Teilen über


Suchen nach dem Überwachungsprotokoll für Ereignisse in Microsoft Teams

Wichtig

Das Microsoft Teams Admin Center ersetzt schrittweise das Skype for Business Admin Center, und wir migrieren Teams-Einstellungen aus dem Microsoft 365 Admin Center dazu. Wenn eine Einstellung migriert wurde, wird eine Benachrichtigung angezeigt, und Sie werden dann zum Speicherort der Einstellung im Teams Admin Center weitergeleitet. Weitere Informationen finden Sie unter Verwalten von Teams während des Übergangs zum Teams Admin Center.

Das Überwachungsprotokoll kann Ihnen helfen, bestimmte Aktivitäten in Microsoft 365-Diensten zu untersuchen. Für Microsoft Teams finden Sie hier einige der Aktivitäten, die überwacht werden:

  • Teamerstellung
  • Löschung von Teams
  • Hinzufügen von Kanälen
  • Kanal gelöscht
  • Kanaleinstellung geändert

Eine vollständige Liste der überwachten Teams-Aktivitäten finden Sie unter Teams-Aktivitäten und Schichten in Teams-Aktivitäten.

Hinweis

Überwachungsereignisse von privaten Kanälen werden ebenso wie für Teams und Standardkanäle protokolliert.

Aktivieren der Überwachung in Teams

Bevor Sie überwachungsdaten anzeigen können, müssen Sie zuerst die Überwachung im Microsoft Purview-Complianceportal aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Wichtig

Überwachungsdaten sind nur ab dem Zeitpunkt verfügbar, an dem Sie die Überwachung aktiviert haben.

Abrufen von Microsoft Teams-Daten aus dem Überwachungsprotokoll

  1. Um Überwachungsprotokolle für Teams-Aktivitäten abzurufen, wechseln Sie zu https://compliance.microsoft.com , und wählen Sie Überwachen aus.

  2. Filtern Sie auf der Seite Suchen die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.

  3. Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.

Eine schrittweise Anleitung finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.

Wichtig

Überwachungsdaten sind nur im Überwachungsprotokoll sichtbar, wenn die Überwachung aktiviert ist.

Die Dauer, in der ein Überwachungsdatensatz aufbewahrt und im Überwachungsprotokoll durchsuchbar ist, hängt von Ihrem Microsoft 365- oder Office 365-Abonnement ab, und insbesondere von der Art der Lizenz, die Benutzern zugewiesen ist. Weitere Informationen finden Sie in der Dienstbeschreibung des Security & Compliance Center.

Tipps zum Suchen im Überwachungsprotokoll

Hier finden Sie Tipps zum Suchen nach Teams-Aktivitäten im Überwachungsprotokoll.

Screenshot der Seite

  • Sie können bestimmte Aktivitäten auswählen, nach der gesucht werden soll, indem Sie auf das Kontrollkästchen neben einer oder mehreren Aktivitäten klicken. Wenn eine Aktivität ausgewählt ist, können Sie sie auswählen, um die Auswahl abzubrechen. Sie können auch das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.

    Screenshot der Dropdownliste

  • Wählen Sie zum Anzeigen von Ereignissen für Aktivitäten, die mithilfe von Cmdlets ausgeführt werden, in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen aus. Wenn Sie den Namen des Vorgangs für diese Aktivitäten kennen, geben Sie ihn in das Suchfeld ein, um die Aktivität anzuzeigen, und wählen Sie ihn dann aus.

  • Um die aktuellen Suchkriterien zu löschen, wählen Sie Alle löschen aus. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt.

  • Wenn 5,000 Ergebnisse gefunden werden, können Sie wahrscheinlich davon ausgehen, dass mehr als 5.000 Ereignisse die Suchkriterien erfüllen. Sie können die Suchkriterien verfeinern und die Suche erneut ausführen, um weniger Ergebnisse zurückzugeben, oder Sie können alle Suchergebnisse exportieren, indem SieAlle Ergebnisse herunterladen> auswählen. Schritt-für-Schritt-Anweisungen zum Exportieren von Überwachungsprotokollen finden Sie unter Exportieren der Suchergebnisse in eine Datei.

Sehen Sie sich dieses Video zur Verwendung der Audioprotokollsuche an. Treten Sie Ansuman Acharya, Programmmanager für Teams, bei, während er zeigt, wie sie eine Überwachungsprotokollsuche für Teams durchführen.

Microsoft Teams-Aktivitäten

Hier ist eine Liste aller Ereignisse, die für Benutzer- und Administratoraktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.

Anzeigename Vorgang Beschreibung
Bot zum Team hinzugefügt BotAddedToTeam Ein Benutzer fügt einem Team einen Bot hinzu.
Kanal hinzugefügt ChannelAdded Ein Benutzer fügt einem Team einen Kanal hinzu.
Connector hinzugefügt ConnectorAdded Ein Benutzer fügt einen Connector zu einem Kanal hinzu.
Details zu Teams-Besprechung 2, 5 hinzugefügt MeetingDetail Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung.
Informationen zu Besprechungsteilnehmern hinzugefügt 2, 5 MeetingParticipantDetail Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat.
Mitglieder hinzugefügt 5, 6 MemberAdded Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu.
Registerkarte hinzugefügt TabAdded Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.
Angewendete Vertraulichkeitsbezeichnung SensitivityLabelApplied Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet.
Kanaleinstellung geändert ChannelSettingChanged Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern angezeigt) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Ändert den Namen eines Teamkanals (Kanalname)
  • Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung)
Organisationseinstellung geändert TeamsTenantSettingChanged Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization.
Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Aktiviert oder deaktiviert Teams für die organization (Microsoft Teams).
  • Aktiviert oder deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die organization (Skype for Business Interoperabilität).
  • Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechungsplanung).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechungsplanung).
  • Aktiviert oder deaktiviert Videoanrufe in Teams-Besprechungen (Video für Skype-Besprechungen).
  • Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams-Besprechungen für die organization (Bildschirmfreigabe für Skype-Besprechungen).
  • Aktiviert oder deaktiviert diese Möglichkeit, animierte Bilder (giphys genannt) zu Teams-Unterhaltungen (animierte Bilder) hinzuzufügen.
  • Ändert die Inhaltsbewertungseinstellung für die organization (Inhaltsbewertung). Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können.
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbare Bilder (als benutzerdefinierte Memes bezeichnet) aus dem Internet zu Teamunterhaltungen hinzuzufügen (anpassbare Bilder aus dem Internet).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (als Aufkleber bezeichnet) zu Teamunterhaltungen hinzuzufügen (bearbeitbare Bilder).
  • Aktiviert oder deaktiviert diese Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen (organisationsweite Bots) zu verwenden.
  • Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Teams-Hilfebot „T-Bot“, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten (Erweiterungen oder Registerkarten) hinzuzufügen.
  • Aktiviert oder deaktiviert das Querladen proprietärer Bots für Microsoft Teams (Querladen von Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal (Kanal-E-Mail) zu senden.
Rolle von Mitgliedern im Team geändert MemberRoleChanged Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist.

1 – Gibt die Memberrolle an.
2 – Gibt die Rolle Besitzer an.
3 - Gibt die Gastrolle an.

Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds.
Teameinstellung geändert TeamSettingChanged Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
  • Ändert den Zugriffstyp für ein Team. Teams können als privat oder öffentlich (Teamzugriffstyp) festgelegt werden. Wenn ein Team privat ist (Standardeinstellung), haben Benutzer nur nach Einladung Zugriff auf das Team. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden.
  • Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung). Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden.
  • Ändert den Namen eines Teams (Teamname).
  • Ändert die Teambeschreibung (Teambeschreibung).
  • Änderungen an Teameinstellungen. Um auf diese Einstellungen zuzugreifen, kann ein Teambesitzer mit der rechten Maustaste auf ein Team klicken, Team verwalten und dann die Registerkarte Einstellungen auswählen. Für diese Aktivitäten wird der Name der geänderten Einstellung in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Geänderte Vertraulichkeitsbezeichnung SensitivityLabelChanged Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert.
Erstellen eines Chats 1, 2 ChatCreated Ein Teams-Chat wurde erstellt.
Team erstellt TeamCreated Ein Benutzer erstellt ein Team.
Nachricht gelöscht 2 MessageDeleted Eine Nachricht in einem Chat oder Kanal wurde gelöscht.
Alle organization-Apps gelöscht DeletedAllOrganizationApps Alle organization Apps aus dem Katalog gelöscht.
Gelöschte App AppDeletedFromCatalog Eine App wurde aus dem Katalog gelöscht.
Kanal gelöscht ChannelDeleted Ein Benutzer löscht einen Kanal aus einem Team.
Team gelöscht TeamDeleted Ein Teambesitzer löscht ein Team.
Bearbeiten einer Nachricht mit einem URL-Link in Teams 5 MessageEditedHasLink Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu.
Exportierte Nachrichten 1, 2 MessagesExported Chat- oder Kanalnachrichten wurden exportiert.
Exportierte Aufzeichnungen RecordingExported Chataufzeichnungen wurden exportiert.
Exportierte Transkripte TranscriptsExported Chattranskripte wurden exportiert.
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 FailedValidation Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen.
Abgerufener Chat 1, 2 ChatRetrieved Ein Microsoft Teams-Chat wurde abgerufen.
Alle gehosteten Inhalte einer Nachricht abgerufen1, 2 MessageHostedContentsListed Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen.
App installiert AppInstalled Eine App wurde installiert.
Aktion für Karte ausgeführt PerformenCardAction Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen.

Hinweis: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar.
Neue Nachricht veröffentlicht 1, 2, 5, 6 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht.
Veröffentlichte App AppPublishedToCatalog Dem Katalog wurde eine App hinzugefügt.
Lesen einer Nachricht 1, 2 MessageRead Eine Nachricht eines Chats oder Kanals wurde abgerufen.
Lesen des gehosteten Inhalts einer Nachricht 1, 2 MessageHostedContentRead Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen.
Bot aus Team entfernt BotRemovedFromTeam Ein Benutzer entfernt einen Bot aus einem Team.
Connector entfernt ConnectorRemoved Ein Benutzer entfernt einen Connector aus einem Kanal.
Entfernte Mitglieder MemberRemoved Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat.
Vertraulichkeitsbezeichnung entfernt SensitivityLabelRemoved Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt.
Freigabe von Teamkanal 3 entfernt TerminatedSharing Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert.
Freigabe von Teamkanal 3 wiederhergestellt SharingRestored Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert.
Registerkarte entfernt TabRemoved Ein Benutzer entfernt eine Registerkarte aus einem Kanal.
Auf Einladung für den freigegebenen Kanal 3 geantwortet EingeladeneAntworten Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet.
Antwort der eingeladenen Person auf freigegebenen Kanal 3 ChannelOwnerResponded Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat.
Abgerufene Nachrichten 1, 2 MessagesListed Nachrichten aus einem Chat oder Kanal wurden abgerufen.
Senden einer Nachricht mit einem URL-Link in Teams 5 MessageCreatedHasLink Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams.
Änderungsbenachrichtigung zur Nachrichtenerstellung gesendet 1, 2 MessageCreatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen.
Änderungsbenachrichtigung zum Löschen von Nachrichten gesendet 1, 2 MessageDeletedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen.
Änderungsbenachrichtigung für Meldungsupdate 1, 2 gesendet MessageUpdatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen.
Gesendete Einladung für den freigegebenen Kanal 3 InviteSent Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist.
Nachrichtenänderungsbenachrichtigungen abonniert 1, 2 SubscribedToMessages Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen.
Deinstallierte App AppUninstalled Eine App wurde deinstalliert.
Aktualisierte App AppUpdatedInCatalog Eine App wurde im Katalog aktualisiert.
Chat aktualisiert 1, 2 ChatUpdated Ein Teams-Chat wurde aktualisiert.
Meldung 1, 2 aktualisiert MessageUpdated Eine Nachricht eines Chats oder Kanals wurde aktualisiert.
Connector aktualisiert ConnectorUpdated Ein Benutzer hat in einem Kanal einen Connector geändert.
Registerkarte aktualisiert TabUpdated Ein Benutzer hat in einem Kanal eine Registerkarte geändert.
Aktualisierte App AppUpgradeed Eine App wurde im Katalog auf die neueste Version aktualisiert.
Benutzer bei Teams angemeldet TeamsSessionStarted Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten.
Veröffentlicht Neue Nachricht 3, 4, 5, 6 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal gepostet. Dieses Ereignis ist ein Premium-Feature mit zu definierenden Lizenzierungsdetails.

Hinweis

1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.

Schichten in Teams-Aktivitäten

Wenn Ihr organization die Schichten-App in Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Hier ist eine Liste aller Ereignisse, die für Schichten-Aktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Anzeigename Vorgang Beschreibung
Planungsgruppe hinzugefügt ScheduleGroupAdded Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu.
Bearbeitete Zeitplanungsgruppe ScheduleGroupEdited Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe.
Gelöschte Zeitplanungsgruppe ScheduleGroupDeleted Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan.
Zeitplan zurückgezogen ScheduleWithdrawn Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück.
Hinzugefügte Verschiebung ShiftAdded Ein Benutzer fügt erfolgreich eine Schicht hinzu.
Bearbeitete Schicht ShiftEdited Ein Benutzer bearbeitet erfolgreich eine Schicht.
Gelöschte Schicht SHIFTDeleted Ein Benutzer löscht erfolgreich eine Schicht.
Hinzugefügte Freizeit TimeOffAdded Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu.
Bearbeitete Freizeit TimeOffEdited Ein Benutzer bearbeitet die Freizeit erfolgreich.
Löschzeit TimeOffDeleted Ein Benutzer löscht die Freizeit erfolgreich.
Offene Schicht hinzugefügt OpenShiftAdded Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu.
Bearbeitete offene Schicht OpenShiftEdited Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe.
Geöffnete Schicht gelöscht OpenShiftDeleted Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe.
Freigegebener Zeitplan ScheduleShared Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben.
Getaktet mithilfe der Zeituhr ClockedIn Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet.
Ausgetaktet mithilfe der Zeituhr ClockedOut Ein Benutzer hat die Zeituhr erfolgreich verwendet.
Pause mithilfe der Zeituhr gestartet BreakStarted Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung.
Beendigung der Pause mithilfe der Zeituhr BreakEnded Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich.
Zeituhreintrag hinzugefügt TimeClockEntryAdded Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu.
Bearbeiteter Zeituhreintrag TimeClockEntryEdited Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Gelöschter Zeituhreintrag TimeClockEntryDeleted Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Schichtanforderung hinzugefügt RequestAdded Ein Benutzer hat eine Schichtanforderung hinzugefügt.
Antwort auf Schichtanforderung RequestRespondedTo Ein Benutzer hat auf eine Schichtanforderung geantwortet.
Abgebrochene Schichtanforderung RequestCancelled Ein Benutzer hat eine Schichtanforderung abgebrochen.
Geänderte Zeitplaneinstellung ScheduleSettingChanged Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten.
Mitarbeiterintegration hinzugefügt WorkforceIntegrationAdded Die Schichten-App ist in ein Drittanbietersystem integriert.
Meldung "Außerhalb der Schicht akzeptiert" OffShiftDialogAccepted Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen.

Updates App in Teams-Aktivitäten

Wenn Ihr organization die Updates-App in Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Updates-App durchsuchen. Hier ist eine Liste aller Ereignisse, die für Updates App-Aktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Anzeigename Vorgang Beschreibung
Erstellen einer Updateanforderung CreateUpdateRequest Ein Benutzer erstellt erfolgreich eine Updateanforderung.
Bearbeiten einer Updateanforderung EditUpdateRequest Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt.
Übermitteln eines Updates SubmitUpdate Ein Benutzer übermittelt erfolgreich ein Update.
Anzeigen der Details eines Updates ViewUpdate Ein Benutzer zeigt die Details des Updates an.

Office 365-Verwaltungsaktivitäts-API

Sie können die Office 365-Verwaltungsaktivitäts-API verwenden, um Informationen zu Teams-Ereignissen abzurufen. Weitere Informationen zum Schema der Verwaltungsaktivitäts-API für Teams finden Sie unter Teams-Schema.

Zuordnung in Teams-Überwachungsprotokollen

Mitgliedschaftsänderungen an Teams (z. B. hinzugefügte oder gelöschte Benutzer), die über Azure Active Directory (Azure AD), das Microsoft 365-Verwaltungsportal oder Microsoft 365-Gruppen Graph-API vorgenommen wurden, werden in Teams-Überwachungsnachrichten und im Kanal Allgemein mit einer Zuordnung zu einem vorhandenen Besitzer des Teams und nicht zum tatsächlichen Initiator der Aktion angezeigt. Lesen Sie in diesen Szenarien die Überwachungsprotokolle für Azure AD oder Microsoft 365-Gruppen , um die relevanten Informationen anzuzeigen.

Verwenden von Defender für Cloud-Apps zum Festlegen von Aktivitätsrichtlinien

Mithilfe Microsoft Defender for Cloud Apps Integration können Sie Aktivitätsrichtlinien festlegen, um mithilfe der APIs des App-Anbieters eine Vielzahl von automatisierten Prozessen zu erzwingen. Diese Richtlinien ermöglichen es Ihnen, bestimmte Aktivitäten zu überwachen, die von verschiedenen Benutzern ausgeführt werden, oder unerwartet hohe Raten einer bestimmten Art von Aktivität zu verfolgen.

Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, wird mit der Generierung von Warnungen begonnen. Warnungen werden nur für Aktivitäten generiert, die nach dem Erstellen der Richtlinie auftreten. Im Folgenden finden Sie einige Beispielszenarien für die Verwendung von Aktivitätsrichtlinien in Defender for Cloud Apps zum Überwachen von Teams-Aktivitäten.

Szenario für externe Benutzer

Ein Szenario, das Sie aus geschäftlicher Sicht im Auge behalten möchten, ist das Hinzufügen externer Benutzer zu Ihrer Teams-Umgebung. Wenn externe Benutzer aktiviert sind, empfiehlt es sich, deren Anwesenheit zu überwachen. Sie können Defender für Cloud Apps verwenden, um potenzielle Bedrohungen zu identifizieren.

Richtlinie zum Überwachen des Hinzufügens externer Benutzer

Der Screenshot dieser Richtlinie zum Überwachen des Hinzufügens externer Benutzer ermöglicht es Ihnen, die Richtlinie zu benennen, den Schweregrad entsprechend Ihren Geschäftlichen Anforderungen festzulegen, sie (in diesem Fall) als einzelne Aktivität festzulegen und dann die Parameter festzulegen, die nur das Hinzufügen nicht interner Benutzer überwachen und diese Aktivität auf Teams beschränken.

Die Ergebnisse dieser Richtlinie können im Aktivitätsprotokoll angezeigt werden:

Von der Richtlinie für externe Benutzer ausgelöste Ereignisse

Hier können Sie Übereinstimmungen mit der von Ihnen festgelegten Richtlinie überprüfen und ggf. Anpassungen vornehmen oder die Ergebnisse exportieren, um sie an anderer Stelle zu verwenden.

Szenario für massenhaftes Löschen

Wie bereits erwähnt, können Sie Löschszenarien überwachen. Es ist möglich, eine Richtlinie zu erstellen, die das Massenlöschen von Teams-Websites überwacht. In diesem Beispiel wird eine warnungsbasierte Richtlinie eingerichtet, um das Massenlöschen von Teams innerhalb von 30 Minuten zu erkennen.

Richtlinie, die die Einrichtung einer Richtlinie für die Massenlöschung von Teams anzeigt

Wie der Screenshot zeigt, können Sie viele verschiedene Parameter für diese Richtlinie festlegen, um Teams-Löschungen zu überwachen, einschließlich Schweregrad, einzelne oder wiederholte Aktion und Parameter, die dies auf Teams und Websitelöschung beschränken. Dies kann unabhängig von einer Vorlage erfolgen, oder Sie haben eine Vorlage erstellt, auf der diese Richtlinie basiert, je nach den Anforderungen Ihrer Organisation.

Nachdem Sie eine Richtlinie festgelegt haben, die für Ihr Unternehmen funktioniert, können Sie die Ergebnisse im Aktivitätsprotokoll überprüfen, wenn Ereignisse ausgelöst werden:

Screenshot von Ereignissen, die durch massenhafte Löschungen ausgelöst werden

Sie können nach der richtlinie filtern, die Sie festgelegt haben, um die Ergebnisse dieser Richtlinie anzuzeigen. Wenn die Ergebnisse, die Sie im Aktivitätsprotokoll erhalten, nicht zufriedenstellend sind (möglicherweise werden viele oder gar nichts angezeigt), kann dies Ihnen helfen, die Abfrage zu optimieren, um sie für die erforderlichen Aufgaben relevanter zu machen.

Warnungs- und Governanceszenario

Sie können Warnungen festlegen und E-Mails an Administratoren und andere Benutzer senden, wenn eine Aktivitätsrichtlinie ausgelöst wird. Sie können automatisierte Governanceaktionen festlegen, z. B. das Anhalten eines Benutzers oder die automatische Erneute Anmeldung eines Benutzers. Dieses Beispiel zeigt, wie ein Benutzerkonto ausgesetzt werden kann, wenn eine Aktivitätsrichtlinie ausgelöst wird und ein Benutzer bestimmt, der zwei oder mehr Teams in 30 Minuten gelöscht hat.

Screenshot: Warnungen und Governanceaktionen für eine Aktivitätsrichtlinie.

Verwenden von Defender für Cloud-Apps zum Festlegen von Richtlinien für die Anomalieerkennung

Richtlinien zur Anomalieerkennung in Defender for Cloud Apps bieten sofort einsatzbereite UEBA-Analysen (User and Entity Behavior Analytics) und Machine Learning (ML), sodass Sie die erweiterte Bedrohungserkennung sofort in Ihrer Cloudumgebung ausführen können. Da sie automatisch aktiviert werden, liefern die neuen Richtlinien für die Anomalieerkennung sofortige Ergebnisse, indem sie sofortige Erkennungen bereitstellen und auf zahlreiche Verhaltensanomalien für Ihre Benutzer und die Computer und Geräte abzielen, die mit Ihrem Netzwerk verbunden sind. Darüber hinaus machen die neuen Richtlinien mehr Daten aus der Defender for Cloud Apps-Erkennungs-Engine verfügbar, damit Sie den Untersuchungsprozess beschleunigen und laufende Bedrohungen eindämmen können.

Wir arbeiten daran, Teams-Ereignisse in Richtlinien zur Anomalieerkennung zu integrieren. Vorerst können Sie Richtlinien zur Anomalieerkennung für andere Office-Produkte einrichten und Aktionselemente für Benutzer ausführen, die diesen Richtlinien entsprechen.