Set-ComplianceSearch |
現有的內容搜尋已變更。 變更可能包括新增或移除內容位置,或編輯搜尋查詢。 |
已變更電子檔探索系統管理員成員資格 |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
您組織中的電子檔案探索系統管理員清單已變更。 當電子檔探索系統管理員清單取代為一組新使用者時,就會記錄此活動。 如果新增或移除單一使用者,則會記錄 CaseAdminAdded 作業。 |
已變更電子檔探索案例 |
CaseUpdated |
Set-ComplianceCase |
電子檔探索案例已變更。 變更包括關閉開啟的大小寫或重新開啟已關閉的案例。 |
已變更電子檔探索案例成員資格 |
CaseMemberUpdated |
Update-ComplianceCaseMember |
電子檔探索案例的成員資格清單已變更。 當所有成員都以新使用者群組取代時,就會記錄此活動。 如果新增或移除單一成員,則會記錄 CaseMemberAdded 或 CaseMemberRemoved 作業。 |
已變更搜尋許可權篩選 |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
搜尋許可權篩選已變更。 |
已變更電子檔探索案例保留的搜尋查詢 |
HoldUpdated |
Set-CaseHoldRule |
已變更與電子檔探索案例相關聯的查詢式保留。 可能的變更包括編輯查詢架構保留的查詢或日期範圍。 |
下載的內容搜尋預覽專案 |
PreviewItemDownloaded |
不適用 |
使用者在預覽搜尋結果時選取 [ 下載原始專案 ] 連結) ,將專案下載到其本機計算機 (。 |
列出的內容搜尋預覽專案 |
PreviewItemListed |
不適用 |
用戶選取 [預覽搜尋結果 ] 以顯示預覽搜尋結果頁面,其中列出搜尋結果中最多 1,000 個專案。 |
已建立內容搜尋 |
SearchCreated |
New-ComplianceSearch |
已建立新的內容搜尋。 |
已建立電子檔探索系統管理員 |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
已將使用者新增為組織中的電子檔探索系統管理員。 |
已建立電子檔探索案例 |
CaseAdded |
New-ComplianceCase |
已建立電子檔探索案例。 建立案例時,您只需要為其命名。 其他與案例相關的工作,例如新增成員、建立保留,以及建立與案例相關聯的內容搜尋,會導致記錄其他事件。 |
已建立搜尋許可權篩選 |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
已建立搜尋許可權篩選。 |
已建立電子檔探索案例保留的搜尋查詢 |
HoldCreated |
New-CaseHoldRule |
已建立與電子檔探索案例相關聯的查詢式保留。 |
已刪除的內容搜尋 |
SearchRemoved |
Remove-ComplianceSearch |
已刪除現有的內容搜尋。 |
已刪除電子檔案探索系統管理員 |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
已從您的組織中刪除電子檔案探索系統管理員。 |
已刪除電子檔探索案例 |
CaseRemoved |
Remove-ComplianceCase |
已刪除電子檔探索案例。 必須先移除與案例相關聯的任何保留,才能刪除案例。 |
已刪除的搜尋許可權篩選 |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
搜尋許可權篩選已刪除。 |
已刪除電子檔探索案例保留的搜尋查詢 |
HoldRemoved |
Remove-CaseHoldRule |
已刪除與電子檔探索案例相關聯的查詢式保留。 從保留中移除查詢通常是刪除保留的結果。 刪除保留或保留查詢時,會釋放保留中的內容位置。 |
下載的內容搜尋導出 |
SearchExportDownloaded |
不適用 |
使用者已將內容搜尋的結果下載到其本機計算機。 必須先 起始開始導出內容搜尋 活動,才能下載搜尋結果。 |
內容搜尋的預覽結果 |
SearchPreviewed |
不適用 |
用戶已預覽內容搜尋的結果。 |
內容搜尋的清除結果 |
SearchResultsPurged |
New-ComplianceSearchAction |
用戶執行 New-ComplianceSearchAction -Purge 命令來清除內容搜尋的結果。 |
已移除內容搜尋的分析 |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
內容搜尋準備動作 (,以準備刪除進階) ) (電子檔探索的搜尋結果。 如果準備動作不到兩周,則已從 Microsoft Azure 記憶體區域中刪除針對電子檔探索 (進階) 準備的搜尋結果。 如果準備動作早於 2 周,則此事件表示只會刪除對應的準備動作。 |
已移除內容搜尋的導出 |
RemovedSearchExported |
Remove-ComplianceSearchAction |
已刪除內容搜尋導出動作。 如果匯出動作不到兩周,則已上傳至Microsoft Azure 儲存體區域的搜尋結果會遭到刪除。 如果匯出動作早於 2 周,則此事件表示只會刪除對應的匯出動作。 |
已從電子檔探索案例中移除成員 |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
使用者已移除為電子檔探索案例的成員。 |
已移除內容搜尋的預覽結果 |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
已刪除內容搜尋預覽動作。 |
已移除在內容搜尋上執行的清除動作 |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
已刪除內容搜尋清除動作。 |
已移除搜尋報告 |
SearchReportRemoved |
Remove-ComplianceSearchAction |
已刪除內容搜尋匯出報表動作。 |
開始分析內容搜尋 |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
已備妥內容搜尋的結果,以便在電子檔探索 (進階) 中進行分析。 |
已啟動內容搜尋 |
SearchStarted |
Start-ComplianceSearch |
已啟動內容搜尋。 當您使用合規性入口網站建立或變更內容搜尋時,會自動啟動搜尋。 |
開始匯出內容搜尋 |
SearchExported |
New-ComplianceSearchAction |
用戶導出內容搜尋的結果。 |
已啟動導出報表 |
SearchReport |
New-ComplianceSearchAction |
用戶導出內容搜尋報表。 |
已停止的內容搜尋 |
SearchStopped |
Stop-ComplianceSearch |
使用者已停止內容搜尋。 |
(無) | CaseViewed | Get-ComplianceCase | 使用者在合規性入口網站中檢視了電子檔探索 (Standard) 案例。 此事件的稽核記錄包含已檢視的案例名稱。 |
(無) | SearchViewed | Get-ComplianceSearch | 使用者在合規性入口網站中檢視了內容搜尋,方法是存取電子檔探索 (中 [搜尋] 索引卷標上的搜尋,Standard) 案例,或在 [內容搜尋] 頁面上存取它。 此事件的稽核記錄包含已檢視之搜尋的身分識別。 |
(無) | ViewedSearchExported | Get-ComplianceSearchAction -Export | 使用者在合規性入口網站中檢視了內容搜尋導出,方法是存取 [內容搜尋] 頁面上 [導出] 索引卷標上的導出。 當用戶檢視與電子檔探索 (Standard) 案例相關聯的匯出時,也會記錄此活動。 |
(無) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | 使用者已在合規性入口網站中預覽內容搜尋的結果。 當使用者預覽與電子檔探索 (Standard) 案例相關聯的搜尋結果時,也會記錄此活動。 |
電子文件探索 (進階版) 活動
下表說明在稽核記錄中記錄的 eDiscovery (Premium) 活動。 這些活動可用來協助您追蹤 eDiscovery (Premium) 案例中的活動進度。
易記名稱 | 作業 | 描述 |
---|---|---|
已將資料新增至另一個檢閱集 | AddWorkingSetQueryToWorkingSet | 使用者已將一個檢閱集中的文件新增至不同檢閱集。 |
已將資料新增至檢閱集 | AddQueryToWorkingSet | 使用者已將與 eDiscovery (Premium) 案例相關聯之內容搜尋的搜尋結果新增至檢閱集。 |
已將非 Microsoft 365 的資料新增至檢閱集 | AddNonOffice365DataToWorkingSet | 使用者已將非 Microsoft 365 的資料新增至檢閱集。 |
已將修復的文件新增至檢閱集 | AddRemediatedData | 使用者將已修正索引錯誤的文件上傳至檢閱集。 |
已分析檢閱集中的資料 | RunAlgo | 使用者已對檢閱集中的檔執行分析。 |
已標註檢閱集中的文件 | AnnotateDocument | 使用者已標註檢閱集中的文件。 標註包含校訂文件中的內容。 |
比較載入集合 | LoadComparisonJob | 使用者比較了檢閱集中的兩個不同載入集合。 載入集合會在案例相關內容搜尋中的資料新增至檢閱集後建立。 |
已將校訂後的文件轉換為 PDF | BurnJob | 使用者已將檢閱集中所有已校訂的文件轉換為 PDF 檔案。 |
已建立檢閱集 | CreateWorkingSet | 使用者已建立檢閱集。 |
已建立檢閱集搜尋 | CreateWorkingSetSearch | 使用者已建立搜尋查詢來搜尋檢閱集中的文件。 |
已建立標籤 | CreateTag | 使用者已在檢閱集中建立標籤群組。 標籤群組可以包含一個或多個子標籤。 這些標籤可用來標記檢閱集中的文件。 |
已刪除檢閱集搜尋 | DeleteWorkingSetSearch | 使用者已刪除檢閱集中的搜尋查詢。 |
已刪除標籤 | DeleteTag | 使用者已在檢閱集中刪除標籤或標籤群組。 |
已下載文件 | DownloadDocument | 使用者已從檢閱集下載文件。 |
已編輯標籤 | UpdateTag | 使用者已變更檢閱集中的標籤。 |
已從檢閱集匯出文件 | ExportJob | 使用者已從檢閱集匯出文件。 |
已修改案例設定 | UpdateCaseSettings | 使用者已修改案例的設定。 案例設定包括案例資訊、存取權限及控制搜尋和分析行為的設定。 |
已修改檢閱集搜尋 | UpdateWorkingSetSearch | 使用者已編輯檢閱集中的搜尋查詢。 |
已預覽檢閱集搜尋 | PreviewWorkingSetSearch | 使用者已預覽檢閱集中的搜尋查詢結果。 |
已修復錯誤的文件 | ErrorRemediationJob | 使用者已修正包含索引錯誤的檔案。 |
已標記文件 | TagFiles | 使用者已標記檢閱集中的文件。 |
已標記查詢結果 | TagJob | 使用者已標記檢閱集中所有符合搜尋查詢準則的文件。 |
已檢視檢閱集中的文件 | ViewDocument | 使用者已檢視檢閱集中的文件。 |
eDiscovery Cmdlet 活動
下表列出當系統管理員或使用者使用合規性入口網站或在安全性 & 合規性 PowerShell 中執行對應的 Cmdlet 來執行電子檔探索相關活動時所記錄的 Cmdlet 稽核記錄。 稽核記錄檔記錄中的詳細資訊與本表所列的 Cmdlet 活動和上一節所述的電子檔探索活動不同。
如先前所述,電子檔探索 Cmdlet 活動最多可能需要 24 小時才會出現在稽核記錄搜尋結果中。
提示
下表中 Operation 數據 行中的 Cmdlet 會連結到 TechNet 上對應的 Cmdlet 幫助主題。 移至 Cmdlet 幫助主題,以取得每個 Cmdlet 可用參數的描述。 與 Cmdlet 搭配使用的參數和參數值會包含在所記錄之每個 eDiscovery Cmdlet 活動的稽核記錄專案中。
易記名稱 | 作業 (Cmdlet) | 描述 |
---|---|---|
在電子檔探索案例中建立保留 |
New-CaseHoldPolicy |
已針對電子檔探索案例建立保留。 無論是否指定內容來源,都可以建立保留。 如果已指定內容來源,則會在稽核記錄專案中加以識別。 |
已從電子檔探索案例中刪除保留 |
Remove-CaseHoldPolicy |
已刪除與電子檔探索案例相關聯的保留。 刪除保留會釋放保留中的所有內容位置。 刪除保留也會刪除與保留相關聯的案例保留規則 (請參閱 Remove-CaseHoldRule) 。 |
已變更電子檔探索案例中的保留 |
Set-CaseHoldPolicy |
已變更與電子檔探索相關聯的保留。 可能的變更包括新增或移除內容位置,或關閉 (停用) 保留。 |
已建立電子檔探索案例保留的搜尋查詢 |
New-CaseHoldRule |
已建立與電子檔探索案例相關聯的查詢式保留。 |
已刪除電子檔探索案例保留的搜尋查詢 |
Remove-CaseHoldRule |
已刪除與電子檔探索案例相關聯的查詢式保留。 從保留中移除查詢通常是刪除保留的結果。 刪除保留或保留查詢時,會釋放保留中的內容位置。 |
已變更電子檔探索案例保留的搜尋查詢 |
Set-CaseHoldRule |
已變更與電子檔探索案例相關聯的查詢式保留。 可能的變更包括編輯查詢架構保留的查詢或日期範圍。 |
已建立電子檔探索案例 |
New-ComplianceCase |
已建立電子檔探索案例。 建立案例時,您只需要為其命名。 其他與案例相關的工作,例如新增成員、建立保留,以及建立與案例相關聯的內容搜尋,會導致記錄其他事件。 |
已刪除電子檔探索案例 |
Remove-ComplianceCase |
已刪除電子檔探索案例。 必須先移除與案例相關聯的任何保留,才能刪除案例。 |
已變更電子檔探索案例 |
Set-ComplianceCase |
電子檔探索案例已變更。 變更包括關閉開啟的大小寫或重新開啟已關閉的案例。 |
已將成員新增至電子檔探索案例 |
Add-ComplianceCaseMember |
使用者已新增為電子檔探索案例的成員。 身為案例的成員,用戶可以根據是否獲指派必要的許可權來執行各種案例相關工作。 |
已從電子檔探索案例中移除成員 |
Remove-ComplianceCaseMember |
使用者已移除為電子檔探索案例的成員。 |
已變更電子檔探索案例成員資格 |
Update-ComplianceCaseMember |
電子檔探索案例的成員資格清單已變更。 當所有成員都以新使用者群組取代時,就會記錄此活動。 如果新增或移除單一成員,則會記錄 Add-ComplianceCaseMember 或 Remove-ComplianceCaseMember 作業。 |
已建立內容搜尋 |
New-ComplianceSearch |
已建立新的內容搜尋。 |
已刪除的內容搜尋 |
Remove-ComplianceSearch |
已刪除現有的內容搜尋。 |
已變更內容搜尋 |
Set-ComplianceSearch |
現有的內容搜尋已變更。 變更可能包括新增或移除搜尋的內容位置,以及編輯搜尋查詢。 |
已啟動內容搜尋 |
Start-ComplianceSearch |
已啟動內容搜尋。 當您使用合規性入口網站 GUI 建立或變更內容搜尋時,會自動啟動搜尋。 如果您使用 New-ComplianceSearch 或 Set-ComplianceSearch Cmdlet 來建立或變更搜尋,則必須執行 Start-ComplianceSearch Cmdlet 來開始搜尋。 |
已停止的內容搜尋 |
Stop-ComplianceSearch |
正在執行的內容搜尋已停止。 |
已建立內容搜尋動作 |
New-ComplianceSearchAction |
已建立內容搜尋動作。 內容搜尋動作包括預覽搜尋結果、導出搜尋結果、準備搜尋結果以在電子檔探索 (進階) 中進行分析,以及永久刪除符合內容搜尋準則的專案。 |
已刪除的內容搜尋動作 |
Remove-ComplianceSearchAction |
已刪除內容搜尋動作。 |
已建立搜尋許可權篩選 |
New-ComplianceSecurityFilter |
已建立搜尋許可權篩選。 |
已刪除的搜尋許可權篩選 |
Remove-ComplianceSecurityFilter |
搜尋許可權篩選已刪除。 |
已變更搜尋許可權篩選 |
Set-ComplianceSecurityFilter |
搜尋許可權篩選已變更。 |
已建立電子檔探索系統管理員 |
Add-eDiscoveryCaseAdmin |
已將使用者新增為組織中的電子檔探索系統管理員。 |
已刪除電子檔案探索系統管理員 |
Remove-eDiscoveryCaseAdmin |
已從您的組織中刪除電子檔案探索系統管理員。 |
已變更電子檔探索系統管理員成員資格 |
Update-eDiscoveryCaseAdmin |
您組織中的電子檔案探索系統管理員清單已變更。 當電子檔探索系統管理員清單取代為一組新使用者時,就會記錄此活動。 如果新增或移除單一使用者,則會記錄 Add-eDiscoveryCaseAdmin 或 Remove-eDiscoveryCaseAdmin 作業。 |
(無) |
Get-ComplianceCase |
當用戶檢視電子檔探索 (清單 Standard) 或電子檔探索 (進階) 案例時,就會記錄此活動。 當使用者在電子檔探索中檢視特定案例時,也會記錄此活動 (Standard) 。 當用戶檢視特定案例時,稽核記錄會包含已檢視案例的身分識別。 如果使用者只檢視案例清單,稽核記錄就不會包含案例身分識別。 |
(無) | Get-ComplianceSearch | 當用戶檢視與電子檔探索 (相關聯的內容搜尋清單,Standard) 案例時,就會記錄此活動。 當用戶檢視特定內容搜尋或檢視與電子檔探索相關聯的特定搜尋時,也會記錄此活動 (Standard) 案例。 當用戶檢視特定搜尋時,稽核記錄會包含已檢視之搜尋的身分識別。 如果使用者只檢視搜尋清單,稽核記錄就不會包含搜尋身分識別。 |
(無) | Get-ComplianceSearchAction | 當用戶檢視 (的合規性搜尋動作清單,例如匯出、預覽或清除與電子檔探索 (Standard) 案例相關聯的) 或動作時,就會記錄此活動。 當用戶檢視特定合規性搜尋動作 (例如匯出) 或檢視與電子檔探索 (Standard) 案例相關聯的特定動作時,也會記錄此活動。 當用戶檢視搜尋動作時,稽核記錄會包含已檢視之搜尋動作的身分識別。 如果使用者只檢視動作清單,稽核記錄就不會包含動作身分識別。 |
電子檔探索活動的詳細屬性
下表描述搜尋結果中所列電子檔探索活動的飛出視窗頁面上所包含的屬性。 當您匯出稽核記錄搜尋結果時,這些屬性也會包含在 CSV 檔案中。 電子檔探索活動的稽核記錄不會包含下表所列的每個詳細屬性。
提示
當您匯出搜尋結果時,CSV 檔案會包含名為 AudtiData 的數據行,其中包含多重值屬性中下表所述的詳細屬性。 您可以使用 Excel 中的 Power Query 功能,將此數據行分割成多個數據行,讓每個屬性都有自己的數據行。 這可讓您排序和篩選其中一或多個屬性。 如需詳細資訊,請 參閱搜尋稽核記錄。
屬性 | 描述 |
---|---|
案例 |
已建立、變更或刪除之電子檔探索案例的身分識別 (GUID) 。 |
ClientApplication |
eDiscovery Cmdlet 活動具有此屬性的 EMC 值。 這表示活動是使用合規性入口網站 GUI 或在 PowerShell 中執行 Cmdlet 來執行。 |
ClientIP |
記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 |
ClientRequestId |
對於電子檔探索活動,這個屬性通常是空白的。 |
CmdletVersion |
組織中執行之合規性入口網站版本的組建編號。 |
CreationTime |
國際標準時間的日期和時間 (UTC) 電子檔探索活動完成的時間。 |
EffectiveOrganization |
Microsoft 365 組織的名稱。 |
ExchangeLocations |
Exchange Online 包含在內容搜尋中或在電子檔探索案例中保留的信箱。 |
排除項目 |
在電子檔探索案例中,從內容搜尋或保留中排除的信箱或網站位置。 |
ExtendedProperties |
內容搜尋、內容搜尋動作或 eDiscovery 案例中保留的其他屬性,例如物件 GUID,以及執行活動時所使用的對應 Cmdlet 和 Cmdlet 參數。 |
識別碼 |
報表項目的標識碼。 標識碼可唯一識別稽核記錄專案。 |
NonPIIParameters |
參數清單 (沒有任何值) 與 Operation 屬性中識別的 Cmdlet 搭配使用。 此屬性中列出的參數與 Parameters 屬性中所列的參數相同。 |
ObjectId |
物件的 GUID 或名稱 (例如,內容搜尋或電子檔探索 (Standard) 由 Operation 屬性中列出的活動所建立、存取、變更或刪除的案例) 。 此物件也會在稽核記錄搜尋結果的 [專案] 資料行中識別。 |
ObjectType |
使用者建立、刪除或修改的 eDiscovery 物件類型;例如,內容搜尋動作 (預覽、匯出或清除) 、電子檔探索案例或內容搜尋。 |
作業 |
對應至已執行之電子檔探索活動的作業名稱。 |
OrganizationId |
Microsoft 365 組織的 GUID。 |
參數 |
與對應 Cmdlet 搭配使用的參數名稱和值。 |
PublicFolderLocations |
Exchange Online 中包含在內容搜尋中的公用資料夾位置,或在電子檔探索案例中保留的公用資料夾位置。 |
查詢 |
與活動相關聯的搜尋查詢,例如內容搜尋或查詢式保留。 |
RecordType |
記錄所指示的作業類型。
值為 18 表示與 eDiscovery Cmdlet 活動區段中所列活動相關的事件。 值 為 24 表示與 eDiscovery 活動 區段中所列活動相關的事件。 |
ResultStatus |
指出 operation 屬性中指定的動作 () 是否成功。 |
SecurityComplianceCenterEventType |
表示活動是合規性入口網站事件。 此屬性的所有電子檔探索活動都會有 0 的值。 |
SharepointLocations |
內容搜尋中包含或在電子檔探索案例中保留的 SharePoint Online 網站。 |
StartTime |
國際標準時間的日期和時間 (UTC) 電子檔探索活動的啟動時間。 |
UserId |
執行活動 (在 Operation 屬性中指定的使用者) ,導致記錄被記錄。 稽核記錄中也會包含由系統帳戶 (例如 NT AUTHORITY\SYSTEM) 執行的電子檔探索活動記錄。 |
UserKey |
UserId 屬性中識別之使用者的替代標識碼。 針對電子檔探索活動,此屬性的值通常與UserId屬性相同。 |
UserServicePlan |
貴組織所使用的訂用帳戶。 對於電子檔探索活動,這個屬性通常是空白的。 |
UserType |
執行作業的用戶類型。 下列值表示用戶類型。 0 一般使用者。 2 組織中的系統管理員。 3 Microsoft數據中心系統管理員或數據中心系統帳戶。 4 系統帳戶。 5 應用程式。 6 服務主體。 |
版本 |
指出記錄的 Operation 屬性) 所識別之活動 (的版本號碼。 |
工作負載 |
活動發生所在的服務。 針對電子檔探索活動,此值為 SecurityComplianceCenter。 |
加密的郵件入口網站活動
存取記錄可透過加密的郵件入口網站供加密的郵件使用,讓您的組織判斷外部收件者何時讀取和轉寄郵件。 如需啟用和使用加密的郵件入口網站活動記錄的詳細資訊,請參閱 加密的郵件入口網站活動記錄。
追蹤訊息的每個稽核專案都包含下列欄位:
- MessageID:包含正在追蹤之訊息的標識碼。 用來透過系統追蹤訊息的金鑰標識碼。
- 收件者:所有收件者電子郵件地址的清單。
- 寄件者:原始的電子郵件位址。
- AuthenticationMethod:描述用來存取訊息的驗證方法,例如 OTP、Yahoo、Gmail 或 Microsoft。
- AuthenticationStatus:包含值,指出驗證成功或失敗。
- OperationStatus:指出指定的作業成功或失敗。
- AttachmentName:附件的名稱。
- OperationProperties:選擇性屬性的清單。 例如,傳送的 OTP 密碼數目或電子郵件主旨。
Exchange 系統管理員活動
Exchange 系統管理員稽核記錄功能 (在 Microsoft 365 中預設為啟用) 會在系統管理員 (或獲派管理權限的使用者) 在您的 Exchange Online 組織中進行變更時,將事件記錄在稽核記錄中。 使用 Exchange 系統管理員中心或執行 Exchange Online PowerShell 中的 Cmdlet 所做的變更會記錄在 Exchange 系統管理稽核記錄中。 開頭為動詞 Get-、 Search-或 Test- 的 Cmdlet 不會記錄在稽核記錄中。 如需有關 Exchange 系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄功能。
重要事項
未記錄在 Exchange 系統管理員稽核記錄 (或在稽核記錄中) 的某些 Exchange Online Cmdlet。 許多這些 Cmdlet 都與維護 Exchange Online 服務相關,並由 Microsoft 資料中心人員或服務帳戶執行。 之所以不記錄這些 Cmdlet,是因為這些 Cmdlet 會造成大量的「雜亂」稽核事件。 如果有未進行稽核的 Exchange Online Cmdlet,請將設計變更要求 (DCR) 提交至 Microsoft 支援服務。
以下是在搜尋稽核記錄時搜尋 Exchange 系統管理員活動的秘訣:
- 使用日期範圍方塊和 [使用者] 清單,以將由特定 Exchange 系統管理員執行的 Cmdlet 搜尋結果縮小為在特定日期範圍之內。
- 若要顯示 Exchange 系統管理員稽核記錄中的事件,請選取 [ 活動 ] 資料行,以依字母順序排序 Cmdlet 名稱。
- 如需取得有關 Cmdlet 執行內容、使用哪些參數和參數值,以及影響哪些物件等相關資訊,您可以藉由選取 [下載所有結果] 選項來匯出搜尋結果。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄。
- 您也可以藉由在 Exchange Online PowerShell 中使用
Search-UnifiedAuditLog -RecordType ExchangeAdmin
命令,只傳回 Exchange 系統管理員稽核記錄中的稽核記錄。 執行 Exchange Cmdlet 之後,可能需要 30 分鐘的時間,搜尋結果中才會傳回對應的稽核記錄項目。 如需詳細資訊,請參閱 Search-UnifiedAuditLog。 若要了解如何將 Search-UnifiedAuditLog Cmdlet 所傳回的搜尋結果匯出為 CSV 檔案,請參閱匯出、設定及檢視稽核記錄檔的記錄中的<匯出及檢視稽核記錄的秘訣>一節。
Exchange 信箱活動
下表列出信箱稽核記錄可以記錄的活動。 信箱擁有者、委派的用戶或系統管理員所執行的信箱活動,會自動記錄在稽核記錄中長達 180 天。 系統管理員可能會關閉組織中所有使用者的信箱稽核記錄功能。 在此情況下,任何使用者的信箱動作都不會記錄。 如需詳細資訊,請參閱管理信箱稽核。
重要事項
稽核 (Standard) 的預設保留期間已從 90 天變更為 180 天。 稽核 (Standard 在 2023 年 10 月 17 日之前產生的) 記錄會保留 90 天。 稽核 (Standard 在 2023 年 10 月 17 日或之後產生的) 記錄會遵循新的預設保留期 180 天。
您也可以在 Exchange Online PowerShell 中使用 Search-MailboxAuditLog Cmdlet 來搜尋信箱活動。
易記名稱 | 作業 | 描述 |
---|---|---|
存取信箱項目 | MailItemsAccessed | 在信箱中讀取或存取郵件。 可以通過以下兩種方式之一觸發此事件的稽核記錄:當郵件客戶端 (例如 Outlook) 對郵件執行繫結作業時,或者當郵件通訊協定 (例如 Exchange ActiveSync 或 IMAP) 同步郵件文件夾中的項目時。 在調查遭入侵的電子郵件帳戶時,分析此活動的稽核記錄相當實用。 |
已新增代理人信箱權限 | Add-MailboxPermission | 系統管理員已將另一名人員其信箱的 FullAccess 信箱權限指派給某個使用者 (亦稱為「代理人」)。 FullAccess 權限可讓代理人開啟該名人員的信箱,以及讀取和管理信箱的內容。 當 Microsoft 365 服務中的系統帳戶定期為您的組織執行維護工作時,也會產生此活動的稽核記錄。 系統帳戶所執行的一般工作是更新系統信箱的權限。 如需詳細資訊,請參閱 Exchange 信箱稽核記錄中的系統帳戶。 |
新增或移除具有行事曆資料夾代理人存取權的使用者 | UpdateCalendarDelegation | 已新增或移除作為另一個使用者信箱行事曆代理人的使用者。 行事曆代理可讓其他有相同組織權限的人來管理信箱擁有者的行事曆。 |
已新增資料夾的權限 | AddFolderPermissions | 資料夾權限已新增。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 |
已複製郵件到另一個資料夾 | Copy | 郵件已複製到另一個資料夾。 |
建立的信箱項目 | 建立 | 在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立了項目。 例如,建立了新的會議邀請。 建立、傳送或接收郵件的動作並不會受到稽核。 此外,不會稽核建立信箱資料夾。 |
在 Outlook Web 應用程式中建立新的收件匣規則 | New-InboxRule | 信箱擁有者或其他有信箱存取權的使用者在 Outlook Web App 中建立了收件匣規則。 |
已刪除 [刪除的郵件] 資料夾中的郵件 | SoftDelete | 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 這些項目會移動至 [可復原的項目] 資料夾。 當使用者選取郵件並按 Shift+Delete 時,也會將郵件移動至 [可復原的項目] 資料夾。 |
已將郵件標示為記錄 | ApplyRecordLabel | 郵件已分類為記錄。 當將內容分類為記錄的保留標籤手動或自動套用至訊息時發生。 |
已複製郵件至另一個資料夾 | Move | 郵件已移到另一個資料夾。 |
已移動郵件至 [刪除的郵件] 資料夾 | MoveToDeletedItems | 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 |
已修改資料夾權限 | UpdateFolderPermissions | 資料夾權限已變更。 資料夾權限可控制組織中的哪些使用者可以存取信箱資料夾和資料夾中的郵件。 |
已從 Outlook Web App 中修改收件匣規則 | Set-InboxRule | 信箱擁有者或其他有信箱存取權的使用者已使用 Outlook Web App 修改了收件匣規則。 |
已清除信箱中的郵件 | HardDelete | 已清除 [可復原的項目] 資料夾中的郵件 (從信箱中永久刪除)。 |
已移除代理人信箱權限 | Remove-MailboxPermission | 系統管理員已將 FullAccess 權限 (先前已指派給代理人) 從人員的信箱移除。 移除 FullAccess 權限後,代理人即無法開啟該名人員的信箱或存取其中的任何內容。 |
已移除資料夾的權限 | RemoveFolderPermissions | 資料夾權限已移除。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 |
傳送郵件 | 傳送 | 郵件已傳送、回覆或轉寄。 |
已使用 [傳送為] 權限傳送郵件 | SendAs | 已使用 [傳送為] 權限傳送郵件。 這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。 |
已使用 [代理傳送者] 權限傳送郵件 | SendOnBehalf | 已使用 [代理傳送者] 權限傳送郵件。 這表示,另一個使用者已代表信箱擁有者傳送郵件。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 |
已從 Outlook 用戶端更新收件匣規則 | UpdateInboxRules | 信箱擁有者或具有信箱存取權的其他使用者已使用 Outlook 用戶端建立、修改或移除收件匣規則。 |
已更新郵件 | Update | 郵件或其屬性已變更。 |
使用者已登入信箱 | MailboxLogin | 使用者已登入其信箱。 |
將郵件標示為記錄 | 使用者對電子郵件訊息套用保留標籤,且該標籤已設定為將該項目標示為記錄。 |
Exchange 信箱稽核記錄中的系統帳戶
在某些信箱活動的稽核記錄中 (特別是 [新增信箱權限]) 中,您可能會注意到執行該活動的使用者 (在使用者及 UserId 欄位中識別) 為 NT AUTHORITY\SYSTEM 或 NT AUTHORITY\SYSTEM (Microsoft.Exchange.Servicehost)。 這表示執行活動的「使用者」是 Microsoft 雲端中 Exchange 服務的系統帳戶。 這個系統帳戶通常代表您的組織執行排程維護工作。 例如,NT AUTHORITY\SYSTEM (Microsoft.Exchange.ServiceHost) 帳戶所執行的常見稽核的活動, 是更新 DiscoverySearchMailbox (系統信箱) 上的權限。 此更新的目的在於驗證指派給 DiscoverySearchMailbox「探索管理」角色群組的 FullAccess 權限 (預設值)。 確保電子檔探索系統管理員可以在其組織中執行必要的工作。
另一個可以在 Add-MailboxPermission 稽核記錄中識別的系統使用者帳戶是 Administrator@apcprd03.prod.outlook.com。 此服務帳戶也會包含在與驗證和更新 FullAccess 權限相關的信箱稽核記錄中,會指派給 DiscoverySearchMailbox 系統信箱的「探索管理」角色群組。 具體而言,當Microsoft支持人員代表您的組織執行角色型訪問控制診斷工具時,通常會觸發識別 Administrator@apcprd03.prod.outlook.com 帳戶的稽核記錄。
檔案和頁面活動
下表說明 SharePoint Online 和商務用 OneDrive 的檔案和頁面活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已存取檔案 | FileAccessed | 使用者或系統帳戶存取檔案。 一旦使用者存取檔案,在接下來的五分鐘內,同一個使用者不會針對相同的檔案再次記錄 FileAccessed 事件。 |
(無) | FileAccessedExtended | 這與「已存取檔案」(FileAccessed) 活動相關聯。 當相同人員持續存取某個檔案一段時間 (最多 3 小時),便會記錄 FileAccessedExtended 事件。 記錄 FileAccessedExtended 事件的目的在於減少持續存取某個檔案時,記錄 FileAccessed 事件的數目。 這有助於減少多個 FileAccessed 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) FileAccessed 事件。 |
已變更檔案的保留標籤 | ComplianceSettingChanged | 保留標籤已在文件中套用或移除。 手動或自動將保留標籤套用到郵件時就會觸發此事件。 |
已將記錄狀態變更為鎖定 | LockRecord | 將文件歸類為記錄的保留標籤記錄狀態已鎖定。 這表示文件無法修改或刪除。 只有至少獲派網站參與者權限的使用者可以變更文件記錄狀態。 |
已將記錄狀態變更為解除鎖定 | UnlockRecord | 將文件歸類為記錄的保留標籤記錄狀態已解除鎖定。 這表示文件可修改或刪除。 只有至少獲派網站參與者權限的使用者可以變更文件記錄狀態。 |
已簽入檔案 | FileCheckedIn | 使用者簽入他們從文件庫簽出的文件。 |
已簽出檔案 | FileCheckedOut | 使用者簽出位於文件庫中的文件。 使用者可以取出與他們共用的文件並且進行變更。 |
已複製檔案 | FileCopied | 使用者複製網站中的文件。 已複製的檔案可以儲存至該網站上的其他資料夾。 |
已刪除檔案 | FileDeleted | 使用者刪除網站中的文件。 |
已刪除資源回收筒中的檔案 | FileDeletedFirstStageRecycleBin | 使用者從網站的資源回收筒中刪除檔案。 |
已刪除第二階段資源回收筒中的檔案 | FileDeletedSecondStageRecycleBin | 使用者從網站的第二階段資源回收筒中刪除檔案。 |
標示為記錄的已刪除檔案 | RecordDelete | 已刪除標示為記錄的文件或郵件。 將會把項標示為記錄的保留標籤套用至項時,就會將項目視為記錄。 |
偵測到的文件敏感度不相符 | DocumentSensitivityMismatchDetected | 使用者將文件上傳到受敏感度標籤保護的網站,且文件的敏感度標籤優先於網站的敏感度標籤。 例如,套用「機密」標籤的文件上傳到套用「一般」標籤的網站。 如果文件套用的敏感度標籤,其優先順序低於網站所套用的敏感度標籤,則不會觸發此事件。 例如,套用「一般」標籤的文件上傳到標記為「機密」的網站。 如需敏感度標籤優先順序的詳細資訊,請參閱標籤優先順序 (順序很重要)。 |
在檔案中偵測到惡意程式碼 | FileMalwareDetected | SharePoint 防毒引擎在檔案中偵測到惡意程式碼。 |
已捨棄檔案簽出 | FileCheckOutDiscarded | 用戶捨棄 (取出檔案) 或復原。 這表示對取出的文件所做的任何變更會被捨棄,不儲存到文件庫中的文件版本。 |
下載的檔案 | FileDownloaded | 使用者從網站下載文件。 |
已修改檔案 | FileModified | 使用者或系統帳戶修改網站上的文件內容或屬性。 當相同使用者修改相同檔的內容或屬性時,系統會等候五分鐘,再記錄另一個 FileModified 事件。 |
(無) | FileModifiedExtended | 這與「已修改檔案」(FileModified) 活動相關聯。 當相同人員持續修改某個檔案一段時間 (最多 3 小時),便會記錄 FileModifiedExtended 事件。 記錄 FileModifiedExtended 事件的目的在於減少持續修改某個檔案時,記錄 FileModified 事件的數目。 這有助於減少多個 FileModified 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) FileModified 事件。 |
已移動檔案 | FileMoved | 使用者將文件從它在網站上目前的位置移動至新的位置。 |
(無) | FilePreviewed | 使用者預覽 SharePoint 或商務用 OneDrive 網站上的檔案。 這些事件通常發生在單一活動中有龐大數量時,例如檢視影像資源庫。 |
已執行的搜尋查詢 | SearchQueryPerformed | 使用者或系統帳戶在 SharePoint 或商務用 OneDrive 中執行搜尋。 服務帳戶執行搜尋查詢的一些常見案例包括將電子檔探索保留和保留原則套用至網站和 OneDrive 帳戶,以及將保留或敏感度卷標自動套用至網站內容。 若要啟用此活動的記錄功能,請 參閱開始使用稽核解決方案。 |
已回收檔案 | FileRecycled | 使用者將檔案移至 SharePoint 資源回收筒。 |
已回收資料夾 | FolderRecycled | 使用者將資料夾移至 SharePoint 資源回收筒。 |
已回收所有檔案次要版本 | FileVersionsAllMinorsRecycled | 使用者從檔案的版本歷程記錄中刪除所有的次要版本。 已刪除的版本會移至網站資源回收筒。 |
已回收所有檔案版本 | FileVersionsAllRecycled | 使用者從檔案版本歷程記錄中刪除所有版本。 已刪除的版本會移至網站資源回收筒。 |
已回收檔案版本 | FileVersionRecycled | 使用者從檔案版本歷程記錄中刪除版本。 已刪除的版本會移至網站資源回收筒。 |
已重新命名檔案 | FileRenamed | 使用者重新命名文件。 |
已還原檔案 | FileRestored | 使用者從網站的資源回收筒還原文件。 |
已上傳檔案 | FileUploaded | 使用者將文件上傳至網站上的資料夾。 |
已檢視頁面 | PageViewed | 使用者檢視網站上的檔案。 這不包括使用網頁瀏覽器檢視文件庫中的檔案。 一旦用戶檢視頁面之後,在接下來的五分鐘內,相同頁面的PageViewed事件不會再次記錄。 |
(無) | PageViewedExtended | 這與「已檢視頁面」(PageViewed) 活動相關聯。 當相同人員持續檢視某個網頁一段時間 (最多 3 小時),便會記錄 PageViewedExtended 事件。 記錄 PageViewedExtended 事件的目的在於減少持續檢視某個頁面時,記錄 PageViewed 事件的數目。 這有助於減少多個 PageViewed 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) PageViewed 事件。 |
用戶端發出的檢視訊號 | ClientViewSignaled | 使用者的用戶端 (例如網站或行動應用程式) 已發出訊號,指出使用者已檢視指示的頁面。 此活動通常會在頁面的 PagePrefetched 事件之後進行記錄。 請注意:由於 ClientViewSignaled 事件會由用戶端發出訊號,而不是由伺服器,所以伺服器可能不會記錄事件,因此事件可能也不會出現在稽核記錄中。 稽核記錄中的資訊也可能不可靠。 不過,因為用來建立訊號的權杖會驗證使用者的身分識別,因此對應稽核記錄中所列的使用者身分識別會是正確的。 當相同使用者的用戶端發出使用者已再次查看頁面的訊號時,系統會等候五分鐘,再記錄相同的事件。 |
(無) | PagePrefetched | 使用者的用戶端 (例如網站或行動應用程式) 已要求指示的頁面在使用者瀏覽至此時,協助改善效能。 記錄此事件的目的是指出頁面內容已對使用者的用戶端提供服務。 此事件並非明確指示使用者已瀏覽到此頁面。 當用戶端呈現頁面內容時 (根據使用者的要求),應該會隨即產生 ClientViewSignaled 事件。 並非所有用戶端都支援指出預先擷取,因此某些預先擷取的活動可能會改為記錄為PageViewed事件。 |
FileAccessed 和 FilePreviewed 事件的常見問題集
任何非使用者事件是否能觸發包含使用者代理程式 (如 "OneDriveMpc-Transform_Thumbnail") 的 FilePreviewed 稽核記錄?
我們並不知道非用戶動作會產生這類事件的案例。 用戶動作,例如在 Outlook 網頁版 中選取使用者配置檔卡片 (的名稱或電子郵件位址,) 會產生類似的事件。
對 OneDriveMpc-Transform_Thumbnail 的呼叫是否一律為使用者故意觸發?
不是。 但類似的事件可以記錄為瀏覽器預先擷取的結果。
如果我們看到來自 Microsoft 註冊 IP 位址的 FilePreviewed 事件,則表示該預覽已在使用者裝置的螢幕上顯示了嗎?
不是。 事件可能是因為瀏覽器預先擷取而記錄。
是否有使用者預覽文件會產生 FileAccessed 事件的案例?
FilePreviewed 和 FileAccessed 事件都表示使用者的呼叫導致讀取檔案 (或讀取檔案的縮圖呈現)。 雖然這些事件旨在配合預覽與存取意圖,但事件差異並非使用者意圖的保證。
稽核記錄中的app@sharepoint使用者
在部分檔案活動 (以及其他 SharePoint 相關活動) 的稽核記錄中,您可能會注意到執行活動的使用者 ([User] 和 [UserId] 欄位中識別) 為 app@sharepoint。 這表示執行活動的「使用者」是應用程式。 在此情況下,應用程式會獲授與 SharePoint 中的權限,以代表使用者、系統管理員或服務執行整個組織的動作 (例如搜尋 SharePoint 網站或 OneDrive 帳戶)。 這種將權限授與應用程式的程序稱為僅限 SharePoint 應用程式存取權。 這表示向 SharePoint 呈現,可執行動作的驗證是由應用程式 (而不是使用者) 所建立。 這就是在特定稽核記錄中識別 app@sharepoint 使用者的原因。 如需詳細資訊,請參閱授與使用僅限 SharePoint 應用程式的存取權 \(英文\)。
例如,app@sharepoint 通常會標示為「執行搜尋查詢」和「存取檔案」事件的使用者。 這是因為當您將保留原則套用至網站和 OneDrive 帳戶時,組織中擁有僅限 SharePoint 應用程式存取權的應用程式會執行搜尋查詢和存取檔案。
以下是一些其他案例,其中 app@sharepoint 在稽核記錄中可能會識別為執行活動的使用者:
- Microsoft 365 群組。 當使用者或系統管理員建立新群組時,系統會產生稽核記錄,以建立網站集合、更新清單,以及將成員新增至 SharePoint 群組。 這些工作是應用程式代表建立群組的使用者執行的。
- Microsoft Teams。 與 Microsoft 365 群組類似,建立新小組時,系統會產生稽核記錄,以建立網站集合、更新清單,以及將成員新增至 SharePoint 群組。
- 合規性功能。 當系統管理員實作合規性功能時,例如保留原則、電子檔探索保留,以及自動套用敏感度標籤。
在這些及其他案例中,您也會注意到以 app@sharepoint 作為指定之使用者的稽核記錄是在短時間內建立的,彼此之間的間隔通常為幾秒鐘。 這也表示這些稽核記錄可能是由相同使用者啟動的工作所觸發。 此外,稽核記錄中的 [ApplicationDisplayName] 和 [EventData] 欄位可協助您識別觸發此事件的案例或應用程式。
資料夾活動
下表說明 SharePoint Online 和商務用 OneDrive 的資料夾活動。 如先前所述,某些 SharePoint 活動的稽核記錄表示app@sharepoint使用者代表起始動作的使用者或系統管理員執行活動。 如需詳細資訊, 請參閱稽核記錄中的app@sharepoint使用者。
易記名稱 | 作業 | 描述 |
---|---|---|
已複製資料夾 | FolderCopied | 使用者從網站複製資料夾至 SharePoint 或商務用 OneDrive 中的另一個位置。 |
已建立資料夾 | FolderCreated | 使用者在網站上建立資料夾。 |
已刪除資料夾 | FolderDeleted | 使用者刪除網站上的資料夾。 |
已刪除資源回收筒中的資料夾 | FolderDeletedFirstStageRecycleBin | 使用者從網站的資源回收筒中刪除資料夾。 |
已刪除第二階段資源回收筒中的資料夾 | FolderDeletedSecondStageRecycleBin | 使用者從網站的第二階段資源回收筒中刪除資料夾。 |
已修改資料夾 | FolderModified | 使用者修改網站上的資料夾。 這包括變更資料夾的中繼資料,例如變更標籤和屬性。 |
已移動資料夾 | FolderMoved | 使用者將資料夾移動至網站上的其他位置。 |
已重新命名資料夾 | FolderRenamed | 使用者在網站上重新命名資料夾。 |
已還原資料夾 | FolderRestored | 使用者從網站的資源回收筒中還原已刪除的資料夾。 |
資訊屏障活動
下表列出 Microsoft 365 稽核記錄中記錄的資訊屏障活動。 如需資訊屏障的詳細資訊,請參閱了解 Microsoft 365 中的資訊屏障。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
易記名稱 | 作業 | 描述 |
---|---|---|
已變更租使用者的 AppBypassInformationBarrier 設定 | AppBypassInformationBarrier | SharePoint 或全域管理員已變更 SharePoint 網站的應用程式存取權。 |
將資訊屏障模式套用至月臺 | SiteIBModeSet | SharePoint 或全域管理員已將模式套用至網站。 |
將區段套用至網站 | SiteIBSegmentsSet | SharePoint、全域系統管理員或網站擁有者已新增一或多個資訊屏障區段至網站。 |
已變更網站的資訊屏障模式 | SiteIBModeChanged | SharePoint 或全域管理員已更新網站模式。 |
已變更網站區段 | SiteIBSegmentsChanged | SharePoint 或全域系統管理員已變更一或多個網站的資訊屏障區段。 |
已停用 SharePoint 和 OneDrive 的資訊屏障 | SPOIBIsDisabled | SharePoint 或全域管理員已停用組織中 SharePoint 和 OneDrive 的資訊屏障。 |
已啟用 SharePoint 和 OneDrive 的資訊屏障 | SPOIBIsEnabled | SharePoint 或全域管理員已停用組織中 SharePoint 和 OneDrive 的資訊屏障。 |
資訊屏障深入解析報告已完成 | InformationBarriersInsightsReportCompleted | 系統會完成資訊屏障深入解析報告的建置。 |
查詢的資訊屏障深入解析報告 OneDrive 區段 | InformationBarriersInsightsReportOneDriveSectionQueried | 系統管理員會查詢 OneDrive 帳戶的資訊屏障深入解析報告。 |
已排程的資訊屏障深入解析報告 | InformationBarriersInsightsReportSchedule | 系統管理員會排程資訊屏障深入解析報告。 |
查詢的資訊屏障深入解析報表 SharePoint 區段 | InformationBarriersInsightsReportSharePointSectionQueried | 系統管理員會查詢 Sharepoint 網站的資訊屏障深入解析報告。 |
已從網站移除區段 | SiteIBSegmentsRemoved | SharePoint 或全域系統管理員已從網站移除一或多個資訊屏障區段。 |
Microsoft 365 Apps 管理員 服務雲端更新活動
下表列出雲端 更新服務 中設定變更和觸發動作的活動,這些動作會擷取到 Microsoft 365 稽核記錄檔中。
易記名稱 | 作業 | 描述 |
---|---|---|
裝置組態已更新 | updateddeviceconfiguration | 已觸發雲端更新所管理裝置的動作。 這包括觸發復原、繼續回復裝置,或變更更新通道。 |
已更新配置檔組態 | updatedprofileconfiguration | 雲端更新配置檔的組態已變更。 這包括變更配置檔的狀態、設定期限、更新驗證啟用,以及設定的波和波延遲。 |
租用戶組態已更新 | updatedtenantconfiguration | Cloud Update 的全租用戶設定已變更。 這包括變更排除範圍、排除視窗,以及產生新的租用戶關聯密鑰 (TAK) 。 |
Microsoft 365 Apps 管理員 服務雲端原則活動
下表列出雲端原則 服務 中原則設定變更的活動,這些活動會在 Microsoft 365 稽核記錄中擷取。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立原則設定 | CreatedPolicyConfig | 已建立新的原則設定。 |
已刪除的原則設定 | DeletedPolicyConfig | 已刪除原則設定。 |
更新的原則設定 | UpdatedPolicyConfig | 現有的原則設定已更新,例如新增、變更或移除原則設定,或變更原則組態的名稱、描述或範圍。 |
更新的原則設定優先順序 | UpdatedPolicyConfigPriority | 原則設定的優先順序已變更。 |
Microsoft 365 備份 活動
下表列出Microsoft 365稽核記錄中記錄的 Microsoft 365 備份 活動。 Microsoft 365 備份 旨在確保貴組織的數據一律受到保護且易於復原。 如需 Microsoft 365 備份 的詳細資訊,請參閱 Microsoft 365 備份 概觀。
易記名稱 | 作業 | 描述 |
---|---|---|
啟用備份原則 | BackupPolicyActivated | Microsoft 365 備份 原則會從非使用中狀態啟動。 |
已啟動草稿還原工作 | RestoreTaskActivated | 已啟用 Microsoft 365 備份的草稿還原工作。 這是長時間執行的作業。 |
已建立的備份專案 | BackupItemAdded | 一或多個備份專案會新增至 Microsoft 365 備份 原則。 |
已移除備份專案 | BackupItemRemoved | 系統會從 Microsoft 365 備份 原則中移除一或多個備份專案。 |
已完成還原工作 | RestoreTaskCompleted | 還原工作已在 Microsoft 365 備份 中完成。 |
已建立草稿還原工作 | DraftRestoreTaskCreated | 還原工作會在 Microsoft 365 備份 中建立。 根據預設,還原工作會建立為草稿。 |
已建立新的備份原則 | NewBackupPolicyCreated | 全域 管理員 已建立新的 Microsoft 365 備份 原則。根據預設,備份原則會以非使用中狀態建立。 |
已刪除備份原則 | BackupPolicyDeleted | 已刪除 Microsoft 365 備份 原則。 |
已刪除草稿還原工作 | DraftRestoreTaskDeleted | 草稿還原工作會在 Microsoft 365 備份 中刪除。 |
已編輯備份原則 | BackupPolicyEdited | Microsoft 365 備份 原則已更新。 備份原則會由下列任何動作更新: 1.重新命名原則。 2.新增一或多個保護單位。 3.移除一或多個保護單位。 |
已編輯草稿還原工作 | DraftRestoreTaskEdited | 草稿還原工作會在 Microsoft 365 備份 中編輯。 |
暫停備份原則 | BackupPolicyPaused | Microsoft 365 備份 原則會從作用中狀態暫停。 |
以程序設計方式取得備份專案 | GetBackupItem | 使用者要求以程序設計方式使用 Microsoft 365 備份 來備份保護單位。 |
以程序設計方式取得備份原則的詳細數據 | ViewBackupPolicyDetails | 系統會以程式設計方式存取 Microsoft 365 備份 原則的詳細數據。 |
以程序設計方式取得還原工作的詳細數據 | GetRestoreTaskDetails | 用戶在 Microsoft 365 備份 中依其標識碼要求還原工作的詳細數據。 |
以程序設計方式取得所有備份原則的清單 | ListAllBackupPolicies | 使用者會以程序設計方式取得使用 Microsoft 365 備份 備份的所有備份原則清單。 |
以程序設計方式取得備份原則中的備份項目清單 | ListAllBackupItemsInPolicies | 系統會以程式設計方式要求 Microsoft 365 備份 備份原則中存在之所有保護單位的清單。 |
以程序設計方式取得租使用者中的備份項目清單 | ListAllBackupItemsInTenant | 使用者會以程序設計方式取得組織中使用 Microsoft 365 備份 備份的所有保護單位清單。 |
以程序設計方式取得工作負載中的備份項目清單 | ListAllBackupItemsInWorkload | 使用者會以程序設計方式取得工作負載中所有保護單位的清單, (SharePoint、OneDrive 或 Exchange) 使用 Microsoft 365 備份 進行備份。 |
以程序設計方式取得還原工作中的還原項目清單 | GetAllRestoreArtifactsInTask | 使用者會以程序設計方式取得 Microsoft 365 備份 中還原工作中的所有成品。 |
以程序設計方式取得還原點清單 | ListAllRestorePoints | 使用者會以程序設計方式取得 Microsoft 365 備份 中的所有還原點。 還原點代表每個保護原則) (保護成品的時間戳。 只有全域管理員可以存取。 |
以程序設計方式取得還原工作清單 | ListAllRestoreTasks | 使用者會以程序設計方式取得 Microsoft 365 備份 中現有還原會話的清單。 這包括針對組織中註冊的每個服務類型所建立的還原會話。 |
還原專案還原完成 | BackupItemRestoreCompleted | 已完成由 Microsoft 365 備份 備份之專案的還原。 |
已觸發還原專案還原 | BackupItemRestoreTriggered | 系統會針對備份 Microsoft 365 備份的項目觸發還原。 |
適用於端點的 Microsoft Defender 一般設定活動
下表列出記錄在 Microsoft 365 稽核記錄中 適用於端點的 Microsoft Defender 一般設定的活動。 如需設定 適用於端點的 Microsoft Defender 的詳細資訊,請參閱設定適用於端點的一般 Defender 設定。
若要檢視 適用於端點的 Microsoft Defender 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
下載的離線套件 | DownloadOffboardingPkg | 已下載用來從適用於端點的Defender 移除裝置的套件。 |
已下載上線套件 | DownloadOnboardingPkg | 下載用來將裝置上線至適用於端點的Defender的套件。 |
已變更數據保留期 | ChangeDataRetention | 編輯適用於端點的 Defender 的數據保留設定。 |
設定進階功能 | SetAdvancedFeatures | 已變更適用於端點的 Defender 中的進階功能,在事件期間啟用更精確的控制。 Microsoft 365 稽核記錄中只會記錄正式推出之進階功能的設定。 |
適用於端點的 Microsoft Defender指標設定活動
下表列出Microsoft 365 稽核記錄中所記錄 適用於端點的 Microsoft Defender 指標設定的活動。 如需 適用於端點的 Microsoft Defender 指標的詳細資訊,請參閱管理指標。
若要檢視 適用於端點的 Microsoft Defender 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增指標 | AddIndicator | 建立了新的入侵指標,可用來追蹤攻擊和事件。 |
編輯的指標 | EditIndicator | 編輯了入侵指標。 |
已刪除的指標 | DeleteIndicator | 已移除入侵指標。 |
適用於端點的 Microsoft Defender 回應動作活動
下表列出 適用於端點的 Microsoft Defender 回應動作的活動,包括記錄在 Microsoft 365 稽核記錄中的實時回應。 如需 適用於端點的 Microsoft Defender 回應動作的詳細資訊,請參閱在裝置上採取回應動作。
若要檢視 適用於端點的 Microsoft Defender 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
收集的調查套件 | CollectInvestigationPackage | 收集用來了解攻擊工具和技術之裝置的相關信息。 |
執行防病毒軟體掃描 | RunAntiVirusScan | 已在裝置上執行 Microsoft Defender 防病毒軟體掃描。 |
受限制的應用程式執行 | RestrictAppExecution | 防止惡意應用程式執行。 |
已移除應用程式限制 | RemoveAppRestrictions | 允許應用程式執行。 |
隔離裝置 | IsolateDevice | 將裝置與網路隔離,協助防止攻擊散佈。 |
從隔離釋放 | ReleaseFromIsolation | 已將隔離的裝置新增回網路。 |
已停止和隔離的檔案 | StopAndQuarantineFile | 隔離可疑的檔案以供進一步分析。 |
下載的檔案 | DownloadFile | 下載可疑的檔案以供進一步調查。 |
已離線的裝置 | DeviceOffBoarding | 已從適用於端點的Defender 移除裝置。 |
執行即時回應 API | RunLiveResponseApi | 透過 API 呼叫開啟即時回應會話,在裝置中開啟遠端殼層。 |
收集的記錄 | LogsCollection | 收集適用於端點的Defender的相關記錄資訊。 |
執行取得即時回應檔案連結 | LiveResponseGetFile | 開啟 Live 回應會話,在裝置中開啟遠端殼層。 |
執行即時回應會話 | RunLiveResponseSession | 執行即時回應會話,在裝置中開啟遠端殼層。 |
適用於端點的 Microsoft Defender 角色設定活動
下表列出Microsoft 365稽核記錄中所記錄 適用於端點的 Microsoft Defender 角色設定的活動。 如需 適用於端點的 Microsoft Defender 中角色的詳細資訊,請參閱建立和管理角色型訪問控制的角色。
若要檢視 適用於端點的 Microsoft Defender 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
AddRole | 已新增角色 | 已新增安全性角色和許可權。 |
EditRole | 已編輯的角色 | 已編輯的安全性角色和許可權。 |
DeleteRole | 已刪除的角色 | 已移除安全性角色和許可權。 |
Microsoft Defender 專家活動
下表列出 Microsoft Defender 專家中登入Microsoft 365 稽核記錄的活動。 如需 Microsoft Defender 專家的詳細資訊,請參閱瞭解 Microsoft Defender XDR 專家 和瞭解 Microsoft Defender 搜補專家
易記名稱 | 作業 | 描述 |
---|---|---|
已建立Defender專家分析師許可權 | DefenderExpertsAnalystPermissionCreated | 系統管理員將一或多個角色許可權授與 Defender 專家分析師,以調查事件或補救威脅。 |
已修改 Defender 專家分析師許可權 | DefenderExpertsAnalystPermissionModified | 系統管理員已修改 Defender 專家分析師的角色許可權,以調查事件或補救威脅。 |
適用於身分識別的 Microsoft Defender 活動
下表列出Microsoft 365稽核記錄中記錄的 適用於身分識別的 Microsoft Defender 活動。
若要檢視 適用於身分識別的 Microsoft Defender 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
更新的實體標籤 | TaggingConfigurationUpdated | 已在實體中新增或移除標記。 |
已新增排除組態 | ExclusionConfigurationAdded | 已針對警示或實體新增全域排除。 |
已更新排除組態 | ExclusionConfigurationUpdated | 警示或實體的全域排除已更新。 |
已刪除的排除組態 | ExclusionConfigurationDeleted | 已刪除警示或實體的全域排除。 |
已更新警示閾值設定 | WorkspaceAlertThresholdLevelUpdated | 警示閾值組態已更新。 |
已下載的安全性警示 Excel | AlertExcelDownloaded | 已下載警示的詳細 Excel 檔案。 |
已新增補救動作 | RemediationActionAdded | 已將補救動作新增至佇列。 |
已更新補救動作 | RemediationActionUpdated | 補救動作已完成。 |
已更新感測器組態 | SensorConfigurationUpdated | 感測器的組態已更新。 |
已新增感測器 | SensorCreated | 已新增感測器。 |
已移除感測器 | SensorDeleted | 已刪除感測器。 |
擷取的感測器部署金鑰 | SensorDeploymentAccessKeyReceived | 已擷取感測器存取金鑰。 |
重新產生的感測器部署金鑰 | SensorDeploymentAccessKeyUpdated | 感測器存取金鑰已重新產生。 |
已更新感測器啟用模式 | SensorActivationMethodConfigurationUpdated | 感測器啟用模式已修改。 |
下載的域控制器涵蓋範圍 Excel | DomainControllerCoverageExcelDownloaded | 已下載域控制器涵蓋範圍 Excel 檔案。 |
已更新目錄服務帳戶設定 | DirectoryServicesAccountConfigurationUpdated | 已修改目錄服務帳戶集。 |
已更新補救動作組態 | RemediationActionConfigurationUpdated | 管理動作帳戶集已修改。 |
更新的實體補救組態 | EntityRemediatorConfigurationUpdated | 已修改 [管理動作帳戶] 模式。 |
更新的健康情況問題 | MonitoringAlertUpdated | 已修改健康情況問題。 |
已下載報表 | ReportDownloaded | 已下載報表。 |
更新的報告程序設定 | ReporterConfigurationUpdated | 已修改報表的排程。 |
已更新 syslog 轉送組態 | SyslogServiceConfigurationUpdated | 已修改 syslog 轉送組態。 |
已更新安全性通知組態 | NotificationConfigurationUpdated | 已修改安全性警示或健康情況問題通知設定。 |
已新增警示通知收件者 | AlertNotificationsRecipientAdded | 已將收件者新增至安全性警示通知組態。 |
已刪除警示通知收件者 | AlertNotificationsRecipientDeleted | 已從安全性警示通知組態中移除收件者。 |
已新增健康情況問題通知收件者 | MonitoringAlertNotificationRecipientAdded | 收件者已新增至健康情況問題通知組態。 |
已刪除的健康情況問題通知收件者 | MonitoringAlertNotificationRecipientDeleted | 收件者已從健康問題通知設定中移除。 |
已更新 VPN 組態 | VpnConfigurationUpdated | VPN (半徑計量) 組態已修改。 |
已更新整合 RBAC 設定 | URbacAuthorizationStatusChanged | 已修改統一角色型 存取控制 組態。 |
建立的工作區 | WorkspaceCreated | 工作區已建立。 |
已刪除的工作區 | WorkspaceDeleted | 工作區已刪除。 |
Microsoft Defender 全面偵測回應 自定義偵測活動
下表列出記錄在 Microsoft 365 稽核記錄中之 Microsoft Defender 全面偵測回應 的自定義偵測活動。 如需 Microsoft Defender 全面偵測回應 自定義偵測的詳細資訊,請參閱建立和管理自定義偵測規則。
若要檢視 Microsoft Defender 全面偵測回應 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立自定義偵測規則 | CreateCustomDetection | 已建立新的自定義偵測規則。 |
編輯的自定義偵測規則 | EditCustomDetection | 已修改自定義偵測規則。 |
已變更自定義偵測規則狀態 | ChangeCustomDetectionRuleStatus | 自定義偵測規則已關閉或開啟。 |
執行自定義偵測規則 | RunCustomDetection | 已手動執行自定義偵測規則。 |
已刪除的自定義偵測規則 | DeleteCustomDetection | 已移除自定義偵測規則。 |
Microsoft Defender 全面偵測回應 事件活動
下表列出記錄在 Microsoft 365 稽核記錄中之 Microsoft Defender 全面偵測回應 的事件活動。 如需 Microsoft Defender 全面偵測回應 中事件的詳細資訊,請參閱事件概觀。
若要檢視 Microsoft Defender 全面偵測回應 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
已將批註新增至事件 | AddCommentToIncident。 | 已將批註新增至事件。 |
指派給事件的使用者 | AssignUserToIncident | 指派給事件的使用者。 |
未指派的使用者到事件 | UnAssignUserFromIncident | 未指派的使用者到事件。 |
已更新的事件狀態 | UpdateIncidentStatus | 已更新事件狀態。 |
編輯事件分類 | EditIncidentClassification | 編輯事件分類。 |
已將標籤新增至事件 | AddTagsToIncident | 已將標記新增至事件。 |
已從事件中移除標籤 | RemoveTagsFromIncident | 已從事件中移除標籤。 |
Microsoft Defender 全面偵測回應 隱藏規則活動
下表列出記錄在 Microsoft 365 稽核記錄中 Microsoft Defender 全面偵測回應 隱藏規則的活動。 如需有關 Microsoft Defender 全面偵測回應 中隱藏規則的詳細資訊,請參閱管理隱藏規則。
若要檢視 Microsoft Defender 全面偵測回應 活動,必須在 Microsoft Defender 全面偵測回應 入口網站中啟用統一稽核記錄。 如需詳細資訊,請 參閱啟用統一稽核記錄。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立隱藏規則 | CreateSuppressionRule | 已建立警示歸並規則。 |
編輯的隱藏規則 | EditSuppressionRule | 已刪除警示歸並規則。 |
已啟用隱藏規則 | EnableSuppressionRule | 已啟用警示隱藏規則。 |
停用隱藏規則 | DisableSuppressionRule | 已停用警示歸並規則。 |
已刪除的歸併規則 | DeleteSuppressionRule | 已刪除警示歸並規則。 |
Microsoft Entra 群組管理活動
下表列出當系統管理員或使用者建立或變更 Microsoft 365 群組時,或當系統管理員透過 Microsoft 365 系統管理員中心或 Azure 管理入口網站建立安全性群組時,會記錄的群組管理活動。 如需有關 Microsoft 365 中的群組詳細資訊,請參閱檢視、建立及刪除 Microsoft 365 系統管理員中心的群組。
注意事項
下表的 [作業] 欄中所列的作業名稱包含一個句點 (.
)。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" "
) 來含括作業名稱。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增群組 | 新增群組。 | 已建立群組。 |
已將成員新增至群組中 | 將成員新增至群組。 | 已將成員新增至群組中。 |
已刪除群組 | 刪除群組。 | 已刪除群組。 |
已移除群組中的成員 | 移除群組的成員。 | 已移除群組中的成員。 |
已更新群組 | 更新群組。 | 已變更群組的屬性。 |
Microsoft網狀架構活動
您可以在 Power BI 中搜尋活動的稽核記錄。 如需稽核設定的相關信息,請參閱 稽核和使用量租用戶設定。
Microsoft 365 組織預設會開啟稽核記錄。 如果未為您的組織開啟稽核,則會出現一個橫幅,提示您開始錄製使用者和系統管理員活動。 如需指示, 請參閱開啟稽核。
Microsoft Teams 活動
此章節的表格列出稽核記錄中記錄的 Microsoft Forms 使用者和系統管理員活動。 Microsoft Forms 是用來收集資料的表單/測驗/問卷工具,以進行資料分析。 以下說明中指出部分作業包含的其他活動參數。
如果共同作者或匿名回應者執行 Forms 活動,其記錄方式會稍有不同。 如需詳細資訊,請參閱由共同作者和匿名回應者執行的 Forms 活動一節。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立註解 | CreateComment | 表單擁有者為測驗新增註解或分數。 |
已建立表單 | CreateForm | 表單擁有者建立新表單。 Property DataMode:string 指示若屬性值等於 DataSync,則目前的表單設定為與新的或現有的 Excel 活頁簿同步。 屬性 ExcelWorkbookLink:string 指示目前表單的關聯 Excel 活頁簿識別碼。 |
已編輯表單 | EditForm | 表單擁有者編輯表單,例如建立、移除或編輯問題。 屬性 EditOperation:string 指出編輯作業名稱。 可能的作業如下: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage 包含在表單中使用者可上傳影像的任何位置,例如在查詢中或做為背景佈景主題。 |
已移動表單 | MoveForm | 表單擁有者移動表單。 屬性 DestinationUserId:字串表示移動表單人員的使用者識別碼。 屬性 NewFormId:字串是新複製表單的全新識別碼。 屬性 IsDelegateAccess:boolean 指示目前表單移動動作是透過系統管理員委派頁面執行。 |
已刪除表單 | DeleteForm | 表單擁有者刪除表單。 這包含 SoftDelete (刪除使用的選項和移至資源回收筒的表單) 與 HardDelete (清空資源回收筒)。 |
已檢視表單 (設計階段) | ViewForm | 表單擁有者開啟現有表單以進行編輯。 屬性 AccessDenied:boolean 指示目前表單的存取因權限檢查而遭拒絕。 屬性 FromSummaryLink:boolean 指示目前的要求來自摘要連結頁面。 |
已預覽表單 | PreviewForm | 表單擁有者使用 [預覽] 功能預覽表單。 |
已匯出表單 | ExportForm | 表單擁有者將結果匯出到 Excel。 屬性 ExportFormat:字串表示 Excel 檔案為下載或線上。 |
允許複製共用表單 | AllowShareFormForCopy | 表單擁有者建立範本連結,以與其他使用者共用表單。 當表單擁有者選取產生範本 URL 時,就會記錄此事件。 |
已禁止複製共用表單 | DisallowShareFormForCopy | 表單擁有者刪除範本連結。 |
已新增表單共同撰寫 | AddFormCoauthor | 使用者使用共同作業連結來協助設計/檢視回應。 當使用者使用共同作業 URL (而不是第一次產生共同作業 URL 時),系統會記錄此事件。 |
已移除表單共同撰寫 | RemoveFormCoauthor | 表單擁有者刪除共同作業連結。 |
已檢視回應頁面 | ViewRuntimeForm | 使用者已開啟要檢視的回應頁面。 無論使用者是否提交回應,系統都會記錄此事件。 |
已建立回應 | CreateResponse | 類似於接收新回應。 使用者已提交表單的回應。 屬性 ResponseId:字串和屬性 ResponderId:字串表示正在檢視哪項結果。 針對匿名回應者,ResponderId 屬性為 null。 |
已更新回應 | UpdateResponse | 表單擁有者已在測驗上更新註解或分數。 屬性 ResponseId:字串和屬性 ResponderId:字串表示正在檢視哪項結果。 針對匿名回應者,ResponderId 屬性為 null。 |
已刪除所有回應 | DeleteAllResponses | 表單擁有者刪除所有回應資料。 |
已刪除回應 | DeleteResponse | 表單擁有者刪除一項回應。 屬性 ResponseId:字串表示正刪除回應。 |
已檢視回應 | ViewResponses | 表單擁有者檢視回應的彙總清單。 屬性 ViewType:字串表示表單擁有者是否正在檢視彙總詳細資料 |
已檢視回應 | ViewResponse | 表單擁有者檢視特定回應。 屬性 ResponseId:字串和屬性 ResponderId:字串表示正在檢視哪項結果。 針對匿名回應者,ResponderId 屬性為 null。 |
已建立摘要連結 | GetSummaryLink | 表單擁有者建立摘要結果連結以共用結果。 |
已刪除摘要連結 | DeleteSummaryLink | 表單擁有者刪除摘要結果連結。 |
已更新表單網路釣魚狀態 | UpdatePhishingStatus | 每當內部安全性狀態的詳細資料值變更時,系統就會記錄此事件,無論這是否會變更最後的安全性狀態 (例如,現在已關閉或開啟表單)。 這表示您可能會看到不具有最終安全性狀態變更的重複事件。 此事件的可能狀態值如下: - 記下 - 由系統管理員記下 - 系統管理員解除封鎖 - 自動封鎖 - 自動解除封鎖 - 客戶報告 - 重設客戶報告 |
更新的使用者網路釣魚狀態 | UpdateUserPhishingStatus | 每當使用者安全性狀態的值變更時,就會記錄此事件。 當使用者建立的網路釣魚表單已由 Microsoft Online 安全小組記下,即會將稽核記錄中使用者狀態的值確認為網路釣魚者。 如果系統管理員解除封鎖該使用者,該使用者的狀態值會設定為 [重設為一般使用者]。 |
已傳送 Forms Pro 邀請 | ProInvitation | 用戶選取以啟用 Pro 試用版。 |
已更新表單設定 | UpdateFormSetting | 表單擁有者更新一或多個表單設定。 屬性 FormSettingName:string 指示更新的敏感性設定名稱。 屬性 NewFormSettings:string 指示更新的設定名稱和新值。 屬性 thankYouMessageContainsLink:boolean 表示更新的 thank-you 訊息包含 URL 連結。 |
已編輯使用者設定 | UpdateUserSetting | 表單擁有者更新使用者設定。 屬性 UserSettingName:字串表示設定的名稱和新值。 |
已列出表單 | ListForms | 表單擁有者正檢視表單清單。 屬性 ViewType:字串表示表單擁有者正查看何種檢視:[所有表單]、[與我共用] 或 [群組表單] |
已提交回應 | SubmitResponse | 使用者提交表單的回應。 屬性 IsInternalForm:如果回應者與表單擁有者位於同一組織中,則會顯示布林值。 |
已啟用任何人都可以回應設定 | AllowAnonymousResponse | 表單擁有者開啟允許任何人回應表單的設定。 |
已停用任何人都可以回應設定 | DisallowAnonymousResponse | 表單擁有者關閉允許任何人回應表單的設定。 |
已啟用特定人員可以回應設定 | EnableSpecificResponse | 表單擁有者開啟只允許目前組織中特定人員或特定群組回應表單的設定。 |
已停用特定人員可以回應設定 | DisableSpecificResponse | 表單擁有者關閉只允許目前組織中特定人員或特定群組回應表單的設定。 |
已新增特定回應者 | AddSpecificResponder | 表單擁有者將新使用者或群組新增到特定回應者清單。 |
已移除特定回應者 | RemoveSpecificResponder | 表單擁有者將使用者或群組從特定回應者清單移除。 |
已停用共同作業 | DisableCollaboration | 表單擁有者關閉表單上的共同作業設定。 |
已啟用 Office 365 公司或學校帳戶共同作業 | EnableWorkOrSchoolCollaboration | 表單擁有者開啟設定,允許具有 Microsoft 365 公司或學校帳戶的使用者檢視及編輯表單。 |
已啟用我組織中的人員共同作業 | EnableSameOrgCollaboration | 表單擁有者開啟設定,允許目前組織的使用者檢視及編輯表單。 |
已啟用特定人員共同作業 | EnableSpecificCollaboaration | 表單擁有者開啟只允許目前組織中特定人員或特定群組檢視及編輯表單的設定。 |
已連線至 Excel 活頁簿 | ConnectToExcelWorkbook | 已將表單連線至 Excel 活頁簿。 屬性 ExcelWorkbookLink:string 指示目前表單的關聯 Excel 活頁簿識別碼。 |
已建立集合 | CollectionCreated | 表單擁有者已建立集合。 |
已更新集合 | CollectionUpdated | 表單擁有者已更新集合屬性。 |
已從資源回收筒刪除集合 | CollectionHardDeleted | 表單擁有者已從資源回收筒刪除集合。 |
已將集合移至資源回收筒 | CollectionSoftDeleted | 表單擁有者已將集合移至資源回收筒。 |
已重新命名集合 | CollectionRenamed | 表單擁有者已變更集合的名稱。 |
已將表單移入集合 | MovedFormIntoCollection | 表單擁有者已將表單移至集合。 |
已將表單從集合移出 | MovedFormOutofCollection | 表單擁有者已將表單從集合移出。 |
由共同作者和匿名回應者執行的 Forms 活動
在設計表單和分析回應時,Forms 支援共同作業。 表單共同作業者稱為 [共同作者]。 除了刪除或移動表單以外,共同作者可以執行表單擁有者可以執行的所有動作。 Forms 也可讓您建立可匿名回應的表單。 這表示回應者不需要登入您的組織就能回應表單。
下表說明共同作者和匿名回應者執行之活動的稽核記錄中的稽核活動和資訊。
活動類型 | 內部或外部使用者 | 已登入的使用者識別碼 | 已登入的組織 | Forms 使用者類型 |
---|---|---|---|---|
共同撰寫活動 | 內部 | UPN | 表單擁有者的組織 | 共同作者 |
共同撰寫活動 | 外部 | UPN |
共同作者的組織 |
共同作者 |
共同撰寫活動 | 外部 | urn:forms:coauthor#a0b1c2d3@forms.office.com (識別碼的第二部分是雜湊,會因使用者而有所不同) |
表單擁有者的組織 |
共同作者 |
回應活動 | 外部 | UPN |
回應者的組織 |
回應者 |
回應活動 | 外部 | urn:forms:external#a0b1c2d3@forms.office.com (使用者識別碼的第二部分是雜湊,會因使用者而有所不同) |
表單擁有者的組織 | 回應者 |
回應活動 | 匿名 | urn:forms:anonymous#a0b1c2d3@forms.office.com (使用者識別碼的第二部分是雜湊,會因使用者而有所不同) |
表單擁有者的組織 | 回應者 |
Microsoft圖形數據連線
下表列出 Microsoft Graph Data Connect 中記錄以進行稽核的使用者和系統管理員活動。 數據表包含 [ 活動 ] 資料行中顯示的易記名稱,以及當您匯出搜尋結果時出現在稽核記錄詳細資訊和 CSV 檔案中之對應作業的名稱。
易記名稱 | 作業 | 描述 |
---|---|---|
已核准或拒絕應用程式 | ConsentModificationRequest | 用戶已執行同意修改要求。 |
已執行 | DataAccessRequestOperation | 用戶執行擷取。 已排除合作夥伴數據集和ISV執行。 |
Microsoft Planner 活動
下表列出 Microsoft Planner 中記錄以進行稽核的用戶和系統管理員活動。 數據表包含 [ 活動 ] 資料行中顯示的易記名稱,以及當您匯出搜尋結果時出現在稽核記錄詳細資訊和 CSV 檔案中之對應作業的名稱。
注意事項
Planner 中的公事包活動會使用 Microsoft Project for Web 藍圖活動來記錄。 如需詳細資訊,請參閱Microsoft Project 網頁版 活動一節。
易記名稱 | 作業 | 描述 |
---|---|---|
讀取方案 | PlanRead | 使用者或應用程式會讀取方案。 如果讀取作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ContainerType 會指出 ContainerType.Invalid,而 ContainerId 則表示 null。 |
已建立計劃 | PlanCreated | 方案是由使用者或應用程式所建立。 如果建立作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 表示 Null,ContainerType 表示 ContainerType.Invalid,ContainerId 表示 Null。 |
已修改計劃 | PlanModified | 方案會由使用者或應用程式修改。 |
已刪除計劃 | PlanDeleted | 使用者或應用程式會刪除方案。 |
複製計劃 | PlanCopied | 方案是由使用者或應用程式複製。 如果複製作業是 ResultStatus.Failure 或 ResultStatus.Failure,newPlanId 表示 null,newContainerType 表示 ContainerType.Invalid,而 newContainerId 表示 null。 |
讀取工作 | TaskRead | 使用者或應用程式會讀取工作。 如果讀取作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 PlanId 表示為 null。 |
已建立工作 | TaskCreated | 工作是由使用者或應用程式所建立。 如果建立作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 表示 null,而 PlanId 表示 null。 |
已修改工作 | TaskModified | 工作會由使用者或應用程式修改。 |
已刪除工作 | TaskDeleted | 使用者或應用程式會刪除工作。 |
指派工作 | TaskAssigned | 使用者或應用程式會修改工作的受託人。 這可以是已指派的未指派工作,或指派的工作具有新的被指派者。 |
已完成工作 | TaskCompleted | 使用者或應用程式會將工作標示為已完成。 |
已建立名冊 | 名冊建立 | 名冊是由使用者或應用程式所建立。 如果建立作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 表示 Null,MemberIds 表示空字元串。 |
已刪除名冊 | 名冊刪除 | 使用者或應用程式會刪除名冊。 |
已將成員 (的) 新增至名冊 | RosterMemberAdded | 成員 (的) 會新增至名冊。 如果新增作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,MemberIds 會指出嘗試的成員標識符清單。 |
已移除成員 (名冊) | RosterMemberDeleted | 成員 (的) 會從名冊中移除。 如果移除作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,MemberIds 會指出已嘗試的成員標識符清單。 |
讀取方案清單 | PlanListRead | 使用者或應用程式會查詢方案清單。 如果查詢作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,PlanList 會指出空字串。 |
讀取工作清單 | TaskListRead | 使用者或應用程式會查詢工作清單。 如果查詢作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,TaskList 表示空字串。 |
更新的租用戶設定 | TenantSettingsUpdated | 租用戶設定會由租用戶系統管理員更新。如果更新作業是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectId 表示原始設定,而 TenantSettings 表示嘗試的租用戶設定。 |
已更新名冊的敏感度標籤 | RosterSensitivityLabelUpdated | 使用者或應用程式會更新名冊的敏感度標籤。 |
Microsoft Power Apps 活動
您可以在 Power Apps 中搜尋應用程式相關活動的稽核記錄。 這些活動包括建立、啟動和發佈應用程式。 將權限指派給應用程式也會經過稽核。 如需所有 Power Apps 活動的說明,請參閱 Power Apps 的活動記錄。
注意事項
PowerApps 目前不支援 RecordType:45) (警示 (保護警示) 稽核事件。
Microsoft Power Automate 活動
您可以在 Power Automate (之前稱為 Microsoft Flow) 中搜尋活動的稽核記錄。 這些活動包括建立、編輯和刪除流程,以及變更流程權限。 如需Power Automate 活動的稽核相關信息,請參閱部落 格 Power Automate 稽核事件現在可在合規性入口網站中取得。
Microsoft Project 網頁版 活動
您可以在稽核記錄中搜尋Microsoft Project 網頁版 中的活動。 Microsoft Project 網頁版 建置在 Microsoft Dataverse 上,並具有相關聯的 Project Power App。 若要針對使用者使用 Microsoft Dataverse 或 Project Power App 的案例啟用稽核,請參閱 系統設定稽核索引卷標 指引。 如需與 Project 網頁版 相關的實體清單,請參閱從 Project 網頁版 匯出用戶數據指引。
如需Microsoft Project 網頁版 的相關信息,請參閱Microsoft Project 網頁版。
注意事項
Microsoft Project 網頁版 活動的稽核事件需要付費 Project 方案 1 授權 (或更高的) 。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立的專案 | ProjectCreated | 專案是由使用者或應用程式所建立。 |
建立藍圖 | RoadmapCreated | 藍圖或組合是由使用者或應用程式所建立。 |
已建立藍圖專案 | RoadmapItemCreated | 藍圖或公事包專案是由用戶或應用程式所建立。 |
已建立的工作 | TaskCreated | 工作是由使用者或應用程式所建立。 |
已刪除的專案 | ProjectDeleted | 使用者或應用程式會刪除專案。 |
已刪除藍圖 | RoadmapDeleted | 藍圖或公事包會由使用者或應用程式刪除。 |
已刪除藍圖專案 | RoadmapItemDeleted | 藍圖或公事包專案會由使用者或應用程式刪除。 |
已刪除的工作 | TaskDeleted | 使用者或應用程式會刪除工作。 |
存取的專案 | ProjectAccessed | 項目為讀取或應用程式。 |
存取的專案首頁 | ProjectListAccessed | 用戶會查詢專案和/或藍圖的清單。 |
已存取藍圖 | RoadmapAccessed | 藍圖或公事包是由用戶或應用程式讀取。 |
存取的藍圖專案 | RoadmapItemAccessed | 藍圖或公事包專案是由使用者或應用程式讀取。 |
存取的工作 | TaskAccessed | 使用者或應用程式會讀取工作。 |
已更新項目設定 | ProjectForTheWebProjectSettings | 系統管理員會更新項目設定。 |
已更新藍圖 | RoadmapUpdated | 藍圖或公事包是由用戶或應用程式修改。 |
已更新藍圖專案 | RoadmapItemUpdated | 藍圖或公事包專案會由使用者或應用程式修改。 |
已更新藍圖設定 | ProjectForTheWebRoadmaptSettings | 藍圖或公事包設定會由系統管理員更新。 |
已更新的工作 | TaskUpdated | 工作會由使用者或應用程式修改。 |
已更新的專案 | ProjectUpdated | 專案會由使用者或應用程式修改。 |
Microsoft Purview 稽核 解決方案活動
下表列出與 Microsoft Purview 入口網站、Microsoft Purview 合規性入口網站 和稽核搜尋 圖形 API 中稽核解決方案相關聯的活動。 這些活動會在 SecurityComplianceCenter 工作負載下稽核。 如需詳細資訊,請 參閱搜尋稽核記錄。
不會稽核使用 Search-UnifiedAuditLog 執行的稽核搜尋和導出活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立稽核搜尋 | AuditSearchCreated | 系統會提交新的稽核搜尋要求。 |
稽核搜尋已完成 | AuditSearchCompleted | 稽核搜尋作業已完成。 |
稽核搜尋已取消 | AuditSearchCancelled | 稽核搜尋作業已取消。 |
稽核搜尋已刪除 | AuditSearchDeleted | 稽核搜尋作業已刪除。 |
稽核已建立的搜尋導出作業 | AuditSearchExportJobCreated | 系統會建立導出作業來導出稽核搜尋查詢的搜尋結果。 |
稽核搜尋導出作業已完成 | AuditSearchExportJobCompleted | 匯出稽核搜尋查詢搜尋結果的導出作業已完成。 |
稽核已下載的搜尋匯出結果 | AuditSearchExportResultsDownloaded | 已下載稽核搜尋查詢的搜尋結果。 |
Microsoft Purview 治理活動
下表列出Microsoft記錄在 Microsoft 365 稽核記錄檔中的 Purview 治理活動。 如需詳細資訊, 請參閱 Microsoft Purview 治理解決方案。
易記名稱 | 作業 | 描述 |
---|---|---|
資產或已建立的實體 | EntityCreated | 新的資產或實體會建立或新增至現有的資產。 |
已新增分類 | ClassificationAdded | 將分類新增至資產實體。 |
已建立分類定義 | ClassificationDefinitionCreated | 建立分類類型。 |
已刪除分類定義 | ClassificationDefinitionDeleted | 刪除分類類型。 |
已更新分類定義 | ClassificationDefinitionUpdated | 更新分類類型。 |
已刪除分類 | ClassificationDeleted | 從資產實體刪除分類。 |
已更新分類 | ClassificationUpdated | 更新資產實體的分類。 |
實體已刪除 | EntityDeleted | 資產或實體會從現有的資產中刪除。 |
實體已更新 | EntityUpdated | 包含:屬性更新、商務屬性更新、集合資訊 (只包含集合標識碼) 、聯繫人更新、customAttributes、階層、homeId、卷標、sourceDetails |
已指派字彙字詞 | GlossaryTermAssigned | 將條款指派給資產實體。 |
已建立詞彙 | GlossaryTermCreated | 建立字詞。 |
字彙字詞已刪除 | GlossaryTermDeleted | 刪除字詞。 |
詞彙解除關聯 | GlossaryTermDisassociated | 將條款與資產實體解除關聯。 |
字彙字詞已更新 | GlossaryTermUpdated | 更新字詞。 |
敏感度標籤已變更 | SensitivityLabelChanged | 新增/更新/刪除敏感度標籤。 |
Microsoft Stream 活動
您可以在 Microsoft Stream 中搜尋活動的稽核記錄。 這些活動包括使用者執行的視訊活動、群組頻道活動及系統管理員活動,例如管理使用者、管理組織設定及匯出報告。 如需這些活動的說明,請參閱 Microsoft Stream 中的稽核記錄 中的「Stream 中記錄的動作」一節。
Microsoft Teams 活動
下表列出Microsoft 365 稽核記錄中記錄的Microsoft Teams 活動。 您可以在 Microsoft Teams 中搜尋使用者和系統管理員活動的稽核記錄。 Teams 是 Microsoft 365 中以聊天方式為主的工作區。 它能將小組的交談、會議、檔案及筆記存放在同一個位置。 如需更詳細的搜尋指引,請 參閱在 Microsoft Teams 中搜尋事件的稽核記錄。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
易記名稱 | 作業 | 描述 |
---|---|---|
已將 Bot 新增到小組 | BotAddedToTeam | 使用者在小組中新增機器人。 |
新增頻道 | ChannelAdded | 使用者在小組中新增頻道。 |
已新增連接器 | ConnectorAdded | 使用者在頻道中新增連接器。 |
已新增Teams會議9的詳細 數據 | MeetingDetail | Teams 新增了會議的相關信息,包括開始時間、結束時間,以及加入會議的 URL。 |
新增會議參與者 9 的相關信息 | MeetingParticipantDetail | Teams 新增了會議參與者的相關信息,包括每個參與者的使用者標識碼、參與者加入會議的時間,以及參與者離開會議的時間。 |
已新增成員 6、8 | MemberAdded | 小組擁有者將成員新增至小組、頻道或群組聊天。 |
已新增索引標籤 | TabAdded | 使用者在頻道中新增索引標籤。 |
套用的敏感度標籤 | SensitivityLabelApplied | 用戶或會議召集人將敏感度標籤套用至 Teams 會議。 |
已變更的頻道設定 | ChannelSettingChanged | 小組成員執行下列活動時會記錄 ChannelSettingChanged 作業。 針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 () 括弧中所顯示之設定的描述。
|
已變更的組織設定 | TeamsTenantSettingChanged | 當全域系統管理員在 Microsoft 365 系統管理中心 中執行下列活動時,會記錄 TeamsTenantSettingChanged 作業。 這些活動會影響全組織 Teams 設定。 若要深入瞭解,請 參閱管理組織的Teams設定。 針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 () 括弧中所顯示之設定的描述。
|
小組中已變更的成員角色 | MemberRoleChanged | 小組擁有者在小組中變更成員角色。 下列值表示指派給使用者的角色類型。 1 - 指出成員角色。 2 - 指出擁有者角色。 3 - 代表「來賓」角色。 Members 屬性也包含您組織的名稱和成員的電子郵件位址。 |
已變更的小組設定 | TeamSettingChanged | 小組擁有者執行下列活動時會記錄 TeamSettingChanged 作業。 針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 () 括弧中所顯示之設定的描述。
|
已變更敏感度標籤 | SensitivityLabelChanged | 用戶已變更Teams會議上的敏感度標籤。 |
建立聊天 1、6 | ChatCreated | 已建立Teams聊天。 |
已建立小組 | TeamCreated | 使用者建立小組。 |
刪除訊息 2 | MessageDeleted | 已刪除聊天或頻道中的訊息。 |
已刪除所有組織應用程式 | DeletedAllOrganizationApps | 已從目錄中刪除所有組織應用程式。 |
已刪除的應用程式 | AppDeletedFromCatalog | 已從目錄中刪除應用程式。 |
已刪除頻道 | ChannelDeleted | 使用者從小組中刪除頻道。 |
已刪除小組 | TeamDeleted | 小組擁有者刪除小組。 |
在 Teams 中編輯具有 URL 連結的訊息 | MessageEditedHasLink | 用戶會編輯訊息,並在 Teams 中新增其 URL 連結。 |
導出的訊息 1,2 | MessagesExported | 已匯出聊天或頻道訊息。 |
導出的錄製 1 | RecordingExported | 已匯出聊天錄製。 |
匯出文字記錄 1 | TranscriptsExported | 已匯出聊天文字記錄。 |
無法驗證共用通道 3 的邀請 | FailedValidation | 用戶回應共用通道的邀請,但邀請驗證失敗。 |
擷取的聊天 1 | ChatRetrieved | 已擷取Microsoft Teams 聊天。 |
擷取訊息1的所有裝載內容 | MessageHostedContentsListed | 已擷取訊息中的所有裝載內容,例如影像或代碼段。 |
已安裝的應用程式 | AppInstalled | 已安裝應用程式。 |
在卡片上執行動作 | PerformedCardAction | 使用者對聊天中的調適型卡片採取動作。 調適型卡片通常供 Bot 使用,以允許在聊天中豐富顯示資訊和互動。 注意: 稽核記錄中只會提供聊天內調適型卡片的內嵌輸入動作。 例如,當使用者在Poll Bot所產生的調適型卡片上,於頻道交談中提交投票回應時。 稽核記錄中將無法使用用戶動作,例如「檢視結果」,其會開啟對話框,或對話框內的用戶動作。 |
張貼新訊息 1、6、8 | MessageSent | 新的訊息已張貼到聊天或頻道。 |
在聊天中填入 AI 產生的筆記 | AINotesUpdate | 已為群組聊天填入 AI 產生的筆記。 |
在即時會議中填入 AI 產生的筆記 | LiveNotesUpdate | AI 產生的筆記已填入即時會議。 |
已發佈的應用程式 | AppPublishedToCatalog | 應用程式已新增至目錄。 |
讀取訊息 1 | MessageRead | 已擷取聊天或頻道的訊息。 |
讀取訊息 1 的裝載內容 | MessageHostedContentRead | 已擷取訊息中的託管內容,例如影像或代碼段。 |
已將機器人從小組中移除 | BotRemovedFromTeam | 使用者將機器人從小組中移除。 |
已移除連接器 | ConnectorRemoved | 使用者從通道移除連接器。 |
已移除成員 6、8 | MemberRemoved | 小組擁有者將成員從小組、頻道或群組聊天移除。 |
已移除敏感度標籤 | SensitivityLabelRemoved | 使用者已從 Teams 會議移除敏感度標籤。 |
已移除小組頻道 3 的共用 | TerminatedSharing | 小組或頻道擁有者已停用共用頻道的共用。 |
已還原小組頻道 3 的共用 | SharingRestored | 已重新啟用共用頻道的小組或頻道擁有者共用。 |
已移除索引標籤 | TabRemoved | 使用者將索引標籤從頻道中移除。 |
回應共用通道 3 的邀請 | InviteeResponded | 用戶回應了共用通道邀請。 |
回應共用通道 3 的邀請回應 | ChannelOwnerResponded | 頻道擁有者回應回應共用通道邀請之用戶的回應。 |
擷取的訊息 1 | MessagesListed | 已擷取來自聊天或頻道的訊息。 |
在 Teams 中傳送具有 URL 連結的訊息 | MessageCreatedHasLink | 使用者在 Teams 中傳送包含 URL 連結的訊息。 |
已傳送訊息建立的變更通知 1 | MessageCreatedNotification | 已傳送變更通知,通知訂閱的接聽程式應用程式有新的訊息。 |
已傳送訊息刪除的變更通知 1 | MessageDeletedNotification | 已傳送變更通知,通知訂閱的接聽程式應用程式已刪除的訊息。 |
已傳送訊息更新 1 的變更通知 | MessageUpdatedNotification | 已傳送變更通知,以通知已訂閱的接聽程式應用程式已更新的訊息。 |
已傳送共用通道 3 的邀請 | InviteSent | 頻道擁有者或成員傳送邀請至共用通道。 如果通道原則設定為與外部使用者共用頻道,則可以將共用通道的邀請傳送給組織外部的人員。 |
訂閱訊息變更通知 1 | SubscribedToMessages | 接聽程式應用程式已建立訂用帳戶,以接收訊息的變更通知。 |
已卸載的應用程式 | AppUninstalled | 應用程式已卸載。 |
已更新的應用程式 | AppUpdatedInCatalog | 目錄中的應用程式已更新。 |
已更新聊天 1 | ChatUpdated | Teams 聊天已更新。 |
更新訊息 1 | MessageUpdated | 已更新聊天或頻道的訊息。 |
已更新連接器 | ConnectorUpdated | 使用者已修改頻道中的連接器。 |
已更新索引標籤 | TabUpdated | 使用者已修改頻道中的索引標籤。 |
升級的應用程式 | AppUpgraded | 應用程式已升級至目錄中的最新版本。 |
使用者已登入 Teams | TeamsSessionStarted | 使用者登入 Microsoft Teams 用戶端。 此事件不會擷取權杖重新整理活動。 |
張貼的新訊息 3,4,6,8 | MessageSent | 新的訊息已張貼到聊天或頻道。 |
注意事項
1 只有在呼叫Microsoft 圖形 API 執行作業時,才會記錄此事件的稽核記錄。 如果作業是在 Teams 用戶端中執行,則不會記錄稽核記錄
2 此事件僅適用於 Audit (Premium) 。 這表示必須先將適當的授權指派給使用者,才能將這些事件記錄在稽核記錄中。 For more information about activities only available in Audit (Premium), see Audit (Premium) in Microsoft Purview. 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案。
3 此事件處於公開預覽狀態。
4只有當有來賓、同盟和/或匿名使用者時,才會針對聊天產生此事件。
5 此事件目前無法在政府社群雲端 (GCC) 、Government Community Cloud High (GCC-High) ,以及美國國防部 (DoD) 組織中使用。
6 此事件包含在同盟聊天的所有參與租使用者中。
7 此活動具有 1:1 同盟聊天的參與網域資訊。
8 此活動包含在組織所管理的外部Teams使用者與未受組織管理的外部Teams用戶之間的所有聊天交談中。
9 此事件目前無法在政府社群雲端 (GCC) 中使用,但適用於政府社群雲端高 (GCC-High) 和美國國防部 (DoD) 組織。
Microsoft Teams 醫療保健活動
如果貴組織正在 Microsoft Teams 中使用病患應用程式,則可以在稽核記錄中搜尋與病患應用程式相關的活動。 如果您的環境設定為支援病患應用程式,則活動選擇器清單中提供了這些活動的其他活動群組。
如需有關病患應用程式活動的說明,請參閱病患應用程式的稽核記錄。
Microsoft Teams 班次活動
下表列出在 Microsoft 365 稽核記錄中記錄Microsoft Teams 活動中的 Shift 應用程式。 如果貴組織正在 Microsoft Teams 中使用班次應用程式,則您可以在稽核記錄中搜尋與使用班次應用程式相關的活動。 如果您的環境設定為支援班次應用程式,則活動選擇器清單中提供了這些活動的額外活動群組。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增排程群組 | ScheduleGroupAdded | 使用者成功將新的排程群組新增至排程。 |
編輯的排程群組 | ScheduleGroupEdited | 使用者成功編輯排程群組。 |
已刪除的排程群組 | ScheduleGroupDeleted | 使用者成功從排程中刪除排程群組。 |
排程排程 | ScheduleWithdrawn | 使用者成功撤銷已發佈的排程。 |
已新增班次 | ShiftAdded | 使用者成功新增班次。 |
編輯的班次 | ShiftEdited | 使用者成功編輯班次。 |
已刪除的班次 | ShiftDeleted | 使用者成功刪除班次。 |
新增的休假時間 | TimeOffAdded | 使用者已成功在排程上新增休假時間。 |
編輯的休假時間 | TimeOffEdited | 使用者成功編輯休假時間。 |
已刪除的休假時間 | TimeOffDeleted | 使用者成功刪除休假時間。 |
已新增開啟移位 | OpenShiftAdded | 使用者成功將開啟的班次新增至排程群組。 |
編輯的開啟班次 | OpenShiftEdited | 使用者成功編輯排程群組中的開啟班次。 |
已刪除的開啟班次 | OpenShiftDeleted | 使用者成功從排程群組刪除開啟的班次。 |
共用排程 | ScheduleShared | 使用者成功共用日期範圍的小組排程。 |
使用時間時鐘計時 | ClockedIn | 使用者使用時間時鐘成功計時。 |
使用時間時鐘計時 | ClockedOut | 使用者使用時間時鐘成功計時。 |
使用時間時鐘開始中斷 | BreakStarted | 使用者在使用中的時間時鐘會話期間,成功開始中斷。 |
使用時間時鐘結束中斷 | BreakEnded | 使用者在使用中的時間時鐘會話中成功結束中斷。 |
已新增時間時鐘專案 | TimeClockEntryAdded | 使用者已成功在工作表上新增新的手動時間時鐘專案。 |
編輯的時間時鐘專案 | TimeClockEntryEdited | 使用者成功編輯時程表上的時間時鐘專案。 |
已刪除的時間時鐘專案 | TimeClockEntryDeleted | 使用者成功刪除時程表上的時間時鐘專案。 |
已新增班次要求 | RequestAdded | 使用者已新增班次要求。 |
已回應班次要求 | RequestRespondedTo | 用戶回應了班次要求。 |
已取消的班次要求 | RequestCancelled | 使用者已取消班次要求。 |
已變更排程設定 | ScheduleSettingChanged | 用戶變更 Shifts 設定中的設定。 |
新增了員工整合 | WorkforceIntegrationAdded | Shifts 應用程式與第三方系統整合。 |
已接受的輪班訊息 | OffShiftDialogAccepted | 用戶認可輪班訊息,以在輪班時間後存取 Teams。 |
Microsoft Teams 匯報 活動
下表列出Microsoft 365稽核記錄中記錄Microsoft Teams 活動中 匯報 應用程式。 如果您的組織在 Microsoft Teams 中使用 匯報 應用程式,您可以使用 匯報 應用程式搜尋與 相關的活動稽核記錄。 如果您的環境設定為支援 匯報 應用程式,[活動選擇器] 清單中會提供這些活動的額外活動群組。
易記名稱 | 作業 | 描述 |
---|---|---|
建立更新要求 | CreateUpdateRequest | 使用者成功建立更新要求。 |
編輯更新要求 | EditUpdateRequest | 用戶開啟要求編輯精靈,然後 選取 [ 儲存] 以確認並儲存任何變更,或直接啟用或停用更新要求。 |
提交更新 | SubmitUpdate | 使用者成功提交更新。 |
檢視一個更新的詳細數據 | ViewUpdate | 用戶檢視更新的詳細數據。 |
Microsoft To Do 活動
下表列出Microsoft 365 稽核記錄中記錄的 Microsoft To Do] 活動。 如需 Microsoft To Do 的詳細資訊,請參閱支援 Microsoft To Do。
注意事項
除了包含稽核 (Premium) 權利的相關Microsoft 365 授權之外,Microsoft To Do 活動的稽核事件還需要付費 Project 方案 1 授權 (或更高) 。
易記名稱 | 作業 | 描述 |
---|---|---|
資料夾上已接受的共享連結 | AcceptedSharingLinkOnFolder | 已接受資料夾的共享連結。 |
已建立附件 | AttachmentCreated | 已為工作建立附件。 |
附件已更新 | AttachmentUpdated | 附件已更新。 |
已刪除附件 | AttachmentDeleted | 已刪除附件。 |
共用資料夾共享連結 | FolderSharingLinkShared | 已建立資料夾的共享連結。 |
已刪除連結實體 | LinkedEntityDeleted | 已刪除連結實體。 |
已更新連結實體 | LinkedEntityUpdated | 已更新連結實體。 |
已建立連結實體 | LinkedEntityCreated | 已建立工作的連結實體。 |
已建立 SubTask | SubTaskCreated | 已建立子工作。 |
SubTask 已刪除 | SubTaskDeleted | 已刪除子工作。 |
已更新 SubTask | SubTaskUpdated | 已更新子工作。 |
建立的工作 | TaskCreated | 已建立工作。 |
已刪除的工作 | TaskDeleted | 工作已刪除。 |
工作讀取 | TaskRead | 已讀取工作。 |
工作已更新 | TaskUpdated | 工作已更新。 |
已建立TaskList | TaskListCreated | 已建立工作清單。 |
TaskList read | TaskListRead | 已讀取工作清單。 |
TaskList 已更新 | TaskListUpdated | 工作清單已更新。 |
受邀的使用者 | UserInvited | 受邀的使用者加入資料夾。 |
Microsoft Viva Insights 活動
Viva Insights 可讓您深入瞭解群組如何跨組織共同作業。 下表列出使用者在 Viva Insights 中獲派系統管理員角色或分析師角色所執行的活動。 獲派分析師角色的使用者具有所有服務功能的完整存取權,並可使用產品來進行分析。 獲派系統管理員角色的使用者可以設定隱私權設定和系統預設值,而且可以在 Viva Insights 中準備、上傳和驗證組織數據。 如需詳細資訊,請參閱 Microsoft Viva Insights 簡介。
易記名稱 | 作業 | 描述 |
---|---|---|
已存取 OData 連結 | AccessedOdataLink | 分析師已存取查詢的 OData 連結。 |
已新增委派存取權 | AddDelegates | 使用者新增了組織深入解析或 Copilot 儀錶板的委派存取權。 |
已取消查詢 | CanceledQuery | 分析師已取消執行查詢。 |
已建立會議排除 | MeetingExclusionCreated | 分析師已建立會議排除規則。 |
已刪除結果 | DeletedResult | 分析師已刪除查詢結果。 |
已下載報表 | DownloadedReport | 分析師已下載查詢結果檔案。 |
已執行查詢 | ExecutedQuery | 分析師已執行查詢。 |
已移除委派存取權 | RemoveDelegates | 使用者已移除組織深入解析或 Copilot 儀錶板的委派存取權。 |
已更新資料存取設定 | UpdatedDataAccessSetting | 系統管理員已更新資料存取設定。 |
已更新隱私權設定 | UpdatedPrivacySetting | 管理員 更新的隱私權設定;例如,群組大小下限。 |
已上傳組織資料 | UploadedOrgData | 系統管理員已上傳組織資料檔案。 |
使用者已登入* | UserLoggedIn | 使用者已登入其 Microsoft 365 使用者帳戶。 |
使用者已登出* | UserLoggedOff | 使用者已登出其 Microsoft 365 使用者帳戶。 |
已檢視探索 | ViewedExplore | 分析師已檢視一個或多個探索頁面索引標籤中的視覺效果。 |
注意事項
*當使用者登入時,會建立 Microsoft Entra 登入和註銷活動事件。 即使您沒有在組織中開啟 Viva Insights,也會記錄此活動。 如需使用者登入活動的詳細資訊,請參閱 Microsoft Entra ID 中的登入記錄。
個人深入解析活動
下表列出Microsoft 365稽核記錄中記錄的個人深入解析活動。 如需個人深入解析的詳細資訊,請參閱個人見解 管理員 指南。
易記名稱 | 作業 | 描述 |
---|---|---|
更新的組織 MyAnalytics 設定 | UpdatedOrganizationMyAnalyticsSettings | 管理員 更新個人見解的組織層級設定。 |
更新的使用者 MyAnalytics 設定 | UpdatedUserMyAnalyticsSettings | 管理員 更新個人深入解析的用戶設定。 |
隔離活動
以下表格列出您可以在稽核記錄中搜尋的隔離活動。 如需關於隔離的詳細資訊,請參閱隔離電子郵件。
易記名稱 | 作業 | 描述 |
---|---|---|
刪除隔離郵件 | QuarantineDeleteMessage | 系統管理員或使用者刪除了被視為有害的電子郵件訊息。 |
拒絕隔離郵件發行要求 | QuarantineReleaseRequestDeny | 系統管理員拒絕使用者針對被視為有害的電子郵件訊息發出的發行要求。 |
已匯出的隔離郵件 | QuarantineExport | 系統管理員或用戶匯出被視為有害的電子郵件訊息。 |
預覽隔離郵件 | QuarantinePreview | 系統管理員或用戶預覽了被視為有害的電子郵件訊息。 |
已釋放隔離郵件 | QuarantineRelease | 系統管理員或使用者從隔離區釋放了被視為有害的電子郵件訊息。 |
釋放要求隔離訊息 | QuarantineReleaseRequest | 使用者要求釋放被視為有害的電子郵件訊息。 |
已檢視隔離郵件標題 | QuarantineViewHeader | 系統管理員或使用者已檢視標頭視為有害的電子郵件訊息。 |
報告活動
下表列出 Microsoft 365 稽核記錄中記錄之使用狀況報告的活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已更新使用報告隱私權設定 | UpdateUsageReportsPrivacySetting | 系統管理員已更新使用狀況報表的隱私權設定。 |
保留原則和保留標籤活動
下表說明 保留原則和保留標籤 在建立、重新設定或刪除時的設定活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已變更調適型範圍成員資格 | ApplicableAdaptiveScopeChange | 已將使用者、網站或群組新增至調適型範圍或從中移除。 這些變更是執行範圍查詢的結果。 因為變更是以系統起始,報告的使用者會顯示為 GUID,而不是使用者帳戶。 |
保留原則已配置的設定 | NewRetentionComplianceRule | 系統管理員已設定新保留原則的保留設定。 保留設定包括保留項目的時間長度,以及當項目保留期間到期時,項目會發生的情況 (例如刪除項目、保留項目或保留然後刪除項目)。 此活動也與執行 RetentionComplianceRule Cmdlet 對應。 |
已建立調適型範圍 | NewAdaptiveScope | 管理員已建立調適型範圍。 |
已建立保留標籤 | NewComplianceTag | 系統管理員已建立新的保留標籤。 |
已建立保留原則 | NewRetentionCompliancePolicy | 系統管理員已建立新的保留原則。 |
已刪除調適型範圍 | RemoveAdaptiveScope | 管理員已刪除調適型範圍。 |
已從保留原則刪除設定 | RemoveRetentionComplianceRule |
系統管理員已刪除保留原則的組態設定。 當系統管理員刪除保留原則或執行 RetentionComplianceRule Cmdlet 時,更可能會記錄此活動。 |
已刪除保留標籤 | RemoveComplianceTag | 系統管理員已刪除保留標籤。 |
已刪除保留原則 | RemoveRetentionCompliancePolicy |
系統管理員已刪除保留原則。 |
已啟用保留標籤的法規記錄選項 |
SetRestrictiveRetentionUI | 系統管理員已執行 RegulatoryComplianceUI Cmdlet,因此系統管理員可以選取保留標籤的 UI 設定選項,以將內容標示為法規記錄。 |
主動保留的電子郵件專案 | ExchangeDataProactivelyPreserved | 自適性保護會自動套用保留標籤,以在 Exchange 中保留專案。 |
主動保留的檔案 | SharePointDataProactivelyPreserved | 自適性保護會自動套用保留標籤,以在 SharePoint 或 OneDrive 中保留專案。 |
已更新調適型範圍 | SetAdaptiveScope | 管理員已變更現有的調適型範圍的描述或查詢。 |
保留原則已更新的設定 | SetRetentionComplianceRule | 系統管理員已變更現有保留原則的保留設定。 保留設定包括保留項目的時間長度,以及當項目保留期間到期時,項目會發生的情況 (例如刪除項目、保留項目或保留然後刪除項目)。 此活動也與執行 Set-RetentionComplianceRule Cmdlet 對應。 |
已更新保留標籤 | SetComplianceTag | 系統管理員已更新現有的保留標籤。 |
已更新保留原則 | SetRetentionCompliancePolicy | 系統管理員已更新現有的保留原則。 觸發此事件的更新包括新增或排除保留原則所套用的內容位置。 |
角色管理活動
下表列出 Microsoft Entra 系統管理員在 Microsoft 365 系統管理中心 或 Azure 管理入口網站中管理系統管理員角色時所記錄的角色管理活動。
注意事項
下表的 [作業] 欄中所列的作業名稱包含一個句點 (.
)。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" "
) 來含括作業名稱。
易記名稱 | 作業 | 描述 |
---|---|---|
將成員新增至 [角色] 中 | 將成員新增至角色。 | 已將使用者新增至 Microsoft 365 中的系統管理員角色。 |
已從目錄角色中移除使用者 | 移除角色的成員。 | 已從 Microsoft 365 中的系統管理員角色中移除使用者。 |
設定公司連絡人資訊 | 設定公司連絡人資訊。 | 已更新您的組織之公司層級的連絡人喜好設定。 這包括 Microsoft 365 所傳送之訂閱相關電子郵件的電子郵件地址,以及有關服務的技術通知。 |
敏感性資訊類型活動
下表描述有關建立和更新 敏感性資訊類型之活動的稽核事件。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立新的敏感性信息類型 | CreateRulePackage / EditRulePackage* | 已 建立新的敏感性信息類型。 這包括複製現用 SIT 所建立的任何 SIT。 注意:此活動會出現在稽核活動「已建立的規則套件」或「已編輯的規則套件」之下。 |
已編輯敏感性信息類型 | EditRulePackage | 已編輯現有的敏感性信息類型。 這可能包括新增/移除模式,以及編輯與敏感性資訊類型相關聯的 regex/關鍵詞等作業。 注意: 此活動會出現在稽核活動「已編輯的規則套件」底下。 |
刪除敏感性信息類型 | EditRulePackage / RemoveRulePackage | 已刪除現有的敏感性信息類型。 注意: 此活動會出現在稽核活動「已編輯的規則套件」或「已移除的規則套件」之下。 |
敏感度標籤活動
下表列出使用 敏感度標籤 搭配 Microsoft Purview 管理的網站和專案所產生的事件。 專案包括文件、電子郵件和行事曆事件。 針對自動套用標籤原則,專案也會在 Microsoft Purview 資料對應 中包含檔案和架構化數據資產。
易記名稱 | 作業 | 描述 |
---|---|---|
已將敏感度標籤套用到網站 | SiteSensitivityLabelApplied | 敏感度標籤已套用至未群組連線的 SharePoint 網站或 Teams 網站。 |
已將敏感度標籤從網站移除 | SiteSensitivityLabelRemoved | 敏感度標籤已從未群組連線的 SharePoint 網站或 Teams 網站中移除。 |
已將敏感度標籤套用到檔案 | FileSensitivityLabelApplied SensitivityLabelApplied |
使用 Microsoft 365 應用程式、Office 網頁版 或自動套用標籤原則,將敏感度標籤套用至專案。 此活動的作業會根據標籤的套用方式而有所不同: - (FileSensitivityLabelApplied (Office 網頁版 或自動套用標籤原則) - Microsoft 365 應用程式 (SensitivityLabelApplied) |
已變更套用到檔案的敏感度標籤 | FileSensitivityLabelChanged SensitivityLabelUpdated |
已將不同的敏感度標籤套用至專案。 此活動的操作會因標籤變更的方式而異: - (FileSensitivityLabelChanged Office 網頁版 或自動套用標籤原則) - Microsoft 365 Apps (SensitivityLabelUpdated) |
已變更網站上的敏感度標籤 | SiteSensitivityLabelChanged | 不同的敏感度標籤已套用至未群組連線的 SharePoint 網站或 Teams 網站。 |
已將敏感度標籤從檔案移除 | FileSensitivityLabelRemoved SensitivityLabelRemoved |
已使用 Microsoft 365 應用程式、Office 網頁版、自動套用標籤原則或 Unlock-SPOSensitivityLabelEncryptedFile Cmdlet,從專案中移除敏感度卷標。 此活動的作業會根據標籤的移除方式而有所不同: - (FileSensitivityLabelRemoved Office 網頁版 或自動套用標籤原則) - Microsoft 365 應用程式 (SensitivityLabelRemoved) |
敏感度標籤的其他稽核資訊:
- 當您針對 Microsoft 365 群組 使用敏感度標籤,因而使用群組連線的Teams網站時,會在Microsoft Entra ID中使用群組管理來稽核卷標。 如需詳細資訊,請參閱稽核 Microsoft Entra ID 中的記錄。
- 當您使用 Teams 會議邀請的敏感度標籤,以及 Teams 會議選項和聊天時,請參閱 在 Microsoft Teams 中搜尋事件的稽核記錄。
- 當您搭配 Power BI 使用敏感度標籤時,請參閱 在 Power BI 中稽核敏感度標籤的架構。
- 當您使用敏感度標籤搭配雲端應用程式的 Microsoft Defender 時,請參閱控管已連線的應用程式和檔案控管動作的標籤資訊。
- 當您使用 Microsoft Purview 資訊保護 客戶端或掃描器或 Microsoft 資訊保護 (MIP) SDK 套用敏感度標籤時,請參閱 Azure 資訊保護 稽核記錄參考。
SharePoint 清單活動
下表說明使用者在 SharePoint Online 中與清單和清單項目互動時的相關活動。 某些 SharePoint 活動的稽核記錄指出app@sharepoint使用者代表起始動作的使用者或系統管理員執行活動。 如需詳細資訊, 請參閱稽核記錄中的app@sharepoint使用者。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立清單 | ListCreated | 使用者已建立 SharePoint 清單。 |
已建立清單欄 | ListColumnCreated | 使用者已建立 SharePoint 清單欄。 清單欄是連結至一個或多個 SharePoint 清單的欄位。 |
已建立清單內容類型 | ListContentTypeCreated | 使用者已建立清單內容類型。 清單內容類型是連結至一個或多個 SharePoint 清單的內容類型。 |
已建立清單項目 | ListItemCreated | 使用者已在現有的 SharePoint 清單中建立項目。 |
已建立網站欄 | SiteColumnCreated | 使用者已建立 SharePoint 網站欄。 網站欄是未連結到清單的欄位。 網站欄也是可由指定網頁中任何清單使用的中繼資料結構。 |
已建立網站內容類型 | Site ContentType Created | 使用者已建立網站內容類型。 網站內容類型是會連結到上層網站的內容類型。 |
已刪除清單 | ListDeleted | 使用者已刪除 SharePoint 清單。 |
已刪除清單欄 | 清單欄已刪除 | 使用者已刪除 SharePoint 清單欄。 |
已刪除清單內容類型 | ListContentTypeDeleted | 使用者已刪除清單內容類型。 |
已刪除清單項目 | 清單項目已刪除 | 使用者已刪除 SharePoint 清單項目。 |
已刪除網站欄 | SiteColumnDeleted | 使用者已刪除 SharePoint 網站欄。 |
已刪除網站內容類型 | SiteContentTypeDeleted | 使用者已刪除網站內容類型。 |
已回收清單項目 | ListItemRecycled | 使用者已將 SharePoint 清單項目移至資源回收筒。 |
已還原清單 | ListRestored | 使用者已從資源回收筒還原 SharePoint 清單。 |
已還原清單項目 | ListItemRestored | 使用者已從資源回收筒還原 SharePoint 清單項目。 |
已更新清單 | ListUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單。 |
已更新清單欄 | ListColumnUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單欄。 |
已更新清單內容類型 | ListContentTypeUpdated | 使用者已修改一個或多個屬性來更新清單內容類型。 |
已更新清單項目 | ListItemUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單項目。 |
更新的清單檢視 | ListViewUpdated | 用戶藉由修改一或多個屬性來更新 SharePoint 清單檢視。 |
已更新網站欄 | SiteColumnUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 網站欄。 |
已更新網站內容類型 | SiteContentTypeUpdated | 使用者已修改一個或多個屬性來更新網站內容類型。 |
共用及存取要求活動
下表說明 SharePoint Online 和商務用 OneDrive 中的使用者共用和存取要求活動。 針對共用事件,[結果] 底下的 [詳細資料] 欄會識別共用項目的使用者或群組名稱,以及使用者或群組是否為您的組織中的成員或來賓。 如需詳細資訊,請參閱在稽核記錄中使用共用稽核。
注意事項
根據用戶物件的UserType屬性,使用者可以是 成員 或 來賓 。 成員通常是員工,而來賓通常是您的組織之外的共同作業者。 當使用者接受共用邀請時 (而且不屬於您的組織的一部分),就會在您的組織目錄中為他們建立使用者帳戶。 一旦來賓使用者在您的目錄中擁有帳戶後,就可以直接與他們共用資源 (而不需要邀請)。
易記名稱 | 作業 | 描述 |
---|---|---|
已將權限等級新增至網站集合 | PermissionLevelAdded | 權限等級已新增至網站集合。 |
已接受存取要求 | AccessRequestAccepted | 已接受網站、資料夾或文件的存取要求,而提出要求的使用者已獲授與存取權。 |
已接受共用邀請 | SharingInvitationAccepted | 使用者 (成員或來賓) 已接受共用邀請,並獲授與資源的存取權。 此事件包括受邀的使用者,以及用來接受邀請的電子郵件地址 (它們可能不同) 之相關資訊。 此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。例如,將使用者新增至擁有資源存取權的群組。 |
已封鎖的共用邀請 | SharingInvitationBlocked | 貴組織使用者所傳送的共用邀請遭到封鎖,因為外部共用原則會根據目標使用者的網域允許或拒絕外部共用。 在此案例中,共用邀請因下列原因而遭到刪除: 允許的網域清單中不包含目標使用者的網域。 或者 封鎖的網域清單中包含目標使用者的網域。 如需根據網域允許或封鎖外部共用的詳細資訊,請參閱在 SharePoint Online 和商務用 OneDrive 中限制網域共用。 |
已建立存取要求 | AccessRequestCreated | 使用者要求他們未擁有存取權限的網站、資料夾或文件之存取權。 |
已建立公司可共用連結 | CompanyLinkCreated | 使用者已建立資源的全公司連結。 全公司連結只能讓您組織中的成員使用。 來賓無法使用這些連結。 |
已建立匿名連結 | AnonymousLinkCreated | 使用者已建立資源的匿名連結。 任何人只要有此連結就可以存取資源,而不需要驗證。 |
已建立安全連結 | SecureLinkCreated | 已對此項目建立安全共用連結。 |
已建立共用邀請 | SharingInvitationCreated | 使用者與並非您組織目錄中的使用者共用 SharePoint Online 或商務用 OneDrive 中的資源。 |
已刪除安全連結 | SecureLinkDeleted | 安全共用連結已刪除。 |
已拒絕存取要求 | AccessRequestDenied | 已拒絕網站、資料夾或文件的存取要求。 |
已移除公司可共用連結 | CompanyLinkRemoved | 使用者已移除資源的全公司連結。 無法再使用此連結存取資源。 |
已移除匿名連結 | AnonymousLinkRemoved | 使用者已移除資源的匿名連結。 無法再使用此連結存取資源。 |
已共用的檔案、資料夾或網站 | SharingSet | 使用者 (成員或來賓) 已與並非您的組織目錄中的使用者共用 SharePoint 或商務用 OneDrive 中的檔案、資料夾或網站。 此活動的 [詳細資料] 欄中的值會識別已共用資源的使用者名稱,以及該使用者是否為成員或來賓。 此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。 例如,將使用者新增至擁有資源存取權的群組。 |
已更新存取要求 | AccessRequestUpdated | 已更新項目的存取要求。 |
已更新匿名連結 | AnonymousLinkUpdated | 使用者已更新資源的匿名連結。 當您匯出搜尋結果時,EventData 屬性中會包括更新的欄位。 |
已更新共用邀請 | SharingInvitationUpdated | 已更新外部共用邀請。 |
已使用匿名連結 | AnonymousLinkUsed | 匿名使用者已使用匿名連結來存取資源。 使用者可能是未知的身分,但您可以取得其他詳細資料,例如使用者的 IP 位址。 |
已取消共用檔案、資料夾或網站 | SharingRevoked | 使用者 (成員或來賓) 已取消共用先前與另一個使用者共用的檔案、資料夾或網站。 |
已使用公司可共用連結 | CompanyLinkUsed | 使用者已使用全公司連結來存取資源。 |
已使用安全連結 | SecureLinkUsed | 使用者已使用安全連結。 |
使用者已新增至安全連結 | AddedToSecureLink | 使用者已新增至可使用安全共用連結的實體清單。 |
使用者已從安全連結中移除 | RemovedFromSecureLink | 使用者已從可使用安全共用連結的實體清單中移除。 |
已撤回共用邀請 | SharingInvitationRevoked | 使用者已撤回資源的共用邀請。 |
網站管理活動
下表列出 SharePoint Online 中的網站管理工作所產生的事件。 如先前所述,某些 SharePoint 活動的稽核記錄表示app@sharepoint使用者代表起始動作的使用者或系統管理員執行活動。 如需詳細資訊, 請參閱稽核記錄中的app@sharepoint使用者。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增允許的資料位置 | AllowedDataLocationAdded | SharePoint 或全域系統管理員已在多地理位置環境中新增允許的資料位置。 |
已新增免除使用者代理程式 | ExemptUserAgentSet | SharePoint 或全域系統管理員已將使用者代理程式新增至 SharePoint 系統管理員中心的免除使用者代理程式清單。 |
已新增地理位置系統管理員 | GeoAdminAdded | SharePoint 或全域系統管理員已將使用者新增為某個位置的地理位置系統管理員。 |
已允許使用者建立群組 | AllowGroupCreationSet | 網站系統管理員或擁有者新增權限等級至網站,以允許獲派該權限的使用者為該網站建立群組。 |
已取消網站的地理位置移動 | SiteGeoMoveCancelled | SharePoint 或全域系統管理員已成功取消 SharePoint 或 OneDrive 網站的地理位置移動。 多地理位置功能可讓組織橫跨多個 Microsoft 資料中心地理位置,這些地理位置稱為 geos。 如需詳細資訊,請參閱 OneDrive 和 SharePoint Online 的多地理位置功能。 |
已變更共用原則 | SharingPolicyChanged | SharePoint 或全域管理員已使用 Microsoft 365 系統管理中心、SharePoint 系統管理中心或 SharePoint Online 管理命令介面變更了 SharePoint 共用原則。 將會記錄您的組織中的任何共用原則設定變更。 已變更的原則可在事件記錄詳細屬性中的 ModifiedProperties 欄位中找到。 |
已變更裝置存取原則 | DeviceAccessPolicyChanged | SharePoint 或全域系統管理員已變更您組織中未受控裝置的原則。 此原則可針對未加入您組織的裝置控制 SharePoint、OneDrive 及 Microsoft 365 的存取權。 設定此原則需要 Enterprise Mobility + Security 訂閱。 如需詳細資訊,請參閱控制未受管理裝置的存取權。 |
已變更免除使用者代理程式 | CustomizeExemptUsers | SharePoint 或全域系統管理員已在 SharePoint 系統管理員中心自訂免除使用者代理程式清單。 您可以指定要免除哪些使用者代理程式,以免於接收整個網頁進行索引。 這表示當您指定為豁免的使用者代理程式遇到 InfoPath 窗體時,窗體會以 XML 檔案的形式傳回,而不是整個網頁。 這樣在進行 InfoPath 表單索引時會更迅速。 |
已變更網路存取原則 | NetworkAccessPolicyChanged | SharePoint 或全域系統管理員已在 SharePoint 系統管理員中心中 (或是使用 SharePoint Online PowerShell) 變更位置存取原則 (又稱為受信任的網路邊界)。 此類原則可根據您指定的授權 IP 位址範圍,控制能存取您組織 SharePoint 和 OneDrive 資源的使用者。 如需詳細資訊,請參閱根據網路位置控制 SharePoint Online 與 OneDrive 資料的存取權。 |
已完成移轉作業 | MigrationJobCompleted | 已成功完成移轉作業。 |
已完成網站的地理位置移動 | SiteGeoMoveCompleted | 已成功完成您組織全域系統管理員所排程的網站地理位置移動。 多地理位置功能可讓組織橫跨多個 Microsoft 資料中心地理位置,這些地理位置稱為 geos。 如需詳細資訊,請參閱 OneDrive 和 SharePoint Online 的多地理位置功能。 |
已建立 [傳送至] 連線 | SendToConnectionAdded | SharePoint 或全域系統管理員在 SharePoint 系統管理員中心的 [記錄] 管理頁面上建立新的「傳送至」連線。 [傳送至] 連線會指定文件存放庫或記錄中心的設定。 當您建立 [傳送至] 連線時,[內容組合管理] 可提交文件至指定的位置。 |
已建立網站集合 | SiteCollectionCreated | SharePoint 或全域系統管理員在您的 SharePoint Online 組織中建立了網站集合,或是使用者佈建了商務用 OneDrive 網站。 |
刪除孤立的中樞網站 | HubSiteOrphanHubDeleted | SharePoint 或全域系統管理員已刪除孤立中樞網站,也就是未與任何站台建立關聯的中樞網站。 孤立中樞可能是因為刪除原始中樞網站所造成。 |
已刪除 [傳送至] 連線 | SendToConnectionRemoved | SharePoint 或全域系統管理員在 SharePoint 系統管理員中心的 [記錄] 管理頁面上刪除「傳送至」連線。 |
已刪除網站 | SiteDeleted | 網站系統管理員刪除網站。 |
已啟用文件預覽 | PreviewModeEnabledSet | 網站系統管理員啟用網站的文件預覽。 |
已啟用舊版工作流程 | LegacyWorkflowEnabledSet | 網站系統管理員或擁有者在網站中新增 SharePoint 2013 工作流程工作內容類型。 全域系統管理員也可以在 SharePoint 系統管理員中心為整個組織啟用工作流程。 |
已啟用 Office on Demand | OfficeOnDemandSet | 網站管理員啟用 Office on Demand,這可讓使用者存取最新版的 Office 傳統型應用程式。 Office on Demand 會在 SharePoint 系統管理員中心啟用,並且需要 Microsoft 365 訂閱,該訂閱包含完整、已安裝的 Office 應用程式。 |
已啟用 [人員搜尋] 的結果來源 | PeopleResultsScopeSet | 網站系統管理員建立網站的 [人員搜尋] 結果來源。 |
已啟用 RSS 摘要 | NewsFeedEnabledSet | 網站系統管理員或擁有者啟用網站的 RSS 摘要。 全域管理員可以在 SharePoint 系統管理員中心為整個組織啟用 RSS 摘要。 |
已聯結網站與中樞網站 | HubSiteJoined | 網站擁有者讓他們的網站與中樞網站互相關聯。 |
已修改網站集合配額 | SiteCollectionQuotaModified | 網站系統管理員修改網站集合的配額。 |
已註冊中樞網站 | HubSiteRegistered | SharePoint 或全域系統管理員建立了一個中樞網站。 結果是網站會註冊為中樞網站。 |
已移除允許的資料位置 | AllowedDataLocationDeleted | SharePoint 或全域系統管理員已在多個地理環境中移除允許的資料位置。 |
已移除地理位置系統管理員 | GeoAdminDeleted | SharePoint 或全域系統管理員已移除某個位置的地理位置管理員。 |
已重新命名網站 | SiteRenamed | 網站系統管理員或擁有者重新命名網站 |
已排程網站的地理位置移動 | SiteGeoMoveScheduled | SharePoint 或全域系統管理員已成功排定 SharePoint 或 OneDrive 網站的地理位置移動。 多地理位置功能可讓組織橫跨多個 Microsoft 資料中心地理位置,這些地理位置稱為 geos。 如需詳細資訊,請參閱 OneDrive 和 SharePoint Online 的多地理位置功能。 |
已設定主機網站 | HostSiteSet | SharePoint 或全域系統管理員將指定的網站變更為託管個人或商務用 OneDrive 網站。 |
為地理位置設定儲存空間配額 | GeoQuotaAllocated | SharePoint 或全域系統管理員已在多地理位置環境中設定地理位置的儲存空間配額。 |
已解除網站與中樞網站的聯結 | HubSiteUnjoined | 網站擁有者讓他們的網站與中樞網站解除關聯。 |
取消註冊中樞網站 | HubSiteUnregistered | SharePoint 或全域系統管理員取消將網站註冊為中樞網站。 取消註冊中樞網站時,該網站就不再具有中樞網站的功能。 |
網站權限活動
下表列出在 SharePoint 中指派權限及使用群組提供 (及撤銷) 網站存取權的相關事件。 如先前所述,某些 SharePoint 活動的稽核記錄表示app@sharepoint使用者代表起始動作的使用者或系統管理員執行活動。 如需詳細資訊, 請參閱稽核記錄中的app@sharepoint使用者。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增網站集合系統管理員 | SiteCollectionAdminAdded | 網站集合系統管理員或擁有者新增一位人員來作為網站的網站集合管理員。 網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。 當系統管理員讓自己可存取使用者的 OneDrive 帳戶時 (藉由在 SharePoint 系統管理中心編輯使用者設定檔,或使用 Microsoft 365 系統管理中心),也會記錄此活動。 |
已將使用者或群組新增至 SharePoint 群組 | AddedToGroup | 使用者已新增成員或來賓至 SharePoint 群組。 這可能是刻意的動作,或另一個活動的結果 (例如共用事件)。 |
已中斷權限等級繼承 | PermissionLevelsInheritanceBroken | 項目已變更,因此無法從其上層項目繼承權限等級。 |
已中斷共用繼承 | SharingInheritanceBroken | 項目已變更,因此無法從其上層項目繼承共用權限。 |
已建立群組 | GroupAdded | 網站管理員或擁有者為網站建立群組,或執行導致建立群組的工作。 例如,使用者第一次建立連結以共用檔案時,系統群組會新增至使用者的商務用 OneDrive 網站。 此事件也可以是使用者透過編輯權限建立共用檔案的連結之結果。 |
已刪除群組 | GroupRemoved | 使用者刪除網站中的群組。 |
已修改存取要求設定 | WebRequestAccessModified | 已在網站上修改存取要求設定。 |
已修改「成員可共用」設定 | WebMembersCanShareModified | 網站上的「成員可共用」設定已修改。 |
已修改網站集合上的權限等級 | PermissionLevelModified | 已變更網站集合上的權限等級。 |
已修改網站權限 | SitePermissionsModified | 網站系統管理員或擁有者 (或系統帳戶) 變更已指派給網站上群組的權限等級。 如果已移除群組中的所有權限,也會記錄此活動。 請注意:此作業在 SharePoint Online 中已遭取代。 若要尋找相關事件,您可以搜尋其他權限相關活動,例如 [已新增網站集合管理員]、[已新增使用者或群組到 SharePoint 群組]、[已允許使用者建立群組]、[已建立群組] 及 [已刪除群組]。 |
已移除網站集合上的權限等級 | PermissionLevelRemoved | 權限等級已從網站集合移除。 |
已移除網站集合系統管理員 | SiteCollectionAdminRemoved | 網站集合系統管理員或擁有者移除了網站的一位網站集合管理員。 當系統管理員將自己從使用者 OneDrive 帳戶的網站集合系統管理員清單中移除時 (藉由在 SharePoint 系統管理員中心編輯使用者設定檔),也會記錄此活動。 若要在稽核記錄搜尋結果中傳回此活動,您必須搜尋所有活動。 |
已從 SharePoint 群組中移除使用者或群組 | RemovedFromGroup | 使用者已移除 SharePoint 群組中的成員或來賓。 這可能是刻意的動作,或另一個活動的結果 (例如取消共用事件)。 |
要求的網站系統管理員權限 | SiteAdminChangeRequest | 使用者要求新增成為網站集合的網站集合管理員。 網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。 |
已還原共用繼承 | SharingInheritanceReset | 項目已變更,因此可從其上層項目繼承共用權限。 |
已更新群組 | GroupUpdated | 網站系統管理員或擁有者變更了網站的群組設定。 這可以包括變更群組的名稱、誰能夠檢視或編輯群組成員資格,以及如何處理成員資格要求。 |
同步處理活動
下表列出 SharePoint Online 和商務用 OneDrive 中的檔案同步活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已允許電腦同步處理檔案 | ManagedSyncClientAllowed | 使用者與網站成功建立同步處理關聯性。 同步關係成功,因為使用者的電腦是已新增至網域清單之網域的成員 (稱為「安全收件者清單」),可以存取您的組織中的文件庫。 如需關於此功能的詳細資訊,請參閱使用 PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理。 |
已阻擋電腦同步處理檔案 | UnmanagedSyncClientBlocked | 用戶嘗試從不是貴組織網域成員的計算機,或是尚未新增至網域清單的網域成員, (稱為 安全收件者清單 的網域) 建立網站的同步關聯性,該計算機可以存取您組織中的文檔庫。 不允許同步關聯性,而且會封鎖用戶的計算機同步、下載或上傳文檔庫上的檔案。 如需關於此功能的資訊,請參閱使用 PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理。 |
已下載檔案至電腦 | FileSyncDownloadedFull | 使用者使用 OneDrive 同步處理應用程式 (OneDrive.exe) 從 SharePoint 文件庫或商務用 OneDrive 將文件下載至其電腦。 |
已下載檔案變更至電腦 | FileSyncDownloadedPartial | 此事件已與舊商務用 OneDrive 應用程式 (Groove.exe) 一起被取代。 |
已下載檔案至文件庫 | FileSyncUploadedFull | 使用者使用 OneDrive 同步處理應用程式 (OneDrive.exe) 在 SharePoint 文件庫或商務用 OneDrive 中上傳新檔案或對檔案的變更。 |
已上傳檔案變更至文件庫 | FileSyncUploadedPartial | 此事件已與舊商務用 OneDrive 應用程式 (Groove.exe) 一起被取代。 |
SystemSync 活動
下表列出 Microsoft 365 稽核記錄中記錄之 SystemSync 的活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已建立資料共用 | DataShareCreated | 當使用者建立資料匯出時。 |
資料共用已刪除。 | DataShareDeleted | 當使用者刪除資料匯出時。 |
產生資料湖副本 | GenerateCopyOfLakeData | 產生資料湖副本時。 |
下載資料湖副本 | DownloadCopyOfLakeData | 當資料湖副本已下載時。 |
使用者管理活動
下表列出當系統管理員透過 Microsoft 365 系統管理員中心或 Azure 管理入口網站新增或變更使用者帳戶時, 會記錄的使用者管理活動。
注意事項
下表的 [作業] 欄中所列的作業名稱包含一個句點 (.
)。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" "
) 來含括作業名稱。
活動 | 作業 | 描述 |
---|---|---|
已新增使用者 | 新增使用者。 | 已建立使用者帳戶。 |
已變更使用者授權 | 變更使用者授權。 | 指派給使用者的授權已變更。 若要查看哪些授權已變更,請參閱對應的 [更新的使用者] 活動。 |
已變更使用者密碼 | 變更使用者密碼。 | 使用者變更其密碼。 為了讓使用者能夠重設自己的密碼,您必須為組織中的所有或選取的使用者啟用自助式密碼重設。 您也可以在 Microsoft Entra ID 中追蹤自助式密碼重設活動。 如需詳細資訊,請參閱 Microsoft Entra 密碼管理的報告選項。 |
已刪除使用者 | 刪除使用者。 | 已刪除使用者帳戶。 |
重設使用者密碼 | 重設使用者密碼。 | 系統管理員重設使用者的密碼。 |
已設定強制使用者變更密碼的屬性 | 設定強制變更使用者密碼。 | 系統管理員已設定強制使用者在使用者下次登入 Microsoft 365 時變更密碼的屬性。 |
設定授權屬性 | 設定授權屬性。 | 系統管理員修改已指派給使用者的授權屬性。 |
已更新使用者 | 更新使用者。 | 系統管理員變更使用者帳戶的一個或多個屬性。 For a list of the user properties that can be updated, see the "Update user attributes" section in Microsoft Entra audit Report Events. |
Viva Goals 活動
下表列出 Viva Goals 中記錄以進行稽核的用戶和系統管理員活動。 數據表包含 [活動] 資料行中顯示的易記名稱,以及當您匯出搜尋結果時出現在稽核記錄詳細資訊和 CSV 檔案中之對應作業的名稱。
搜尋稽核記錄 檔詳細數據,以瞭解如何從 Microsoft Purview 入口網站和合規性入口網站搜尋稽核記錄。 用戶必須是全域管理員,或具有稽核讀取許可權才能存取稽核記錄。 您可以使用活動篩選來搜尋特定活動,並列出您可以在 [記錄類型] 篩選中選擇 'VivaGoals' 的所有 Viva Goals 活動。 您也可以使用日期範圍方塊和 [使用者] 清單進一步縮小搜尋結果。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
易記名稱 | 作業 | 描述 |
---|---|---|
組織已建立 | 組織已建立 | 管理員 或使用者已在 Viva Goals 上建立新的組織。 |
已新增使用者 | 已新增使用者 | 已在 Viva Goals 上將新的使用者新增至組織。 |
使用者停用 | 使用者停用 | 組織中的使用者已停用。 |
用戶已刪除 | 用戶已刪除 | 已在 Viva Goals 上從組織中刪除使用者。 |
使用者已登入 | 使用者已登入 | 使用者已登入 Viva Goals。 |
已新增小組 | 已新增小組 | 已在 Viva Goals 的組織內建立新的小組。 |
已更新小組 | 已更新小組 | 組織內的小組已修改或更新 Viva Goals。 |
已刪除小組 | 已刪除小組 | 用戶已刪除組織內 Viva Goals 的小組。 |
匯出的數據 | 匯出的數據 | 用戶已匯出組織中 #DD1C5D4B1CB3E4D1BAF94AA7714A9B4A9 的OKR或使用者清單。 |
已更新 Goals 原則 | 已更新 Goals 原則 | 全域管理員已修改 Viva Goals 上租用戶層級的原則或設定。 例如,全域系統管理員已設定誰可以在 Viva Goals 上建立組織。 |
已更新組織設定 | 已更新組織設定 | 使用者 (通常組織擁有者或系統管理員) 已更新 Viva Goals 上的組織特定設定。 |
已更新組織整合 | 已更新組織整合 | 使用者 (通常組織擁有者或系統管理員) 已設定第三方整合,或已在 Viva Goals 上更新組織現有的第三方整合。 |
OKR 或專案已建立 | OKR 或專案已建立 | 使用者已在 Viva Goals 上建立OKR或 Project。 |
OKR 或 Project 已更新 | OKR 或 Project 已更新 | 已修改 OKR/Project,或使用者已簽入或整合 Viva Goals。 |
OKR 或專案已刪除 | OKR 或專案已刪除 | 用戶已刪除OKR或 Project。 |
已建立儀錶板 | 已建立儀錶板 | 使用者已在 Viva Goals 上建立新的儀錶板 |
儀錶板已更新 | 儀錶板已更新 | 使用者已更新 Viva Goals 上的儀錶板 |
已刪除儀錶板 | 已刪除儀錶板 | 用戶已刪除 Viva Goals 上的儀錶板。 |
Viva Engage 活動
下表列出稽核記錄中記錄的 Viva Engage 用戶和系統管理員活動。 若要從稽核記錄傳回 Viva Engage 相關活動,您必須選取 [活動] 清單中的所有活動顯示結果。 使用 [日期範圍] 方塊與 [使用者] 清單來縮小搜尋結果。
注意事項
某些 Viva Engage 稽核活動僅適用於稽核 (進階) 。 這表示,必須先指派適當的授權給使用者,才能在稽核記錄中記錄這些活動。 For more information, see Audit (Premium). 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案。
在下表中,使用星號 (*) 來強調顯示稽核 (進階版) 活動。
易記名稱 | 作業 | 描述 |
---|---|---|
已新增公司通訊程式 | AddUserRole | 系統會將使用者指派為公司通訊人。 |
已變更自定義使用原則 | UsagePolicyUpdated | 租用戶系統管理員會更新自定義使用原則。 |
已變更資料保留原則 | SoftDeleteSettingsUpdated | 驗證系統管理員將網路資料保留原則的設定更新為 [實刪除] 或 [虛刪除]。 僅限驗證系統管理員可以執行這項作業。 |
已變更網路設定 | NetworkConfigurationUpdated | 網路或已驗證的系統管理員會變更 Viva Engage 網路的設定。 這包括設定匯出資料的間隔和啟用聊天。 |
已變更網路設定檔設定 | ProcessProfileFields | 網路或驗證系統管理員變更網路使用者網路的成員個人檔案顯示資訊。 |
已變更私人內容模式 | SupervisorAdminToggled | 已驗證的系統管理員開啟或關閉 私人內容模式 。 這個模式可讓系統管理員檢視私人群組中的文章以及個別使用者 (或使用者群組) 之間的私人訊息。 僅限驗證系統管理員可以執行這項作業。 |
已變更安全性設定 | NetworkSecurityConfigurationUpdated | 已驗證的系統管理員會更新 Viva Engage 網路的安全性設定。 這包括設定密碼過期原則及 IP 位址的限制。 僅限驗證系統管理員可以執行這項作業。 |
交談已關閉 | CloseConversation | 已關閉 Viva Engage 線程,讓使用者無法回復。 此動作可由系統管理員、公司通訊人員或使用者委派執行。 |
交談已開啟 | OpenConversation | 已開啟 Viva Engage 線程交談,可讓使用者回復線程。 此動作可由系統管理員、公司通訊或使用者委派執行。 |
已建立檔案 | FileCreated | 使用者上傳檔案。 |
已建立群組 | GroupCreation | 使用者建立群組。 |
已建立訊息 | MessageCreation | 使用者建立了訊息。 |
已刪除群組 | GroupDeletion | 群組會從 Viva Engage 刪除。 |
已刪除訊息 | MessageDeleted | 使用者刪除訊息。 |
下載的檔案 | FileDownloaded | 使用者下載檔案。 |
已匯出資料 | DataExport | 已驗證的系統管理員會匯出 Viva Engage 網路數據。 僅限驗證系統管理員可以執行這項作業。 |
無法存取檔案 | FileAccessFailure | 使用者無法存取檔案。 |
無法存取群組 | GroupAccessFailure | 用戶無法存取群組。 |
無法存取線程 | ThreadAccessFailure | 用戶無法存取訊息線程。 |
回應訊息 | MarkedMessageChanged | 使用者對訊息感到不自在。 |
已移除公司通訊者 | RemoveUserRole | 使用者已從公司通訊者角色中移除。 |
拿掉策劃的主題* | RemoveCuratedTopic | 用戶會移除策劃的主題。 |
已共用檔案 | FileShared | 使用者與其他使用者共用檔案。 |
已將網路使用者停權 | NetworkUserSuspended | 網路或已驗證的系統管理員會暫停 (從 Viva Engage 停用) 使用者。 |
已將使用者停權 | UserSuspension | 已將使用者帳戶停權 (已停用)。 |
接受租使用者使用原則 | UsagePolicyAcceptance | 使用者接受租使用者特定的使用原則。 |
線程靜音 | AdminThreadMuted | 系統管理員已將線程設為靜音,或 watch 系統使用者) (警示。 當系統管理員) (針對特定主題標幟線程,並由系統自動靜音時,就會發生 watch 警示。 |
線程未變動 | AdminThreadUnmuted | 管理員 取消變更線程。 |
已更新檔案描述 | FileUpdateDescription | 使用者變更檔案的描述。 |
已更新檔案名稱 | FileUpdateName | 使用者變更檔案的名稱。 |
已更新郵件 | MessageUpdated | 使用者更新了訊息。 |
已更新網路 管理員 的角色指派 | NetworkAdminUpdated | 用戶會升級或降級為網路 管理員 角色。 |
已更新已驗證 管理員 的角色指派 | NetworkVerifiedAdminUpdated | 用戶會升級或降級為已驗證 管理員 角色。 |
已檢視檔案 | FileVisited | 使用者檢視檔案。 |
檢視的線程 | ThreadViewed | 用戶檢視訊息線程。 |
Viva Pulse 活動
下表列出已記錄用於稽核之 Viva Pulse 中的使用者和系統管理員活動。 數據表包含 [活動] 資料行中顯示的易記名稱,以及當您匯出搜尋結果時出現在稽核記錄詳細資訊和 CSV 檔案中之對應作業的名稱。
搜尋稽核記錄 檔詳細數據,以瞭解如何從 Microsoft Purview 入口網站和合規性入口網站搜尋稽核記錄。 用戶必須是全域管理員,或具有稽核讀取許可權才能存取稽核記錄。 您可以使用活動篩選來搜尋特定活動,並列出所有 Viva Pulse 活動,您可以在 [記錄類型] 篩選中選擇 VivaPulse。 您也可以使用日期範圍方塊和 [使用者] 清單進一步縮小搜尋結果。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
易記名稱 | 作業 | 描述 |
---|---|---|
使用者提交對脈衝問卷的回應 | PulseSubmit | 管理員 或使用者提供 Viva Pulse 意見反應要求的意見反應。 |
使用者已建立 Pulse 問卷 | PulseCreate | 系統會建立新的 Viva Pulse 意見反應要求。 |
用戶延長其脈衝問卷期限 | PulseExtendDeadline | 已延長現有 Viva Pulse 意見反應要求的期限。 |
用戶邀請其他用戶參加 Pulse 問卷 | PulseInvite | 已邀請其他使用者加入現有的 Viva Pulse 意見反應要求。 |
使用者已取消 Pulse 問卷 | PulseCancel | 使用者已取消 Pulse 問卷。 |
用戶共用脈衝報表 | PulseShareResults | Viva 與用戶共用 Pulse 意見反應結果。 |
使用者已建立 Pulse 草稿 | PulseCreateDraft | 使用者已建立 Pulse 草稿。 |
用戶刪除 Pulse 草稿 | PulseDeleteDraft | 用戶已刪除 Pulse 草稿。 |
管理員 刪除用戶的數據 | PulseDeleteUserData | 管理員 刪除用戶的數據。 |
管理員 更新的租用戶設定 | PulseTenantSettingsUpdate | 管理員 更新了 Viva Pulse 的組織設定。 |
Windows 365 客戶加密箱活動
下表列出稽核記錄中 Windows 365 客戶加密箱中的用戶和系統管理員活動。 若要從稽核記錄傳回 Windows 365 與客戶加密箱相關的活動,請在 [記錄類型] 下選取 [Windows365CustomerLockbox]。 使用 [日期範圍] 方塊與 [使用者] 清單來縮小搜尋結果。
易記名稱 | 作業 | 描述 |
---|---|---|
觸發裝置補救 | 觸發裝置補救 | 觸發裝置補救。 |
將資料夾上傳至 Blob | 將資料夾上傳至 Blob | 壓縮客戶裝置的資料夾並上傳至 Blob。 |
檢查PowerShell執行原則 | 檢查PowerShell執行原則 | 檢查PowerShell執行原則。 |
安裝 RD 代理程式 | 安裝 RD 代理程式 | 在使用者的裝置上安裝 RD 代理程式。 |
執行混合式AADJ擴充功能 | 執行混合式AADJ擴充功能 | 在使用者的裝置上執行混合式AADJ擴充功能。 |
建立 VmExtension 要求 | 建立 VmExtention 要求 | 建立 VM 擴充功能要求,以執行 VM 擴充功能,以在客戶裝置上執行自定義腳本。 |
觸發協調器 | 觸發協調器 | 觸發使用者的協調器。 |
依 SaaF 觸發一般動作 | 依 SaaF 觸發一般動作 | 針對使用者 (Retargeting、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) 觸發裝置動作。 |
觸發一般動作 | 觸發一般動作 | 觸發用戶的裝置動作。 |
使用選項觸發一般動作 | 使用選項觸發一般動作 | 使用選項參數觸發裝置動作,比觸發程式一般動作更強大。 |
(排程器) 建立新的工作專案 | (排程器) 建立新的工作專案 | 建立新的工作專案,例如布建、取消布建、重新佈建等。 |
遠端動作後作業 | 遠端動作後作業 | 張貼遠程動作,加上透過 GetActions 作業輪詢結果。 |
VM 上的 OCE 執行命令 | VM 上的 OCE 執行命令 | 依 tenantID、deviceID 清單和腳本執行命令。 |
建立 LogCollection 要求 | 建立 LogCollection 要求 | 建立雲端電腦的記錄收集要求。 |
觸發 CMD 代理程式 Canary 檢查。 | 觸發 CMD 代理程式 Canary 檢查。 | 在特定裝置上觸發 CMD 代理程式 Canary 檢查。 |
執行 AppHealthPlugin | 執行 AppHealthPlugin | 執行 AppHealthPlugin。 |
回填 CMD 代理程式 | AddDevicesToBackfill 作業 | 雲端電腦上的回填 CMD 代理程式。 |
重新安裝 CMD 代理程式 | AddDevicesToReinstall 作業 | 視需要重新安裝 CMD 代理程式。 |
大量重新安裝 CMD 代理程式 | TriggerClientAgentCheckBulkAction 作業 | 視需要大量重新安裝 CMD 代理程式。 |
在 ActionModeratorService 中建立遠端動作作業 | 在 ActionModeratorService 中建立遠端動作作業 | 依 tenantID、workspaceID、actionType、actionParameters 建立遠端動作。 |