Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les tableaux de cet article décrivent les activités enregistrées dans le journal d’audit Microsoft 365. Vous pouvez rechercher ces activités en effectuant une recherche dans le journal d’audit dans le portail Microsoft Purview.
La journalisation d’audit est activée par défaut pour les organisations Microsoft 365. Si l’audit n’est pas activé pour votre organization, une bannière s’affiche et vous invite à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur. Pour obtenir des instructions, consultez Activer l’audit.
Ces tableaux regroupent des activités connexes ou les activités d’un service spécifique. Les tables incluent le nom convivial affiché dans la liste déroulante Activités (ou disponibles dans PowerShell) et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche. Pour obtenir une description des informations détaillées, consultez Propriétés détaillées du journal d’audit.
Conseil
Sélectionnez l’un des liens dans la liste Dans cet article en haut de cet article pour accéder directement à une table de produits spécifique.
Activités d’administration des applications
Le tableau suivant répertorie les activités de l’administrateur d’application qui sont journalisées lorsqu’un administrateur ajoute ou modifie une application inscrite dans Microsoft Entra ID. Vous devez inscrire toute application qui s’appuie sur Microsoft Entra ID pour l’authentification dans l’annuaire.
Remarque
Les noms des opérations répertoriés dans la colonne Opération du tableau suivant contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Informations d’identification ajoutées à un principal de service | Ajouter des informations d’identification d’un principal du service. | Des informations d’identification ont été ajoutées à un principal de service dans Microsoft Entra ID. Un principal de service représente une application dans l’annuaire. |
| Entrée de délégation ajoutée | Ajouter une entrée de délégation. | Une autorisation d’authentification a été créée ou accordée à une application dans Microsoft Entra ID. |
| Principal de service ajouté | Ajouter un principal du service. | Une application a été inscrite dans Microsoft Entra ID. Un principal de service représente une application dans l’annuaire. |
| Principal de service supprimé de l’annuaire | Supprimer un principal du service. | Une application a été supprimée ou désinscrit de Microsoft Entra ID. Un principal de service représente une application dans l’annuaire. |
| Les informations d’identification ont été supprimées du principal de service | Supprimer des informations d’identification d’un principal du service. | Les informations d’identification ont été supprimées d’un principal de service dans Microsoft Entra ID. Un principal de service représente une application dans l’annuaire. |
| Entrée de délégation supprimée | Supprimer une entrée de délégation. | Une autorisation d’authentification a été supprimée d’une application dans Microsoft Entra ID. |
| Entrée de délégation définie | Définir une entrée de délégation. | Une autorisation d’authentification a été mise à jour pour une application dans Microsoft Entra ID. |
Activités de récapitulatif des tâches par courrier électronique
Le tableau suivant répertorie les activités dans l’e-mail de briefing que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur le courrier de récapitulatif des tâches, consultez :
- Présentation du courrier électronique de récapitulatif des tâches
- Configurer le courrier électronique de récapitulatif des tâches
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Paramètres de confidentialité de l’organisation mis à jour | UpdatedOrganizationBriefingSettings | Un administrateur met à jour les paramètres de confidentialité de l’organisation pour le courrier de récapitulatif des tâches. |
| Paramètres de confidentialité de l’utilisateur mis à jour | UpdatedUserBriefingSettings | Un administrateur met à jour les paramètres de confidentialité de l’utilisateur pour le courrier de récapitulatif des tâches. |
Activités de conformité des communications
Le tableau suivant répertorie les activités de conformité des communications que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations, consultez En savoir plus sur Conformité des communications Microsoft Purview.
Remarque
Vous pouvez voir ces activités lorsque vous utilisez l’applet de commande PowerShell Search-UnifiedAuditLog . Vous ne pouvez pas voir ces activités dans la liste déroulante Activités .
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Correspondance de stratégie | SupervisionRuleMatch | Un utilisateur a envoyé un message qui correspond à la condition d’une stratégie. |
| Mise à jour de stratégie | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Un administrateur de conformité des communications a effectué une mise à jour de stratégie. |
| Balise appliquée aux messages | SupervisoryReviewTag | Les balises sont appliquées aux messages ou les messages sont résolus. |
Activités du Gestionnaire de conformité
Le tableau suivant répertorie les opérations et activités que le journal d’audit enregistre lorsqu’un administrateur gère les paramètres dans le Gestionnaire de conformité. Pour plus d’informations, consultez En savoir plus sur le Gestionnaire de conformité.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Modification des rôles | ComplianceManagerRolesChange | Un administrateur a modifié les rôles des utilisateurs. |
| Modification du niveau d’automatisation du locataire | ComplianceManagerAutomationLevelChange | Un administrateur a modifié le niveau d’automatisation de l’organization pour toutes les actions. |
| Test de la modification de l’automatisation de la source | ComplianceManagerAutomationChange | Un administrateur a modifié les paramètres d’automatisation de la source de test. |
Activités de l’Explorateur de contenu
Le tableau suivant répertorie les activités de l’Explorateur de contenu enregistrées dans le journal d’audit Microsoft 365. Vous accédez à l’Explorateur de contenu à l’aide de l’outil Classifications de données dans le portail Microsoft Purview. Pour plus d’informations, voir Utilisation de l’Explorateur de contenu.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Élément consulté | LabelContentExplorerAccessedItem | Un administrateur (ou utilisateur membre du groupe de rôles Visionneuse de contenu de l’Explorateur de contenu) utilise l’Explorateur de contenu pour afficher un e-mail ou un document SharePoint/OneDrive. |
Activités d’investigation de sécurité des données (préversion)
Enquêtes sur la sécurité des données (préversion) fournit des outils d’investigation puissants qui peuvent nécessiter la possibilité d’auditer les activités pour garantir une utilisation sécurisée et approuvée de la solution. Pour répondre à ces exigences, le journal d’audit unifié enregistre les activités Enquêtes sur la sécurité des données (préversion).
Le tableau suivant répertorie les activités Enquêtes sur la sécurité des données (préversion) que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations, consultez En savoir plus sur Enquêtes sur la sécurité des données Microsoft Purview (préversion).
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Exemple d’affichage DSI annulé | DSISampleViewCancelled | Un utilisateur a annulé une vue d’exemples. |
| Vue des statistiques DSI annulées | DSIStatisticsViewCancelled | Un utilisateur a annulé un travail de statistiques. |
| Investigation DSI créée | CreatedDSIInvestigation | Un utilisateur a créé une investigation. |
| Investigation DSI supprimée | DeletedDSIInvestigation | Un utilisateur a supprimé une investigation. |
| Commentaires sur l’IA DSI fournis | DSIAIFeedbackProvided | Un utilisateur a fourni des commentaires sur l’IA. |
| Liste d’investigation DSI consultée | DSIInvestigationListViewed | Un utilisateur a consulté la liste des investigations. |
| Ajout de la recherche DSI | DSIPurviewSearchAdded | Un utilisateur a ajouté une recherche. |
| Recherche DSI mise à jour | DSIPurviewSearchUpdated | Un utilisateur a mis à jour une recherche. |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | Un utilisateur a consulté les résultats de l’examen. |
| Obtenir l’investigation DSI | GetDSIInvestigation | Un utilisateur a consulté une investigation. |
| Obtenir la recherche DSI | GetSearchDSIInvestigation | Un utilisateur a consulté une recherche. |
| Investigation créée à partir de Defender XDR | DSIInvestigationCreatedFromXDR | Un utilisateur a créé une investigation à partir de Defender XDR. |
| Investigation créée à partir de Purview IRM | DSIInvestigationCreatedFromIRM | Un utilisateur a créé une investigation à partir de Gestion des risques internes Microsoft Purview. |
| Élément ajouté à l’atténuation | DSIItemAddedToMitigation | Un utilisateur a ajouté un élément au plan d’atténuation d’une investigation. |
| Liste des plans d’atténuation consultée | DSIMitigationPlanListVIewed | Un utilisateur a consulté la liste des plans d’atténuation. |
| Démarrage du travail de catégorisation | DSIInvestigationCategorizationJobSubmitted | Un utilisateur a démarré un travail de catégorisation. |
| Démarrage du travail de détection | DSIProbeJobSubmitted | Un utilisateur a commencé un travail d’examen. |
| Travail de vectorisation démarré | DSIinvestigationVectorizationJobSubmitted | Un utilisateur a déclaré un travail de vectorisation. |
| Ajout de la recherche DSI envoyée au travail d’ensemble de preuves | DSIPurviewSearchAddToEvidenceSetJobSubmitted | Un utilisateur a ajouté des données recherchées à une étendue d’investigation. |
| Exemple de travail de recherche DSI envoyé | DSIPurviewSearchSampleJobSubmitted | Un utilisateur a démarré un travail d’exemple. |
| Tâche de statistiques de recherche DSI envoyée | DSIPurviewSearchStatisticsJobSubmitted | Un utilisateur a démarré un travail de statistiques. |
| Investigation DSI mise à jour | UpdatedDSIInvestigation | Un utilisateur a mis à jour une investigation. |
| Mise à jour des membres d’enquête DSI | DSIInvestigationMembersUpdated | Un utilisateur a mis à jour les membres d’une enquête. |
| Mise à jour status sur l’élément du plan d’atténuation | DSIMitigationItemStatusUpdated | Un utilisateur a mis à jour la status d’un élément sur le plan d’atténuation d’une investigation. |
| Fichier chargé pour la recherche DSI | DSIPurviewSearchUploadFile | Un utilisateur a chargé un fichier à rechercher. |
| La recherche vectorielle a démarré | DSIVectorSearchStarted | Un utilisateur a exécuté une recherche vectorielle. |
| Erreurs de traitement des données consultées pour un jeu de preuves DSI | DSIInvestigationSettingsUpdated | Un utilisateur a mis à jour les paramètres d’investigation. |
| Affichage des paramètres d’investigation DSI par défaut | DSIInvestigationSettingsDefaultViewed | Un utilisateur a consulté les paramètres d’investigation. |
| Document d’ensemble de preuves DSI consulté | DSIEvidenceSetDocumentViewed | Un utilisateur a consulté un document dans une investigation. |
| Paramètres d’investigation DSI consultés | DSIInvestigationSettingsViewed | Un utilisateur a consulté les paramètres d’investigation. |
| Affichage des exemples de résultats DSI | DSISampleResultsViewed | Un utilisateur a consulté des exemples de résultats. |
| Exemple de status DSI consulté | DSISampleStatusViewed | Un utilisateur a consulté la status d’un exemple de travail. |
| Afficher les résultats des statistiques DSI | DSIStatisticsResultsViewed | Un utilisateur a consulté les statistiques de recherche. |
| Élément consulté à partir du plan d’atténuation | DSIItemViewedFromMitigation | Un utilisateur a consulté un élément à partir du plan d’atténuation d’une investigation. |
Activités d’administration de l’annuaire
Le tableau suivant répertorie Microsoft Entra activités liées à l’annuaire et au domaine qui sont journalisées lorsqu’un administrateur gère ses organization dans le Centre d’administration Microsoft 365 ou dans le portail de gestion Azure.
Remarque
Les noms des opérations répertoriés dans la colonne Opération du tableau suivant contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Partenaire ajouté à l’annuaire | Ajouter un partenaire à une entreprise. | Un partenaire (administrateur délégué) a été ajouté à votre organisation. |
| Domaine ajouté à l’entreprise | Ajouter un domaine à une entreprise. | Un domaine a été ajouté à votre organisation. |
| Partenaire supprimé de l’annuaire | Supprimer un partenaire d’une entreprise. | Un partenaire (administrateur délégué) a été supprimé de votre organisation. |
| Domaine supprimé de l’entreprise | Supprimer un domaine d’une entreprise. | Un domaine a été supprimé de votre organisation. |
| Définition des informations sur la société | Définir des informations d’une entreprise. | Les informations de l’entreprise ont été mises à jour pour votre organisation. Inclut des adresses e-mail pour les e-mails liés à l’abonnement envoyés par Microsoft 365 et des notifications techniques sur les services Microsoft 365. |
| Définition de l’authentification de domaine | Définir une authentification de domaine. | Le paramètre d’authentification de domaine a été modifié pour votre organisation. |
| Stratégie de mot de passe définie | Définir une stratégie de mot de passe. | Les contraintes de longueur et de caractères applicables aux mots de passe utilisateur ont été modifiées dans votre organisation. |
| Activé Azure AD Sync | Définir un indicateur DirSyncEnabled. | La propriété qui active un annuaire pour la synchronisation Azure AD a été définie. |
| Domaine mis à jour | Mettre à jour un domaine. | Les paramètres d’un domaine dans votre organisation ont été mis à jour. |
| Paramètres de fédération mis à jour pour un domaine | Définir des paramètres de fédération sur un domaine. | Les paramètres de la fédération (partage externe) ont été modifiés pour votre organisation. |
| Domaine vérifié | Vérifier un domaine. | Vérifiez que votre organization était le propriétaire d’un domaine. |
| Domaine de courrier vérifié par courrier électronique | Vérifier un domaine vérifié d’e-mail. | Une vérification de courrier électronique a été effectuée pour vérifier que votre organisation est propriétaire d’un domaine. |
Activités de la révision avant destruction
Le tableau suivant répertorie les activités qu’un réviseur de destruction a effectuées lorsqu’un élément a atteint la fin de sa période de rétention configurée ou qu’un élément a été automatiquement déplacé vers l’étape de destruction suivante ou supprimé définitivement à la suite de l’approbation automatique.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Réviseurs ajoutés | AddReviewer | Un réviseur de destruction a ajouté un ou plusieurs autres utilisateurs à la phase d’examen de la révision avant destruction actuelle. |
| Destruction approuvée | ApproveDisposal | Pour l’approbation manuelle : un réviseur de destruction a approuvé la disposition de l’élément pour le déplacer vers l’étape de disposition suivante. Si l’élément était la seule ou la dernière étape de la révision avant destruction, l’approbation de la destruction a marqué l’élément comme éligible pour la suppression définitive. Pour l’approbation automatique : aucune action manuelle n’a été effectuée au cours de la période d’approbation automatique configurée, de sorte que l’élément a été automatiquement déplacé vers l’étape de destruction suivante. Si l’élément était à l’étape unique ou finale de la révision de destruction, l’élément est automatiquement devenu éligible pour une suppression définitive. |
| Étendue de la période de rétention | ExtendRetention | Un réviseur de destruction a étendu la période de rétention de l’élément. |
| Élément réétiqueté | RelabelItem | Un réviseur de destruction a de nouveau étiqueté l’étiquette de rétention. |
Activités de découverte électronique
Le journal d’audit enregistre les activités eDiscovery que vous effectuez dans le portail Microsoft Purview. Il journalise les événements lorsque des administrateurs ou des gestionnaires eDiscovery (ou des autorisations eDiscovery affectées par l’utilisateur) effectuent les tâches suivantes dans le portail Microsoft Purview :
- Création et gestion des cas eDiscovery.
- Création et modification de cas de recherche eDiscovery.
- Exécution d’actions de recherche, telles que la génération de statistiques, l’échantillonnage et l’exportation à partir de la recherche.
- La création, la modification et la suppression conservent les cas eDiscovery.
- Création d’ensembles de révisions et activités de révision dans les cas eDiscovery.
Pour plus d’informations sur la recherche dans le journal d’audit, les autorisations requises et l’exportation des résultats de recherche, consultez Rechercher dans le journal d’audit.
Comment rechercher et afficher des activités eDiscovery
Le journal d’audit enregistre les activités eDiscovery que vous effectuez dans le portail Microsoft Purview ou dans PowerShell. Pour rechercher des activités eDiscovery, consultez Rechercher des activités eDiscovery dans le journal d’audit.
Activités de découverte électronique
Le tableau suivant décrit les activités eDiscovery enregistrées lorsqu’un administrateur ou un responsable eDiscovery effectue une activité liée à eDiscovery à l’aide du portail Microsoft Purview. Certaines activités effectuées dans l’expérience utilisateur eDiscovery classique peuvent être retournées lorsque vous recherchez des activités dans cette liste.
Remarque
Nous avons implémenté le champ IP client pour toutes les activités effectuées dans la nouvelle expérience eDiscovery. Pour distinguer les activités effectuées dans la nouvelle expérience de celles de l’expérience classique, case activée la présence du champ IP client dans l’entrée d’audit. (Dans l’image suivante, la première entrée est la casse eDiscovery supprimée dans la nouvelle expérience utilisateur moderne et les deux autres entrées sans adresses IP sont des expériences utilisateur classiques).
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout d’un favori | FavoriteSet | L’utilisateur définit un cas sur favori. |
| Ajout de la recherche Purview | PurviewSearchAdded | Une nouvelle recherche a été créée. Cette activité d’audit inclut le nom du cas, l’ID de cas et le nom de recherche qui a été créé. |
| Ajout de l’ensemble de révisions | ReviewSetAdded | L’utilisateur a créé un groupe de révision. |
| Ajout de la recherche enregistrée pour un jeu de révision | ReviewSetSavedSearchAdded | L’utilisateur a créé des filtres enregistrés dans un jeu de révision. L’activité d’audit inclut le nom du jeu de révision, le nom des filtres enregistrés et la requête utilisée. |
| Ajout d’un modèle de balise | TagTemplateAdded | Un utilisateur a créé un modèle de balise dans les paramètres eDiscovery. |
| Exemple de vue annulé | SampleViewCancelled | Exemple d’affichage annulé par l’utilisateur. L’activité d’audit inclut le nom, l’ID, la requête et les paramètres associés de la recherche annulée. |
| Vue des statistiques annulées | StatisticsViewCancelled | Affichage des statistiques annulées par l’utilisateur. L’activité d’audit inclut le nom, l’ID, la requête et les paramètres associés de la recherche annulée. |
| Changement de cas eDiscovery | CaseUpdated | Mise à jour d’un cas eDiscovery. |
| Conservation modifiée dans le cas eDiscovery | HoldUpdated | La conservation a été modifiée ou modifiée. Cette activité d’audit inclut le nom de la conservation, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été modifiées. |
| Cas eDiscovery fermé | CaseClosed | Un cas eDiscovery a été fermé. |
| Jeu de révision copié | ReviewSetCopied | L’utilisateur déclenche le processus « Ajouter à un autre jeu de révision ». |
| Cas eDiscovery créé | CaseAdded | Ajout d’un nouveau cas eDiscovery. |
| Conservation créée dans le cas eDiscovery | HoldCreated | Une nouvelle conservation a été créée. Cette activité d’audit inclut le nom du cas, l’ID de cas et le nom de la conservation qui a été créé. |
| Cas eDiscovery supprimé | CaseRemoved | Un cas eDiscovery a été supprimé. Vous devez supprimer toute conservation associée au cas avant de pouvoir supprimer le cas. |
| Fichier supprimé pour la recherche Purview | PurviewSearchDeleteFile | L’utilisateur a supprimé un fichier d’une recherche. Cette activité d’audit inclut le nom du cas, l’ID de cas, le nom de recherche, l’ID de recherche et l’ID du fichier supprimé par l’utilisateur. |
| Conservation supprimée dans le cas d’eDiscovery | HoldRemoved | Une conservation associée à un cas eDiscovery a été supprimée. La suppression d’une conservation libère tous les emplacements de contenu de la conservation. |
| Recherche Purview supprimée | PurviewSearchDeleted | Une recherche a été supprimée. Cette activité inclut le nom du cas supprimé, l’ID de cas et le nom de la recherche. |
| Tâche d’exportation de recherche Purview supprimée | PurviewSearchExportJobDeleted | Une exportation de la recherche a été supprimée. Cette activité inclut le nom de l’exportation supprimée, les informations de cas dans lesquelles l’exportation est incluse, l’utilisateur et l’horodatage de suppression. |
| Favoris supprimés | FavoriteRemoved | L’utilisateur a supprimé un cas des favoris. |
| Suppression de la recherche enregistrée pour un jeu de révision | ReviewSetSavedSearchRemoved | L’utilisateur a supprimé les filtres enregistrés dans un jeu de révision. |
| Modèle de balise supprimé | TagTemplateRemoved | L’utilisateur a supprimé un modèle de balise dans les paramètres eDiscovery. L’activité d’audit inclut le nom et l’ID d’objet du modèle de balise supprimé. |
| Cas eDiscovery rouvert | CaseReopened | Un cas eDiscovery a été rouvert. |
| Synchronisation de distribution retentée pour la conservation | HoldRetryDistributionSync | L’utilisateur a déclenché une « stratégie de nouvelle tentative » dans une mise en attente. |
| Actions récupérées pour tous les ensembles de révision | GetActionsForAllReviewSets | L’utilisateur a consulté une liste d’actions associées à tous les jeux de révision dans un cas |
| Récupération de toutes les actions pour conservation | GetActionsForAllHolds | L’utilisateur a consulté une liste d’actions associées à toutes les conservations dans un cas. L’activité d’audit inclut le nom du cas, l’ID, le nom de la conservation, l’ID et le nom de la liste des actions. |
| Récupération de toutes les actions pour la recherche | GetActionsForSearch | L’utilisateur a affiché une liste d’actions (telles que les exportations) associées à une recherche. L’activité d’audit inclut le nom du cas, l’ID, le nom de la recherche, l’ID et le nom de la liste des actions. |
| Récupération de toutes les actions pour toutes les exportations | GetActionsForAllExports | L’utilisateur a consulté une liste d’exportations dans un cas. L’activité d’audit inclut le nom du cas, l’ID, les paramètres de cas et la liste des noms d’exportation affichés. |
| Récupération de toutes les actions pour l’incident | GetActionsForCase | L’utilisateur a consulté une liste d’actions (telles que les exportations) associées à un cas eDiscovery. |
| Récupération de toutes les actions pour conservation | GetActionsForHold | L’utilisateur a consulté une liste d’actions associées à une conservation. |
| Récupération de toutes les actions pour l’ensemble de révision | GetActionsForReviewSet | L’utilisateur a consulté une liste d’actions (telles que les exportations) associées à un jeu de révision. L’activité d’audit inclut le nom du cas, l’ID, le nom du jeu de révision, l’ID et le nom de la liste des actions. |
| Action unique récupérée pour l’incident | GetSingleActionForCase | L’utilisateur a vu une seule action associée à un cas eDiscovery. Par exemple, l’utilisateur a consulté le processus d’exportation dans le gestionnaire de processus. L’activité d’audit inclut le nom du cas, l’ID, ainsi que les paramètres et l’ID associés au processus. |
| Action unique récupérée pour la conservation | GetSingleActionForHold | L’utilisateur a vu une seule action associée à une conservation. |
| Action unique récupérée pour l’ensemble de révision | GetSingleActionForReviewSet | L’utilisateur a vu une seule action associée à un jeu de révision. |
| Action unique récupérée pour la recherche | GetSingleActionForSearch | L’utilisateur a affiché une seule action associée à une recherche. Par exemple, l’utilisateur a consulté le processus d’exportation dans le gestionnaire de processus de la recherche. L’activité d’audit inclut le nom du cas, l’ID, ainsi que les paramètres et l’ID associés au processus. |
| Nouveau travail algo envoyé | AlgoJobSubmitted | L’utilisateur a exécuté l’analytique sur les documents d’un jeu de révision. |
| Nouveau travail de gravure envoyé | BurnJobSubmitted | L’utilisateur a converti tous les documents rédigés dans un ensemble de révision en fichiers PDF. |
| Tâche d’ensemble de la recherche purview envoyée ajouter à la révision | PurviewSearchAddToReviewSetJobSubmitted | L’utilisateur a déclenché un processus « ajouter à l’ensemble de révision » à partir d’une recherche. Cette activité d’audit inclut le nom de recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été associées à la recherche. Il inclut également les paramètres de processus d’ajout pour passer en revue les paramètres de processus utilisés. |
| Tâche d’exportation de recherche purview envoyée | PurviewSearchExportJobSubmitted | L’utilisateur a déclenché un processus d'« exportation » à partir d’une recherche. Cette activité d’audit inclut le nom de recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été associées à la recherche. Il inclut également les paramètres de processus d’exportation appropriés utilisés et le nom de l’exportation. |
| Exemple de travail de recherche purview envoyé | PurviewSearchSampleJobSubmitted | L’utilisateur a déclenché un processus « générer un exemple » à partir d’une recherche. Cette activité d’audit inclut le nom de recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été associées à la recherche. Il inclut également des exemples de paramètres de processus pertinents utilisés. |
| Tâche de statistiques de recherche purview envoyée | PurviewSearchStatisticsJobSubmitted | L’utilisateur a déclenché un processus de « génération de statistiques » à partir d’une recherche. Cette activité d’audit inclut le nom de recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été associées à la recherche. Il inclut également les paramètres de processus de statistiques pertinents utilisés. |
| Tâche d’exportation du jeu de révision envoyée | ReviewSetExportJobSubmitted | Documents exportés à partir d’un jeu de révision. Cette activité d’audit inclut le nom du jeu de révision, la liste des ID de documents en cours d’exportation et les paramètres de processus d’exportation appropriés. |
| Documents étiquetés par ID pour un jeu de révision | ReviewSetDocumentsTaggedById | L’utilisateur a appliqué des étiquettes à des documents spécifiques dans un jeu de révision. L’activité d’audit inclut le nom du cas, le nom du jeu de révision et la liste des éléments étiquetés. |
| Documents étiquetés par requête pour un jeu de révision | ReviewSetDocumentsTaggedByQuery | L’utilisateur a appliqué des balises à des documents spécifiques dans un jeu de révision après filtrage par requête. L’activité d’audit inclut le nom du cas, le nom du jeu de révision et la liste des éléments étiquetés. |
| Membres de cas mis à jour | CaseMembersUpdated | L’appartenance au cas a été mise à jour. En tant que membre d’un cas, un utilisateur peut effectuer diverses tâches liées à un cas selon que les autorisations nécessaires lui sont attribuées ou non. |
| Paramètres de cas mis à jour | CaseSettingsUpdated | L’utilisateur a modifié les paramètres de casse. Les paramètres de cas incluent les informations de cas, l’accès aux fonctionnalités Premium, les autorisations de cas et les paramètres qui contrôlent le comportement de recherche et d’analyse. |
| Notes mises à jour pour un jeu de révision | ReviewSetNotesUpdated | Note de l’utilisateur mise à jour pour un document d’ensemble de révision. |
| Mise à jour de la recherche Purview | PurviewSearchUpdated | La recherche a été modifiée ou modifiée. Cette activité d’audit inclut le nom de recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques qui ont été modifiées. |
| Ensemble de révision mis à jour | ReviewSetUpdated | L’utilisateur a mis à jour le jeu de révision, tel que le nom et la description de l’ensemble de révision. |
| Annotation de jeu de révision mise à jour | ReviewSetAnnotationsUpdated | L’utilisateur a annoté un document dans un groupe de révision. Cette activité d’audit inclut le nom du jeu de révision et d’autres informations telles que l’ID de document annoté. |
| Mise à jour de la recherche enregistrée pour un jeu de révision | ReviewSetSavedSearchUpdated | L’utilisateur a modifié les filtres enregistrés dans un jeu de révision. L’activité d’audit inclut le nom du jeu de révision, le nom des filtres enregistrés et la requête utilisée. |
| Modèle d’étiquette mis à jour | TagTemplateUpdated | L’utilisateur a mis à jour un modèle de balise dans les paramètres eDiscovery. L’activité d’audit inclut le nom et l’ID d’objet du modèle de balise mis à jour. |
| Balises mises à jour | TagsUpdated | L’utilisateur a mis à jour les balises d’ensemble de révision dans un cas. |
| Balises mises à jour pour un modèle de balise | TagTemplateTagsUpdated | Balises mises à jour par l’utilisateur pour un modèle d’étiquette. L’activité d’audit inclut le nom et l’ID des balises de modèle d’étiquette mises à jour. |
| Paramètres de locataire mis à jour | TenantSettingsUpdated | L’utilisateur a mis à jour les paramètres de organization d’eDiscovery. |
| Fichier chargé pour la recherche Purview | PurviewSearchUploadFile | L’utilisateur a chargé un fichier pour la recherche par fichier. Cette activité d’audit inclut le nom du cas, l’ID de cas, le nom de recherche, l’ID de recherche et le nom du fichier que l’utilisateur a chargé. |
| Rapport d’ensemble de pièces jointes de révision d’analyse consultés | AlgoGetReviewSetAttachmentsReport | Rapport de pièce jointe d’analytique consulté par l’utilisateur. Cette activité d’audit inclut le nom et l’ID du jeu de cas et de révision. |
| Rapport d’ensemble de documents de révision d’analyse consultés | AlgoGetReviewSetDocumentsReport | Rapport de document analytique consulté par l’utilisateur. |
| Rapport d’e-mail de l’ensemble de révision analytique consulté | AlgoGetReviewSetEmailsReport | Rapport d’e-mail analytique consulté par l’utilisateur. |
| Rapport d’ensemble de révision d’analyse consulté | AlgoGetReviewSetReport | L’utilisateur a consulté le rapport d’analyse dans un jeu de révision. Cette activité d’audit inclut le nom et l’ID du jeu de cas et de révision, ainsi que le type de rapport. |
| Rapport d’ensemble de révision analytique consulté par type de fichier | AlgoGetReviewSetReportByFileType | L’utilisateur a consulté le graphique de rapport d’analyse par type de fichier. |
| Rapport d’ensemble de révision analytique consulté par source | AlgoGetReviewSetReportBySource | L’utilisateur a consulté le document d’analyse par source. Cette activité d’audit inclut le nom et l’ID du jeu de cas et de révision. |
| Métadonnées de cas consultées | CaseMetadataViewed | Les métadonnées relatives à un cas eDiscovery ont été consultées. |
| Paramètres de cas consultés | CaseSettingsViewed | L’utilisateur a consulté les paramètres d’un cas. Les paramètres de cas incluent les informations de cas, l’accès aux fonctionnalités Premium, les autorisations de cas et les paramètres qui contrôlent le comportement de recherche et d’analyse. |
| Erreurs de traitement des données consultées pour un jeu de révision | ReviewSetDataProcessingErrorViewed | L’utilisateur a consulté les erreurs de traitement dans un jeu de révision. |
| Paramètres de cas par défaut consultés | CaseSettingsDefaultViewed | Paramètre de casse par défaut consulté. |
| Cas eDiscovery consulté | CaseViewed | Un utilisateur a consulté un cas eDiscovery dans le portail Microsoft Purview. L’enregistrement d’audit de cet événement inclut le nom, les paramètres de cas et l’ID de cas du cas qui a été consulté. |
| Liste des cas eDiscovery consultés | CaseListViewed | Cette activité est journalisée lorsqu’un utilisateur a consulté une liste de cas eDiscovery. L’enregistrement d’audit inclut le nom et l’ID des cas qui ont été consultés dans la liste des cas. |
| Liste des favoris consultée | FavoriteListViewed | L’utilisateur a consulté la liste des cas favoris. |
| Conservation consultée | HoldViewed | L’utilisateur a consulté une conservation à l’intérieur d’un cas. Cette activité d’audit inclut le nom et l’ID de conservation que l’utilisateur a consultés. Il inclut également les sources de données et les valeurs de requête spécifiques à l’intérieur de la conservation qui a été consultée par l’utilisateur. |
| Liste d’attente consultée | HoldListViewed | L’utilisateur a consulté la liste de conservation à l’intérieur d’un cas. Cette activité d’audit inclut le nom du cas, l’ID de cas et la liste des noms et ID de conservation que l’utilisateur a consultés. |
| Afficher les résultats de la conservation | HoldResultsViewed | L’utilisateur a consulté les résultats de la conservation. L’activité d’audit inclut le nom du cas, l’ID de cas, le nom de la conservation et l’ID de conservation. |
| Status de conservation consultée | HoldStatusViewed | Status de la conservation consultée par l’utilisateur. L’activité d’audit inclut le nom du cas, l’ID de cas, le nom de la conservation et l’ID de conservation. |
| Affichage si les paramètres d’analyse sont modifiés | AlgoIsSettingChanged | Cette activité d’audit inclut le nom et l’ID du jeu de cas et de révision. |
| Nombre de charges consultées au cas | LoadCountInCaseViewed | L’utilisateur a consulté le nombre de jeux de charge dans un cas. |
| Liste de chargement consultée | LoadListViewed | L’utilisateur a consulté la liste des jeux de charge dans le jeu de révision. |
| Recherche Purview consultée | PurviewSearchViewed | L’utilisateur a consulté une recherche spécifique. Cette activité d’audit inclut le nom de la recherche, l’ID, ainsi que les sources de données et les valeurs de requête spécifiques à l’intérieur de la recherche qui a été consultée par l’utilisateur. |
| Liste de recherche Purview consultée | PurviewSearchListViewed | L’utilisateur a consulté la liste des recherches dans un cas. Cette activité d’audit inclut le nom du cas, l’ID de cas et la liste des noms et ID des recherches que l’utilisateur a consultés. |
| Rapport de requête consulté pour un jeu de révision | ReviewSetQueryReportViewed | L’utilisateur a consulté le rapport de requête à l’intérieur d’un jeu de révision. |
| Document de l’ensemble de révisions consulté | ReviewSetDocumentViewed | L’utilisateur a consulté un document à l’intérieur d’un jeu de révision. Cette activité d’audit inclut le nom du cas, l’ID de cas, le nom du jeu de révision, l’ID du jeu de révision et d’autres informations telles que l’ID du document consulté. |
| Liste des ensembles de révisions consultées | ReviewSetListViewed | L’utilisateur a consulté la liste des ensembles de révision dans un cas. |
| Résumé de l’ensemble de révisions consultés | ReviewSetSummaryViewed | L’utilisateur a consulté la Vue d’ensemble d’un ensemble de révisions. |
| Exemples de résultats affichés | SampleResultsViewed | Affichage des exemples de résultats de recherche affichés par l’utilisateur. |
| Exemples de status consultés | SampleStatusViewed | L’utilisateur a consulté l’status de l’exemple de vue de recherche. L’activité d’audit inclut le nom, l’ID, la requête et les paramètres associés de la recherche. |
| Liste de recherche enregistrée consultée pour un jeu de révision | ReviewSetSavedSearchListViewed | L’utilisateur a consulté une liste de filtres enregistrés dans un jeu de révision. L’activité d’audit inclut le nom du jeu de révision et le nom de la liste des filtres enregistrés consultés. |
| Nombre de recherches consultées pour un jeu de révision | ReviewSetSearchCountViewed | L’utilisateur a effectué une recherche dans un jeu de révision et a consulté le nombre retourné. L’activité d’audit inclut le nom du cas, le nom du jeu de révision et le nombre d’éléments retournés dans les résultats de la recherche. |
| Options de recherche consultées pour un jeu de révision | ReviewSetSearchOptionsViewed | L’utilisateur a consulté les paramètres d’un jeu de révision. L’activité d’audit inclut le nom du cas et le nom du jeu de révision. |
| Résultats de recherche affichés pour un jeu de révision | ReviewSetSearchRun | L’utilisateur a effectué une recherche dans un jeu de révision. L’activité d’audit inclut le nom du cas, le nom du jeu de révision et la liste des éléments retournés dans les résultats de la recherche. |
| Résultats des statistiques affichées | StatistiquesResultsAffiché | L’utilisateur a consulté les résultats des statistiques de recherche. |
| Statistiques affichées status | StatistiquesStatusViewed | L’utilisateur a consulté les status de l’affichage des statistiques de recherche. L’activité d’audit inclut le nom, l’ID, la requête et les paramètres associés de la recherche. |
| Liste des modèles d’étiquettes consultées | TagTemplateListViewed | L’utilisateur a consulté la liste des modèles de balise dans les paramètres eDiscovery. L’activité d’audit inclut la liste des modèles d’étiquettes consultés. |
| Balises consultées | TagsViewed | L’utilisateur a consulté les étiquettes d’ensemble de révision dans un cas. |
| Balises consultées pour un modèle d’étiquette | TagTemplateTagsViewed | L’utilisateur a consulté les étiquettes d’un modèle de balise. L’activité d’audit inclut le nom et l’ID des balises de modèle de balise consultées. |
| Paramètres de locataire consultés | TenantSettingsViewed | L’utilisateur a consulté les paramètres de organization d’eDiscovery. L’activité d’audit contient des informations sur les valeurs de paramètre. |
Propriétés détaillées pour les activités eDiscovery
Le tableau suivant décrit les propriétés incluses dans la page de menu volant d’une activité eDiscovery répertoriées dans les résultats de la recherche. Ces propriétés sont également incluses dans le fichier CSV lorsque vous exportez les résultats de la recherche dans le journal d’audit. Un enregistrement de journal d’audit pour une activité eDiscovery n’inclut pas toutes les propriétés détaillées répertoriées dans le tableau suivant.
Conseil
Lorsque vous exportez les résultats de la recherche, le fichier CSV contient une colonne nommée AudtiData, qui contient les propriétés détaillées décrites dans le tableau suivant dans une propriété à valeurs multiples. Vous pouvez utiliser la fonctionnalité Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cette configuration vous permet de trier et de filtrer sur une ou plusieurs de ces propriétés. Pour plus d’informations, consultez Rechercher dans le journal d’audit.
| Propriété | Description |
|---|---|
| CaseId | Identité (GUID) du cas eDiscovery créé, modifié ou supprimé. |
| CaseName | Nom du cas eDiscovery créé, modifié ou supprimé. |
| ClientApplication | Les activités d’applet de commande eDiscovery ont la valeur EMC pour cette propriété. Cette valeur indique que l’activité a été effectuée à l’aide de l’interface graphique graphique du portail Microsoft Purview ou en exécutant l’applet de commande dans PowerShell. |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ClientRequestId | Pour les activités eDiscovery, cette propriété est généralement vide. |
| CmdletVersion | Numéro de build de la version du portail Microsoft Purview s’exécutant dans votre organization. |
| CreationTime | Date et heure de création en temps universel coordonné (UTC) de l’activité. |
| DataSources | Liste de l’ID source, du nom de la source et des détails d’emplacement associés à l’activité. |
| EffectiveOrganization | Nom du organization Microsoft 365. |
| ExportName | Nom de l’exportation eDiscovery. |
| ExtendedProperties | Propriétés supplémentaires liées à l’activité eDiscovery. Par exemple, lorsque les membres de cas sont mis à jour, ce champ contient les informations de membre de cas mises à jour ; ou lorsque la description du jeu de révision est mise à jour, ce champ contient la description mise à jour du jeu de révision mise à jour par l’utilisateur. |
| ID | ID de l’entrée de rapport. L’ID identifie de manière unique l’entrée du journal d’audit. |
| Option | Nom de l’élément associé à l’activité. Par exemple, ce champ contient le nom du document consulté lorsqu’un utilisateur consulte un document d’ensemble de révision. |
| JobId | GUID du processus eDiscovery. |
| ObjectId | GUID de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) créé, consulté ou modifié par l’activité répertoriée dans la propriété Operation . |
| ObjectName | Nom de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) créé, consulté ou modifié par l’activité répertoriée dans la propriété Operation. |
| ObjectType | Type d’objet eDiscovery créé, supprimé ou modifié. Par exemple, une action de recherche (générer des exemples de résultats ou déclencher une exportation à partir de la recherche) est répertoriée comme Recherche dans ce champ. |
| Opération | Nom de l’opération qui correspond à l’activité eDiscovery qui a été effectuée. |
| OrganizationId | GUID de votre organization Microsoft 365. |
| QueryFiles | Nom du fichier d’entrée utilisé pour générer la requête. Cette propriété est spécifique au mouvement de recherche par fichier. |
| QueryId | GUID de la requête associée à l’activité. |
| QueryText | Texte de requête associé à l’activité, tel qu’un processus de statistiques de recherche ou ajouter au processus de révision. |
| RecordType | Type d’opération indiqué par l’enregistrement. |
| ResultStatus | Si l’action (spécifiée dans la propriété Operation) a réussi ou non. |
| Paramètres | Paramètres appliqués à l’activité eDiscovery. |
| StartTime | Date et heure utc (Temps universel coordonné) auxquelles l’activité eDiscovery a démarré. |
| UserCancelled | Indique si l’activité spécifique a été annulée par l’utilisateur. |
| UserId | Utilisateur qui a effectué l’activité (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Pour les activités eDiscovery, la valeur de cette propriété est généralement identique à la propriété UserId. |
| UserServicePlan | Abonnement utilisé par votre organization. Pour les activités eDiscovery, cette propriété est généralement vide. |
| UserType | Type d’utilisateur ayant effectué l’opération. Les valeurs suivantes indiquent le type d’utilisateur. 0 Un utilisateur normal. 2 Un administrateur dans votre organization. 3 Un compte de système de centre de données ou administrateur de centre de données Microsoft. 4 Un compte système. 5 Une application. 6 Un principal de service. |
| Version | Numéro de version de l’activité (identifiée par la propriété Operation) journalisée. |
| Charge de travail | Service où l’activité s’est produite. |
Activités du portail des messages chiffrés
Votre organization peut accéder aux journaux des messages chiffrés via le portail des messages chiffrés. Ces journaux vous aident à déterminer quand vos destinataires externes lisent et transfèrent des messages. Pour plus d’informations sur l’activation et l’utilisation des journaux d’activité du portail de messages chiffrés, consultez la rubrique Journal d’activité du portail des messages chiffrés.
Chaque entrée d’audit pour un message suivi contient les champs suivants :
- MessageID : contient l’ID du message suivi. Identificateur de clé utilisé pour suivre un message dans le système.
- Destinataire : liste de toutes les adresses e-mail des destinataires.
- Expéditeur : adresse e-mail d’origine.
- AuthenticationMethod : décrit la méthode d’authentification pour accéder au message, par exemple, OTP, Yahoo, Gmail ou Microsoft.
- AuthenticationStatus : contient une valeur indiquant que l’authentification a réussi ou échoué.
- OperationStatus : indique si l’opération indiquée a réussi ou échoué.
- AttachmentName : nom de la pièce jointe.
- OperationProperties : liste des propriétés facultatives. Par exemple, le nombre de codes secrets otP envoyés ou l’objet de l’e-mail.
Activités administrateur Exchange
La journalisation d’audit de l’administrateur Exchange (activée par défaut dans Microsoft 365) enregistre un événement dans le journal d’audit lorsqu’un administrateur (ou un utilisateur affecté à des autorisations administratives) apporte une modification à votre Exchange Online organization. Les modifications apportées à l’aide du Centre d’administration Exchange ou en exécutant une cmdlet dans Exchange Online PowerShell sont enregistrées dans le journal d’audit de l’administrateur Exchange. Les applets de commande qui commencent par les verbes Get-, Search-ouTest- ne sont pas enregistrées dans le journal d’audit. Pour plus d’informations sur la journalisation d’audit de l’administrateur dans Exchange, voir Journalisation d’audit de l’administrateur.
Importante
Certaines applets de commande Exchange Online ne sont pas journalisées dans le journal d’audit de l’administrateur Exchange (ou dans le journal d’audit). Un grand nombre de ces applets de commande concernent la maintenance du service Exchange Online et sont exécutées par le personnel du centre de données Microsoft ou les comptes de service. Ces applets de commande ne sont pas enregistrées, car elles génèrent un grand nombre d’événements d’audit «bruyants». S’il existe une applet de commande Exchange Online qui n’est pas auditée, envoyez une demande de modification de conception (DCR) à Support Microsoft.
Voici quelques conseils pour rechercher des activités d’administrateur Exchange dans le journal d’audit :
- Utiliser les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de recherche des cmdlets exécutées par un administrateur Exchange spécifique à une plage de dates donnée.
- Pour afficher les événements du journal d’audit de l’administrateur Exchange, sélectionnez la colonne Activité pour trier les noms des applets de commande par ordre alphabétique.
- Pour obtenir des informations sur les cmdlets exécutées, les paramètres et valeurs de paramètres utilisés et les objets affectés, vous devez exporter les résultats de recherche et sélectionner l’option Télécharger tous les résultats. Pour plus d’informations, voir Exporter, configurer et afficher des enregistrements du journal d’audit.
- Vous pouvez également utiliser la
Search-UnifiedAuditLog -RecordType ExchangeAdmincommande dans Exchange Online PowerShell pour renvoyer uniquement les enregistrements d’audit du journal d’audit de l’administrateur Exchange. Jusqu’à 30 minutes peuvent être nécessaires après l’exécution d’une applet de commande Exchange pour que l’entrée du journal d’audit correspondante soit retournée dans les résultats de la recherche. Pour plus d’informations, voir Search-UnifiedAuditLog. Pour plus d’informations sur l’exportation des résultats de recherche renvoyés par l’applet de commande Search-UnifiedAuditLog vers un fichier CSV, voir la section «conseils pour l'exportation et l’affichage du journal d’audit» dans exporter, configurer et afficher les enregistrements du journal d’audit..
Activités de la boîte aux lettres Exchange
Le tableau suivant répertorie les activités enregistrées dans le journal d’audit Microsoft 365. La journalisation d’audit des boîtes aux lettres enregistre automatiquement les activités de boîte aux lettres effectuées par le propriétaire de la boîte aux lettres, un utilisateur délégué ou un administrateur dans le journal d’audit pendant 180 jours maximum. Un administrateur peut désactiver la journalisation d’audit de boîte aux lettres pour tous les utilisateurs de votre organization. Dans ce cas, aucune action de boîte aux lettres pour un utilisateur n’est enregistrée. Pour plus d’informations, voir Gérer l’audit de boîte aux lettres.
Importante
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.
Vous pouvez également rechercher des activités de boîte aux lettres à l’aide de l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Pièces jointes de boîte aux lettres consultées | AttachmentAccess | Une pièce jointe de message a été consultée. |
| Dossier de boîte aux lettres consulté | FolderBind | Un utilisateur a accédé au dossier de boîte aux lettres. Cette action est également enregistrée lorsque l’administrateur ou un délégué ouvre la boîte aux lettres. Les enregistrements d’audit pour les actions de liaison de dossier effectuées par les délégués sont consolidés. Un enregistrement d’audit est généré pour l’accès aux dossiers individuels au cours d’une période de 24 heures. |
| Éléments de boîte aux lettres consultés | MailItemsAccessed | Les messages sont lus ou consultés dans la boîte aux lettres. Les enregistrements d’audit pour cette activité sont déclenchés de deux manières : lorsqu’un client de courrier (par exemple, Outlook) effectue une opération de liaison sur des messages ou lorsque des protocoles de courrier (par exemple, Exchange ActiveSync ou IMAP) synchronisent des éléments dans un dossier de courrier. L’analyse des enregistrements d’audit pour cette activité est utile lorsque vous êtes à la recherche d'un compte de messagerie compromis. |
| Message consulté | MessageBind | Un message a été affiché dans le volet d’aperçu ou ouvert par un administrateur. Cette valeur est disponible uniquement pour les utilisateurs sans licence E5/A5/G5. |
| Autorisations de boîtes aux lettres de délégué ajoutées | Add-MailboxPermission | Un administrateur a attribué l’autorisation de boîte aux lettres FullAccess à un utilisateur (appelé délégué) à la boîte aux lettres d’une autre personne. L’autorisation FullAccess permet au délégué d’ouvrir la boîte aux lettres d’un autre utilisateur ainsi que de lire et de gérer le contenu de la boîte aux lettres. L’enregistrement d’audit de cette activité est également généré lorsqu’un compte système dans le service Microsoft 365 effectue régulièrement des tâches de maintenance pour le compte de votre organisation. Une tâche courante effectuée par un compte système consiste à mettre à jour les autorisations pour les boîtes aux lettres système. Pour plus d’informations, voir Comptes système dans les enregistrements d’audits de boîte aux lettres Exchange. |
| Utilisateur ajouté ou supprimé avec accès délégué au dossier calendrier | UpdateCalendarDelegation | Un utilisateur a été ajouté ou supprimé en tant que délégué au calendrier de la boîte aux lettres d’un autre utilisateur. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres. |
| Autorisations ajoutées au dossier | AddFolderPermissions | Une autorisation de dossier a été ajoutée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. |
| Messages copiés vers un autre dossier | Copy | Un message a été copié vers un autre dossier. |
| Élément de boîte aux lettres créé | Créer | Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée. |
| Nouvelle règle de boîte de réception créée dans Outlook Web App | New-InboxRule | Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a créé une règle de boîte de réception dans Outlook Web App. |
| Supprimer l’élément d’étiquette de nettoyage de priorité | PriorityCleanupDelete | L’élément avec une étiquette de type Nettoyage prioritaire est supprimé. |
| Messages supprimés du dossier Éléments supprimés | SoftDelete | Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Ces éléments sont déplacés vers le dossier Éléments récupérables. Les messages sont également déplacés vers le dossier Éléments récupérables lorsqu’un utilisateur les sélectionne et appuie sur Maj+Suppr. |
| Étiqueter un message en tant qu’enregistrement | Un utilisateur a appliqué une étiquette de rétention à un message électronique. Cette étiquette est configurée pour identifier l’élément en tant qu’enregistrement. | |
| Élément étiqueté en tant qu’enregistrement | ApplyRecord | Un élément est étiqueté en tant qu’enregistrement. |
| Message étiqueté en tant qu’enregistrement | ApplyRecordLabel | Un message a été classifié en tant qu’enregistrement. Se produit lorsqu’une étiquette de rétention qui classifie le contenu en tant qu’enregistrement est appliquée manuellement ou automatiquement à un message. |
| Autorisation de dossier modifiée | ModifyFolderPermissions | Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers de boîte aux lettres et aux messages du dossier. |
| Règle de boîte de réception modifiée à partir d’Outlook Web App | Set-InboxRule | Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a modifié une règle de boîte de réception dans Outlook Web App. |
| Messages déplacés vers un autre dossier | Move | Un message a été déplacé vers un autre dossier. |
| Messages déplacés vers le dossier Éléments supprimés | MoveToDeletedItems | Un message a été supprimé et déplacé vers le dossier Éléments supprimés. |
| Effectuer une requête de recherche | SharepointSearchQueryInitiated | L’utilisateur effectue une recherche sur SharePoint. |
| Conserver l’élément de boîte aux lettres | PreservedMailItemProactively | L’élément de courrier est conservé de manière proactive. La préservation proactive est une fonctionnalité de Gestion du cycle de vie des données Microsoft Purview (DLM), dans laquelle les messages supprimés par des utilisateurs à risque dans le locataire sont conservés dans une benne à ordures. |
| Étiquette de nettoyage de priorité appliquée | ApplyPriorityCleanup | L’étiquette Nettoyage de priorité est appliquée à un élément. |
| Étiquette de nettoyage de priorité appliquée à l’élément Exchange | ApplyPriorityCleanup | Une étiquette de rétention pour le nettoyage de priorité est appliquée à un élément sur Exchange |
| Messages supprimés définitivement de la boîte aux lettres | HardDelete | Un courrier a été supprimé définitivement du dossier Éléments récupérables (supprimé définitivement de la boîte aux lettres). |
| Autorisations de boîtes aux lettres de délégué supprimées | Remove-MailboxPermission | Un administrateur a supprimé l’autorisation FullAccess (qui était attribuée à un délégué) à partir de la boîte lettres d’un autre utilisateur. Une fois l’autorisation FullAccess supprimée, le délégué ne peut pas ouvrir l’autre boîte aux lettres ni accéder au contenu. |
| Autorisations supprimées du dossier | RemoveFolderPermissions | Une autorisation de dossier a été supprimée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers. |
| Rechercher des éléments dans une boîte aux lettres | SearchQueryInitiated | Une personne utilise Outlook (Windows, Mac, iOS, Android ou Outlook sur le web) ou l’application Courrier pour Windows 10 rechercher des éléments dans une boîte aux lettres. |
| Message envoyé | Envoyer | Un message a été envoyé, répondu ou transféré. |
| Message envoyé à l’aide d’autorisations Envoyer en tant que | SendAs | Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres. |
| Message envoyé à l’aide d’autorisations Envoyer de la part de | SendOnBehalf | Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Message auquel le message a été envoyé de la part du destinataire et qui a réellement envoyé le message. |
| Mettre à jour l’étiquette d’élément | UpdateComplianceTag | Lorsque l’étiquette est appliquée à un élément. |
| Règles de boîte de réception mises à jour à partir du client Outlook | UpdateInboxRules | Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a modifié une règle de boîte de réception dans le client Outlook. |
| Message mis à jour | Update | Un message (ou ses propriétés) a été modifié. |
| Utilisateur connecté à la boîte aux lettres | MailboxLogin | L’utilisateur s’est connecté à sa boîte aux lettres. |
Comptes système dans les enregistrements d’audits de boîte aux lettres Exchange
Dans les enregistrements d’audit de certaines activités de boîte aux lettres (en particulier Add-MailboxPermissions), vous pouvez remarquer que l’utilisateur qui a effectué l’activité (et qui est identifié dans les champs User et UserId) est NT AUTHORITY\SYSTEM ou NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Ce compte système dans le service Exchange dans le cloud Microsoft effectue des tâches de maintenance planifiées pour le compte de votre organization. Par exemple, une activité auditée courante effectuée par le compte NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) met à jour les autorisations sur discoverySearchMailbox, qui est une boîte aux lettres système. L’objectif de cette mise à jour est de vérifier que l’autorisation FullAccess (qui est la valeur par défaut) est affectée au groupe de rôles Gestion de la découverte pour DiscoverySearchMailbox. Cette mise à jour garantit que les administrateurs eDiscovery peuvent effectuer les tâches nécessaires dans leur organization.
Un autre compte d’utilisateur système qui peut être identifié dans un enregistrement d’audit pour Add-MailboxPermission est Administrator@apcprd03.prod.outlook.com. Ce compte de service est également inclus dans les enregistrements d’audit de boîte aux lettres liés à la vérification et à la mise à jour de l’autorisation FullAccess attribuée au groupe de rôles Gestion de la découverte pour la boîte aux lettres système DiscoverySearchMailbox. Plus précisément, les enregistrements d’audit qui identifient le Administrator@apcprd03.prod.outlook.com compte sont généralement déclenchés lorsque le personnel du support technique Microsoft exécute un outil de diagnostic de contrôle d’accès en fonction du rôle pour le compte de votre organization.
Activités des fichiers et pages
Le tableau suivant décrit les activités de fichier et de page dans SharePoint et OneDrive que le journal d’audit Microsoft 365 enregistre.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| (aucun) | FileAccessedExtended | Cette activité est liée à l’activité « Fichier consulté » (FileAccessed). Un événement FileAccessedExtended est enregistré lorsque la même personne accède continuellement à un fichier pendant une période prolongée (jusqu’à trois heures). L’objectif de la journalisation des événements FileAccessedExtended consiste à réduire le nombre d’événements FileAccessed enregistrés lorsqu’un fichier est consulté de manière continue. Cette approche permet de réduire le bruit de plusieurs enregistrements FileAccessed pour ce qui est essentiellement la même activité utilisateur et vous permet de vous concentrer sur l’événement FileAccessed initial (et plus important). |
| (aucun) | FileModifiedExtended | Cette activité est liée à l’activité « Fichier modifié » (FileModified). Un événement FileModifiedExtended est enregistré lorsque la même personne modifie continuellement un fichier pendant une période prolongée (jusqu’à trois heures). L’objectif de la journalisation des événements FileModifiedExtended consiste à réduire le nombre d’événements FileModified enregistrés lorsqu’un fichier est modifié de manière continue. Cette approche permet de réduire le bruit de plusieurs enregistrements FileModified pour ce qui est essentiellement la même activité utilisateur, et vous permet de vous concentrer sur l’événement FileModified initial (et plus important). |
| (aucun) | FilePreviewed | L’utilisateur affiche un aperçu des fichiers sur un site SharePoint ou OneDrive. Ces événements se produisent généralement dans des volumes élevés basés sur une activité unique, comme l’affichage d’une galerie d’images. |
| (aucun) | PagePrefetched | Le client d’un utilisateur (tel que le site web ou l’application mobile) demande la page indiquée pour améliorer les performances si l’utilisateur y accède. Cet événement est journalisé pour indiquer que le contenu de la page est servi au client de l’utilisateur. Cet événement n’indique pas si l’utilisateur a accédé à la page. Lorsque le client affiche le contenu de la page (conformément à la demande de l’utilisateur), il doit générer un événement ClientViewSignaled. Tous les clients ne prennent pas en charge l’indication d’une prérécupération. Par conséquent, certaines activités prérécupérées peuvent être enregistrées en tant qu’événements PageViewed. |
| (aucun) | PageViewedExtended | Cette activité est liée à l’activité « Page consultée » (PageViewed). Un événement PageViewedExtended est enregistré lorsque la même personne consulte continuellement une page web pendant une période prolongée (jusqu’à trois heures). L’objectif de la journalisation des événements PageViewedExtended consiste à réduire le nombre d’événements PageViewed enregistrés lorsqu’une page est affichée de manière continue. Cette approche permet de réduire le bruit de plusieurs enregistrements PageViewed pour ce qui est essentiellement la même activité utilisateur et vous permet de vous concentrer sur l’événement PageViewed initial (et plus important). |
| Fichier consulté | FileAccessed | Le compte d’utilisateur ou système consulte un fichier. Une fois qu’un utilisateur accède à un fichier, le système ne consigne plus l’événement FileAccessed pour le même utilisateur et le même fichier pendant les cinq prochaines minutes. |
| État de l’enregistrement modifié sur verrouillé | LockRecord | L’enregistrement status d’une étiquette de rétention qui classifie un document en tant qu’enregistrement est verrouillée. Cette status signifie que le document n’a pas été modifié ou supprimé. Seuls les utilisateurs ayant au moins l’autorisation de collaborateur pour un site peuvent changer le statut d’enregistrement d’un document. |
| Modifier l’état de l’enregistrement sur verrouillé | UnlockRecord | L’enregistrement status d’une étiquette de rétention qui classifie un document en tant qu’enregistrement est déverrouillé. Cela status signifie que le document peut être modifié ou supprimé. Seuls les utilisateurs ayant au moins l’autorisation de collaborateur pour un site peuvent changer le statut d’enregistrement d’un document. |
| Étiquette de rétention modifiée pour un fichier | ComplianceSettingChanged | Une étiquette de rétention est appliquée ou supprimée d’un document. Cet événement est déclenché lorsqu’une étiquette de rétention est appliquée manuellement ou automatiquement à un message. |
| Fichier archivé | FileCheckedIn | Un utilisateur archive un document qu’il a extrait d’une bibliothèque de documents. |
| Fichier extrait | FileCheckedOut | L’utilisateur extrait un document situé dans une bibliothèque de documents. Les utilisateurs peuvent case activée et apporter des modifications aux documents qui sont partagés avec eux. |
| Fichier copié | FileCopied | L’utilisateur copie un document à partir d’un site. Le fichier copié peut être enregistré dans un autre dossier sur le site. |
| Fichier supprimé | FileDeleted | Un utilisateur supprime un document d’un site. |
| Fichier supprimé de la Corbeille | FileDeletedFirstStageRecycleBin | Un utilisateur supprime un fichier de la Corbeille d’un site. |
| Fichier supprimé de la Corbeille second niveau | FileDeletedSecondStageRecycleBin | Un utilisateur supprime un fichier de la Corbeille second niveau d’un site. |
| Fichier étant identifié comme un enregistrement supprimé | RecordDelete | Un document ou un e-mail marqué comme enregistrement est supprimé. Un élément est considéré comme un enregistrement lorsqu’une étiquette de rétention qui marque des éléments comme un enregistrement est appliquée au contenu. |
| Détection de correspondance incorrecte des documents | DocumentSensitivityMismatchDetected | Un utilisateur télécharge un document sur un site protégé par une étiquette de confidentialité et le document comporte une étiquette de confidentialité plus élevée que celle du site. Par exemple, un document marqué Confidentiel est chargé sur un site intitulé Général. Cet événement ne se déclenche pas si le document comprend une étiquette de confidentialité de priorité inférieure à celle appliquée sur le site. Par exemple, un document marqué Général est téléchargé sur un site intitulé Confidentiel. Pour plus d’informations sur la priorité d'étiquettes de confidentialité, consultez la Priorité d’étiquette (importance de l'ordre). |
| Détection d’un programme malveillant dans le fichier | FileMalwareDetected | Le moteur antivirus de SharePoint détecte un programme malveillant dans un fichier. |
| Extraction de fichier ignorée | FileCheckOutDiscarded | L’utilisateur ignore (ou annule) un fichier extrait. Cela signifie que les modifications qui ont été apportées au fichier lorsqu’il a été extrait sont ignorées et ne sont pas enregistrées dans la version du document disponible dans la bibliothèque de documents. |
| Fichier téléchargé | FileDownloaded | Un utilisateur télécharge un document à partir d’un site. |
| Fichier modifié | FileModified | Le compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document sur un site. Le système attend cinq minutes avant d'enregistrer un autre événement FileModified lorsque le même utilisateur modifie le contenu ou les propriétés du même document. |
| Fichier déplacé | FileMoved | Un utilisateur déplace un document de son emplacement actuel sur un site vers un nouvel emplacement. |
| Requête de recherche effectuée | SearchQueryPerformed | Le compte d’utilisateur ou système effectue une recherche dans SharePoint ou OneDrive. Certains scénarios courants où un compte de service effectue une requête de recherche incluent l’application d’une stratégie de conservation et de rétention eDiscovery aux sites et aux comptes OneDrive, et l’application automatique des étiquettes de rétention ou de confidentialité au contenu du site. Pour activer la journalisation de cette activité, consultez Prise en main des solutions d’audit. |
| Nettoyage de priorité déplacer le fichier vers la Corbeille | PriorityCleanupFileRecycled | Un élément est déplacé vers la corbeille de l’étape 2 par une stratégie de nettoyage prioritaire sur OneDrive ou SharePoint Online. |
| Nettoyage de priorité suppression définitive du fichier | PriorityCleanupFileDeleted | Un élément est supprimé définitivement par une stratégie de nettoyage prioritaire sur OneDrive ou SharePoint Online. |
| Recyclé un fichier | Fichier recyclé | L'utilisateur déplace un fichier dans la corbeille SharePoint. |
| Recyclé un dossier | DossierRecyclé | L'utilisateur déplace un dossier dans la corbeille SharePoint. |
| Recyclage de toutes les versions mineures du fichier | FileVersionsAllMinorsRecycled | L’utilisateur supprime toutes les versions mineures de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site. |
| Recyclage de toutes les versions du fichier | FileVersionsAllRecycled | L’utilisateur supprime toutes les versions de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site. |
| Recyclage d’une version du fichier | FileVersionRecycled | L’utilisateur supprime une version de l’historique des versions d’un fichier. La version supprimée est déplacée vers la Corbeille du site. |
| Fichier renommé | FileRenamed | L’utilisateur renomme un document. |
| Fichier restauré | FileRestored | Un utilisateur restaure un document à partir de la Corbeille d’un site. |
| Fichier téléchargé | FileUploaded | Un utilisateur charge un document vers un dossier sur un site. |
| Affichage signalé par le client | ClientViewSignaled | Le client d’un utilisateur (tel que le site web ou l’application mobile) signale que la page indiquée est consultée par l’utilisateur. Cette activité est souvent journalisée à la suite d’un événement PagePrefetched pour une page. REMARQUE : Étant donné que les événements ClientViewSignaled sont signalés par le client plutôt que par le serveur, il est possible que l’événement ne soit pas enregistré par le serveur et n’apparaisse donc pas dans le journal d’audit. Il est également possible que les informations contenues dans l’enregistrement d’audit ne soient pas dignes de confiance. Toutefois, comme l’identité de l’utilisateur est validée par le jeton utilisé pour créer le signal, l’identité de l’utilisateur répertoriée dans l’enregistrement d’audit correspondant est exacte. Le système attend cinq minutes avant de journaliser le même événement lorsque le client du même utilisateur signale que la page est à nouveau consultée par l’utilisateur. |
| Page affichée | PageViewed | Un utilisateur affiche une page sur un site. Cette activité n’inclut pas l’utilisation d’un navigateur Web pour afficher les fichiers situés dans une bibliothèque de documents. Une fois qu’un utilisateur consulte une page, le système ne consigne plus l’événement PageViewed pour le même utilisateur et la même page pendant les cinq prochaines minutes. |
Forum aux questions sur les événements FileAccessed et FilePreviewed
Des activités non-utilisateur peuvent-elles déclencher des enregistrements d’audit FilePreviewed contenant un agent utilisateur tel que « OneDriveMpc-Transform_Thumbnail » ?
Nous ne sommes pas au courant des scénarios dans lesquels des actions non utilisateur génèrent des événements comme ceux-ci. Les actions utilisateur telles que l’ouverture d’un profil utilisateur carte (en sélectionnant leur nom ou adresse e-mail dans un message dans Outlook sur le web) génèrent des événements similaires.
Les appels au OneDriveMpc-Transform_Thumbnail sont-ils toujours déclenchés intentionnellement par l’utilisateur ?
Non. Toutefois, la prérécupération du navigateur peut entraîner des événements similaires.
Si un événement FilePreviewed provenant d’une adresse IP enregistrée par Microsoft s’affiche, cela signifie-t-il que l’aperçu s’affiche sur l’écran de l’appareil de l’utilisateur ?
Non. La prérécupération du navigateur peut enregistrer l’événement.
Y a-t-il des scénarios dans lesquels un utilisateur consultant un aperçu d’un document génère des événements FileAccessed ?
Les événements FilePreviewed et FileAccessed indiquent que l’appel d’un utilisateur a provoqué une lecture du fichier (ou une lecture d’un rendu miniature de celui-ci). Bien que ces événements soient destinés à s’aligner sur l’intention d’aperçu et d’accès, la distinction des événements n’est pas une garantie de l’intention de l’utilisateur.
Utilisateur app@sharepoint dans les enregistrements d’audit
Dans les enregistrements d’audit de certaines activités de fichiers (et d’autres activités liées à SharePoint), vous pouvez remarquer que l’utilisateur qui a effectué l’activité (identifié dans les champs Utilisateur et Id d’utilisateur) est app@sharepoint. Cet utilisateur signifie qu’une application a effectué l’activité. Dans ce cas, l’application a reçu des autorisations dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Ce processus d’octroi d’autorisations à une application est appelé accès par Application SharePoint uniquement. Cet utilisateur signifie qu’une application, au lieu d’un utilisateur, a présenté l’authentification à SharePoint pour effectuer une action. C’est la raison pour laquelle l’utilisateur app@sharepoint est trouvé dans certains enregistrements d’audit. Pour obtenir plus d'informations, consultez Accorder l’accès en utilisant l'application SharePoint uniquement.
Par exemple, app@sharepoint est souvent considéré comme l’utilisateur des événements « Requête de recherche effectuée » et « Fichier consulté ». La raison est qu’une application de votre organisation avec accès Application SharePoint uniquement effectue des requêtes de recherche et accède à des fichiers lors de l’application de stratégies de rétention à des comptes OneDrive ainsi qu'à des sites.
Voici quelques autres scénarios dans lesquels app@sharepoint peuvent être identifiés dans un enregistrement d’audit en tant qu’utilisateur ayant effectué une activité :
- Groupes Microsoft 365. Lorsqu’un utilisateur ou un administrateur crée un nouveau groupe, des enregistrements d’audit sont générés pour établir une collection de sites, mettre à jour des listes et ajouter des membres à un groupe SharePoint. Une application effectue ces tâches pour le compte de l’utilisateur qui a créé le groupe.
- Microsoft Teams. Comme pour les groupes Microsoft 365, des enregistrements d’audit sont générés pour créer une collection de sites, mettre à jour des listes et ajouter des membres à un groupe SharePoint lorsqu’une équipe est créée.
- Fonctionnalités de conformité. Lorsqu’un administrateur implémente des fonctionnalités de conformité, telles que des stratégies de rétention, des conservations eDiscovery et l’application automatique des étiquettes de confidentialité.
Dans ces scénarios et d’autres, vous pouvez également remarquer que plusieurs enregistrements d’audit avec app@sharepoint en tant qu’utilisateur spécifié ont été créés dans un laps de temps court, souvent à quelques secondes d’intervalle. Ce modèle signifie également qu’ils ont probablement été déclenchés par la même tâche lancée par l’utilisateur. En outre, les champs ApplicationDisplayName et EventData dans l’enregistrement d’audit peuvent vous aider à identifier le scénario ou l’application qui a déclenché l’événement.
Activités des dossiers
Le tableau suivant décrit les activités de dossier dans SharePoint et OneDrive enregistrées dans le journal d’audit Microsoft 365. Les enregistrements d’audit de certaines activités SharePoint indiquent l’app@sharepoint’utilisateur a effectué l’activité pour le compte de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Dossier copié | FolderCopied | L’utilisateur copie un dossier d’un site vers un autre emplacement dans SharePoint ou OneDrive. |
| Dossier créé | FolderCreated | Un utilisateur crée un dossier sur un site. |
| Dossier supprimé | FolderDeleted | Un utilisateur supprime un dossier d’un site. |
| Dossier supprimé de la Corbeille | FolderDeletedFirstStageRecycleBin | Un utilisateur supprime un dossier de la Corbeille sur un site. |
| Dossier supprimé de la Corbeille second niveau | FolderDeletedSecondStageRecycleBin | Un utilisateur supprime un dossier de la Corbeille second niveau sur un site. |
| Dossier modifié | FolderModified | Un utilisateur modifie un dossier sur un site. Cette action inclut la modification des métadonnées du dossier, telles que la modification des balises et des propriétés. |
| Dossier déplacé | FolderMoved | Un utilisateur déplace un dossier vers un autre emplacement sur un site. |
| Dossier renommé | FolderRenamed | Un utilisateur renomme un dossier sur un site. |
| Dossier restauré | FolderRestored | Un utilisateur restaure un dossier supprimé de la Corbeille sur un site. |
Activités des obstacles aux informations
Le tableau suivant répertorie les activités dans Les obstacles à l’information que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur les obstacles à l’information, consultez En savoir plus sur les obstacles à l’information dans Microsoft 365.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Mode de barrière des informations appliqué au site | SiteIBModeSet | Un administrateur SharePoint ou général a appliqué un mode au site. |
| Segments appliqués au site | SiteIBSegmentsSet | Un administrateur général ou un propriétaire de site SharePoint a ajouté un ou plusieurs segments d’information qui empêchent l’accès à un site. |
| Modification du paramètre AppBypassInformationBarrier pour le locataire | AppBypassInformationBarrier | Un administrateur SharePoint ou général a modifié l’accès aux applications pour les sites SharePoint. |
| Modification du mode de barrière des informations du site | SiteIBModeChanged | Un administrateur SharePoint ou général a mis à jour le mode du site. |
| Segments de site modifiés | SiteIBSegmentsChanged | Un administrateur SharePoint ou un administrateur général a modifié un ou plusieurs segments de obstacles aux informations pour un site. |
| Obstacles aux informations désactivés pour SharePoint et OneDrive | SPOIBIsDisabled | Un administrateur SharePoint ou général a désactivé les barrières d’informations pour SharePoint et OneDrive dans le organization. |
| Activation des obstacles à l’information pour SharePoint et OneDrive | SPOIBIsEnabled | Un administrateur SharePoint ou général a désactivé les barrières d’informations pour SharePoint et OneDrive dans le organization. |
| Rapport d’insights sur les obstacles à l’information terminé | InformationBarriersInsightsReportCompleted | Le système termine la génération du rapport d’insights sur les obstacles à l’information. |
| Informations sur les obstacles à la section OneDrive interrogée | InformationBarriersInsightsReportOneDriveSectionQueried | Un administrateur interroge le rapport d’insights sur les obstacles aux informations pour les comptes OneDrive. |
| Rapport d’insights sur les obstacles à l’information planifié | InformationBarriersInsightsReportSchedule | Un administrateur planifie le rapport d’insights sur les obstacles à l’information. |
| Informations sur les obstacles à la section SharePoint interrogée | InformationBarriersInsightsReportSharePointSectionQueried | Un administrateur interroge le rapport d’insights sur les obstacles aux informations pour les sites Sharepoint. |
| Segment supprimé du site | SiteIBSegmentsRemoved | Un administrateur SharePoint ou général supprime un ou plusieurs segments d’obstacles à l’information d’un site. |
activités de gestion des agents Administration Microsoft 365 Center.
Le tableau suivant répertorie les activités de gestion des agents que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations, consultez Gérer les agents Microsoft 365 Copilot dans le Centre d’administration Microsoft 365.
| Nom convivial | Opération | Description |
|---|---|---|
| Agent bloqué | BlockedAgent | Un administrateur a bloqué un agent. Les utilisateurs du organization ne peuvent pas utiliser l’agent. |
| Agent supprimé | DeletedAgent | Un administrateur a supprimé un agent partagé qui supprime les fichiers sous-jacents et l’agent. |
| Agent déployé | DeployedAgent | Un administrateur a déployé un agent. L’agent devient actif et utilisable pour des utilisateurs, des groupes ou l’ensemble de l’organization. |
| Agent supprimé | RemovedAgent | Un administrateur a supprimé un agent précédemment installé pour l’ensemble de l’organization ou pour des utilisateurs et des groupes spécifiques. |
| Agent débloqué | UnblockedAgent | Un administrateur a débloqué un agent précédemment bloqué. |
| Agent mis à jour | UpdatedAgent | Un administrateur a mis à jour un agent personnalisé en chargeant le dernier fichier manifeste. |
| Paramètres de l’agent au niveau du locataire mis à jour | UpdatedTenantSettings | Un administrateur a mis à jour les paramètres de niveau client qui s’appliquent aux agents. |
Activités de mise à jour cloud Microsoft 365 Apps Administration Services
Le tableau suivant répertorie les activités pour les modifications de configuration et les actions déclenchées dans le service Cloud Update que le journal d’audit Microsoft 365 enregistre.
| Nom convivial | Opération | Description |
|---|---|---|
| Configuration de l’appareil mise à jour | updateddeviceconfiguration | Une action pour un appareil géré par Cloud Update a été déclenchée. Cette action inclut le déclenchement d’une restauration, la reprise d’un appareil restauré ou la modification du canal de mise à jour. |
| Configuration du profil mise à jour | updatedprofileconfiguration | La configuration d’un profil De mise à jour cloud a changé. Cette modification inclut les mises à jour de l’état du profil, la définition de l’échéance, l’activation de la validation de la mise à jour, ainsi que les vagues et le délai d’onde configurés. |
| Configuration du locataire mise à jour | updatedtenantconfiguration | La configuration à l’échelle du organization cloud Update a changé. Cette modification inclut les mises à jour des exclusions, des fenêtres d’exclusion et la génération d’une nouvelle clé d’association de locataire (TAK). |
Activités de stratégie cloud Microsoft 365 Apps Administration Services
Le tableau suivant répertorie les activités pour les modifications de configuration de stratégie dans le service De stratégie cloud que le journal d’audit Microsoft 365 enregistre.
| Nom convivial | Opération | Description |
|---|---|---|
| Configuration de la stratégie créée | CreatedPolicyConfig | Une nouvelle configuration de stratégie a été créée. |
| Configuration de la stratégie supprimée | DeletedPolicyConfig | Une configuration de stratégie a été supprimée. |
| Mise à jour de la configuration de la stratégie | UpdatedPolicyConfig | Une configuration de stratégie existante a été mise à jour, par exemple en ajoutant, en modifiant ou en supprimant des paramètres de stratégie, ou en modifiant le nom, la description ou l’étendue de la configuration de stratégie. |
| Priorité de configuration de stratégie mise à jour | UpdatedPolicyConfigPriority | La priorité d’une configuration de stratégie a été modifiée. |
activités Sauvegarde Microsoft 365
Le tableau suivant répertorie les activités dans Sauvegarde Microsoft 365 que le journal d’audit Microsoft 365 enregistre. Sauvegarde Microsoft 365 est conçu pour garantir que les données de votre organization sont toujours protégées et facilement récupérables. Pour plus d’informations sur Sauvegarde Microsoft 365, consultez Vue d’ensemble de Sauvegarde Microsoft 365.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Activation d’une stratégie de sauvegarde | BackupPolicyActivated | Une stratégie Sauvegarde Microsoft 365 est activée à partir d’un état inactif. |
| Tâche de restauration brouillon activée | RestoreTaskActivated | Un brouillon de tâche de restauration pour Sauvegarde Microsoft 365 est activé. Il s’agit d’une opération de longue durée. |
| Élément de sauvegarde créé | BackupItemAdded | Un ou plusieurs éléments de sauvegarde sont ajoutés à une stratégie de Sauvegarde Microsoft 365. |
| Élément de sauvegarde supprimé | BackupItemRemoved | Un ou plusieurs éléments de sauvegarde sont supprimés d’une stratégie de Sauvegarde Microsoft 365. |
| Annuler l’élément de sauvegarde hors-bord | CancelOffboardBackupItem | Désintéglage annulé pour un élément de sauvegarde. |
| Tâche de restauration terminée | RestoreTaskCompleted | Une tâche de restauration est effectuée dans Sauvegarde Microsoft 365. |
| Création d’un brouillon de tâche de restauration | DraftRestoreTaskCreated | Une tâche de restauration est créée dans Sauvegarde Microsoft 365. Par défaut, la tâche de restauration est créée en tant que brouillon. |
| Création d’une stratégie de sauvegarde | NewBackupPolicyCreated | Une stratégie de Sauvegarde Microsoft 365 a été créée par un Administration global. Par défaut, une stratégie de sauvegarde est créée dans un état inactif. |
| Suppression d’une stratégie de sauvegarde | BackupPolicyDeleted | Une stratégie Sauvegarde Microsoft 365 est supprimée. |
| Tâche de restauration brouillon supprimée | DraftRestoreTaskDeleted | Un brouillon de tâche de restauration est supprimé dans Sauvegarde Microsoft 365. |
| Modification d’une stratégie de sauvegarde | BackupPolicyEdited | Une stratégie de Sauvegarde Microsoft 365 a été mise à jour. Vous pouvez mettre à jour une stratégie de sauvegarde en effectuant l’une des actions suivantes : 1. Renommage de la stratégie. 2. Ajoutez une ou plusieurs unités de protection. 3. Suppression d’une ou de plusieurs unités de protection. |
| Tâche de restauration brouillon modifiée | DraftRestoreTaskEdited | Un brouillon de tâche de restauration est modifié dans Sauvegarde Microsoft 365. |
| Élément de sauvegarde hors-bord | OffboardBackupItem | L’élément de sauvegarde est désactivé. |
| Mise en pause d’une stratégie de sauvegarde | BackupPolicyPaused | Une stratégie Sauvegarde Microsoft 365 est suspendue de l’état actif. |
| Élément de sauvegarde obtenu par programmation | GetBackupItem | L’utilisateur demande l’unité de protection sauvegardée à l’aide de Sauvegarde Microsoft 365 par programmation. |
| Obtenir par programmation les détails de la stratégie de sauvegarde | ViewBackupPolicyDetails | Les détails d’une stratégie de Sauvegarde Microsoft 365 sont accessibles par programmation. |
| Obtient par programmation les détails de la tâche de restauration | GetRestoreTaskDetails | Un utilisateur demande les détails de la tâche de restauration par son identificateur dans Sauvegarde Microsoft 365. |
| Obtenir par programmation la liste de toutes les stratégies de sauvegarde | ListAllBackupPolicies | Un utilisateur obtient par programme la liste de toutes les stratégies de sauvegarde sauvegardées à l’aide de Sauvegarde Microsoft 365. |
| Obtenir par programmation la liste des éléments de sauvegarde dans les stratégies de sauvegarde | ListAllBackupItemsInPolicies | Une liste de toutes les unités de protection présentes dans une stratégie de sauvegarde dans Sauvegarde Microsoft 365 est demandée par programme. |
| Obtient par programmation la liste des éléments de sauvegarde dans le locataire | ListAllBackupItemsInTenant | Un utilisateur obtient par programmation la liste de toutes les unités de protection dans le organization sauvegardées à l’aide de Sauvegarde Microsoft 365. |
| Obtenir par programmation la liste des éléments de sauvegarde dans la charge de travail | ListAllBackupItemsInWorkload | Un utilisateur obtient par programmation la liste de toutes les unités de protection dans la charge de travail (SharePoint, OneDrive ou Exchange) sauvegardées à l’aide de Sauvegarde Microsoft 365. |
| Obtient par programmation la liste des éléments de restauration dans la tâche de restauration | GetAllRestoreArtifactsInTask | Un utilisateur obtient par programmation tous les artefacts d’une tâche de restauration dans Sauvegarde Microsoft 365. |
| Liste des points de restauration obtenue par programmation | ListAllRestorePoints | Un utilisateur obtient par programmation tous les points de restauration dans Sauvegarde Microsoft 365. Les points de restauration représentent l’horodatage lorsqu’un artefact est protégé (par stratégie de protection). Seuls les administrateurs généraux y ont accès. |
| Liste des tâches de restauration par programmation | ListAllRestoreTasks | Un utilisateur obtient par programmation la liste des sessions de restauration existantes dans Sauvegarde Microsoft 365. Cette liste inclut la session de restauration créée pour chaque type de service inscrit dans le organization. |
| Restauration de l’élément terminée | BackupItemRestoreCompleted | La restauration d’un élément sauvegardé par Sauvegarde Microsoft 365 est terminée. |
| Restauration de l’élément de restauration déclenchée | BackupItemRestoreTriggered | La restauration est déclenchée pour un élément sauvegardé avec Sauvegarde Microsoft 365. |
Microsoft 365 Copilot activités d’administration
Le tableau suivant répertorie les activités d’administration liées aux Microsoft 365 Copilot et Microsoft 365 Copilot Chat que le journal d’audit Microsoft 365 enregistre. Vous pouvez accéder à Copilot dans les services Microsoft. Le journal d’audit enregistre les activités qui montrent comment et quand les utilisateurs interagissent avec Copilot. Ces informations incluent le service Microsoft où l’activité a eu lieu et les références aux fichiers consultés pendant l’interaction.
Pour accéder au texte à partir de l’invite de l’utilisateur pendant l’interaction, consultez Recherche de contenu ou affichez l’événement d’interaction IA à partir de l’explorateur d’activités dans Gestion de la posture de sécurité des données pour l’IA.
Pour plus d’informations sur l’audit et d’autres options de gestion de la conformité pour Microsoft 365 Copilot, consultez Utiliser Microsoft Purview pour gérer la sécurité des données & la conformité pour Microsoft 365 Copilot & Microsoft 365 Copilot Chat.
Pour plus d’informations sur les événements liés aux interactions utilisateur avec l’IA, consultez Journaux d’audit pour les activités Copilot et IA.
| Nom convivial | Opération | Description |
|---|---|---|
| Création d’un plug-in Copilot | CreatePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un plug-in Copilot. |
| Création d’un manuel d’invite Copilot | CreatePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un manuel d’invite dans Copilot. |
| Suppression d’un plug-in Copilot | DeletePlugin | Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a supprimé un plug-in Copilot. |
| Suppression d’un promptbook Copilot | DeletePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a supprimé un promptbook Copilot. |
| Désactivé un plug-in Copilot | DisableCopilotPlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un plug-in Copilot. |
| Désactivé un manuel d’invite Copilot | DisablePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un manuel d’invite Copilot. |
| Activation d’un plug-in Copilot | EnablePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a activé un plug-in Copilot. |
| Activation d’un promptbook Copilot | EnablePromptBook | Un utilisateur (ou administrateur ou système au nom d’un utilisateur) a activé un promptbook Copilot. |
| Interaction avec Copilot | CopilotInteraction | Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a entré des invites dans Copilot. |
| Mise à jour d’un paramètre de plug-in Copilot | UpdatePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de plug-in Copilot. |
| Mise à jour d’un paramètre d’invite Copilot | UpdatePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de manuel d’invite Copilot. |
| Mise à jour d’un paramètre Copilot | UpdateTenantSettings | Un administrateur (ou un système au nom d’un administrateur) a mis à jour un paramètre Copilot. |
Microsoft 365 Copilot les activités d’invite planifiées
Copilot Scheduled Requêtes permet aux utilisateurs d’automatiser les invites Copilot pour qu’elles s’exécutent selon une planification définie dans Microsoft 365 Copilot conversation. Le tableau suivant répertorie les activités enregistrées dans le journal d’audit Microsoft 365. Les administrateurs peuvent gérer cette fonctionnalité dans votre organization. Pour plus d’informations, consultez Gérer les invites planifiées pour Microsoft 365 Copilot.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Création d’une invite planifiée | ScheduledPromptCreated | Un utilisateur a planifié une requête Copilot à partir de Microsoft 365 Copilot Chat (conversation Office.com). |
| Suppression d’une invite planifiée | ScheduledPromptDeleted | Un utilisateur supprime une invite planifiée de la fenêtre de gestion. L’invite est supprimée de la liste et ne s’exécute plus. |
| Exécution d’une invite planifiée | ScheduledPromptExecute | Journalisé au début de chaque exécution planifiée. Elle ne confirme pas que l’invite a été effectuée. |
Microsoft Defender pour point de terminaison activités de paramètres généraux
Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres généraux enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les paramètres Microsoft Defender pour point de terminaison, consultez Configurer les paramètres généraux de Defender pour point de terminaison.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Conservation des données modifiée | ChangeDataRetention | Modification des paramètres de rétention des données pour Defender pour point de terminaison. |
| Package de désintéglage téléchargé | DownloadOffboardingPkg | Téléchargement du package utilisé pour supprimer des appareils de Defender pour point de terminaison. |
| Package d’intégration téléchargé | DownloadOnboardingPkg | Vous avez téléchargé le package utilisé pour intégrer des appareils à Defender pour point de terminaison. |
| Définir des fonctionnalités avancées | SetAdvancedFeatures | Modification des fonctionnalités avancées dans Defender pour point de terminaison, permettant des contrôles plus précis lors d’un incident. Seuls les paramètres des fonctionnalités avancées généralement disponibles sont enregistrés dans le journal d’audit Microsoft 365. |
Microsoft Defender pour point de terminaison activités des paramètres d’indicateur
Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres d’indicateur que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur les indicateurs Microsoft Defender pour point de terminaison, consultez Gérer les indicateurs.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Indicateur ajouté | AddIndicator | Création d’un nouvel indicateur de compromission utilisé pour suivre les attaques et les événements. |
| Indicateur supprimé | DeleteIndicator | Suppression d’un indicateur de compromission. |
| Indicateur modifié | EditIndicator | Modification d’un indicateur de compromission. |
Microsoft Defender pour point de terminaison activités des actions de réponse
Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison actions de réponse, y compris la réponse en direct, que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur Microsoft Defender pour point de terminaison actions de réponse, consultez Effectuer des actions de réponse sur un appareil.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Package d’investigation collecté | CollectInvestigationPackage | Informations collectées sur un appareil utilisé pour comprendre les outils et techniques d’attaque. |
| Journaux collectés | LogsCollection | Informations de journal collectées sur Defender pour point de terminaison. |
| Fichier téléchargé | DownloadFile | Téléchargement d’un fichier suspect pour une investigation plus approfondie. |
| Appareil isolé | IsolateDevice | Isolé un appareil du réseau, ce qui permet d’empêcher les attaques de se propager. |
| Appareil désintégré | DeviceOffBoarding | Suppression d’un appareil de Defender pour point de terminaison. |
| Analyse antivirus exécutée | RunAntiVirusScan | Exécution Microsoft Defender analyse antivirus sur un appareil. |
| Exécution du lien obtenir le fichier de réponse en direct | LiveResponseGetFile | Ouverture d’une session de réponse en direct, ouvrant un interpréteur de commandes distant dans un appareil. |
| API de réponse en direct exécutée | RunLiveResponseApi | Ouverture d’une session de réponse en direct via un appel d’API, ouvrant un interpréteur de commandes distant dans un appareil. |
| Session de réponse en direct exécutée | RunLiveResponseSession | Exécution d’une session de réponse en direct, ouvrant un interpréteur de commandes distant sur un appareil. |
| Libéré de l’isolement | ReleaseFromIsolation | Ajout d’un appareil isolé sur le réseau. |
| Suppression des restrictions d’application | RemoveAppRestrictions | Autoriser l’exécution d’une application. |
| Exécution d’application restreinte | RestrictAppExecution | Empêcher l’exécution d’une application malveillante. |
| Fichier arrêté et mis en quarantaine | StopAndQuarantineFile | Mise en quarantaine d’un fichier suspect pour une analyse plus approfondie. |
Microsoft Defender pour point de terminaison les activités des paramètres des rôles
Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres de rôle enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les rôles dans Microsoft Defender pour point de terminaison, consultez Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Rôle ajouté | AddRole | Ajout d’un nouveau rôle de sécurité et d’autorisations. |
| Rôle supprimé | DeleteRole | Rôles de sécurité et autorisations supprimés. |
| Rôle modifié | EditRole | Rôles de sécurité et autorisations modifiés. |
Microsoft Defender pour les activités d’experts
Le tableau suivant répertorie les activités dans Microsoft Defender Experts que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur Microsoft Defender Experts, consultez En savoir plus sur Microsoft Defender Experts pour XDR et En savoir plus sur Microsoft Defender Experts pour la chasse.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Autorisation d’analyste Defender Experts créée | DefenderExpertsAnalystPermissionCreated | Un administrateur a accordé une ou plusieurs autorisations de rôle aux analystes Defender Experts pour examiner les incidents ou corriger les menaces. |
| Autorisation d’analyste Defender Experts modifiée | DefenderExpertsAnalystPermissionModified | Un administrateur a modifié les autorisations de rôle pour permettre aux analystes Defender Experts d’examiner les incidents ou de corriger les menaces. |
activités Microsoft Defender pour Identity
Le tableau suivant répertorie les activités pour Microsoft Defender pour Identity que le journal d’audit Microsoft 365 enregistre.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout d’un destinataire de notification d’alerte | AlertNotificationsRecipientAdded | Un destinataire a été ajouté à la configuration des notifications d’alertes de sécurité. |
| Ajout de la configuration des exclusions | ExclusionConfigurationAdded | Une exclusion globale a été ajoutée pour une alerte ou pour une entité. |
| Ajout d’un destinataire de notification de problèmes d’intégrité | MonitoringAlertNotificationRecipientAdded | Un destinataire a été ajouté à la configuration de notification des problèmes d’intégrité. |
| Ajout d’une action de correction | RemediationActionAdded | Une action de correction a été ajoutée à la file d’attente. |
| Ajout d’un capteur | SensorCreated | Un nouveau capteur a été ajouté. |
| Espace de travail créé | Espace de travailcréé | L’espace de travail a été créé. |
| Destinataire de la notification d’alerte supprimée | AlertNotificationsRecipientDeleted | Un destinataire a été supprimé de la configuration des notifications d’alertes de sécurité. |
| Configuration des exclusions supprimées | ExclusionConfigurationDeleted | Une exclusion globale a été supprimée pour une alerte ou pour une entité. |
| Destinataire de la notification des problèmes d’intégrité supprimés | MonitoringAlertNotificationRecipientDeleted | Un destinataire a été supprimé de la configuration de notification des problèmes de heath. |
| Espace de travail supprimé | Espace de travail supprimé | L’espace de travail a été supprimé. |
| Couverture du contrôleur de domaine téléchargée dans Excel | DomainControllerCoverageExcelDownloaded | Le fichier Excel de couverture du contrôleur de domaine a été téléchargé. |
| Fichier téléchargé | ReportDownloaded | Un rapport a été téléchargé. |
| Alerte de sécurité téléchargée Excel | AlertExcelDownloaded | Le fichier Excel détaillé d’une alerte a été téléchargé. |
| Clé de déploiement du capteur régénéré | SensorDeploymentAccessKeyUpdated | La clé d’accès des capteurs a été régénérée. |
| Capteur supprimé | SensorDeleted | Un capteur a été supprimé. |
| Clé de déploiement du capteur récupérée | SensorDeploymentAccessKeyReceived | La clé d’accès des capteurs a été récupérée. |
| Mise à jour de la configuration du seuil d’alerte | WorkspaceAlertThresholdLevelUpdated | La configuration des seuils d’alertes a été mise à jour. |
| Mise à jour de la configuration du compte des services d’annuaire | DirectoryServicesAccountConfigurationUpdated | Le jeu de comptes de services d’annuaire a été modifié. |
| Mise à jour de la configuration de la correction d’entité | EntityRemediatorConfigurationUpdated | Le mode Gérer les comptes d’action a été modifié. |
| Balises d’entité mises à jour | TaggingConfigurationUpdated | Une balise a été ajoutée ou supprimée d’une entité. |
| Mise à jour de la configuration des exclusions | ExclusionConfigurationUpdated | Une exclusion globale a été mise à jour pour une alerte ou pour une entité. |
| Problème d’intégrité mis à jour | MonitoringAlertUpdated | Un problème d’intégrité a été modifié. |
| Action de correction mise à jour | RemediationActionUpdated | Une action de correction a été effectuée. |
| Mise à jour de la configuration de l’action de correction | RemediationActionConfigurationUpdated | Le jeu de comptes d’action Gérer a été modifié. |
| Mise à jour de la configuration du reporter | ReporterConfigurationUpdated | La planification d’un rapport a été modifiée. |
| Mise à jour de la configuration des notifications de sécurité | NotificationConfigurationUpdated | La configuration des notifications d’alertes de sécurité ou de problèmes d’intégrité a été modifiée. |
| Mise à jour de la configuration du capteur | SensorConfigurationUpdated | La configuration d’un capteur a été mise à jour. |
| Mode d’activation des capteurs mis à jour | SensorActivationMethodConfigurationUpdated | Le mode d’activation des capteurs a été modifié. |
| Mise à jour de la configuration du transfert syslog | SyslogServiceConfigurationUpdated | La configuration du transfert syslog a été modifiée. |
| Mise à jour de la configuration RBAC unifiée | URbacAuthorizationStatusChanged | La configuration de l’Access Control basée sur le rôle unifié a été modifiée. |
| Configuration VPN mise à jour | VpnConfigurationUpdated | La configuration du VPN (radius accounting) a été modifiée. |
Microsoft Defender XDR activités de détection personnalisées
Le tableau suivant répertorie les activités de détection personnalisées pour Microsoft Defender XDR enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft Defender XDR détections personnalisées, consultez Créer et gérer des règles de détection personnalisées.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Modification de la règle de détection personnalisée status | ChangeCustomDetectionRuleStatus | Une règle de détection personnalisée a été désactivée ou activée. |
| Création d’une règle de détection personnalisée | CreateCustomDetection | Une règle de détection personnalisée a été créée. |
| Règle de détection personnalisée supprimée | DeleteCustomDetection | Une règle de détection personnalisée a été supprimée. |
| Règle de détection personnalisée modifiée | EditCustomDetection | Une règle de détection personnalisée a été modifiée. |
| Règle de détection personnalisée exécutée | RunCustomDetection | Une règle de détection personnalisée a été exécutée manuellement. |
Microsoft Defender XDR activités d’incident
Le tableau suivant répertorie les activités d’incident pour Microsoft Defender XDR enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les incidents dans Microsoft Defender XDR, consultez Vue d’ensemble des incidents.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout d’un commentaire à l’incident | AddCommentToIncident. | Ajout d’un commentaire à l’incident. |
| Ajout d’étiquettes à l’incident | AddTagsToIncident | Ajout d’étiquettes à l’incident. |
| Utilisateur affecté à l’incident | AssignUserToIncident | Utilisateur affecté à l’incident. |
| Modifier la classification des incidents | EditIncidentClassification | Modifier la classification des incidents. |
| Suppression des balises de l’incident | RemoveTagsFromIncident | Suppression des balises de l’incident. |
| Utilisateur non affecté à l’incident | UnAssignUserFromIncident | Utilisateur non affecté à l’incident. |
| Status des incidents mis à jour | UpdateIncidentStatus | Mise à jour des status d’incidents. |
activités de règle de suppression Microsoft Defender XDR
Le tableau suivant répertorie les activités pour les règles de suppression pour les Microsoft Defender XDR enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les règles de suppression dans Microsoft Defender XDR, consultez Gérer les règles de suppression.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Règle de suppression créée | CreateSuppressionRule | Création d’une règle de suppression d’alerte. |
| Règle de suppression supprimée | DeleteSuppressionRule | Règle de suppression d’alerte supprimée. |
| Règle de suppression désactivée | DisableSuppressionRule | Règle de suppression d’alerte désactivée. |
| Règle de suppression modifiée | EditSuppressionRule | Règle de suppression d’alerte supprimée. |
| Règle de suppression activée | EnableSuppressionRule | Règle de suppression d’alerte activée. |
Activités Microsoft Edge WebContentFiltering
Le tableau suivant répertorie les activités de navigation dans Microsoft Edge enregistrées dans le journal d’audit Microsoft 365 pour la fonctionnalité WebContentFiltering. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier .csv lorsque vous exportez les résultats de la recherche.
Rechercher dans le journal d’audit décrit comment effectuer une recherche dans les journaux d’audit à partir du portail Microsoft Purview. Les utilisateurs doivent être administrateur général ou disposer d’autorisations de lecture d’audit pour accéder aux journaux d’audit. Utilisez le filtre Activités pour rechercher des activités spécifiques. Pour répertorier toutes les activités WebContentFiltering, choisissez WebContentFiltering dans le filtre Type d’enregistrement . Utilisez les zones de plage de dates et la liste Utilisateurs pour étendre davantage les résultats de la recherche si nécessaire.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Navigation d’URL autorisée dans Microsoft Edge | URLNavigationAllowed | L’utilisateur a parcouru une URL. |
| Navigation d’URL bloquée dans Microsoft Edge | URLNavigationBlocked | L’URL parcourue est bloquée par la stratégie WebContentFiltering. |
Microsoft Entra activités d’administration de groupe
Le tableau suivant répertorie les activités d’administration de groupe que le journal d’audit Microsoft 365 enregistre lorsqu’un administrateur ou un utilisateur crée ou modifie un groupe Microsoft 365 ou lorsqu’un administrateur crée un groupe de sécurité à l’aide du Centre d’administration Microsoft 365 ou du portail de gestion Azure. Pour plus d’informations sur les groupes Microsoft 365, voir Afficher, créer et supprimer des groupes dans le Centre d'administration Microsoft 365.
Remarque
Les noms des opérations répertoriés dans la colonne Opération du tableau suivant contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Groupe ajouté | AddGroup | Un groupe a été créé. |
| Membre ajouté au groupe | AddMemberToGroup. | Un membre a été ajouté à un groupe. |
| Groupe supprimé | Supprimer un groupe. | Un groupe a été supprimé. |
| Membre supprimé du groupe | RemoveMemberFromGroup. | Un membre a été supprimé d’un groupe. |
| Groupe mis à jour | UpdateGroup. | Une propriété d’un groupe a été modifiée. |
Microsoft Entra activités de détection des risques
Le tableau suivant répertorie les activités de détection des risques enregistrées dans le journal d’audit Microsoft 365 lors de l’utilisation de Microsoft Entra ID Protection. Pour plus d’informations sur la détection des risques, consultez En savoir plus sur les détections de risques.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Détection de connexion compromise | CompromisedSignIn | Les détections de risques de connexion représentent la probabilité qu’une demande d’authentification donnée ne soit pas le propriétaire autorisé du compte. |
| Détection des utilisateurs compromis | CompromisedUser | Les détections de risque utilisateur peuvent marquer un compte d’utilisateur légitime comme étant à risque, lorsqu’un acteur de menace potentiel accède à un compte en compromettant ses informations d’identification ou lorsqu’il détecte un type d’activité anormale de l’utilisateur. |
Activités Microsoft Fabric
Le tableau suivant présente les activités Microsoft Fabric dans Power BI que le journal d’audit Microsoft 365 enregistre. Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Power BI. Pour plus d’informations sur les paramètres d’audit, consultez Paramètres de locataire d’audit et d’utilisation.
| Nom convivial | Opération | Description |
|---|---|---|
| Créer le mappage d’authentification entre locataires | CreateCrossTenantAuthMapping | Créez un mappage d’utilisateur pour la fonctionnalité d’authentification interlocataire. |
| Suppression d’un flux de tâches | DeletedTaskFlow | Suppression d’un flux de tâches. |
| Répertorier tous les mappages d’authentification inter-locataires | ListCrossTenantAuthMappings | Répertorier les mappages d’authentification entre locataires dans un locataire. |
Activités Microsoft Forms
Le tableau suivant montre les activités de l’utilisateur et de l’administrateur dans Microsoft Forms que le journal d’audit Microsoft 365 enregistre. Microsoft Forms est un outil de formulaires, de questionnaire et d’enquête que vous pouvez utiliser pour collecter des données à des fins d’analyse. Certaines opérations incluent des paramètres d’activité supplémentaires, comme indiqué dans les descriptions.
Si un co-auteur ou un répondeur anonyme effectue une activité Forms, le journal d’audit l’enregistre légèrement différemment. Pour plus d’informations, voir la section Activités Forms réalisées par des co-auteurs ou des répondants anonymes.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Co-auteur du formulaire ajouté | AddFormCoauthor | Un utilisateur utilise un lien de collaboration pour concevoir les réponses du formulaire ou de l’affichage. Cet événement est journalisé lorsqu’un utilisateur utilise une URL de collaboration (et non lorsque l’URL de collaboration est générée pour la première fois). |
| Ajout d'un répondeur spécifique | AddSpecificResponder | Le propriétaire du formulaire ajoute un nouvel utilisateur ou un nouveau groupe à la liste des répondeurs spécifiques. |
| Formulaire de partage autorisé pour la copie | AllowShareFormForCopy | Le propriétaire du formulaire crée un lien modèle pour partager le formulaire avec d'autres utilisateurs. Cet événement est enregistré lorsque le propriétaire du formulaire sélectionne pour générer l’URL du modèle. |
| Connecté à un classeur Excel | ConnectToExcelWorkbook | Formulaire connecté à un classeur Excel. Propriété ExcelWorkbookLink :string est l’ID de classeur Excel associé du formulaire actif. |
| Collection créée | CollectionCreated | Le propriétaire du formulaire a créé une collection. |
| Commentaire créé | CreateComment | Le propriétaire du formulaire ajoute un commentaire ou une note à un questionnaire. |
| Formulaire créé | CreateForm | Le propriétaire du formulaire crée un nouveau formulaire. Propriété DataMode :string est le formulaire actuel défini pour être synchronisé avec un classeur Excel nouveau ou existant si la valeur de la propriété est égale à DataSync. Propriété ExcelWorkbookLink :string est l’ID de classeur Excel associé du formulaire actif. |
| Réponse créée | CreateResponse | Similaire à la réception d'une nouvelle réponse. Un utilisateur a envoyé une réponse à un formulaire. Propriété ResponseId :string et Property ResponderId :string sont les résultats qui sont consultés. Pour un répondeur anonyme, la propriété ResponderId a la valeur null. |
| Lien de synthèse créé | GetSummaryLink | Le propriétaire du formulaire crée un lien de résultats de synthèse pour partager les résultats. |
| Toutes les réponses supprimées | DeleteAllResponses | Le propriétaire du formulaire supprime toutes les données de réponse. |
| Collection supprimée de la Corbeille | CollectionHardDeleted | Propriétaire du formulaire a supprimé définitivement une collection de la Corbeille. |
| Formulaire supprimé | DeleteForm | Un propriétaire d’un formulaire supprime une équipe. Cette action inclut SoftDelete (option de suppression utilisée et formulaire déplacé vers la corbeille) et HardDelete (la corbeille est vidée). |
| Réponse supprimée | DeleteResponse | Un propriétaire d’un formulaire supprime une réponse. La propriété ResponseId :string est la réponse en cours de suppression. |
| Lien de synthèse supprimé | DeleteSummaryLink | Le propriétaire du formulaire supprime le lien de synthèse des résultats. |
| Paramètre désactivé : tout le monde peut répondre | DisallowAnonymousResponse | Le propriétaire du formulaire désactive le paramètre permettant à quiconque de répondre au formulaire. |
| Collaboration désactivée | DisableCollaboration | Le propriétaire de formulaire désactive le paramètre de collaboration sur le formulaire. |
| Paramètre désactivé : des personnes spécifiques peuvent répondre | DisableSpecificResponse | Le propriétaire du formulaire désactive le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à répondre au formulaire. |
| Formulaire de partage non autorisé pour copie | DisallowShareFormForCopy | Le propriétaire du formulaire supprime le lien modèle. |
| Formulaire modifié | EditForm | Le propriétaire du formulaire modifie un formulaire tel que la création, la suppression ou la modification d’une question. La propriété EditOperation :string est le nom de l’opération de modification. Voici les opérations possibles : – CreateQuestion – CreateQuestionChoice – DeleteQuestion – DeleteQuestionChoice – DeleteFormImage – DeleteQuestionImage – UpdateQuestion – UpdateQuestionChoice – UploadFormImage/Bing/Onedrive – UploadQuestionImage – ChangeTheme FormImage inclut n’importe quel emplacement dans Forms où l’utilisateur peut charger une image, par exemple dans une requête ou en tant que thème d’arrière-plan. |
| Paramètre activé : tout le monde peut répondre | AllowAnonymousResponse | Le propriétaire du formulaire active le paramètre permettant à quiconque de répondre au formulaire. |
| Activation de la collaboration d’un compte professionnel ou scolaire Office 365 | EnableWorkOrSchoolCollaboration | Le propriétaire du formulaire active le paramètre autorisant les utilisateurs ayant un compte professionnel ou scolaire Microsoft 365 à afficher et modifier le formulaire. |
| Collaboration activée des personnes de mon organisation | EnableSameOrgCollaboration | Le propriétaire du formulaire active le paramètre autorisant les utilisateurs de l’organisation actuelle à afficher et modifier le formulaire. |
| Paramètre activé : des personnes spécifiques peuvent répondre au paramètre | EnableSpecificResponse | Le propriétaire du formulaire active le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à répondre au formulaire. |
| Collaboration activée de personnes spécifiques | EnableSpecificCollaboaration | Le propriétaire du formulaire active le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à afficher et modifier le formulaire. |
| Données exportées | ExportForm | Le propriétaire du formulaire exporte les résultats vers Excel. La propriété ExportFormat :string est si le fichier Excel est Download ou Online. |
| Formulaires répertoriés | ListForms | Le propriétaire du formulaire affiche une liste de formulaires. La propriété ViewType :string est l’affichage que le propriétaire du formulaire examine : Tous les formulaires, Partagés avec moi ou Formulaires de groupe |
| Un formulaire a été déplacé dans la collection | MovedFormIntoCollection | Le propriétaire du formulaire a déplacé un formulaire dans une collection. |
| Un formulaire a été déplacé hors de la collection | MovedFormOutofCollection | Le propriétaire du formulaire a déplacé un formulaire d’une collection. |
| Collection déplacée vers la Corbeille | CollectionSoftDeleted | Le propriétaire du formulaire a déplacé une collection vers la Corbeille. |
| Formulaire déplacé | MoveForm | Le propriétaire du formulaire déplace un formulaire. La propriété DestinationUserId :string est l’ID utilisateur de la personne qui a déplacé le formulaire. La propriété NewFormId:String est le nouvel ID du formulaire nouvellement copié. La propriété IsDelegateAccess :boolean est l’action actuelle de déplacement du formulaire effectuée via la page du délégué d’administration. |
| Formulaire prévisualisé | PreviewForm | Le propriétaire du formulaire affiche un aperçu d’un formulaire à l’aide de la fonction Aperçu. |
| Co-auteur du formulaire supprimé | RemoveFormCoauthor | Le propriétaire du formulaire supprime un lien de collaboration. |
| Suppression du répondeur spécifique | RemoveSpecificResponder | Le propriétaire du formulaire supprime un utilisateur ou un groupe à la liste des répondeurs spécifiques. |
| Collection renommée | CollectionRenamed | Le propriétaire du formulaire a modifié le nom d’une collection. |
| Invitation Forms Pro envoyée | ProInvitation | L’utilisateur sélectionne pour activer une version d’évaluation Pro. |
| Réponse envoyée | SubmitResponse | Un utilisateur envoie une réponse à un formulaire. La propriété IsInternalForm :boolean est si le répondeur se trouve dans le même organization que le propriétaire du formulaire. |
| Collection mise à jour | CollectionUpdated | Le propriétaire du formulaire a mis à jour une propriété de collection. |
| Formulaire mis à jour état d’hameçonnage | UpdatePhishingStatus | Cet événement est enregistré chaque fois que la valeur détaillée de l’status de sécurité interne a été modifiée, que cette modification affecte ou non l’état de sécurité final (par exemple, le formulaire est maintenant Fermé ou Ouvert). Cette modification peut entraîner des événements en double sans modification finale de l’état de sécurité. Voici les valeurs d’état possibles pour cet événement : – Retirer – Retirer par l’administrateur – Admin débloqué – Bloqué automatiquement – Débloqué automatiquement – Utilisateur signalé – Réinitialiser l’utilisateur signalé |
| Paramètres de formulaire mis à jour | UpdateFormSetting | Le propriétaire du formulaire met à jour un ou plusieurs paramètres de formulaire. La propriété FormSettingName :string est mise à jour le nom des paramètres sensibles. La propriété NewFormSettings :string est le nom et la nouvelle valeur des paramètres mis à jour. Property thankYouMessageContainsLink :boolean is updated thank-you message contains a URL link. |
| Réponse mise à jour | UpdateResponse | Le propriétaire du formulaire a mis à jour un commentaire ou un score sur un questionnaire. Propriété ResponseId :string et Property ResponderId :string sont les résultats qui sont consultés. Pour un répondeur anonyme, la propriété ResponderId a la valeur null. |
| État de l’hameçonnage de l’utilisateur mis à jour | UpdateUserPhishingStatus | Cet événement est journalisé chaque fois que la valeur de l’status de sécurité de l’utilisateur change. La valeur de l’utilisateur status dans l’enregistrement d’audit est Confirmée en tant que Phisher lorsque l’utilisateur a créé un formulaire d’hameçonnage que l’équipe de sécurité Microsoft Online a arrêté. Si un administrateur débloque l’utilisateur, la valeur de l’état de l’utilisateur est définie sur Réinitialiser en tant qu’utilisateur normal. |
| Paramètres d’utilisateur mis à jour | UpdateUserSetting | Le propriétaire du formulaire met à jour un paramètre d’utilisateur. Propriété UserSettingName :string est le nom et la nouvelle valeur du paramètre |
| Formulaire consulté (moment de la création) | ViewForm | Le propriétaire du formulaire ouvre un formulaire existant pour modification. La propriété AccessDenied :boolean est l’accès du formulaire actuel est refusé en raison de l’autorisation case activée. La propriété FromSummaryLink :boolean est la requête actuelle qui provient de la page de lien récapitulative. |
| Réponse consultée | ViewResponse | Le propriétaire du formulaire affiche une réponse spécifique. Propriété ResponseId :string et Property ResponderId :string sont les résultats qui sont consultés. Pour un répondeur anonyme, la propriété ResponderId a la valeur null. |
| Page de réponse consultée | ViewRuntimeForm | L’utilisateur a ouvert une page de réponse à afficher. Cet événement est consigné, que l’utilisateur envoie ou non une réponse. |
| Réponses consultées | ViewResponses | Propriétaire du formulaire affiche la liste agrégée des réponses. Propriété ViewType :string indique si le propriétaire du formulaire affiche Detail ou Aggregate |
Activités Forms réalisées par des co-auteurs et des répondants anonymes
Forms prend en charge la collaboration lors de la conception de formulaires et de l’analyse des réponses. Un collaborateur de formulaire est appelé co-auteur. Les co-auteurs peuvent effectuer les mêmes actions que le propriétaire d’un formulaire, excepté supprimer ou déplacer un formulaire. Forms vous permet également de créer un formulaire dans lequel les répondants restent anonymes. Ce qui signifie qu’un répondant n’a pas besoin d’être connecté à votre organisation pour répondre à un formulaire.
Le tableau suivant décrit les activités d’audit et les informations enregistrées dans le journal d’audit Microsoft 365 pour les activités effectuées par les co-auteurs et les répondeurs anonymes.
| Type d’activité | Utilisateur interne ou externe | Identifiant de l’utilisateur connecté | Organisation connectée à | Type d’utilisateur Forms |
|---|---|---|---|---|
| Activités de co-création | Externe | urn:forms:coauthor#a0b1c2d3@forms.office.com(La deuxième partie de l’ID est un hachage, qui diffère selon les utilisateurs) |
Organisation du propriétaire du formulaire |
Co-auteur |
| Activités de co-création | Externe | UPN |
Organisation du co-auteur |
Co-auteur |
| Activités de co-création | Interne | UPN | Organisation du propriétaire du formulaire | Co-auteur |
| Activités de réponse | Anonyme | urn:forms:anonymous#a0b1c2d3@forms.office.com(La deuxième partie de l’ID utilisateur est un hachage, qui diffère selon les utilisateurs) |
Organisation du propriétaire du formulaire | Répondant |
| Activités de réponse | Externe | urn:forms:external#a0b1c2d3@forms.office.com(La deuxième partie de l’ID utilisateur est un hachage, qui diffère selon les utilisateurs) |
Organisation du propriétaire du formulaire | Répondant |
| Activités de réponse | Externe | UPN |
Organisation du répondant |
Répondant |
Microsoft Graph Data Connect
Le tableau suivant répertorie les activités utilisateur et administrateur dans Microsoft Graph Data Connect enregistrées dans le journal d’audit Microsoft 365. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Approbation ou refus d’une application | ConsentModificationRequest | Un utilisateur a effectué une demande de modification de consentement. |
| Extraction exécutée | DataAccessRequestOperation | Un utilisateur a effectué une extraction. Les jeux de données partenaires et les exécutions d’éditeurs de logiciels indépendants sont exclus. |
activités Microsoft Places Directory
Le tableau suivant répertorie les activités d’administration dans Microsoft Places Répertoire que le journal d’audit Microsoft 365 enregistre. Le tableau inclut le nom convivial qui s’affiche dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Création d’un emplacement | CreatedPlace | Un administrateur a effectué une opération pour créer des emplacements. |
| Suppression d’un emplacement | DeletedPlace | Un administrateur a effectué une opération pour supprimer des emplacements. |
| Mise à jour d’un emplacement | UpdatedPlace | Un administrateur a effectué une opération pour mettre à jour les emplacements. |
activités Planificateur Microsoft
Le tableau suivant répertorie les activités utilisateur et administrateur dans Planificateur Microsoft que le journal d’audit Microsoft 365 enregistre. Le tableau inclut le nom convivial qui s’affiche dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.
Remarque
L’activité de portefeuille dans le Planificateur est journalisée avec Microsoft Project pour l’activité de feuille de route web. Pour plus d’informations, consultez la section Activités microsoft Project pour le web.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout d’un membre à une liste | RosterMemberAdded | Un membre a été ajouté à une liste. Si l’opération d’ajout était un ResultStatus.Failure ou ResultStatus.AuthorizationFailure, les MemberIds sont une liste d’ID de membre tentés. |
| Affectation d’une tâche | TaskAssigned | Le destinataire d’une tâche a été modifié par un utilisateur ou une application. Il peut s’agir d’une tâche non affectée affectée ou d’une tâche attribuée à un nouveau destinataire. |
| Fin d’une tâche | TaskCompleted | Une tâche a été marquée comme terminée par un utilisateur ou une application. |
| Copie d’un plan | PlanCopied | Un plan a été copié par un utilisateur ou une application. Si l’opération de copie était resultStatus.Failure ou ResultStatus.Failure, newPlanId est null, newContainerType est ContainerType.Invalid et newContainerId est null. |
| Création d’un objectif | GoalCreated | Un objectif a été créé par un utilisateur ou une application. Si l’opération de création était un ResultStatus.Failure ou ResultStatus.AuthorizationFailure, l’ObjectId est null et PlanId est null. |
| Création d’un plan | PlanCréated | Un plan a été créé par un utilisateur ou une application. Si l’opération de création était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId est null, ContainerType est ContainerType.Invalid et ContainerId est null. |
| Création d’une liste | Listecréée | Une liste a été créée par un utilisateur ou une application. Si l’opération de création était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, l’ObjectId est null, MemberIds est une chaîne vide. |
| Création d’une tâche | TaskCreated | Une tâche a été créée par un utilisateur ou une application. Si l’opération de création était un ResultStatus.Failure ou ResultStatus.AuthorizationFailure, l’ObjectId est null et PlanId est null. |
| Suppression d’un objectif | GoalDeleted | Un objectif a été supprimé par un utilisateur ou une application. |
| Suppression d’un plan | PlanDeleted | Un plan a été supprimé par un utilisateur ou une application. |
| Suppression d’une liste | RosterDeleted | Une liste a été supprimée par un utilisateur ou une application. |
| Suppression d’une tâche | TaskDeleted | Une tâche a été supprimée par un utilisateur ou une application. |
| Modification d’un objectif | GoalModified | Un objectif a été modifié par un utilisateur ou une application. |
| Modification d’un plan | PlanModified | Un plan a été modifié par un utilisateur ou une application. |
| Modification d’une tâche | TaskModified | Une tâche a été modifiée par un utilisateur ou une application. |
| Lire un objectif | GoalRead | Un objectif a été lu par un utilisateur ou une application. Si l’opération de lecture était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, le PlanId est null. |
| Lire une liste d’objectifs | GoalListRead | Une liste d’objectifs a été interrogée par un utilisateur ou une application. Si l’opération de requête était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, GoalList est une chaîne vide. |
| Lire la liste des plans | PlanListRead | Une liste de plans a été interrogée par un utilisateur ou une application. Si l’opération de requête était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanList est une chaîne vide. |
| Lire la liste des tâches | TaskListRead | Une liste de tâches a été interrogée par un utilisateur ou une application. Si l’opération de requête était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, TaskList est une chaîne vide. |
| Lire un plan | PlanRead | Un plan a été lu par un utilisateur ou une application. Si l’opération de lecture était un ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ContainerType a la valeur ContainerType.Invalid et ContainerId a la valeur null. |
| Lire une tâche | TaskRead | Une tâche a été lue par un utilisateur ou une application. Si l’opération de lecture était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanId a la valeur null. |
| Suppression d’un membre dans une liste | RosterMemberDeleted | Un membre a été supprimé d’une liste. Si l’opération de suppression était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds est la liste des ID de membre tentés. |
| Mise à jour de l’étiquette de confidentialité d’une liste | RosterSensitivityLabelUpdated | Un utilisateur ou une application met à jour l’étiquette de confidentialité d’une liste. |
| Paramètres de locataire mis à jour | TenantSettingsUpdated | Les paramètres de l’organisation sont mis à jour par un administrateur organization. Si l’opération de mise à jour était ResultStatus.Failure ou ResultStatus.AuthorizationFailure, l’ObjectId est les paramètres d’origine et TenantSettings est les paramètres organization tentés. |
Activités Microsoft Power Apps
Vous pouvez effectuer une recherche dans le journal d’audit pour consulter les activités liées aux applications dans Power Apps. Ces activités incluent la création, le lancement et la publication d’une application. L’attribution d’autorisations à des applications est également auditée. Pour obtenir une description de toutes les activités Power Apps, voir Journalisation des activités pour Power Apps.
Remarque
Les événements d’audit des stratégies d’alerte (alerte de protection) (RecordType :45) ne sont actuellement pas pris en charge pour PowerApps.
Activités Microsoft Power Automate
Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Power Automate (précédemment appelé Microsoft Flow). Ces activités incluent la création, la modification et la suppression de flux, et la modification des autorisations de flux.
Activités microsoft Project pour le web
Vous pouvez rechercher dans le journal d’audit des activités dans Microsoft Project pour le web. Microsoft Project pour le web est basé sur Microsoft Dataverse et a un Project Power App associé. Pour activer l’audit pour les scénarios où l’utilisateur utilise Microsoft Dataverse ou Project Power App, consultez les instructions de l’onglet Audit des paramètres système . Pour obtenir la liste des entités liées à Project pour le web, consultez les instructions Exporter des données utilisateur à partir de Project pour le web.
Pour plus d’informations sur Microsoft Project pour le web, consultez Microsoft Project pour le web.
Remarque
L’audit des événements pour les activités microsoft Project pour le web nécessite une licence Project (plan 1) payante (ou supérieure).
Le tableau suivant répertorie les activités Microsoft Project pour le web enregistrées dans le journal d’audit Microsoft 365 :
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Projet créé | ProjectCreated | Un projet a été créé par un utilisateur ou une application. |
| Feuille de route créée | Feuille de routeCréée | Une feuille de route ou un portefeuille a été créé par un utilisateur ou une application. |
| Élément de feuille de route créé | RoadmapItemCreated | Un élément de feuille de route ou de portefeuille a été créé par un utilisateur ou une application. |
| Tâche créée | TaskCreated | Une tâche a été créée par un utilisateur ou une application. |
| Projet supprimé | ProjectDeleted | Un projet a été supprimé par un utilisateur ou une application. |
| Feuille de route supprimée | Feuille de route Supprimée | Une feuille de route ou un portefeuille a été supprimé par un utilisateur ou une application. |
| Élément de feuille de route supprimé | RoadmapItemDeleted | Un élément de feuille de route ou de portefeuille a été supprimé par un utilisateur ou une application. |
| Tâche supprimée | TaskDeleted | Une tâche a été supprimée par un utilisateur ou une application. |
| Projet consulté | ProjectAccessed | Un projet a été lu par un utilisateur ou une application. |
| Accueil du projet accessible | ProjectListAccessed | Un utilisateur a interrogé une liste de projets et/ou de feuilles de route. |
| Feuille de route consultée | Feuille de routeAccessed | Une feuille de route ou un portefeuille a été lu par un utilisateur ou une application. |
| Élément de feuille de route consulté | RoadmapItemAccessed | Un élément de feuille de route ou de portefeuille a été lu par un utilisateur ou une application. |
| Tâche consultée | TaskAccessed | Une tâche a été lue par un utilisateur ou une application. |
| Projet mis à jour | ProjectUpdated | Un projet a été modifié par un utilisateur ou une application. |
| Paramètres du projet mis à jour | ProjectForTheWebProjectSettings | Un administrateur a mis à jour les paramètres du projet. |
| Feuille de route mise à jour | Feuille de routeMise à jour | Une feuille de route ou un portefeuille a été modifié par un utilisateur ou une application. |
| Élément de feuille de route mis à jour | RoadmapItemUpdated | Un élément de feuille de route ou de portefeuille a été modifié par un utilisateur ou une application. |
| Paramètres de la feuille de route mis à jour | ProjectForTheWebRoadmaptSettings | Une feuille de route ou des paramètres de portefeuille mis à jour par l’administrateur. |
| Tâche mise à jour | TaskUpdated | Une tâche a été modifiée par un utilisateur ou une application. |
activités de solution Microsoft Purview Audit
Le tableau suivant répertorie les activités associées aux solutions d’audit dans le portail Microsoft Purview et le API Graph Recherche d’audit. La charge de travail SecurityComplianceCenter audite ces activités. Pour plus d’informations, consultez Rechercher dans le journal d’audit.
Les activités de recherche et d’exportation d’audit qui utilisent Search-UnifiedAuditLog ne sont pas auditées.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Auditer la recherche annulée | AuditSearchCancelled | Un travail de recherche d’audit a été annulé. |
| Auditer la recherche terminée | AuditSearchCompleted | Un travail de recherche d’audit a été effectué. |
| Auditer la recherche créée | AuditSearchCreated | Une nouvelle demande de recherche d’audit a été envoyée. |
| Auditer la recherche supprimée | AuditSearchDeleted | Un travail de recherche d’audit a été supprimé. |
| Auditer la tâche d’exportation de recherche terminée | AuditSearchExportJobCompleted | Le travail d’exportation pour exporter les résultats de recherche d’une requête de recherche d’audit a été terminé. |
| Auditer la tâche d’exportation de recherche créée | AuditSearchExportJobCreated | Un travail d’exportation a été créé pour exporter les résultats de recherche d’une requête de recherche d’audit. |
| Auditer les résultats de l’exportation de recherche téléchargés | AuditSearchExportResultsDownloaded | Les résultats de la recherche d’une requête de recherche d’audit ont été téléchargés. |
Activités de gouvernance Microsoft Purview
Le tableau suivant répertorie les activités de gouvernance Microsoft Purview enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations, consultez Solutions de gouvernance Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ressource ou entité créée | EntityCreated | Une ressource ou une entité a été créée ou ajoutée à une ressource existante. |
| Classification ajoutée | ClassificationAdded | Ajout de classifications à l’entité de ressource. |
| Définition de classification créée | ClassificationDefinitionCreated | Création d’un type de classification. |
| Définition de classification supprimée | ClassificationDefinitionDeleted | Suppression d’un type de classification. |
| Définition de classification mise à jour | ClassificationDefinitionUpdated | Mise à jour d’un type de classification. |
| Classification supprimée | ClassificationDeleted | Classifications supprimées de l’entité de ressource. |
| Classification mise à jour | ClassificationMise à jour | Classifications mises à jour sur l’entité de ressource. |
| Entité supprimée | EntityDeleted | Une ressource ou une entité a été supprimée d’une ressource existante. |
| Entité mise à jour | EntityUpdated | Inclut : mise à jour d’attribut, mise à jour des attributs métier, informations de collecte (incluent uniquement l’ID de collection), mise à jour des contacts, customAttributes, hierarchy, homeId, étiquettes, sourceDetails |
| Terme de glossaire affecté | GlossaireTermAssigned | Termes attribués à l’entité de ressource. |
| Terme de glossaire créé | GlossaireTermCreated | Création d’un terme. |
| Terme de glossaire supprimé | GlossaireTermDeleted | Suppression d’un terme. |
| Terme de glossaire dissocié | GlossaireTermDisassociated | Termes dissociés de l’entité de ressource. |
| Terme de glossaire mis à jour | GlossaireTermUpdated | Mise à jour d’un terme. |
| Étiquette de confidentialité modifiée | SensitivityLabelChanged | L’étiquette de confidentialité a été ajoutée, mise à jour ou supprimée. |
Activités de classification à la demande microsoft Purview
Le tableau suivant répertorie les activités de la classification à la demande de Microsoft Purview que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur la classification à la demande, consultez En savoir plus sur la classification à la demande dans Microsoft Purview.
Remarque
Ces activités d’audit sont disponibles uniquement dans Audit (Premium). La licence appropriée doit vous être attribuée avant que ces activités soient enregistrées dans le journal d’audit. Pour plus d’informations, consultez Audit (Premium) . Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Fichier classifié dans le cadre d’une analyse de classification à la demande | DataScanClassification | Le fichier a été évalué pour le contenu sensible dans le cadre d’une analyse de classification à la demande pour SharePoint ou OneDrive. |
| Fichier classifié sur l’appareil dans le cadre d’une analyse de classification à la demande | SensitiveInfoDiscovered | Le fichier a été évalué pour le contenu sensible dans le cadre d’une analyse de classification à la demande pour les appareils de point de terminaison. |
| Fichier déclassifié dans le cadre d’une analyse de classification à la demande | DataScanDeClassification | Le fichier ne correspond plus aux types d’informations sensibles définis dans l’analyse de classification à la demande correspondante déclenchée pour les emplacements SharePoint ou OneDrive. |
gestion de l’agent Microsoft Security Copilot
Le tableau suivant répertorie les opérations de gestion de l’agent dans Security Copilot que le journal d’audit Microsoft 365 enregistre. Ces activités caractérisent les activités des agents et des composants nécessaires pour qu’ils fonctionnent, comme les déclencheurs. Pour plus d’informations sur la gestion des agents Security Copilot, consultez vue d’ensemble des agents Microsoft Security Copilot.
| Nom convivial | Opération | Description |
|---|---|---|
| Création d’un agent Security Copilot | CreateCopilotAgent | Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a créé un agent Security Copilot. |
| Création d’un déclencheur d’agent Security Copilot | CreateCopilotforSecurityAgentTrigger | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un manuel d’invite dans Copilot. |
| Suppression d’un agent Security Copilot | DeleteCopilotAgent | Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a supprimé un agent Security Copilot. |
| Suppression d’un déclencheur d’agent Security Copilot | DeleteCopilotForSecurityAgentTrigger | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a supprimé un déclencheur Security Copilot. |
| Mise à jour d’un paramètre d’agent Security Copilot | UpdateCopilotAgent | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre d’agent Security Copilot. |
| Mise à jour d’un déclencheur d’agent Security Copilot | UpdateCopilotforSecurityAgentTrigger | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de déclencheur d’agent Security Copilot. |
interactions Microsoft Security Copilot
Le tableau suivant répertorie les types d’interactions utilisateur avec les composants IA dans Security Copilot que le journal d’audit Microsoft 365 enregistre. Ces opérations représentent des invites individuelles, des expériences incorporées ou des workflows agentiques. Pour plus d’informations sur les interactions Security Copilot, consultez Invite dans Security Copilot et Microsoft Security Copilot vue d’ensemble des agents.
| Nom convivial | Opération | Description |
|---|---|---|
| Interaction avec Copilot | CopilotInteraction | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a entré des invites dans Copilot ou un agent. |
Microsoft Security Copilot gestion de la plateforme
Le tableau suivant répertorie les opérations de gestion d’un Security Copilot et de ses composants que le journal d’audit Microsoft 365 enregistre. Ces opérations représentent des paramètres de locataire ou d’espace de travail ou des composants IA tels que des plug-ins et des promptbooks. Pour plus d’informations sur les éléments de gestion de Security Copilot, consultez Qu’est-ce que Microsoft Security Copilot ?
| Nom convivial | Opération | Description |
|---|---|---|
| Création d’un plug-in Copilot | CreatePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un plug-in Copilot. |
| Création d’un manuel d’invite Copilot | CreatePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un manuel d’invite dans Copilot. |
| Suppression d’un plug-in Copilot | DeletePlugin | Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a supprimé un plug-in Copilot. |
| Suppression d’un promptbook Copilot | DeletePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a supprimé un promptbook Copilot. |
| Désactivé un plug-in Copilot | DisableCopilotPlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un plug-in Copilot. |
| Désactivé un manuel d’invite Copilot | DisablePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un manuel d’invite Copilot. |
| Activation d’un plug-in Copilot | EnablePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a activé un plug-in Copilot. |
| Activation d’un promptbook Copilot | EnablePromptBook | Un utilisateur (ou administrateur ou système au nom d’un utilisateur) a activé un promptbook Copilot. |
| Mise à jour d’un paramètre de plug-in Copilot | UpdatePlugin | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de plug-in Copilot. |
| Mise à jour d’un paramètre d’invite Copilot | UpdatePromptBook | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de manuel d’invite Copilot. |
| Mise à jour d’un paramètre Copilot | UpdateTenantSettings | Un administrateur (ou un système au nom d’un administrateur) a mis à jour un paramètre Copilot. |
Microsoft Sentinel activités des outils IA
Le tableau suivant répertorie les activités liées à l’outil IA dans Microsoft Sentinel lac de données enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les outils MCP dans Microsoft Sentinel lac de données, consultez Collecte d’outils dans Microsoft Sentinel serveur MCP.
| Nom convivial | Opération | Description |
|---|---|---|
| Exécution de l’outil IA terminée | SentinelAIToolRunCompleted | Microsoft Sentinel’exécution de l’outil IA terminée |
| Outil IA créé | SentinelAIToolCreated | L’utilisateur crée un outil ia Microsoft Sentinel |
| Exécution de l’outil IA démarrée | SentinelAIToolRunStarted | Microsoft Sentinel’exécution de l’outil IA a démarré |
Microsoft Sentinel activités de notebook Data Lake
Le tableau suivant répertorie les activités de notebook dans Microsoft Sentinel Lac de données enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les notebooks dans Microsoft Sentinel data lake, consultez Utiliser des notebooks dans Microsoft Sentinel data lake.
| Nom convivial | Opération | Description |
|---|---|---|
| Suppression d’une table personnalisée | CustomTableDelete | L’utilisateur a supprimé une table dans le cadre de l’exécution de son notebook. |
| Lire à partir d’une table | TableRead | L’utilisateur lit une table dans le cadre de l’exécution de son notebook. |
| Session démarrée | SessionStarted | L’utilisateur a démarré une session de notebook. |
| Session arrêtée | SessionStopped | L’utilisateur a arrêté une session de notebook. |
| Écrit dans une table personnalisée | CustomTableWrite | L’utilisateur a écrit dans une table dans le cadre de l’exécution de son notebook. |
Microsoft Sentinel activités de travail de lac de données
Le tableau suivant répertorie les activités de travail dans Microsoft Sentinel lac de données que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur les travaux dans Microsoft Sentinel lac de données, consultez Créer et gérer des travaux de notebook Jupyter (préversion) et Créer des travaux KQL dans le lac de données Microsoft Sentinel (préversion) .
| Nom convivial | Opération | Description |
|---|---|---|
| Exécution ad hoc d’une exécution de travail terminée | JobRunAdhocCompleted | Exécution ad hoc du travail terminée. |
| Exécution planifiée d’une tâche terminée | JobRunScheduledCompleted | Exécution planifiée du travail terminée. |
| Travail créé | JobCreated | Un travail est créé. |
| Suppression d’une table personnalisée | CustomTableDelete | Dans le cadre d’une exécution de travail, la table personnalisée a été supprimée. |
| Travail supprimé | JobDeleted | Un travail est supprimé. |
| Travail désactivé | JobDisabled | Le travail est désactivé. |
| Travail activé | JobEnabled | Un travail désactivé est réactivé. |
| Exécution d’un travail ad hoc | JobRunAdhoc | Le travail est déclenché manuellement et l’exécution a démarré. |
| Exécution d’un travail selon la planification | JobRunScheduled | L’exécution du travail est déclenchée en raison d’une planification. |
| Lire à partir d’une table | TableRead | Dans le cadre de l’exécution du travail, une table est lue. |
| Arrêt de l’exécution d’un travail | JobRunStopped | L’utilisateur annule ou arrête manuellement une exécution de travail en cours. |
| Travail mis à jour | JobUpdated | Définition du travail et/ou détails de configuration et de planification du travail en cas de mise à jour. |
| Écrit dans une table personnalisée | CustomTableWrite | Dans le cadre de l’exécution du travail, les données ont été écrites dans une table personnalisée. |
Microsoft Sentinel activités KQL data lake
Le tableau suivant répertorie les activités KQL dans Microsoft Sentinel lac de données que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur KQL dans Microsoft Sentinel lac de données, consultez KQL et le lac de données Microsoft Sentinel (préversion).
| Nom convivial | Opération | Description |
|---|---|---|
| Requête KQL terminée | KQLQueryCompleted | L’utilisateur exécute des requêtes interactives via KQL sur les données de son lac de données Microsoft Sentinel. |
Microsoft Sentinel activités d’intégration de lac de données
Le tableau suivant répertorie les activités d’intégration de lac de données Microsoft Sentinel enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur l’intégration à Microsoft Sentinel lac de données, consultez Intégration à Microsoft Sentinel data lake (préversion) .
| Nom convivial | Opération | Description |
|---|---|---|
| Modification de l’abonnement de Sentinel lake | SentinelLakeSubscriptionChanged | L’utilisateur a modifié l’ID d’abonnement de facturation ou le groupe de ressources associé au lac de données. |
| Données intégrées pour Sentinel lake | SentinelLakeDefaultDataOnboarded | Pendant l’intégration, l’intégration des données par défaut est journalisée. |
| Configurer Sentinel lake | SentinelLakeSetup | Au moment de l’intégration, Microsoft Sentinel lac de données est configuré et les détails sont enregistrés. |
activités de graphe Microsoft Sentinel
Le tableau suivant répertorie les activités de graphique dans Microsoft Sentinel enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft Sentinel graphe, consultez Qu’est-ce que Microsoft Sentinel Graph ? (préversion) .
| Nom convivial | Opération | Description |
|---|---|---|
| Création d’un scénario de graphe | GraphScenarioCreated | L’utilisateur a créé un graphique instance pour un scénario de graphe prédéfini. |
| Scénario de graphe supprimé | GraphScenarioDeleted | L’utilisateur a supprimé ou désactivé un instance de graphique pour un scénario de graphe prédéfini. |
| Exécution d’une requête de graphique | GraphQueryRun | L’utilisateur a exécuté une requête de graphique. |
Activités de Microsoft Stream
Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Microsoft Stream. Ces activités incluent les activités de vidéo effectuées par les utilisateurs, les activités de canal de groupe et les activités d’administrateur telles que la gestion des utilisateurs, la gestion des paramètres d’organisation et l’exportation de rapports. Pour obtenir une description de ces activités, voir «Actions enregistrées dans Stream» dans Journaux d’audit dans Microsoft Stream.
Activités dans Microsoft Teams
Le tableau suivant répertorie les activités Microsoft Teams enregistrées dans le journal d’audit Microsoft 365. Vous pouvez effectuer une recherche dans le journal d’audit des activités des utilisateurs et des administrateurs dans Microsoft Teams. Teams est un espace de travail centré sur la conversation dans Microsoft 365. Il rassemble les conversations, réunions, fichiers et notes d’une équipe dans un emplacement unique. Pour obtenir des instructions de recherche plus détaillées, consultez Rechercher des événements dans le journal d’audit dans Microsoft Teams.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Accepter le message | UserAccepted | Accepter un nouveau message d’une personne qui n’a jamais établi de contact avec. |
| Robot ajouté à une équipe | BotAddedToTeam | Un utilisateur ajoute un robot à une équipe. |
| Canal ajouté | ChannelAdded | Un utilisateur ajoute un canal à une équipe. |
| Connecteur ajouté | ConnectorAdded | Un utilisateur ajoute un connecteur à un canal. |
| Ajout de détails sur la réunion Teams 9 | MeetingDetail | Teams a ajouté des informations sur une réunion, notamment l’heure de début, l’heure de fin, l’URL de participation à la réunion et l’heure de début/d’arrêt de l’enregistrement pour la réunion. |
| Ajout d’informations sur les participants à la réunion 9 | MeetingParticipantDetail | Teams a ajouté des informations sur les participants d’une réunion, y compris l’ID utilisateur de chaque participant, l’heure à laquelle un participant a rejoint la réunion, l’heure à laquelle un participant a quitté la réunion et l’heure de début/d’arrêt d’un enregistrement de réunion par l’utilisateur. Vous pouvez également voir les journaux avec des horodatages et des informations sur : - Qui a rejoint une réunion - Emplacement où le partage d’écran s’est produit - Qui a démarré le partage d’écran - Quand le partage d’écran s’est produit - Quand le partage d’écran s’est arrêté - Lorsque le contrôle take, give ou request a été activé - Si ces demandes de contrôle ont été acceptées - Qui a accepté ces demandes de contrôle - Avec qui le contenu a été partagé |
| Membres ajoutés 6, 8 | MemberAdded | Un propriétaire d'une équipe ajoute des membres à une équipe, un canal ou une conversation de groupe. |
| Onglet ajouté | TabAdded | Un utilisateur ajoute un onglet à un canal. |
| Étiquette de confidentialité appliquée | SensitivityLabelApplied | Un utilisateur ou un organisateur de réunion a appliqué une étiquette de confidentialité à une réunion Teams. |
| Demande approuvée | ApprovedRequest | Une fois que l’utilisateur a visionné les détails de la demande d’approbation, il l’a approuvée. |
| Bloquer l’utilisateur | UserBlocked | Empêcher un utilisateur de vous envoyer des messages. |
| Demande d’approbation annulée | CanceledApprovalRequest | L’utilisateur a annulé une demande d’approbation qu’il a faite. |
| Annulation de l’approbation de façon asynchrone | CancelledApprovalAsync | L’utilisateur annule une demande d’approbation de façon asynchrone. |
| Paramètre de canal modifié | ChannelSettingChanged | L’opération ChannelSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
|
| Paramètre d’organisation modifié | TeamsTenantSettingChanged | L’opération TeamsTenantSettingChanged est journalisée lorsque les activités suivantes sont effectuées par un administrateur général dans le Centre d’administration Microsoft 365. Ces activités affectent les paramètres Teams à l’échelle de l’organisation. Pour plus d’informations, consultez Gérer les paramètres Teams pour votre organization. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
|
| Rôle modifié des membres de l’équipe | MemberRoleChanged | Un propriétaire d’équipe modifie le rôle de membres d’une équipe. Les valeurs suivantes indiquent le type de rôle attribué à l’utilisateur. 1 - Rôle membre. 2 - Rôle propriétaire. 3 - Rôle Invité. La propriété Members inclut également le nom de votre organization et l’adresse e-mail du membre. |
| Étiquette de confidentialité modifiée | SensitivityLabelChanged | Un utilisateur a modifié une étiquette de confidentialité sur une réunion Teams. |
| Paramètre d’équipe modifié | TeamSettingChanged | L’opération TeamSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
|
| Créer un modèle étendu à l’organisation instance | CreateOrgScopedTemplateInstance | L’utilisateur a créé une instance de modèle délimitée organization. |
| Créer un modèle délimité à l’équipe instance | CreateTeamScopedTemplateInstance | L’utilisateur a créé un modèle délimité à l’équipe instance. |
| Créer une demande de mise à jour | CreateUpdateRequest | L’utilisateur a créé un modèle de mise à jour. |
| Création d’une conversation 1, 6 | ChatCreated | Une conversation Teams a été créée. |
| Approbation créée | CreatedApproval | L’utilisateur a créé une demande d’approbation. |
| Création d’une approbation de manière asynchrone | CreatedApprovalAsync | L’utilisateur crée une demande d’approbation de façon asynchrone. |
| Création d’un travail d’exportation | CreatedExportJob | L’utilisateur a créé un travail d’exportation. |
| Provisionnement créé | CreatedProvisioning | L’utilisateur a créé l’approvisionnement des instance CDS (Common Data Service). |
| Équipe créée | TeamCreated | L’utilisateur crée une équipe. |
| Supprimer la demande de mise à jour | DeleteUpdateRequest | L’utilisateur supprime un modèle de mise à jour. |
| Suppression d’un message 2 | MessageDeleted | Un message dans une conversation ou un canal a été supprimé. |
| Suppression de toutes les applications organization | DeletedAllOrganizationApps | Suppression de toutes les applications organization du catalogue. |
| Application supprimée | AppDeletedFromCatalog | Une application a été supprimée du catalogue. |
| Canal supprimé | ChannelDeleted | Un utilisateur supprime un canal d’une équipe. |
| Équipe supprimée | TeamDeleted | Un propriétaire d’équipe supprime une équipe. |
| Détection d’une tentative d’emprunt d’identité | TeamsImpersonationDetected | Un expéditeur de message externe est détecté comme ayant une activité d’emprunt d’identité potentielle. |
| Fichier téléchargé | DownloadedFile | Fichier téléchargé par l’utilisateur joint à une demande d’approbation. |
| Modifier les instance de modèle dans l’étendue de l’organisation | EditOrgScopedTemplateInstance | L’utilisateur a modifié une instance de modèle délimitée organization. |
| Modifier les instance de modèle délimité à l’équipe | EditTeamScopedTemplateInstance | L’utilisateur a modifié un modèle d’étendue d’équipe instance. |
| Modifier la demande de mise à jour | EditUpdateRequest | L’utilisateur ouvre l’Assistant Modification de modèle et sélectionne le bouton Enregistrer pour confirmer la mise à jour ou activer/désactiver les modèles. |
| Modification d’un message avec un lien URL dans Teams | MessageEditedHasLink | Un utilisateur modifie un message et y ajoute un lien URL dans Teams. |
| Demande d’approbation modifiée | EditedApprovalRequest | L’utilisateur a effectué une action de modification sur une demande d’approbation. |
| Messages exportés 1,2 | MessagesExported | Les messages de conversation ou de canal ont été exportés. |
| Enregistrements exportés 1 | RecordingExported | Les enregistrements de conversation ont été exportés. |
| Transcriptions exportées 1 | TranscriptionsExported | Les transcriptions de conversation ont été exportées. |
| Échec de la validation de l’invitation au canal partagé 3 | FailedValidation | Un utilisateur répond à une invitation à un canal partagé, mais la validation de l’invitation a échoué. |
| Extrait tout le contenu hébergé d’un message1 | MessageHostedContentsListed | Tout le contenu hébergé dans un message, tel que les images ou les extraits de code, a été récupéré. |
| Conversation récupérée 1 | ChatRetrieved | Une conversation Microsoft Teams a été récupérée. |
| Obtenir des instance de modèle délimité à l’organisation | GetOrgScopedTemplateInstance | L’utilisateur a extrait un instance de modèle délimité organization. |
| Obtenir des instance de modèle délimité à l’équipe | GetTeamScopedTemplateInstance | L’utilisateur a extrait un modèle délimité à l’équipe instance. |
| Opération asynchrone obtenue | GotAsyncOperation | L’utilisateur a obtenu l’entité d’opération asynchrone. |
| Application installée | AppInstalled | Une application a été installée. |
| Action effectuée sur carte | PerformCardAction | Un utilisateur a effectué une action sur un carte adaptatif dans une conversation. Les cartes adaptatives sont généralement utilisées par les bots pour permettre l’affichage complet des informations et des interactions dans les conversations. Seules les actions d’entrée inline sur un carte adaptatif à l’intérieur d’une conversation sont disponibles dans le journal d’audit. Par exemple, lorsqu’un utilisateur envoie une réponse de sondage dans une conversation de canal sur un carte adaptatif généré par un bot poll. Les actions utilisateur telles que « Afficher le résultat », qui ouvre une boîte de dialogue, ou les actions de l’utilisateur à l’intérieur des boîtes de dialogue ne sont pas disponibles dans le journal d’audit. |
| Remplir les notes générées par l’IA dans la conversation | AINotesUpdate | Les notes générées par l’IA ont été remplies pour une conversation de groupe. |
| Remplir les notes générées par l’IA dans les réunions en direct | LiveNotesUpdate | Les notes générées par l’IA ont été remplies pour une réunion en direct. |
| Nouveau message publié 3,4,6, 8 | MessageSent | Un nouveau message a été publié sur une conversation ou un canal. |
| Application publiée | AppPublishedToCatalog | Une application a été ajoutée au catalogue. |
| Lire un message 1 | MessageRead | Un message d’une conversation ou d’un canal a été récupéré. |
| Lire le contenu hébergé d’un message 1 | MessageHostedContentRead | Le contenu hébergé dans un message, tel qu’une image ou un extrait de code, a été récupéré. |
| Demande d’approbation réaffectée | ReassignedApprovalRequest | L’utilisateur a réaffecté une demande d’approbation à un autre utilisateur. |
| Demande d’approbation rejetée | RejectedApprovalRequest | Une fois que l’utilisateur a visionné les détails de la demande d’approbation, il l’a rejetée. |
| Robot supprimé l’équipe | BotRemovedFromTeam | Un utilisateur supprime un robot d’une d’une équipe. |
| Connecteur supprimé | ConnectorRemoved | Un utilisateur supprime un connecteur d’un canal. |
| Membres supprimés 6, 8 | MemberRemoved | Un propriétaire d’équipe supprime des membres d’une équipe, d'un canal ou d'une conversation de groupe. |
| Étiquette de confidentialité supprimée | SensitivityLabelRemoved | Un utilisateur a supprimé une étiquette de confidentialité d’une réunion Teams. |
| Suppression du partage du canal d’équipe 3 | TerminatedSharing | Un propriétaire d’équipe ou de canal a désactivé le partage pour un canal partagé. |
| Onglet supprimé | TabRemoved | Un utilisateur supprime un onglet d’un canal. |
| Réponse à l’approbation | RespondedToApproval | L’utilisateur a effectué une action sur une demande d’approbation. |
| Réponse à l’invitation pour le canal partagé 3 | InviteeResponded | Un utilisateur a répondu à une invitation de canal partagé. |
| Réponse à la réponse de l’invité au canal partagé 3 | ChannelOwnerResponded | Un propriétaire de canal a répondu à une réponse d’un utilisateur qui a répondu à une invitation de canal partagé. |
| Réponse avec une réponse personnalisée | RespondedWithCustomResponse | L’utilisateur a répondu avec un texte de réponse personnalisé à une demande d’approbation. |
| Partage restauré du canal d’équipe 3 | SharingRestored | Un propriétaire d’équipe ou de canal a réactivé le partage pour un canal partagé. |
| Messages récupérés 1 | MessagesListed | Les messages d’une conversation ou d’un canal ont été récupérés. |
| Contenu sensible partagé | SensitiveContentShared | Journalisé lorsque l’option Détecter du contenu sensible pendant le partage d’écran est activée pour une réunion Teams et au sein de cette réunion, du contenu sensible (par exemple, des numéros de carte de crédit, des numéros de compte bancaire, des numéros de sécurité sociale et des numéros d’identification similaires) s’affiche à l’écran pendant une session de partage d’écran. Pour en savoir plus, consultez Gérer si les réunions de votre organization peuvent détecter du contenu sensible lors du partage d’écran |
| Envoi d’un message avec un lien URL dans Teams | MessageCreatedHasLink | Un utilisateur envoie un message contenant un lien URL dans Teams. |
| Notification de modification envoyée pour la création du message 1 | MessageCreatedNotification | Une notification de modification a été envoyée pour notifier un nouveau message à une application d’écouteur abonnée. |
| Notification de modification envoyée pour la suppression du message 1 | MessageDeletedNotification | Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message supprimé. |
| Notification de modification envoyée pour la mise à jour du message 1 | MessageUpdatedNotification | Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message mis à jour. |
| Invitation envoyée pour le canal partagé 3 | InviteSent | Un propriétaire ou un membre de canal envoie une invitation à un canal partagé. Les invitations à des canaux partagés peuvent être envoyées à des personnes extérieures à votre organization si la stratégie de canal est configurée pour partager le canal avec des utilisateurs externes. |
| Envoyer la mise à jour | SubmitUpdate | L’utilisateur a soumis une nouvelle mise à jour. |
| Abonné aux notifications de modification de message 1 | SubscribedToMessages | Un abonnement a été créé par une application d’écouteur pour recevoir des notifications de modification pour les messages. |
| Action Administration Teams | TeamsAdminAction | Journalisé lorsqu’un administrateur Teams effectue des actions telles que la mise à jour, l’ajout ou la suppression de paramètres ou de configurations associés à Teams à l’aide d’outils d’administration tels que PowerShell, Administration Center, API, etc. |
| Création de thread sondée | CreateThreadProbe | Un utilisateur a sondé s’il peut créer une conversation avec les utilisateurs de votre organization. Les propriétés suivantes sont renseignées pour chacune de ces activités : Activité : nom de cette activité, CreateThreadProbe. CorrelationId : identificateur de demande unique pour le journal d’audit. CreationTime : heure à laquelle le journal d’audit a été créé. ExtraProperties** : contient une paire clé-valeur unique qui décrit l’environnement dans lequel la requête de sonde a été lancée. ID : ID de l’entrée de rapport. L’ID identifie de manière unique l’entrée du journal d’audit. OrganizationId : GUID de votre organization Microsoft 365. ParticipantInfo : contient une liste de paires objectId et tenantId décrivant l’ensemble des utilisateurs cibles sur lesquels l’utilisateur initial (utilisateur UserKey) a initié la sonde. En d’autres termes, il s’agit de l’ensemble des utilisateurs avec lesquels l’utilisateur initial souhaite créer un thread. Contient uniquement les utilisateurs de votre organization. RecordType : type d’opération indiqué par l’enregistrement. UserID : nom d’utilisateur principal de l’utilisateur qui a lancé la sonde. UserKey : GUID de l’utilisateur qui a lancé la sonde. UserSIPDomain : domaine SIP de l’utilisateur qui a lancé la sonde. UserTenantId : locataire de l’utilisateur qui a lancé la sonde. UserType : type de l’utilisateur qui a lancé la sonde. Prend uniquement la valeur 0, qui représente un utilisateur AAD normal. Version : numéro de version de l’activité (identifiée par la propriété Operation) journalisée. Charge de travail : service dans lequel l’activité s’est produite. |
| Débloquer l’utilisateur | UserUnblocked | Débloquer un utilisateur précédemment bloqué. |
| Application désinstallée | AppUninstalled | Une application a été désinstallée. |
| Mise à jour d’une conversation 1 | ChatUpdated | Une conversation Teams a été mise à jour. |
| Mise à jour d’un message 1 | MessageUpdated | Un message d’une conversation ou d’un canal a été mis à jour. |
| Application mise à jour | AppUpdatedInCatalog | Une application a été mise à jour dans le catalogue. |
| Mise à jour de la demande d’approbation de manière asynchrone | UpdatedApprovalRequestAsync | L’utilisateur a effectué une action sur une demande d’approbation de manière asynchrone. |
| Connecteur mis à jour | ConnectorUpdated | Un utilisateur a modifié un connecteur dans un canal. |
| Onglet mis à jour | TabUpdated | Un utilisateur a modifié un onglet dans un canal. |
| Application mise à niveau | AppUpgraded | Une application a été mise à niveau vers sa dernière version dans le catalogue. |
| Utilisateur connecté à Teams | TeamsSessionStarted | Un utilisateur se connecte à un client Microsoft Teams. Cet événement ne capture pas les activités d’actualisation des jetons. |
| Afficher la demande d’approbation | ViewApprovalRequest | L’utilisateur effectue une demande d’affichage d’une demande d’approbation. |
| Afficher la mise à jour | ViewUpdate | L’utilisateur affiche les détails de la mise à jour. |
| Demande d’approbation consultée | ViewedApprovalRequest | L’utilisateur affiche les détails de la demande d’approbation à partir du carte adaptatif ou au sein de l’application. |
| Approbation consultée avec un champ supplémentaire | ViewedApprovalWithAdditionalField | L’utilisateur affiche les détails de la demande d’approbation qui contient au moins un champ de texte modifiable. |
| Approbation consultée avec demande de groupe | ViewedApprovalWithGroupRequest | L’utilisateur affiche les détails de la demande d’approbation avec un groupe inclus. |
Remarque
1 Un enregistrement d’audit pour cet événement n’est enregistré que lorsque l’opération est effectuée en appelant un API Graph Microsoft. Si l’opération est effectuée dans le client Teams, un enregistrement d’audit n’est pas journalisé.
2 Cet événement est disponible uniquement dans Audit (Premium). Cela signifie que les utilisateurs doivent se voir attribuer la licence appropriée avant que ces événements soient enregistrés dans le journal d’audit. Pour plus d’informations sur les activités disponibles uniquement dans Audit (Premium), consultez Audit (Premium) dans Microsoft Purview. Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.
3 Cet événement est en préversion publique.
4Cet événement est généré pour la conversation uniquement s’il existe des invités, des utilisateurs fédérés et/ou anonymes.
5 Cet événement n’est actuellement pas disponible dans les organisations Government Community Cloud (GCC), Government Community Cloud High (GCC-High) et Department of Defense (DoD).
6 Cet événement est inclus dans tous les locataires participants pour les conversations fédérées.
7 Cet événement contient des informations de domaine de participation pour les conversations fédérées 1:1.
8 Cet événement est inclus dans toutes les conversations de conversation entre des utilisateurs Teams externes gérés par un organization et des utilisateurs Teams externes non gérés par un organization.
9 Cet événement n’est actuellement pas disponible dans government Community Cloud (GCC), mais est disponible dans les organisations Government Community Cloud High (GCC-High) et Department of Defense (DoD).
Activités Santé Microsoft Teams
Si votre organization utilise l’application Patients dans Microsoft Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’application Patients. Si votre environnement est configuré pour prendre en charge l’application Patients, un groupe d’activités supplémentaire pour ces activités est disponible dans la liste du sélecteur d’activités .
Pour obtenir une description des activités de l’application Patients, voir les journaux d’audit pour l’application Patients.
Activités Shifts dans Microsoft Teams
Le tableau suivant répertorie l’application Shift dans les activités Microsoft Teams enregistrées dans le journal d’audit Microsoft 365. Si votre organization utilise l’application Shifts dans Microsoft Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’application Shifts. Si votre environnement est configuré pour prendre en charge les applications Shifts, la liste du sélecteur d’activités inclut un groupe d’activités supplémentaire pour ces activités.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Message de décalage accepté | OffShiftDialogAccepted | Un utilisateur a reconnu le message d’arrêt de travail pour accéder à Teams après les heures de travail. |
| Ajout du décalage ouvert | OpenShiftAdded | Un utilisateur a ajouté un shift ouvert à un groupe de planification. |
| Ajout d’un groupe de planification | ScheduleGroupAdded | Un utilisateur a ajouté un nouveau groupe de planification à la planification. |
| Ajout d’un décalage | MajAdded | Un utilisateur a ajouté un shift. |
| Ajout d’une demande de shift | RequestAdded | Un utilisateur a ajouté une demande de shift. |
| Ajout de l’entrée Time clock | TimeClockEntryAdded | Un utilisateur a ajouté une nouvelle entrée d’horloge manuelle sur la feuille de temps. |
| Ajout d’un congé | TimeOffAdded | Un utilisateur a ajouté un congé selon la planification. |
| Intégration de la main-d’œuvre ajoutée | WorkforceIntegrationAdded | L’application Shifts est intégrée à un système tiers. |
| Demande de shift annulée | RequestCancelled | Un utilisateur a annulé une demande de shift. |
| Modification du paramètre de planification | ScheduleSettingChanged | Un utilisateur a modifié un paramètre dans les paramètres Shifts. |
| Horloge dans à l’aide de Time clock | ClockedIn | Un utilisateur a fait l’objet d’une horloge à l’aide de l’horloge. |
| Horloge à l’aide de Time clock | ClockedOut | Un utilisateur a expiré à l’aide de Time clock. |
| Décalage ouvert supprimé | OpenShiftDeleted | Un utilisateur a supprimé une équipe ouverte d’un groupe de planification. |
| Groupe de planification supprimé | ScheduleGroupDeleted | Un utilisateur a supprimé un groupe de planification de la planification de la planification. |
| Décalage supprimé | MajDeleted | Un utilisateur a supprimé un shift. |
| Entrée d’horloge de l’heure supprimée | TimeClockEntryDeleted | Un utilisateur a supprimé une entrée d’horloge dans la feuille de temps. |
| Congé supprimé | TimeOffDeleted | Un utilisateur a supprimé un congé. |
| Maj ouvert modifié | OpenShiftEdited | Un utilisateur a modifié une équipe ouverte dans un groupe de planification. |
| Groupe de planification modifié | ScheduleGroupEdited | Un utilisateur a modifié un groupe de planification. |
| Maj modifié | ShiftEdited | Un utilisateur a modifié une équipe. |
| Entrée d’horloge de temps modifiée | TimeClockEntryEdited | Un utilisateur a modifié une entrée d’horloge dans la feuille de temps. |
| Temps de congé modifié | TimeOffEdited | Un utilisateur a modifié le temps de congé. |
| Arrêt terminé à l’aide de l’horloge chronologique | BreakEnded | Un utilisateur a mis fin à une pause pendant une session d’horloge active. |
| Réponse à la demande de shift | RequestRespondedTo | Un utilisateur a répondu à une demande de shift. |
| Planification partagée | ScheduleShared | Un utilisateur a partagé une planification d’équipe pour une plage de dates. |
| Arrêt démarré à l’aide de l’horloge chronologique | BreakStarted | Un utilisateur a commencé une pause pendant une session d’horloge active. |
| Planification retirée | ScheduleWithdrawn | Un utilisateur a retiré une planification publiée. |
Activités Mises à jour Microsoft Teams
Le tableau suivant répertorie les activités de l’application Mises à jour dans Microsoft Teams enregistrées dans le journal d’audit Microsoft 365. Si votre organization utilise l’application Mises à jour dans Microsoft Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’application Mises à jour. Si votre environnement est configuré pour prendre en charge Mises à jour applications, la liste du sélecteur d’activités inclut un groupe d’activités supplémentaire pour ces activités.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Créer une demande de mise à jour | CreateUpdateRequest | Un utilisateur a créé une demande de mise à jour. |
| Modifier une demande de mise à jour | EditUpdateRequest | Un utilisateur ouvre le flux de travail de modification de la demande et sélectionne Enregistrer pour confirmer et enregistrer les modifications, ou active ou désactive directement la demande de mise à jour. |
| Envoyer une mise à jour | SubmitUpdate | Un utilisateur a envoyé une mise à jour. |
| Afficher les détails d’une mise à jour | ViewUpdate | Un utilisateur affiche les détails de la mise à jour. |
Activités Microsoft To Do
Le tableau suivant répertorie les activités dans Microsoft To Do que le journal d’audit Microsoft 365 enregistre. Pour plus d’informations sur Microsoft To Do, consultez Prise en charge de Microsoft To Do.
Remarque
Pour auditer des événements pour les activités Microsoft To Do, vous avez besoin d’une licence Project (plan 1) payante (ou supérieure) en plus de la licence Microsoft 365 appropriée qui inclut les droits d’audit (Standard).
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Lien de partage accepté dans le dossier | AcceptedSharingLinkOnFolder | Lien de partage accepté pour un dossier. |
| Pièce jointe créée | Pièce jointecréée | Une pièce jointe a été créée pour une tâche. |
| Pièce jointe supprimée | AttachmentDeleted | Une pièce jointe a été supprimée. |
| Pièce jointe mise à jour | AttachmentUpdated | Une pièce jointe a été mise à jour. |
| Lien de partage de dossiers partagé | FolderSharingLinkShared | Création d’un lien de partage pour un dossier. |
| Entité liée créée | LinkedEntityCreated | Une entité liée de tâche a été créée. |
| Entité liée supprimée | LinkedEntityDeleted | Une entité liée a été supprimée. |
| Entité liée mise à jour | LinkedEntityUpdated | Une entité liée a été mise à jour. |
| Tâche subordonnée créée | SubTaskCreated | Une tâche subordonnée a été créée. |
| Tâches subordonnées supprimées | SubTaskDeleted | Une tâche subordonnée a été supprimée. |
| Tâche subordonnée mise à jour | SubTaskUpdated | Une tâche subordonnée a été mise à jour. |
| Tâche créée | TaskCreated | Une tâche a été créée. |
| Tâche supprimée | TaskDeleted | Une tâche a été supprimée. |
| Lecture de la tâche | TaskRead | Une tâche a été lue. |
| Tâche mise à jour | TaskUpdated | Une tâche a été mise à jour. |
| TaskList créé | TaskListCreated | Une liste de tâches a été créée. |
| TaskList lue | TaskListRead | Une liste de tâches a été lue. |
| TaskList mis à jour | TaskListUpdated | Une liste de tâches a été mise à jour. |
| Utilisateur invité | Utilisateur invité | Utilisateur invité dans un dossier. |
activités Microsoft Viva Insights
Viva Insights fournit des insights sur la façon dont les groupes collaborent dans votre organization. Le tableau suivant répertorie les activités enregistrées dans le journal d’audit Microsoft 365 auxquelles les utilisateurs ont attribué les rôles Administrateur ou Analyste dans Viva Insights. Les utilisateurs dotés du rôle d’analyste ont un accès total à toutes les fonctionnalités du service et utilisent le produit pour effectuer l’analyse. Les utilisateurs auxquels le rôle Administrateur est attribué peuvent configurer les paramètres de confidentialité et les paramètres système par défaut, et peuvent préparer, charger et vérifier les données organisationnelles dans Viva Insights. Pour plus d’informations, consultez Présentation de Microsoft Viva Insights.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Lien OData consulté | AccessedOdataLink | Les analystes ont accédé au lien OData pour une requête. |
| Ajout de l’accès délégué | AddDelegates | Un utilisateur a ajouté un accès délégué pour organization insights ou le tableau de bord Copilot. |
| Requête annulée | CanceledQuery | Un analyste a annulé une requête en cours d’exécution. |
| Exclusion de réunion créée | MeetingExclusionCreated | Un analyste a créé une règle d’exclusion de réunion. |
| Résultat supprimé | DeletedResult | Un analyste a supprimé un résultat de requête. |
| Fichier téléchargé | DownloadedReport | Un analyste a téléchargé un résultat de requête. |
| Requête exécutée | ExecutedQuery | Un analyste a exécuté une requête. |
| Paramètres CXO modifiés | ModifiedCXOSettings | Cet événement enregistre l’affectation ou la suppression d’utilisateurs/groupes pour accéder au tableau de bord Microsoft 365 Copilot. |
| Liste d’exclusions modifiée à l’aide du groupe Entra | ModifiedExclusionListUsingEntraGroup | Cet événement enregistre les modifications apportées à la liste d’exclusions à l’aide du groupe Entra dans le tableau de bord Copilot. |
| Taille minimale du groupe modifiée | ModifiedMinimumGroupSize | Cet événement enregistre les modifications apportées à la taille de groupe minimale de l’organization pour générer des insights dans le tableau de bord Copilot et l’analyse avancée Viva Insights. |
| Suppression de l’accès délégué | RemoveDelegates | Un utilisateur a supprimé l’accès délégué pour organization insights ou le tableau de bord Copilot. |
| Paramètres d’accès aux données mis à jour | UpdatedDataAccessSetting | Un administrateur a mis à jour les paramètres d’accès aux données. |
| Données d’organisation téléchargées | UploadedOrgData | Fichier de données d’organisation téléchargé par l’administrateur. |
| Utilisateur connecté* | Utilisateur connecté | Un utilisateur connecté à son compte d'utilisateur Microsoft 365. |
| Exploration de la consultation | ViewedExplore | Un analyste a consulté les visualisations dans un ou plusieurs onglets de page exploration. |
Remarque
*Un événement d’activité de connexion Microsoft Entra est créé lorsqu’un utilisateur se connecte. Cette activité est journalisée même si vous n’activez pas Viva Insights dans votre organization. Pour plus d’informations sur les activités de connexion des utilisateurs, consultez Journaux de connexion dans Microsoft Entra ID.
Activités d’insights personnels
Le tableau suivant répertorie les activités des insights personnels enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les insights personnels, consultez Administration guide d’informations personnelles.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Mise à jour des paramètres de l'organisation MyAnalytics | UpdatedOrganizationMyAnalyticsSettings | Administration met à jour les paramètres de niveau organization pour les insights personnels. |
| Mise à jour des paramètres MyAnalytics de l'utilisateur | UpdatedUserMyAnalyticsSettings | Administration met à jour les paramètres utilisateur pour les insights personnels. |
Activités de mise en quarantaine
Le tableau suivant répertorie les activités de mise en quarantaine enregistrées dans le journal d’audit Microsoft 365. Si vous souhaitez en savoir plus sur la mise en quarantaine, consultez l’article Mettre les e-mails en quarantaine.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Message de quarantaine supprimé | QuarantineDeleteMessage | Un administrateur ou un utilisateur a supprimé un e-mail qui était dangereux. |
| Demande de publication de message de mise en quarantaine refusée | QuarantineReleaseRequestDeny | Un refus administrateur pour une demande de mise en production d’un utilisateur pour un e-mail qui était dangereux. |
| Message de quarantaine exporté | QuarantineExport | Un administrateur ou un utilisateur a exporté un e-mail qui était dangereux. |
| Message de quarantaine visualisé | QuarantinePreview | Un administrateur ou un utilisateur a affiché un aperçu d’un e-mail qui était dangereux. |
| Message de mise en quarantaine de la demande de mise en production | QuarantineReleaseRequest | Un utilisateur a demandé la publication d’un e-mail qui était dangereux. |
| Message de quarantaine publié | QuarantineRelease | Un administrateur ou un utilisateur a libéré un e-mail de mise en quarantaine qui était dangereux. |
| En-tête du message de quarantaine consulté | QuarantineViewHeader | Un administrateur ou un utilisateur a consulté l’en-tête d’un message électronique qui était dangereux. |
Activités de rapport
Le tableau suivant répertorie les activités pour les rapports d’utilisation enregistrés dans le journal d’audit Microsoft 365.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Mise à jour des paramètres de confidentialité du rapport d’utilisation | UpdateUsageReportsPrivacySetting | Les paramètres de confidentialité des rapports d’utilisation ont été mis à jour par l’administrateur. |
Stratégie de rétention et activités d’étiquette de rétention
Le tableau suivant répertorie les activités de configuration enregistrées dans le journal d’audit Microsoft 365 pour les stratégies de rétention et les étiquettes de rétention lorsque vous les créez, les reconfigurez ou les supprimez.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Appartenance à l’étendue adaptative modifiée | ApplicableAdaptiveScopeChange | Des utilisateurs, des sites ou des groupes ont été ajoutés ou supprimés de l’étendue adaptative. Ces modifications résultent de l’exécution de la requête de l’étendue. Étant donné que les modifications sont initiées par le système, l’utilisateur signalé s’affiche en tant que GUID plutôt qu’en tant que compte d’utilisateur. |
| Paramètres configurés pour une stratégie de rétention | NewRetentionComplianceRule | L’administrateur a configuré les paramètres de rétention pour une nouvelle stratégie de rétention. Les paramètres de rétention incluent la durée de conservation des éléments et ce qu’il advient des éléments à l’expiration de la période de rétention (comme la suppression d’éléments, la conservation des éléments ou leur conservation puis leur suppression). Cette activité correspond également à l’exécution du cmdlet New-RetentionComplianceRule. |
| Étendue adaptative créée | NewAdaptiveScope | L’administrateur a créé une étendue adaptative. |
| Étiquette de rétention créée | NewComplianceTag | Un administrateur a créé une étiquette de rétention. |
| Stratégie de rétention créée | NewRetentionCompliancePolicy | Un administrateur a créé une stratégie de rétention. |
| Étendue adaptative supprimée | RemoveAdaptiveScope | L’administrateur a supprimé une étendue adaptative. |
| Étiquette de rétention supprimée | RemoveComplianceTag | Un administrateur a supprimé une étiquette de rétention. |
| Stratégie de rétention supprimée | RemoveRetentionCompliancePolicy |
Un administrateur a supprimé une stratégie de rétention. |
| Paramètres supprimés d’une stratégie de rétention | RemoveRetentionComplianceRule |
Un administrateur a supprimé les paramètres de configuration d’une stratégie de rétention. Cette activité est probablement enregistrée lorsqu’un administrateur supprime une stratégie de rétention ou exécute le cmdlet Remove-RetentionComplianceRule. |
| Option d’enregistrement réglementaire activée pour les étiquettes de rétention |
SetRestrictiveRetentionUI | Un administrateur a exécuté le cmdlet RegulatoryComplianceUI afin qu’un administrateur puisse ensuite sélectionner l’option de configuration de l’interface utilisateur pour une étiquette de rétention et identifier le contenu en tant qu’enregistrement réglementaire. |
| Étiquette de nettoyage de priorité appliquée au fichier | PriorityCleanupTagApplied | Une étiquette de rétention pour le nettoyage de priorité est appliquée à un élément sur OneDrive ou SharePoint (inclut le remplacement des étiquettes) |
| Élément d’e-mail conservé de manière proactive | ExchangeDataProactivelyPreserved | La protection adaptative a appliqué automatiquement une étiquette de rétention pour conserver un élément dans Exchange. |
| Fichier conservé de manière proactive | SharePointDataProactivelyPreserved | La protection adaptative a appliqué automatiquement une étiquette de rétention pour conserver un élément dans SharePoint ou OneDrive. |
| Étendue adaptative mise à jour | SetAdaptiveScope | L’administrateur a modifié la description ou la requête pour une étendue adaptative existante. |
| Étiquette de rétention mise à jour | SetComplianceTag | Un administrateur a mis à jour une étiquette de rétention existante. |
| Stratégie de rétention mise à jour | SetRetentionCompliancePolicy | Un administrateur a mis à jour une stratégie de rétention existante. Les mises à jour qui déclenchent cet événement incluent l’ajout ou l’exclusion d’emplacements de contenu auxquels la stratégie de rétention est appliquée. |
| Paramètres mis à jour pour une stratégie de rétention | SetRetentionComplianceRule | L’administrateur a modifié les paramètres de rétention d’une stratégie de rétention existante. Les paramètres de rétention incluent la durée de conservation des éléments et ce qu’il advient des éléments à l’expiration de la période de rétention (comme la suppression d’éléments, la conservation des éléments ou leur conservation puis leur suppression). Cette activité correspond également à l’exécution du cmdlet Set-RetentionComplianceRule. |
Activités d’administration des rôles
Le tableau suivant répertorie Microsoft Entra activités d’administration des rôles enregistrées dans le journal d’audit Microsoft 365 lorsqu’un administrateur gère les rôles d’administrateur dans le Centre d’administration Microsoft 365 ou dans le portail de gestion Azure.
Remarque
Les noms des opérations répertoriés dans la colonne Opération du tableau suivant contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Membre ajouté au rôle | Ajouter un membre à un rôle. | Un utilisateur a été ajouté à un rôle d’administrateur dans Microsoft 365. |
| Utilisateur supprimé d’un rôle d’annuaire | Supprimer un membre d’un rôle. | Un utilisateur a été supprimé d’un rôle d’administrateur dans Microsoft 365. |
| Définition des informations de contact d’une entreprise | Définir des informations de contact professionnel. | Les préférences de contact au niveau de l’entreprise ont été mises à jour pour votre organisation. Cela inclut les adresses de messagerie pour les messages liés à un abonnement envoyés par Microsoft 365, ainsi que les notifications techniques relatives aux services. |
Activités relatives aux types d’informations sensibles
Le tableau suivant répertorie les événements d’audit pour les activités enregistrées dans le journal d’audit Microsoft 365 impliquant la création et la mise à jour de types d’informations sensibles.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Création d’un nouveau type d’informations sensibles | CreateRulePackage / EditRulePackage* | Un nouveau type d’informations sensibles a été créé. Ces informations incluent tous les SIT créés en copiant un sit out of the box. Remarque : cette activité apparaît sous les activités d’audit « Package de règles créé » ou « Package de règles modifiées ». |
| Suppression d’un type d’informations sensibles | EditRulePackage / RemoveRulePackage | Un type d’informations sensibles existant a été supprimé. Cette activité apparaît sous l’activité d’audit « Package de règle modifié » ou « Package de règles supprimé ». |
| Modification d’un type d’informations sensibles | EditRulePackage | Un type d’informations sensibles existant a été modifié. Ces informations peuvent inclure des opérations telles que l’ajout ou la suppression d’un modèle et la modification de l’expression régulière ou mot clé associées au type d’informations sensibles. Cette activité apparaît sous l’activité d’audit « Package de règle modifié ». |
Activités des étiquettes de confidentialité
Le tableau suivant répertorie les événements enregistrés dans le journal d’audit Microsoft 365 qui résultent de l’utilisation d’étiquettes de confidentialité avec des conteneurs et des éléments gérés par Microsoft Purview. Les conteneurs incluent les sites SharePoint, les sites Teams et les espaces de travail Loop. Les éléments incluent des documents, des e-mails, des événements de calendrier, des composants et des pages Loop et des pages Copilot. Pour les stratégies d’étiquetage automatique, les éléments incluent également des fichiers et des ressources de données dans Mappage de données Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Étiquette de confidentialité appliquée au fichier | FileSensitivityLabelApplied SensitivityLabelApplied |
Une étiquette de confidentialité a été appliquée à un élément à l’aide des applications Microsoft 365, Office sur le Web, du volet d’informations d’une bibliothèque de documents SharePoint ou de l’onglet Fichiers dans Teams, ou d’une stratégie d’étiquetage automatique. Les opérations de cette activité sont différentes selon la façon dont l’étiquette a été appliquée : - Office sur le Web, le volet Détails dans une bibliothèque de documents SharePoint ou l’onglet Fichiers dans Teams, ou une stratégie d’étiquetage automatique (FileSensitivityLabelApplied) - Applications Microsoft 365 (SensitivityLabelApplied) |
| Étiquette de confidentialité appliquée au site | SiteSensitivityLabelApplied | Une étiquette de confidentialité a été appliquée à un site SharePoint, à un site Teams qui n’est pas connecté à un groupe ou à un espace de travail Loop. |
| Étiquette de confidentialité modifiée appliquée au fichier | FileSensitivityLabelChanged SensitivityLabelUpdated |
Une étiquette de confidentialité différente a été appliquée à un élément. Les opérations de cette activité sont différentes en fonction de la façon dont l’étiquette a été modifiée : - Office sur le Web, le volet Détails dans une bibliothèque de documents SharePoint ou l’onglet Fichiers dans Teams, ou une stratégie d’étiquetage automatique (FileSensitivityLabelChanged) Microsoft 365 Apps (SensitivityLabelUpdated) |
| Étiquette de confidentialité modifiée sur un site | SiteSensitivityLabelChanged | Une étiquette de confidentialité différente a été appliquée à un site SharePoint, à un site Teams qui n’est pas connecté à un groupe ou à un espace de travail Loop. |
| Échec de l’application de l’étiquette de confidentialité du fichier | FileSensitivityLabelAppliedFailed | Impossible d’appliquer une étiquette de confidentialité à un élément à l’aide de Office sur le Web, du volet d’informations d’une bibliothèque de documents SharePoint ou de l’onglet Fichiers dans Teams, ou d’une stratégie d’étiquetage automatique. |
| Échec de la modification de l’étiquette de confidentialité du fichier | FileSensitivityLabelChangedFailed | Impossible d’appliquer une étiquette de confidentialité différente à un élément à l’aide de Office sur le Web, du volet d’informations d’une bibliothèque de documents SharePoint ou de l’onglet Fichiers dans Teams, ou d’une stratégie d’étiquetage automatique. |
| Échec de la suppression de l’étiquette de confidentialité du fichier | FileSensitivityLabelRemovedFailed | Impossible de supprimer une étiquette de confidentialité d’un élément à l’aide de Office sur le Web, du volet d’informations d’une bibliothèque de documents SharePoint ou de l’onglet Fichiers dans Teams, ou d’une stratégie d’étiquetage automatique. |
| Suppression de l'étiquette de confidentialité sur le document | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Une étiquette de confidentialité a été supprimée d’un élément à l’aide des applications Microsoft 365, Office sur le Web, du volet d’informations d’une bibliothèque de documents SharePoint ou de l’onglet Fichiers dans Teams, d’une stratégie d’étiquetage automatique ou de l’applet de commande Unlock-SPOSensitivityLabelEncryptedFile. Les opérations de cette activité sont différentes selon la façon dont l’étiquette a été supprimée : - Office sur le Web, volet d’informations dans une bibliothèque de documents SharePoint ou l’onglet Fichiers dans Teams, ou une stratégie d’étiquetage automatique (FileSensitivityLabelRemoved) - Applications Microsoft 365 (SensitivityLabelRemoved) |
| Suppression de l'étiquette de confidentialité sur le site | SiteSensitivityLabelRemoved | Une étiquette de confidentialité a été supprimée d’un site SharePoint, d’un site Teams qui n’est pas connecté à un groupe ou d’un espace de travail Loop. |
Le tableau suivant répertorie les descriptions des valeurs enregistrées dans le journal d’audit Microsoft 365 inclus dans la propriété FailureReason pour les activités d’audit qui enregistrent les échecs d’application, de modification ou de suppression des étiquettes de confidentialité. Ces propriétés ne sont pas disponibles pour d’autres activités d’étiquette de confidentialité :
| Propriété FailureReason | Description de la propriété |
|---|---|
| CannotOverrideCurrentLabel | Une étiquette de confidentialité n’a pas été affectée au fichier, car l’étiquette de confidentialité actuellement appliquée a une priorité plus élevée. |
| RétrogradationJustificationTextMissing | L’étiquette de confidentialité n’a pas été affectée au fichier, car le texte de justification est requis pour cette opération. |
| FileEncrypted | Une étiquette de confidentialité n’a pas été affectée au fichier, car il est chiffré. |
| FileExtensionNotSupported | Aucune étiquette de confidentialité n’a été affectée au fichier, car le type de fichier n’est pas pris en charge pour cette opération. |
| FileLockedOrCheckedOut | Aucune étiquette de confidentialité n’a été affectée au fichier, car il est verrouillé ou extrait. |
| FileNotFound | Aucune étiquette de confidentialité n’a été affectée au fichier, car elle n’est pas disponible. |
| FileNotSupported | Une étiquette de confidentialité n’a pas été affectée au fichier, car elle ne prend pas en charge cette opération. |
| FileTooLarge | Une étiquette de confidentialité n’a pas été affectée au fichier, car elle est trop volumineuse pour prendre en charge cette opération. |
| InvalidArgument | Une étiquette de confidentialité n’a pas été affectée au fichier, car certains paramètres fournis pour effectuer cette opération ne sont pas valides. |
| LabelIdNotFound | Une étiquette de confidentialité n’a pas été affectée au fichier, car l’étiquette de confidentialité fournie n’est pas disponible ou n’est pas valide. |
| LabelNotSupported | Une étiquette de confidentialité n’a pas été affectée au fichier, car l’étiquette de confidentialité fournie n’est pas prise en charge. |
| LabelOperationsDisabled | Aucune étiquette de confidentialité n’a été affectée au fichier, car l’opération d’étiquette de confidentialité est désactivée sur le fichier. |
| MinorVersionLimitExceeded | Aucune étiquette de confidentialité n’a été affectée au fichier, car la limite de version est dépassée. |
| Unauthorizedaccessexception | Aucune étiquette de confidentialité n’a été affectée au fichier, car l’utilisateur actuel n’est pas autorisé à effectuer cette opération. |
| Inconnu | Une étiquette de confidentialité n’a pas été affectée au fichier en raison d’une erreur interne. |
| ZeroByteFileError | Aucune étiquette de confidentialité n’a été affectée au fichier, car l’opération ne peut pas être effectuée sur un fichier sans octet. |
Informations d’audit supplémentaires pour les étiquettes de confidentialité :
- Lorsque vous utilisez des étiquettes de confidentialité pour Groupes Microsoft 365 et, par conséquent, des sites Teams connectés à un groupe, les étiquettes sont auditées avec la gestion des groupes dans Microsoft Entra ID. Pour plus d’informations, consultez Journaux d’audit dans Microsoft Entra ID.
- Lorsque vous utilisez des étiquettes de confidentialité pour les invitations aux réunions Teams, ainsi que les options de réunion teams et la conversation, consultez Rechercher des événements dans le journal d’audit dans Microsoft Teams.
- Lorsque vous utilisez des étiquettes de confidentialité avec Power BI, consultez Auditer le schéma des étiquettes de confidentialité dans Power BI.
- Lorsque vous utilisez des étiquettes de confidentialité avec des Microsoft Defender pour les applications cloud, consultez Gouvernance des applications connectées et informations d’étiquetage pour les actions de gouvernance des fichiers.
Activités de liste SharePoint
Le tableau suivant décrit les activités enregistrées dans le journal d’audit Microsoft 365 relatives au moment où les utilisateurs interagissent avec des listes et des éléments de liste dans SharePoint. Les enregistrements d’audit de certaines activités SharePoint indiquent que l’utilisateur app@sharepoint a effectué l’activité au nom de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Liste créée | ListCreated | Un utilisateur a créé une liste SharePoint. |
| Colonne de liste créée | ListColumnCreated | Un utilisateur a créé une colonne de liste SharePoint. Une colonne de liste est une colonne jointe à une ou plusieurs listes SharePoint. |
| Type de contenu de liste créé | ListContentTypeCreated | Un utilisateur a créé un type de contenu de liste. Un type de contenu de liste est un type de contenu attaché à une ou plusieurs listes SharePoint. |
| Élément de liste créé | ListItemCreated | Un utilisateur a créé un élément dans une liste SharePoint existante. |
| Colonne de site créée | SiteColumnCreated | Un utilisateur a créé une colonne de site SharePoint. Une colonne de site est une colonne qui n’est pas jointe à une liste. Une colonne de site est également une structure de métadonnées pouvant être utilisée par n’importe quelle liste d’un site Web donné. |
| Type de contenu de site créé | ContentType du site créé | Un utilisateur a créé un type de contenu de site. Un type de contenu de site est un type de contenu attaché au site parent. |
| Liste supprimée | ListDeleted | Un utilisateur a supprimé une liste SharePoint. |
| Colonne de liste supprimée | Colonne de liste supprimée | Un utilisateur a supprimé une colonne de liste SharePoint. |
| Type de contenu de liste supprimé | ListContentTypeDeleted | Un utilisateur a supprimé un type de contenu de liste. |
| Élément de liste supprimé | Élément de liste supprimé | Un utilisateur a supprimé un élément de liste SharePoint. |
| Colonne de site supprimée | SiteColumnDeleted | Un utilisateur a supprimé une colonne de site SharePoint. |
| Type de contenu de site supprimé | SiteContentTypeDeleted | Un utilisateur a supprimé un type de contenu de site. |
| Élément de liste recyclé | ListItemRecycled | Un utilisateur a déplacé un élément de liste SharePoint dans la corbeille. |
| Liste restaurée | ListRestored | Un utilisateur a restauré un élément de liste SharePoint depuis la corbeille. |
| Élément de liste restauré | ListItemRestored | Un utilisateur a restauré un élément de liste SharePoint depuis la corbeille. |
| Liste mise à jour | ListUpdated | Un utilisateur a mis à jour une liste SharePoint en modifiant une ou plusieurs propriétés. |
| Colonne de liste mise à jour | ListColumnUpdated | Un utilisateur a mis à jour une colonne de liste SharePoint en modifiant une ou plusieurs propriétés. |
| Type de contenu de liste mis à jour | ListContentTypeUpdated | Un utilisateur a mis à jour un type de contenu de liste en modifiant une ou plusieurs propriétés. |
| Élément de liste mis à jour | ListItemUpdated | Un utilisateur a mis à jour un élément de liste SharePoint en modifiant une ou plusieurs propriétés. |
| Affichage liste mis à jour | ListViewUpdated | Un utilisateur a mis à jour un affichage de liste SharePoint en modifiant une ou plusieurs propriétés. |
| Colonne de site mise à jour | SiteColumnUpdated | Un utilisateur a mis à jour une colonne de site SharePoint en modifiant une ou plusieurs propriétés. |
| Type de contenu de site mis à jour | SiteContentTypeUpdated | Un utilisateur a mis à jour un type de contenu de site en modifiant une ou plusieurs propriétés. |
Activités de demande d’accès et de partage
Le tableau suivant répertorie les activités de partage utilisateur et de demande d’accès dans SharePoint et OneDrive enregistrées dans le journal d’audit Microsoft 365. Pour les événements de partage, la colonne Détails sous Résultats identifie le nom de l’utilisateur ou du groupe avec lequel l’élément était partagé et si cet utilisateur ou groupe est un membre de votre organisation ou un invité. Pour plus d’informations, voir Utiliser l’audit du partage dans le journal d’audit.
Remarque
Les utilisateurs peuvent être des membres ou des invités en fonction de la propriété UserType de l’objet utilisateur. Un membre est généralement un employé, tandis qu’un invité est généralement un collaborateur externe à votre organisation. Lorsqu’un utilisateur accepte une invitation de partage (et ne fait pas déjà partie de votre organisation), un compte invité est créé pour lui dans l’annuaire de votre organisation. Une fois que l’utilisateur invité dispose d’un compte dans votre annuaire, les ressources peuvent être partagées directement avec lui (sans nécessiter d’invitation).
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Demande d’accès acceptée | AccessRequestAccepted | Une demande d’accès à un site, un dossier ou un document a été acceptée et l’utilisateur demandeur a obtenu l’accès. |
| Invitation de partage acceptée | SharingInvitationAccepted | L’utilisateur (membre ou invité) a accepté une invitation de partage et s’est vu octroyer l’accès à une ressource. Cet événement inclut des informations sur l’utilisateur invité et l’adresse de messagerie utilisée pour accepter l’invitation (ils peuvent être différents). Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource). |
| Ajout d’un niveau d’autorisation à la collection de sites | PermissionLevelAdded | Un niveau d’autorisation a été ajouté à une collection de sites. |
| Invitation de partage bloquée | SharingInvitationBlocked | Une invitation de partage envoyée par un utilisateur de votre organisation est bloquée par une stratégie de partage externe qui autorise ou refuse le partage externe en fonction du domaine de l’utilisateur cible. Dans ce cas, l’invitation de partage a été bloquée car : Le domaine de l’utilisateur cible n’est pas inclus dans la liste des domaines autorisés. Ou Le domaine de l’utilisateur cible est inclus dans la liste des domaines bloqués. Pour plus d’informations sur l’autorisation ou le blocage du partage externe basé sur des domaines, voir Partage de domaines restreints dans SharePoint et OneDrive. |
| Création d’un lien d’entreprise partageable | CompanyLinkCreated | L’utilisateur a créé un lien à l’échelle de l’entreprise vers une ressource. Les liens à l’échelle de l’entreprise peuvent uniquement être utilisés par les membres de votre organization. Ils ne peuvent pas être utilisés par les invités. |
| Demande d’accès créée | AccessRequestCreated | Un utilisateur demande l’accès à un site, un dossier ou un document auquel il n’est pas autorisé à accéder. |
| Création d’un lien anonyme | AnonymousLinkCreated | L’utilisateur a créé un lien anonyme vers une ressource. Toute personne disposant de ce lien peut accéder à la ressource sans être authentifiée. |
| Lien sécurisé créé | SecureLinkCreated | Un lien de partage sécurisé a été créé sur cet élément. |
| Invitation de partage créée | SharingInvitationCreated | L’utilisateur a partagé une ressource dans SharePoint ou OneDrive avec un utilisateur qui n’est pas dans l’annuaire de votre organization. |
| Lien sécurisé supprimé | SecureLinkDeleted | Un lien de partage sécurisé a été supprimé. |
| Demande d’accès refusée | AccessRequestDenied | Une demande d’accès à un site, un dossier ou un document a été refusée. |
| Suppression d’un lien d’entreprise partageable | CompanyLinkRemoved | L’utilisateur a supprimé un lien à l’échelle de l’entreprise vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource. |
| Suppression d’un lien anonyme | AnonymousLinkRemoved | L’utilisateur a supprimé un lien anonyme vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource. |
| Fichier, dossier ou site partagé | SharingSet | L’utilisateur (membre ou invité) a partagé un fichier, un dossier ou un site dans SharePoint ou OneDrive avec un utilisateur dans le répertoire de votre organization. La valeur dans la colonne Détails pour cette activité identifie le nom de l’utilisateur avec lequel la ressource a été partagée et si cet utilisateur est un membre ou un invité. Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource. Par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource. |
| Fichier, dossier ou site non partagé | SharingRevoked | Un utilisateur (membre ou invité) a cessé de partager un fichier, un dossier ou un site précédemment partagé avec un autre utilisateur. |
| Demande d’accès mise à jour | AccessRequestUpdated | Une demande d’accès à un élément a été mise à jour. |
| Mise à jour d’un lien anonyme | AnonymousLinkUpdated | L’utilisateur a mis à jour un lien anonyme vers une ressource. Le champ mise à jour est inclus dans la propriété EventData lorsque vous exportez les résultats de recherche. |
| Invitation de partage mise à jour | SharingInvitationUpdated | Une invitation de partage externe a été mise à jour. |
| Utilisation d’un lien d’entreprise partageable | CompanyLinkUsed | Un utilisateur a consulté une ressource à l’aide d’un lien à l’échelle de l’entreprise. |
| Utilisation d’un lien anonyme | AnonymousLinkUsed | Un utilisateur anonyme a consulté une ressource à l’aide d’un lien anonyme. L’identité de l’utilisateur peut être inconnue, mais vous pouvez obtenir d’autres informations telles que l’adresse IP de l’utilisateur. |
| Lien sécurisé utilisé | SecureLinkUsed | Un utilisateur a utilisé un lien sécurisé. |
| Utilisateur ajouté à un lien sécurisé. | AddedToSecureLink | Un utilisateur a été ajouté à la liste des entités pouvant utiliser un lien de partage sécurisé. |
| Utilisateur supprimé d’un lien sécurisé. | RemovedFromSecureLink | Un utilisateur a été supprimé de la liste des entités pouvant utiliser un lien de partage sécurisé. |
| Invitation de partage retirée | SharingInvitationRevoked | Un utilisateur a retiré une invitation de partage à une ressource. |
Activités d’administration des sites
Le tableau suivant répertorie les événements qui résultent des tâches d’administration de site dans SharePoint et qui sont enregistrés dans le journal d’audit Microsoft 365. Les enregistrements d’audit de certaines activités SharePoint indiquent l’app@sharepoint’utilisateur a effectué l’activité pour le compte de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout de l’emplacement de données autorisé | AllowedDataLocationAdded | Un administrateur SharePoint ou général a ajouté un emplacement de données autorisé dans un environnement multigéographique. |
| Agent utilisateur exempté ajouté | ExemptUserAgentSet | Un administrateur SharePoint ou général a ajouté un agent utilisateur à la liste des agents utilisateurs exemptés dans le centre d’administration SharePoint. |
| Ajout d’un administrateur d’emplacement géographique | GeoAdminAdded | Un administrateur SharePoint ou général a ajouté un utilisateur en tant qu’administrateur géo d’un emplacement. |
| Utilisateur autorisé à créer des groupes | AllowGroupCreationSet | Un administrateur ou propriétaire de site ajoute un niveau d’autorisation à un site qui permet à un utilisateur auquel cette autorisation est octroyée de créer un groupe pour ce site. |
| Appliquer un thème à un site web | WebThemeApplied | Un SharePoint, un administrateur général ou un propriétaire de site a appliqué un thème web. |
| Annulation du géodéplacement d’un site | SiteGeoMoveCancelled | Un administrateur SharePoint ou général a annulé un déplacement géographique de site SharePoint ou OneDrive. La fonctionnalité multigéographique permet à un organization d’étendre plusieurs zones géographiques de centres de données Microsoft, appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques dans OneDrive et SharePoint. |
| Modification d’une stratégie de partage | SharingPolicyChanged | Un administrateur SharePoint ou général a modifié une stratégie de partage SharePoint à l’aide du Centre d’administration Microsoft 365, du Centre d’administration SharePoint ou de SharePoint Management Shell. Toute modification apportée aux paramètres de la stratégie de partage dans votre organization est enregistrée. La stratégie modifiée est identifiée dans le champ ModifiedProperties des propriétés détaillées de l’enregistrement d’événement. |
| Modification de la stratégie d’accès aux appareils | DeviceAccessPolicyChanged | Un administrateur SharePoint ou général a modifié la stratégie relative aux appareils non gérés de votre organisation. Cette stratégie contrôle l’accès à SharePoint, OneDrive et Microsoft 365 sur les appareils qui ne sont pas associés à votre organisation. La configuration de cette stratégie nécessite un abonnement Enterprise Mobility + Security. Pour plus d’informations, voir Contrôler l’accès à partir des appareils non gérés. |
| Agents utilisateurs exemptés modifiés | CustomizeExemptUsers | L’administrateur SharePoint ou général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous voulez exempter de la réception d’une page web entière à indexer. Cela signifie que lorsqu’un agent utilisateur que vous avez spécifié comme exempté rencontre un formulaire InfoPath, le formulaire est retourné sous la forme d’un fichier XML, au lieu d’une page web entière. Cela permet d’accélérer l’indexation des formulaires InfoPath. |
| Modification de la stratégie d’accès au réseau | NetworkAccessPolicyChanged | Un administrateur SharePoint ou général a modifié la stratégie d’accès en fonction de l’emplacement (également appelée limite réseau approuvée) dans le Centre d’administration SharePoint ou à l’aide de SharePoint PowerShell. Ce type de stratégie détermine qui peut accéder aux ressources SharePoint et OneDrive de votre organisation en fonction des plages d’adresses IP autorisées que vous spécifiez. Pour plus d’informations, voir Contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement réseau. |
| Travail de migration terminé | MigrationJobCompleted | Un travail de migration est terminé. |
| Géodéplacement de site effectué | SiteGeoMoveCompleted | Déplacement géographique de site qu’un administrateur général de votre organization planifié. La fonctionnalité multigéographique permet à un organization d’étendre plusieurs zones géographiques de centres de données Microsoft, appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques dans OneDrive et SharePoint. |
| Créer un thème à l’échelle du locataire | TenantWideThemeCreated | Un administrateur SharePoint, un administrateur général ou un responsable de marque a créé un thème personnalisé appliqué à tous les sites SharePoint de votre organization. |
| Connexion Envoyé à créée | SendToConnectionAdded | L’administrateur SharePoint ou général crée une nouvelle connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. Une connexion Envoyer à spécifie les paramètres pour un référentiel de documents ou un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié. |
| Collection de sites créée | SiteCollectionCreated | Un administrateur SharePoint ou général crée une collection de sites dans votre organization SharePoint ou un utilisateur approvisionne son site OneDrive. |
| Supprimer le thème à l’échelle du locataire | TenantWideThemeDeleted | Un administrateur SharePoint, un administrateur général ou un responsable de marque a supprimé un thème personnalisé appliqué à tous les sites SharePoint de votre organization. |
| Site hub orphelin supprimé | HubSiteOrphanHubDeleted | Un administrateur SharePoint ou général a supprimé un site hub orphelin, qui est un site concentrateur qui n’a pas de sites associé. Un concentrateur orphelin est probablement dû à la suppression du site concentrateur d’origine. |
| Connexion Envoyé à supprimée | SendToConnectionRemoved | L’administrateur SharePoint ou général supprime une connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. |
| Site supprimé | SiteDeleted | L’administrateur de site supprime un site. |
| Aperçu du document activé | PreviewModeEnabledSet | Un administrateur de site active l’aperçu des documents pour un site. |
| Flux de travail hérité activé | LegacyWorkflowEnabledSet | Le propriétaire ou l’administrateur du site ajoute le type de contenu de tâche de flux de travail SharePoint 2013 au site. Les administrateurs généraux peuvent également activer les flux de travail pour l’ensemble du organization dans le Centre d’administration SharePoint. |
| Office à la demande activé | OfficeOnDemandSet | L’administrateur de site active Office à la demande, qui permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. Office à la demande est activé dans le centre d’administration SharePoint et nécessite un abonnement Microsoft 365 qui inclut l’installation de l’ensemble des applications Office. |
| Source de résultats activée pour les recherches de personnes | PeopleResultsScopeSet | Un administrateur de site crée l’origine des résultats pour les recherches de personnes pour un site. |
| Flux RSS activés | NewsFeedEnabledSet | L’administrateur ou le propriétaire du site active les flux RSS pour un site. Les administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint. |
| Site joint au site concentrateur | HubSiteJoined | Un propriétaire de site associe son site à un site concentrateur. |
| Quota de collection de sites modifié | SiteCollectionQuotaModified | L’administrateur de site modifie le quota d’une collection de sites. |
| Supprimer définitivement le site | SitePermanentlyDeleted | Un administrateur SharePoint ou général supprime définitivement un site de SharePoint Administration Center Sites supprimés. |
| Site hub inscrit | HubSiteRegistered | Un administrateur SharePoint ou global crée un site concentrateur. Le résultat est que le site est inscrit pour être un site concentrateur. |
| Emplacement des données autorisées supprimé | AllowedDataLocationDeleted | Un administrateur SharePoint ou général a supprimé un emplacement de données autorisé dans un environnement multigéographique. |
| Administrateur d’emplacement géographique supprimé | GeoAdminDeleted | Un administrateur SharePoint ou général a supprimé un utilisateur en tant qu’administrateur géo d’un emplacement. |
| Site renommé | SiteRenamed | Un administrateur ou propriétaire de site renomme un site. |
| Restaurer le site | SiteRestored | Un administrateur SharePoint ou général restaure un site à partir de Sites supprimés du Centre Administration SharePoint. |
| Planification du géodéplacement d’un site | SiteGeoMoveScheduled | Un administrateur SharePoint ou général a planifié un déplacement géographique de site SharePoint ou OneDrive. La fonctionnalité multigéographique permet à un organization d’étendre plusieurs zones géographiques de centres de données Microsoft, appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques dans OneDrive et SharePoint. |
| Site hôte défini | HostSiteSet | Un administrateur SharePoint ou général modifie le site désigné pour héberger des sites personnels ou OneDrive. |
| Définir un quota de stockage pour un emplacement géographique | GeoQuotaAllocated | Un administrateur SharePoint ou général a configuré le quota de stockage pour un emplacement géographique dans un environnement multigéographique. |
| Site disjoint d’un site concentrateur | HubSiteUnjoined | Un propriétaire de site dissocie son site d’un site concentrateur. |
| Site concentrateur non enregistré | HubSiteUnregistered | Un administrateur SharePoint ou global annule l’enregistrement d’un site concentrateur. Lorsqu’un site concentrateur est supprimé, il ne fonctionne plus en tant que site concentrateur. |
| Mettre à jour la configuration DisableSiteBranding | UpdateDisableSiteBranding | Un administrateur SharePoint ou général active ou désactive la personnalisation du site. |
| Mettre à jour le thème à l’échelle du locataire | TenantWideThemeUpdated | Un administrateur SharePoint, un administrateur général ou un responsable de marque a mis à jour un thème personnalisé appliqué à tous les sites SharePoint de votre organization. |
Activités d’autorisations de site
Le tableau suivant répertorie les événements liés à l’attribution d’autorisations dans SharePoint et à l’utilisation de groupes pour accorder (et révoquer) l’accès aux sites enregistrés dans le journal d’audit Microsoft 365. Les enregistrements d’audit de certaines activités SharePoint indiquent l’app@sharepoint’utilisateur a effectué l’activité pour le compte de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Administrateur de collection de site ajouté | SiteCollectionAdminAdded | L’administrateur de collection de sites ou le propriétaire ajoute une personne en tant qu’administrateur de collection de sites pour un site. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. Cette activité est également enregistrée lorsqu’un administrateur se donne accès au compte OneDrive d’un utilisateur (en modifiant le profil utilisateur dans le Centre d’administration SharePoint ou à l’aide du Centre d’administration Microsoft 365). |
| Utilisateur ou groupe ajouté au groupe SharePoint | AddedToGroup | L’utilisateur a ajouté un membre ou un invité à un groupe SharePoint. Cette action peut être intentionnelle ou le résultat d’une autre activité, telle qu’un événement de partage. |
| Fin de l’héritage des niveaux d’autorisation | PermissionLevelsInheritanceBroken | Un élément a été modifié afin qu’il n’hérite plus des niveaux d’autorisation de son parent. |
| Fin de l’héritage de partage | SharingInheritanceBroken | Un élément a été modifié afin qu’il n’hérite plus des autorisations de partage de son parent. |
| Groupe créé | GroupAdded | L’administrateur ou le propriétaire du site crée un groupe pour un site ou effectue une tâche à l’origine de la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive de l’utilisateur. Cet événement peut également être le résultat de la création d’un lien par un utilisateur avec autorisation de modification sur un fichier partagé. |
| Groupe supprimé | GroupRemoved | Un utilisateur supprime un groupe d’un site. |
| Paramètre «les membres peuvent partagés» modifié | WebMembersCanShareModified | Le paramètre les membres peuvent partager a été modifié sur un site. |
| Paramètre de demande d’accès modifié | WebRequestAccessModified | Les paramètres de demande d’accès ont été modifiés sur un site. |
| Modification du niveau d’autorisation sur une collection de sites | PermissionLevelModified | Un niveau d’autorisation a été modifié sur une collection de sites. |
| Autorisations de site modifiées | SitePermissionsModified | L’administrateur ou le propriétaire du site (ou compte système) modifie le niveau d’autorisation affecté à un groupe sur un site. Cette activité est également enregistrée si toutes les autorisations sont supprimées d’un groupe. REMARQUE : cette opération est déconseillée dans SharePoint. Pour rechercher des événements connexes, vous pouvez rechercher d’autres activités liées à une autorisation, telles que Administrateur de collection de sites ajoutée, Utilisateur ou groupe ajouté à un groupe SharePoint, Utilisateur autorisé à créer des groupes, Groupe créé et Groupe supprimé. |
| Suppression d’un niveau d’autorisation dans une collection de sites | PermissionLevelRemoved | Un niveau d’autorisation a été supprimé d’une collection de sites. |
| Administrateur de collection de site supprimé | SiteCollectionAdminRemoved | L’administrateur de collection de sites ou le propriétaire supprime une personne en tant qu’administrateur de collection de sites pour un site. Cette activité est également enregistrée lorsqu’un administrateur se supprime de la liste des administrateurs de collections de sites pour le compte OneDrive d’un utilisateur (en modifiant le profil utilisateur dans le centre d’administration SharePoint). Pour renvoyer cette activité dans les résultats de la recherche dans le journal d’audit, vous devez rechercher toutes les activités. |
| Utilisateur ou groupe supprimé au groupe SharePoint | RemovedFromGroup | L’utilisateur a supprimé un membre ou un invité d’un groupe SharePoint. Cette action peut être intentionnelle ou le résultat d’une autre activité, telle qu’un événement de non-partage. |
| Autorisations d’administrateur de site demandées | SiteAdminChangeRequest | L’utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. |
| Restauration de l’héritage de partage | SharingInheritanceReset | Une modification a été apportée afin qu’un élément hérite des autorisations de partage de son parent. |
| Groupe mis à jour | GroupUpdated | L’administrateur ou le propriétaire du site modifie les paramètres d’un groupe pour un site. Cette modification peut inclure le nom du groupe, qui peut afficher ou modifier l’appartenance au groupe et la façon dont les demandes d’appartenance sont gérées. |
Activités de synchronisation
Le tableau suivant répertorie les activités de synchronisation de fichiers enregistrées dans le journal d’audit Microsoft 365 pour SharePoint et OneDrive.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ordinateur autorisé à synchroniser des fichiers | ManagedSyncClientAllowed | L’utilisateur a établi une relation de synchronisation avec un site. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (liste des destinataires approuvés) qui peuvent accéder aux bibliothèques de documents dans votre organisation. Pour plus d’informations sur cette fonctionnalité, consultez Utiliser les applets de commande PowerShell pour activer la synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés. |
| Ordinateur non autorisé à synchroniser des fichiers | UnmanagedSyncClientBlocked | L’utilisateur tente d’établir une relation de synchronisation avec un site à partir d’un ordinateur qui n’est pas membre du domaine de votre organization ou qui est membre d’un domaine qui n’a pas été ajouté à la liste des domaines (appelé liste des destinataires approuvés) qui peut accéder aux bibliothèques de documents dans votre organization. La relation de synchronisation n’est pas autorisée et l’ordinateur de l’utilisateur ne peut pas synchroniser, télécharger ou charger des fichiers sur une bibliothèque de documents. Pour plus d’informations sur cette fonctionnalité, consultez Utiliser les applets de commande PowerShell pour activer la synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés. |
| Modifications du fichier téléchargées sur l’ordinateur | FileSyncDownloadedPartial | Cet événement est déconseillé avec l’ancienne application Synchronisation OneDrive (Groove.exe). |
| Fichiers téléchargés sur l’ordinateur | FileSyncDownloadedFull | L’utilisateur a téléchargé un fichier sur son ordinateur à partir d’une bibliothèque de documents SharePoint ou de OneDrive à l’aide de Synchronisation OneDrive’application (OneDrive.exe). |
| Modifications du fichier téléchargées dans la bibliothèque de documents | FileSyncUploadedPartial | Cet événement est déconseillé avec l’ancienne application Synchronisation OneDrive (Groove.exe). |
| Fichiers téléchargés dans la bibliothèque de documents | FileSyncUploadedFull | L’utilisateur a chargé un nouveau fichier ou des modifications apportées à un fichier dans la bibliothèque de documents SharePoint ou OneDrive à l’aide de Synchronisation OneDrive’application (OneDrive.exe). |
Activités SystemSync
Le tableau suivant répertorie les activités de SystemSync enregistrées dans le journal d’audit Microsoft 365.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Data Share créé | DataShareCreated | Lorsque l’utilisateur a créé l’exportation de données. |
| Data Share supprimé | DataShare Supprimé | Lorsque l’utilisateur a supprimé l’exportation de données. |
| Télécharger la copie des données Lake | DownloadCopyOfLakeData | Lorsque la copie de Lake Data est téléchargée. |
| Générer une copie des données Lake | GenerateCopyOfLakeData | Lorsque la copie de Lake Data est générée. |
Activités classifieur pouvant être entraînées
Le tableau suivant répertorie les activités des classifieurs pouvant être entraînés enregistrées dans le journal d’audit Microsoft 365.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Modèle de classification des données Purview créé | ModèleCréer | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un modèle pouvant être formé dans La classification des données Purview. |
| Modèle de classification des données Purview supprimé | ModelUpdate | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un nouveau modèle pouvant être formé dans la classification des données Purview. |
| Modèle de classification des données Purview publié | ModelPublish | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a publié un nouveau modèle pouvant être entraîné dans La classification des données Purview. |
| Mise à jour du modèle de classification des données Purview | ModelDelete | Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a supprimé un nouveau modèle pouvant être formé dans la classification des données Purview. |
Activités de gestion de l’impression universelle
Le tableau suivant répertorie les activités enregistrées dans le journal d’audit Microsoft 365 lorsque des actions sont effectuées sur des imprimantes, des connecteurs, des partages d’imprimantes et des paramètres au niveau du locataire à l’aide du service d’impression universelle .
| Activité | Opération | Description |
|---|---|---|
| Ajout de l’accès de groupe au partage d’imprimantes | ShareAccessControlGroupAdded | Un groupe se voit accorder l’accès à un partage d’imprimante. |
| Ajout d’un membre à l’imprimante pull-print | PullPrintPrinterMemberAdded | Un membre est ajouté à un groupe d’imprimantes pull-print pour le contrôle d’accès. |
| Ajout de l’accès utilisateur au partage d’imprimante | ShareAccessControlUserAdded | Un utilisateur se voit accorder l’accès à un partage d’imprimante. |
| Partage d’imprimante créé | ShareCreated | Un partage d’imprimantes est créé, ce qui permet à plusieurs utilisateurs d’accéder à l’imprimante. |
| Imprimante pull-print créée | PullPrintPrinterCreated | Une imprimante virtuelle pull-print est créée pour une mise en production d’impression sécurisée. |
| Partage d’imprimante supprimé | ShareDeleted | Un partage d’imprimante est supprimé, ce qui supprime l’accès partagé. |
| Imprimante pull-print supprimée | PullPrintPrinterDeleted | Une imprimante virtuelle pull-print est supprimée de l’impression universelle. |
| Désactivation de l’accès autoriser tout pour le partage d’imprimante | ShareAccessControlAllowAllDisabled | L’accès universel au partage d’imprimantes est désactivé. |
| Désactivé include-all-printers | PullPrintPrinterIncludeAllPrintersDisabled | Toutes les imprimantes sont exclues de la configuration pull-print. |
| Fichier téléchargé | ReportDownloaded | Un rapport est téléchargé à partir de l’impression universelle à des fins d’analyse ou d’audit. |
| Activation de l’accès autoriser tout pour le partage d’imprimante | ShareAccessControlAllowAllEnabled | Tous les utilisateurs sont autorisés à accéder au partage d’imprimante. |
| Imprimantes include-all-printers activées | PullPrintPrinterIncludeAllPrintersEnabled | Toutes les imprimantes sont incluses dans la configuration pull-print. |
| Paramètres de l’imprimante modifiés | PrinterSettingsModified | Les paramètres de configuration de l’imprimante sont mis à jour dans l’impression universelle. |
| Paramètres de partage d’imprimante modifiés | ShareSettingsModified | Les paramètres d’un partage d’imprimantes sont mis à jour dans l’impression universelle. |
| Modification des paramètres de l’imprimante pull-print | PullPrintPrinterSettingsModified | Les paramètres d’une imprimante pull-print sont mis à jour dans l’impression universelle. |
| Paramètres d’impression du locataire modifiés | TenantPrintSettingsModified | Les paramètres d’impression au niveau du locataire sont mis à jour dans l’impression universelle. |
| Connecteur inscrit | ConnectorRegistered | Le connecteur est inscrit auprès de l’impression universelle, ce qui permet la communication entre les imprimantes et le service cloud. |
| Imprimante inscrite | PrinterRegistered | Une imprimante est inscrite auprès de l’impression universelle, ce qui la rend disponible pour l’impression cloud. |
| Suppression de l’accès au groupe du partage d’imprimantes | ShareAccessControlGroupRemoved | L’accès d’un groupe à un partage d’imprimantes est supprimé. |
| Membre supprimé de l’imprimante pull-print | PullPrintPrinterMemberRemoved | Un membre est supprimé d’un groupe d’imprimantes pull-print. |
| Suppression de l’accès utilisateur du partage d’imprimantes | ShareAccessControlUserRemoved | L’accès d’un utilisateur à un partage d’imprimante est supprimé. |
| Imprimante permutée | PrinterSwapped | Une imprimante est remplacée ou remplacée par un autre appareil dans l’impression universelle. |
| Connecteur non inscrit | ConnectorUnregistered | Le connecteur n’est pas inscrit à l’impression universelle, ce qui supprime sa capacité à gérer les imprimantes. |
| Imprimante non inscrite | PrinterUnregistered | Une imprimante est supprimée de l’impression universelle, ce qui la rend indisponible pour l’impression cloud. |
Activités de travail d’impression d’impression universelle
Le tableau suivant répertorie les activités enregistrées dans le journal d’audit Microsoft 365 lorsque des actions sont effectuées sur des travaux d’impression à l’aide du service d’impression universelle .
| Activité** | Opération | Description |
|---|---|---|
| Tâche d’impression abandonnée | PrintJobAborted | Le travail d’impression est arrêté de manière inattendue en raison d’une erreur ou d’une interruption. |
| Tâche d’impression reconnue | PrintJobAcknowledged | La tâche d’impression est reconnue par l’imprimante, ce qui indique que l’imprimante a reçu et est prête à traiter le travail d’impression. |
| Travail d’impression annulé | PrintJobCanceled | Le travail d’impression est annulé par l’utilisateur ou le système avant l’achèvement. |
| Travail d’impression terminé | PrintJobCompleted | Le travail d’impression se termine correctement et toutes les pages sont imprimées. |
| Document de travail d’impression extrait | PrintJobDocumentFetched | Un document de travail d’impression est récupéré par l’imprimante ou le connecteur d’impression universelle. |
| Tâche d’impression envoyée | PrintJobCreated | Le travail d’impression est envoyé à la file d’attente d’impression, indiquant le début du processus d’impression. |
| Document de travail d’impression chargé | PrintJobDocumentUploaded | Un document de travail d’impression est correctement chargé dans l’impression universelle. |
Activités d’administration des utilisateurs
Le tableau suivant répertorie les activités d’administration des utilisateurs enregistrées dans le journal d’audit Microsoft 365 lorsqu’un administrateur ajoute ou modifie un compte d’utilisateur à l’aide du Centre d’administration Microsoft 365 ou du portail de gestion Azure.
Remarque
Les noms des opérations répertoriés dans la colonne Opération du tableau suivant contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.
| Activité | Opération | Description |
|---|---|---|
| Utilisateur ajouté | Ajouter un utilisateur. | Un compte d’utilisateur est créé. |
| Licence utilisateur modifiée | Modifier une licence d’utilisateur. | La licence affectée à un utilisateur a changé. Pour voir quelles licences ont été modifiées, consultez l’activité utilisateur mise à jour correspondante. |
| Mot de passe utilisateur modifié | Modifier un mot de passe d’utilisateur. | Un utilisateur modifie son mot de passe. La réinitialisation du mot de passe en libre-service doit être activée (pour tous les utilisateurs ou les utilisateurs sélectionnés) au sein de votre organisation pour permettre aux utilisateurs de réinitialiser leur mot de passe. Vous pouvez également suivre l’activité de réinitialisation de mot de passe en libre-service dans Microsoft Entra ID. Pour plus d’informations, consultez Options de création de rapports pour Microsoft Entra la gestion des mots de passe. |
| Utilisateur supprimé | Supprimez l’utilisateur. | Un compte d’utilisateur a été supprimé. |
| Réinitialiser le mot de passe de l’utilisateur | Réinitialiser un mot de passe d’utilisateur. | Un administrateur réinitialise le mot de passe d’un utilisateur. |
| Propriétés de licence définies | Définir des propriétés de licence. | L’administrateur a modifié les propriétés d’une licence attribuée à un utilisateur. |
| Propriété définie qui force l’utilisateur à changer de mot de passe. | Définir la modification forcée d’un mot de passe d’utilisateur. | Un administrateur a défini la propriété qui force un utilisateur à modifier son mot de passe lors de sa prochaine connexion à Microsoft 365. |
| Utilisateur mis à jour | Mettre à jour un utilisateur. | Un administrateur modifie une ou plusieurs propriétés d’un compte d’utilisateur. Pour obtenir la liste des propriétés utilisateur qui peuvent être mises à jour, consultez la section « Mettre à jour les attributs utilisateur » dans Microsoft Entra auditer les événements de rapport. |
Activités Viva Glint
Le tableau suivant répertorie les activités utilisateur et administrateur dans Viva Glint que le journal d’audit Microsoft 365 enregistre. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier .csv lorsque vous exportez les résultats de la recherche.
Rechercher dans le journal d’audit explique comment rechercher des journaux d’audit à partir du portail Microsoft Purview. Pour accéder aux journaux d’audit, vous devez être administrateur général ou disposer d’autorisations de lecture d’audit. Utilisez le filtre Activités pour rechercher des activités spécifiques et répertorier toutes les activités Viva Glint en choisissant VivaGlint dans le filtre Type d’enregistrement . Utilisez les zones plage de dates et la liste Utilisateurs pour affiner davantage les résultats de la recherche.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout de l’Administration d’entreprise | AddCompanyAdmin | Un utilisateur a été ajouté au rôle Administration d’entreprise. |
| Ajout d’un utilisateur de support | AddSupportUser | Un utilisateur a été ajouté au rôle Utilisateur de support. |
| Rôle d’utilisateur attribué | AssignRole | Un utilisateur est affecté à un nouveau rôle. |
| Détails du client modifié | ClientDetailsChanged | Modifier l’activité dans paramètres généraux viva glint ou configuration avancée : détails. |
| Administration d’entreprise connecté | AdminLogin | Un utilisateur Administration d’entreprise s’est connecté à Viva Glint. |
| Entreprise Administration déconnectée | AdminLogout | Un utilisateur Administration d’entreprise s’est déconnecté de Viva Glint. |
| Rôle d’utilisateur créé | RoleCreated | Activité de création de rôle d’utilisateur glint. |
| Accès au support supprimé | GlintSupportAccessDeleted | Un utilisateur a été supprimé du rôle Utilisateur de support. |
| Système supprimé | GlintSystemDeleted | Le système Viva Glint a été supprimé. |
| Utilisateur supprimé | GlintUserDeleted | Activité de suppression d’utilisateur Viva Glint. |
| Accès à la configuration avancée désactivé | UserAdvConfigDisabled | Un utilisateur d’entreprise Administration a désactivé l’accès configuration avancée dans Viva Glint. |
| Activation de l’accès à la configuration avancée | UserAdvConfigEnabled | Un utilisateur Administration entreprise a activé l’accès configuration avancée dans Viva Glint. |
| Travail Data Apps exécuté | GlintDataAppsJobRun | Viva Glint Advanced Configuration Data app and Upload activity. |
| Commentaires glint 360 exportés | GlintFeedbackProgramExport | Activité d’exportation de données du programme de commentaires Viva Glint 360. |
| Listes de distribution glint exportées | GlintUserGroupExport | Activité d’exportation de liste de distribution. |
| Personnes Glint exporté | GlintUserExport | Activité d’exportation de données Personnes glint. |
| Taux de réponse du programme Glint Pulse exporté | GlintPulseProgramRespondentRateExport | Activité d’exportation du taux de réponse du programme d’impulsions glint. |
| Bibliothèque de questions glint exportée | GlintQuestionExport | Activité d’exportation de bibliothèque de questions glint. |
| Programme d’enquête sur les glintssages exportés | GlintPulseProgramExport | Activité d’exportation de contenu du programme d’enquête glint. |
| Rôle d’utilisateur Glint exporté | GlintRoleExport | Activité d’exportation de données de rôle d’utilisateur glint. |
| Données d’enquête brutes exportées | RawSurveyReponseExport | Activité d’exportation des données brutes de réponse à l’enquête. |
| Données utilisateur exportées | UserDataExport | Activité d’exportation de données des employés. |
| Commentaires glint 360 importés | GlintFeedbackProgramImport | Activité d’importation des données du programme de commentaires 360. |
| Glint SFTP importé | GlintRubiconImport | Activité d’importation SFTP des données des employés. |
| Données utilisateur glint importées | GlintUserImport | Activité d’importation des données des employés. |
| Rôle d’utilisateur Glint importé | GlintRoleImport | Activité de données d’employé de rôle d’utilisateur. |
| Suppression de l’Administration d’entreprise | RemoveCompanyAdmin | Un utilisateur a été supprimé du rôle Administration d’entreprise. |
| Enquête rouverte | SurveyReopen | Une enquête Viva Glint fermée a été rouverte. |
| Définir le contrôle DSR des données | DataDsrControlSet | Contrôles de données utilisateur pour la suppression des données d’enquête dans l’activité de mise à jour des paramètres généraux. |
| Définir l’abandon des ID d’employé | DiscardingEmployeeIdsSet | Contrôles de données utilisateur pour la réutilisation de l’ID d’employé dans l’activité de mise à jour des paramètres généraux. |
| Rôle d’utilisateur non attribué | UnassignRole | Un utilisateur est supprimé d’un rôle. |
| Affichage en tant que | ViewAs | « Afficher sous » une autre activité utilisateur des administrateurs. |
activités Viva Goals
Le tableau suivant répertorie les activités utilisateur et administrateur dans Viva Goals que le journal d’audit Microsoft 365 enregistre. Le tableau inclut le nom convivial qui s’affiche dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.
Rechercher dans le journal d’audit explique comment rechercher des journaux d’audit à partir du portail Microsoft Purview. Pour accéder aux journaux d’audit, vous devez être administrateur général ou disposer d’autorisations de lecture d’audit. Vous pouvez utiliser le filtre Activités pour rechercher des activités spécifiques. Pour répertorier toutes les activités Viva Goals, choisissez VivaGoals dans le filtre Type d’enregistrement. Vous pouvez également utiliser les zones de plage de dates et la liste Utilisateurs pour affiner davantage les résultats de la recherche.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Tableau de bord créé | Tableau de bord créé | L’utilisateur a créé un tableau de bord sur Viva Goals |
| Tableau de bord supprimé | Tableau de bord supprimé | L’utilisateur a supprimé un tableau de bord sur Viva Goals. |
| Tableau de bord mis à jour | Tableau de bord mis à jour | Un utilisateur a mis à jour un tableau de bord sur Viva Goals |
| Données exportées | Données exportées | Liste des OKR exportés par un utilisateur ou liste d’utilisateurs dans un organization sur Viva Goals. |
| Stratégie d’objectifs mise à jour | Stratégie d’objectifs mise à jour | L’administrateur général a modifié la stratégie ou les paramètres au niveau organization sur Viva Goals. Par exemple, l’administrateur général a configuré qui peut créer des organisations sur Viva Goals. |
| OKR ou projet créé | OKR ou projet créé | L’utilisateur a créé un OKR ou un projet sur Viva Goals. |
| OKR ou projet supprimé | OKR ou projet supprimé | L’utilisateur a supprimé un OKR ou un projet. |
| OKR ou Projet mis à jour | OKR ou Projet mis à jour | Un OKR/Projet a été modifié ou un case activée a été effectué par l’utilisateur ou une intégration sur Viva Goals. |
| Organisation créée | Organisation créée | Administration ou l’utilisateur a créé un organization sur Viva Goals. |
| Intégrations d’organisation mises à jour | Intégrations d’organisation mises à jour | L’utilisateur (généralement les propriétaires ou administrateurs de l’organisation) a configuré une intégration tierce ou mis à jour une intégration tierce existante pour une organization sur Viva Goals. |
| Paramètres de l’organisation mis à jour | Paramètres de l’organisation mis à jour | L’utilisateur (généralement les propriétaires ou administrateurs de l’organisation) a mis à jour organization paramètres spécifiques sur Viva Goals. |
| Ajout de l’équipe | Ajout de l’équipe | Une nouvelle équipe a été créée dans un organization sur Viva Goals. |
| Équipe supprimée | Équipe supprimée | Une équipe au sein d’une organization sur Viva Goals a été supprimée par l’utilisateur. |
| Mise à jour de l’équipe | Mise à jour de l’équipe | Une équipe au sein d’un organization sur Viva Goals a été modifiée ou mise à jour. |
| Utilisateur ajouté | Utilisateur ajouté | Un nouvel utilisateur a été ajouté à un organization sur Viva Goals. |
| Utilisateur désactivé | Utilisateur désactivé | Un utilisateur a été désactivé dans un organization. |
| Utilisateur supprimé | Utilisateur supprimé | Un utilisateur a été supprimé d’un organization sur Viva Goals. |
| Utilisateur connecté | Utilisateur connecté | L’utilisateur s’est connecté à Viva Goals. |
Viva Engage activités
Le tableau suivant répertorie les activités de l’utilisateur et de l’administrateur dans Viva Engage enregistrées dans le journal d’audit Microsoft 365. Pour retourner Viva Engage activités liées à partir du journal d’audit, sélectionnez Afficher les résultats de toutes les activités dans la liste Activités. Utilisez les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de la recherche.
Remarque
Certaines activités d’audit Viva Engage sont disponibles uniquement dans Audit (Premium). Cela signifie que les utilisateurs doivent se voir attribuer la licence appropriée avant que ces activités ne soient enregistrées dans le journal d'audit. Pour plus d’informations, consultez Audit (Premium) . Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.
Dans le tableau suivant, les activités d'audit (Premium) sont marquées d'un astérisque (*).
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Ajout d’un communicateur d’entreprise | AddUserRole | Un utilisateur est affecté en tant que communicateur d’entreprise. |
| Modification de la stratégie d’utilisation personnalisée | UsagePolicyUpdated | Un administrateur client met à jour une stratégie d’utilisation personnalisée. |
| Modification d’une stratégie de rétention des données | SoftDeleteSettingsUpdated | Un administrateur vérifié met à jour le paramètre de stratégie de rétention des données de réseau en vue d’une suppression définitive ou réversible. Seuls les administrateurs vérifiés peuvent effectuer cette opération. |
| Modification de configuration réseau | NetworkConfigurationUpdated | L’administrateur réseau ou vérifié modifie la configuration du réseau Viva Engage. Cette modification inclut la définition de l’intervalle d’exportation des données et l’activation de la conversation. |
| Modification des paramètres de profil réseau | ProcessProfileFields | Un administrateur réseau ou vérifié modifie les informations qui apparaissent sur les profils de membre des utilisateurs du réseau. |
| Modification du mode Contenu privé | SupervisorAdminToggled | L’administrateur vérifié active ou désactive le mode contenu privé . Ce mode permet à un administrateur d’afficher les publications dans des groupes privés et les messages privés entre utilisateurs individuels (ou groupes d’utilisateurs). Seuls les administrateurs vérifiés peuvent effectuer cette opération. |
| Modification de la configuration de la sécurité | NetworkSecurityConfigurationUpdated | L’administrateur vérifié met à jour la configuration de sécurité du réseau Viva Engage. Cette mise à jour inclut la définition de stratégies d’expiration de mot de passe et de restrictions sur les adresses IP. Seuls les administrateurs vérifiés peuvent effectuer cette opération. |
| Conversation fermée | CloseConversation | Le thread Viva Engage a été fermé, empêchant les utilisateurs d’y répondre. Cette action est disponible pour un administrateur, un communicateur d’entreprise ou un délégué d’utilisateur. |
| Conversation ouverte | OpenConversation | La conversation de thread Viva Engage a été ouverte, ce qui permet aux utilisateurs de répondre au thread. Cette action est disponible pour un administrateur, des communications d’entreprise ou un délégué d’utilisateur. |
| Créer un segment | SegmentCreated | Administration crée une segmentation. |
| Création de fichier | FileCreated | Un utilisateur charge un fichier. |
| Groupe créé | GroupCreation | L’utilisateur crée un groupe. |
| Message créé | MessageCreation | L’utilisateur crée un groupe. |
| Supprimer un segment | SegmentDeleted | Administration supprime une segmentation. |
| Groupe supprimé | GroupDeletion | Un groupe est supprimé de Viva Engage. |
| Message supprimé | MessageDeleted | Un utilisateur supprime un message. |
| Télécharger les rapports d’administration de segmentation | SegmentationReportDownloaded | Administration rapports sont téléchargés |
| Fichier téléchargé | FileDownloaded | Un utilisateur télécharge un fichier. |
| Contenu d’événement exporté | EventContentExported | L’organisateur de l’événement exporte les questions, les réponses, les réactions et le nombre d’appel aux événements dans un fichier CSV. Cette action est disponible pour l’organisateur de l’événement, les co-organisateurs uniquement. L’administrateur réseau peut désactiver cette fonctionnalité pour l’ensemble du réseau dans les paramètres d’administration Engage. |
| Modération des événements activée | EventModerationEnabled | L’organisateur d’événements a activé la modération pour un événement. Cette action est disponible uniquement pour les organisateurs d’événements. |
| Données exportées | DataExport | Les exportations d’administration vérifiées Viva Engage données réseau. Seuls les administrateurs vérifiés peuvent effectuer cette opération. |
| Échec de l'accès au fichier | FileAccessFailure | L'utilisateur n'a pas réussi à accéder à un fichier. |
| Échec de l’accès au groupe | GroupAccessFailure | L’utilisateur n’a pas pu accéder à un groupe. |
| Échec de l’accès au thread | ThreadAccessFailure | L’utilisateur n’a pas pu accéder à un thread de message. |
| Générer des rapports d’administration de segmentation | SegmentationReportGenerated | Administration’utilisateur déclenche une génération de rapport. |
| Réaction au message | MarkedMessageChanged | L’utilisateur a réagi à un message. |
| Supprimer une rubrique organisée* | RemoveCuratedTopic | L’utilisateur supprime une rubrique organisée. |
| Suppression de Communication d’entreprise | RemoveUserRole | Un utilisateur est supprimé du rôle Communicateur d’entreprise. |
| Partage de fichier | FileShared | Un utilisateur partage un fichier avec un autre utilisateur. |
| Suspension d’un utilisateur du réseau | NetworkUserSuspended | L’administrateur réseau ou vérifié suspend (désactive) un utilisateur de Viva Engage. |
| Utilisateur suspendu | UserSuspension | Un compte d’utilisateur est suspendu (désactivé). |
| Acceptation de la stratégie d’utilisation du locataire | UsagePolicyAcceptance | Un utilisateur accepte une stratégie d’utilisation spécifique organization. |
| Thread désactivé | AdminThreadMuted | Un thread a été désactivé par l’alerte administrateur ou espion (utilisateur système). Une alerte espion se produit lorsqu’un thread est marqué pour un certain thème (défini par l’administrateur) et est automatiquement activé par le système. |
| Thread non activé | AdminThreadUnmuted | Administration activé un thread. |
| Mise à jour de la description d’un fichier | FileUpdateDescription | Un utilisateur modifie la description d’un fichier. |
| Mise à jour d’un nom de fichier | FileUpdateName | Un utilisateur modifie le nom d’un fichier. |
| Message mis à jour | MessageUpdated | Un utilisateur met à jour un message. |
| Attribution de rôle mise à jour pour network Administration | NetworkAdminUpdated | Un utilisateur est promu ou rétrogradé au rôle Administration réseau. |
| Attribution de rôle mise à jour pour les Administration vérifiés | NetworkVerifiedAdminUpdated | Un utilisateur est promu ou rétrogradé au rôle Administration vérifié. |
| Affichage d’un fichier | FileVisited | Un utilisateur affiche un fichier. |
| Thread consulté | ThreadViewed | L’utilisateur affiche un thread de message. |
Activités Viva Pulse
Le tableau suivant répertorie les activités utilisateur et administrateur dans Viva Pulse enregistrées dans le journal d’audit Microsoft 365. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.
Rechercher dans le journal d’audit explique comment rechercher des journaux d’audit à partir du portail Microsoft Purview. Pour accéder aux journaux d’audit, vous devez être administrateur général ou disposer d’autorisations de lecture d’audit. Vous pouvez utiliser le filtre Activités pour rechercher des activités spécifiques. Pour répertorier toutes les activités Viva Pulse, choisissez VivaPulse dans le filtre Type d’enregistrement . Vous pouvez également utiliser les zones de plage de dates et la liste Utilisateurs pour affiner davantage les résultats de la recherche.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Administration supprimé les données d’un utilisateur | PulseDeleteUserData | Administration supprimé les données d’un utilisateur. |
| Administration les paramètres du locataire mis à jour | PulseTenantSettingsUpdate | Administration mis à jour un paramètre de organization pour Viva Pulse. |
| Conversation confidentielle démarrée | PulseConfidentialConversationStarted | L’auteur a démarré une conversation confidentielle. |
| Message de conversation supprimé | PulseConfidentialConversationMessageDeleted | L’utilisateur a supprimé un message de conversation. |
| Réponse de conversation ajoutée | PulseConfidentialConversationResponded | L’auteur ou le destinataire a répondu à une conversation. |
| L’utilisateur a annulé une enquête Pulse | PulseCancel | L’utilisateur a annulé une enquête Pulse. |
| L’utilisateur a créé un brouillon Pulse | PulseCreateDraft | L’utilisateur a créé un brouillon Pulse. |
| L’utilisateur a créé une enquête Pulse | PulseCreate | Une nouvelle demande de commentaires Viva Pulse est créée. |
| L’utilisateur a supprimé un brouillon Pulse | PulseDeleteDraft | L’utilisateur a supprimé un brouillon Pulse. |
| L’utilisateur a supprimé une question pour la bibliothèque | PulseQuestionDeleted | L’utilisateur a supprimé une question pour la bibliothèque de questions pulse. |
| L’utilisateur a prolongé l’échéance de son enquête de pouls | PulseExtendDeadline | L’utilisateur a prolongé l’échéance de la demande de commentaires Viva Pulse existante. |
| L’utilisateur a invité des utilisateurs supplémentaires à l’enquête Pulse | PulseInvite | L’utilisateur a invité des utilisateurs supplémentaires à une demande de commentaires Viva Pulse existante. |
| L’utilisateur demande une exportation de données pulse | PulseDataExport | Administration ou l’auteur demandent une opération d’exportation d’impulsions. |
| L’utilisateur a partagé un rapport pulse | PulseShareResults | L’utilisateur a partagé les résultats des commentaires Viva Pulse avec d’autres utilisateurs. |
| Réponse envoyée par l’utilisateur à une enquête pulse | PulseSubmit | Administration ou les commentaires fournis par l’utilisateur pour une demande de commentaires Viva Pulse. |
Windows 365 activités Customer Lockbox
Le tableau suivant répertorie les activités de l’utilisateur et de l’administrateur dans Windows 365 Customer Lockbox que le journal d’audit Microsoft 365 enregistre. Pour retourner Windows 365 activités liées à Customer Lockbox à partir du journal d’audit, sélectionnez Windows365CustomerLockbox sous Types d’enregistrements. Utilisez les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de la recherche.
| Nom facile à retenir | Opération | Description |
|---|---|---|
| Agent CMD de remblayage | Opération AddDevicesToBackfill | Agent CMD de remblayage sur pc cloud. |
| Réinstaller en bloc l’agent CMD | Opération TriggerClientAgentCheckBulkAction | Réinstallez en bloc l’agent CMD à la demande. |
| Vérifier la stratégie d’exécution de PowerShell | Vérifier la stratégie d’exécution de PowerShell | Vérifiez la stratégie d’exécution de PowerShell. |
| Créer une demande LogCollection | Créer une demande LogCollection | Créer une demande de collecte de journaux sur un PC cloud. |
| Créer des éléments de travail (Planificateur) | Créer des éléments de travail (Planificateur) | Créez des éléments de travail, tels que Provisionner, Déprovisionner, Reprovisionner, etc. |
| Créer une opération d’action à distance dans ActionModeratorService | Créer une opération d’action à distance dans ActionModeratorService | Créez une action distante par tenantID, workspaceID, actionType, actionParameters. |
| Créer une demande VmExtension | Créer une demande VmExtention | Crée des demandes d’extension de machine virtuelle pour exécuter l’extension de machine virtuelle afin d’exécuter des scripts personnalisés sur l’appareil du client. |
| Exécuter AppHealthPlugin | Exécuter AppHealthPlugin | Exécutez AppHealthPlugin. |
| Installer l’agent Bureau à distance | Installer l’agent Bureau à distance | Installez l’agent Bureau à distance sur l’appareil de l’utilisateur. |
| Commandes d’exécution oce sur une machine virtuelle | Commandes d’exécution oce sur une machine virtuelle | Exécutez des commandes par tenantID, deviceID list et script. |
| Post Remote Action Operation | Post Remote Action Operation | Post Remote Action, plus l’interrogation du résultat par l’opération GetActions. |
| Réinstaller l’agent CMD | Opération AddDevicesToReinstall | Réinstallez l’agent CMD à la demande. |
| Exécuter l’extension AADJ hybride | Exécuter l’extension AADJ hybride | Exécutez l’extension AADJ hybride sur l’appareil de l’utilisateur. |
| Déclencher l’agent CMD canary case activée. | Déclencher l’agent CMD canary case activée. | Déclencher l’agent CMD Canary case activée sur un appareil spécifique. |
| Déclencher la correction de l’appareil | Déclencher la correction de l’appareil | Déclencher la correction de l’appareil. |
| Déclencher une action générique | Déclencher une action générique | Déclencher une action d’appareil pour l’utilisateur. |
| Déclencher une action générique par SaaF | Déclencher une action générique par SaaF | Déclencher une action d’appareil (Reciblage, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) pour l’utilisateur. |
| Déclencher une action générique avec des options | Déclencher une action générique avec des options | Déclencher une action d’appareil avec des paramètres d’option, plus puissants que celui d’une action générique de déclenchement. |
| Orchestrateur de déclencheur | Orchestrateur de déclencheur | Orchestrateur de déclencheur pour l’utilisateur. |
| Charger un dossier dans un objet blob | Charger un dossier dans un objet blob | Compressez et chargez le dossier de l’appareil client dans l’objet blob. |