Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams

  • Artikel
  • 16 Minuten Lesedauer
  • Gilt für:
    Microsoft Teams

Wichtig

Das Microsoft Teams-Admin Center ersetzt nach und nach das Skype for Business-Admin Center. Die Teams-Einstellungen werden vom Microsoft 365-Admin Center auf dieses Admin Center migriert. Wenn eine Einstellung migriert wurde, sehen Sie eine Benachrichtigung und werden zu der entsprechenden Stelle im Admin Center für Microsoft Teams geleitet. Weitere Informationen finden Sie unter Verwalten von Microsoft Teams während der Umstellung auf das Admin Center für Microsoft Teams.

Mithilfe des Überwachungsprotokolls können Sie bestimmte Aktivitäten in allen Microsoft 365-Diensten untersuchen. Für Microsoft Teams werden unter anderem die folgenden Aktivitäten überwacht:

  • Teamerstellung
  • Löschung von Teams
  • Hinzufügen von Kanälen
  • Kanal gelöscht
  • Kanaleinstellung geändert

Eine vollständige Liste der überwachten Teams-Aktivitäten finden Sie unter Teams-Aktivitäten und Schichten in Teams-Aktivitäten.

Hinweis

Überwachungsereignisse aus privaten Kanälen werden ebenfalls protokolliert, wenn sie Teams und Standardkanäle betreffen.

Aktivieren der Überwachung in Microsoft Teams

Bevor Sie überwachungsdaten anzeigen können, müssen Sie zuerst die Überwachung im Microsoft Purview-Complianceportal aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Wichtig

Überwachungsdaten sind erst ab dem Zeitpunkt verfügbar, an dem Sie die Überwachung aktiviert haben.

Abrufen von Microsoft Teams-Daten aus dem Überwachungsprotokoll

  1. Um Überwachungsprotokolle für Teams-Aktivitäten abzurufen, wechseln Sie zu https://compliance.microsoft.com , und wählen Sie Überwachen aus.

  2. Filtern Sie auf der Seite Suchen die Aktivitäten, Datumsangaben und Benutzer, die Sie überwachen möchten.

  3. Exportieren Sie die Ergebnisse zur weiteren Analyse nach Excel.

Schritt-für-Schritt-Anweisungen finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.

Wichtig

Überwachungsdaten sind nur dann im Überwachungsprotokoll sichtbar, wenn die Überwachung aktiviert ist.

Wie lange ein Überwachungsdatensatz aufbewahrt wird (und nach ihm im Überwachungsprotokoll gesucht werden kann), hängt von Ihrem Microsoft 365- oder Office 365-Abonnement und insbesondere vom Lizenztyp ab, der Benutzern zugewiesen ist. Weitere Informationen finden Sie in der Dienstbeschreibung des Security & Compliance Center.

Tipps für die Suche im Überwachungsprotokoll

Nachstehend finden Sie Tipps für die Suche nach Microsoft Teams-Aktivitäten im Überwachungsprotokoll.

Screenshot der Seite

  • Sie können bestimmte Aktivitäten auswählen, nach der gesucht werden soll, indem Sie auf das Kontrollkästchen neben einer oder mehreren Aktivitäten klicken. Wenn eine Aktivität ausgewählt ist, können Sie sie auswählen, um die Auswahl abzubrechen. Sie können auch das Suchfeld verwenden, um die Aktivitäten anzuzeigen, die das von Ihnen eingegebene Schlüsselwort enthalten.

    Screenshot der Dropdownliste

  • Zum Anzeigen von Ereignissen für Aktivitäten, die mit Cmdlets ausgeführt werden, wählen Sie in der Liste Aktivitäten die Option Ergebnisse für alle Aktivitäten anzeigen aus. Wenn Sie den Namen des Vorgangs für diese Aktivitäten kennen, geben Sie ihn in das Suchfeld ein, um die Aktivität anzuzeigen, und wählen Sie ihn dann aus.

  • Um die aktuellen Suchkriterien zu löschen, wählen Sie Alle löschen aus. Der Datumsbereich wird auf die Standardeinstellung für die letzten sieben Tage zurückgesetzt.

  • Wenn 5.000 Ergebnisse gefunden werden, ist es wahrscheinlich, dass mehr als 5.000 Ereignisse die Suchkriterien erfüllen. Sie können die Suchkriterien verfeinern und die Suche erneut ausführen, um weniger Ergebnisse zurückzugeben, oder Sie können alle Suchergebnisse exportieren, indem SieAlle Ergebnisse herunterladen> auswählen. Schritt-für-Schritt-Anweisungen zum Exportieren von Überwachungsprotokollen finden Sie unter Exportieren der Suchergebnisse in eine Datei.

Sehen Sie sich dieses Video zur Verwendung der Überwachungsprotokollsuche an. Ansuman Acharya, Programm-Manager für Microsoft Teams, veranschaulicht, wie eine Überwachungsprotokollsuche für Microsoft Teams durchgeführt wird.

Microsoft Teams-Aktivitäten

Nachstehend finden Sie eine Liste aller Ereignisse, die im Hinblick auf Benutzer- und Administratoraktivitäten in Microsoft Teams im Microsoft 365-Überwachungsprotokoll erfasst werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, sowie den Namen des zugehörigen Vorgangs, der in den Detailinformationen eines Überwachungsdatensatzes und in der CSV-Datei aufscheint, wenn Sie Ihre Suchergebnisse exportieren.

Anzeigename Vorgang Beschreibung
Bot zum Team hinzugefügt BotAddedToTeam Ein Benutzer fügt einem Team einen Bot hinzu.
Kanal hinzugefügt ChannelAdded Ein Benutzer fügt einem Team einen Kanal hinzu.
Connector hinzugefügt ConnectorAdded Ein Benutzer fügt einen Connector zu einem Kanal hinzu.
Details zu Teams-Besprechung 2 hinzugefügt MeetingDetail Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung.
Informationen zu Besprechungsteilnehmern hinzugefügt 2 MeetingParticipantDetail Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat.
Hinzugefügte Mitglieder MemberAdded Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu.
Registerkarte hinzugefügt TabAdded Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.
Angewendete Vertraulichkeitsbezeichnung SensitivityLabelApplied Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet.
Kanaleinstellung geändert ChannelSettingChanged Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (in Klammern gesetzt) angezeigt.
  • Ändert den Namen eines Teamkanals (Kanalname).
  • Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung).
Organisationseinstellung geändert TeamsTenantSettingChanged Der Vorgang "TeamsTenantSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich organisationsweit auf Microsoft Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Microsoft Teams-Einstellungen in Ihrer Organisation.
Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (in Klammern gesetzt) angezeigt.
  • Aktiviert bzw. deaktiviert Microsoft Teams für die Organisation (Microsoft Teams).
  • Aktiviert bzw. deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die Organisation (Skype for Business-Interoperabilität).
  • Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechung planen).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechung planen).
  • Aktiviert oder deaktiviert Videoanrufe in Microsoft Teams-Besprechungen (Video für Skype-Besprechungen).
  • Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams-Meetups für die Organisation (Bildschirmfreigabe für Skype-Besprechungen).
  • Aktiviert oder deaktiviert die Möglichkeit, animierte Bilder (so genannte Giphys) zu Microsoft Teams-Unterhaltungen hinzuzufügen (Animierte Bilder).
  • Ändert die Inhaltsbewertungseinstellung für die Organisation (Inhaltsbewertung). Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können.
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbare Bilder (so genannte benutzerdefinierte Memes) aus dem Internet in Teamunterhaltungen hinzuzufügen (Anpassbare Bilder aus dem Internet).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (so genannte Aufkleber) zu Teamunterhaltungen hinzuzufügen (Bearbeitbare Bilder).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen zu verwenden (Organisationsweite Bots).
  • Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Microsoft Teams-Hilfebot „T-Bot“, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten hinzuzufügen (Erweiterungen oder Registerkarten).
  • Aktiviert oder deaktiviert das Querladen proprietärer Bots für Microsoft Teams (Querladen von Bots).
  • Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal zu senden (Kanal-E-Mail).
Hat die Rolle von Mitgliedern im Team geändert MemberRoleChanged Ein Teambesitzer ändert die Rolle von Mitgliedern in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen wurde.

1: Gibt die Mitgliedsrolle an.
2 – Gibt die Rolle Besitzer an.
3 – Gibt die Gastrolle an.

Die Eigenschaft „Mitglied“ umfasst auch den Namen Ihrer Organisation und die E-Mail-Adresse des Mitglieds.
Teameinstellung geändert TeamSettingChanged Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird in den Suchergebnissen für das Überwachungsprotokoll in der Spalte Element eine Beschreibung der geänderten Einstellung (in Klammern gesetzt) angezeigt.
  • Ändert die Art des Zugriffs für ein Team. Teams können als „Privat“ oder „Öffentlich" festgelegt werden (Art des Teamzugriffs). Wenn ein Team privat ist (Standardeinstellung), können Benutzer nur nach Einladung darauf zugreifen. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden.
  • Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung). Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden.
  • Ändert den Namen eines Teams (Teamname).
  • Ändert die Beschreibung eines Teams (Teambeschreibung).
  • Es wurden Änderungen an den Teameinstellungen vorgenommen. Um auf diese Einstellungen zuzugreifen, kann ein Teambesitzer mit der rechten Maustaste auf ein Team klicken, Team verwalten und dann die Registerkarte Einstellungen auswählen. Für diese Aktivitäten wird der Name der geänderten Einstellung in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Geänderte Vertraulichkeitsbezeichnung SensitivityLabelChanged Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert.
Erstellen eines Chats 1, 2 ChatCreated Ein Teams-Chat wurde erstellt.
Team erstellt TeamCreated Ein Benutzer erstellt ein Team.
Eine Nachricht wurde gelöscht. MessageDeleted Eine Nachricht in einem Chat oder Kanal wurde gelöscht.
Alle Organisations-Apps gelöscht DeletedAllOrganizationApps Alle Organisations-Apps wurden aus dem Katalog gelöscht.
App gelöscht AppDeletedFromCatalog Eine App wurde aus dem Katalog gelöscht.
Kanal gelöscht ChannelDeleted Ein Benutzer löscht einen Kanal aus einem Team.
Team gelöscht TeamDeleted Ein Teambesitzer löscht ein Team.
Bearbeiten einer Nachricht mit einem URL-Link in Teams MessageEditedHasLink Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu.
Exportierte Nachrichten 1, 2 MessagesExported Chat- oder Kanalnachrichten wurden exportiert.
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 FailedValidation Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen.
Abgerufener Chat 1, 2 ChatRetrieved Ein Microsoft Teams-Chat wurde abgerufen.
Alle gehosteten Inhalte einer Nachricht abgerufen1, 2 MessageHostedContentsListed Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen.
App installiert AppInstalled Eine App wurde installiert.
Aktion auf Karte ausgeführt PerformedCardAction Ein Benutzer hat in einem Chat eine Aktion auf einer adaptiven Karte ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die Anzeige umfassender Informationen und die Interaktion in Chats zu ermöglichen.

Hinweis: Nur Inline-Eingabeaktionen auf einer adaptiven Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise wenn ein Benutzer eine Antwort zu einer Umfrage in einer Kanalunterhaltung über eine adaptive Karte übermittelt, die von einem Umfrage-Bot generiert wurde. Benutzeraktionen wie "Ergebnis anzeigen", wodurch ein Dialogfeld geöffnet wird, oder Benutzeraktionen in Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar.
Neue Nachricht veröffentlicht 1, 2 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht.
App veröffentlicht AppPublishedToCatalog Dem Katalog wurde eine App hinzugefügt.
Lesen einer Nachricht 1, 2 MessageRead Eine Nachricht eines Chats oder Kanals wurde abgerufen.
Lesen des gehosteten Inhalts einer Nachricht 1, 2 MessageHostedContentRead Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen.
Bot aus Team entfernt BotRemovedFromTeam Ein Benutzer entfernt einen Bot aus einem Team.
Connector entfernt ConnectorRemoved Ein Benutzer entfernt einen Connector aus einem Kanal.
Mitglieder entfernt MemberRemoved Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat.
Vertraulichkeitsbezeichnung entfernt SensitivityLabelRemoved Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt.
Freigabe von Teamkanal 3 entfernt TerminatedSharing Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert.
Freigabe von Teamkanal 3 wiederhergestellt SharingRestored Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert.
Registerkarte entfernt TabRemoved Ein Benutzer entfernt eine Registerkarte aus einem Kanal.
Auf Einladung für den freigegebenen Kanal 3 geantwortet EingeladeneAntworten Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet.
Antwort der eingeladenen Person auf freigegebenen Kanal 3 ChannelOwnerResponded Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat.
Abgerufene Nachrichten 1, 2 MessagesListed Nachrichten aus einem Chat oder Kanal wurden abgerufen.
Senden einer Nachricht mit einem URL-Link in Teams MessageCreatedHasLink Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams.
Änderungsbenachrichtigung zur Nachrichtenerstellung gesendet 1, 2 MessageCreatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen.
Änderungsbenachrichtigung zum Löschen von Nachrichten gesendet 1, 2 MessageDeletedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen.
Änderungsbenachrichtigung für Meldungsupdate 1, 2 gesendet MessageUpdatedNotification Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen.
Gesendete Einladung für den freigegebenen Kanal 3 InviteSent Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihrer Organisation gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist.
Nachrichtenänderungsbenachrichtigungen abonniert 1, 2 SubscribedToMessages Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen.
App deinstalliert AppUninstalled Eine App wurde deinstalliert.
App aktualisiert AppUpdatedInCatalog Eine App wurde im Katalog aktualisiert.
Chat aktualisiert 1, 2 ChatUpdated Ein Teams-Chat wurde aktualisiert.
Meldung 1, 2 aktualisiert MessageUpdated Eine Nachricht eines Chats oder Kanals wurde aktualisiert.
Connector aktualisiert ConnectorUpdated Ein Benutzer hat in einem Kanal einen Connector geändert.
Registerkarte aktualisiert TabUpdated Ein Benutzer hat in einem Kanal eine Registerkarte geändert.
App-Upgrade AppUpgraded Für eine App wurde ein Upgrade auf die neueste Version im Katalog durchgeführt.
Benutzer bei Teams angemeldet TeamsSessionStarted Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten.
Veröffentlicht Neue Nachricht 3, 4 MessageSent Eine neue Nachricht wurde in einem Chat oder Kanal gepostet. Dieses Ereignis ist ein Premium-Feature mit zu definierenden Lizenzierungsdetails.

Hinweis

1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu den Lizenzierungsanforderungen für Die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4 Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.

"Schichten"-Aktivitäten in Microsoft Teams

(in der Vorschau)

Wenn Ihre Organisation die App "Schichten" in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der "Schichten"-App durchsuchen. Nachstehend finden Sie eine Liste aller Ereignisse, die im Zusammenhang mit "Schichten"-Aktivitäten in Microsoft Teams im Microsoft 365-Überwachungsprotokoll erfasst werden.

Anzeigename Vorgang Beschreibung
Terminplanungsgruppe hinzugefügt ScheduleGroupAdded Ein Benutzer fügt dem Terminplan eine neue Terminplanungsgruppe hinzu.
Terminplanungsgruppe bearbeitet ScheduleGroupEdited Ein Benutzer hat eine Terminplanungsgruppe bearbeitet.
Terminplanungsgruppe gelöscht ScheduleGroupDeleted Ein Benutzer hat eine Terminplanungsgruppe aus dem Terminplan gelöscht.
Zeitplan zurückgezogen ScheduleWithdrawn Ein Benutzer hat einen veröffentlichten Zeitplan zurückgezogen.
Schicht hinzugefügt ShiftAdded Ein Benutzer hat eine Schicht hinzugefügt.
Schicht bearbeitet ShiftEdited Ein Benutzer hat eine Schicht bearbeitet.
Schicht gelöscht ShiftDeleted Ein Benutzer hat eine Schicht gelöscht.
Arbeitsfreie Zeit hinzugefügt TimeOffAdded Ein Benutzer hat im Terminplan arbeitsfreie Zeit hinzugefügt.
Arbeitsfreie Zeit bearbeitet TimeOffEdited Ein Benutzer hat arbeitsfreie Zeit bearbeitet.
Arbeitsfreie Zeit gelöscht TimeOffDeleted Ein Benutzer hat arbeitsfreie Zeit gelöscht.
Offene Schicht hinzugefügt OpenShiftAdded Ein Benutzer hat einer Terminplanungsgruppe eine offene Schicht hinzugefügt.
Offene Schicht bearbeitet OpenShiftEdited Ein Benutzer hat eine offene Schicht in einer Terminplanungsgruppe bearbeitet.
Offene Schicht gelöscht OpenShiftDeleted Ein Benutzer hat eine offene Schicht aus einer Terminplanungsgruppe gelöscht.
Zeitplan freigegeben ScheduleShared Ein Benutzer hat einen Teamzeitplan für einen Datumsbereich freigegeben.
Mit Stechuhr eingestempelt ClockedIn Ein Benutzer stempelt über die Stechuhr ein.
Mit Stechuhr ausgestempelt ClockedOut Ein Benutzer stempelt über die Stechuhr aus.
Mit Stechuhr Pause begonnen BreakStarted Ein Benutzer beginnt während einer aktiven Stechuhrsitzung eine Pause.
Mit Stechuhr Pause beendet BreakEnded Ein Benutzer beendet eine Pause während einer aktiven Zeituhrsitzung.
Stechuhreintrag hinzugefügt TimeClockEntryAdded Ein Benutzer fügt in der Arbeitszeittabelle manuell einen neuen Stechuhreintrag hinzu.
Stechuhreintrag bearbeitet TimeClockEntryEdited Ein Benutzer hat einen Stechuhreintrag in der Arbeitszeittabelle bearbeitet.
Stechuhreintrag gelöscht TimeClockEntryDeleted Ein Benutzer hat einen Stechuhreintrag in der Arbeitszeittabelle gelöscht.
Schichtanfrage hinzugefügt RequestAdded Ein Benutzer hat eine Schichtanfrage hinzugefügt.
Auf Schichtanfrage geantwortet RequestRespondedTo Ein Benutzer hat auf eine Schichtanfrage geantwortet.
Schichtanfrage storniert RequestCancelled Ein Benutzer hat eine Schichtanfrage storniert.
Zeitplaneinstellung geändert ScheduleSettingChanged Ein Benutzer hat eine Einstellung in den "Schichten"-Einstellungen geändert.
Mitarbeiterintegration hinzugefügt WorkforceIntegrationAdded Die "Schichten"-App wird in ein Drittanbietersystem eingebunden.
"Außerhalb der Schicht"-Nachricht angenommen OffShiftDialogAccepted Ein Benutzer nimmt die "Außerhalb der Schicht"-Nachricht an, um außerhalb von Schichtzeiten auf Microsoft Teams zuzugreifen.

Aktualisierungen App in Teams-Aktivitäten

Wenn Ihre Organisation die Aktualisierungen-App in Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Aktualisierungen-App durchsuchen. Hier ist eine Liste aller Ereignisse, die für Aktualisierungen App-Aktivitäten in Teams im Microsoft 365-Überwachungsprotokoll protokolliert werden.

Anzeigename Vorgang Beschreibung
Erstellen einer Updateanforderung CreateUpdateRequest Ein Benutzer erstellt erfolgreich eine Updateanforderung.
Bearbeiten einer Updateanforderung EditUpdateRequest Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um alle Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt.
Übermitteln eines Updates SubmitUpdate Ein Benutzer übermittelt erfolgreich ein Update.
Anzeigen der Details eines Updates ViewUpdate Ein Benutzer zeigt die Details des Updates an.

Office 365-Verwaltungsaktivitäten-API

Sie können die Office 365-Verwaltungsaktivitäten-API verwenden, um Informationen zu Microsoft Teams-Ereignissen abzurufen. Weitere Informationen zum Verwaltungsaktivitäts-API-Schema für Teams finden Sie unter Teams-Schema.

Zuordnungen in Microsoft Teams-Überwachungsprotokollen

Mitgliedschaftsänderungen in Microsoft Teams (z. B. hinzugefügte oder gelöschte Benutzer), im Microsoft 365-Administratorportal oder der Microsoft 365 Groups Graph-API werden in Microsoft Teams-Überwachungsnachrichten und im Kanal "Allgemein" einem bestehenden Besitzer des Teams und nicht dem eigentlichen Ausführenden der Aktion zugeordnet. Informationen zu diesen Szenarien finden Sie in Azure AD oder Microsoft 365-Gruppenüberwachungsprotokollen.

Verwenden von Defender für Cloud-Apps zum Festlegen von Aktivitätsrichtlinien

Mithilfe Microsoft Defender for Cloud Apps Integration können Sie Aktivitätsrichtlinien festlegen, um mithilfe der APIs des App-Anbieters eine Vielzahl automatisierter Prozesse zu erzwingen. Mit diesen Richtlinien können Sie bestimmte Aktivitäten überwachen, die von verschiedenen Benutzern ausgeführt werden, oder das unerwartet häufige Auftreten einer bestimmten Aktivitätsart untersuchen.

Nachdem Sie eine Aktivitätserkennungsrichtlinie festgelegt haben, beginnt diese mit dem Generieren von Warnungen. Warnungen werden nur zu Aktivitäten generiert, die nach dem Erstellen der Richtlinie auftreten. Im Folgenden finden Sie einige Beispielszenarien für die Verwendung von Aktivitätsrichtlinien in Defender for Cloud Apps zum Überwachen von Teams-Aktivitäten.

Szenario "Externer Benutzer"

Ein Szenario, das Sie aus geschäftlicher Sicht vielleicht im Auge behalten möchten, ist das Hinzufügen externer Benutzer zu Ihrer Microsoft Teams-Umgebung. Wenn externe Benutzer aktiviert sind, empfiehlt es sich, ihre Anwesenheit zu überwachen. Sie können Defender für Cloud Apps verwenden, um potenzielle Bedrohungen zu identifizieren.

Richtlinie zum Überwachen des Hinzufügens externer Benutzer.

Wie im Screenshot dieser Richtlinie zum Überwachen des Hinzufügens externer Benutzer zu sehen ist, haben Sie die Möglichkeit, die Richtlinie zu benennen, den Schweregrad entsprechend den Anforderungen Ihres Unternehmens festzulegen, es (in diesem Fall) als eine einzelne Aktivität festzulegen und dann die Parameter anzugeben, die speziell das Hinzufügen von nicht internen Benutzern überwachen und diese Aktivität auf Microsoft Teams beschränken werden.

Die Ergebnisse dieser Richtlinie können im Aktivitätsprotokoll angezeigt werden:

Ereignisse, die von der Richtlinie für externe Benutzer ausgelöst werden.

Hier können Sie Übereinstimmungen mit der von Ihnen festgelegten Richtlinie überprüfen und bei Bedarf Anpassungen vornehmen oder die Ergebnisse exportieren, um sie an anderer Stelle zu verwenden.

Szenario "Massenlöschung"

Wie weiter oben erwähnt, können Sie Löschszenarien überwachen. Es ist möglich, eine Richtlinie zu erstellen, die das Massenlöschen von Microsoft Teams-Sites überwacht. In diesem Beispiel ist eine warnungsbasierte Richtlinie so eingerichtet, dass Massenlöschungen von Teams in einem Zeitraum von 30 Minuten erkannt werden.

Richtlinie, die die Einrichtung einer Richtlinie für die Massenlöschung von Teams anzeigt.

Wie im Screenshot zu sehen ist, können Sie viele verschiedene Parameter für diese Richtlinie festlegen, um Löschungen in Microsoft Teams zu überwachen, einschließlich Schweregrad, einzelner oder wiederholter Aktion sowie Parameter, die dies auf Microsoft Teams und Sitelöschungen beschränken. Dies kann unabhängig von einer Vorlage erfolgen, Sie können aber auch eine Vorlage verwenden, auf der diese Richtlinie basieren soll, je nach den Anforderungen Ihres Unternehmens.

Nach der Einrichtung einer für Ihr Unternehmen passenden Richtlinie können Sie die Ergebnisse zu ausgelösten Ereignissen im Aktivitätsprotokoll überprüfen:

Screenshot von Ereignissen, die durch massenhafte Löschungen ausgelöst werden

Sie können anhand der von Ihnen festgelegten Richtlinie filtern, um die Ergebnisse der Richtlinie zu sehen. Wenn die Ergebnisse, die Sie im Aktivitätsprotokoll erhalten, nicht zufriedenstellend sind (möglicherweise werden viele oder gar nichts angezeigt), kann dies Ihnen helfen, die Abfrage zu optimieren, um sie für die erforderlichen Aufgaben relevanter zu machen.

Szenario "Warnungen und Governance"

Sie können Warnungen und das Senden von E-Mails an Administratoren und andere Benutzer einrichten, wenn eine Aktivitätsrichtlinie ausgelöst wird. Sie können automatisierte Governanceaktionen festlegen, z. B. das vorübergehende Sperren eines Benutzers oder das automatisierte Auffordern zur erneuten Anmeldung für einen Benutzer. Dieses Beispiel zeigt, wie ein Benutzerkonto vorübergehend gesperrt werden kann, wenn eine Aktivitätsrichtlinie ausgelöst und ermittelt wird, dass ein Benutzer zwei oder mehr Teams in 30 Minuten gelöscht hat.

Screenshot: Warnungen und Governanceaktionen für eine Aktivitätsrichtlinie.

Verwenden von Defender für Cloud-Apps zum Festlegen von Richtlinien für die Anomalieerkennung

Richtlinien zur Anomalieerkennung in Defender für Cloud-Apps bieten sofort einsatzbereite Benutzer- und Entitätsverhaltensanalysen (UEBA) und Machine Learning (ML), sodass Sie die erweiterte Bedrohungserkennung sofort in Ihrer Cloudumgebung ausführen können. Da sie automatisch aktiviert werden, bieten die neuen Anomalieerkennungsrichtlinien sofortige Ergebnisse durch sofortige Erkennung, indem sie zahlreiche Verhaltensanomalien bei allen Benutzer sowie den mit Ihrem Netzwerk verbundenen Computern und Geräten berücksichtigen. Darüber hinaus machen die neuen Richtlinien mehr Daten aus der Defender for Cloud Apps-Erkennungs-Engine verfügbar, damit Sie den Untersuchungsprozess beschleunigen und laufende Bedrohungen eindämmen können.

Wir arbeiten an der Einbindung von Microsoft Teams-Ereignissen in Anomalieerkennungsrichtlinien. Derzeit können Sie Anomalieerkennungsrichtlinien für andere Office-Produkte einrichten und Maßnahmen für Benutzer festlegen, die diesen Richtlinien übereinstimmen.