本文中的表格描述了 Microsoft 365 稽核日誌中記錄的活動。 你可以透過搜尋 Microsoft Purview 入口網站的稽核日誌來搜尋這些活動。
Microsoft 365 組織預設會啟用稽核日誌功能。 如果您的組織未啟用稽核功能,會出現橫幅提示您開始記錄使用者與管理員的活動。 相關說明請參見 「開啟審計」。
這些表格會將相關或來自特定服務的活動集合成一個群組。 這些表格包含在 活動 下拉選單 (或 PowerShell) 中可用的友善名稱,以及在稽核紀錄的詳細資訊和匯出搜尋結果時出現在 CSV 檔案中的相應操作名稱。 關於詳細資訊的描述,請參見 審計日誌詳細屬性。
提示
請選擇本文頂端「 本文中」 清單中的連結,直接前往特定產品表。
應用程式管理活動
下表列出當管理員新增或變更註冊於 Microsoft Entra ID 的應用程式時,會記錄的應用程式管理員活動。 您必須在目錄中註冊任何依賴 Microsoft Entra ID 進行認證的應用程式。
注意事項
下表中 操作欄列出 的操作名稱包含 ( . ) 的週期。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" ") 來含括作業名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增認證至服務主體 | 新增服務主體認證。 | 憑證則在 Microsoft Entra ID 中新增到服務主體。 服務主體代表目錄中的應用程式。 |
| 已新增委派項目 | 新增委派項目。 | 在 Microsoft Entra ID 中,應用程式被建立或授予認證權限。 |
| 已新增服務主體 | 新增服務主體。 | 一個應用程式已註冊在 Microsoft Entra ID。 服務主體代表目錄中的應用程式。 |
| 已移除目錄中的服務主體 | 移除服務主體。 | 有應用程式從 Microsoft Entra ID 中刪除或取消註冊。 服務主體代表目錄中的應用程式。 |
| 已移除服務主體中的認證 | 移除服務主體認證。 | Microsoft Entra ID 中的服務主體憑證被移除。 服務主體代表目錄中的應用程式。 |
| 已移除委派項目 | 移除委派項目。 | Microsoft Entra ID 中應用程式的認證權限被移除。 |
| 設定委派項目 | 設定委派項目。 | Microsoft Entra ID 中一個應用程式的認證權限被更新。 |
簡報電子郵件活動
下表列出 Microsoft 365 審計日誌記錄的簡報電子郵件活動。 如需有關如何簡報電子郵件的詳細資訊,請參閱:
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 更新的組織隱私權設定 | UpdatedOrganizationBriefingSettings | 系統管理員會更新簡報電子郵件的組織隱私權設定。 |
| 更新的使用者隱私權設定 | UpdatedUserBriefingSettings | 系統管理員會更新簡報電子郵件的使用者隱私權設定。 |
通訊合規性活動
下表列出 Microsoft 365 稽核日誌記錄的通訊合規活動。 欲了解更多資訊,請參閱了解 Microsoft Purview 通訊合規性。
注意事項
你可以在使用 Search-UnifiedAuditLog PowerShell 指令檔時看到這些活動。 你無法在 活動 下拉選單中看到這些活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 原則相符項目 | SupervisionRuleMatch | 有使用者發送了一則符合政策條件的訊息。 |
| 原則更新 | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | 通訊合規管理員執行了政策更新。 |
| 標籤套用於訊息 | SupervisoryReviewTag | 標記會套用到郵件或郵件已解決。 |
合規經理活動
下表列出管理員在合規管理員中管理設定時,稽核日誌記錄的操作與活動。 欲了解更多資訊,請參閱 「了解合規經理」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 角色變動 | ComplianceManager角色變更 | 有位管理員更改了使用者的角色。 |
| 租戶自動化層級變更 | ComplianceManager自動化LevelChange | 一位管理員更改了組織所有行動的自動化層級。 |
| 測試來源自動化變更 | ComplianceManager自動化變更 | 有管理員更改了測試來源自動化的設定。 |
內容總管活動
下表列出 Microsoft 365 稽核日誌中記錄的內容總管活動。 你可以在 Microsoft Purview 入口網站的資料分類工具中存取內容總管。 如需詳細資訊,請參閱使用資料分類內容總管。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已存取的項目 | LabelContentExplorerAccessedItem | 系統管理員 (或身為內容總管內容檢視器角色群組成員的使用者) 可使用內容總管來檢視電子郵件訊息或 SharePoint/OneDrive 文件。 |
資料安全調查 (預覽) 活動
資料安全性調查 (預覽) 提供強大的調查工具,可能需要審計活動以確保解決方案的安全且獲准使用。 為符合這些需求,統一的稽核日誌記錄資料安全性調查 (預覽) 活動。
下表列出Microsoft 365 審計日誌所記錄的資料安全性調查 (預覽) 活動。 欲了解更多資訊,請參閱「了解Microsoft Purview 資料安全性調查 (預覽) 」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 取消的 DSI 範例檢視 | DSISampleView已取消 | 有使用者取消了樣本檢視。 |
| 取消的DSI統計檢視 | DSIS統計檢視已取消 | 有使用者取消了一項統計工作。 |
| 成立DSI調查 | 創建DSII調查 | 有使用者發起調查。 |
| 已刪除的DSI調查 | 刪除DSII被囚禁 | 有用戶刪除了一項調查。 |
| DSI AI 回饋 | DSIAIF回溯 | 一位用戶提供了 AI 回饋。 |
| DSI調查名單已檢視 | DSII被調查名單已瀏覽 | 有使用者查看了調查清單。 |
| 新增DSI搜尋 | DSIPurview搜尋已新增 | 有使用者新增搜尋功能。 |
| DSI 搜尋更新 | DSIPurview搜尋已更新 | 有用戶更新了搜尋結果。 |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | 一位使用者查看了檢查結果。 |
| 取得DSI調查 | GetDSIInvestigation | 一位用戶瀏覽了一項調查。 |
| 取得DSI搜尋 | GetSearchDSIInvestigation | 有使用者瀏覽了一次搜尋。 |
| 調查由 Defender 全面偵測回應建立 | DSIInvestigationCreatedFromXDR | 有使用者從 Defender 全面偵測回應發起調查。 |
| 調查資料由 Purview IRM 建立 | DSIInvestigationCreated FromIRM | 一位使用者從 Microsoft Purview 內部風險管理建立了一項調查。 |
| 新增的補償項目 | DSIItemAddedToMitigation | 使用者將一項項目加入調查的緩解計畫中。 |
| 已檢視的緩解計畫清單 | DSIMitigationPlanListVIewed | 有使用者查看了緩解計畫清單。 |
| 開始做分類工作 | DSII調查分類 工作已提交 | 有使用者開始了分類作業。 |
| 開始做探查工作 | DSIProbeJobSubmitted | 有使用者啟動了一個檢查任務。 |
| 開始向量化工作 | DSI 調查向量化工作已提交 | 有位使用者提到向量化工作。 |
| 已提交的DSI搜尋新增到證據設定的工作 | DSIPurviewSearchAddToEvidenceSetJobSubmitted | 使用者將搜尋資料加入調查範圍。 |
| 提交的DSI搜尋範例工作 | DSIPurviewSearchSampleJobSubmitted | 有使用者啟動了一個樣本工作。 |
| 已提交DSI搜尋統計職位 | DSIPurview搜尋統計工作已提交 | 有位使用者開始了一項統計工作。 |
| 更新的DSI調查 | 更新DSII調查 | 有用戶更新了調查報告。 |
| 最新DSI調查成員 | DSII調查成員更新 | 有用戶更新了調查的成員。 |
| 緩解計畫中物品的最新狀態 | DSIMitigationItemStatusUpdated | 使用者更新了調查緩解計畫中項目的狀態。 |
| 上傳檔案供DSI搜尋 | DSIPurview搜尋上傳檔案 | 有使用者上傳檔案進行搜尋。 |
| 向量搜尋開始 | DSIVectorSearchStarted(開始) | 有使用者進行了向量搜尋。 |
| 檢視DSI證據集的資料處理錯誤 | DSII被監控設定已更新 | 使用者更新了調查設定。 |
| 查看預設的DSI調查設定 | DSIInvestigation設定預設已檢視 | 有使用者瀏覽調查設定。 |
| 已瀏覽DSI證據集文件 | DSIEvidenceSetDocumentViewed | 一名使用者在調查中查看了一份文件。 |
| 查看DSI調查設定 | DSII被調查設定已檢視 | 有使用者瀏覽調查設定。 |
| 查看DSI範例結果 | DSISample結果已瀏覽 | 一位使用者查看了樣本結果。 |
| 查看DSI樣本狀態 | DSISample狀態已檢視 | 一位使用者查看了一個範例工作的狀態。 |
| 查看DSI統計結果 | DSIS統計結果已瀏覽 | 一位使用者瀏覽了搜尋統計數據。 |
| 查看緩解計畫項目 | DSIItemViewedFromMitigation | 有位使用者查看了調查緩解計畫中的一項項目。 |
目錄管理活動
下表列出管理員在 Microsoft 365 系統管理中心或 Azure 管理入口網站管理組織時,會記錄的 Microsoft Entra 目錄及網域相關活動。
注意事項
下表中 操作欄列出 的操作名稱包含 ( . ) 的週期。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" ") 來含括作業名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已將合作夥伴新增至目錄 | 將合作夥伴新增至公司。 | 已將合作夥伴 (委派系統管理員) 新增至您的組織。 |
| 已將網域新增至公司 | 將網域新增至公司。 | 已將網域新增至您的組織。 |
| 已從目錄中移除合作夥伴 | 移除公司的合作夥伴。 | 已從您的組織中移除合作夥伴 (委派系統管理員)。 |
| 已從公司中移除網域 | 移除公司的網域。 | 已從您的組織中移除網域。 |
| 已設定公司資訊 | 設定公司資訊。 | 已更新您的組織的公司資訊。 包含 Microsoft 365 寄出的訂閱相關電子郵件地址,以及關於 Microsoft 365 服務的技術通知。 |
| 設定網域驗證 | 設定網域驗證。 | 已變更您的組織之網域驗證設定。 |
| 已設定密碼原則 | 設定密碼原則。 | 已變更您的組織中使用者密碼的長度和字元限制。 |
| 已開啟 Azure AD 同步 | 設定 DirSyncEnabled 旗標。 | 設定可為 Azure AD 同步啟用目錄的屬性。 |
| 已更新網域 | 更新網域。 | 已更新您的組織中的網域設定。 |
| 已更新網域的同盟設定 | 設定網域上的同盟設定。 | 已變更您的組織之同盟 (外部共用) 設定。 |
| 已驗證網域 | 驗證網域。 | 確認你的組織是網域的擁有者。 |
| 已驗證電子郵件已驗證網域 | 驗證電子郵件已驗證的網域。 | 使用電子郵件驗證來驗證貴組織是否為網域的擁有者。 |
處置檢閱活動
下表列出了當項目已設定保留期結束,或項目自動被移至下一處置階段或因自動核准而永久刪除時,處置審查員所採取的行動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增檢閱者 | AddReviewer | 處置檢閱者將一或多個其他使用者新增至目前的處置檢閱階段。 |
| 已核准的處理 | ApproveDisposal | 對於手動核准:處置審查員批准該項目的處置,使其進入下一個處置階段。 如果項目是在處置檢閱的唯一或最後階段,處置核准會標示項目符合永久刪除資格。 自動核准時:在設定的自動核准時間內未手動操作,因此項目自動進入下一個處置階段。 若該項目處於唯一或最終處置審查階段,該項目自動具備永久刪除資格。 |
| 延長保留期間 | ExtendRetention | 處置檢閱者延長項目的保留期間。 |
| 重新標記的項目 | RelabelItem | 處置檢閱者會重新標記保留標籤。 |
電子文件探索活動
稽核日誌記錄您在 Microsoft Purview 入口網站中執行的電子發現活動。 當管理員、電子發現管理員 (或任何被分配的電子發現權限的使用者) 在Microsoft Purview入口網站執行以下任務時,會記錄事件:
- 建立與管理電子發現案件。
- 建立與編輯電子證據案件搜尋。
- 執行搜尋操作,例如產生統計數據、取樣,以及從搜尋中匯出。
- 建立、編輯及移除電子發現案件。
- 建立審查集並在電子發現案件中執行審查活動。
關於查詢稽核日誌、所需權限及匯出搜尋結果的更多資訊,請參閱 「搜尋稽核日誌」。
如何搜尋及查看電子發現活動
稽核日誌記錄你在 Microsoft Purview 入口網站或 PowerShell 中執行的電子發現活動。 若要搜尋電子發現活動,請參閱 稽核日誌中的搜尋電子發現活動。
電子文件探索活動
下表描述了當管理員或電子發現經理透過 Microsoft Purview 入口網站執行電子發現相關活動時,所記錄的電子發現活動。 當您在此列表中搜尋活動時,可能會返回經典電子發現使用者體驗中的某些活動。
注意事項
我們在新電子發現體驗中為所有活動實作了客戶 IP 欄位。 為了區分新體驗中執行的活動與經典體驗中的活動,請檢查審計項目中是否有客戶端智慧財產欄位。 (下圖中,第一個條目是 eDiscovery 案件在 New Modern UX 中刪除,另外兩個沒有 IP 位址的條目則是經典的 UX) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增最愛 | 最愛組 | 使用者將機殼設為收藏。 |
| 新增 Purview 搜尋 | PurviewSearch已新增 | 新一輪搜尋被建立起來。 此稽核活動包含案件名稱、案件編號及搜尋名稱。 |
| 新增複習組 | 已加入評論集 | 使用者已建立檢閱集。 |
| 新增了檢視集的已儲存搜尋 | 已加入 ReviewSetSavedSearch(已加入) | 使用者在審查集中建立已儲存的篩選器。 稽核活動包含審查集名稱、已儲存的篩選器名稱及所使用的查詢。 |
| 新增標籤範本 | 標籤模板已新增 | 使用者在 eDiscovery 設定中建立的標籤範本。 |
| 取消的取樣檢視 | 範例檢視取消 | 使用者取消範例檢視。 稽核活動包含被取消搜尋的名稱、ID、查詢及相關設定。 |
| 取消統計檢視 | 統計資料查看取消 | 使用者取消統計檢視。 稽核活動包含被取消搜尋的名稱、ID、查詢及相關設定。 |
| 變更電子發現案件 | 案件更新 | 更新了一個電子發現案件。 |
| 電子證據發現案中保留權變更 | 暫停更新 | 保留已被修改或編輯。 此稽核活動包含保留名稱、ID,以及被修改的特定資料來源和查詢值。 |
| 已結案的電子發現案件 | 案件結束 | 一個電子發現案件已經結案。 |
| 複習組 | 評論集複製 | 使用者會觸發「新增到另一個審查集」的流程。 |
| 建立電子發現案件 | 案件新增 | 新增了一個電子發現案件。 |
| 在電子發現案件中建立了保留權 | HoldCreated | 新建了一個領地。 此稽核活動包含案件名稱、案件編號及所建立的保留名稱。 |
| 已刪除的電子發現案件 | CaseRemoved | 一個電子發現案件被刪除。 您必須先移除與案件相關的任何保留,才能刪除案件。 |
| 已刪除檔案用於 Purview 搜尋 | PurviewSearchDeleteFile | 使用者從搜尋中刪除了一個檔案。 此稽核活動包含案件名稱、案件 ID、搜尋名稱、搜尋 ID 以及使用者刪除檔案的 ID。 |
| 電子發現案件中已刪除的保留 | HoldRemoved | 與電子發現案件相關的一個保留已被刪除。 刪除預約會釋放所有保留內容的位置。 |
| 已刪除的 Purview 搜尋 | Purview搜尋已刪除 | 搜尋結果被刪除。 此活動包含已刪除的案件名稱、案件編號及搜尋名稱。 |
| 已刪除的 Purview 搜尋匯出工作 | PurviewSearchExportJobDeleted | 一個從搜尋中匯出的檔案被刪除了。 此活動包括已刪除的匯出名稱、包含匯出的案件資訊、使用者及刪除時間戳記。 |
| 移除收藏 | 最愛已移除 | 使用者從收藏中移除了一個案件。 |
| 已移除已儲存的檢視集搜尋 | ReviewSetSavedSearch已移除 | 使用者刪除了檢視集中已儲存的篩選器。 |
| 移除標籤模板 | 標籤模板已移除 | 使用者在 eDiscovery 設定中移除了一個標籤範本。 稽核活動包含被移除標籤範本的名稱與物件 ID。 |
| 重新開啟電子證據開示案件 | 案件重新開啟 | 一個電子發現案件被重新開啟。 |
| 重新嘗試保持的分配同步 | 保持重試分配同步 | 使用者在等待中觸發了「重試政策」。 |
| 所有審查集的檢索動作 | GetActionsForAllReviewSets | 使用者查看了與案件中所有審查集相關的行動清單 |
| 取回所有暫停動作 | GetActionsForAllHolds | 使用者查看了案件中所有保留相關的行動清單。 稽核活動包含案件名稱、識別碼、保留名稱、識別碼及行動清單名稱。 |
| 已檢索所有搜尋動作 | GetActionsForSearch | 使用者查看與搜尋相關) 的動作清單,例如匯出等 (。 稽核活動包含案件名稱、識別碼、搜尋名稱、識別碼及行動清單名稱。 |
| 已取得所有匯出的動作 | GetActionsForAllExports | 使用者查看了案件中的匯出清單。 稽核活動包含案件名稱、ID、案件設定,以及已瀏覽的匯出名稱清單。 |
| 已檢索所有案件的行動 | GetActionsForCase | 使用者查看了與電子發現案件相關的 (行動清單,例如匯出) 。 |
| 已取得所有暫停動作 | GetActionsForHold | 使用者查看了與暫停相關行動的清單。 |
| 檢索所有動作以供檢視集 | GetActionsForReviewSet | 使用者查看了一份與審查集相關的行動 (清單,例如匯出) 。 稽核活動包含案件名稱、識別碼、審查集名稱、識別碼,以及行動清單名稱。 |
| 檢索單動作案例 | GetSingleActionForCase | 使用者僅看到與電子發現案件相關的單一行動。 例如,使用者在流程管理器中查看了輸出流程。 審核活動包含案件名稱、ID,以及與流程相關的設定與ID。 |
| 取回單動式保持鍵 | GetSingleActionForHold | 使用者看到與 hold 相關的單一動作。 |
| 檢索單動作,供回顧集使用 | GetSingleActionForReviewSet | 使用者只看到與審查集相關的單一動作。 |
| 檢索單動作搜尋 | GetSingleActionForSearch | 使用者只看到與搜尋相關的單一動作。 例如,使用者在搜尋的程序管理器中查看匯出流程。 審核活動包含案件名稱、ID,以及與流程相關的設定與ID。 |
| 提交了新的演算法工作 | AlgoJobSubmitted | 使用者對審查集中的文件執行分析。 |
| 提交了新的燒毀工作 | BurnJob已提交 | 使用者已將檢閱集中所有已校訂的文件轉換為 PDF 檔案。 |
| 提交的權限搜尋新增以審查設定工作 | PurviewSearchAddToReviewSetJobSubmitted | 使用者從搜尋中觸發了「新增以檢視集合」的流程。 此稽核活動包含搜尋名稱、ID,以及與搜尋相關的特定資料來源和查詢值。 同時也包含相關的新增檢視流程設定。 |
| 已提交 purview 搜尋匯出職缺 | PurviewSearchExportJobSubmitted | 使用者從搜尋中觸發了「匯出」程序。 此稽核活動包含搜尋名稱、ID,以及與搜尋相關的特定資料來源和查詢值。 同時也包含相關的出口流程設定及出口名稱。 |
| 提交的 purview 搜尋範例工作 | PurviewSearchSampleJobSubmitted | 使用者從搜尋中觸發了「產生樣本」的過程。 此稽核活動包含搜尋名稱、ID,以及與搜尋相關的特定資料來源和查詢值。 同時也包含了相關的取樣流程設定。 |
| 已提交的搜尋統計職缺 | Purview搜尋統計工作已提交 | 使用者從搜尋中觸發了「產生統計資料」的流程。 此稽核活動包含搜尋名稱、ID,以及與搜尋相關的特定資料來源和查詢值。 同時也包含相關的統計、流程設定。 |
| 已提交審查集匯出工作 | ReviewSetExportJobSubmitted | 從審查集匯出的文件。 此稽核活動包含審查集名稱、匯出文件 ID 清單及相關匯出流程設定。 |
| 以 ID 標記文件以供審查集使用 | ReviewSetDocumentsTaggedById | 使用者在審查集中對特定文件套用標籤。 審核活動包含案件名稱、審查組名稱及標註項目清單。 |
| 依查詢標籤文件以供審查集使用 | ReviewSetDocumentsTaggedByQuery | 使用者在依查詢篩選後,對審查集中的特定文件套用標籤。 審核活動包含案件名稱、審查組名稱及標註項目清單。 |
| 最新案例成員 | 案件成員更新 | 案件成員資格已更新。 作為案件成員,使用者可依是否被賦予必要權限執行各種案件相關任務。 |
| 更新的機殼設定 | 案例設定已更新 | 使用者已修改案例的設定。 案件設定包括案件資訊、高級功能存取權、案件權限,以及控制搜尋和分析行為的設定。 |
| 評論集的最新筆記 | 評論集筆記更新 | 使用者更新的評論集文件備註。 |
| 更新的 Purview 搜尋 | PurviewSearch已更新 | 搜尋內容經過修改或編輯。 此審計活動包含搜尋名稱、ID,以及被修改的特定資料來源和查詢值。 |
| 更新版評測集 | 評論集已更新 | 使用者更新了複習集,例如複習集名稱與描述。 |
| 更新的複習集註解 | 檢視集註解已更新 | 使用者已標註檢閱集中的文件。 此稽核活動包含審查集名稱及其他資訊,如註解文件 ID。 |
| 更新的已儲存搜尋以提供複習集 | 檢視集儲存搜尋已更新 | 使用者修改了檢視集中已儲存的篩選器。 稽核活動包含審查集名稱、已儲存的篩選器名稱及所使用的查詢。 |
| 更新標籤模板 | 標籤模板已更新 | 使用者在電子發現設定中更新了一個標籤範本。 稽核活動包含更新的標籤範本名稱與物件 ID。 |
| 更新標籤 | 標籤已更新 | 使用者更新評論,在案件中設置標籤。 |
| 標籤範本的更新標籤 | 標籤模板標籤已更新 | 使用者更新了標籤範本的標籤。 審核活動包含更新的標籤模板標籤名稱與識別碼。 |
| 更新的租戶設定 | 租戶設定已更新 | 使用者更新了 eDiscovery 的組織設定。 |
| 已上傳檔案供 Purview 搜尋 | PurviewSearchUploadFile | 使用者上傳檔案供逐個檔案搜尋。 此審核活動包含案件名稱、案件 ID、搜尋名稱、搜尋 ID 以及使用者上傳的檔案名稱。 |
| 檢視分析檢視集附件報告 | AlgoGetReviewSetAttachmentsReport | 使用者檢視的分析附件報告。 此審核活動包含案件及審查組名稱及識別碼。 |
| 檢視分析檢視集文件報告 | AlgoGetReviewSetDocumentsReport | 使用者檢視的分析文件報告。 |
| 查看分析評論 設定電子郵件報告 | AlgoGetReviewSetEmails報告 | 用戶瀏覽分析電子郵件報告。 |
| 已瀏覽分析檢視集報告 | AlgoGetReviewSetReport | 用戶檢視分析報告,包含在審查集中。 此審核活動包含案件與審查組名稱與識別碼,以及報告類型。 |
| 依檔案類型檢視分析檢視集報告 | AlgoGetReviewSetReportByFileType | 使用者依檔案類型瀏覽分析報告圖表。 |
| 按來源查看分析審查報告 | AlgoGetReviewSet報告來源 | 使用者依來源瀏覽分析文件。 此審核活動包含案件及審查組名稱及識別碼。 |
| 檢視案件元資料 | 案例元資料已檢視 | 查看了關於電子發現案件的元資料。 |
| 查看機殼設定 | 案件設定已檢視 | 使用者查看了案件的設定。 案件設定包括案件資訊、高級功能存取權、案件權限,以及控制搜尋和分析行為的設定。 |
| 檢視檢視集的資料處理錯誤 | ReviewSetDataProcessingErrorViewed | 使用者檢視檢視集中的處理錯誤。 |
| 查看預設機殼設定 | CaseSettingsDefaultViewed | 預設機殼設定已檢視。 |
| 查看電子發現案件 | 案件檢視 | 有使用者在 Microsoft Purview 入口網站瀏覽了一個電子發現案件。 此事件的審計記錄包含所檢視案件的名稱、案件設定及案件編號。 |
| 查看電子發現案件列表 | 案件列表已檢視 | 當使用者查看電子證據發現案件清單時,此活動會被記錄下來。 審計紀錄包含案件列表中所檢視案件的名稱與編號。 |
| 已瀏覽最愛清單 | 最愛清單瀏覽 | 使用者瀏覽了一份最愛案件清單。 |
| 已檢視暫停 | 已瀏覽 | 使用者看到一個案件內的保留。 此審核活動包含使用者所看到的保留名稱與識別碼。 它也包含了用戶所瀏覽的保留中特定資料來源和查詢值。 |
| 已瀏覽的保留名單 | HoldListViewed | 使用者在案件中查看了保留清單。 此稽核活動包含案件名稱、案件編號,以及使用者所瀏覽的暫停名稱和識別碼清單。 |
| 查看持有結果 | 保留結果已瀏覽 | 用戶瀏覽了暫停的結果。 審核活動包含案件名稱、案件編號、保留名稱及保留識別碼。 |
| 已檢視的保留狀態 | HoldStatus已檢視 | 用戶已查看暫停狀態。 審核活動包含案件名稱、案件編號、保留名稱及保留識別碼。 |
| 查看分析設定是否被更改 | 演算法設定已更改 | 此審核活動包含案件及審查組名稱及識別碼。 |
| 查看載重計數以備不時之需 | LoadCountInCaseViewed | 使用者查看了機殼中的負載組數量。 |
| 已檢視載入清單 | LoadListViewed | 使用者在審查集中查看負載集清單。 |
| 已瀏覽 Purview 搜尋 | Purview搜尋已瀏覽 | 使用者瀏覽了特定的搜尋。 此稽核活動包含搜尋名稱、ID,以及使用者所瀏覽的搜尋中特定資料來源和查詢值。 |
| 已瀏覽 Purview 搜尋列表 | PurviewSearchList已瀏覽 | 使用者在案件中查看搜尋清單。 此稽核活動包含案件名稱、案件 ID,以及使用者所瀏覽的搜尋名稱與 ID 清單。 |
| 檢視查詢報告以取得回顧集 | ReviewSetQueryReported已瀏覽 | 使用者瀏覽的查詢報告在評論集內。 |
| 檢視檢視集文件 | 檢視集已檢視 | 使用者在審查集內查看文件。 此稽核活動包含案件名稱、案件編號、審查集名稱、審查集編號及其他資訊,如所檢視文件的識別碼。 |
| 查看評論曲目清單 | 檢視清單已檢視 | 使用者查看了案件中的複習套裝清單。 |
| 檢視檢視集摘要 | 評論集摘要已瀏覽 | 使用者瀏覽了複習組的總覽。 |
| 已瀏覽範例結果 | 樣本結果已瀏覽 | 使用者瀏覽的搜尋範例結果檢視。 |
| 已檢視樣本狀態 | SampleStatusViewed | 使用者瀏覽搜尋範例檢視的狀態。 稽核活動包含搜尋名稱、ID、查詢及相關設定。 |
| 檢視已儲存的檢視集搜尋列表 | ReviewSetSavedSearchList已檢視 | 使用者查看了檢視集中已儲存的篩選器清單。 稽核活動包含審查集名稱及已檢視的已儲存過濾器清單名稱。 |
| 檢視集的搜尋次數 | 評論集搜尋計數已檢視 | 使用者在評論集內搜尋並查看回傳的計數。 稽核活動包含案件名稱、審查組名稱及搜尋結果中返回的項目數量。 |
| 檢視檢視集的搜尋選項 | 檢視集搜尋選項已檢視 | 使用者查看了檢視集的設定。 稽核活動包含案件名稱及審查集名稱。 |
| 檢視檢視集的搜尋結果 | ReviewSetSearchRun | 使用者在評論集內進行搜尋。 審核活動包含案件名稱、審查組名稱及搜尋結果中回傳的項目清單。 |
| 已檢視統計結果 | 統計結果已瀏覽 | 使用者瀏覽搜尋統計結果。 |
| 已瀏覽統計狀態 | 統計狀態已檢視 | 使用者瀏覽搜尋統計資料的狀態。 稽核活動包含搜尋名稱、ID、查詢及相關設定。 |
| 檢視標籤範本列表 | 標籤模板列表檢視 | 使用者在電子發現設定中查看標籤範本清單。 稽核活動包含所檢視的標籤範本清單。 |
| 已檢視標籤 | 標籤已瀏覽 | 用戶檢視案件中的評論集標籤。 |
| 檢視標籤範本的標籤 | 標籤模板標籤已檢視 | 使用者瀏覽標籤範本的標籤。 稽核活動包含所檢視的標籤範本標籤名稱與 ID。 |
| 已檢視租戶設定 | 租戶設定已檢視 | 使用者瀏覽了 eDiscovery 的組織設定。 稽核活動包含設定值的資訊。 |
電子發現活動的詳細屬性
下表描述搜尋結果中列出的電子發現活動,在飛出頁面中包含的屬性。 這些屬性也會包含在匯出稽核日誌搜尋結果的 CSV 檔案中。 電子發現活動的審計日誌記錄並不包含下表中列出的所有詳細屬性。
提示
匯出搜尋結果時,CSV 檔案中有一欄名為 AudtiData,包含以下表格中多值屬性中描述的詳細屬性。 你可以使用 Excel 中的 Power Query 功能,將此欄位拆分成多欄,讓每個屬性都有自己的欄位。 這種設定讓你可以對其中一個或多個屬性進行排序和篩選。 欲了解更多資訊,請參閱 「查詢稽核日誌」。
| 屬性 | 描述 |
|---|---|
| 案件編號 | 電子發現案件 (GUID) 的身份,該案件被建立、變更或刪除。 |
| 案件名稱 | 電子發現案件的名稱被建立、更改或刪除。 |
| 客戶端應用程式 | eDiscovery 指令集活動對此屬性的值為 EMC 。 此值表示該活動是透過使用 Microsoft Purview 入口網站的圖形介面或在 PowerShell 中執行 cmdlet 執行。 |
| ClientIP | 記錄活動時所使用的裝置之 IP 位址。 IP 位址會以 IPv4 或 IPv6 位址格式顯示。 |
| ClientRequestId | 對於電子發現活動,此性質通常為空白。 |
| 指令匣版本 | 您組織中運行的 Microsoft Purview 入口網站版本的建置號。 |
| CreationTime | 該活動的創建日期與時間以協調世界時 (UTC) 。 |
| DataSources | 與活動相關的來源 ID、來源名稱及位置細節清單。 |
| 有效組織 | Microsoft 365 組織的名稱。 |
| 匯出名稱 | eDiscovery 匯出名稱。 |
| ExtendedProperties | 與電子發現活動相關的其他屬性。 例如,當案件成員更新時,此欄位包含更新後的成員資訊;或當審查集描述更新時,此欄位包含使用者更新的審查集描述。 |
| 識別碼 | 報告條目的識別碼。 ID 唯一識別審計日誌條目。 |
| 項目 | 與活動相關的物品名稱。 例如,此欄位包含使用者瀏覽審查集文件時所瀏覽的文件名稱。 |
| 職稱 | 電子發現流程的指引。 |
| ObjectId | 物件的 GUID (例如,由 操作 屬性中列出的活動所建立、存取或變更) 搜尋、保留或審查集合。 |
| ObjectName | 物件名稱 (例如,搜尋、保留或審查集合) 由操作屬性中列出的活動所建立、存取或變更。 |
| ObjectType | 所建立、刪除或修改的 eDiscovery 物件類型。 例如,產生範例結果或觸發從搜尋) 匯出的搜尋動作 (在此欄位中標示為 搜尋 。 |
| 作業 | 與執行的電子發現活動相對應的操作名稱。 |
| OrganizationId | 這是您 Microsoft 365 組織的 GUID。 |
| 查詢檔案 | 用於產生查詢的輸入檔案名稱。 此屬性專屬於以檔案搜尋手勢。 |
| 查詢ID | 與該活動相關的查詢 GUID。 |
| 查詢文本 | 與活動相關的查詢文字,例如搜尋統計流程或新增審查流程。 |
| RecordType | 紀錄所示的操作類型。 |
| 結果狀態 | 操作屬性中 (指定該動作) 是否成功。 |
| 設定 | 設定套用到電子發現活動。 |
| StartTime | 協調世界時 (UTC的日期與時間) 電子發現活動開始的時間。 |
| 用戶取消 | 該特定活動是否被用戶取消。 |
| UserId | 執行該活動的使用者 (在操作屬性中指定) 導致該紀錄被記錄。 |
| 使用者鍵 | 一個在 UserId 屬性中識別的使用者的替代 ID。 對於電子發現活動,這個屬性的值通常與 UserId 屬性相同。 |
| UserServicePlan | 你組織使用的訂閱方式。 對於電子發現活動,此性質通常為空白。 |
| UserType | 執行操作的使用者類型。 以下數值表示使用者類型。 0 一個普通用戶。 2 你們組織的管理員。 3 Microsoft 資料中心管理員或資料中心系統帳號。 4 系統帳號。 5 一份申請。 6 服務主體。 |
| 版本 | 活動的版本號 (由記錄下來的 Operation 屬性) 識別。 |
| 工作負載 | 活動發生的服務。 |
加密的郵件入口網站活動
您的組織可以透過加密訊息入口網站存取加密訊息的日誌。 這些日誌有助於判斷外部收件人何時閱讀並轉發訊息。 如需啟用和使用加密的郵件入口網站活動記錄的詳細資訊,請參閱 加密的郵件入口網站活動記錄。
每個追蹤訊息的稽核項目包含以下欄位:
- MessageID:包含被追蹤訊息的 ID。 用於系統訊息後續的金鑰識別碼。
- 收件人:所有收件人電子郵件地址列表。
- 寄件人:原始電子郵件地址。
- AuthenticationMethod:描述存取訊息的認證方法,如 OTP、Yahoo、Gmail 或 Microsoft。
- AuthenticationStatus:包含一個表示驗證成功或失敗的值。
- OperationStatus:該指示的操作是否成功。
- 附件名稱:附件名稱。
- OperationProperties:一串可選屬性。 例如,發送的 OTP 密碼數量,或電子郵件主旨。
Exchange 系統管理員活動
Exchange 管理員審核日誌 (預設啟用於 Microsoft 365) 當管理員 (或使用者分配管理員權限) 在您的Exchange Online組織中做出變更時,會記錄稽核日誌中的事件。 使用 Exchange 系統管理員中心或執行 Exchange Online PowerShell 中的 Cmdlet 所做的變更會記錄在 Exchange 系統管理稽核記錄中。 以 Get-、Search-或 Test- 開頭的 Cmdlet 不會被記錄在審核日誌中。 如需有關 Exchange 系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄功能。
重要事項
有些Exchange Online 指令匣並未記錄在 Exchange 管理員的稽核日誌 (或稽核日誌) 。 這些指令小程式中有許多與維護 Exchange Online 服務有關,由 Microsoft 資料中心人員或服務帳號執行。 之所以不記錄這些 Cmdlet,是因為這些 Cmdlet 會造成大量的「雜亂」稽核事件。 如果有Exchange Online 指令匣沒有被審核,請提交設計變更申請 (DCR) to Microsoft 支援服務。
以下是在搜尋稽核記錄時搜尋 Exchange 系統管理員活動的秘訣:
- 使用日期範圍方塊和 [使用者] 清單,以將由特定 Exchange 系統管理員執行的 Cmdlet 搜尋結果縮小為在特定日期範圍之內。
- 要顯示 Exchange 管理員審核日誌中的事件,請選擇 活動 欄,將指令長名稱按字母順序排序。
- 如需取得有關 Cmdlet 執行內容、使用哪些參數和參數值,以及影響哪些物件等相關資訊,您可以藉由選取 [下載所有結果] 選項來匯出搜尋結果。 如需詳細資訊,請參閱匯出、設定及檢視稽核記錄檔的記錄。
- 您也可以藉由在 Exchange Online PowerShell 中使用
Search-UnifiedAuditLog -RecordType ExchangeAdmin命令,只傳回 Exchange 系統管理員稽核記錄中的稽核記錄。 執行 Exchange 指令後,對應的稽核日誌條目可能要等上 30 分鐘才能在搜尋結果中回傳。 如需詳細資訊,請參閱 Search-UnifiedAuditLog。 若要了解如何將 Search-UnifiedAuditLog Cmdlet 所傳回的搜尋結果匯出為 CSV 檔案,請參閱匯出、設定及檢視稽核記錄檔的記錄中的<匯出及檢視稽核記錄的秘訣>一節。
Exchange 信箱活動
下表列出 Microsoft 365 稽核日誌中記錄的活動。 信箱稽核記錄會自動記錄信箱擁有者、委派使用者或管理員在稽核日誌中執行的郵件匣活動,長達 180 天。 管理員可以關閉組織中所有使用者的信箱稽核記錄。 在此情況下,任何使用者的信箱動作都不會記錄。 如需詳細資訊,請參閱管理信箱稽核。
重要事項
審計 (Standard) 的預設保留期由90天調整為180天。 2023 年 10 月 17 日前產生的審計 (Standard) 日誌將保留 90 天。 審計 (Standard) 日誌於2023年10月17日或之後產生,依據新的預設保留期限180天。
你也可以使用 Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet 搜尋信箱活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 可存取的信箱附件 | 附件存取 | 存取了一個訊息附件。 |
| 存取的信箱資料夾 | 資料夾綁定 | 一個信箱資料夾被存取。 當管理員或委託人打開信箱時,這個動作也會被記錄下來。 代表執行資料夾裝訂作業的審計紀錄會被整合。 在24小時內,會產生一份審計紀錄,供個別資料夾存取。 |
| 存取信箱項目 | MailItemsAccessed | 在信箱中讀取或存取郵件。 可以通過以下兩種方式之一觸發此事件的稽核記錄:當郵件客戶端 (例如 Outlook) 對郵件執行繫結作業時,或者當郵件通訊協定 (例如 Exchange ActiveSync 或 IMAP) 同步郵件文件夾中的項目時。 在調查遭入侵的電子郵件帳戶時,分析此活動的稽核記錄相當實用。 |
| 存取訊息 | 訊息綁定 | 訊息會在預覽窗格中被查看或由管理員開啟。此數值僅適用於未持有 E5/A5/G5 授權的使用者。 |
| 已新增代理人信箱權限 | Add-MailboxPermission | 系統管理員已將另一名人員其信箱的 FullAccess 信箱權限指派給某個使用者 (亦稱為「代理人」)。 FullAccess 權限可讓代理人開啟該名人員的信箱,以及讀取和管理信箱的內容。 當 Microsoft 365 服務中的系統帳戶定期為您的組織執行維護工作時,也會產生此活動的稽核記錄。 系統帳戶所執行的一般工作是更新系統信箱的權限。 如需詳細資訊,請參閱 Exchange 信箱稽核記錄中的系統帳戶。 |
| 新增或移除具有行事曆資料夾代理人存取權的使用者 | UpdateCalendarDelegation | 已新增或移除作為另一個使用者信箱行事曆代理人的使用者。 行事曆代理可讓其他有相同組織權限的人來管理信箱擁有者的行事曆。 |
| 已新增資料夾的權限 | AddFolderPermissions | 資料夾權限已新增。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 |
| 已複製郵件到另一個資料夾 | Copy | 郵件已複製到另一個資料夾。 |
| 建立的信箱項目 | 建立 | 在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立了項目。 例如,建立了新的會議邀請。 建立、傳送或接收郵件的動作並不會受到稽核。 另外,建立信箱資料夾不會被稽核。 |
| 在 Outlook Web 應用程式中建立新的收件匣規則 | New-InboxRule | 信箱擁有者或其他有信箱存取權的使用者在 Outlook Web App 中建立了收件匣規則。 |
| 刪除優先清理標籤項目 | 優先清理刪除 | 標籤為優先清理類型的項目正在被刪除。 |
| 已刪除 [刪除的郵件] 資料夾中的郵件 | SoftDelete | 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 這些項目會移動至 [可復原的項目] 資料夾。 當使用者選取郵件並按 Shift+Delete 時,也會將郵件移動至 [可復原的項目] 資料夾。 |
| 將郵件標示為記錄 | 使用者對電子郵件訊息套用保留標籤,且該標籤已設定為將該項目標示為記錄。 | |
| 標示為紀錄項目 | ApplyRecord | 項目會被標註為紀錄。 |
| 已將郵件標示為記錄 | ApplyRecordLabel | 郵件已分類為記錄。 當將內容分類為紀錄的保留標籤被手動或自動套用到訊息上時,就會發生這種情況。 |
| 已修改資料夾權限 | ModifyFolderPermissions | 資料夾權限已變更。 資料夾權限可控制組織中的哪些使用者可以存取信箱資料夾和資料夾中的郵件。 |
| 已從 Outlook Web App 中修改收件匣規則 | Set-InboxRule | 信箱擁有者或其他有信箱存取權的使用者已使用 Outlook Web App 修改了收件匣規則。 |
| 已複製郵件至另一個資料夾 | Move | 郵件已移到另一個資料夾。 |
| 已移動郵件至 [刪除的郵件] 資料夾 | MoveToDeletedItems | 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 |
| 執行搜尋查詢 | SharepointSearchQueryInitiated | 使用者在 SharePoint 上進行搜尋。 |
| 保留郵箱項目 | PreservedMailItemProactive | 郵件物品會被主動保存。 主動保存是 DLM) Microsoft Purview 資料生命週期管理 (功能,將租戶中風險使用者刪除的郵件保存在垃圾桶中。 |
| 優先清理標籤已貼上 | ApplyPriorityCleanup | 優先清理標籤會套用在物品上。 |
| 優先清理標籤已套用於交換商品上 | ApplyPriorityCleanup | 優先清理的保留標籤會套用在 Exchange 上的商品上 |
| 已清除信箱中的郵件 | HardDelete | 已清除 [可復原的項目] 資料夾中的郵件 (從信箱中永久刪除)。 |
| 已移除代理人信箱權限 | Remove-MailboxPermission | 系統管理員已將 FullAccess 權限 (先前已指派給代理人) 從人員的信箱移除。 移除 FullAccess 權限後,代理人即無法開啟該名人員的信箱或存取其中的任何內容。 |
| 已移除資料夾的權限 | RemoveFolderPermissions | 資料夾權限已移除。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 |
| 在信箱中搜尋物品 | 搜尋查詢啟動 | 使用者使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 網頁版) 或郵件應用程式,Windows 10來搜尋信箱中的項目。 |
| 傳送郵件 | 傳送 | 訊息已發送、回覆或轉寄。 |
| 已使用 [傳送為] 權限傳送郵件 | SendAs | 已使用 [傳送為] 權限傳送郵件。 這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。 |
| 已使用 [代理傳送者] 權限傳送郵件 | SendOnBehalf | 已使用 [代理傳送者] 權限傳送郵件。 這表示,另一個使用者已代表信箱擁有者傳送郵件。 訊息:訊息的收件人,代表訊息發送者,以及實際發送訊息的人。 |
| 更新商品標籤 | 更新合規標籤 | 當標籤貼在物品上時。 |
| 已從 Outlook 用戶端更新收件匣規則 | UpdateInboxRules | 信箱擁有者或具有信箱存取權的其他使用者已使用 Outlook 用戶端建立、修改或移除收件匣規則。 |
| 已更新郵件 | Update | 郵件或其屬性已變更。 |
| 使用者已登入信箱 | MailboxLogin | 使用者已登入其信箱。 |
Exchange 信箱稽核記錄中的系統帳戶
在某些郵箱 (活動的稽核紀錄中,特別是 Add-MailboxPermissions) ,你可能會注意到執行該活動 (的使用者,並在 User 和 UserID 欄位中被識別) 為 NT AUTHORITY\SYSTEM 或 NT AUTHORITY\SYSTEM (Microsoft.Exchange.Servicehost) 。 這個系統帳號在 Microsoft 雲端的 Exchange 服務中,代表您的組織執行排程維護任務。 例如,NT AUTHORITY\SYSTEM (Microsoft.Exchange.ServiceHost) 帳號執行的一項常見稽核活動是更新 DiscoverySearchMailbox 的權限,該郵箱是系統信箱。 此更新的目的在於驗證指派給 DiscoverySearchMailbox「探索管理」角色群組的 FullAccess 權限 (預設值)。 此更新確保電子發現管理員能在組織內執行必要任務。
另一個可能在審計紀錄中識別的系統使用者帳 號是Administrator@apcprd03.prod.outlook.com。 此服務帳號亦包含在與驗證及更新 DiscoveryManagement(發現管理)角色群組 DiscoverySearchMailbox 信箱信箱 FullAccess 權限相關的信箱稽核紀錄中。 具體來說,當 Microsoft 支援人員代表您的組織執行基於角色的存取控制診斷工具時,通常會觸發識別該帳戶的 Administrator@apcprd03.prod.outlook.com 稽核紀錄。
檔案和頁面活動
下表描述 Microsoft 365 審計日誌記錄的 SharePoint 與 OneDrive 檔案與頁面活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| (無) | FileAccessedExtended | 此活動與「已存取檔案」 (FileAccessed) 活動相關。 當同一人持續存取檔案長達三小時 () 時,就會記錄 FileAccessedExtended 事件。 記錄 FileAccessedExtended 事件的目的在於減少持續存取某個檔案時,記錄 FileAccessed 事件的數目。 這種做法有助於減少多個檔案存取紀錄的雜訊,因為本質上是相同的使用者活動,並讓你能專注於初始 (及更重要的檔案存取事件) 。 |
| (無) | FileModifiedExtended | 此活動與「修改檔案」 (FileModified) 活動相關。 當同一人持續修改檔案長達三小時 () 時,就會記錄 FileModifiedExtended 事件。 記錄 FileModifiedExtended 事件的目的在於減少持續修改某個檔案時,記錄 FileModified 事件的數目。 這種方式有助於減少多筆 FileModified 記錄對本質上相同使用者活動的雜訊,並讓你能專注於初始 (及更重要的 FileModified 事件) 。 |
| (無) | FilePreviewed | 使用者預覽 SharePoint 或 OneDrive 網站上的檔案。 這些事件通常發生在單一活動中有龐大數量時,例如檢視影像資源庫。 |
| (無) | PagePrefetched | 使用者的客戶端 (,例如網站或行動應用程式,) 會請求該頁面以提升效能,若使用者瀏覽該頁面。 此事件會被記錄下來,以表示頁面內容已送達給使用者的客戶端。 此事件並非明確指示使用者已瀏覽到此頁面。 當用戶端依使用者的請求) 呈現頁面內容 (時,應該會產生 ClientViewSignaled 事件。 並非所有用戶端都支援標示預取,因此有些預取的活動可能會被記錄為 PageViewed 事件。 |
| (無) | PageViewedExtended | 此活動與「已檢視頁面」 (頁面瀏覽) 活動相關。 當同一人持續瀏覽網頁長達三小時 () 時,會記錄 PageViewedExtended 事件。 記錄 PageViewedExtended 事件的目的在於減少持續檢視某個頁面時,記錄 PageViewed 事件的數目。 這種做法有助於減少多筆 PageViewed 記錄對本質上相同使用者活動的雜訊,並讓你能專注於最初 (及更重要的 PageViewed 事件) 。 |
| 已存取檔案 | FileAccessed | 使用者或系統帳戶存取檔案。 一旦使用者存取檔案,系統在接下來的五分鐘內不會再次記錄同一使用者和檔案的 FileAccessed 事件。 |
| 已將記錄狀態變更為鎖定 | LockRecord | 將文件分類為紀錄的保留標籤的紀錄狀態是鎖定的。 這個狀態表示文件沒有被修改或刪除。 只有至少獲派網站參與者權限的使用者可以變更文件記錄狀態。 |
| 已將記錄狀態變更為解除鎖定 | UnlockRecord | 將文件分類為紀錄的保留標籤的紀錄狀態會被解鎖。 此狀態表示文件可以被修改或刪除。 只有至少獲派網站參與者權限的使用者可以變更文件記錄狀態。 |
| 已變更檔案的保留標籤 | ComplianceSettingChanged | 保留標籤是對文件施加或移除的。 手動或自動將保留標籤套用到郵件時就會觸發此事件。 |
| 已簽入檔案 | FileCheckedIn | 使用者簽入他們從文件庫簽出的文件。 |
| 已簽出檔案 | FileCheckedOut | 使用者簽出位於文件庫中的文件。 使用者可以借出並修改與他們共享的文件。 |
| 已複製檔案 | FileCopied | 使用者複製網站中的文件。 已複製的檔案可以儲存至該網站上的其他資料夾。 |
| 已刪除檔案 | FileDeleted | 使用者刪除網站中的文件。 |
| 已刪除資源回收筒中的檔案 | FileDeletedFirstStageRecycleBin | 使用者從網站的資源回收筒中刪除檔案。 |
| 已刪除第二階段資源回收筒中的檔案 | FileDeletedSecondStageRecycleBin | 使用者從網站的第二階段資源回收筒中刪除檔案。 |
| 標示為記錄的已刪除檔案 | RecordDelete | 標記為紀錄的文件或電子郵件會被刪除。 當內容被套用標記為記錄的保留標籤時,項目被視為紀錄。 |
| 偵測到的文件敏感度不相符 | DocumentSensitivityMismatchDetected | 使用者將文件上傳到受敏感度標籤保護的網站,且文件的敏感度標籤優先於網站的敏感度標籤。 例如,套用「機密」標籤的文件上傳到套用「一般」標籤的網站。 如果文件套用的敏感度標籤,其優先順序低於網站所套用的敏感度標籤,則不會觸發此事件。 例如,套用「一般」標籤的文件上傳到標記為「機密」的網站。 如需敏感度標籤優先順序的詳細資訊,請參閱標籤優先順序 (順序很重要)。 |
| 在檔案中偵測到惡意程式碼 | FileMalwareDetected | SharePoint 防毒引擎在檔案中偵測到惡意程式碼。 |
| 已捨棄檔案簽出 | FileCheckOutDiscarded | 使用者會丟棄 (或) 已借出的檔案還原。 這表示對取出的文件所做的任何變更會被捨棄,不儲存到文件庫中的文件版本。 |
| 下載的檔案 | FileDownloaded | 使用者從網站下載文件。 |
| 已修改檔案 | FileModified | 使用者或系統帳戶修改網站上的文件內容或屬性。 當相同使用者修改相同檔的內容或屬性時,系統會等候五分鐘,再記錄另一個 FileModified 事件。 |
| 已移動檔案 | FileMoved | 使用者將文件從它在網站上目前的位置移動至新的位置。 |
| 已執行的搜尋查詢 | SearchQueryPerformed | 使用者或系統帳號會在 SharePoint 或 OneDrive 中執行搜尋。 服務帳號執行搜尋查詢的常見情境包括對網站和 OneDrive 帳號套用 eDiscovery 保留與保留政策,以及自動對網站內容套用保留或敏感標籤。 要啟用此活動的日誌,請參閱 「開始稽核解決方案」。 |
| 優先清理 將檔案移至回收筒 | 優先清理檔案回收 | 項目會透過 OneDrive 或 SharePoint Online 的優先清理政策移至第二階段的回收站。 |
| 優先清理永久刪除檔案 | 優先清理檔案已刪除 | 項目會被 OneDrive 或 SharePoint Online 上的優先清理政策永久刪除。 |
| 已回收檔案 | FileRecycled | 使用者將檔案移至 SharePoint 資源回收筒。 |
| 已回收資料夾 | FolderRecycled | 使用者將資料夾移至 SharePoint 資源回收筒。 |
| 已回收所有檔案次要版本 | FileVersionsAllMinorsRecycled | 使用者從檔案的版本歷程記錄中刪除所有的次要版本。 已刪除的版本會移至網站資源回收筒。 |
| 已回收所有檔案版本 | FileVersionsAllRecycled | 使用者從檔案版本歷程記錄中刪除所有版本。 已刪除的版本會移至網站資源回收筒。 |
| 已回收檔案版本 | FileVersionRecycled | 使用者從檔案版本歷程記錄中刪除版本。 已刪除的版本會移至網站資源回收筒。 |
| 已重新命名檔案 | FileRenamed | 使用者重新命名文件。 |
| 已還原檔案 | FileRestored | 使用者從網站的資源回收筒還原文件。 |
| 已上傳檔案 | FileUploaded | 使用者將文件上傳至網站上的資料夾。 |
| 用戶端發出的檢視訊號 | ClientViewSignaled | 使用者的用戶端 (,例如網站或行動應用程式) ,會表示該頁面已被使用者瀏覽。 此活動通常會在頁面的 PagePrefetched 事件之後進行記錄。 注意:由於 ClientViewSignaled 事件是由客戶端而非伺服器發出訊號,因此該事件可能未被伺服器記錄,因此不會出現在稽核日誌中。 也有可能稽核紀錄中的資訊不可靠。 不過,因為用來建立訊號的權杖會驗證使用者的身分識別,因此對應稽核記錄中所列的使用者身分識別會是正確的。 系統會等五分鐘,才會記錄同一事件,當同一使用者的客戶端提示該頁面再次被查看時。 |
| 已檢視頁面 | PageViewed | 使用者檢視網站上的檔案。 這項活動不包括使用網頁瀏覽器查看文件庫中的檔案。 一旦使用者瀏覽頁面,系統在接下來的五分鐘內不會再次記錄同一使用者和頁面的 PageViewed 事件。 |
FileAccessed 和 FilePreviewed 事件的常見問題集
任何非使用者事件是否能觸發包含使用者代理程式 (如 "OneDriveMpc-Transform_Thumbnail") 的 FilePreviewed 稽核記錄?
我們不知道有非使用者行為會產生這類事件的情況。 使用者操作如在訊息中選擇姓名或電子郵件地址 (開啟用戶資料卡Outlook 網頁版) 會產生類似事件。
呼叫 OneDriveMpc-Transform_Thumbnail 總是由使用者有意觸發嗎?
不能。 但瀏覽器預取也可能產生類似的事件。
如果我們看到來自 Microsoft 註冊 IP 位址的 FilePreviewed 事件,則表示該預覽已在使用者裝置的螢幕上顯示了嗎?
不是。 瀏覽器預取可能會記錄事件。
是否有使用者預覽文件會產生 FileAccessed 事件的案例?
FilePreviewed 和 FileAccessed 事件都表示使用者的呼叫導致讀取檔案 (或讀取檔案的縮圖呈現)。 雖然這些事件旨在與預覽與存取意圖相符,但事件區分並不保證使用者的意圖。
審計記錄中的app@sharepoint使用者
在某些檔案活動 (及其他 SharePoint 相關活動) 的稽核紀錄中,你可能會注意到執行該活動的使用者 (在使用者與使用者 ID 欄位中被識別) app@sharepoint。 這個使用者代表應用程式執行了該活動。 在此案例中,該應用程式在 SharePoint 中獲得了執行全組織行動的權限, (代表使用者、管理員或服務搜尋 SharePoint 網站或 OneDrive 帳號) 。 這種將權限授與應用程式的程序稱為僅限 SharePoint 應用程式存取權。 此使用者表示應用程式而非使用者,將驗證資料呈現給 SharePoint 以執行動作。 這就是在特定稽核記錄中識別 app@sharepoint 使用者的原因。 如需詳細資訊,請參閱授與使用僅限 SharePoint 應用程式的存取權 \(英文\)。
例如,app@sharepoint 通常會標示為「執行搜尋查詢」和「存取檔案」事件的使用者。 這是因為當您將保留原則套用至網站和 OneDrive 帳戶時,組織中擁有僅限 SharePoint 應用程式存取權的應用程式會執行搜尋查詢和存取檔案。
以下是一些可能在稽核紀錄中識別app@sharepoint為執行活動的使用者的情境:
- Microsoft 365 群組。 當使用者或系統管理員建立新群組時,系統會產生稽核記錄,以建立網站集合、更新清單,以及將成員新增至 SharePoint 群組。 應用程式會代表建立群組的使用者執行這些任務。
- Microsoft Teams。 與 Microsoft 365 群組類似,建立新小組時,系統會產生稽核記錄,以建立網站集合、更新清單,以及將成員新增至 SharePoint 群組。
- 合規功能。 當管理員實作合規功能時,例如保留政策、電子發現保留以及自動套用敏感標籤。
在這些及其他情境中,你可能會注意到在短時間內,通常幾秒鐘內,建立多個以指定使用者app@sharepoint的稽核紀錄。 這種模式也意味著它們很可能是由同一個使用者發起的任務觸發的。 另外,稽核記錄中的 ApplicationDisplayName 和 EventData 欄位也可能幫助你辨識觸發事件的情境或應用程式。
資料夾活動
下表描述了 Microsoft 365 稽核日誌中 SharePoint 與 OneDrive 中資料夾活動。 部分 SharePoint 活動的稽核紀錄顯示,app@sharepoint 使用者代表發起該行動的使用者或管理員執行該活動。 欲了解更多資訊,請參閱 審計紀錄中的app@sharepoint使用者。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已複製資料夾 | FolderCopied | 使用者將一個資料夾從網站複製到SharePoint 或 OneDrive 的另一個位置。 |
| 已建立資料夾 | FolderCreated | 使用者在網站上建立資料夾。 |
| 已刪除資料夾 | FolderDeleted | 使用者刪除網站上的資料夾。 |
| 已刪除資源回收筒中的資料夾 | FolderDeletedFirstStageRecycleBin | 使用者從網站的資源回收筒中刪除資料夾。 |
| 已刪除第二階段資源回收筒中的資料夾 | FolderDeletedSecondStageRecycleBin | 使用者從網站的第二階段資源回收筒中刪除資料夾。 |
| 已修改資料夾 | FolderModified | 使用者修改網站上的資料夾。 此操作包括更改資料夾的元資料,例如更改標籤與屬性。 |
| 已移動資料夾 | FolderMoved | 使用者將資料夾移動至網站上的其他位置。 |
| 已重新命名資料夾 | FolderRenamed | 使用者在網站上重新命名資料夾。 |
| 已還原資料夾 | FolderRestored | 使用者從網站的資源回收筒中還原已刪除的資料夾。 |
資訊屏障活動
下表列出 Microsoft 365 審計日誌所記錄的資訊障礙活動。 欲了解更多資訊障礙資訊,請參閱 「了解 Microsoft 365 中的資訊障礙」。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 將資訊障礙模式應用於網站 | SiteIBModeSet | SharePoint 或全域管理員對網站套用了某種模式。 |
| 應用於網站的段子 | SiteIBSegmentsSet | SharePoint、全域系統管理員或網站擁有者已新增一或多個資訊屏障區段至網站。 |
| 更改租戶的 AppBypassInformationBarrier 設定 | AppBypass資訊障礙 | SharePoint 或全域管理員更改了 SharePoint 網站的應用程式存取權限。 |
| 網站資訊屏障模式變更 | SiteIBModeChanged | SharePoint 或全域管理員會更新網站的模式。 |
| 場地區域變更 | 網站IBS分期已更改 | SharePoint 或全域系統管理員已變更一或多個網站的資訊屏障區段。 |
| 關閉 SharePoint 與 OneDrive 的資訊障礙 | SPOIBIs已停用 | SharePoint 或全域管理員在組織中關閉了 SharePoint 與 OneDrive 的資訊障礙。 |
| 啟用 SharePoint 與 OneDrive 的資訊障礙 | SPOIBIsEnabled | SharePoint 或全域管理員在組織中關閉了 SharePoint 與 OneDrive 的資訊障礙。 |
| 資訊障礙洞察報告完成 | 資訊障礙洞察報告已完成 | 系統完成資訊障礙洞察報告的建置。 |
| 資訊障礙洞察報告 OneDrive 部分被查詢 | 資訊障礙洞察報告一驅動區段詢問 | 管理員查詢 OneDrive 帳號的資訊障礙洞察報告。 |
| 資訊障礙洞察報告已排定 | 資訊障礙洞察報告時間表 | 管理員會排程資訊障礙洞察報告。 |
| 資訊障礙洞察報告 SharePoint 部分被查詢 | 資訊障礙洞察報告SharePoint Section查詢 | 管理員查詢 SharePoint 網站的資訊障礙洞察報告。 |
| 已移除的區域 | 網站IBS群組已移除 | SharePoint 或全域管理員會移除一個或多個資訊障礙區段。 |
Microsoft 365 系統管理中心代理管理活動。
下表列出 Microsoft 365 稽核日誌記錄的代理管理活動。 欲了解更多資訊,請參閱 Microsoft 365 系統管理中心的「管理 Microsoft 365 Copilot 代理」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 被封鎖的代理人 | 阻塞代理人 | 一位管理員封鎖了一位客服人員。 組織內的使用者被禁止使用該代理。 |
| 刪除特工 | 刪除代理 | 有管理員刪除了一個共用代理程式,該代理會刪除底層檔案和代理程式。 |
| 部署代理 | DeployedAgent | 一位管理員部署了代理。 代理程式會對特定使用者、群組或整個組織開放並可用。 |
| 移除的代理人 | 移除代理 | 管理員移除了整個組織或特定使用者與群組先前安裝的代理程式。 |
| 解封代理 | 解除封鎖代理 | 一位管理員解除了先前封鎖的客服人員。 |
| 更新版代理人 | 更新代理 | 一位管理員透過上傳最新的清單檔案更新了自訂代理。 |
| 更新的租戶層代理設定 | 更新租戶設定 | 管理員更新了適用於代理的租戶層級設定。 |
Microsoft 365 Apps 管理員 服務雲端更新活動
下表列出了 Microsoft 365 稽核日誌記錄的 Cloud Update 服務 中設定變更與觸發動作的活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 裝置配置更新 | 更新裝置配置 | 一個由 Cloud Update 管理的裝置觸發了動作。 此操作包括觸發回滾、恢復回滾裝置,或更改更新通道。 |
| 設定檔設定已更新 | 更新了ProfileConfiguration | 雲端更新設定檔的設定被更改了。 此變更包括更新設定檔狀態、設定截止期限、啟用更新驗證,以及設定波形與波形延遲。 |
| 租戶設定更新 | 更新租戶配置 | 雲端更新的全組織配置也改變了。 此變更包括排除項目、排除視窗的更新,以及產生新的租戶關聯金鑰 (TAK) 。 |
Microsoft 365 Apps 管理員 服務雲端政策活動
下表列出 Microsoft 365 審計日誌記錄的 雲端政策服務 中政策設定變更的活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立的政策配置 | CreatedPolicyConfig | 建立了新的政策配置。 |
| 已刪除的政策配置 | DeletedPolicyConfig | 一個政策設定被刪除了。 |
| 更新的政策設定 | UpdatedPolicyConfig | 現有的政策設定會被更新,例如新增、變更或移除政策設定,或更改政策設定的名稱、描述或範圍。 |
| 更新後的政策設定優先順序 | UpdatedPolicyConfigPriority | 政策設定的優先順序被更改。 |
Microsoft 365 備份活動
下表列出 Microsoft 365 稽核日誌記錄的 Microsoft 365 備份活動。 Microsoft 365 備份的設計目的是確保您的組織資料始終受到保護且易於復原。 欲了解更多關於 Microsoft 365 備份的資訊,請參閱 Microsoft 365 備份概述。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 啟動備份政策 | 備份政策已啟用 | Microsoft 365 備份政策是從非活躍狀態啟動的。 |
| 啟動徵兵恢復任務 | RestoreTaskActivated | 啟動了 Microsoft 365 備份的還原草稿任務。 這是一個長期的行動。 |
| 已建立備份項目 | 備份項目已新增 | 一個或多個備份項目會被加入 Microsoft 365 備份政策。 |
| 備用物品已移除 | 備份項目已移除 | 一個或多個備份項目會從 Microsoft 365 備份政策中移除。 |
| 取消車外備用物品 | 取消Offboard備用物品 | 為了備用物品,離職取消了。 |
| 完成修復任務 | 恢復任務完成 | 還原任務會在 Microsoft 365 備份中完成。 |
| 建立草稿還原任務 | 草稿還原任務已創建 | 還原任務會在 Microsoft 365 備份中建立。 預設情況下,還原任務是以草稿形式建立的。 |
| 建立了新的備份政策 | 新備份政策已建立 | 一位全域管理員建立了新的 Microsoft 365 備份政策。預設情況下,備份政策會在非活躍狀態下建立。 |
| 刪除備份政策 | 備份政策已刪除 | Microsoft 365 備份政策已被刪除。 |
| 已刪除草稿還原任務 | 草稿還原任務已刪除 | 草稿還原任務會在 Microsoft 365 備份中被刪除。 |
| 編輯備份政策 | 備份政策已編輯 | Microsoft 365 備份政策已更新。 你可以透過執行以下任一步驟來更新備份政策: 1. 更名保單。 2. 新增一個或多個防護單元。 3. 移除一個或多個防護單元。 |
| 編輯草稿還原任務 | 草擬還原任務已編輯 | 草擬還原任務會在 Microsoft 365 備份中編輯。 |
| 車外備用物品 | 船外備援物品 | 備用物品是下架。 |
| 暫停備份政策 | 備份政策暫停 | Microsoft 365 備份政策會從啟動狀態中暫停。 |
| 程式化取得備用物品 | GetBackupItem | 使用者需以程式化方式使用 Microsoft 365 備份備份保護單元。 |
| 程式化取得備份政策細節 | 查看備份政策詳情 | Microsoft 365 備份政策的詳細資料是透過程式化存取的。 |
| 程式化取得還原任務的詳細資料 | GetRestoreTaskDetails | 使用者需透過 Microsoft 365 備份的識別碼請求還原任務的詳細資訊。 |
| 程式化取得所有備份政策清單 | 全部備份政策列表 | 使用者會透過程式化方式取得所有備份政策清單,並使用 Microsoft 365 備份。 |
| 程式化地在備份政策中取得備份項目清單 | 清單所有備份項目在政策中 | Microsoft 365 備份中備份政策中所有保護單元的清單會以程式方式請求。 |
| 程式化地在租戶中取得備份項目清單 | ListAllBackupItemsInTenant | 使用者會以程式化方式獲得組織內所有保護單元的清單,並透過 Microsoft 365 備份備份。 |
| 程式化地取得工作負載中的備份項目清單 | ListAllBackupItemsInWorkload | 使用者會以程式化方式取得所有保護單元清單, (SharePoint、OneDrive 或 Exchange) 並以 Microsoft 365 備份 備份。 |
| 程式化地在還原任務中獲得還原項目清單 | GetAllRestoreArtifactsInTask | 使用者在 Microsoft 365 備份的還原任務中,以程式化方式取得所有產出物。 |
| 程式化地獲得還原點清單 | 清單全部恢復點數 | 使用者會以程式方式取得 Microsoft 365 備份中的所有還原點。 還原點代表根據保護政策) (,工件受到保護的時間戳。 只有全球管理員有權限。 |
| 程式化地獲得還原任務清單 | 全部還原任務清單 | 使用者會以程式方式取得 Microsoft 365 備份中現有還原會話的清單。 此清單包含組織中所有註冊服務類型所建立的還原工作階段。 |
| 物品恢復完成 | 備份物品還原完成 | 由 Microsoft 365 備份備份的項目還原完成。 |
| 觸發物品恢復 | BackupItemRestoreTriggered | 還原會觸發在備份到 Microsoft 365 備份的項目上。 |
Microsoft 365 Copilot 管理員活動
下表列出與 Microsoft 365 Copilot 及 Microsoft 365 Copilot Chat 相關的管理員活動,這些活動均由 Microsoft 365 審計日誌記錄。 你可以跨 Microsoft 服務使用 Copilot。 稽核日誌記錄使用者何時以及如何與 Copilot 互動的活動。 這些資訊包括活動發生的 Microsoft 服務,以及互動過程中存取的檔案參考資料。
若要存取使用者互動時的提示文字,請參閱內容搜尋,或適用於 AI 的資料安全性態勢管理中的活動總管中查看 AI 互動事件。
欲了解更多關於審計及其他合規管理選項Microsoft 365 Copilot的資訊,請參閱使用 Microsoft Purview 管理資料安全 & 合規,為Microsoft 365 Copilot & Microsoft 365 Copilot Chat提供服務。
欲了解更多與使用者與 AI 互動相關的事件資訊,請參閱 Copilot 與 AI 活動的審核日誌。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立了一個新的 Copilot 外掛 | CreatePlugin | 使用者 (、管理員或系統代表使用者) 創建了一個新的 Copilot 外掛。 |
| 製作了一本新的 Copilot 提示書 | CreatePromptBook | 使用者 (、管理員或系統代表使用者) 在 Copilot 中建立新的提示書。 |
| 刪除了一個 Copilot 外掛 | 刪除插件 | 使用者 (、管理員或系統代表使用者刪除 Copilot 外掛) 。 |
| 刪除了一本副駕駛題目本 | 刪除提示書 | 使用者 (、管理員或系統代表使用者刪除 Copilot 提示書) 。 |
| 停用了一個 Copilot 插件 | 停用副駕駛外掛 | 使用者 (、管理員或系統代表使用者) 停用 Copilot 外掛。 |
| 停用副駕駛提示書 | Disable提示書 | 使用者 (、管理員或系統代表使用者) 停用 Copilot 提示書。 |
| 啟用 Copilot 插件 | 啟用插件 | 使用者 (、管理員或系統代表使用者) 啟用 Copilot 外掛。 |
| 啟用 Copilot 提示本 | 啟用提示書 | 使用者 (、管理員或系統代表使用者) 啟用 Copilot 提示書。 |
| 與副駕駛互動 | 副駕駛互動 | 使用者 (、管理員或系統代表使用者) 在 Copilot 輸入提示。 |
| 更新了 Copilot 外掛設定 | 更新插件 | 使用者 (、管理員或系統代表使用者更新 Copilot 外掛設定) 。 |
| 更新了 Copilot 的提示本設定 | 更新提示書 | 使用者 (、管理員或系統代表使用者更新 Copilot 提示簿設定) 。 |
| 更新了 Copilot 設定 | 更新租戶設定 | 管理員的 (或系統代表管理員更新 Copilot 設定) 。 |
Microsoft 365 Copilot 排程提示活動
Copilot 排程提示讓使用者能在 Microsoft 365 Copilot 聊天中自動執行 Copilot 提示,使其依照既定排程執行。 下表列出 Microsoft 365 稽核日誌中記錄的活動。 管理員可以在你的組織中管理這個功能。 欲了解更多資訊,請參閱管理 Microsoft 365 Copilot 的排程提示。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立了一個排程的提示 | 排程提示已建立 | 有位用戶從聊天) 排Microsoft 365 Copilot Chat (Office.com Copilot 提示。 |
| 刪除了排程的提示 | 已排定提示已刪除 | 使用者從管理視窗刪除排程的提示。 提示從列表中移除,不再執行。 |
| 執行排程提示 | 排程提示執行 | 每次預定跑步開始時都會記錄。 它並沒有確認提示是否已完成。 |
適用於端點的 Microsoft Defender 一般設定活動
下表列出Microsoft 365稽核日誌中記錄的適用於端點的 Microsoft Defender一般設定活動。 欲了解更多關於適用於端點的 Microsoft Defender 設定的資訊,請參閱「配置一般 Defender for Endpoint 設定」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 資料保留變更 | ChangeDataRetention | 編輯了 Defender for Endpoint 的資料保留設定。 |
| 下載的離職套件 | 下載離板遊戲 | 下載了用來移除 Defender for Endpoint 裝置的套件。 |
| 已下載入職套件 | 下載OnboardingPkg | 下載了用於裝置上線的套件到 Defender for Endpoint。 |
| 設定進階功能 | SetAdvancedFeatures | 更改了 Defender for Endpoint 的進階功能,使事件發生時能更精確地控制。 只有一般可用的進階功能的設定會記錄在 Microsoft 365 稽核日誌中。 |
適用於端點的 Microsoft Defender indicator settings 活動
下表列出Microsoft 365 稽核日誌所記錄的適用於端點的 Microsoft Defender指標設定活動。 欲了解更多關於適用於端點的 Microsoft Defender 指標的資訊,請參閱「管理指標」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增指示器 | 加法指示器 | 建立了一個新的入侵指標,用來追蹤攻擊和事件。 |
| 已刪除指示器 | 刪除指示器 | 移除了一個妥協的指標。 |
| 編輯後指示器 | 編輯指示器 | 編輯了一個妥協指標。 |
適用於端點的 Microsoft Defender 回應動作活動
下表列出Microsoft 365審計日誌記錄的適用於端點的 Microsoft Defender回應行動(包括即時回應)的活動。 欲了解更多關於 適用於端點的 Microsoft Defender 回應動作的資訊,請參閱「裝置上的回應行動」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 收集的調查資料包 | CollectInvestigationPackage | 收集有關某裝置的資訊,用來理解攻擊工具與技術。 |
| 收集日誌 | 日誌收集 | 收集了關於 Defender for Endpoint 的日誌資訊。 |
| 下載的檔案 | 下載檔案 | 下載了一個可疑檔案以便進一步調查。 |
| 隔離裝置 | 隔離裝置 | 將裝置與網路隔離,幫助防止攻擊擴散。 |
| 離板裝置 | 裝置下車 | 從 Defender for Endpoint 移除了一台裝置。 |
| 執行防毒掃描 | RunAntiVirusScan | 我對裝置執行了 Microsoft Defender 防毒掃描。 |
| 跑去拿即時回應檔案連結 | 即時回應取得檔案 | 開啟即時回應會話,將遠端殼層打開裝置。 |
| Ran Live 回應 API | RunLiveResponseAPI | 透過 API 呼叫開啟即時回應會話,開啟遠端 shell 進入裝置。 |
| 執行即時回應會話 | RunLiveResponseSession | 執行了一次即時回應會話,打開一個遠端外殼到裝置中。 |
| 從隔離中獲釋 | 從孤立中解脫 | 又把一台隔離的裝置重新接回網路。 |
| 已移除應用程式限制 | 移除應用程式限制 | 允許應用程式執行。 |
| 限制應用程式執行 | 限制AppExecution | 防止惡意應用程式運行。 |
| 檔案被停止並隔離 | 停止並隔離檔案 | 隔離了一個可疑檔案以供進一步分析。 |
Microsoft Defender for Endpoint 適用於端點的 Microsoft Defender 角色設定活動
下表列出Microsoft 365 審計日誌所記錄的適用於端點的 Microsoft Defender角色設定活動。 欲了解更多關於 適用於端點的 Microsoft Defender 角色的資訊,請參閱「建立與管理角色以進行基於角色的存取控制」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增角色 | AddRole | 新增了安全角色和權限。 |
| 被刪除的角色 | 刪除角色 | 移除了安全角色和權限。 |
| 剪輯角色 | 編輯角色 | 編輯了安全角色和權限。 |
Microsoft Defender for Experts 活動
下表列出 Microsoft Defender Experts 中 Microsoft 365 審計日誌記錄的活動。 欲了解更多關於 Microsoft Defender 專家的資訊,請參閱「了解 Microsoft Defender XDR 專家」及「學習 Microsoft Defender Experts for Hunting」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| Defender Experts 分析師權限已建立 | DefenderExpertsAnalystPermissionCreated | 管理員授權 Defender Experts 分析師一個或多個角色權限,以調查事件或修復威脅。 |
| Defender Experts 分析師權限修改後 | DefenderExpertsAnalystPermissionModified | 管理員修改了 Defender Experts 分析師用於調查事件或修復威脅的角色權限。 |
適用於身分識別的 Microsoft Defender 活動
下表列出Microsoft 365 稽核日誌記錄的適用於身分識別的 Microsoft Defender活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增警報通知接收者 | 已新增通知收件人 | 安全警示通知設定中新增了收件人。 |
| 新增排除配置 | ExclusionConfigurationAdded | 新增了警示或實體的全域排除。 |
| 新增健康問題通知收件人 | 已新增監控警報通知收件人 | 健康問題通知設定中新增了收件人。 |
| 新增整治行動 | 修復行動已新增 | 補救行動被加入佇列。 |
| 新增感測器 | 感測器創造 | 新增了一個感測器。 |
| 已建立的工作區 | 工作空間已建立 | 工作空間就這樣誕生了。 |
| 已刪除的警報通知收件人 | 通知收件人已刪除 | 一位收件人已被從安全警示通知設定中移除。 |
| 已刪除的排除設定 | 排除配置已刪除 | 全域排除項目會被刪除,無論是警報還是實體。 |
| 已刪除的健康問題通知收件人 | 監控、警報、通知、收件人已刪除 | 一位收件人已被移除出健康問題通知設定。 |
| 已刪除的工作區 | 工作空間已刪除 | 工作區被刪除了。 |
| 下載網域控制覆蓋範圍 Excel | 網域控制覆蓋Excel已下載。 | 網域控制覆蓋的 Excel 檔案已被下載。 |
| 已下載報表 | 報告已下載 | 一份報告被下載了。 |
| 下載安全警示 Excel | 警報Excel已下載。 | 詳細的 Excel 檔案也下載了警報。 |
| 重生感測器部署鍵 | 感測器部署存取鍵已更新 | 感測器存取鑰匙已重新生成。 |
| 移除感測器 | 感測器已刪除 | 一個感測器被刪除了。 |
| 已取得感測器部署金鑰 | 感測器部署存取鍵已接收 | 感應器存取鑰匙被取回。 |
| 更新的警報閾值設定 | 工作區警示閾值已更新 | 警報閾值設定已更新。 |
| 更新的目錄服務帳號設定 | DirectoryServicesAccountConfigurationUpdated | 目錄服務帳戶設定被修改。 |
| 更新的實體修復設定 | EntityRemediator Configuration已更新 | 管理帳戶的行動模式也有所修改。 |
| 更新實體標籤 | 標記配置已更新 | 一個標籤是從實體中新增或移除的。 |
| 更新的排除設定 | 排除配置已更新 | 針對警報或實體更新了全域排除。 |
| 更新的健康問題 | 監控警報已更新 | 健康問題被修改了。 |
| 更新的整治行動 | 修復行動已更新 | 修復行動已完成。 |
| 更新後的整治行動配置 | 修復行動配置已更新 | 管理行動帳戶設定已被修改。 |
| 更新的報告器設定 | 報告者配置已更新 | 報告的排程被修改。 |
| 更新的安全通知設定 | 通知配置已更新 | 安全警示或健康問題通知的設定也被修改了。 |
| 感測器配置更新 | 感測器配置已更新 | 感測器的配置已更新。 |
| 更新的感測器啟動模式 | 感測器啟動方法配置已更新 | 感測器啟動模式也被修改過。 |
| 更新的syslog轉發設定 | SyslogServiceConfiguration已更新 | syslog 轉發設定也被修改。 |
| 更新的統一RBAC配置 | URbac授權狀態變更 | 統一基於角色的存取控制設定也有所修改。 |
| 更新的 VPN 設定 | VpnConfiguration已更新 | VPN (半徑計費) 設定也做了修改。 |
Microsoft Defender 全面偵測回應自訂偵測活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Defender 全面偵測回應的自訂偵測活動。 欲了解更多關於Microsoft Defender 全面偵測回應自訂偵測的資訊,請參閱建立與管理自訂偵測規則。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 自訂偵測規則狀態變更 | ChangeCustomDetectionRuleStatus | 自訂偵測規則是關閉或開啟的。 |
| 建立自訂偵測規則 | 自訂偵測 | 新增了自訂偵測規則。 |
| 已刪除自訂偵測規則 | 刪除自訂偵測 | 自訂偵測規則被移除。 |
| 編輯自訂偵測規則 | 編輯自訂偵測 | 自訂偵測規則被修改。 |
| 執行自訂偵測規則 | RunCustomDetection | 我們手動執行了自訂偵測規則。 |
Microsoft Defender 全面偵測回應事件活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Defender 全面偵測回應事件活動。 欲了解更多關於 Microsoft Defender 全面偵測回應事件的資訊,請參閱事件總覽。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增事件評論 | 新增留言事件。 | 已對事件新增評論。 |
| 事件新增標籤 | 附加標籤事件 | 在事件中新增了標籤。 |
| 指派使用者至事件 | AssignUserToIncident | 已將使用者分配到事件。 |
| 編輯:事件分類 | 編輯事件分類 | 編輯事件分類。 |
| 事件標籤已移除 | 移除事件標籤 | 事件中移除了標籤。 |
| 未指派使用者至事件 | UnAssignUserFromIncident | 事件未指派使用者。 |
| 最新事件狀態 | 事件狀態更新 | 事件狀態更新。 |
Microsoft Defender 全面偵測回應抑制規則活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Defender 全面偵測回應規則抑制規則的活動。 欲了解更多關於 Microsoft Defender 全面偵測回應中抑制規則的資訊,請參閱管理抑制規則。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 制定壓制規則 | 建立抑制規則 | 制定了警報抑制規則。 |
| 刪除的抑制規則 | 刪除抑制規則 | 已刪除警報抑制規則。 |
| 失效壓制規則 | DisableSuppressionRule | 關閉警報抑制規則。 |
| 編輯後的抑制規則 | 編輯抑制規則 | 已刪除警報抑制規則。 |
| 啟用抑制規則 | 抑制啟用規則 | 啟用警報抑制規則。 |
Microsoft Edge WebContentFiltering 活動
下表列出 Microsoft Edge 在 Microsoft 365 審核日誌中記錄的瀏覽活動,以配合 WebContentFiltering 功能。 表格包含在活動欄位顯示的友誼名稱,以及在審計紀錄的詳細資訊中出現的對應操作名稱,以及匯出搜尋結果時 .csv 檔案中。
搜尋稽核日誌 說明如何從 Microsoft Purview 入口網站搜尋稽核日誌。 使用者必須是全域管理員或擁有審計讀取權限才能存取審計日誌。 使用活動篩選器搜尋特定活動。 要列出所有 WebContentFiltering 活動,請在記錄類型篩選中選擇 WebContentFiltering。 如有需要,可使用日期範圍框和使用者清單進一步擴大搜尋結果範圍。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| Microsoft Edge 允許的網址導覽 | 網址授權 | 使用者瀏覽了一個網址。 |
| Microsoft Edge 中被封鎖的網址導覽 | 網址導航封鎖 | 瀏覽的網址會被 WebContentFiltering 政策封鎖。 |
Microsoft Entra 群組管理活動
下表列出了當管理員或使用者建立或變更 Microsoft 365 群組,或管理員使用 Microsoft 365 系統管理中心或 Azure 管理入口建立安全群組時,Microsoft 365 稽核日誌記錄的群組管理活動。 如需有關 Microsoft 365 中的群組詳細資訊,請參閱檢視、建立及刪除 Microsoft 365 系統管理員中心的群組。
注意事項
下表中 操作欄列出 的操作名稱包含 ( . ) 的週期。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" ") 來含括作業名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增群組 | AddGroup | 已建立群組。 |
| 已將成員新增至群組中 | 加入成員加入群組。 | 已將成員新增至群組中。 |
| 已刪除群組 | 刪除群組。 | 已刪除群組。 |
| 已移除群組中的成員 | 移除成員出群組。 | 已移除群組中的成員。 |
| 已更新群組 | 更新群組。 | 已變更群組的屬性。 |
Microsoft Entra 風險偵測活動
下表列出使用 Microsoft Entra ID Protection 時,記錄於 Microsoft 365 稽核日誌中的風險偵測活動。 欲了解更多風險偵測資訊,請參閱 「了解風險偵測..
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 登入偵測被入侵 | CompromisedSignIn | 登入風險偵測代表某個認證請求並非該帳戶授權擁有者的機率。 |
| 使用者偵測被入侵 | CompromisedUser | 當潛在威脅者透過帳號憑證入侵帳號,或偵測到某種異常使用者活動時,使用者風險偵測可能會將合法使用者帳號標記為有風險。 |
Microsoft Fabric 活動
下表顯示 Microsoft 365 審計日誌記錄的 Microsoft Fabric 在 Power BI 中的活動。 您可以在 Power BI 中搜尋活動的稽核記錄。 有關稽核設定的資訊,請參閱 稽核與使用租戶設定。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立跨租戶授權映射 | CreateCrossTenantAuthMapping | 建立跨租戶認證功能的使用者映射。 |
| 刪除了一個任務流程 | DeletedTaskFlow | 刪除了一個任務流程。 |
| 列出所有跨租戶認證映射 | ListCrossTenantAuthMappings | 在租戶中列出跨租戶授權映射。 |
Microsoft Teams 活動
下表顯示Microsoft 365 審計日誌記錄Microsoft Forms的使用者與管理員活動。 Microsoft Forms 是一款表單、測驗和調查工具,你可以用來收集資料進行分析。 部分操作包含額外的活動參數,如描述所述。
如果共同作者或匿名回應者執行表單活動,稽核日誌會以略有不同的方式記錄。 如需詳細資訊,請參閱由共同作者和匿名回應者執行的 Forms 活動一節。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增表單共同撰寫 | AddFormCoauthor | 使用者會使用協作連結來協助設計表單或查看回應。 此事件記錄於使用者使用協作網址時 (而非協作網址首次產生時) 。 |
| 已新增特定回應者 | AddSpecificResponder | 表單擁有者將新使用者或群組新增到特定回應者清單。 |
| 允許複製共用表單 | AllowShareFormForCopy | 表單擁有者建立範本連結,以與其他使用者共用表單。 當表單擁有者選擇產生模板網址時,此事件會被記錄。 |
| 已連線至 Excel 活頁簿 | ConnectToExcelWorkbook | 已將表單連線至 Excel 活頁簿。 屬性 ExcelWorkbookLink:string 是目前表單的相關 Excel 工作簿 ID。 |
| 已建立集合 | CollectionCreated | 表單擁有者已建立集合。 |
| 已建立註解 | CreateComment | 表單擁有者為測驗新增註解或分數。 |
| 已建立表單 | CreateForm | 表單擁有者建立新表單。 Property DataMode:string 是當前表單,若屬性值等於 DataSync,則設定與新建或現有的 Excel 工作簿同步。 屬性 ExcelWorkbookLink:string 是目前表單的相關 Excel 工作簿 ID。 |
| 已建立回應 | CreateResponse | 類似於接收新回應。 有用戶提交了一份表單的回應。 Property ResponseId:string 和 Property ResponderId:string 是被查看的結果。 對於匿名回應者,ResponderId 屬性為空。 |
| 已建立摘要連結 | GetSummaryLink | 表單擁有者建立摘要結果連結以共用結果。 |
| 已刪除所有回應 | DeleteAllResponses | 表單擁有者刪除所有回應資料。 |
| 已從資源回收筒刪除集合 | CollectionHardDeleted | 表單擁有者已從資源回收筒刪除集合。 |
| 已刪除表單 | DeleteForm | 表單擁有者刪除表單。 此動作包括 SoftDelete (刪除選項,並將表單移至回收站) ,以及 HardDelete (回收站會清空) 。 |
| 已刪除回應 | DeleteResponse | 表單擁有者刪除一項回應。 Property ResponseId:string 是被刪除的回應。 |
| 已刪除摘要連結 | DeleteSummaryLink | 表單擁有者刪除摘要結果連結。 |
| 已停用任何人都可以回應設定 | DisallowAnonymousResponse | 表單擁有者會關閉設定,讓任何人都能回應表單。 |
| 已停用共同作業 | DisableCollaboration | 表單擁有者關閉表單上的共同作業設定。 |
| 已停用特定人員可以回應設定 | DisableSpecificResponse | 表單擁有者關閉只允許目前組織中特定人員或特定群組回應表單的設定。 |
| 已禁止複製共用表單 | DisallowShareFormForCopy | 表單擁有者刪除範本連結。 |
| 已編輯表單 | EditForm | 表單擁有者編輯表單,例如建立、移除或編輯問題。
EditOperation:string 這個屬性就是編輯操作的名稱。 可能的作業如下: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage 包含 Forms 中任何使用者可上傳圖片的地方,例如查詢中或背景主題。 |
| 已啟用任何人都可以回應設定 | AllowAnonymousResponse | 表單擁有者會開啟設定,讓任何人都能回應表單。 |
| 已啟用 Office 365 公司或學校帳戶共同作業 | EnableWorkOrSchoolCollaboration | 表單擁有者開啟設定,允許具有 Microsoft 365 公司或學校帳戶的使用者檢視及編輯表單。 |
| 已啟用我組織中的人員共同作業 | EnableSameOrgCollaboration | 表單擁有者開啟設定,允許目前組織的使用者檢視及編輯表單。 |
| 已啟用特定人員可以回應設定 | EnableSpecificResponse | 表單擁有者開啟只允許目前組織中特定人員或特定群組回應表單的設定。 |
| 已啟用特定人員共同作業 | EnableSpecificCollaboaration | 表單擁有者開啟只允許目前組織中特定人員或特定群組檢視及編輯表單的設定。 |
| 已匯出表單 | ExportForm | 表單擁有者將結果匯出到 Excel。 屬性 ExportFormat:string 是 Excel 檔案的下載或線上。 |
| 已列出表單 | ListForms | 表單擁有者正檢視表單清單。 屬性 ViewType:string 是表單擁有者正在查看的視圖:所有表單、與我共享或群組表單 |
| 已將表單移入集合 | MovedFormIntoCollection | 表單擁有者已將表單移至集合。 |
| 已將表單從集合移出 | MovedFormOutofCollection | 表單擁有者已將表單從集合移出。 |
| 已將集合移至資源回收筒 | CollectionSoftDeleted | 表單擁有者已將集合移至資源回收筒。 |
| 已移動表單 | MoveForm | 表單擁有者移動表單。 Property DestinationUserId:string 是移動表單者的使用者 ID。 屬性 NewFormId:字串是新複製表單的全新識別碼。 Property IsDelegateAccess:boolean 是目前透過管理員代理頁面執行的表單移動動作。 |
| 已預覽表單 | PreviewForm | 表單擁有者會透過預覽功能預覽表單。 |
| 已移除表單共同撰寫 | RemoveFormCoauthor | 表單擁有者刪除共同作業連結。 |
| 已移除特定回應者 | RemoveSpecificResponder | 表單擁有者將使用者或群組從特定回應者清單移除。 |
| 已重新命名集合 | CollectionRenamed | 表單擁有者已變更集合的名稱。 |
| 已傳送 Forms Pro 邀請 | ProInvitation | 使用者選擇啟動 Pro 試用。 |
| 已提交回應 | SubmitResponse | 使用者提交表單的回應。 Property IsInternalForm:boolean 是指回應者與表單擁有者在同一組織內。 |
| 已更新集合 | CollectionUpdated | 表單擁有者已更新集合屬性。 |
| 已更新表單網路釣魚狀態 | UpdatePhishingStatus | 每當內部安全狀態的詳細值改變時,無論此變更是否影響最終安全狀態,例如表單現在為關閉或已開啟, (都會記錄此事件) 。 此變更可能導致重複事件,卻無法最終改變安全狀態。 此事件的可能狀態值如下: - 記下 - 由系統管理員記下 - 系統管理員解除封鎖 - 自動封鎖 - 自動解除封鎖 - 客戶報告 - 重設客戶報告 |
| 已更新表單設定 | UpdateFormSetting | 表單擁有者更新一或多個表單設定。 屬性 FormSettingName:string 是 敏感設定名稱的更新。 屬性 NewFormSettings:string 是設定名稱和新值的更新。 屬性 thankYouMessageContainsLink:boolean 已更新,感謝訊息包含網址連結。 |
| 已更新回應 | UpdateResponse | 班主更新了測驗的留言或分數。 Property ResponseId:string 和 Property ResponderId:string 是被查看的結果。 對於匿名回應者,ResponderId 屬性為空。 |
| 更新的使用者網路釣魚狀態 | UpdateUserPhishingStatus | 每當使用者安全狀態值改變時,此事件都會被記錄。 當使用者建立釣魚表單,Microsoft Online 安全團隊將其移除時,審核紀錄中的用戶狀態價值被 確認為釣魚者 。 如果系統管理員解除封鎖該使用者,該使用者的狀態值會設定為 [重設為一般使用者]。 |
| 已編輯使用者設定 | UpdateUserSetting | 表單擁有者更新使用者設定。 屬性 UserSettingName:string 是設定的名稱及新值 |
| 已檢視表單 (設計階段) | ViewForm | 表單擁有者開啟現有表單以進行編輯。 Property Access Dennied:Boolean 表示因權限檢查而拒絕目前表單的存取。 PropertyFromSummaryLink:boolean 目前的請求來自摘要連結頁面。 |
| 已檢視回應 | ViewResponse | 表單擁有者檢視特定回應。 Property ResponseId:string 和 Property ResponderId:string 是被查看的結果。 對於匿名回應者,ResponderId 屬性為空。 |
| 已檢視回應頁面 | ViewRuntimeForm | 使用者開啟回應頁面查看。 無論使用者是否提交回應,系統都會記錄此事件。 |
| 已檢視回應 | ViewResponses | 表單擁有者檢視回應的彙總清單。 屬性 ViewType:string 表示表單擁有者是查看 Detail 還是 Aggregate |
由共同作者和匿名回應者執行的 Forms 活動
表單支援設計表單與分析回應時的協作。 表單共同作業者稱為 [共同作者]。 除了刪除或移動表單以外,共同作者可以執行表單擁有者可以執行的所有動作。 Forms 也可讓您建立可匿名回應的表單。 這表示回應者不需要登入您的組織就能回應表單。
下表描述了共同作者及匿名回應者所執行的稽核活動及 Microsoft 365 稽核日誌中記錄的資訊。
| 活動類型 | 內部或外部使用者 | 已登入的使用者識別碼 | 已登入的組織 | Forms 使用者類型 |
|---|---|---|---|---|
| 共同撰寫活動 | 外部 | urn:forms:coauthor#a0b1c2d3@forms.office.com(ID 的第二部分是雜湊值,對不同使用者有不同差異) |
表單擁有者的組織 |
共同作者 |
| 共同撰寫活動 | 外部 | UPN |
共同作者的組織 |
共同作者 |
| 共同撰寫活動 | 內部 | UPN | 表單擁有者的組織 | 共同作者 |
| 回應活動 | 匿名 | urn:forms:anonymous#a0b1c2d3@forms.office.com(使用者ID的第二部分是雜湊值,因應不同使用者而異) |
表單擁有者的組織 | 回應者 |
| 回應活動 | 外部 | urn:forms:external#a0b1c2d3@forms.office.com(使用者ID的第二部分是雜湊值,因應不同使用者而異) |
表單擁有者的組織 | 回應者 |
| 回應活動 | 外部 | UPN |
回應者的組織 |
回應者 |
Microsoft Graph Data Connect
下表列出了在 Microsoft 365 稽核日誌中記錄的 Microsoft Graph Data Connect 中使用者與管理員的活動。 表格包含在 活動 欄位顯示的友善名稱,以及在審計紀錄的詳細資訊和匯出搜尋結果時 CSV 檔案中出現的相應作業名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 申請核准或被拒絕 | 同意修改請求 | 使用者執行了同意修改請求。 |
| 撤離進行 | DataAccessRequestOperation | 使用者執行了擷取。 合作夥伴資料集及獨立軟體分析(ISV)不包含。 |
Microsoft Places 目錄活動
下表列出 Microsoft 365 審計日誌記錄的 Microsoft Places Directory 中的管理員活動。 表格包含在 活動 欄位顯示的友善名稱,以及匯出搜尋結果時,審計記錄詳細資訊和 CSV 檔案中顯示的相應操作名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 創造了一個地方 | 創造之地 | 一位管理員執行了一個建立地點的操作。 |
| 刪除了一個地方 | 刪除的地方 | 一位管理員執行了刪除位置的操作。 |
| 更新了一個地方 | 更新的地方 | 一位管理員執行了更新地點的操作。 |
Microsoft Planner 活動
下表列出 Microsoft 365 審計日誌記錄的 Microsoft Planner 中使用者與管理員活動。 表格包含在 活動 欄位顯示的友善名稱,以及匯出搜尋結果時,審計記錄詳細資訊和 CSV 檔案中顯示的相應操作名稱。
注意事項
Planner 中的投資組合活動會用 Microsoft Project 記錄網頁路線圖活動。 詳情請參閱 Microsoft Project 網頁版活動章節。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增一名成員加入名單 | 名單成員新增 | 一名成員被加入名單。 若新增操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,MemberIds 則是嘗試成員 ID 的清單。 |
| 被指派任務 | 任務分配 | 任務的指派對象是由使用者或應用程式修改的。 這可能是未指派的任務被指派,或是有新指派的任務。 |
| 完成任務 | 任務完成 | 使用者或應用程式標記任務已完成。 |
| 複製了一個計畫 | 計畫複製 | 用戶或應用程式複製了計畫。 若複製操作為 ResultStatus.Failure 或 ResultStatus.Failure,則 newPlanId 為 null,newContainerType 為 ContainerType.Invalid,newContainerId 為 NULL。 |
| 創造了一個進球 | 目標創造 | 目標是由使用者或應用程式創建的。 若 create 操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 ObjectId 為空, PlanId 為空。 |
| 制定了計畫 | 計畫創造 | 計畫是由使用者或應用程式建立的。 若 create 操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 ObjectID 為 null,ContainerType 為 ContainerType.Invalid,ContainerId 為 null。 |
| 創建了名單 | 名單已建立 | 名單是由使用者或應用程式建立的。 若 create 操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 ObjectID 為空, MemberIds 為空字串。 |
| 建立任務 | 任務創造 | 任務是由使用者或應用程式建立的。 若 create 操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 ObjectId 為空, PlanId 為空。 |
| 刪除了一個目標 | 目標已刪除 | 目標被使用者或應用程式刪除。 |
| 刪除了計畫 | 計畫已刪除 | 使用者或應用程式刪除了計畫。 |
| 刪除了一份名單 | 名單已刪除 | 某個名單被使用者或應用程式刪除。 |
| 刪除任務 | 任務刪除 | 使用者或應用程式刪除了任務。 |
| 修改進球 | 目標修改版 | 目標是由使用者或應用程式修改的。 |
| 修改計畫 | 計畫修改版 | 方案是由使用者或應用程式修改的。 |
| 修改任務 | TaskModified | 任務是由使用者或應用程式修改的。 |
| 讀進球 | GoalRead | 目標被使用者或應用程式讀取。 若讀取操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 PlanID 為空。 |
| 閱讀目標列表 | 目標清單已讀 | 使用者或應用程式會查詢目標清單。 若查詢操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 GoalList 為空字串。 |
| 閱讀一份計畫清單 | 計畫清單已讀 | 用戶或應用程式會查詢一份計畫清單。 如果查詢操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,PlanList 是空字串。 |
| 閱讀任務清單 | 任務清單閱讀 | 使用者或應用程式會查詢一份任務清單。 如果查詢操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,TaskList 就是空字串。 |
| 讀一份計畫 | 計劃閱讀 | 使用者或應用程式會閱讀計畫。 若讀取操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 ContainerType 為 ContainerType.Invalid,ContainerId 為空。 |
| 閱讀任務 | 任務閱讀 | 使用者或應用程式會讀取任務。 若讀取操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,則 PlanID 為空。 |
| 將一名成員移入名單 | 名單成員已刪除 | 一名成員被從名單中移除。 若移除操作為 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,MemberIds 是嘗試的成員 ID 清單。 |
| 更新名單的敏感度標籤 | 名單敏感標籤已更新 | 使用者或應用程式會更新名單的敏感度標籤。 |
| 更新的租戶設定 | 租戶設定已更新 | 組織設定由組織管理員更新。如果更新操作是 ResultStatus.Failure 或 ResultStatus.AuthorizationFailure,ObjectID 是原始設定,TenantSettings 是嘗試組織的設定。 |
Microsoft Power Apps 活動
您可以在 Power Apps 中搜尋應用程式相關活動的稽核記錄。 這些活動包括建立、啟動和發佈應用程式。 將權限指派給應用程式也會經過稽核。 如需所有 Power Apps 活動的說明,請參閱 Power Apps 的活動記錄。
注意事項
警示政策 (保護警示) (RecordType:45) 目前不支援PowerApps。
Microsoft Power Automate 活動
您可以在 Power Automate (之前稱為 Microsoft Flow) 中搜尋活動的稽核記錄。 這些活動包括建立、編輯和刪除流程,以及變更流程權限。
Microsoft Project 網頁版活動
你可以在 Microsoft Project 網頁版的稽核日誌中搜尋活動。 Microsoft Project 網頁版是基於 Microsoft Dataverse 架構,並附有相關的 Project Power App。 若要啟用使用者使用 Microsoft Dataverse 或 Project Power App 的情境進行稽核,請參閱 系統設定稽核標籤的 指引。 有關 Project 網頁版相關的實體列表,請參閱「從 Project 網頁版匯出使用者資料」指引。
欲了解 Microsoft Project 網頁版的資訊,請參閱 Microsoft Project 網頁版。
注意事項
Microsoft Project 網頁版活動的稽核活動需要付費Project 方案 1執照, (或更高) 。
下表列出了 Microsoft 專案在 Microsoft 365 稽核日誌中記錄的網頁活動:
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 創建專案 | ProjectCreated | 專案是由使用者或應用程式建立的。 |
| 制定路線圖 | 路線圖已建立 | 路線圖或作品集是由使用者或應用程式所建立。 |
| 已建立的路線圖項目 | 路線圖項目已建立 | 路線圖或作品集項目是由使用者或應用程式所建立。 |
| 建立任務 | 任務創造 | 一個任務是由使用者或應用程式建立的。 |
| 已刪除的專案 | 計畫已刪除 | 專案被使用者或應用程式刪除。 |
| 已刪除的路線圖 | 路線圖已刪除 | 使用者或應用程式刪除了路線圖或作品集。 |
| 已刪除的路線圖項目 | 路線圖項目已刪除 | 使用者或應用程式刪除了路線圖或作品集項目。 |
| 已刪除的任務 | 任務刪除 | 某個任務被使用者或應用程式刪除。 |
| 專案存取 | 專案存取 | 專案被使用者或應用程式讀取。 |
| 專案主頁已進入 | 專案清單已存取 | 有位用戶查詢了一份專案清單和/或路線圖。 |
| 路線圖已查閱 | 路線圖已查閱 | 使用者或應用程式會閱讀路線圖或作品集。 |
| 路線圖項目已存取 | 路線圖項目已查閱 | 使用者或應用程式會閱讀路線圖或作品集項目。 |
| 任務已存取 | 任務存取 | 使用者或應用程式會讀取任務。 |
| 已更新的專案 | 專案更新 | 專案是由使用者或應用程式修改的。 |
| 更新的專案設定 | ProjectForTheWeb專案設定 | 有管理員更新了專案設定。 |
| 更新路線圖 | 路線圖已更新 | 路線圖或作品集是由使用者或應用程式修改的。 |
| 更新路線圖項目 | 路線圖項目已更新 | 路線圖或作品集項目由使用者或應用程式修改。 |
| 更新的路線圖設定 | ProjectForTheWebRoadmaptSettings | 管理員更新了路線圖或作品集設定。 |
| 更新任務 | 任務更新 | 任務是由使用者或應用程式修改的。 |
Microsoft Purview 稽核解決方案活動
下表列出與 Microsoft Purview 入口網站及審計搜尋圖形 API 中稽核解決方案相關的活動。 SecurityComplianceCenter 的工作負載會稽核這些活動。 欲了解更多資訊,請參閱 「查詢稽核日誌」。
使用 Search-UnifiedAuditLog 的審計、搜尋與匯出活動則不會被審計。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 審計搜尋取消 | AuditSearch已取消 | 審計搜尋工作被取消。 |
| 審計搜尋完成 | AuditSearch已完成 | 完成了審計搜尋工作。 |
| 建立稽核搜尋 | AuditSearchCreated | 新的審計搜尋申請已提交。 |
| 審計搜尋已刪除 | AuditSearch已刪除 | 一個審計搜尋職缺被刪除了。 |
| 審計搜尋匯出工作完成 | 審計搜尋匯出工作已完成 | 匯出審計查詢查詢結果的作業已完成。 |
| 已建立的審計搜尋匯出工作 | 審計搜尋匯出工作已建立 | 建立了匯出工作以匯出稽核查詢查詢的搜尋結果。 |
| 已下載稽核搜尋匯出結果 | AuditSearch匯出結果已下載。 | 已下載審計查詢的搜尋結果。 |
Microsoft Purview 治理活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Purview 治理活動。 欲了解更多資訊,請參閱 Microsoft Purview 治理解決方案。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 資產或實體的創建 | 實體創造 | 新資產或實體被創建或新增於現有資產上。 |
| 新增分類 | 分類新增 | 資產實體新增分類。 |
| 分類定義的建立 | 分類定義已建立 | 建立了分類類型。 |
| 分類定義已刪除 | 分類定義已刪除 | 刪除了一個分類類型。 |
| 分類定義更新 | 分類定義已更新 | 更新了分類類型。 |
| 分類已刪除 | 分類已刪除 | 資產實體中已刪除分類。 |
| 分類更新 | 分類 更新 | 資產實體的最新分類。 |
| 實體已刪除 | Entity已刪除 | 資產或實體從現有資產中被刪除。 |
| 實體已更新 | 實體已更新 | 包含:屬性更新、商業屬性更新、集合資訊 (僅包含集合 ID) 、聯絡人更新、customAttributes、階層結構、homeId、標籤、sourceDetails。 |
| 詞彙表術語的指定 | 詞彙表術語 | 條款分配給資產實體。 |
| 詞彙表術語的建立 | 詞彙 | 創造了一個詞彙。 |
| 詞彙表術語已刪除 | 詞彙表術語已刪除 | 刪除了一個詞。 |
| 詞彙表詞彙 disassociate | 詞彙表術語Dissassociation | 與資產實體無關的術語。 |
| 詞彙表術語更新 | 詞彙表術語更新 | 更新了一個術語。 |
| 靈敏度標籤變更 | SensitivityLabelChanged | 敏感度標籤已被新增、更新或刪除。 |
Microsoft Purview 按需分類活動
下表列出 Microsoft Purview 按需分類中 Microsoft 365 審計日誌記錄的活動。 欲了解更多關於隨選分類的資訊,請參閱 「了解 Microsoft Purview 中的隨選分類」。
注意事項
這些審計活動僅在高級) 審計 (中提供。 您必須先獲得適當的執照,這些活動才能被記錄在稽核日誌中。 欲了解更多資訊,請參閱 《 (Premium) 審核。 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 機密檔案作為按需分類掃描的一部分 | DataScan分類 | 檔案在 SharePoint 或 OneDrive 的按需分類掃描中,進行敏感內容評估。 |
| 裝置上的機密檔案作為按需分類掃描的一部分 | 敏感資訊發現 | 檔案在終端裝置的按需分類掃描中被評估是否含有敏感內容。 |
| 解密檔案作為按需分類掃描的一部分 | DataScanDeClassification | 檔案不再符合對應的 SharePoint 或 OneDrive 地點觸發的隨選分類掃描中定義的敏感資訊類型。 |
Microsoft Security Copilot 代理管理
下表列出 Microsoft 365 審計日誌記錄的 Security Copilot 代理管理操作。 這些活動描述了代理的活動及其運作所需的組成部分,例如觸發點。 欲了解更多關於 Security Copilot 代理管理的資訊,請參閱 Microsoft Security Copilot 代理程式概覽。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 創建了新的 Security Copilot 代理 | 創建副駕駛代理 | 使用者 (、管理員或系統代表使用者) 建立新的Security Copilot代理。 |
| 建立了新的 Security Copilot agent 觸發器 | CreateCopilotforSecurityAgentTrigger | 使用者 (、管理員或系統代表使用者) 在 Copilot 中建立新的提示書。 |
| 刪除了一名 Security Copilot 代理 | 刪除副駕駛代理 | 使用者 (、管理員或系統代表使用者) 刪除Security Copilot代理。 |
| 已刪除 Security Copilot agent 觸發器 | DeleteCopilotForSecurityAgentTrigger | 使用者 (、管理員或系統代表使用者刪除Security Copilot觸發器) 。 |
| 更新了 Security Copilot agent 設定 | 更新CopilotAgent | 使用者 (、管理員或系統代表使用者更新Security Copilot代理設定) 。 |
| 更新了 Security Copilot agent 觸發器 | UpdateCopilotforSecurityAgentTrigger | 使用者 (、管理員或系統代表使用者) 更新Security Copilot代理觸發器設定。 |
Microsoft Security Copilot 互動
下表列出 Microsoft 365 稽核日誌記錄的 Security Copilot 中使用者與 AI 元件互動的類型。 這些操作代表個別提示、內嵌經驗或代理工作流程。 欲了解更多關於 Security Copilot 互動的資訊,請參閱 Security Copilot 中的提示與 Microsoft Security Copilot 代理總覽。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 與副駕駛互動 | 副駕駛互動 | 使用者 (、管理員或系統代表使用者) 在 Copilot 或代理程式中輸入提示。 |
Microsoft Security Copilot 平台管理
下表列出 Security Copilot 及其組件的管理操作,這些元件由 Microsoft 365 審計日誌記錄。 這些操作代表租戶或工作區設定,或是 AI 元件,如外掛和提示本。 欲了解更多關於 Security Copilot 管理元素的資訊,請參閱 Microsoft Security Copilot 是什麼。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立了一個新的 Copilot 外掛 | CreatePlugin | 使用者 (、管理員或系統代表使用者) 創建了一個新的 Copilot 外掛。 |
| 製作了一本新的 Copilot 提示書 | CreatePromptBook | 使用者 (、管理員或系統代表使用者) 在 Copilot 中建立新的提示書。 |
| 刪除了一個 Copilot 外掛 | 刪除插件 | 使用者 (、管理員或系統代表使用者刪除 Copilot 外掛) 。 |
| 刪除了一本副駕駛題目本 | 刪除提示書 | 使用者 (、管理員或系統代表使用者刪除 Copilot 提示書) 。 |
| 停用了一個 Copilot 插件 | 停用副駕駛外掛 | 使用者 (、管理員或系統代表使用者) 停用 Copilot 外掛。 |
| 停用副駕駛提示書 | Disable提示書 | 使用者 (、管理員或系統代表使用者) 停用 Copilot 提示書。 |
| 啟用 Copilot 插件 | 啟用插件 | 使用者 (、管理員或系統代表使用者) 啟用 Copilot 外掛。 |
| 啟用 Copilot 提示本 | 啟用提示書 | 使用者 (、管理員或系統代表使用者) 啟用 Copilot 提示書。 |
| 更新了 Copilot 外掛設定 | 更新插件 | 使用者 (、管理員或系統代表使用者更新 Copilot 外掛設定) 。 |
| 更新了 Copilot 的提示本設定 | 更新提示書 | 使用者 (、管理員或系統代表使用者更新 Copilot 提示簿設定) 。 |
| 更新了 Copilot 設定 | 更新租戶設定 | 管理員的 (或系統代表管理員更新 Copilot 設定) 。 |
Microsoft Sentinel AI 工具活動
下表列出 Microsoft 365 稽核日誌中 Microsoft Sentinel 資料湖中與 AI 工具相關的活動。 欲了解更多關於 Microsoft Sentinel 資料湖中 MCP 工具的資訊,請參閱 Microsoft Sentinel MCP 伺服器中的工具收藏。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 完成的 AI 工具運行 | 哨兵AI完成了 | Microsoft Sentinel AI 工具運行完成 |
| 創建的 AI 工具 | SentinelAI 創造了 | 使用者建立 Microsoft Sentinel AI 工具 |
| 開始執行 AI 工具 | SentinelAIToolRunStarted(哨兵AI)開始了 | Microsoft Sentinel AI 工具啟動 |
Microsoft Sentinel data lake notebook activities
下表列出了 Microsoft 365 審計日誌中記錄的 Microsoft Sentinel Data Lake 筆記本活動。 欲了解更多關於 Microsoft Sentinel 資料湖中筆記本的資訊,請參閱「在 Microsoft Sentinel 資料湖中使用筆記本」。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 刪除了自訂資料表 | 自訂表格刪除 | 使用者在執行筆記本時刪除了某個資料表。 |
| 從表格閱讀 | TableRead(閱讀表) | 使用者在筆記本執行時會閱讀表格。 |
| 開始了遊戲 | 會話開始 | 使用者啟動了筆記本會話。 |
| 停止的會議 | 會話停止 | 使用者停止了筆記本的會話。 |
| 寫入自訂資料表 | 自訂表格寫作 | 使用者在執行筆記本時會寫到表格。 |
Microsoft Sentinel data lake job activities
下表列出 Microsoft 365 稽核日誌記錄的 Microsoft Sentinel 資料湖中的工作活動。 欲了解更多關於Microsoft Sentinel資料湖中工作,請參閱「建立並管理 Jupyter 筆記本工作 (預覽) 」以及「在Microsoft Sentinel資料湖中建立 KQL 工作 (預覽) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 完成了一項臨時執行的工作 | 工作運行臨時完成 | 臨時工作執行完成。 |
| 完成了預定的工作執行 | 工作完成 排程完成 | 排程工作執行完成。 |
| 已創建的工作 | 工作創造 | 工作機會被創造出來。 |
| 刪除了自訂資料表 | 自訂表格刪除 | 在工作執行時,自訂資料表被刪除了。 |
| 已刪除的工作 | 工作已刪除 | 一個工作被刪除了。 |
| 身心障礙工作 | 工作失能 | 這份工作是殘障的。 |
| 啟用工作 | JobEnabled | 一個被停用的工作會重新啟用。 |
| 臨時做過一份工作 | JobRunAdhoc | 工作是手動觸發並執行啟動。 |
| 按時完成了一份工作 | 工作執行已排程 | 工作執行是因為排程而觸發。 |
| 從表格閱讀 | TableRead(閱讀表) | 作為工作執行的一部分,會讀取一張表格。 |
| 阻止了一場搶劫 | 工作停止 | 使用者手動取消或停止正在執行的工作。 |
| 更新職缺 | 工作更新 | 工作定義及/或配置及排程細節(如有更新)。 |
| 寫入自訂資料表 | 自訂表格寫作 | 作為工作執行的一部分,資料會寫入自訂資料表。 |
Microsoft Sentinel data lake KQL activities
下表列出 Microsoft 365 審計日誌記錄的 Microsoft Sentinel 資料湖中的 KQL 活動。 欲了解更多關於Microsoft Sentinel資料湖中的 KQL 資訊,請參閱 KQL 及Microsoft Sentinel資料湖 (預覽) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 完成 KQL 查詢 | KQLQuery已完結 | 使用者透過 KQL 對其 Microsoft Sentinel 資料湖中的資料執行互動式查詢。 |
Microsoft Sentinel 資料湖啟動活動
下表列出了 Microsoft 365 稽核日誌中記錄的 Microsoft Sentinel 資料湖入職活動。 欲了解更多關於Microsoft Sentinel資料湖的導入資訊,請參閱預覽 ) Microsoft Sentinel資料湖 (導引。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| Sentinel 湖的訂閱變更 | 哨兵湖訂閱已更改 | 使用者修改了與資料湖相關的計費訂閱 ID 或資源群組。 |
| Sentinel 湖的登機資料 | SentinelLakeDefaultDataOnboarded | 在導入過程中,機上預設資料會被記錄下來。 |
| 設置 Sentinel 湖 | 哨兵湖設置 | 在導入時,Microsoft Sentinel 資料湖已經設置並記錄細節。 |
Microsoft Sentinel 圖形活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Sentinel 圖形活動。 欲了解更多關於Microsoft Sentinel圖的資訊,請參見「什麼是Microsoft Sentinel Graph?」 (預覽) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立了一個圖形情境 | GraphScenarioCreated | 使用者為預先定義的圖情境建立了一個圖實例。 |
| 刪除了一個圖表情境 | GraphScenario已刪除 | 使用者刪除或停用預定義圖情境的圖實例。 |
| 執行了一個圖查詢 | GraphQueryRun | 使用者執行了一個圖表查詢。 |
Microsoft Stream 活動
您可以在 Microsoft Stream 中搜尋活動的稽核記錄。 這些活動包括使用者執行的視訊活動、群組頻道活動及系統管理員活動,例如管理使用者、管理組織設定及匯出報告。 如需這些活動的說明,請參閱 Microsoft Stream 中的稽核記錄 中的「Stream 中記錄的動作」一節。
Microsoft Teams 活動
下表列出 Microsoft 365 稽核日誌中記錄的 Microsoft Teams 活動。 您可以在 Microsoft Teams 中搜尋使用者和系統管理員活動的稽核記錄。 Teams 是 Microsoft 365 中以聊天方式為主的工作區。 它能將小組的交談、會議、檔案及筆記存放在同一個位置。 欲了解更多詳細搜尋指引,請參閱 Microsoft Teams 中搜尋稽核日誌事件。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 接受訊息 | UserAccepted | 接受一個從未與他建立聯繫的人的新訊息。 |
| 已將 Bot 新增到小組 | BotAddedToTeam | 使用者在小組中新增機器人。 |
| 新增頻道 | ChannelAdded | 使用者在小組中新增頻道。 |
| 已新增連接器 | ConnectorAdded | 使用者在頻道中新增連接器。 |
| 新增 Teams 會議 9 的細節 | 會議詳情 | Teams 新增了會議資訊,包括開始時間、結束時間、加入會議的網址,以及會議的開始/結束錄影時間。 |
| 新增會議參與者資訊 9 | 會議參與者詳情 | Teams 新增了會議參與者的資訊,包括每位參與者的使用者 ID、參與者加入會議的時間、離開會議的時間,以及使用者錄製會議的開始/結束時間。 你也可以看到帶有時間戳記和以下資訊的日誌: - 參加會議的人 - 螢幕共享發生的地區 - 誰開始了螢幕共享 - 螢幕共享發生時 - 螢幕共享停止時 - 何時啟動了「奪取」、「給予」或「請求控制」 - 若這些控制請求被接受 - 接受這些控制請求的人 - 內容分享對象 |
| 新增成員 6, 8 | MemberAdded | 小組擁有者將成員新增至小組、頻道或群組聊天。 |
| 已新增索引標籤 | TabAdded | 使用者在頻道中新增索引標籤。 |
| 敏感度標籤的應用 | SensitivityLabelApplied | 使用者或會議組織者對 Teams 會議套用敏感度標籤。 |
| 已批准的申請 | 批准申請 | 使用者查看核准請求細節後,便批准了申請。 |
| 封鎖使用者 | 使用者封鎖 | 封鎖使用者發送訊息給你。 |
| 取消核准申請 | 取消核准請求 | 使用者取消了他們提出的批准申請。 |
| 非同步取消核準 | 取消批准非同步 | 使用者會非同步取消批准請求。 |
| 已變更的頻道設定 | ChannelSettingChanged | 小組成員執行下列活動時會記錄 ChannelSettingChanged 作業。 對於這些活動,變更的設定描述 (括號內) 顯示於稽核日誌搜尋結果的 項目 欄位中。
|
| 已變更的組織設定 | TeamsTenantSettingChanged | 當全域管理員在 Microsoft 365 系統管理中心執行以下活動時,TeamsTenantSettingChanged 操作會被記錄。 這些活動影響整個組織的 Teams 設定。 欲了解更多,請參閱 「管理您的組織的 Teams 設定」。 對於這些活動,變更的設定描述 (括號內) 顯示於稽核日誌搜尋結果的 項目 欄位中。
|
| 小組中已變更的成員角色 | MemberRoleChanged | 小組擁有者在小組中變更成員角色。 以下數值表示分配給使用者的角色類型。 1 - 成員角色。 2 - 老闆角色。 3 - 客串角色。 會員財產同時包含您組織名稱及會員的電子郵件地址。 |
| 敏感度標籤變更 | SensitivityLabelChanged | 有使用者在 Teams 會議中更改了敏感度標籤。 |
| 已變更的小組設定 | TeamSettingChanged | 小組擁有者執行下列活動時會記錄 TeamSettingChanged 作業。 對於這些活動,變更的設定描述 (括號內) 顯示於稽核日誌搜尋結果的 項目 欄位中。
|
| 建立組織範圍模板實例 | CreateOrgScopedTemplateInstance | 使用者建立了一個組織範圍的範本實例。 |
| 建立團隊範圍範本實例 | CreateTeamScopedTemplateInstance | 使用者建立了一個團隊範圍範本實例。 |
| 建立更新請求 | CreateUpdateRequest | 使用者建立了新的更新範本。 |
| 創建了一個聊天室 1、6 | 聊天創建 | 建立了 Teams 聊天室。 |
| 已獲得批准 | 創建批准 | 使用者建立了新的批准請求。 |
| 非同步產生批准 | 創建批准非同步 | 使用者會非同步建立新的批准請求。 |
| 產生出口工作 | CreatedExportJob | 使用者建立了一個匯出工作。 |
| 創建配置 | 創建配置 | 使用者建立的 CDS 配置, (Common Data Service) 實例。 |
| 已建立小組 | TeamCreated | 使用者建立小組。 |
| 刪除更新請求 | 刪除更新請求 | 使用者刪除更新範本。 |
| 刪除了一則訊息 2 | MessageDeleted | 聊天或頻道中的訊息被刪除了。 |
| 刪除所有組織應用程式 | DeletedAllOrganizationApps | 從目錄中刪除所有組織應用程式。 |
| 已刪除的應用程式 | AppDeletedFromCatalog | 一個應用程式從目錄中被刪除。 |
| 已刪除頻道 | ChannelDeleted | 使用者從小組中刪除頻道。 |
| 已刪除小組 | TeamDeleted | 小組擁有者刪除小組。 |
| 偵測到冒充企圖 | 隊伍冒充偵測 | 外部訊息發送者被偵測到可能存在冒充活動。 |
| 下載的檔案 | 下載檔案 | 使用者下載附有核准申請的檔案。 |
| 編輯組織範圍範本實例 | 編輯組織範圍模板實例 | 使用者編輯了一個組織範圍的範本實例。 |
| 編輯團隊範圍範本實例 | 編輯TeamScopedTemplateInstance | 使用者編輯了一個團隊範圍的範本實例。 |
| 編輯更新請求 | 編輯更新請求 | 使用者打開範本編輯精靈,選擇儲存按鈕以確認任何更新或啟用/停用範本。 |
| 在 Teams 裡編輯了一則帶有 URL 連結的訊息 | 訊息已編輯連結 | 使用者在 Teams 中編輯訊息並新增 URL 連結。 |
| 已編輯批准申請 | 已編輯批准請求 | 使用者對一個批准請求採取了編輯行動。 |
| 匯出訊息 1,2 | 訊息匯出 | 聊天或頻道訊息會被匯出。 |
| 匯出錄音 1 | 錄音匯出 | 聊天錄影被匯出。 |
| 匯出成績單 1 | 逐字稿匯出 | 聊天記錄被匯出。 |
| 未能驗證共享頻道3的邀請 | 驗證失敗 | 使用者回應了邀請,但邀請未能通過驗證。 |
| 取得訊息中所有託管內容1 | MessageHostedContentsListed(已列) | 訊息中所有託管內容,如圖片或程式碼片段,都會被檢索。 |
| 找來聊天 1 | 聊天取自 | 已取得一個 Microsoft Teams 聊天記錄。 |
| 取得組織範圍模板實例 | GetOrgScopedTemplateInstance | 使用者取得一個組織範圍的範本實例。 |
| 取得團隊範圍範本實例 | GetTeamScopedTemplateInstance | 使用者取得一個團隊範圍式範本實例。 |
| 有非同步操作 | 有同步操作 | 使用者獲得非同步操作實體。 |
| 已安裝的應用程式 | AppInstalled | 安裝了一個應用程式。 |
| 在牌上執行的動作 | 執行的CardAction | 有位使用者在聊天中對一張自適應卡片採取行動。 自動適應卡片通常被機器人用來豐富地顯示資訊並在聊天中互動。 審計日誌中只有在聊天中自適應卡片上的內嵌輸入動作可用。 例如,當用戶在由投票機器人產生的自適應卡片上,在頻道對話中提交投票回應。 像是「查看結果」這類會開啟對話框的使用者操作,或是對話框內的使用者操作,都無法在稽核日誌中看到。 |
| 在聊天中填寫 AI 生成的筆記 | AINotes更新 | AI 生成的筆記被填入群組聊天。 |
| 在即時會議中填寫 AI 生成的筆記 | LiveNotes更新 | 現場會議中會填寫 AI 生成的筆記。 |
| 發布新訊息 3、4、6、8 | 訊息已發送 | 新訊息被貼到聊天室或頻道。 |
| 已發佈的應用程式 | 應用程式發佈至目錄 | 目錄中新增了一個應用程式。 |
| 閱讀訊息 1 | 訊息已讀 | 會擷取聊天或頻道的訊息。 |
| 閱讀訊息的託管內容 1 | 訊息託管內容已閱讀 | 訊息中託管的內容,例如圖片或程式碼片段,會被擷取。 |
| 重新指派核准申請 | 重新分配批准請求 | 使用者將一個核准請求重新指派給另一位使用者。 |
| 核准申請被拒 | 拒絕核准請求 | 使用者查看核准申請細節後,拒絕了申請。 |
| 已將機器人從小組中移除 | BotRemovedFromTeam | 使用者將機器人從小組中移除。 |
| 已移除連接器 | ConnectorRemoved | 使用者從通道中移除連接器。 |
| 被罷免成員 6, 8 | MemberRemoved | 小組擁有者將成員從小組、頻道或群組聊天移除。 |
| 移除敏感標籤 | SensitivityLabelRemoved | 有使用者從 Teams 會議中移除了敏感度標籤。 |
| 移除了第三隊頻道的共享功能 | 終止共享 | 有團隊或頻道擁有者關閉了共享頻道的分享功能。 |
| 已移除索引標籤 | TabRemoved | 使用者將索引標籤從頻道中移除。 |
| 回應認可 | 回覆至批准 | 使用者對審核請求採取行動。 |
| 回覆了共享頻道3的邀請 | 受邀者回應 | 有用戶回應了共享頻道邀請。 |
| 回覆邀請者對共享頻道3的回應 | ChannelOwnerResponse | 一位頻道擁有者回應了一位回應共享頻道邀請的用戶的回應。 |
| 回覆了自訂的回覆 | 以自訂回應回應 | 使用者以自訂回覆文字回應批准請求。 |
| 恢復團隊頻道3共享 | 共享恢復 | 某個團隊或頻道擁有者重新啟用共享頻道的分享功能。 |
| 檢索訊息 1 | 訊息列表 | 聊天室或頻道的訊息被檢索出來。 |
| 敏感內容分享 | 敏感內容共享 | 當 Teams 會議啟用「 偵測螢幕分享會議中敏感內容 」功能,且會議中有敏感內容 (例如信用卡號碼、銀行帳號、社會安全號碼及類似的識別號碼) 螢幕上顯示時。 欲了解更多,請參閱「管理您組織內的會議是否能偵測螢幕分享期間的敏感內容」 |
| 在 Teams 裡發送了帶有網址連結的訊息 | 訊息創造了連結 | 使用者在 Teams 中發送包含 URL 連結的訊息。 |
| 已發送訊息建立變更通知 1 | 訊息創建通知 | 變更通知是為了通知訂閱的監聽者應用程式有新訊息。 |
| 已發送刪除訊息 變更通知 1 | 訊息刪除通知 | 變更通知是為了通知已訂閱的監聽器應用程式有刪除訊息。 |
| 已發送訊息更新 通知 1 | 訊息更新通知 | 會發送變更通知,以通知已訂閱的監聽器應用程式更新訊息。 |
| 已發送共享頻道3的邀請 | 邀請已發送 | 頻道擁有者或成員會發送邀請到共享頻道。 如果頻道政策設定為與外部使用者分享頻道,邀請可以寄送給組織外的人。 |
| 提交更新 | 提交更新 | 使用者提交了新的更新。 |
| 訂閱訊息變更通知 1 | 訂閱訊息 | 由一個聽取器應用程式建立訂閱,以接收訊息變更通知。 |
| Teams 管理員操作 | TeamsAdminAction | 當 Teams 管理員使用像是 PowerShell、管理員中心、API 等管理工具執行更新、新增或刪除 Teams 相關設定或設定等操作時,會記錄下來。 |
| 執行緒建立探測 | CreateThreadProbe | 有位使用者詢問是否能與組織內的使用者建立聊天。 以下物件為這些活動所包含: 活動:此活動的名稱為 CreateThreadProbe。 CorrelationId:審計日誌的唯一請求識別碼。 CreationTime:審計日誌建立的時間點。ExtraProperties**:包含一對鍵值對,描述探測請求啟動的環境。 ID:報告條目的ID。 ID 唯一識別審計日誌條目。 OrganizationId:您 Microsoft 365 組織的 GUID。 ParticipantInfo:包含一份 objectId 與 tenantId 配對清單,描述發起使用者 (UserKey 使用者) 發起探測的目標使用者集合。 換句話說,這些是發起使用者想要建立執行緒的使用者集合。 只包含你組織的使用者。 RecordType:記錄中指示的操作類型。 使用者識別碼:發起探測的使用者主體名稱。 使用者鍵:發起探測的使用者的 GUID。 UserSIPDomain:發起探測者的 SIP 網域。 UserTenantId:發起探測的使用者的租戶。 使用者類型:發起探測的使用者類型。 只有值 0,代表一般 AAD 使用者。 版本:活動的版本號 (由記錄的操作屬性) 識別。 工作負載:活動發生的服務。 |
| 解除封鎖使用者 | 使用者解封 | 解除封鎖之前被封鎖的使用者。 |
| 已卸載的應用程式 | AppUninstall | 一個應用程式被卸載了。 |
| 更新了一次聊天 | 聊天更新 | Teams 聊天室更新了。 |
| 更新訊息 1 | MessageUpdated | 聊天或頻道的訊息會被更新。 |
| 更新版應用程式 | AppUpdatedInCatalog | 目錄中更新了一個應用程式。 |
| 非同步更新核准請求 | 更新批准請求非同步 | 使用者對批准請求採取非同步處理。 |
| 已更新連接器 | ConnectorUpdated | 使用者已修改頻道中的連接器。 |
| 已更新索引標籤 | TabUpdated | 使用者已修改頻道中的索引標籤。 |
| 升級版應用程式 | AppUpgraded | 應用程式已升級至目錄中的最新版本。 |
| 使用者已登入 Teams | TeamsSessionStarted | 使用者登入 Microsoft Teams 用戶端。 此事件不會擷取權杖重新整理活動。 |
| 查看核准申請 | 檢視核准請求 | 使用者提出請求以查看審核請求。 |
| 查看更新 | ViewUpdate | 使用者可查看更新細節。 |
| 已檢視核准申請 | 檢視核准請求 | 使用者可從自適應卡或應用程式內查看核准申請的詳細資訊。 |
| 已查看附加欄位的核准 | 查看核准與額外欄位 | 使用者可查看包含至少一個可編輯文字欄位的核准請求細節。 |
| 群組請求時已檢視批准 | 查看與群組請求的核准 | 使用者會查看包含一組的審核申請細節。 |
注意事項
1 只有在呼叫 Microsoft 圖形 API 執行操作時,才會記錄此事件的稽核紀錄。 如果操作是在 Teams 用戶端執行,審計紀錄就不會被記錄。
2 此活動僅在審核 (高級) 中提供。 這表示使用者必須先被分配適當的授權,才能將這些事件記錄在稽核日誌中。 欲了解更多僅在審核 (高級專) 提供的活動資訊,請參閱 Microsoft Purview (高級) 審核。 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案。
3 本次活動目前為公開預覽階段。
4此活動僅在有訪客、聯盟成員及/或匿名用戶時才會為聊天產生。
5 此活動目前無法在政府社區雲 (GCC) 、政府社區雲高中 (GCC高) ,以及國防部 (國防部) 組織中提供。
6 此活動包含在所有參與租戶的聯合聊天中。
7 本活動包含參與的網域資訊,適合一對一聯邦聊天。
8 此事件包含在所有由組織管理的外部 Teams 使用者與非組織管理的外部 Teams 使用者之間的聊天對話中。
9 此活動目前在政府社區雲 (GCC) 無法使用,但在政府社區雲高 (GCC高) 及國防部 (國防部的) 組織中可使用。
Microsoft Teams 醫療保健活動
如果您的組織使用 Microsoft Teams 中的 Patients 應用程式 ,您可以從稽核日誌中搜尋與 Patients 應用程式相關的活動。 如果您的環境設定支援 Patients 應用程式, 活動選擇列表中 會有一個額外的活動群組可供這些活動使用。
如需有關病患應用程式活動的說明,請參閱病患應用程式的稽核記錄。
Microsoft Teams 班次活動
下表列出 Microsoft Teams 中 Shift 應用程式在 Microsoft 365 稽核日誌中記錄的活動。 如果您的組織在 Microsoft Teams 中使用 Shifts 應用程式,您可以從稽核日誌中搜尋與 Shifts 應用程式相關的活動。 如果您的環境設定支援 Shifts 應用程式, 活動 選擇器清單會包含額外的活動群組。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已接受下班訊息 | 下班對話已接受 | 有使用者確認了下班後的訊息,以便在班後存取 Teams。 |
| 新增開放式排檔 | OpenShiftAdded | 有使用者在排程群組新增了一個空班。 |
| 新增排程組 | 已加入賽程群組 | 有使用者在排程中新增了一個排程群組。 |
| 新增的變速 | ShiftAdded | 有使用者新增了一個 shift。 |
| 新增班次申請 | 請求已加入 | 有位使用者新增了班次申請。 |
| 新增打卡記錄 | 時鐘條目新增 | 有使用者在工時表上新增了手動打卡記錄。 |
| 額外休息時間 | 延長假 | 有用戶在排程表上新增了休假時間。 |
| 新增勞動力整合 | WorkforceIntegration 新增 | Shifts 應用程式整合了第三方系統。 |
| 取消班次申請 | 請求已取消 | 有用戶取消了一次班次請求。 |
| 更改行程設定 | 行程設定已更改 | 有位使用者在 Shifts 設定中更改了設定。 |
| 使用打卡器打卡 | 打卡上班 | 有使用者使用打卡器打卡。 |
| 用打卡器打卡下班 | 打卡結束 | 有使用者用打卡時鐘打卡離開。 |
| 刪除的開放班次 | OpenShift已刪除 | 有使用者從排班群組刪除了一個空檔。 |
| 已刪除排程群組 | 排程組已刪除 | 有使用者從排程中刪除了一個排程群組。 |
| 刪除的班次 | Shift已刪除 | 有位使用者刪除了班次。 |
| 已刪除的打卡時鐘條目 | 時鐘條目已刪除 | 有使用者刪除了工時表上的打卡記錄。 |
| 刪除的請假時間 | 休假已刪除 | 有用戶刪除了請假時間。 |
| 編輯開放班 | OpenShiftEdited | 有位使用者編輯了一個排班群組的空班。 |
| 編輯排程群組 | 日程組編輯 | 有使用者編輯了一個排程群組。 |
| 編輯班次 | ShiftEdited | 有位使用者編輯了一班。 |
| 編輯過的打卡時鐘條目 | 時間時鐘條目已編輯 | 有使用者在 Time Sheet 上編輯了打卡記錄。 |
| 編輯後的休假時間 | 休假編輯 | 一位用戶編輯了休假時間。 |
| 結束休息時間時使用打卡 | 斷裂 | 使用者在進行中打卡時段結束了休息時間。 |
| 已回應班次請求 | 請求已回應 | 有用戶回應了班次請求。 |
| 共享賽程 | 行程共享 | 有位使用者分享了一個日期範圍的團隊排程。 |
| 開始用打卡時間休息 | BreakStarted | 使用者在活躍的打卡時段中開始休息。 |
| 取消賽程 | 賽程已撤回 | 有用戶撤回了已公布的時間表。 |
Microsoft Teams 匯報活動
下表列出了 Microsoft Teams 中匯報應用程式在 Microsoft 365 稽核日誌中記錄的活動。 如果您的組織使用 Microsoft Teams 中的匯報應用程式,您可以在稽核日誌中搜尋與匯報應用程式相關的活動。 如果您的環境設定支援匯報應用程式,活動選擇器清單會包含額外的活動群組。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立更新請求 | CreateUpdateRequest | 有位使用者創建了更新請求。 |
| 編輯更新請求 | 編輯更新請求 | 使用者開啟請求編輯工作流程並選擇 儲存 以確認並儲存任何變更,或直接啟用或停用更新請求。 |
| 提交更新 | 提交更新 | 有用戶提交了更新。 |
| 查看一次更新詳情 | ViewUpdate | 使用者可查看更新細節。 |
Microsoft To Do 活動
下表列出 Microsoft 待辦事項中 Microsoft 365 審計日誌記錄的活動。 欲了解更多關於 Microsoft To Do 的資訊,請參閱 Microsoft To Do 支援。
注意事項
要稽核Microsoft To Do活動的活動,除了包含審計 (Standard) 權利的相關Microsoft 365授權外,還需有付費Project 方案 1授權 (以上) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已接受資料夾中的分享連結 | 接受共享連結資料夾 | 接受了一個資料夾的分享連結。 |
| 產生依附 | 連結已建立 | 為任務建立附件。 |
| 附件已刪除 | 附件已刪除 | 一個附件被刪除了。 |
| 附件已更新 | 附件已更新 | 附件已更新。 |
| 資料夾分享連結 共享 | 資料夾共享連結 | 建立了一個資料夾的分享連結。 |
| 已建立的連結實體 | 連結實體創建 | 一個連結的任務實體被創造出來。 |
| 連結實體已刪除 | 連結實體已刪除 | 一個連結實體被刪除了。 |
| 連結實體已更新 | 連結實體更新 | 一個連結實體已更新。 |
| 子任務已建立 | SubTaskCreated | 於是建立了一個子任務。 |
| 子任務已刪除 | SubTaskDeleted | 一個子任務被刪除了。 |
| 子任務已更新 | SubTask已更新 | 一個子任務更新了。 |
| 任務已建立 | 任務創造 | 一個任務被創造出來。 |
| 任務已刪除 | 任務刪除 | 一個任務被刪除了。 |
| 任務閱讀 | 任務閱讀 | 任務被宣讀。 |
| 任務已更新 | 任務更新 | 一項任務被更新了。 |
| 已建立任務清單 | TaskListCreated | 建立了一份任務清單。 |
| 任務清單已讀 | 任務清單閱讀 | 他們讀了一份任務清單。 |
| 任務清單更新 | 任務清單已更新 | 任務清單更新了。 |
| 用戶邀請 | 用戶邀請 | 邀請使用者到一個資料夾。 |
Microsoft Viva Insights 活動
Viva Insights 提供團隊如何在組織內協作的洞見。 下表列出使用者在 Viva Insights 中指派管理員或分析師角色時,記錄在 Microsoft 365 稽核日誌中的活動。 獲派分析師角色的使用者具有所有服務功能的完整存取權,並可使用產品來進行分析。 被指定為管理員角色的使用者可以設定隱私設定與系統預設值,並在 Viva Insights 中準備、上傳及驗證組織資料。 更多資訊請參閱《介紹 Microsoft Viva Insights》。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已存取 OData 連結 | AccessedOdataLink | 分析師已存取查詢的 OData 連結。 |
| 新增代表權限 | 附加代表 | 有使用者新增了委派權限,用於組織洞察或 Copilot 儀表板。 |
| 已取消查詢 | CanceledQuery | 分析師已取消執行查詢。 |
| 已建立會議排除 | MeetingExclusionCreated | 分析師已建立會議排除規則。 |
| 已刪除結果 | DeletedResult | 分析師已刪除查詢結果。 |
| 已下載報表 | DownloadedReport | 分析師已下載查詢結果檔案。 |
| 已執行查詢 | ExecutedQuery | 分析師已執行查詢。 |
| 修改版CXO設定 | 改良版CXO設定 | 此事件記錄使用者或群組的存取權限或移除 Microsoft 365 Copilot 儀表板。 |
| 使用 Entra Group 修改排除清單 | ModifiedExclusionListUsingEntraGroup | 此事件會透過 Copilot 儀表板中的 Entra 群組記錄排除清單的變更。 |
| 修改後最小群組規模 | 修改最小群組大小 | 此事件會記錄組織在 Copilot 儀表板及 Viva Insights 進階分析中產生洞察所需的最低群組規模修改。 |
| 移除代表存取權 | 移除代表 | 有使用者移除了組織洞察或 Copilot 儀表板的委派權限。 |
| 已更新資料存取設定 | UpdatedDataAccessSetting | 系統管理員已更新資料存取設定。 |
| 已上傳組織資料 | UploadedOrgData | 系統管理員已上傳組織資料檔案。 |
| 使用者已登入* | UserLoggedIn | 使用者已登入其 Microsoft 365 使用者帳戶。 |
| 已檢視探索 | ViewedExplore | 分析師已檢視一個或多個探索頁面索引標籤中的視覺效果。 |
注意事項
*當使用者登入時,會建立 Microsoft Entra 登入活動事件。 即使你在組織中沒有開啟 Viva Insights,這項活動也會被記錄下來。 欲了解更多使用者登入活動資訊,請參閱 Microsoft Entra ID 中的登入日誌。
個人洞察活動
下表列出 Microsoft 365 稽核日誌中記錄的個人洞察活動。 欲了解更多個人見解資訊,請參閱管理員指南中的個人見解。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 更新的組織 MyAnalytics 設定 | UpdatedOrganizationMyAnalyticsSettings | 管理員會更新組織層級設定以提供個人見解。 |
| 更新的使用者 MyAnalytics 設定 | UpdatedUserMyAnalyticsSettings | 管理員會更新使用者設定以提供個人見解。 |
隔離活動
下表列出了 Microsoft 365 稽核日誌中記錄的隔離活動。 如需關於隔離的詳細資訊,請參閱隔離電子郵件。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 刪除隔離郵件 | 隔離刪除訊息 | 管理員或使用者刪除了一封有害的電子郵件。 |
| 隔離訊息釋放請求被拒 | 隔離釋放請求拒絕 | 管理員因用戶因一封有害電子郵件的釋放請求而被拒絕。 |
| 已匯出的隔離郵件 | QuarantineExport | 管理員或使用者匯出了一封有害的電子郵件。 |
| 預覽隔離郵件 | QuarantinePreview | 管理員或使用者預覽了一封有害的電子郵件。 |
| 釋放請求隔離訊息 | 隔離釋放請求 | 有用戶要求公開一封有害的電子郵件。 |
| 已釋放隔離郵件 | QuarantineRelease | 管理員或使用者在隔離期間發布了一封有害的電子郵件。 |
| 已檢視隔離郵件標題 | QuarantineViewHeader | 管理員或使用者看到了有害郵件的標頭。 |
報告活動
下表列出 Microsoft 365 稽核日誌中記錄的使用報告活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已更新使用報告隱私權設定 | UpdateUsageReportsPrivacySetting | 系統管理員已更新使用狀況報表的隱私權設定。 |
保留原則和保留標籤活動
下表列出 Microsoft 365 稽核日誌中記錄的設定活動,用於建立、重新設定或刪除時的保留 政策與保留標籤 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已變更調適型範圍成員資格 | ApplicableAdaptiveScopeChange | 已將使用者、網站或群組新增至調適型範圍或從中移除。 這些變更是因為執行範圍查詢所產生的。 因為變更是以系統起始,報告的使用者會顯示為 GUID,而不是使用者帳戶。 |
| 保留原則已配置的設定 | NewRetentionComplianceRule | 系統管理員已設定新保留原則的保留設定。 保留設定包括保留項目的時間長度,以及當項目保留期間到期時,項目會發生的情況 (例如刪除項目、保留項目或保留然後刪除項目)。 此活動也與執行 RetentionComplianceRule Cmdlet 對應。 |
| 已建立調適型範圍 | NewAdaptiveScope | 管理員已建立調適型範圍。 |
| 已建立保留標籤 | NewComplianceTag | 系統管理員已建立新的保留標籤。 |
| 已建立保留原則 | NewRetentionCompliancePolicy | 系統管理員已建立新的保留原則。 |
| 已刪除調適型範圍 | RemoveAdaptiveScope | 管理員已刪除調適型範圍。 |
| 已刪除保留標籤 | RemoveComplianceTag | 系統管理員已刪除保留標籤。 |
| 已刪除保留原則 | RemoveRetentionCompliancePolicy |
系統管理員已刪除保留原則。 |
| 已從保留原則刪除設定 | RemoveRetentionComplianceRule |
系統管理員已刪除保留原則的組態設定。 當系統管理員刪除保留原則或執行 RetentionComplianceRule Cmdlet 時,更可能會記錄此活動。 |
| 已啟用保留標籤的法規記錄選項 |
SetRestrictiveRetentionUI | 系統管理員已執行 RegulatoryComplianceUI Cmdlet,因此系統管理員可以選取保留標籤的 UI 設定選項,以將內容標示為法規記錄。 |
| 檔案上貼上優先清理標籤 | 優先清理標籤已套用 | 優先清理的保留標籤會套用在 OneDrive 或 SharePoint 上的項目上 (包含標籤替換) |
| 保留郵件項目主動性 | ExchangeData ProactivelyPreserved | 自適應保護會自動套用保留標籤,以在交換中保留項目。 |
| 主動保留檔案 | SharePointDataProactivelyPreserved | 自適應保護會自動套用保留標籤,以保留 SharePoint 或 OneDrive 中的項目。 |
| 已更新調適型範圍 | SetAdaptiveScope | 管理員已變更現有的調適型範圍的描述或查詢。 |
| 已更新保留標籤 | SetComplianceTag | 系統管理員已更新現有的保留標籤。 |
| 已更新保留原則 | SetRetentionCompliancePolicy | 系統管理員已更新現有的保留原則。 觸發此事件的更新包括新增或排除保留原則所套用的內容位置。 |
| 保留原則已更新的設定 | SetRetentionComplianceRule | 系統管理員已變更現有保留原則的保留設定。 保留設定包括保留項目的時間長度,以及當項目保留期間到期時,項目會發生的情況 (例如刪除項目、保留項目或保留然後刪除項目)。 此活動也與執行 Set-RetentionComplianceRule Cmdlet 對應。 |
角色管理活動
下表列出當管理員在 Microsoft 365 系統管理中心或 Azure 管理入口網站管理管理員角色時,記錄在 Microsoft 365 稽核日誌中所記錄的 Microsoft Entra 角色管理活動。
注意事項
下表中 操作欄列出 的操作名稱包含 ( . ) 的週期。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" ") 來含括作業名稱。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 將成員新增至 [角色] 中 | 將成員新增至角色。 | 已將使用者新增至 Microsoft 365 中的系統管理員角色。 |
| 已從目錄角色中移除使用者 | 移除角色的成員。 | 已從 Microsoft 365 中的系統管理員角色中移除使用者。 |
| 設定公司連絡人資訊 | 設定公司連絡人資訊。 | 已更新您的組織之公司層級的連絡人喜好設定。 這包括 Microsoft 365 所傳送之訂閱相關電子郵件的電子郵件地址,以及有關服務的技術通知。 |
敏感資訊類型活動
下表列出了 Microsoft 365 稽核日誌中記錄的關於建立與更新 敏感資訊類型的稽核事件。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 創建了新的敏感資訊類型 | CreateRulePackage / 編輯規則套件* | 一種新的敏感資訊類型被 創造出來。 此資訊包含任何由原廠複製 SIT 所產生的 SITs。 注意:此活動會出現在審計活動「已建立規則套件」或「已編輯規則套件」下。 |
| 刪除了一種敏感資訊類型 | 編輯規則套件 / 移除規則套件 | 一種現有的敏感資訊類型被刪除。 此活動會顯示在審計活動「已編輯規則套件」或「移除規則套件」下。 |
| 編輯了一個敏感資訊類型 | 編輯規則包 | 一種現有的敏感資訊類型被編輯。 這些資訊可能包括新增或移除圖案,以及編輯與敏感資訊類型相關的正則表達式或關鍵字。 此活動會顯示在審計活動「編輯規則包」中。 |
敏感度標籤活動
下表列出了在 Microsoft 365 稽核日誌中記錄的事件,這些事件是因為使用 敏感標籤 與由 Microsoft Purview 管理的容器與項目所產生的。 容器包括 SharePoint 網站、Teams 網站和 Loop 工作區。 項目包括文件、電子郵件、行事曆事件、Loop 元件與頁面,以及 Copilot 頁面。 在自動標籤政策中,項目也會包含 Microsoft Purview 資料對應中的檔案與資料資產。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已將敏感度標籤套用到檔案 | FileSensitivityLabelApplied SensitivityLabelApplied |
敏感性標籤可透過 Microsoft 365 應用程式、Office 網頁版、SharePoint 文件庫的細節窗格、Teams 的檔案標籤頁,或自動標籤政策來套用。 此活動的操作會依標籤的貼合方式而異: - Office 網頁版、SharePoint 文件庫中的詳細面板或 Teams 的檔案標籤,或是 FileSensitivityLabelApplied (的自動標籤政策) - Microsoft 365 個應用程式 (敏感度標籤已套) |
| 已將敏感度標籤套用到網站 | SiteSensitivityLabel已套用 | 敏感度標籤被套用在 SharePoint 網站、未連結群組的 Teams 網站或 Loop 工作區上。 |
| 已變更套用到檔案的敏感度標籤 | FileSensitivityLabelChanged SensitivityLabelUpdated |
物品被套用了不同的敏感度標籤。 此活動的操作會因標籤變更的方式而異: - Office 網頁版、SharePoint 文件庫中的詳細資料窗格,或 Teams 的檔案標籤頁,或是 FileSensitivityLabelChanged (的自動標籤政策) - Microsoft 365 Apps (SensitivityLabelUpdated) |
| 已變更網站上的敏感度標籤 | 網站敏感度標籤已更改 | 不同的敏感度標籤被套用在 SharePoint 網站、未連結群組的 Teams 網站,或是 Loop 工作區。 |
| 未能套用檔案敏感標籤 | 檔案敏感度標籤已應用失敗 | 使用網頁版 Office 網頁版、SharePoint 文件庫的詳細面板、Teams 的檔案標籤頁,或自動標籤政策,都無法套用敏感性標籤。 |
| 無法更改檔案敏感度標籤 | 檔案敏感度標籤變更失敗 | 使用 Office 網頁版、SharePoint 文件庫的細節窗格、Teams 的檔案標籤或自動標籤政策,都未對項目套用不同的敏感性標籤。 |
| 未能移除檔案敏感標籤 | 檔案敏感度標籤移除失敗 | 敏感性標籤無法從項目中移除,無論是使用 Office 網頁版、SharePoint 文件庫的詳細面板,或是 Teams 的檔案標籤頁,或是自動標籤政策。 |
| 已將敏感度標籤從檔案移除 | FileSensitivityLabelRemoved SensitivityLabelRemoved |
敏感度標籤可透過使用 Microsoft 365 應用程式、Office 網頁版、SharePoint 文件庫的細節面板、Teams 的檔案標籤、自動標籤政策,或 Unlock-SPOSensitivityLabelEncryptedFile 指令檔來移除。 此活動的操作會依標籤移除方式而異: - Office 網頁版、SharePoint 文件庫中的詳細面板或 Teams 的檔案標籤,或 FileSensitivityLabelRemoved (自動標籤政策) - Microsoft 365 個應用程式 (敏感度標籤已移除) |
| 已將敏感度標籤從網站移除 | 網站敏感度標籤已移除 | 敏感度標籤從 SharePoint 網站、未連結群組的 Teams 網站或 Loop 工作區被移除。 |
下表列出 Microsoft 365 稽核日誌中記錄的數值描述,這些值包含在 FailureReason 屬性中,用於記錄失敗以套用、變更或移除敏感標籤的稽核活動。 以下特性無法用於其他敏感性標籤活動:
| FailureReason 屬性 | 屬性描述 |
|---|---|
| 無法覆寫目前標籤 | 檔案沒有被分配敏感度標籤,因為目前套用的敏感度標籤優先權較高。 |
| 降級理由文字缺失 | 檔案沒有被指定敏感度標籤,因為此操作需要對齊文字。 |
| FileEncrypted | 檔案沒有被指定敏感標籤,因為它是加密的。 |
| 檔案副檔名不支援 | 檔案未被指定敏感度標籤,因為該檔案類型不支援此操作。 |
| 檔案被鎖定或檢查出 | 檔案沒有被指定敏感標籤,因為它被鎖定或已借出。 |
| 檔案未找到 | 檔案沒有被指定敏感度標籤,因為該檔案無法取得。 |
| 檔案不支援 | 檔案沒有被指定敏感標籤,因為它不支援這個操作。 |
| 檔案太大了 | 檔案沒有被指定敏感性標籤,因為檔案太大,無法支援這個操作。 |
| 無效論證 | 檔案未被指定敏感性標籤,因為提供某些參數無法執行此操作。 |
| 標籤未被找到 | 檔案沒有被指派敏感度標籤,因為提供的敏感度標籤無法使用或無效。 |
| 標籤不支持 | 檔案沒有被指定敏感度標籤,因為提供的敏感標籤不支援。 |
| LabelOperationsDisabled | 檔案沒有被指派敏感標籤,因為檔案上的敏感度標籤操作是被停用的。 |
| MinorVersionLimitExceeded | 檔案沒有被指定敏感度標籤,因為版本已超過。 |
| UnauthorizedAccessException | 檔案沒有被指定敏感標籤,因為目前使用者沒有權限執行此操作。 |
| Unknown | 由於內部錯誤,檔案未被分配敏感性標籤。 |
| ZeroByteFileError | 由於該操作無法在零位元組檔案上執行,因此沒有為檔案設定敏感性標籤。 |
敏感性標籤的額外稽核資訊:
- 當你對 Microsoft 365 群組使用敏感度標籤,也就是群組連結的 Teams 網站時,標籤會透過 Microsoft Entra ID 的群組管理進行稽核。 欲了解更多資訊,請參閱 Microsoft Entra ID 中的稽核日誌。
- 當你使用敏感度標籤來控制 Teams 會議邀請、Teams 會議選項和聊天時,請參考 Microsoft Teams 中搜尋事件的稽核日誌。
- 當你在 Power BI 中使用敏感度標籤時,請參考 Power BI 中的敏感度標籤審計架構。
- 當你在 Microsoft Defender 上使用敏感度標籤來處理雲端應用程式時,請參考「管理連接應用程式」以及檔案治理動作的標籤資訊。
SharePoint 清單活動
下表描述了 Microsoft 365 稽核日誌中記錄的與使用者在 SharePoint 中與清單及清單項目互動相關的活動。 部分 SharePoint 活動的稽核紀錄顯示,app@sharepoint 使用者代表發起該行動的使用者或管理員執行該活動。 欲了解更多資訊,請參閱 審計紀錄中的app@sharepoint使用者。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已建立清單 | ListCreated | 使用者已建立 SharePoint 清單。 |
| 已建立清單欄 | ListColumnCreated | 使用者已建立 SharePoint 清單欄。 清單欄是連結至一個或多個 SharePoint 清單的欄位。 |
| 已建立清單內容類型 | ListContentTypeCreated | 使用者已建立清單內容類型。 清單內容類型是連結至一個或多個 SharePoint 清單的內容類型。 |
| 已建立清單項目 | ListItemCreated | 使用者已在現有的 SharePoint 清單中建立項目。 |
| 已建立網站欄 | SiteColumnCreated | 使用者已建立 SharePoint 網站欄。 網站欄是未連結到清單的欄位。 網站欄也是可由指定網頁中任何清單使用的中繼資料結構。 |
| 已建立網站內容類型 | Site ContentType Created | 使用者已建立網站內容類型。 網站內容類型是會連結到上層網站的內容類型。 |
| 已刪除清單 | ListDeleted | 使用者已刪除 SharePoint 清單。 |
| 已刪除清單欄 | 清單欄已刪除 | 使用者已刪除 SharePoint 清單欄。 |
| 已刪除清單內容類型 | ListContentTypeDeleted | 使用者已刪除清單內容類型。 |
| 已刪除清單項目 | 清單項目已刪除 | 使用者已刪除 SharePoint 清單項目。 |
| 已刪除網站欄 | SiteColumnDeleted | 使用者已刪除 SharePoint 網站欄。 |
| 已刪除網站內容類型 | SiteContentTypeDeleted | 使用者已刪除網站內容類型。 |
| 已回收清單項目 | ListItemRecycled | 使用者已將 SharePoint 清單項目移至資源回收筒。 |
| 已還原清單 | ListRestored | 使用者已從資源回收筒還原 SharePoint 清單。 |
| 已還原清單項目 | ListItemRestored | 使用者已從資源回收筒還原 SharePoint 清單項目。 |
| 已更新清單 | ListUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單。 |
| 已更新清單欄 | ListColumnUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單欄。 |
| 已更新清單內容類型 | ListContentTypeUpdated | 使用者已修改一個或多個屬性來更新清單內容類型。 |
| 已更新清單項目 | ListItemUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 清單項目。 |
| 更新後的名單檢視 | 列表檢視已更新 | 使用者透過修改一個或多個屬性來更新 SharePoint 清單檢視。 |
| 已更新網站欄 | SiteColumnUpdated | 使用者已修改一個或多個屬性來更新 SharePoint 網站欄。 |
| 已更新網站內容類型 | SiteContentTypeUpdated | 使用者已修改一個或多個屬性來更新網站內容類型。 |
共用及存取要求活動
下表列出 SharePoint 與 OneDrive 中 Microsoft 365 稽核日誌中記錄的使用者分享與存取請求活動。 針對共用事件,[結果] 底下的 [詳細資料] 欄會識別共用項目的使用者或群組名稱,以及使用者或群組是否為您的組織中的成員或來賓。 如需詳細資訊,請參閱在稽核記錄中使用共用稽核。
注意事項
使用者可以根據使用者物件的 UserType 屬性,成為 成員 或 訪客 。 成員通常是員工,而來賓通常是您的組織之外的共同作業者。 當使用者接受共用邀請時 (而且不屬於您的組織的一部分),就會在您的組織目錄中為他們建立使用者帳戶。 一旦訪客用戶在您的目錄中擁有帳號,資源可能直接與他們共享, (無需邀請) 。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已接受存取要求 | AccessRequestAccepted | 對網站、資料夾或文件的存取請求被接受,請求的使用者也獲得存取權限。 |
| 已接受共用邀請 | SharingInvitationAccepted | 使用者 (成員或來賓) 已接受共用邀請,並獲授與資源的存取權。 此事件包括受邀的使用者,以及用來接受邀請的電子郵件地址 (它們可能不同) 之相關資訊。 此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。例如,將使用者新增至擁有資源存取權的群組。 |
| 已將權限等級新增至網站集合 | PermissionLevelAdded | 權限等級已新增至網站集合。 |
| 已封鎖的共用邀請 | SharingInvitationBlocked | 貴組織使用者所傳送的共用邀請遭到封鎖,因為外部共用原則會根據目標使用者的網域允許或拒絕外部共用。 在此案例中,共用邀請因下列原因而遭到刪除: 允許的網域清單中不包含目標使用者的網域。 或者 封鎖的網域清單中包含目標使用者的網域。 欲了解更多關於根據網域允許或阻擋外部分享的資訊,請參閱 SharePoint 與 OneDrive 中的受限網域分享。 |
| 已建立公司可共用連結 | CompanyLinkCreated | 使用者已建立資源的全公司連結。 全公司連結僅限於貴組織成員使用。 來賓無法使用這些連結。 |
| 已建立存取要求 | AccessRequestCreated | 使用者要求他們未擁有存取權限的網站、資料夾或文件之存取權。 |
| 已建立匿名連結 | AnonymousLinkCreated | 使用者已建立資源的匿名連結。 任何人只要有此連結就可以存取資源,而不需要驗證。 |
| 已建立安全連結 | SecureLinkCreated | 已對此項目建立安全共用連結。 |
| 已建立共用邀請 | SharingInvitationCreated | 使用者在 SharePoint 或 OneDrive 中與不在你組織目錄中的使用者分享資源。 |
| 已刪除安全連結 | SecureLinkDeleted | 安全共用連結已刪除。 |
| 已拒絕存取要求 | AccessRequestDenied | 已拒絕網站、資料夾或文件的存取要求。 |
| 已移除公司可共用連結 | CompanyLinkRemoved | 使用者已移除資源的全公司連結。 無法再使用此連結存取資源。 |
| 已移除匿名連結 | AnonymousLinkRemoved | 使用者已移除資源的匿名連結。 無法再使用此連結存取資源。 |
| 已共用的檔案、資料夾或網站 | SharingSet | 使用者 (成員或訪客) 在 SharePoint 或 OneDrive 中與組織目錄中的使用者分享檔案、資料夾或網站。 此活動的 [詳細資料] 欄中的值會識別已共用資源的使用者名稱,以及該使用者是否為成員或來賓。 此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。 例如,將使用者新增至擁有資源存取權的群組。 |
| 已取消共用檔案、資料夾或網站 | SharingRevoked | 使用者 (成員或來賓) 已取消共用先前與另一個使用者共用的檔案、資料夾或網站。 |
| 已更新存取要求 | AccessRequestUpdated | 已更新項目的存取要求。 |
| 已更新匿名連結 | AnonymousLinkUpdated | 使用者已更新資源的匿名連結。 當您匯出搜尋結果時,EventData 屬性中會包括更新的欄位。 |
| 已更新共用邀請 | SharingInvitationUpdated | 已更新外部共用邀請。 |
| 已使用公司可共用連結 | CompanyLinkUsed | 使用者已使用全公司連結來存取資源。 |
| 已使用匿名連結 | AnonymousLinkUsed | 匿名使用者已使用匿名連結來存取資源。 使用者可能是未知的身分,但您可以取得其他詳細資料,例如使用者的 IP 位址。 |
| 已使用安全連結 | SecureLinkUsed | 使用者已使用安全連結。 |
| 使用者已新增至安全連結 | AddedToSecureLink | 使用者已新增至可使用安全共用連結的實體清單。 |
| 使用者已從安全連結中移除 | RemovedFromSecureLink | 使用者已從可使用安全共用連結的實體清單中移除。 |
| 已撤回共用邀請 | SharingInvitationRevoked | 使用者已撤回資源的共用邀請。 |
網站管理活動
下表列出由 SharePoint 中網站管理任務所產生的事件,並記錄於 Microsoft 365 稽核日誌中。 部分 SharePoint 活動的稽核紀錄顯示,app@sharepoint 使用者代表發起該行動的使用者或管理員執行該活動。 欲了解更多資訊,請參閱 審計紀錄中的app@sharepoint使用者。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增允許的資料位置 | AllowedDataLocationAdded | SharePoint 或全域管理員在多地理環境中新增允許的資料位置。 |
| 已新增免除使用者代理程式 | ExemptUserAgentSet | SharePoint 或全域系統管理員已將使用者代理程式新增至 SharePoint 系統管理員中心的免除使用者代理程式清單。 |
| 已新增地理位置系統管理員 | GeoAdminAdded | SharePoint 或全域系統管理員已將使用者新增為某個位置的地理位置系統管理員。 |
| 已允許使用者建立群組 | AllowGroupCreationSet | 網站系統管理員或擁有者新增權限等級至網站,以允許獲派該權限的使用者為該網站建立群組。 |
| 將主題套用到網路上 | WebThemeApplied | SharePoint 使用者、全域管理員或網站擁有者套用網頁主題。 |
| 已取消網站的地理位置移動 | SiteGeoMoveCancelled | SharePoint 或全域管理員取消了 SharePoint 或 OneDrive 網站的地理遷移。 多地理能力讓組織跨越多個 Microsoft 資料中心地理區域,這些地理區域稱為 geos。 欲了解更多資訊,請參閱 OneDrive 與 SharePoint 的多地理能力。 |
| 已變更共用原則 | SharingPolicyChanged | SharePoint 或全域管理員透過 Microsoft 365 系統管理中心、SharePoint 管理中心或 SharePoint 管理殼修改 SharePoint 共享政策。 你組織中分享政策設定的任何變更都會被記錄下來。 已變更的原則可在事件記錄詳細屬性中的 ModifiedProperties 欄位中找到。 |
| 已變更裝置存取原則 | DeviceAccessPolicyChanged | SharePoint 或全域系統管理員已變更您組織中未受控裝置的原則。 此原則可針對未加入您組織的裝置控制 SharePoint、OneDrive 及 Microsoft 365 的存取權。 設定此原則需要 Enterprise Mobility + Security 訂閱。 如需詳細資訊,請參閱控制未受管理裝置的存取權。 |
| 已變更免除使用者代理程式 | CustomizeExemptUsers | SharePoint 或全域系統管理員已在 SharePoint 系統管理員中心自訂免除使用者代理程式清單。 您可以指定要免除哪些使用者代理程式,以免於接收整個網頁進行索引。 這表示當您指定為豁免的使用者代理遇到 InfoPath 表單時,該表單會以 XML 檔案回傳,而非整個網頁。 這樣在進行 InfoPath 表單索引時會更迅速。 |
| 已變更網路存取原則 | NetworkAccessPolicyChanged | SharePoint 或全域管理員在 SharePoint 管理中心或使用 SharePoint PowerShell 時,會更改基於位置的存取政策 (也稱為可信網路邊界) 。 此類原則可根據您指定的授權 IP 位址範圍,控制能存取您組織 SharePoint 和 OneDrive 資源的使用者。 欲了解更多資訊,請參閱 根據網路位置控制 SharePoint 與 OneDrive 資料存取。 |
| 完成遷移工作 | 遷移工作已完成 | 遷移工作完成。 |
| 已完成網站的地理位置移動 | SiteGeoMoveCompleted | 一個由你組織中一位全球管理員排定完成的地點地理遷移。 多地理能力讓組織跨越多個 Microsoft 資料中心地理區域,這些地理區域稱為 geos。 欲了解更多資訊,請參閱 OneDrive 與 SharePoint 的多地理能力。 |
| 建立全租戶主題 | TenantWideThemeCreated | SharePoint 管理員、全域管理員或品牌經理會為組織內所有 SharePoint 網站建立自訂主題。 |
| 已建立 [傳送至] 連線 | SendToConnectionAdded | SharePoint 或全域系統管理員在 SharePoint 系統管理員中心的 [記錄] 管理頁面上建立新的「傳送至」連線。 [傳送至] 連線會指定文件存放庫或記錄中心的設定。 當您建立 [傳送至] 連線時,[內容組合管理] 可提交文件至指定的位置。 |
| 已建立網站集合 | SiteCollectionCreated | SharePoint 或全域管理員會在你的 SharePoint 組織中建立一個網站集合,或是使用者配置他們的 OneDrive 網站。 |
| 刪除整個租戶主題 | TenantWideThemeDeleted | SharePoint 管理員、全域管理員或品牌經理刪除了套用在組織內所有 SharePoint 網站的自訂主題。 |
| 刪除孤立的中樞網站 | HubSiteOrphanHubDeleted | SharePoint 或全域系統管理員已刪除孤立中樞網站,也就是未與任何站台建立關聯的中樞網站。 孤立中樞可能是因為刪除原始中樞網站所造成。 |
| 已刪除 [傳送至] 連線 | SendToConnectionRemoved | SharePoint 或全域系統管理員在 SharePoint 系統管理員中心的 [記錄] 管理頁面上刪除「傳送至」連線。 |
| 已刪除網站 | SiteDeleted | 網站系統管理員刪除網站。 |
| 已啟用文件預覽 | PreviewModeEnabledSet | 網站系統管理員啟用網站的文件預覽。 |
| 已啟用舊版工作流程 | LegacyWorkflowEnabledSet | 網站系統管理員或擁有者在網站中新增 SharePoint 2013 工作流程工作內容類型。 全域管理員也能在 SharePoint 管理中心啟用整個組織的工作流程。 |
| 已啟用 Office on Demand | OfficeOnDemandSet | 網站管理員啟用 Office on Demand,這可讓使用者存取最新版的 Office 傳統型應用程式。 Office on Demand 會在 SharePoint 系統管理員中心啟用,並且需要 Microsoft 365 訂閱,該訂閱包含完整、已安裝的 Office 應用程式。 |
| 已啟用 [人員搜尋] 的結果來源 | PeopleResultsScopeSet | 網站系統管理員建立網站的 [人員搜尋] 結果來源。 |
| 已啟用 RSS 摘要 | NewsFeedEnabledSet | 網站系統管理員或擁有者啟用網站的 RSS 摘要。 全域管理員可以在 SharePoint 系統管理員中心為整個組織啟用 RSS 摘要。 |
| 已聯結網站與中樞網站 | HubSiteJoined | 網站擁有者讓他們的網站與中樞網站互相關聯。 |
| 已修改網站集合配額 | SiteCollectionQuotaModified | 網站系統管理員修改網站集合的配額。 |
| 永久刪除網站 | 網站永久刪除 | SharePoint 或全域管理員會永久刪除 SharePoint 管理員中心的已刪除網站。 |
| 已註冊中樞網站 | HubSiteRegistered | SharePoint 或全域系統管理員建立了一個中樞網站。 結果是網站會註冊為中樞網站。 |
| 已移除允許的資料位置 | AllowedDataLocationDeleted | SharePoint 或全域管理員在多地理環境中移除了允許的資料位置。 |
| 已移除地理位置系統管理員 | GeoAdminDeleted | SharePoint 或全域系統管理員已移除某個位置的地理位置管理員。 |
| 已重新命名網站 | SiteRenamed | 網站系統管理員或擁有者重新命名網站 |
| 修復網站 | 網站修復 | SharePoint 或全域管理員會從 SharePoint 管理員中心的已刪除網站還原網站。 |
| 已排程網站的地理位置移動 | SiteGeoMoveScheduled | SharePoint 或全域管理員排程了 SharePoint 或 OneDrive 網站的地理遷移。 多地理能力讓組織跨越多個 Microsoft 資料中心地理區域,這些地理區域稱為 geos。 欲了解更多資訊,請參閱 OneDrive 與 SharePoint 的多地理能力。 |
| 已設定主機網站 | HostSiteSet | SharePoint 或全域管理員會將指定網站更改為個人或 OneDrive 網站。 |
| 為地理位置設定儲存空間配額 | GeoQuotaAllocated | SharePoint 或全域管理員在多地理環境中為某個地理位置設定儲存配額。 |
| 已解除網站與中樞網站的聯結 | HubSiteUnjoined | 網站擁有者讓他們的網站與中樞網站解除關聯。 |
| 取消註冊中樞網站 | HubSiteUnregistered | SharePoint 或全域系統管理員取消將網站註冊為中樞網站。 取消註冊中樞網站時,該網站就不再具有中樞網站的功能。 |
| 更新 DisableSiteBranding 設定 | 更新失能網站品牌 | SharePoint 或全域管理員可啟用或停用網站品牌。 |
| 更新整個租戶主題 | TenantWideTheme 更新 | SharePoint 管理員、全域管理員或品牌經理會更新自訂主題,套用至組織內所有 SharePoint 站點。 |
網站權限活動
下表列出了與 SharePoint 權限分配及使用群組授予 (及) 撤銷 Microsoft 365 稽核日誌中網站存取權的事件。 部分 SharePoint 活動的稽核紀錄顯示,app@sharepoint 使用者代表發起該行動的使用者或管理員執行該活動。 欲了解更多資訊,請參閱 審計紀錄中的app@sharepoint使用者。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已新增網站集合系統管理員 | SiteCollectionAdminAdded | 網站集合系統管理員或擁有者新增一位人員來作為網站的網站集合管理員。 網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。 當系統管理員讓自己可存取使用者的 OneDrive 帳戶時 (藉由在 SharePoint 系統管理中心編輯使用者設定檔,或使用 Microsoft 365 系統管理中心),也會記錄此活動。 |
| 已將使用者或群組新增至 SharePoint 群組 | AddedToGroup | 使用者已新增成員或來賓至 SharePoint 群組。 這個動作可能是有意為之,也可能是其他活動(例如分享事件)的結果。 |
| 已中斷權限等級繼承 | PermissionLevelsInheritanceBroken | 項目已變更,因此無法從其上層項目繼承權限等級。 |
| 已中斷共用繼承 | SharingInheritanceBroken | 項目已變更,因此無法從其上層項目繼承共用權限。 |
| 已建立群組 | GroupAdded | 網站管理員或擁有者為網站建立群組,或執行導致建立群組的工作。 例如,使用者第一次建立連結分享檔案時,系統群組會被加入該使用者的 OneDrive 網站。 此事件也可以是使用者透過編輯權限建立共用檔案的連結之結果。 |
| 已刪除群組 | GroupRemoved | 使用者刪除網站中的群組。 |
| 已修改「成員可共用」設定 | WebMembersCanShareModified | 網站上的「成員可共用」設定已修改。 |
| 已修改存取要求設定 | WebRequestAccessModified | 已在網站上修改存取要求設定。 |
| 已修改網站集合上的權限等級 | PermissionLevelModified | 已變更網站集合上的權限等級。 |
| 已修改網站權限 | SitePermissionsModified | 網站系統管理員或擁有者 (或系統帳戶) 變更已指派給網站上群組的權限等級。 如果已移除群組中的所有權限,也會記錄此活動。 注意:此操作在 SharePoint 中已被棄用。 若要尋找相關事件,您可以搜尋其他權限相關活動,例如 [已新增網站集合管理員]、[已新增使用者或群組到 SharePoint 群組]、[已允許使用者建立群組]、[已建立群組] 及 [已刪除群組]。 |
| 已移除網站集合上的權限等級 | PermissionLevelRemoved | 權限等級已從網站集合移除。 |
| 已移除網站集合系統管理員 | SiteCollectionAdminRemoved | 網站集合系統管理員或擁有者移除了網站的一位網站集合管理員。 當系統管理員將自己從使用者 OneDrive 帳戶的網站集合系統管理員清單中移除時 (藉由在 SharePoint 系統管理員中心編輯使用者設定檔),也會記錄此活動。 若要在稽核記錄搜尋結果中傳回此活動,您必須搜尋所有活動。 |
| 已從 SharePoint 群組中移除使用者或群組 | RemovedFromGroup | 使用者已移除 SharePoint 群組中的成員或來賓。 這個動作可能是有意為之,或是因為其他活動,例如取消分享事件。 |
| 要求的網站系統管理員權限 | SiteAdminChangeRequest | 使用者要求新增成為網站集合的網站集合管理員。 網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。 |
| 已還原共用繼承 | SharingInheritanceReset | 項目已變更,因此可從其上層項目繼承共用權限。 |
| 已更新群組 | GroupUpdated | 網站系統管理員或擁有者變更了網站的群組設定。 此變更可包括團體名稱、誰可查看或編輯群組成員資格,以及會員申請的處理方式。 |
同步處理活動
下表列出 SharePoint 與 OneDrive 在 Microsoft 365 稽核日誌中記錄的檔案同步活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已允許電腦同步處理檔案 | ManagedSyncClientAllowed | 使用者與網站建立了同步關係。 同步關係成功,因為使用者的電腦是已新增至網域清單之網域的成員 (稱為「安全收件者清單」),可以存取您的組織中的文件庫。 如需關於此功能的詳細資訊,請參閱使用 PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理。 |
| 已阻擋電腦同步處理檔案 | UnmanagedSyncClientBlocked | 使用者嘗試從一台非你組織網域成員或尚未被加入網域清單的網域成員的電腦建立同步關係,該網域名稱 (稱為 安全收件人清單) ,該網域可存取你組織的文件庫。 不允許同步關係,使用者的電腦也無法同步、下載或上傳文件庫中的檔案。 如需關於此功能的資訊,請參閱使用 PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理。 |
| 已下載檔案變更至電腦 | FileSyncDownloadedPartial | 此活動與舊的OneDrive 同步處理應用程式 (Groove.exe) 一同被淘汰。 |
| 已下載檔案至電腦 | FileSyncDownloadedFull | 使用者透過應用程式 (OneDrive.exe) 從 SharePoint 文件庫或 OneDrive 下載檔案OneDrive 同步處理到電腦。 |
| 已上傳檔案變更至文件庫 | FileSyncUploadedPartial | 此活動與舊的OneDrive 同步處理應用程式 (Groove.exe) 一同被淘汰。 |
| 已下載檔案至文件庫 | FileSyncUploadedFull | 使用者透過應用程式 (OneDrive.exe) 上傳新檔案或變更檔案OneDrive 同步處理 SharePoint 文件庫或 OneDrive。 |
SystemSync 活動
下表列出 Microsoft 365 稽核日誌中記錄的 SystemSync 活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 已建立資料共用 | DataShareCreated | 當使用者建立資料匯出時, |
| 資料共用已刪除。 | DataShareDeleted | 當使用者刪除資料匯出時, |
| 下載資料湖副本 | DownloadCopyOfLakeData | 當資料湖副本已下載時。 |
| 產生資料湖副本 | GenerateCopyOfLakeData | 產生資料湖副本時。 |
可訓練的分類器活動
下表列出 Microsoft 365 稽核日誌中可 訓練分類器的 活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 建立 Purview 資料分類模型 | ModelCreate | 使用者 (、管理員或系統代表使用者) 在 Purview 資料分類中建立一個新的可訓練模型。 |
| 已刪除的 Purview 資料分類模型 | 模型更新 | 使用者 (、管理員或系統代表使用者) 更新 Purview 資料分類中的可訓練模型。 |
| 已發表的 Purview 資料分類模型 | 模型出版 | 使用者 (、管理員或系統代表使用者) 發佈一個新的可訓練模型,並以 Purview 資料分類系統。 |
| 更新後的 Purview 資料分類模型 | ModelDelete | 使用者 (、管理員或系統代表使用者) 刪除 Purview 資料分類中的新可訓練模型。 |
通用印刷管理活動
下表列出使用 Universal Print 服務對印表機、連接器、印表機共享及租戶層級設定執行動作時,記錄在 Microsoft 365 稽核日誌中的活動。
| 活動 | 作業 | 描述 |
|---|---|---|
| 新增印表機共用群組存取 | ShareAccessControlGroupAdded | 一組會被授權使用印表機共享。 |
| 新增拉印印表機的成員 | PullPrintPrinterMemberAdded | 成員會被加入拉列印印表機群組以進行存取控制。 |
| 新增使用者對印表機共享的存取 | ShareAccessControlUserAdded | 使用者可存取印表機共享資料夾。 |
| 建立印表機共享 | 分享創造 | 會建立印表機共享,允許多位使用者存取印表機。 |
| 建立拉印印表機 | PullPrintPrinter已創建 | 會建立一個拉印虛擬印表機以進行安全列印釋放。 |
| 已刪除的印表機分享 | 分享已刪除 | 印表機共享被刪除,移除共享存取權限。 |
| 已刪除的拉列印印表機 | PullPrintPrinter已刪除 | 拉印虛擬印表機會從通用列印中刪除。 |
| 停用印表機共享的允許全權存取 | 共享、存取、控制、允許全功能障礙 | 對印表機共享的通用存取被停用。 |
| 停用包含所有印表機 | PullPrintPrinterIncludeAllPrintersDisabled | 所有印表機都不包含在拉式列印配置之外。 |
| 已下載報表 | 報告已下載 | 報告會從Universal Print下載以供分析或稽核。 |
| 啟用印表機共享的全權存取 | 分享、存取控制、允許全能啟用 | 所有使用者皆可存取印表機共享資料夾。 |
| 啟用全印表機 | PullPrintPrinterIncludeAllPrintersEnabled | 所有印表機皆包含在拉列印配置中。 |
| 修改過的印表機設定 | 印表機設定已修改 | 印表機的設定會在通用列印中更新。 |
| 修改過的印表機共享設定 | 分享設定已修改 | 印表機共用的設定會在通用列印中更新。 |
| 修改拉列印印表機設定 | PullPrintPrinterSettings已修改 | 拉印印表機的設定會在通用列印中更新。 |
| 修改租戶列印設定 | 租戶列印設定已修改 | 租戶層級的列印設定會在通用列印中更新。 |
| 註冊接頭 | 連接器註冊 | 該連接器已註冊於 Universal Print,使印表機與雲端服務間的通訊成為可能。 |
| 註冊印表機 | 印表機註冊 | 印表機已註冊於Universal Print,使其可用於雲端列印。 |
| 移除印表機共享中的群組存取權限 | ShareAccessControlGroup已移除 | 群組對印表機共享的存取權會被移除。 |
| 從拉印印表機移除的元件 | PullPrintPrinterMember已移除 | 拉列印印表機群組中會移除一名成員。 |
| 移除使用者從印表機分享的存取權限 | 分享、存取、控制、使用者已移除 | 使用者對印表機共享的存取權會被移除。 |
| 交換印表機 | 印表機交換 | 印表機在通用列印中被替換或更換為其他裝置。 |
| 未註冊連接器 | ConnectorUnregistered | 該連接器未在 Universal Print 註冊,導致無法管理印表機。 |
| 未註冊印表機 | 印表機未註冊 | 通用列印中移除印表機,使其無法用於雲端列印。 |
通用列印列印工作活動
下表列出了使用 Universal Print 服務執行列印工作時,在 Microsoft 365 稽核日誌中記錄的活動。
| 活動** | 作業 | 描述 |
|---|---|---|
| 中止列印工作 | PrintJob中止 | 列印工作因錯誤或中斷而意外終止。 |
| 已確認的印刷工作 | PrintJob已確認 | 印表機會確認列印工作,表示已收到並準備處理該列印工作。 |
| 取消列印工作 | PrintJob取消 | 列印工作會在使用者或系統完成前取消。 |
| 完成的列印工作 | 列印工作完成 | 列印工作成功完成,所有頁面都已列印完成。 |
| 擷取列印工作文件 | PrintJobDocumentFetched | 印表機或通用列印連接器會擷取列印工作文件。 |
| 已提交列印工作 | 列印工作創造 | 列印工作會提交到列印佇列,表示列印流程的開始。 |
| 上傳的列印工作文件 | 列印工作文件已上傳 | 列印工作文件已成功上傳至 Universal Print。 |
使用者管理活動
下表列出管理員透過 Microsoft 365 系統管理中心或 Azure 管理入口網站新增或變更使用者帳號時,記錄在 Microsoft 365 稽核日誌中的使用者管理活動。
注意事項
下表中 操作欄列出 的操作名稱包含 ( . ) 的週期。 如果您在搜尋稽核記錄、建立稽核保留原則、建立警示原則或建立活動警示時,於 PowerShell 命令中指定作業,則必須在作業名稱中包括句號。 也請務必使用雙引號 (" ") 來含括作業名稱。
| 活動 | 作業 | 描述 |
|---|---|---|
| 已新增使用者 | 新增使用者。 | 建立了一個使用者帳號。 |
| 已變更使用者授權 | 變更使用者授權。 | 分配給使用者的授權變更了。 欲查看變更的授權,請參閱相應 的更新用戶 活動。 |
| 已變更使用者密碼 | 變更使用者密碼。 | 使用者變更其密碼。 為了讓使用者能夠重設自己的密碼,您必須為組織中的所有或選取的使用者啟用自助式密碼重設。 您也可以在 Microsoft Entra ID 中追蹤自助重設密碼的活動。 欲了解更多資訊,請參閱 Microsoft Entra 密碼管理的報告選項。 |
| 已刪除使用者 | 刪除使用者。 | 已刪除使用者帳戶。 |
| 重設使用者密碼 | 重設使用者密碼。 | 系統管理員重設使用者的密碼。 |
| 設定授權屬性 | 設定授權屬性。 | 管理員修改了分配給使用者的授權屬性。 |
| 已設定強制使用者變更密碼的屬性 | 設定強制變更使用者密碼。 | 系統管理員已設定強制使用者在使用者下次登入 Microsoft 365 時變更密碼的屬性。 |
| 已更新使用者 | 更新使用者。 | 系統管理員變更使用者帳戶的一個或多個屬性。 如需可更新的使用者屬性清單,請參閱 Microsoft Entra 稽核報告事件中的「更新使用者屬性」章節。 |
Viva Glint 活動
下表列出 Microsoft 365 審計日誌記錄的 Viva Glint 中使用者與管理員活動。 該表格包含在 活動 欄中顯示的友善名稱,以及在審計紀錄的詳細資訊中出現的對應操作名稱,以及你匯出搜尋結果時 .csv 檔案中。
搜尋稽核日誌 說明如何從 Microsoft Purview 入口網站搜尋稽核日誌。 要存取稽核日誌,你需要是全域管理員或擁有審核閱讀權限。 使用活動篩選器搜尋特定活動,並在記錄類型篩選中選擇 VivaGlint 來列出所有 Viva Glint 活動。 利用日期範圍框和 使用者 清單進一步縮小搜尋範圍。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增公司管理員 | 新增公司管理員 | 新增一位使用者為公司管理員角色。 |
| 新增支援使用者 | 新增支援用戶 | 新增一位使用者至支援使用者角色。 |
| 分配的使用者角色 | 指派角色 | 使用者被指派到一個新角色。 |
| 變更的客戶資料 | 客戶資料已更改 | 在 Viva Glint 一般設定或進階設定中更改活動:詳情。 |
| 公司管理員已登入 | AdminLogin | 一位公司管理員登入了 Viva Glint。 |
| 公司管理員登出 | 管理員登出 | 一位公司管理員用戶登出了 Viva Glint。 |
| 創建使用者角色 | 角色創造 | Glint 使用者角色建立活動。 |
| 已刪除支援存取權限 | GlintSupportAccess已刪除 | 有使用者被移除支援使用者角色。 |
| 已刪除的系統 | GlintSystem已刪除 | Viva Glint 系統被刪除。 |
| 已刪除的使用者 | GlintUserDeleted | Viva Glint 用戶刪除活動。 |
| 停用進階設定存取 | UserAdvConfigDisabled | 一位公司管理員使用者在 Viva Glint 中停用了進階設定存取。 |
| 啟用進階設定存取 | UserAdvConfigEnabled | 一位公司管理員使用者啟用了 Viva Glint 的進階設定存取權限。 |
| Executed Data Apps Job | GlintDataAppsJobRun | Viva Glint 進階設定資料應用程式和上傳活動。 |
| 匯出 Glint 360 回饋 | GlintFeedbackProgramExport | Viva Glint 360 回饋程式資料匯出活動。 |
| 匯出的 Glint 分發清單 | GlintUserGroupExport | 分發清單匯出活動。 |
| 出口的 Glint 人員 | GlintUserExport | Glint 人員資料匯出活動。 |
| 匯出 Glint 脈衝程式反應率 | GlintPulseProgramRespondentRateExport | Glint 脈衝程式反應率匯出活動。 |
| 匯出的 Glint 問題庫 | GlintQuestionExport | Glint 問題庫匯出活動。 |
| 輸出光亮調查計畫 | GlintPulseProgramExport | Glint 調查計畫內容匯出活動。 |
| 匯出 Glint 使用者角色 | GlintRoleExport | Glint 使用者角色資料匯出活動。 |
| 匯出原始調查資料 | RawSurveyReponseExport | 原始調查回應資料匯出活動。 |
| 匯出使用者資料 | UserDataExport | 員工資料匯出活動。 |
| 匯入 Glint 360 反饋 | GlintFeedbackProgramImport | 360 回饋計畫資料匯入活動。 |
| 進口的 Glint SFTP | GlintRubiconImport | 員工資料 SFTP 匯入活動。 |
| 匯入 Glint 用戶資料 | GlintUserImport | 員工資料匯入活動。 |
| 匯入 Glint 使用者角色 | GlintRoleImport | 使用者角色 員工資料活動。 |
| 已移除公司管理員 | 移除公司管理員 | 有使用者被從公司管理員角色中移除。 |
| 重新開放的測量站 | SurveyReopen | 已關閉的 Viva Glint 調查重新開放。 |
| 設定資料DSR控制 | DataDsrControlSet | 一般設定中調查資料刪除的使用者資料控制,更新活動。 |
| 設定丟棄員工識別碼 | DiscardingEmployeeIdsSet | 在一般設定中,員工ID重用的使用者資料控制,更新活動。 |
| 未指派使用者角色 | UnassignRole | 使用者被從角色中移除。 |
| 被視為 | 觀點 | 管理員的「以另類」使用者活動。 |
Viva Goals 活動
下表列出 Microsoft 365 審計日誌記錄的 Viva Goals 中使用者與管理員活動。 表格包含在 活動 欄位顯示的友善名稱,以及匯出搜尋結果時,審計記錄詳細資訊和 CSV 檔案中顯示的相應操作名稱。
搜尋稽核日誌 說明如何從 Microsoft Purview 入口網站搜尋稽核日誌。 要存取稽核日誌,你需要是全域管理員或擁有審核閱讀權限。 你可以使用 活動 篩選器來搜尋特定活動。 若要列出所有 Viva Goals 活動,請在「記錄類型」篩選器中選擇 VivaGoals。 你也可以利用日期範圍框和 使用者 清單進一步縮小搜尋範圍。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 儀表板已建立 | 儀表板已建立 | 使用者在 Viva Goals 上建立了一個新的儀表板 |
| 儀表板已刪除 | 儀表板已刪除 | 使用者刪除了 Viva Goals 上的一個儀表板。 |
| 儀表板已更新 | 儀表板已更新 | 使用者更新了 Viva Goals 的儀表板 |
| 匯出資料 | 匯出資料 | 使用者匯出 OKR 或組織內 Viva Goals 用戶名單。 |
| 目標政策已更新 | 目標政策已更新 | 全域管理員在組織層級修改了 Viva Goals 的政策或設定。 例如,全球管理員設定了可以在 Viva Goals 上建立組織的人。 |
| OKR 或專案創建 | OKR 或專案創建 | 使用者在 Viva Goals 上創建了 OKR 或專案。 |
| OKR 或專案已刪除 | OKR 或專案已刪除 | 使用者刪除了 OKR 或專案。 |
| OKR 或專案更新 | OKR 或專案更新 | 使用者修改 OKR/專案,或在 Viva Goals 上進行簽到。 |
| 組織成立 | 組織成立 | 管理員或使用者在 Viva Goals 上建立了一個新的組織。 |
| 組織整合更新 | 組織整合更新 | 使用者 (通常是組織擁有者或管理員,) 設定第三方整合或更新組織現有的第三方整合Viva Goals。 |
| 組織設定已更新 | 組織設定已更新 | 使用者 (通常是組織擁有者或管理員,) 在Viva Goals上更新組織專屬設定。 |
| 球隊新增 | 球隊新增 | 在一個組織內成立了一支新團隊,名為 Viva Goals。 |
| 隊伍已刪除 | 隊伍已刪除 | 該用戶刪除了 Viva Goals 上某組織內的團隊。 |
| 團隊更新 | 團隊更新 | 在 Viva Goals 上,組織內的團隊會被修改或更新。 |
| 使用者新增 | 使用者新增 | Viva Goals 上的一個組織新增了一位使用者。 |
| 使用者停用 | 使用者停用 | 有使用者在組織中被停用。 |
| 使用者已刪除 | 使用者已刪除 | 一位使用者在 Viva Goals 上的一個組織被刪除。 |
| 使用者已登入 | 使用者已登入 | 使用者登入了 Viva Goals。 |
Viva Engage 活動
下表列出 Microsoft 365 稽核日誌中記錄的 Viva Engage 使用者與管理員活動。 若要從稽核日誌中返回與 Viva Engage 相關的活動,請在活動列表中選擇「顯示所有活動的結果」。 使用 [日期範圍] 方塊與 [使用者] 清單來縮小搜尋結果。
注意事項
部分Viva Engage審計活動僅在審計 (高級) 中提供。 這表示,必須先指派適當的授權給使用者,才能在稽核記錄中記錄這些活動。 欲了解更多資訊,請參閱 《 (Premium) 審核。 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案。
在下表中,使用星號 (*) 來強調顯示稽核 (進階版) 活動。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 新增企業傳播員 | 新增使用者角色 | 使用者被指派為企業溝通者。 |
| 自訂使用政策變更 | 使用政策已更新 | 租戶管理員會更新自訂使用政策。 |
| 已變更資料保留原則 | SoftDeleteSettingsUpdated | 驗證系統管理員將網路資料保留原則的設定更新為 [實刪除] 或 [虛刪除]。 僅限驗證系統管理員可以執行這項作業。 |
| 已變更網路設定 | NetworkConfigurationUpdated | 網路或已驗證管理員會更改 Viva Engage 網路的設定。 這項變更包括設定匯出資料的間隔以及啟用聊天。 |
| 已變更網路設定檔設定 | ProcessProfileFields | 網路或驗證系統管理員變更網路使用者網路的成員個人檔案顯示資訊。 |
| 已變更私人內容模式 | SupervisorAdminToggled | 已驗證管理員可開啟或關閉 私人內容模式 。 這個模式可讓系統管理員檢視私人群組中的文章以及個別使用者 (或使用者群組) 之間的私人訊息。 僅限驗證系統管理員可以執行這項作業。 |
| 已變更安全性設定 | NetworkSecurityConfigurationUpdated | 已驗證管理員會更新 Viva Engage 網路的安全設定。 這次更新包括設定密碼過期政策及限制 IP 位址。 僅限驗證系統管理員可以執行這項作業。 |
| 對話結束 | 親密對話 | Viva Engage 討論串被關閉,無法讓用戶回覆。 此動作對管理員、企業溝通者或使用者代表開放。 |
| 談話開始了 | 開放對話 | Viva Engage 討論串對話已開啟,允許用戶回覆該討論串。 此動作可由管理員、企業通訊或使用者代表使用。 |
| 建立一個分段 | 分段已創建 | 管理員會建立分段。 |
| 已建立檔案 | FileCreated | 使用者上傳檔案。 |
| 已建立群組 | GroupCreation | 使用者建立群組。 |
| 已建立訊息 | 訊息創建 | 使用者建立了訊息。 |
| 刪除一段 | 片段已刪除 | 管理員刪除了分段。 |
| 已刪除群組 | GroupDeletion | Viva Engage 有群組被刪除。 |
| 已刪除訊息 | MessageDeleted | 使用者刪除訊息。 |
| 下載分段管理報告 | 分段報告已下載 | 管理員報告已下載完成 |
| 下載的檔案 | FileDownloaded | 使用者下載檔案。 |
| 匯出活動內容 | 事件內容已匯出 | 活動主辦人會將活動問題、回覆、反應及點數匯出為 CSV 檔。 此行動僅限活動主辦方及共同主辦方使用。 網路管理員可以在 Engage 管理員設定中關閉整個網路的此功能。 |
| 啟用事件管理 | EventModerationEnabled | 活動主辦者啟用了活動的管理權限。 此行動僅限活動主辦單位使用。 |
| 已匯出資料 | DataExport | Verified admin exports Viva Engage network data. 僅限驗證系統管理員可以執行這項作業。 |
| 無法存取檔案 | FileAccessFailure | 使用者無法存取檔案。 |
| 無法進入群組 | 群組存取失敗 | 使用者未能進入群組。 |
| 無法存取執行緒 | ThreadAccessFailure(線程存取失敗) | 使用者未能存取訊息串。 |
| 產生分段管理報告 | 分群報告產生 | 管理員使用者會觸發報告產生。 |
| 對訊息的反應 | 標記訊息已改變 | 使用者對訊息做出反應。 |
| 移除精選主題* | 移除策展主題 | 使用者移除一個精心策劃的主題。 |
| 移除的企業溝通者 | 移除使用者角色 | 使用者會被移除企業溝通者的角色。 |
| 已共用檔案 | FileShared | 使用者與其他使用者共用檔案。 |
| 已將網路使用者停權 | NetworkUserSuspended | 網路或已驗證管理員會暫停 (停用) 使用者Viva Engage。 |
| 已將使用者停權 | UserSuspension | 已將使用者帳戶停權 (已停用)。 |
| 租戶使用政策接受 | 使用政策接受 | 使用者接受組織特定的使用政策。 |
| 討論串靜音 | 管理員討論串靜音 | 一個討論串被管理員或系統使用者) 的監視警示 (靜音。 當管理員) 設定的某個主題被標記為某個主題時,就會觸發觀看警報 (系統自動靜音。 |
| 線程未靜音 | 管理員線程未靜音 | 管理員取消靜音了一個討論串。 |
| 已更新檔案描述 | FileUpdateDescription | 使用者變更檔案的描述。 |
| 已更新檔案名稱 | FileUpdateName | 使用者變更檔案的名稱。 |
| 已更新郵件 | MessageUpdated | 使用者更新了訊息。 |
| 網路管理員角色分配更新 | 網路管理員更新 | 使用者會被晉升或降級為網路管理員角色。 |
| 已驗證管理員的角色分配更新 | NetworkVerifiedAdmin已更新 | 使用者會被晉升或降級為已驗證管理員角色。 |
| 已檢視檔案 | FileVisited | 使用者檢視檔案。 |
| 已瀏覽討論串 | ThreadViewed | 使用者瀏覽訊息串。 |
Viva Pulse 活動
下表列出 Microsoft 365 稽核日誌中記錄的 Viva Pulse 使用者與管理員活動。 表格包含在 活動 欄位顯示的友善名稱,以及在審計紀錄的詳細資訊和匯出搜尋結果時 CSV 檔案中出現的相應作業名稱。
搜尋稽核日誌 說明如何從 Microsoft Purview 入口網站搜尋稽核日誌。 要存取稽核日誌,你需要是全域管理員或擁有審核閱讀權限。 你可以使用 活動 篩選器來搜尋特定活動。 要列出所有 Viva Pulse 活動,請在記錄類型過濾器中選擇 VivaPulse。 你也可以利用日期範圍框和 使用者 清單進一步縮小搜尋範圍。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 管理員刪除了使用者的資料 | PulseDeleteUserData | 管理員刪除了使用者的資料。 |
| 管理員更新了租戶的設定 | PulseTenantSettings更新 | 管理員更新了 Viva Pulse 的組織設定。 |
| 開始了保密對話 | 脈搏機密對話開始 | 作者開始了一場保密的對話。 |
| 對話訊息已刪除 | 脈衝機密對話訊息已刪除 | 使用者刪除了一段對話訊息。 |
| 新增對話回應 | PulseConfidentialConversationReply | 作者或收件人在對話中回應。 |
| 使用者取消了 Pulse 調查 | 脈衝取消 | 使用者取消了 Pulse 調查。 |
| 使用者建立了 Pulse 草稿 | 脈衝創作草稿 | 使用者建立了 Pulse 草稿。 |
| 使用者建立了一個脈搏調查 | 脈衝創造 | 新的 Viva Pulse 回饋請求已建立。 |
| 使用者刪除了 Pulse 的草稿 | 脈衝刪除草稿 | 使用者刪除了 Pulse 草稿。 |
| 使用者刪除了關於圖書館的問題 | 脈衝問題已刪除 | 使用者移除了 Pulse 題庫中的一個問題。 |
| 使用者延長了脈搏調查的截止日期 | PulseExtendDeadline | 使用者延長了現有 Viva Pulse 回饋請求的截止日期。 |
| 用戶邀請更多用戶參與脈搏調查 | 脈動邀請 | 用戶邀請更多用戶加入現有的 Viva Pulse 回饋請求。 |
| 使用者請求脈衝資料匯出 | 脈衝資料匯出 | 管理員或作者請求脈衝匯出操作。 |
| 用戶分享了脈搏報告 | 脈衝分享結果 | 使用者會與其他使用者分享 Viva Pulse 的回饋結果。 |
| 用戶提交了脈搏調查的回應 | 脈衝提交 | 管理員或使用者為 Viva Pulse 的回饋請求提供了回饋。 |
Windows 365 客戶鎖箱活動
下表列出 Microsoft 365 審核日誌記錄的 Windows 365 客戶鎖箱中的使用者與管理員活動。 要從稽核日誌中回傳 Windows 365 客戶鎖箱相關活動,請在記錄類型中選擇 Windows365CustomerLockbox。 使用 [日期範圍] 方塊與 [使用者] 清單來縮小搜尋結果。
| 易記名稱 | 作業 | 描述 |
|---|---|---|
| 回填CMD代理 | 新增裝置回填操作 | 在雲端 PC 上使用 CMD 代理。 |
| 批量重裝 CMD 代理 | TriggerClientAgentCheckBulkAction 操作 | 按需批量重灌 CMD 代理程式。 |
| 檢查 PowerShell 執行策略 | 檢查 PowerShell 執行策略 | 檢查 PowerShell 執行策略。 |
| 建立日誌收集請求 | 建立日誌收集請求 | 向雲端電腦建立日誌收集請求。 |
| (排程器建立新工作項目) | (排程器建立新工作項目) | 建立新的工作項目,例如提供、取消、重新配置等。 |
| 在 ActionModeratorService 建立遠端行動操作 | 在 ActionModeratorService 建立遠端行動操作 | 依據 tenantID、workspaceID、actionType、actionParameters 建立遠端動作。 |
| 建立 VmExtension 請求 | 建立 VmExtention 請求 | 建立虛擬機擴充請求以執行虛擬機擴充功能,在客戶裝置上執行自訂腳本。 |
| 執行 AppHealthPlugin | 執行 AppHealthPlugin | 執行 AppHealthPlugin。 |
| 安裝 RD 代理程式 | 安裝 RD 代理程式 | 在使用者的裝置上安裝 RD 代理程式。 |
| OCE 在虛擬機上執行指令 | OCE 在虛擬機上執行指令 | 依照 tenantID、deviceID 清單和腳本執行指令。 |
| 遙控行動後的作戰 | 遙控行動後的作戰 | 發佈遠端操作,並透過 GetActions 操作輪詢結果。 |
| 重新安裝 CMD 代理 | AddDevicesToReinstall 操作 | 重新安裝 CMD Agent on demand。 |
| 執行混合式 AADJ 擴充功能 | 執行混合式 AADJ 擴充功能 | 在使用者裝置上執行混合式 AADJ 擴充功能。 |
| 觸發指令長,金絲雀特工檢查。 | 觸發指令長,金絲雀特工檢查。 | 觸發指令長,Agent Canary檢查特定裝置。 |
| 觸發裝置修復 | 觸發裝置修復 | 觸發裝置修復。 |
| 觸發通用動作 | 觸發通用動作 | 觸發裝置動作給使用者。 |
| 觸發通用動作 由 SaaF 製作 | 觸發通用動作 由 SaaF 製作 | 觸發裝置行動 (Retargeting、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix for user) 。 |
| 觸發通用動作與選項 | 觸發通用動作與選項 | 觸發裝置動作,具備選項參數,比觸發通用動作更強大。 |
| 扳機調配器 | 扳機調配器 | 為使用者設計觸發編排器。 |
| 將資料夾上傳到 blob | 將資料夾上傳到 blob | 壓縮並上傳客戶裝置資料夾到 blob。 |