Partager via


Propriétés d’activité détaillées dans le journal d’audit

Lorsque vous exportez les résultats d’une recherche dans les journaux d’audit à partir du portail Microsoft Purview ou du portail de conformité Microsoft Purview, vous pouvez télécharger tous les résultats qui répondent à vos critères de recherche. Vous pouvez exporter ces informations en sélectionnant Exporter les résultats>Télécharger tous les résultats dans la page Recherche dans le journal d’audit . Pour plus d’informations, consultez Rechercher dans le journal d’audit.

Lorsque vous exportez tous les résultats d’une recherche dans les journaux d’audit, les données brutes du journal d’audit unifié sont copiées dans un fichier de valeurs séparées par des virgules (CSV) qui est téléchargé sur votre ordinateur local. Ce fichier contient des informations de propriété supplémentaires de chaque enregistrement d’activité d’audit dans une colonne nommée AuditData. Cette colonne contient une propriété à valeurs multiples pour plusieurs propriétés de l’enregistrement du journal d’audit. Chacune des paires propriété : valeur de cette propriété à valeurs multiples est séparée par une virgule.

Le tableau suivant décrit les propriétés d’activité incluses (en fonction du service dans lequel une activité se produit) dans la colonne AuditData à plusieurs propriétés. Le service Microsoft qui a cette colonne de propriété indique le service et le type d’activité (utilisateur ou administrateur) qui inclut la propriété. Pour plus d’informations sur ces propriétés ou sur les propriétés qui peuvent ne pas être répertoriées dans cet article, consultez Schéma de l’API activité de gestion.

Conseil

Vous pouvez utiliser la fonctionnalité de transformation JSON dans Power Query dans Excel pour fractionner la colonne AuditData en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cela vous permettra d’utiliser une ou plusieurs de ces propriétés pour trier et filtrer les valeurs. Pour savoir comment procéder, consultez Exporter, configurer et afficher les enregistrements du journal d’audit.

Propriété Description Service Microsoft qui a cette propriété
Actor Compte d’utilisateur ou de service qui a effectué l’action. Azure Active Directory
AddOnName Nom d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Le type de modules complémentaires dans Microsoft Teams est un bot, un connecteur ou un onglet. Microsoft Teams
AddOnType Type d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Les valeurs suivantes indiquent le type de module complémentaire.
1 - Indique un bot.
2 - Indique un connecteur.
3 - Indique un onglet.
Microsoft Teams
AppAccessContext Contexte de l’application pour l’utilisateur ou le principal de service qui a effectué l’action. Microsoft Teams
ArtifactShared Fichiers ou contenu partagés par l’utilisateur. Microsoft Teams
AzureActiveDirectoryEventType Type d’activité Azure Active Directory. Les valeurs suivantes indiquent le type d’activité.
0 - Indique une activité de connexion de compte.
1 - Indique une activité de sécurité d’application Azure.
Azure Active Directory
ChannelGuid ID d’un canal Microsoft Teams. L’équipe dans laquelle se trouve le canal est identifiée par les propriétés TeamName et TeamGuid . Microsoft Teams
ChannelName Nom d’un canal Microsoft Teams. L’équipe dans laquelle se trouve le canal est identifiée par les propriétés TeamName et TeamGuid . Microsoft Teams
Client L’appareil client, le système d’exploitation de l’appareil et le navigateur de l’appareil utilisé pour l’activité de connexion (par exemple, Nokia Lumia 920 ; Windows Phone 8 ; Internet Explorer Mobile 11). Azure Active Directory
ClientInfoString Informations sur le client de messagerie qui a été utilisé pour effectuer l’opération, telles qu’une version de navigateur, une version d’Outlook et des informations sur l’appareil mobile Exchange (activité de boîte aux lettres)
ClientIP Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.

Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité.

En outre, pour l’activité d’administrateur (ou l’activité effectuée par un compte système) pour les activités liées à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null.
Azure Active Directory, Exchange, SharePoint
CreationTime Date et heure utc (Temps universel coordonné) auxquelles l’enregistrement du journal d’audit est généré. tous
CurrentProtectionType Type de propriété complexe contenant des champs pour décrire l’état de protection actuel d’un document. Inclut les éléments suivants :

ProtectionType : énumère le type de protection appliqué au document. Ces valeurs et leur signification s’appliquent : 0 (aucune protection), 1 (protection basée sur un modèle), 2 (ne pas transférer, pour le courrier électronique), 3 (chiffrer uniquement) et 4 (protection personnalisée configurée par l’utilisateur)
Propriétaire : adresse e-mail de l’utilisateur qui a configuré la protection.
TemplateId : lorsque protectionType est défini sur 1 (modèle), ce champ contient le GUID du modèle appliqué au document. Lorsque la valeur de ProtectionType n’est pas égale à 1, ce champ est vide.
DocumentEncrypted : indicateur booléen indiquant si un type de chiffrement est appliqué au document. Les valeurs sont True ou False.
tous
DestinationFileExtension Extension du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les activités utilisateur FileCopied et FileMoved. SharePoint
DestinationFileName Le nom du fichier est copié ou déplacé. Cette propriété s’affiche uniquement pour les actions FileCopied et FileMoved. SharePoint
DestinationRelativeUrl URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs de SiteURL, DestinationRelativeURL et la propriété DestinationFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier qui a été copié. Cette propriété s’affiche uniquement pour les activités utilisateur FileCopied et FileMoved. SharePoint
EventSource Identifie qu’une activité s’est produite dans SharePoint. Les valeurs possibles sont SharePoint et ObjectModel. SharePoint
ExternalAccess Pour l’activité d’administrateur Exchange, spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation, par le personnel du centre de données Microsoft ou un compte de service de centre de données, ou par un administrateur délégué. La valeur False indique que la cmdlet a été exécutée par un membre de votre organisation. La valeur True indique que la cmdlet a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué.
Pour l’activité de boîte aux lettres Exchange, spécifie si un utilisateur extérieur à votre organisation a accédé à une boîte aux lettres.
Exchange
ExtendedProperties Propriétés étendues d’une activité Azure Active Directory. Azure Active Directory
ID ID de l’entrée de rapport. L’ID identifie de façon unique l’entrée de rapport. tous
InternalLogonType Réservé à une utilisation interne. Exchange (activité de boîte aux lettres)
ItemType Type d’objet consulté ou modifié. Les valeurs possibles sont Fichier, Dossier, Web, Site, Locataire et DocumentLibrary. SharePoint
IsJoinedFromLobby Indique si l’utilisateur a rejoint une session Teams à partir de la salle d’attente. Microsoft Teams
LoginStatus Identifie les échecs de connexion qui ont pu se produire. Azure Active Directory
LogonType Type d’accès aux boîtes aux lettres. Les valeurs suivantes indiquent le type d’utilisateur qui a accédé à la boîte aux lettres.

0 - Indique un propriétaire de boîte aux lettres.
1 - Indique un administrateur.
2 - Indique un délégué.
3 - Indique le service de transport dans le centre de données Microsoft.
4 - Indique un compte de service dans le centre de données Microsoft.
6 - Indique un administrateur délégué.
Exchange (activité de boîte aux lettres)
MailboxGuid GUID Exchange de la boîte aux lettres consultée. Exchange (activité de boîte aux lettres)
MailboxOwnerUPN Adresse de messagerie du propriétaire de la boîte aux lettres consultée. Exchange (activité de boîte aux lettres)
Members Répertorie les utilisateurs qui ont été ajoutés ou supprimés d’une équipe. Les valeurs suivantes indiquent le type de rôles attribué à l’utilisateur.

1 indique le rôle Propriétaire.
2 indique le rôle Membre.
3 indique le rôle Invité.

La propriété Members comprend également le nom de votre organisation et l’adresse e-mail du membre.
Microsoft Teams
ModifiedProperties (Name, NewValue, OldValue) La propriété est incluse pour les activités d’administration, telles que l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administrateurs de collection de sites. La propriété inclut le nom de la propriété qui a été modifiée (par exemple, le groupe Administrateur du site) la nouvelle valeur de la propriété modifiée (par exemple, l’utilisateur qui a été ajouté en tant qu’administrateur de site et la valeur précédente de l’objet modifié). Tout (activité d’administrateur)
ObjectFullyQualifiedName Nom complet d’une entité. Microsoft Purview (gouvernance)
ObjectId Pour la journalisation d’audit d’administration Exchange, il s’agit du nom de l’objet modifié par la cmdlet.
Pour l’activité SharePoint, nom complet du chemin d’ACCÈS URL du fichier ou dossier auquel un utilisateur a accédé.
Pour l’activité Azure AD, nom du compte d’utilisateur qui a été modifié.
tous
ObjectName Nom de l’entité principale. Microsoft Purview (gouvernance)
ObjectType Type d’entité. Microsoft Purview (gouvernance)
OldValue La valeur avant une modification inclut toutes les propriétés mises à jour ou supprimées. Microsoft Purview (gouvernance)
Opération Nom de l’activité de l’utilisateur ou de l’administrateur. La valeur de cette propriété correspond à la valeur sélectionnée dans la liste déroulante Activités . Si Afficher les résultats de toutes les activités a été sélectionné, le rapport inclut des entrées pour toutes les activités utilisateur et administrateur pour tous les services. Pour obtenir une description des opérations/activités enregistrées dans le journal d’audit, voir l’onglet Activités auditées dans Rechercher dans le journal d’audit dans Office 365.
Pour une activité d’administration Exchange, cette propriété identifie le nom de la cmdlet qui a été exécutée.
tous
OrganizationId GUID de votre organisation. tous
NewValue La valeur après une modification inclut toutes les propriétés mises à jour ou supprimées. Microsoft Purview (gouvernance)
Chemin d’accès Nom de dossier de la boîte aux lettres dans laquelle se trouve le message consulté. Cette propriété identifie également le dossier dans lequel un message est créé ou copié/déplacé. Exchange (activité de boîte aux lettres)
Paramètres Pour l’activité d’administrateur Exchange, nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operation. Exchange (activité d’administration)
ParticipantInfo Propriétés supplémentaires sur l’identité du participant. Microsoft Teams
ParticipatingDomainInformation Informations de domaine sur le participant. Microsoft Teams
PreviousProtectionType Type de propriété complexe contenant des champs pour décrire l’état de protection précédent d’un document. Inclut les éléments suivants :

ProtectionType : énumère le type de protection appliqué au document. Ces valeurs et leur signification s’appliquent : 0 (aucune protection), 1 (protection basée sur un modèle), 2 (ne pas transférer, pour le courrier électronique), 3 (chiffrer uniquement) et 4 (protection personnalisée configurée par l’utilisateur)
Propriétaire : adresse e-mail de l’utilisateur qui a configuré la protection.
TemplateId : lorsque protectionType est défini sur 1 (modèle), ce champ contient le GUID du modèle appliqué au document. Lorsque la valeur de ProtectionType n’est pas égale à 1, ce champ est vide.
DocumentEncrypted : indicateur booléen indiquant si un type de chiffrement est appliqué au document. Les valeurs sont True ou False.
tous
ProtectionEventType Énumère la façon dont la protection a été modifiée par l’opération auditée. Les valeurs et significations suivantes s’appliquent :

0 - Indique inchangé.
1 - Indique ajouté.
2 - Indique modifié.
3 - Indique supprimé.
tous
RecordType Type d’opération indiqué par l’enregistrement. Cette propriété indique le service ou la fonctionnalité dans lequel l’opération a été déclenchée. Pour obtenir la liste des types d’enregistrements et leur valeur ENUM correspondante (qui est la valeur affichée dans la propriété RecordType dans un enregistrement d’audit), consultez Type d’enregistrement du journal d’audit.
ResultStatus Indique si l’action (spécifiée dans la propriété Operation ) a réussi ou non.
Pour l’activité d’administration Exchange, la valeur est True (réussite) ou False (échec).
tous
SecurityComplianceCenterEventType Indique que l’activité était un portail Microsoft Purview et une activité du portail de conformité. Toutes les activités du portail Microsoft Purview et du portail de conformité auront la valeur 0 pour cette propriété. Portail Microsoft Purview
Portail de conformité Microsoft Purview
SensitivityLabel Étiquette de confidentialité affectée à un élément de courrier spécifique. Exchange
SharingType Type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié dans la propriété UserSharedWith . SharePoint
Site GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur. SharePoint
SiteUrl URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. SharePoint
SourceFileExtension Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. SharePoint
SourceFileName Nom du fichier ou du dossier consulté par l’utilisateur. SharePoint
SourceRelativeUrl URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs pour SiteURL, SourceRelativeURL et la propriété SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. SharePoint
Sujet Ligne d’objet du message qui a été consulté. Exchange (activité de boîte aux lettres)
TabType Type d’onglet ajouté, supprimé ou mis à jour dans une équipe. Les valeurs possibles pour cette propriété sont les suivantes :

Épingle Excel : onglet Excel.
Extension : toutes les applications internes et tierces ; par exemple, Planification de classes, VSTS et Formulaires.
Notes - Onglet OneNote.
Pdfpin : onglet PDF.
Powerbi : onglet Power BI.
Powerpointpin : onglet PowerPoint.
Sharepointfiles : onglet SharePoint.
Page web : onglet de site web épinglé.
Wiki-tab : onglet wiki.
Wordpin : onglet Word.
Microsoft Teams
Target Utilisateur sur lequel l’action (identifiée dans la propriété Operation ) a été effectuée. Par exemple, si un invité est ajouté à SharePoint ou à une équipe Microsoft, cet utilisateur est répertorié dans cette propriété. Azure Active Directory
TeamGuid ID d’une équipe dans Microsoft Teams. Microsoft Teams
TeamName Nom d’une équipe dans Microsoft Teams. Microsoft Teams
UserAgent Informations sur le navigateur de l’utilisateur. Ces informations sont fournies par le navigateur. SharePoint
UserDomain Informations d’identité sur l’organisation cliente de l’utilisateur (acteur) qui a effectué l’action. Azure Active Directory
UserId Utilisateur qui a effectué l’action (spécifiée dans la propriété Operation ) qui a entraîné la journaliser l’enregistrement. Les enregistrements d’audit des activités effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus dans le journal d’audit. Une autre valeur courante pour la propriété UserId est app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service.

Pour plus d’informations, reportez-vous aux rubriques suivantes :
Utilisateur app@sharepoint dans les enregistrements d’audit
ou
Comptes système dans les enregistrements d’audit de boîte aux lettres Exchange.
tous
UserKey Contient un ID d’objet Azure Active Directory valide au format GUID ou hexadécimal. Pour les scénarios où l’acteur principal n’est pas un utilisateur, userKey est une chaîne vide. Pour plus d’informations sur les différents scénarios UserKey, consultez Scénarios UserType et UserKey. tous
UserType Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les différents scénarios UserType, consultez les scénarios UserType et UserKey. tous
Version Indique le numéro de version de l’activité (identifiée par la propriété Operation ) enregistrée. tous
Charge de travail Service Microsoft 365 où l’activité s’est produite. tous

Scénarios UserType et UserKey

Le tableau suivant fournit des détails pour les scénarios UserType et UserKey :

Valeur Nom du membre UserType Description UserKey
0 Regular Un utilisateur normal sans autorisations d’administrateur. ID d’objet Microsoft Entra au format GUID
2 Admin Un administrateur dans votre organisation Microsoft 365. 1 ID d’objet Microsoft Entra au format GUID
3 DCAdmin Un compte de système de centre de données ou d’administrateur de centre de données Microsoft. ID d’objet Microsoft Entra au format GUID
4 System Événement d’audit déclenché par la logique côté serveur. Par exemple, les services Windows ou les processus en arrière-plan. Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).
5 Application Événement d’audit déclenché par une application Microsoft Entra. Nom de l’application Microsoft Entra ou ID d’application (le cas échéant). Sinon, une chaîne vide.
6 ServicePrincipal Principal de service. Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).
7 CustomPolicy Stratégie créée ou gérée par le client. Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).
8 SystemPolicy Une stratégie système ou gérée par Microsoft. Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).
9 PartnerTechnician L’utilisateur d’un locataire partenaire travaillant pour le compte du locataire client (dans les scénarios GDAP ). Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).
10 Guest Un utilisateur invité ou anonyme. Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »).

Remarque

1 Pour les événements liés à Microsoft Entra, la valeur d’un administrateur n’est pas utilisée dans un enregistrement d’audit. Les enregistrements d’audit pour les activités effectuées par les administrateurs indiquent qu’un utilisateur normal (par exemple, UserType : 0) a effectué l’activité. La propriété UserID identifie la personne (utilisateur normal ou administrateur) qui a effectué l’activité.