Partager via


Activités du journal d’audit

Les tableaux de cet article décrivent les activités auditées dans Microsoft 365. Vous pouvez rechercher ces activités en effectuant une recherche dans le journal d’audit dans le portail Microsoft Purview ou portail de conformité Microsoft Purview.

Ces tableaux regroupent des activités connexes ou les activités d’un service spécifique. Les tables incluent le nom convivial affiché dans la liste déroulante Activités (ou disponibles dans PowerShell) et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche. Pour obtenir une description des informations détaillées, consultez Propriétés détaillées du journal d’audit.

Conseil

Sélectionnez l’un des liens dans la liste Dans cet article en haut de cet article pour accéder directement à une table de produits spécifique.

Activités d’administration des applications

Le tableau suivant répertorie les activités de l’administrateur d’application qui sont journalisées lorsqu’un administrateur ajoute ou modifie une application inscrite dans Microsoft Entra ID. Toute application qui s’appuie sur Microsoft Entra ID pour l’authentification doit être inscrite dans l’annuaire.

Remarque

Les noms d’opération répertoriés dans la colonne Opération de ce tableau contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.

Nom facile à retenir Opération Description
Entrée de délégation ajoutée Ajouter une entrée de délégation. Une autorisation d’authentification a été créée/accordée à une application dans Microsoft Entra ID.
Principal de service ajouté Ajouter un principal du service. Une application a été inscrite dans Microsoft Entra ID. Une application est représentée par un principal de service dans l’annuaire.
Informations d’identification ajoutées à un principal de service Ajouter des informations d’identification d’un principal du service. Des informations d’identification ont été ajoutées à un principal de service dans Microsoft Entra ID. Un principal de service représente une application dans l’annuaire.
Entrée de délégation supprimée Supprimer une entrée de délégation. Une autorisation d’authentification a été supprimée d’une application dans Microsoft Entra ID.
Principal de service supprimé de l’annuaire Supprimer un principal du service. Une application a été supprimée/désinscrit de Microsoft Entra ID. Une application est représentée par un principal de service dans l’annuaire.
Les informations d’identification ont été supprimées du principal de service Supprimer des informations d’identification d’un principal du service. Les informations d’identification ont été supprimées d’un principal de service dans Microsoft Entra ID. Un principal de service représente une application dans l’annuaire.
Entrée de délégation définie Définir une entrée de délégation. Une autorisation d’authentification a été mise à jour pour une application dans Microsoft Entra ID.

Activités de récapitulatif des tâches par courrier électronique

Le tableau suivant répertorie les activités dans l’e-mail de briefing qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur le courrier de récapitulatif des tâches, consultez :

Nom facile à retenir Opération Description
Paramètres de confidentialité de l’organisation mis à jour UpdatedOrganizationBriefingSettings Un administrateur met à jour les paramètres de confidentialité de l’organisation pour le courrier de récapitulatif des tâches.
Paramètres de confidentialité de l’utilisateur mis à jour UpdatedUserBriefingSettings Un administrateur met à jour les paramètres de confidentialité de l’utilisateur pour le courrier de récapitulatif des tâches.

Activités de conformité des communications

Le tableau suivant répertorie les activités de conformité de la communication qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations, consultez En savoir plus sur Conformité des communications Microsoft Purview.

Remarque

Ces activités sont disponibles lors de l’utilisation de l’applet de commande PowerShell Search-UnifiedAuditLog . Ces activités ne sont pas disponibles dans la liste déroulante Activités .

Nom facile à retenir Opération Description
Mise à jour de stratégie SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Un administrateur de conformité des communications a effectué une mise à jour de stratégie.
Correspondance de stratégie SupervisionRuleMatch Un utilisateur a envoyé un message qui correspond à la condition d’une stratégie.
Balise appliquée aux messages SupervisoryReviewTag Les balises sont appliquées aux messages ou les messages sont résolus.

Activités du Gestionnaire de conformité

Le tableau suivant répertorie les opérations et activités enregistrées lorsqu’un administrateur gère les paramètres dans le Gestionnaire de conformité. Pour plus d’informations, consultez En savoir plus sur le Gestionnaire de conformité.

Nom facile à retenir Opération Description
Modification des rôles ComplianceManagerRolesChange Un administrateur a modifié les rôles des utilisateurs.
Modification du niveau d’automatisation du locataire ComplianceManagerAutomationLevelChange Un administrateur a modifié le niveau d’automatisation du locataire pour toutes les actions.
Test de la modification de l’automatisation de la source ComplianceManagerAutomationChange Un administrateur a modifié les paramètres d’automatisation de la source de test.

Activités de l’Explorateur de contenu

Le tableau suivant répertorie les activités de l’Explorateur de contenu qui sont enregistrées dans le journal d’audit. Explorateur de contenu, accessible via l’outil Classifications de données dans le portail Microsoft Purview et le portail de conformité. Pour plus d’informations, voir Utilisation de l’Explorateur de contenu.

Nom facile à retenir Opération Description
Élément consulté LabelContentExplorerAccessedItem Un administrateur (ou utilisateur membre du groupe de rôles Visionneuse de contenu de l’Explorateur de contenu) utilise l’Explorateur de contenu pour afficher un e-mail ou un document SharePoint/OneDrive.

Activités Copilot

Le tableau suivant répertorie les activités des Microsoft 365 Copilot et Microsoft Copilot qui sont enregistrées dans le journal d’audit. Copilot est accessible dans les services Microsoft. Les activités incluent comment et quand les utilisateurs interagissent avec Copilot. Cela inclut le service Microsoft où l’activité a eu lieu et les références aux fichiers consultés pendant l’interaction. Pour plus d’informations sur les événements d’interaction Copilot et un exemple de schéma, consultez Vue d’ensemble des événements d’interaction Copilot.

Pour accéder au texte à partir de l’invite de l’utilisateur pendant l’interaction, consultez Recherche de contenu ou affichez l’événement d’interaction IA à partir de l’Explorateur d’activités dans Microsoft Purview Hub IA.

Pour plus d’informations sur l’audit et d’autres options de gestion de la conformité pour Copilot, consultez Microsoft Purview prend en charge la gestion de la conformité pour Copilot.

Nom convivial Opération Description
Création d’un plug-in Copilot CreateCopilotPlugin Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un plug-in Copilot.
Création d’un manuel d’invite Copilot CreateCopilotPromptBook Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a créé un manuel d’invite dans Copilot.
Suppression d’un plug-in Copilot DeleteCopilotPlugin Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a supprimé un plug-in Copilot.
Suppression d’un promptbook Copilot DeleteCopilotPromptBook Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a supprimé un promptbook Copilot.
Désactivé un plug-in Copilot DisableCopilotPlugin Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un plug-in Copilot.
Désactivé un manuel d’invite Copilot DisableCopilotPromptBook Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a désactivé un manuel d’invite Copilot.
Activation d’un plug-in Copilot EnableCopilotPlugin Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a activé un plug-in Copilot.
Activation d’un promptbook Copilot EnableCopilotPromptBook Un utilisateur (ou administrateur ou système au nom d’un utilisateur) a activé un promptbook Copilot.
Interaction avec Copilot CopilotInteraction Un utilisateur (ou un administrateur ou un système au nom d’un utilisateur) a entré des invites dans Copilot.
Mise à jour d’un paramètre de plug-in Copilot UpdateCopilotPlugin Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de plug-in Copilot.
Mise à jour d’un paramètre d’invite Copilot UpdateCopilotPromptBook Un utilisateur (ou un administrateur ou un système pour le compte d’un utilisateur) a mis à jour un paramètre de manuel d’invite Copilot.
Mise à jour d’un paramètre Copilot UpdateCopilotSettings Un administrateur (ou un système au nom d’un administrateur) a mis à jour un paramètre Copilot.

Activités d’administration de l’annuaire

Le tableau suivant répertorie Microsoft Entra activités liées à l’annuaire et au domaine enregistrées lorsqu’un administrateur gère ses organization dans le Centre d’administration Microsoft 365 ou dans le portail de gestion Azure.

Remarque

Les noms d’opération répertoriés dans la colonne Opération de ce tableau contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.

Nom facile à retenir Opération Description
Domaine ajouté à l’entreprise Ajouter un domaine à une entreprise. Un domaine a été ajouté à votre organisation.
Partenaire ajouté à l’annuaire Ajouter un partenaire à une entreprise. Un partenaire (administrateur délégué) a été ajouté à votre organisation.
Domaine supprimé de l’entreprise Supprimer un domaine d’une entreprise. Un domaine a été supprimé de votre organisation.
Partenaire supprimé de l’annuaire Supprimer un partenaire d’une entreprise. Un partenaire (administrateur délégué) a été supprimé de votre organisation.
Définition des informations sur la société Définir des informations d’une entreprise. Les informations de l’entreprise ont été mises à jour pour votre organisation. Inclut des adresses e-mail pour les e-mails liés à l’abonnement envoyés par Microsoft 365 et des notifications techniques sur les services Microsoft 365.
Définition de l’authentification de domaine Définir une authentification de domaine. Le paramètre d’authentification de domaine a été modifié pour votre organisation.
Paramètres de fédération mis à jour pour un domaine Définir des paramètres de fédération sur un domaine. Les paramètres de la fédération (partage externe) ont été modifiés pour votre organisation.
Stratégie de mot de passe définie Définir une stratégie de mot de passe. Les contraintes de longueur et de caractères applicables aux mots de passe utilisateur ont été modifiées dans votre organisation.
Activé Azure AD Sync Définir un indicateur DirSyncEnabled. La propriété qui active un annuaire pour la synchronisation Azure AD a été définie.
Domaine mis à jour Mettre à jour un domaine. Les paramètres d’un domaine dans votre organisation ont été mis à jour.
Domaine vérifié Vérifier un domaine. La propriété d’un domaine par votre organisation a été vérifiée.
Domaine de courrier vérifié par courrier électronique Vérifier un domaine vérifié d’e-mail. Une vérification de courrier électronique a été effectuée pour vérifier que votre organisation est propriétaire d’un domaine.

Activités de la révision avant destruction

Le tableau suivant répertorie les activités qu’un réviseur de destruction a effectuées lorsqu’un élément a atteint la fin de sa période de rétention configurée ou qu’un élément a été automatiquement déplacé vers l’étape de destruction suivante ou supprimé définitivement à la suite de l’approbation automatique.

Nom facile à retenir Opération Description
Destruction approuvée ApproveDisposal Pour l’approbation manuelle : un réviseur de destruction a approuvé la disposition de l’élément pour le déplacer vers l’étape de disposition suivante. Si l’élément était la seule ou la dernière étape de la révision avant destruction, l’approbation de la destruction a marqué l’élément comme éligible pour la suppression définitive.

Pour l’approbation automatique : aucune action manuelle n’a été effectuée au cours de la période d’approbation automatique configurée, de sorte que l’élément a été automatiquement déplacé vers l’étape de destruction suivante. Si l’élément était à l’étape unique ou finale de la révision de destruction, l’élément est automatiquement devenu éligible pour une suppression définitive.
Étendue de la période de rétention ExtendRetention Un réviseur de destruction a étendu la période de rétention de l’élément.
Élément réétiqueté RelabelItem Un réviseur de destruction a de nouveau étiqueté l’étiquette de rétention.
Réviseurs ajoutés AddReviewer Un réviseur de destruction a ajouté un ou plusieurs autres utilisateurs à la phase d’examen de la révision avant destruction actuelle.

Activités de découverte électronique

Les activités liées à la recherche de contenu et à la découverte électronique (pour Microsoft Purview eDiscovery (Standard) et Microsoft Purview eDiscovery (Premium)) qui sont effectuées dans le portail Microsoft Purview, le portail de conformité Microsoft Purview, ou en exécutant les applets de commande PowerShell correspondantes sont enregistrées dans le journal d’audit. Les événements sont enregistrés lorsque les administrateurs ou les gestionnaires eDiscovery (ou tout utilisateur affecté à des autorisations eDiscovery) effectuent les tâches de recherche de contenu et eDiscovery (Standard) suivantes dans les portails :

  • Création et gestion des cas eDiscovery (Standard) et eDiscovery (Premium).
  • Création, démarrage et modification des recherches de contenu.
  • Exécution d’actions de recherche, telles que l’aperçu, l’exportation et la suppression des résultats de recherche.
  • Gestion des consignataires et des jeux de révision dans eDiscovery (Premium).
  • Configuration du filtrage des autorisations pour la recherche de contenu.
  • Gestion du rôle Administrateur eDiscovery.

Pour plus d’informations sur la recherche dans le journal d’audit, les autorisations requises et l’exportation des résultats de recherche, consultez Rechercher dans le journal d’audit.

Remarque

Il faut jusqu’à 30 minutes pour que les activités qui résultent des activités répertoriées sous activités eDiscovery et activités eDiscovery (Premium) dans la liste déroulante Activités s’affichent dans les résultats de la recherche. Inversement, 24 heures peuvent être nécessaires avant que les événements correspondant aux activités de l’applet de commande eDiscovery s’affichent dans les résultats de la recherche.

Activités de recherche de contenu et eDiscovery (Standard)

Le tableau suivant décrit les activités de recherche de contenu et eDiscovery (Standard) qui sont enregistrées lorsqu’un administrateur ou un responsable eDiscovery effectue une activité liée à eDiscovery à l’aide du portail de conformité. Certaines activités effectuées dans eDiscovery (Premium) peuvent être retournées lorsque vous recherchez des activités dans cette liste.

Remarque

Les activités eDiscovery décrites dans cette section fournissent des informations similaires aux activités de l’applet de commande eDiscovery décrites dans la section suivante. Nous vous recommandons d’utiliser les activités eDiscovery décrites dans cette section, car elles apparaîtront dans les résultats de la recherche dans le journal d’audit dans les 30 minutes. L’affichage des activités d’applet de commande eDiscovery dans les résultats de recherche du journal d’audit peut prendre jusqu’à 24 heures.

Nom facile à retenir Opération Applet de commande correspondante Description
Ajout d’un membre au cas eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Un utilisateur a été ajouté en tant que membre d’un cas eDiscovery. En tant que membre d’un cas, un utilisateur peut effectuer diverses tâches liées à un cas selon que les autorisations nécessaires lui ont été attribuées ou non.
Recherche de contenu modifiée
SearchUpdated
Set-ComplianceSearch
Une recherche de contenu existante a été modifiée. Les modifications peuvent inclure l’ajout ou la suppression d’emplacements de contenu ou la modification de la requête de recherche.
Modification de l’appartenance de l’administrateur eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
La liste des administrateurs eDiscovery dans votre organization a été modifiée. Cette activité est journalisée lorsque la liste des administrateurs eDiscovery est remplacée par un groupe de nouveaux utilisateurs. Si un seul utilisateur est ajouté ou supprimé, l’opération CaseAdminAdded est journalisée.
Changement de cas eDiscovery
CaseUpdated
Set-ComplianceCase
Un cas eDiscovery a été modifié. Les modifications incluent la fermeture d’un cas ouvert ou la réouverture d’un cas fermé.
Modification de l’appartenance au cas eDiscovery
CaseMemberUpdated
Update-ComplianceCaseMember
La liste d’appartenances d’un cas eDiscovery a été modifiée. Cette activité est journalisée lorsque tous les membres sont remplacés par un groupe de nouveaux utilisateurs. Si un seul membre est ajouté ou supprimé, l’opération CaseMemberAdded ou CaseMemberRemoved est journalisée.
Filtre d’autorisations de recherche modifié
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été modifié.
Modification de la requête de recherche pour la conservation de cas eDiscovery
HoldUpdated
Set-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été modifiée. Les modifications possibles incluent la modification de la requête ou de la plage de dates pour une conservation basée sur une requête.
Élément d’aperçu de recherche de contenu téléchargé
PreviewItemDownloaded
S/O
Un utilisateur a téléchargé un élément sur son ordinateur local (en sélectionnant le lien Télécharger l’élément d’origine ) lors de l’aperçu des résultats de la recherche.
Élément d’aperçu de la recherche de contenu répertorié
PreviewItemListed
S/O
Un utilisateur a sélectionné Aperçu des résultats de la recherche pour afficher la page des résultats de recherche en préversion, qui répertorie jusqu’à 1 000 éléments à partir des résultats d’une recherche.
Recherche de contenu créée
SearchCreated
New-ComplianceSearch
Une nouvelle recherche de contenu a été créée.
Administrateur eDiscovery créé
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Un utilisateur a été ajouté en tant qu’administrateur eDiscovery dans le organization.
Cas eDiscovery créé
CaseAdded
New-ComplianceCase
Un cas eDiscovery a été créé. Lorsqu’un cas est créé, il vous suffit de lui donner un nom. D’autres tâches liées à la casse, telles que l’ajout de membres, la création de conservations et la création de recherches de contenu associées au cas, entraînent la journaliser des événements supplémentaires.
Filtre d’autorisations de recherche créé
SearchPermissionCreated
New-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été créé.
Requête de recherche créée pour la conservation de cas eDiscovery
HoldCreated
New-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été créée.
Recherche de contenu supprimé
SearchRemoved
Remove-ComplianceSearch
Une recherche de contenu existante a été supprimée.
Administrateur eDiscovery supprimé
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Un administrateur eDiscovery a été supprimé de votre organization.
Cas eDiscovery supprimé
CaseRemoved
Remove-ComplianceCase
Un cas eDiscovery a été supprimé. Toute conservation associée au cas doit être supprimée avant que le cas puisse être supprimé.
Filtre d’autorisations de recherche supprimées
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été supprimé.
Requête de recherche supprimée pour la conservation de cas eDiscovery
HoldRemoved
Remove-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été supprimée. La suppression de la requête de la conservation est souvent le résultat de la suppression d’une conservation. Lorsqu’une requête de conservation ou de conservation est supprimée, les emplacements de contenu qui étaient en attente sont libérés.
Exportation téléchargée de la recherche de contenu
SearchExportDownloaded
S/O
Un utilisateur a téléchargé les résultats d’une recherche de contenu sur son ordinateur local. Une activité de recherche de contenu démarrée doit être lancée avant que les résultats de la recherche puissent être téléchargés.
Aperçu des résultats de la recherche de contenu
SearchPreviewed
S/O
Un utilisateur a affiché un aperçu des résultats d’une recherche de contenu.
Résultats purgés de la recherche de contenu
SearchResultsPurged
New-ComplianceSearchAction
Un utilisateur a vidé les résultats d’une recherche de contenu en exécutant la commande New-ComplianceSearchAction -Purge .
Suppression de l’analyse de la recherche de contenu
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Une action de préparation de recherche de contenu (pour préparer les résultats de la recherche pour eDiscovery (Premium)) a été supprimée. Si l’action de préparation date de moins de deux semaines, les résultats de recherche préparés pour eDiscovery (Premium) ont été supprimés de la zone de stockage Microsoft Azure. Si l’action de préparation date de plus de 2 semaines, cet événement indique que seule l’action de préparation correspondante a été supprimée.
Suppression de l’exportation de la recherche de contenu
RemovedSearchExported
Remove-ComplianceSearchAction
Une action d’exportation de recherche de contenu a été supprimée. Si l’action d’exportation date de moins de deux semaines, les résultats de la recherche qui ont été chargés dans la zone de stockage Microsoft Azure ont été supprimés. Si l’action d’exportation date de plus de 2 semaines, cet événement indique que seule l’action d’exportation correspondante a été supprimée.
Membre supprimé du cas eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un utilisateur a été supprimé en tant que membre d’un cas eDiscovery.
Suppression des résultats de l’aperçu de la recherche de contenu
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Une action d’aperçu de recherche de contenu a été supprimée.
Suppression de l’action de vidage effectuée sur la recherche de contenu
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Une action de vidage de recherche de contenu a été supprimée.
Rapport de recherche supprimé
SearchReportRemoved
Remove-ComplianceSearchAction
Une action de rapport d’exportation de recherche de contenu a été supprimée.
Début de l’analyse de la recherche de contenu
SearchResultsSentToZoom
New-ComplianceSearchAction
Les résultats d’une recherche de contenu ont été préparés pour analyse dans eDiscovery (Premium).
Recherche de contenu démarrée
SearchStarted
Start-ComplianceSearch
Une recherche de contenu a été lancée. Lorsque vous créez ou modifiez une recherche de contenu à l’aide du portail de conformité, la recherche est automatiquement démarrée.
Début de l’exportation de la recherche de contenu
SearchExported
New-ComplianceSearchAction
Un utilisateur a exporté les résultats d’une recherche de contenu.
Rapport d’exportation démarré
SearchReport
New-ComplianceSearchAction
Un utilisateur a exporté un rapport de recherche de contenu.
Recherche de contenu arrêtée
SearchStopped
Stop-ComplianceSearch
Un utilisateur a arrêté une recherche de contenu.
(aucun) CaseViewed Get-ComplianceCase Un utilisateur a consulté un cas eDiscovery (Standard) dans le portail de conformité. L’enregistrement d’audit de cet événement inclut le nom du cas qui a été consulté.
(aucun) SearchViewed Get-ComplianceSearch Un utilisateur a consulté une recherche de contenu dans le portail de conformité en accédant à la recherche sous l’onglet Recherches dans un cas eDiscovery (Standard) ou en y accédant sur la page de recherche de contenu . L’enregistrement d’audit de cet événement inclut l’identité de la recherche qui a été consultée.
(aucun) ViewedSearchExported Get-ComplianceSearchAction -Exporter Un utilisateur a affiché une exportation de recherche de contenu dans le portail de conformité en accédant à l’exportation sous l’onglet Exportations de la page de recherche de contenu . Cette activité est également journalisée lorsqu’un utilisateur affiche une exportation associée à un cas eDiscovery (Standard).
(aucun) ViewedSearchPreviewed Get-ComplianceSearchAction -Préversion Un utilisateur a affiché un aperçu des résultats d’une recherche de contenu dans le portail de conformité. Cette activité est également journalisée lorsqu’un utilisateur affiche un aperçu des résultats d’une recherche associée à un cas eDiscovery (Standard).

Activités eDiscovery (Premium)

Le tableau suivant décrit les activités eDiscovery (Premium) enregistrées dans le journal d’audit. Ces activités peuvent être utilisées pour vous aider à suivre la progression de l’activité dans un cas eDiscovery (Premium).

Nom facile à retenir Opération Description
Ajouter des données dans un autre ensemble à réviser AddWorkingSetQueryToWorkingSet L’utilisateur a ajouté des documents d’un ensemble à réviser à un autre.
Données ajoutées au groupe à réviser AddQueryToWorkingSet L’utilisateur a ajouté les résultats de la recherche à partir d’une recherche de contenu associée à un cas eDiscovery (Premium) à un jeu de révision.
Ajout de données ne relevant pas de Microsoft 365 à un jeu à réviser AddNonOffice365DataToWorkingSet L’utilisateur a ajouté des données ne relevant pas de Microsoft 365 à un jeu à réviser.
Ajout de documents corrigés au groupe révision AddRemediatedData L’utilisateur charge les documents qui comportent des erreurs d’indexation qui ont été corrigées dans un groupe de révision.
Données analysées dans le groupe révision RunAlgo L’utilisateur a exécuté l’analytique sur les documents d’un jeu de révision.
Document annoté dans le groupe révision AnnotateDocument L’utilisateur a annoté un document dans un groupe de révision. L’annotation inclut rédiger du contenu dans un document.
Ensembles chargés comparés LoadComparisonJob Un utilisateur a comparé deux ensembles chargés différents dans un groupe de révision. Un ensemble chargé est activé lorsque les données d’une recherche de contenu associées au cas sont ajoutées à un groupe de révision.
Documents rédigés convertis au format PDF BurnJob L’utilisateur a converti tous les documents rédigés dans un ensemble de révision en fichiers PDF.
Ensemble de révision créée CreateWorkingSet L’utilisateur a créé un groupe de révision.
Configuration de la recherche de révision créée CreateWorkingSetSearch L’utilisateur a créé une requête de recherche qui effectue une recherche dans les documents d’un groupe de révision.
Balise créée CreateTag Un utilisateur a créé un groupe de balises dans un ensemble de révision. Un groupe de balises peut contenir une ou plusieurs balises enfant. Ces balises sont ensuite utilisées pour baliser des documents dans le groupe révision.
Recherche de la révision supprimée DeleteWorkingSetSearch Un utilisateur a supprimé une requête de recherche dans un groupe de révision.
Balise supprimée DeleteTag Un utilisateur a supprimé une balise ou une balise de groupe dans un groupe de révision.
Document téléchargé DownloadDocument Un utilisateur a téléchargé un document à partir d’un groupe de révision.
Balise modifiée UpdateTag Un utilisateur a modifié une balise dans un groupe de révision.
Exporter des documents d’un groupe de révision ExportJob L’utilisateur a exporté les documents à partir d’un groupe de révision.
Paramètre de casse modifié UpdateCaseSettings L’utilisateur a modifié les paramètres de casse. Les paramètres de casse incluent les informations de casse, les autorisations d’accès et les paramètres qui contrôlent le comportement des recherches et analyses.
Configuration de la recherche de révision modifiée UpdateWorkingSetSearch Un utilisateur a modifié une requête de recherche dans un groupe de révision.
Aperçu de configuration de la recherche de révision PreviewWorkingSetSearch Un utilisateur a visualisé les résultats d’une requête de recherche dans un ensemble de révision.
Documents d’erreur rectifiés ErrorRemediationJob L’utilisateur corrige les fichiers qui contiennent des erreurs d’indexation.
Document balisé TagFiles L’utilisateur a balisé un document dans un groupe de révision.
Résultats avec indicateur d’une requête TagJob L’utilisateur balise tous les documents qui correspondent aux critères de la requête de recherche dans un ensemble de révision.
Document visualisé dans le groupe révision ViewDocument Un utilisateur a consulté un document dans un groupe de révision.

Activités d’applet de commande eDiscovery

Le tableau suivant répertorie les enregistrements du journal d’audit d’applet de commande qui sont enregistrés lorsqu’un administrateur ou un utilisateur effectue une activité liée à eDiscovery à l’aide du portail de conformité ou en exécutant l’applet de commande correspondante dans Security & Compliance PowerShell. Les informations détaillées dans l’enregistrement du journal d’audit sont différentes pour les activités d’applet de commande répertoriées dans ce tableau et les activités eDiscovery décrites dans la section précédente.

Comme indiqué précédemment, l’affichage des activités d’applet de commande eDiscovery dans les résultats de recherche dans le journal d’audit peut prendre jusqu’à 24 heures.

Conseil

Les applets de commande de la colonne Operation du tableau suivant sont liées à la rubrique d’aide correspondante sur TechNet. Accédez à la rubrique d’aide sur les applets de commande pour obtenir une description des paramètres disponibles pour chaque applet de commande. Le paramètre et la valeur du paramètre qui ont été utilisés avec une applet de commande sont inclus dans l’entrée du journal d’audit pour chaque activité d’applet de commande eDiscovery journalisée.

Nom facile à retenir Opération (applet de commande) Description
Conservation créée dans le cas eDiscovery
New-CaseHoldPolicy
Une conservation a été créée pour un cas eDiscovery. Une conservation peut être créée avec ou sans spécification d’une source de contenu. Si des sources de contenu sont spécifiées, elles sont identifiées dans l’entrée du journal d’audit.
Conservation supprimée d’un cas eDiscovery
Remove-CaseHoldPolicy
Une conservation associée à un cas eDiscovery a été supprimée. La suppression d’une conservation libère tous les emplacements de contenu de la conservation. La suppression de la conservation entraîne également la suppression des règles de conservation de casse associées à la conservation (voir Remove-CaseHoldRule).
Conservation modifiée dans le cas eDiscovery
Set-CaseHoldPolicy
Une conservation associée à une eDiscovery a été modifiée. Les modifications possibles incluent l’ajout ou la suppression d’emplacements de contenu ou la désactivation (désactivation) de la conservation.
Requête de recherche créée pour la conservation de cas eDiscovery
New-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été créée.
Requête de recherche supprimée pour la conservation de cas eDiscovery
Remove-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été supprimée. La suppression de la requête de la conservation est souvent le résultat de la suppression d’une conservation. Lorsqu’une requête de conservation ou de conservation est supprimée, les emplacements de contenu qui étaient en attente sont libérés.
Modification de la requête de recherche pour la conservation de cas eDiscovery
Set-CaseHoldRule
Une conservation basée sur les requêtes associée à un cas eDiscovery a été modifiée. Les modifications possibles incluent la modification de la requête ou de la plage de dates pour une conservation basée sur une requête.
Cas eDiscovery créé
New-ComplianceCase
Un cas eDiscovery a été créé. Lorsqu’un cas est créé, il vous suffit de lui donner un nom. D’autres tâches liées à la casse, telles que l’ajout de membres, la création de conservations et la création de recherches de contenu associées au cas, entraînent la journaliser des événements supplémentaires.
Cas eDiscovery supprimé
Remove-ComplianceCase
Un cas eDiscovery a été supprimé. Toute conservation associée au cas doit être supprimée avant que le cas puisse être supprimé.
Changement de cas eDiscovery
Set-ComplianceCase
Un cas eDiscovery a été modifié. Les modifications incluent la fermeture d’un cas ouvert ou la réouverture d’un cas fermé.
Ajout d’un membre au cas eDiscovery
Add-ComplianceCaseMember
Un utilisateur a été ajouté en tant que membre d’un cas eDiscovery. En tant que membre d’un cas, un utilisateur peut effectuer diverses tâches liées à un cas selon que les autorisations nécessaires lui ont été attribuées ou non.
Membre supprimé du cas eDiscovery
Remove-ComplianceCaseMember
Un utilisateur a été supprimé en tant que membre d’un cas eDiscovery.
Modification de l’appartenance au cas eDiscovery
Update-ComplianceCaseMember
La liste d’appartenances d’un cas eDiscovery a été modifiée. Cette activité est journalisée lorsque tous les membres sont remplacés par un groupe de nouveaux utilisateurs. Si un seul membre est ajouté ou supprimé, l’opération Add-ComplianceCaseMember ou Remove-ComplianceCaseMember est journalisée.
Recherche de contenu créée
New-ComplianceSearch
Une nouvelle recherche de contenu a été créée.
Recherche de contenu supprimé
Remove-ComplianceSearch
Une recherche de contenu existante a été supprimée.
Recherche de contenu modifiée
Set-ComplianceSearch
Une recherche de contenu existante a été modifiée. Les modifications peuvent inclure l’ajout ou la suppression d’emplacements de contenu qui font l’objet d’une recherche et la modification de la requête de recherche.
Recherche de contenu démarrée
Start-ComplianceSearch
Une recherche de contenu a été lancée. Lorsque vous créez ou modifiez une recherche de contenu à l’aide de l’interface graphique graphique du portail de conformité, la recherche est automatiquement démarrée. Si vous créez ou modifiez une recherche à l’aide de l’applet de commande New-ComplianceSearch ou Set-ComplianceSearch , vous devez exécuter l’applet de commande Start-ComplianceSearch pour démarrer la recherche.
Recherche de contenu arrêtée
Stop-ComplianceSearch
Une recherche de contenu en cours d’exécution a été arrêtée.
Action de recherche de contenu créée
New-ComplianceSearchAction
Une action de recherche de contenu a été créée. Les actions de recherche de contenu incluent l’aperçu des résultats de recherche, l’exportation des résultats de recherche, la préparation des résultats de recherche pour analyse dans eDiscovery (Premium) et la suppression définitive des éléments qui correspondent aux critères de recherche d’une recherche de contenu.
Action de recherche de contenu supprimé
Remove-ComplianceSearchAction
Une action de recherche de contenu a été supprimée.
Filtre d’autorisations de recherche créé
New-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été créé.
Filtre d’autorisations de recherche supprimées
Remove-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été supprimé.
Filtre d’autorisations de recherche modifié
Set-ComplianceSecurityFilter
Un filtre d’autorisations de recherche a été modifié.
Administrateur eDiscovery créé
Add-eDiscoveryCaseAdmin
Un utilisateur a été ajouté en tant qu’administrateur eDiscovery dans votre organization.
Administrateur eDiscovery supprimé
Remove-eDiscoveryCaseAdmin
Un administrateur eDiscovery a été supprimé de votre organization.
Modification de l’appartenance de l’administrateur eDiscovery
Update-eDiscoveryCaseAdmin
La liste des administrateurs eDiscovery dans votre organization a été modifiée. Cette activité est journalisée lorsque la liste des administrateurs eDiscovery est remplacée par un groupe de nouveaux utilisateurs. Si un seul utilisateur est ajouté ou supprimé, l’opération Add-eDiscoveryCaseAdmin ou Remove-eDiscoveryCaseAdmin est journalisée.
(aucun) Get-ComplianceCase
Cette activité est journalisée lorsqu’un utilisateur a consulté une liste de cas eDiscovery (Standard) ou eDiscovery (Premium). Cette activité est également journalisée lorsqu’un utilisateur consulte un cas spécifique dans eDiscovery (Standard). Lorsqu’un utilisateur affiche un cas spécifique, l’enregistrement d’audit inclut l’identité du cas qui a été consulté. Si l’utilisateur n’a consulté qu’une liste de cas, l’enregistrement d’audit ne contient pas d’identité de cas.
(aucun) Get-ComplianceSearch Cette activité est journalisée lorsqu’un utilisateur a consulté une liste de recherches de contenu ou de recherches associées à un cas eDiscovery (Standard). Cette activité est également journalisée lorsqu’un utilisateur consulte une recherche de contenu spécifique ou une recherche spécifique associée à un cas eDiscovery (Standard). Lorsqu’un utilisateur affiche une recherche spécifique, l’enregistrement d’audit inclut l’identité de la recherche qui a été consultée. Si l’utilisateur n’a consulté qu’une liste de recherches, l’enregistrement d’audit ne contient pas d’identité de recherche.
(aucun) Get-ComplianceSearchAction Cette activité est journalisée lorsqu’un utilisateur a consulté une liste d’actions de recherche de conformité (telles que des exportations, des aperçus ou des purges) ou des actions associées à un cas eDiscovery (Standard). Cette activité est également journalisée lorsqu’un utilisateur affiche une action de recherche de conformité spécifique (telle qu’une exportation) ou une action spécifique associée à un cas eDiscovery (Standard). Lorsqu’un utilisateur affiche une action de recherche, l’enregistrement d’audit inclut l’identité de l’action de recherche qui a été consultée. Si l’utilisateur n’a consulté qu’une liste d’actions, l’enregistrement d’audit ne contient pas d’identité d’action.

Propriétés détaillées pour les activités eDiscovery

Le tableau suivant décrit les propriétés incluses dans la page de menu volant d’une activité eDiscovery répertoriées dans les résultats de la recherche. Ces propriétés sont également incluses dans le fichier CSV lorsque vous exportez les résultats de la recherche dans le journal d’audit. Un enregistrement de journal d’audit pour une activité eDiscovery n’inclut pas toutes les propriétés détaillées répertoriées dans le tableau suivant.

Conseil

Lorsque vous exportez les résultats de la recherche, le fichier CSV contient une colonne nommée AudtiData, qui contient les propriétés détaillées décrites dans le tableau suivant dans une propriété à valeurs multiples. Vous pouvez utiliser la fonctionnalité Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cela vous permet de trier et de filtrer sur une ou plusieurs de ces propriétés. Pour plus d’informations, consultez Rechercher dans le journal d’audit.

Propriété Description
Cas
Identité (GUID) du cas eDiscovery qui a été créé, modifié ou supprimé.
ClientApplication
Les activités d’applet de commande eDiscovery ont la valeur EMC pour cette propriété. Cela indique que l’activité a été effectuée à l’aide de l’interface graphique graphique du portail de conformité ou en exécutant l’applet de commande dans PowerShell.
ClientIP
Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.
ClientRequestId
Pour les activités eDiscovery, cette propriété est généralement vide.
CmdletVersion
Numéro de build de la version du portail de conformité en cours d’exécution dans votre organization.
CreationTime
Date et heure en temps universel coordonné (UTC) à laquelle l’activité eDiscovery s’est terminée.
EffectiveOrganization
Nom du organization Microsoft 365.
ExchangeLocations
Le Exchange Online boîtes aux lettres qui sont incluses dans une recherche de contenu ou mises en attente dans un cas eDiscovery.
Exclusions
Emplacements de boîte aux lettres ou de site exclus d’une recherche de contenu ou d’une conservation dans un cas eDiscovery.
ExtendedProperties
Propriétés supplémentaires d’une recherche de contenu, d’une action de recherche de contenu ou d’une conservation dans un cas eDiscovery, telles que le GUID de l’objet et les paramètres d’applet de commande et d’applet de commande correspondants qui ont été utilisés lors de l’exécution de l’activité.
ID
ID de l’entrée de rapport. L’ID identifie de manière unique l’entrée du journal d’audit.
NonPIIParameters
Liste des paramètres (sans valeurs) qui ont été utilisés avec l’applet de commande identifiée dans la propriété Operation. Les paramètres répertoriés dans cette propriété sont les mêmes que ceux répertoriés dans la propriété Parameters.
ObjectId
GUID ou nom de l’objet (par exemple, une recherche de contenu ou un cas eDiscovery (Standard) qui a été créé, consulté, modifié ou supprimé par l’activité répertoriée dans la propriété Operation. Cet objet est également identifié dans la colonne Item dans les résultats de recherche du journal d’audit.
ObjectType
Type d’objet eDiscovery que l’utilisateur a créé, supprimé ou modifié ; par exemple, une action de recherche de contenu (aperçu, exportation ou vidage), un cas eDiscovery ou une recherche de contenu.
Opération
Nom de l’opération qui correspond à l’activité eDiscovery qui a été effectuée.
OrganizationId
GUID de votre organization Microsoft 365.
Paramètres
Nom et valeur des paramètres utilisés avec l’applet de commande correspondante.
PublicFolderLocations
Les emplacements de dossiers publics dans Exchange Online inclus dans une recherche de contenu ou mis en attente dans un cas eDiscovery.
Requête
Requête de recherche associée à l’activité, telle qu’une recherche de contenu ou une conservation basée sur une requête.
RecordType
Type d’opération indiqué par l’enregistrement. La valeur 18 indique un événement lié à une activité répertoriée dans la section activités de l’applet de commande eDiscovery . La valeur 24 indique un événement lié à une activité répertoriée dans la section activités eDiscovery .
ResultStatus
Indique si l’action (indiquée dans la propriété Operation) a réussi ou non.
SecurityComplianceCenterEventType
Indique que l’activité était un événement du portail de conformité. Toutes les activités eDiscovery auront la valeur 0 pour cette propriété.
SharepointLocations
Sites SharePoint Online inclus dans une recherche de contenu ou mis en attente dans un cas eDiscovery.
StartTime
Date et heure utc (Temps universel coordonné) auxquelles l’activité eDiscovery a démarré.
UserId
Utilisateur qui a effectué l’activité (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. Les enregistrements de l’activité eDiscovery effectuée par des comptes système (tels que NT AUTHORITY\SYSTEM) sont également inclus dans le journal d’audit.
UserKey
Autre ID pour l’utilisateur identifié dans la propriété UserId. Pour les activités eDiscovery, la valeur de cette propriété est généralement identique à la propriété UserId.
UserServicePlan
Abonnement utilisé par votre organization. Pour les activités eDiscovery, cette propriété est généralement vide.
UserType
Type d’utilisateur ayant effectué l’opération. Les valeurs suivantes indiquent le type d’utilisateur.
0 Un utilisateur normal. 2 Un administrateur dans votre organization. 3 Un compte de système de centre de données ou administrateur de centre de données Microsoft. 4 Un compte système. 5 Une application. 6 Un principal de service.
Version
Indique le numéro de version de l’activité (identifiée par la propriété Operation) enregistrée.
Charge de travail
Service où l’activité s’est produite. Pour les activités eDiscovery, la valeur est SecurityComplianceCenter.

Activités du portail des messages chiffrés

Les journaux d’accès sont disponibles pour les messages chiffrés via le portail des messages chiffrés qui permet à votre organisation de déterminer quand les messages sont lus et transférés par vos destinataires externes. Pour plus d’informations sur l’activation et l’utilisation des journaux d’activité du portail de messages chiffrés, consultez la rubrique Journal d’activité du portail des messages chiffrés.

Chaque entrée d’audit pour un message suivi contient les champs suivants :

  • MessageID : contient l’ID du message suivi. Identificateur de clé utilisé pour suivre un message dans le système.
  • Destinataire : liste de toutes les adresses e-mail des destinataires.
  • Expéditeur : adresse e-mail d’origine.
  • AuthenticationMethod : décrit la méthode d’authentification pour accéder au message, par exemple, OTP, Yahoo, Gmail ou Microsoft.
  • AuthenticationStatus : contient une valeur indiquant que l’authentification a réussi ou échoué.
  • OperationStatus : indique si l’opération indiquée a réussi ou échoué.
  • AttachmentName : nom de la pièce jointe.
  • OperationProperties : liste des propriétés facultatives. Par exemple, le nombre de codes secrets otP envoyés ou l’objet de l’e-mail.

Activités administrateur Exchange

La journalisation d’audit de l’administrateur Exchange (activée par défaut dans Microsoft 365) enregistre un événement dans le journal d’audit lorsqu’un administrateur (ou un utilisateur auquel des autorisations d’administration ont été attribuées) apporte une modification dans votre organisation Exchange. Les modifications apportées à l’aide du Centre d’administration Exchange ou en exécutant une cmdlet dans Exchange Online PowerShell sont enregistrées dans le journal d’audit de l’administrateur Exchange. Les applets de commande qui commencent par les verbes Get-, Search-ouTest- ne sont pas enregistrées dans le journal d’audit. Pour plus d’informations sur la journalisation d’audit de l’administrateur dans Exchange, voir Journalisation d’audit de l’administrateur.

Importante

Certaines cmdlets Exchange Online qui ne sont pas enregistrées dans le journal d’audit de l’administrateur Exchange (ou dans le journal d’audit). Bon nombre de ces applets de commande sont liées à la maintenance du service Exchange Online et sont exécutées par le personnel du centre de données Microsoft ou les comptes de service. Ces applets de commande ne sont pas enregistrées, car elles génèrent un grand nombre d’événements d’audit «bruyants». S’il existe une cmdlet Exchange Online qui n’est pas en cours d’audit, envoyez une demande de modification de conception (DCR) au Support Microsoft.

Voici quelques conseils pour rechercher des activités d’administrateur Exchange dans le journal d’audit :

  • Utiliser les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de recherche des cmdlets exécutées par un administrateur Exchange spécifique à une plage de dates donnée.
  • Pour afficher les événements du journal d’audit de l’administrateur Exchange, sélectionnez la colonne Activité pour trier les noms des applets de commande par ordre alphabétique.
  • Pour obtenir des informations sur les cmdlets exécutées, les paramètres et valeurs de paramètres utilisés et les objets affectés, vous devez exporter les résultats de recherche et sélectionner l’option Télécharger tous les résultats. Pour plus d’informations, voir Exporter, configurer et afficher des enregistrements du journal d’audit.
  • Vous pouvez également utiliser la Search-UnifiedAuditLog -RecordType ExchangeAdmin commande dans Exchange Online PowerShell pour renvoyer uniquement les enregistrements d’audit du journal d’audit de l’administrateur Exchange. L’exécution de l’entrée de journal d’audit correspondante dans les résultats de la recherche peut prendre jusqu’à 30 minutes après l’exécution d’une applet de commande Exchange. Pour plus d’informations, voir Search-UnifiedAuditLog. Pour plus d’informations sur l’exportation des résultats de recherche renvoyés par l’applet de commande Search-UnifiedAuditLog vers un fichier CSV, voir la section «conseils pour l'exportation et l’affichage du journal d’audit» dans exporter, configurer et afficher les enregistrements du journal d’audit..

Activités de la boîte aux lettres Exchange

Le tableau suivant répertorie les activités qui peuvent être enregistrées par la journalisation d’audit de la boîte aux lettres. Les activités de boîte aux lettres effectuées par le propriétaire de la boîte aux lettres, un utilisateur délégué ou un administrateur sont automatiquement enregistrées dans le journal d’audit pendant jusqu’à 180 jours. Un administrateur peut désactiver la journalisation d’audit des boîtes aux lettres pour tous les utilisateurs de votre organisation. Dans ce cas, aucune action de boîte aux lettres pour un utilisateur n’est enregistrée. Pour plus d’informations, voir Gérer l’audit de boîte aux lettres.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Vous pouvez également rechercher des activités de boîte aux lettres à l’aide de l’applet de commande Search-MailboxAuditLog dans le PowerShell Exchange Online.

Nom facile à retenir Opération Description
Éléments de boîte aux lettres consultés MailItemsAccessed Les messages sont lus ou consultés dans la boîte aux lettres. Les enregistrements d’audit pour cette activité sont déclenchés de deux manières : lorsqu’un client de courrier (par exemple, Outlook) effectue une opération de liaison sur des messages ou lorsque des protocoles de courrier (par exemple, Exchange ActiveSync ou IMAP) synchronisent des éléments dans un dossier de courrier. L’analyse des enregistrements d’audit pour cette activité est utile lorsque vous êtes à la recherche d'un compte de messagerie compromis.
Autorisations de boîtes aux lettres de délégué ajoutées Add-MailboxPermission Un administrateur a attribué l’autorisation de boîte aux lettres FullAccess à un utilisateur (appelé délégué) à la boîte aux lettres d’une autre personne. L’autorisation FullAccess permet au délégué d’ouvrir la boîte aux lettres d’un autre utilisateur ainsi que de lire et de gérer le contenu de la boîte aux lettres. L’enregistrement d’audit de cette activité est également généré lorsqu’un compte système dans le service Microsoft 365 effectue régulièrement des tâches de maintenance pour le compte de votre organisation. Une tâche courante effectuée par un compte système consiste à mettre à jour les autorisations pour les boîtes aux lettres système. Pour plus d’informations, voir Comptes système dans les enregistrements d’audits de boîte aux lettres Exchange.
Utilisateur ajouté ou supprimé avec accès délégué au dossier calendrier UpdateCalendarDelegation Un utilisateur a été ajouté ou supprimé en tant que délégué au calendrier de la boîte aux lettres d’un autre utilisateur. La délégation de calendrier donne à une autre personne les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres.
Autorisations ajoutées au dossier AddFolderPermissions Une autorisation de dossier a été ajoutée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers.
Messages copiés vers un autre dossier Copy Un message a été copié vers un autre dossier.
Élément de boîte aux lettres créé Créer Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création, l’envoi ou la réception d’un message ne sont pas audités. En outre, la création d’un dossier de boîte aux lettres n’est pas auditée.
Nouvelle règle de boîte de réception créée dans Outlook Web App New-InboxRule Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a créé une règle de boîte de réception dans Outlook Web App.
Messages supprimés du dossier Éléments supprimés SoftDelete Un message a été supprimé définitivement ou non du dossier Éléments supprimés. Ces éléments sont déplacés vers le dossier Éléments récupérables. Les messages sont également déplacés vers le dossier Éléments récupérables lorsqu’un utilisateur les sélectionne et appuie sur Maj+Suppr.
Message étiqueté en tant qu’enregistrement ApplyRecordLabel Un message a été classifié en tant qu’enregistrement. Se produit lorsqu’une étiquette de rétention qui classifie le contenu en tant qu’enregistrement est appliquée manuellement ou automatiquement à un message.
Messages déplacés vers un autre dossier Move Un message a été déplacé vers un autre dossier.
Messages déplacés vers le dossier Éléments supprimés MoveToDeletedItems Un message a été supprimé et déplacé vers le dossier Éléments supprimés.
Autorisation de dossier modifiée UpdateFolderPermissions Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers de boîte aux lettres et aux messages du dossier.
Règle de boîte de réception modifiée à partir d’Outlook Web App Set-InboxRule Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a modifié une règle de boîte de réception dans Outlook Web App.
Messages supprimés définitivement de la boîte aux lettres HardDelete Un courrier a été supprimé définitivement du dossier Éléments récupérables (supprimé définitivement de la boîte aux lettres).
Autorisations de boîtes aux lettres de délégué supprimées Remove-MailboxPermission Un administrateur a supprimé l’autorisation FullAccess (qui était attribuée à un délégué) à partir de la boîte lettres d’un autre utilisateur. Une fois l’autorisation FullAccess supprimée, le délégué ne peut pas ouvrir l’autre boîte aux lettres ni accéder au contenu.
Autorisations supprimées du dossier RemoveFolderPermissions Une autorisation de dossier a été supprimée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers dans une boîte aux lettres et aux messages situés dans ces dossiers.
Message envoyé Envoyer Un message a été envoyé, répondu ou transféré.
Message envoyé à l’aide d’autorisations Envoyer en tant que SendAs Un message a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cela signifie qu’un autre utilisateur a envoyé le message comme s’il provenait du propriétaire de la boîte aux lettres.
Message envoyé à l’aide d’autorisations Envoyer de la part de SendOnBehalf Un message a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le message de la part du propriétaire de la boîte aux lettres. Le message indique au nom de qui il a été envoyé et qui l’a réellement envoyé.
Règles de boîte de réception mises à jour à partir du client Outlook UpdateInboxRules Un propriétaire de boîte aux lettres ou un autre utilisateur ayant accès à la boîte aux lettres a modifié une règle de boîte de réception dans le client Outlook.
Message mis à jour Update Un message (ou ses propriétés) a été modifié.
Utilisateur connecté à la boîte aux lettres MailboxLogin L’utilisateur s’est connecté à sa boîte aux lettres.
Étiqueter un message en tant qu’enregistrement Un utilisateur a appliqué une étiquette de rétention à un message électronique. Cette étiquette est configurée pour identifier l’élément en tant qu’enregistrement.

Comptes système dans les enregistrements d’audits de boîte aux lettres Exchange

Dans les enregistrements d’audit de certaines activités de boîte aux lettres (en particulier Add-MailboxPermissions), vous pouvez remarquer que l’utilisateur qui a effectué l’activité (et est identifié dans les champs User et UserId) est NT AUTHORITY\SYSTEM ou NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Cela indique que l'« utilisateur » qui a effectué l’activité était un compte système dans le service Exchange dans le cloud Microsoft. Ce compte système effectue souvent des tâches de maintenance planifiées pour le compte de votre organisation. Par exemple, une activité auditée courante effectuée par le compte NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) consiste à mettre à jour les autorisations sur discoverySearchMailbox, qui est une boîte aux lettres système. L’objectif de cette mise à jour est de vérifier que l’autorisation FullAccess (qui est la valeur par défaut) est affectée au groupe de rôles Gestion de la découverte pour DiscoverySearchMailbox. Garantit que les administrateurs eDiscovery peuvent effectuer les tâches nécessaires dans leur organization.

Un autre compte d’utilisateur système qui peut être identifié dans un enregistrement d’audit pour Add-MailboxPermission est Administrator@apcprd03.prod.outlook.com. Ce compte de service est également inclus dans les enregistrements d’audit de boîte aux lettres liés à la vérification et à la mise à jour de l’autorisation FullAccess est attribué au groupe de rôles Gestion de la découverte pour la boîte aux lettres système DiscoverySearchMailbox. Plus précisément, les enregistrements d’audit qui identifient le Administrator@apcprd03.prod.outlook.com compte sont généralement déclenchés lorsque le personnel du support technique Microsoft exécute un outil de diagnostic de contrôle d’accès en fonction du rôle pour le compte de votre organization.

Activités des fichiers et pages

Le tableau suivant décrit les activités des fichiers et pages dans SharePoint Online et OneDrive Entreprise.

Nom facile à retenir Opération Description
Fichier consulté FileAccessed Le compte d’utilisateur ou système consulte un fichier. Une fois qu’un utilisateur accède à un fichier, l’événement FileAccessed n’est plus journalisé pour le même utilisateur pour le même fichier pendant les cinq prochaines minutes.
(aucun) FileAccessedExtended Cet événement est lié à l’activité « Fichier consulté » (FileAccessed). Un événement FileAccessedExtended est consigné lorsque la même personne accède à un fichier pendant une période prolongée (jusqu'à 3 heures).

L’objectif de la journalisation des événements FileAccessedExtended consiste à réduire le nombre d’événements FileAccessed enregistrés lorsqu’un fichier est consulté de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileAccessed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileAccessed initial (plus important).
Étiquette de rétention modifiée pour un fichier ComplianceSettingChanged Une étiquette de rétention a été appliquée à un document ou supprimée de celui-ci. Cet événement est déclenché lorsqu’une étiquette de rétention est appliquée manuellement ou automatiquement à un message.
État de l’enregistrement modifié sur verrouillé LockRecord État de l’enregistrement d’une étiquette de rétention qui classifie un document en tant qu’enregistrement verrouillé. Cela signifie que le document ne peut pas être modifié ou supprimé. Seuls les utilisateurs ayant au moins l’autorisation de collaborateur pour un site peuvent changer le statut d’enregistrement d’un document.
Modifier l’état de l’enregistrement sur verrouillé UnlockRecord État de l’enregistrement d’une étiquette de rétention qui classifie un document en tant qu’enregistrement déverrouillé. Cela signifie que le document peut être modifié ou supprimé. Seuls les utilisateurs ayant au moins l’autorisation de collaborateur pour un site peuvent changer le statut d’enregistrement d’un document.
Fichier archivé FileCheckedIn Un utilisateur archive un document qu’il a extrait d’une bibliothèque de documents.
Fichier extrait FileCheckedOut L’utilisateur extrait un document situé dans une bibliothèque de documents. Les utilisateurs peuvent extraire et apporter des modifications aux documents partagés avec eux.
Fichier copié FileCopied L’utilisateur copie un document à partir d’un site. Le fichier copié peut être enregistré dans un autre dossier sur le site.
Fichier supprimé FileDeleted Un utilisateur supprime un document d’un site.
Fichier supprimé de la Corbeille FileDeletedFirstStageRecycleBin Un utilisateur supprime un fichier de la Corbeille d’un site.
Fichier supprimé de la Corbeille second niveau FileDeletedSecondStageRecycleBin Un utilisateur supprime un fichier de la Corbeille second niveau d’un site.
Fichier étant identifié comme un enregistrement supprimé RecordDelete Un document ou e-mail identifié comme étant un enregistrement a été supprimé. Un élément est considéré comme un enregistrement lorsqu’une étiquette de rétention qui identifie les éléments comme étant un enregistrement est appliquée au contenu.
Détection de correspondance incorrecte des documents DocumentSensitivityMismatchDetected Un utilisateur télécharge un document sur un site protégé par une étiquette de confidentialité et le document comporte une étiquette de confidentialité plus élevée que celle du site. Par exemple, un document marqué Confidentiel est chargé sur un site intitulé Général.

Cet événement ne se déclenche pas si le document comprend une étiquette de confidentialité de priorité inférieure à celle appliquée sur le site. Par exemple, un document marqué Général est téléchargé sur un site intitulé Confidentiel. Pour plus d’informations sur la priorité d'étiquettes de confidentialité, consultez la Priorité d’étiquette (importance de l'ordre).
Détection d’un programme malveillant dans le fichier FileMalwareDetected Le moteur antivirus de SharePoint détecte un programme malveillant dans un fichier.
Extraction de fichier ignorée FileCheckOutDiscarded L’utilisateur ignore (ou annule) un fichier extrait. Cela signifie que les modifications qui ont été apportées au fichier lorsqu’il a été extrait sont ignorées et ne sont pas enregistrées dans la version du document disponible dans la bibliothèque de documents.
Fichier téléchargé FileDownloaded Un utilisateur télécharge un document à partir d’un site.
Fichier modifié FileModified Le compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document sur un site. Le système attend cinq minutes avant d'enregistrer un autre événement FileModified lorsque le même utilisateur modifie le contenu ou les propriétés du même document.
(aucun) FileModifiedExtended Cet événement est lié à l’activité « Fichier modifié » (FileModified). Un événement FileModifiedExtended est consigné lorsque la même personne modifie un fichier pendant une période prolongée (jusqu'à 3 heures).

L’objectif de la journalisation des événements FileModifiedExtended consiste à réduire le nombre d’événements FileModified enregistrés lorsqu’un fichier est modifié de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileModified pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileModified initial (plus important).
Fichier déplacé FileMoved Un utilisateur déplace un document de son emplacement actuel sur un site vers un nouvel emplacement.
(aucun) FilePreviewed Un utilisateur affiche l’aperçu de fichiers sur un site SharePoint ou OneDrive Entreprise. Ces événements se produisent généralement dans des volumes élevés basés sur une activité unique, comme l’affichage d’une galerie d’images.
Requête de recherche effectuée SearchQueryPerformed Un compte d’utilisateur ou système effectue une recherche dans SharePoint ou OneDrive Entreprise. Certains scénarios courants où un compte de service effectue une requête de recherche incluent l’application d’une stratégie de conservation et de rétention eDiscovery aux sites et aux comptes OneDrive, et l’application automatique des étiquettes de rétention ou de confidentialité au contenu du site. Pour activer la journalisation de cette activité, consultez Prise en main des solutions d’audit.
Recyclé un fichier Fichier recyclé L'utilisateur déplace un fichier dans la corbeille SharePoint.
Recyclé un dossier DossierRecyclé L'utilisateur déplace un dossier dans la corbeille SharePoint.
Recyclage de toutes les versions mineures du fichier FileVersionsAllMinorsRecycled L’utilisateur supprime toutes les versions mineures de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site.
Recyclage de toutes les versions du fichier FileVersionsAllRecycled L’utilisateur supprime toutes les versions de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site.
Recyclage d’une version du fichier FileVersionRecycled L’utilisateur supprime une version de l’historique des versions d’un fichier. La version supprimée est déplacée vers la Corbeille du site.
Fichier renommé FileRenamed L’utilisateur renomme un document.
Fichier restauré FileRestored Un utilisateur restaure un document à partir de la Corbeille d’un site.
Fichier téléchargé FileUploaded Un utilisateur charge un document vers un dossier sur un site.
Page affichée PageViewed Un utilisateur affiche une page sur un site. Ceci n’inclut pas l’utilisation d’un navigateur web pour afficher les fichiers dans une bibliothèque de documents. Une fois qu’un utilisateur consulte une page, l’événement PageViewed n’est plus journalisé pour le même utilisateur pour la même page pendant les cinq minutes suivantes.
(aucun) PageViewedExtended Cet événement est lié à l’activité « Page affichée » (PageViewed). Un événement PageViewedExtended est consigné lorsque la même personne affiche une page web pendant une période prolongée (jusqu'à 3 heures).

L’objectif de la journalisation des événements PageViewedExtended consiste à réduire le nombre d’événements PageViewed enregistrés lorsqu’une page est affichée de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements PageViewed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement PageViewed initial (plus important).
Affichage signalé par le client ClientViewSignaled Le client d’un utilisateur (comme un site web ou une application mobile) signale que la page indiquée a été consultée par l’utilisateur. Cette activité est souvent journalisée à la suite d’un événement PagePrefetched pour une page.

Remarque: les événements ClientViewSignaled étant signalés par le client, plutôt que le serveur, il est possible que l’événement ne soit pas consigné par le serveur et, par conséquent, qu’il n’apparaisse pas dans le journal d’audit. Il est également possible que les informations dans l’enregistrement d’audit ne soient pas dignes de confiance. Toutefois, comme l’identité de l’utilisateur est validée par le jeton utilisé pour créer le signal, l’identité de l’utilisateur répertoriée dans l’enregistrement d’audit correspondant est exacte. Le système attend cinq minutes avant d'enregistrer le même événement lorsque le client du même utilisateur signale que la page a été consultée à nouveau par l'utilisateur.
(aucun) PagePrefetched Le client d’un utilisateur (comme un site web ou une application mobile) demande la page indiquée afin de vous aider à améliorer les performances lorsque l’utilisateur y accède. Cet événement est enregistré pour indiquer que le contenu de la page a été remis au client de l’utilisateur. Cet événement n’indique pas si l’utilisateur a accédé à la page.

Lorsque le contenu de la page est affiché par le client (conformément à la requête de l’utilisateur), un événement ClientViewSignaled est généré. Tous les clients ne prennent pas en charge l’indication d’une prérécupération. Par conséquent, certaines activités prérécupérées peuvent être enregistrées en tant qu’événements PageViewed.

Forum aux questions sur les événements FileAccessed et FilePreviewed

Des activités non-utilisateur peuvent-elles déclencher des enregistrements d’audit FilePreviewed contenant un agent utilisateur tel que « OneDriveMpc-Transform_Thumbnail » ?

Nous ne sommes pas au courant des scénarios dans lesquels des actions non utilisateur génèrent des événements comme ceux-ci. Les actions de l’utilisateur telles que l’ouverture d’un profil utilisateur carte (en sélectionnant leur nom ou leur adresse e-mail dans un message dans Outlook sur le web) génèrent des événements similaires.

Les appels à OneDriveMpc-Transform_Thumbnail sont-ils toujours déclenchés intentionnellement par l’utilisateur ?

Non. Toutefois, des événements similaires peuvent être enregistrés suite à la prérécupération du navigateur.

Si un événement FilePreviewed provenant d’une adresse IP enregistrée par Microsoft s’affiche, cela signifie-t-il que l’aperçu s’affiche sur l’écran de l’appareil de l’utilisateur ?

Non. L’événement a peut-être été enregistré suite à la prérécupération du navigateur.

Y a-t-il des scénarios dans lesquels un utilisateur consultant un aperçu d’un document génère des événements FileAccessed ?

Les événements FilePreviewed et FileAccessed indiquent que l’appel d’un utilisateur a provoqué une lecture du fichier (ou une lecture d’un rendu miniature de celui-ci). Bien que ces événements soient conçus pour s’aligner sur les intentions d’aperçu ou d’accès, la distinction entre les événements ne constitue pas une garantie de l’intention de l’utilisateur.

Utilisateur app@sharepoint dans les enregistrements d’audit

Dans les enregistrements d’audit relatives à certaines activités de fichier (et d’autres activités liées à SharePoint), vous pouvez remarquer que l’utilisateur ayant effectué l’activité (identifié dans les champs Utilisateur et UserId) est app@sharepoint. Cela indique que l' « Utilisateur » ayant effectué l’activité était une application. Dans ce cas, l’application a obtenu des autorisations dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Ce processus d’octroi d’autorisations à une application est appelé accès par Application SharePoint uniquement. Cela signifie que l’authentification présentée à SharePoint pour effectuer une action a été faite par une application au lieu d’un utilisateur. C’est la raison pour laquelle l’utilisateur app@sharepoint est trouvé dans certains enregistrements d’audit. Pour obtenir plus d'informations, consultez Accorder l’accès en utilisant l'application SharePoint uniquement.

Par exemple, app@sharepoint est souvent considéré comme l’utilisateur des événements « Requête de recherche effectuée » et « Fichier consulté ». La raison est qu’une application de votre organisation avec accès Application SharePoint uniquement effectue des requêtes de recherche et accède à des fichiers lors de l’application de stratégies de rétention à des comptes OneDrive ainsi qu'à des sites.

Voici d'autres scénarios dans lesquels app@sharepoint peut être identifié, dans un enregistrement d'audit, en tant qu'utilisateur ayant effectué une activité :

  • Groupes Microsoft 365. Lorsqu’un utilisateur ou un administrateur crée un nouveau groupe, des enregistrements d’audit sont générés pour établir une collection de sites, mettre à jour des listes et ajouter des membres à un groupe SharePoint. Ces tâches exécutent une application pour le compte de l’utilisateur qui a créé le groupe.
  • Microsoft Teams. Comme pour les groupes Microsoft 365, des enregistrements d’audit sont générés pour créer une collection de sites, mettre à jour des listes et ajouter des membres à un groupe SharePoint lorsqu’une équipe est créée.
  • Fonctionnalités de conformité. Lorsqu’un administrateur implémente des fonctionnalités de conformité, telles que des stratégies de rétention, des conservations eDiscovery et l’application automatique des étiquettes de confidentialité.

Dans ces scénarios ainsi que d’autres, vous remarquerez également que plusieurs enregistrements d’audit avec app@sharepoint comme utilisateur spécifié ont été créés dans un bref laps de temps, souvent à quelques secondes les uns des autres. Cela indique également qu’ils ont probablement été déclenchés par un tâche initiée par le même utilisateur. En outre, les champs ApplicationDisplayName et EventData de l’enregistrement d’audit peuvent vous aider à identifier le scénario ou l'application ayant déclenché l'événement.

Activités des dossiers

Le tableau suivant décrit les activités des fichiers dans SharePoint Online et OneDrive Entreprise. Comme expliqué précédemment, les enregistrements d’audit de certaines activités SharePoint indiquent le app@sharepoint’utilisateur a effectué l’activité de la part de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.

Nom facile à retenir Opération Description
Dossier copié FolderCopied Un utilisateur copie un dossier à partir d’un site vers un autre emplacement dans SharePoint ou OneDrive Entreprise.
Dossier créé FolderCreated Un utilisateur crée un dossier sur un site.
Dossier supprimé FolderDeleted Un utilisateur supprime un dossier d’un site.
Dossier supprimé de la Corbeille FolderDeletedFirstStageRecycleBin Un utilisateur supprime un dossier de la Corbeille sur un site.
Dossier supprimé de la Corbeille second niveau FolderDeletedSecondStageRecycleBin Un utilisateur supprime un dossier de la Corbeille second niveau sur un site.
Dossier modifié FolderModified Un utilisateur modifie un dossier sur un site. Cela inclut la modification des métadonnées du dossier (par exemple, modification des balises et propriétés).
Dossier déplacé FolderMoved Un utilisateur déplace un dossier vers un autre emplacement sur un site.
Dossier renommé FolderRenamed Un utilisateur renomme un dossier sur un site.
Dossier restauré FolderRestored Un utilisateur restaure un dossier supprimé de la Corbeille sur un site.

Activités des obstacles aux informations

Le tableau suivant répertorie les activités du cloisonnement de l’information qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les obstacles à l’information, consultez sur les obstacles aux informations dans Microsoft 365.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nom facile à retenir Opération Description
Modification du paramètre AppBypassInformationBarrier pour le locataire AppBypassInformationBarrier Un administrateur SharePoint ou général a modifié l’accès aux applications pour les sites SharePoint.
Mode de barrière des informations appliqué au site SiteIBModeSet Un administrateur SharePoint ou général a appliqué un mode au site.
Segments appliqués au site SiteIBSegmentsSet Un administrateur général ou un propriétaire de site SharePoint a ajouté un ou plusieurs segments d’information qui empêchent l’accès à un site.
Modification du mode de barrière des informations du site SiteIBModeChanged Un administrateur SharePoint ou général a mis à jour le mode du site.
Segments de site modifiés SiteIBSegmentsChanged Un administrateur SharePoint ou un administrateur général a modifié un ou plusieurs segments de obstacles aux informations pour un site.
Obstacles aux informations désactivés pour SharePoint et OneDrive SPOIBIsDisabled Un administrateur SharePoint ou général a désactivé les obstacles à l’information pour SharePoint et OneDrive dans le organization.
Activation des obstacles à l’information pour SharePoint et OneDrive SPOIBIsEnabled Un administrateur SharePoint ou général a désactivé les obstacles à l’information pour SharePoint et OneDrive dans le organization.
Rapport d’insights sur les obstacles à l’information terminé InformationBarriersInsightsReportCompleted Le système termine la génération du rapport d’insights sur les obstacles à l’information.
Informations sur les obstacles à la section OneDrive interrogée InformationBarriersInsightsReportOneDriveSectionQueried Un administrateur interroge le rapport d’insights sur les obstacles aux informations pour les comptes OneDrive.
Rapport d’insights sur les obstacles à l’information planifié InformationBarriersInsightsReportSchedule Un administrateur planifie le rapport d’insights sur les obstacles à l’information.
Informations sur les obstacles à la section SharePoint interrogée InformationBarriersInsightsReportSharePointSectionQueried Un administrateur interroge le rapport d’insights sur les obstacles aux informations pour les sites Sharepoint.
Segment supprimé du site SiteIBSegmentsRemoved Un administrateur SharePoint ou un administrateur général a supprimé un ou plusieurs segments de obstacles aux informations d’un site.

Microsoft Defender pour point de terminaison activités de paramètres généraux

Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres généraux qui sont enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les paramètres Microsoft Defender pour point de terminaison, consultez Configurer les paramètres généraux de Defender pour point de terminaison.

Pour afficher Microsoft Defender pour point de terminaison activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Package de désintéglage téléchargé DownloadOffboardingPkg Téléchargement du package utilisé pour supprimer des appareils de Defender pour point de terminaison.
Package d’intégration téléchargé DownloadOnboardingPkg Vous avez téléchargé le package utilisé pour intégrer des appareils à Defender pour point de terminaison.
Conservation des données modifiée ChangeDataRetention Modification des paramètres de rétention des données pour Defender pour point de terminaison.
Définir des fonctionnalités avancées SetAdvancedFeatures Modification des fonctionnalités avancées dans Defender pour point de terminaison, permettant des contrôles plus précis lors d’un incident. Seuls les paramètres des fonctionnalités avancées généralement disponibles sont enregistrés dans le journal d’audit Microsoft 365.

Microsoft Defender pour point de terminaison activités des paramètres d’indicateur

Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres d’indicateur qui sont enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les indicateurs Microsoft Defender pour point de terminaison, consultez Gérer les indicateurs.

Pour afficher Microsoft Defender pour point de terminaison activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Indicateur ajouté AddIndicator Création d’un nouvel indicateur de compromission que vous pouvez utiliser pour suivre les attaques et les événements.
Indicateur modifié EditIndicator Modification d’un indicateur de compromission.
Indicateur supprimé DeleteIndicator Suppression d’un indicateur de compromission.

Microsoft Defender pour point de terminaison activités des actions de réponse

Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison actions de réponse, y compris la réponse en direct, qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft Defender pour point de terminaison actions de réponse, consultez Effectuer des actions de réponse sur un appareil.

Pour afficher Microsoft Defender pour point de terminaison activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Package d’investigation collecté CollectInvestigationPackage Informations collectées sur un appareil utilisé pour comprendre les outils et techniques d’attaque.
Analyse antivirus exécutée RunAntiVirusScan Exécution Microsoft Defender analyse antivirus sur un appareil.
Exécution d’application restreinte RestrictAppExecution Empêcher l’exécution d’une application malveillante.
Suppression des restrictions d’application RemoveAppRestrictions Autoriser l’exécution d’une application.
Appareil isolé IsolateDevice Isolé un appareil du réseau, ce qui permet d’empêcher les attaques de se propager.
Libéré de l’isolement ReleaseFromIsolation Ajout d’un appareil isolé sur le réseau.
Fichier arrêté et mis en quarantaine StopAndQuarantineFile Mise en quarantaine d’un fichier suspect pour une analyse plus approfondie.
Fichier téléchargé DownloadFile Téléchargement d’un fichier suspect pour une investigation plus approfondie.
Appareil désintégré DeviceOffBoarding Suppression d’un appareil de Defender pour point de terminaison.
API de réponse en direct exécutée RunLiveResponseApi Ouverture d’une session de réponse en direct via un appel d’API, ouvrant un interpréteur de commandes distant dans un appareil.
Journaux collectés LogsCollection Informations de journal collectées sur Defender pour point de terminaison.
Exécution du lien obtenir le fichier de réponse en direct LiveResponseGetFile Ouverture d’une session de réponse en direct, ouvrant un interpréteur de commandes distant dans un appareil.
Session de réponse en direct exécutée RunLiveResponseSession Exécution d’une session de réponse en direct, ouvrant un interpréteur de commandes distant sur un appareil.

Microsoft Defender pour point de terminaison les activités des paramètres des rôles

Le tableau suivant répertorie les activités pour Microsoft Defender pour point de terminaison paramètres de rôle qui sont enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les rôles dans Microsoft Defender pour point de terminaison, consultez Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle.

Pour afficher Microsoft Defender pour point de terminaison activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
AddRole Rôle ajouté Ajout d’un nouveau rôle de sécurité et d’autorisations.
EditRole Rôle modifié Rôles de sécurité et autorisations modifiés.
DeleteRole Rôle supprimé Rôles de sécurité et autorisations supprimés.

Microsoft Defender pour les activités d’experts

Le tableau suivant répertorie les activités dans Microsoft Defender Experts qui sont connectées au journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft Defender Experts, consultez En savoir plus sur Microsoft Defender Experts pour XDR et En savoir plus sur les Experts Microsoft Defender pour la détection

Nom facile à retenir Opération Description
Autorisation d’analyste Defender Experts créée DefenderExpertsAnalystPermissionCreated Un administrateur a accordé une ou plusieurs autorisations de rôle aux analystes Defender Experts pour examiner les incidents ou corriger les menaces.
Autorisation d’analyste Defender Experts modifiée DefenderExpertsAnalystPermissionModified Un administrateur a modifié les autorisations de rôle pour permettre aux analystes Defender Experts d’examiner les incidents ou de corriger les menaces.

activités Microsoft Defender pour Identity

Le tableau suivant répertorie les activités des Microsoft Defender pour Identity qui sont enregistrées dans le journal d’audit Microsoft 365.

Pour afficher Microsoft Defender pour Identity activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Balises d’entité mises à jour TaggingConfigurationUpdated Une balise a été ajoutée ou supprimée d’une entité.
Ajout de la configuration des exclusions ExclusionConfigurationAdded Une exclusion globale a été ajoutée pour une alerte ou pour une entité.
Mise à jour de la configuration des exclusions ExclusionConfigurationUpdated Une exclusion globale a été mise à jour pour une alerte ou pour une entité.
Configuration des exclusions supprimées ExclusionConfigurationDeleted Une exclusion globale a été supprimée pour une alerte ou pour une entité.
Mise à jour de la configuration du seuil d’alerte WorkspaceAlertThresholdLevelUpdated La configuration des seuils d’alertes a été mise à jour.
Alerte de sécurité téléchargée Excel AlertExcelDownloaded Le fichier Excel détaillé d’une alerte a été téléchargé.
Ajout d’une action de correction RemediationActionAdded Une action de correction a été ajoutée à la file d’attente.
Action de correction mise à jour RemediationActionUpdated Une action de correction a été effectuée.
Mise à jour de la configuration du capteur SensorConfigurationUpdated La configuration d’un capteur a été mise à jour.
Ajout d’un capteur SensorCreated Un nouveau capteur a été ajouté.
Capteur supprimé SensorDeleted Un capteur a été supprimé.
Clé de déploiement du capteur récupérée SensorDeploymentAccessKeyReceived La clé d’accès des capteurs a été récupérée.
Clé de déploiement du capteur régénéré SensorDeploymentAccessKeyUpdated La clé d’accès des capteurs a été régénérée.
Couverture du contrôleur de domaine téléchargée dans Excel DomainControllerCoverageExcelDownloaded Le fichier Excel de couverture du contrôleur de domaine a été téléchargé.
Mise à jour de la configuration du compte des services d’annuaire DirectoryServicesAccountConfigurationUpdated Le jeu de comptes de services d’annuaire a été modifié.
Mise à jour de la configuration de l’action de correction RemediationActionConfigurationUpdated Le jeu de comptes d’action Gérer a été modifié.
Mise à jour de la configuration de la correction d’entité EntityRemediatorConfigurationUpdated Le mode Gérer les comptes d’action a été modifié.
Problème d’intégrité mis à jour MonitoringAlertUpdated Un problème d’intégrité a été modifié.
Fichier téléchargé ReportDownloaded Un rapport a été téléchargé.
Mise à jour de la configuration du reporter ReporterConfigurationUpdated La planification d’un rapport a été modifiée.
Mise à jour de la configuration du transfert syslog SyslogServiceConfigurationUpdated La configuration du transfert syslog a été modifiée.
Mise à jour de la configuration des notifications de sécurité NotificationConfigurationUpdated La configuration des notifications d’alertes de sécurité ou de problèmes d’intégrité a été modifiée.
Ajout d’un destinataire de notification d’alerte AlertNotificationsRecipientAdded Un destinataire a été ajouté à la configuration des notifications d’alertes de sécurité.
Destinataire de la notification d’alerte supprimée AlertNotificationsRecipientDeleted Un destinataire a été supprimé de la configuration des notifications d’alertes de sécurité.
Ajout d’un destinataire de notification de problèmes d’intégrité MonitoringAlertNotificationRecipientAdded Un destinataire a été ajouté à la configuration de notification des problèmes d’intégrité.
Destinataire de la notification des problèmes d’intégrité supprimés MonitoringAlertNotificationRecipientDeleted Un destinataire a été supprimé de la configuration de notification des problèmes de heath.
Configuration VPN mise à jour VpnConfigurationUpdated La configuration du VPN (radius accounting) a été modifiée.
Mise à jour de la configuration RBAC unifiée URbacAuthorizationStatusChanged La configuration de l’Access Control basée sur le rôle unifié a été modifiée.
Espace de travail créé Espace de travailcréé L’espace de travail a été créé.
Espace de travail supprimé Espace de travail supprimé L’espace de travail a été supprimé.

Microsoft Defender XDR activités de détection personnalisées

Le tableau suivant répertorie les activités de détection personnalisées pour les Microsoft Defender XDR qui sont enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft Defender XDR détections personnalisées, consultez Créer et gérer des règles de détection personnalisées.

Pour afficher Microsoft Defender XDR activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Création d’une règle de détection personnalisée CreateCustomDetection Une règle de détection personnalisée a été créée.
Règle de détection personnalisée modifiée EditCustomDetection Une règle de détection personnalisée a été modifiée.
Modification de la règle de détection personnalisée status ChangeCustomDetectionRuleStatus Une règle de détection personnalisée a été désactivée ou activée.
Règle de détection personnalisée exécutée RunCustomDetection Une règle de détection personnalisée a été exécutée manuellement.
Règle de détection personnalisée supprimée DeleteCustomDetection Une règle de détection personnalisée a été supprimée.

Microsoft Defender XDR activités d’incident

Le tableau suivant répertorie les activités d’incident pour les Microsoft Defender XDR qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les incidents dans Microsoft Defender XDR, consultez Vue d’ensemble des incidents.

Pour afficher Microsoft Defender XDR activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Ajout d’un commentaire à l’incident AddCommentToIncident. Ajout d’un commentaire à l’incident.
Utilisateur affecté à l’incident AssignUserToIncident Utilisateur affecté à l’incident.
Utilisateur non affecté à l’incident UnAssignUserFromIncident Utilisateur non affecté à l’incident.
Status des incidents mis à jour UpdateIncidentStatus Mise à jour des status d’incidents.
Modifier la classification des incidents EditIncidentClassification Modifier la classification des incidents.
Ajout d’étiquettes à l’incident AddTagsToIncident Ajout d’étiquettes à l’incident.
Suppression des balises de l’incident RemoveTagsFromIncident Suppression des balises de l’incident.

activités de règle de suppression Microsoft Defender XDR

Le tableau suivant répertorie les activités pour les règles de suppression pour les Microsoft Defender XDR qui sont enregistrés dans le journal d’audit Microsoft 365. Pour plus d’informations sur les règles de suppression dans Microsoft Defender XDR, consultez Gérer les règles de suppression.

Pour afficher Microsoft Defender XDR activités, le journal d’audit unifié doit être activé dans le portail Microsoft Defender XDR. Pour plus d’informations, consultez Activer le journal d’audit unifié.

Nom facile à retenir Opération Description
Règle de suppression créée CreateSuppressionRule Création d’une règle de suppression d’alerte.
Règle de suppression modifiée EditSuppressionRule Règle de suppression d’alerte supprimée.
Règle de suppression activée EnableSuppressionRule Règle de suppression d’alerte activée.
Règle de suppression désactivée DisableSuppressionRule Règle de suppression d’alerte désactivée.
Règle de suppression supprimée DeleteSuppressionRule Règle de suppression d’alerte supprimée.

Microsoft Entra activités d’administration de groupe

Le tableau suivant répertorie les activités d’administration des groupes enregistrées lorsqu’un administrateur ou un utilisateur crée ou modifie un groupe Microsoft 365 ou lorsqu’un administrateur crée ou un groupe de sécurité à l’aide du Centre d’administration Microsoft 365 ou du portail de gestion Azure. Pour plus d’informations sur les groupes Microsoft 365, voir Afficher, créer et supprimer des groupes dans le Centre d'administration Microsoft 365.

Remarque

Les noms d’opération répertoriés dans la colonne Opération de ce tableau contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.

Nom facile à retenir Opération Description
Groupe ajouté Ajouter un groupe. Un groupe a été créé.
Membre ajouté au groupe Ajouter un membre à un groupe. Un membre a été ajouté à un groupe.
Groupe supprimé Supprimer un groupe. Un groupe a été supprimé.
Membre supprimé du groupe Supprimer un membre d’un groupe. Un membre a été supprimé d’un groupe.
Groupe mis à jour Mettre à jour un groupe. Une propriété d’un groupe a été modifiée.

Activités Microsoft Fabric

Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Power BI. Pour plus d’informations sur les paramètres d’audit, consultez Paramètres de locataire d’audit et d’utilisation.

La journalisation d’audit est activée par défaut pour les organisations Microsoft 365. Si l’audit n’est pas activé pour votre organization, une bannière s’affiche et vous invite à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur. Pour obtenir des instructions, consultez Activer l’audit.

Activités Microsoft Forms

Les tableaux de cette section présentent les activités des utilisateurs et des administrateurs de Microsoft Forms qui sont enregistrées dans le journal d'audit. Microsoft Forms est un outil de formulaire/questionnaire/enquête utilisé pour collecter des données pour analyse. Dans les descriptions ci-dessous, certaines opérations contiennent d’autres paramètres d’activité.

Si une activité Forms est effectuée par un co-auteur ou un répondeur anonyme, elle est journalisée légèrement différemment. Pour plus d’informations, voir la section Activités Forms réalisées par des co-auteurs ou des répondants anonymes.

Nom facile à retenir Opération Description
Commentaire créé CreateComment Le propriétaire du formulaire ajoute un commentaire ou une note à un questionnaire.
Formulaire créé CreateForm Le propriétaire du formulaire crée un nouveau formulaire.

La propriété DataMode:string indique que le formulaire actuel est défini pour synchroniser avec un classeur Excel existant ou nouveau si la valeur de propriété est égal à DataSync. La propriété ExcelWorkbookLink:string indique l’ID du classeur Excel associé du formulaire actuel.
Formulaire modifié EditForm Le propriétaire du formulaire modifie un formulaire tel que la création, la suppression ou la modification d’une question. La propriété EditOperation:string indique le nom de l’opération de modification. Voici les opérations possibles :
– CreateQuestion
– CreateQuestionChoice
– DeleteQuestion
– DeleteQuestionChoice
– DeleteFormImage
– DeleteQuestionImage
– UpdateQuestion
– UpdateQuestionChoice
– UploadFormImage/Bing/Onedrive
– UploadQuestionImage
– ChangeTheme

FormImage inclut tout emplacement au sein duquel l’utilisateur peut charger une image, par exemple dans une requête ou en tant que thème d’arrière-plan.
Formulaire déplacé MoveForm Le propriétaire du formulaire déplace un formulaire.

La propriété DestinationUserId:string indique l'ID d'utilisateur de la personne qui a déplacé le formulaire. La propriété NewFormId:String est le nouvel ID du formulaire nouvellement copié. La propriété IsDelegateAccess:boolean indique que l’action de déplacement du formulaire actuel est effectuée via la page de délégué administrateur.
Formulaire supprimé DeleteForm Un propriétaire d’un formulaire supprime une équipe. Cela inclut SoftDelete (option de suppression utilisée et formulaire déplacé vers la corbeille) et HardDelete (corbeille vidée).
Formulaire consulté (moment de la création) ViewForm Le propriétaire du formulaire ouvre un formulaire existant pour modification.

La propriété AccessDenied:boolean indique que l’accès du formulaire actuel est refusé en raison de la vérification d’autorisation. La propriété FromSummaryLink:boolean indique que la demande actuelle provient de la page de lien du résumé.
Formulaire prévisualisé PreviewForm Propriétaire du formulaire affiche un aperçu d’un formulaire à l’aide de la fonction d’aperçu.
Données exportées ExportForm Le propriétaire du formulaire exporte les résultats vers Excel.

La propriété ExportFormat:string indique si le fichier Excel est téléchargé ou en ligne.
Formulaire de partage autorisé pour la copie AllowShareFormForCopy Le propriétaire du formulaire crée un lien modèle pour partager le formulaire avec d'autres utilisateurs. Cet événement est enregistré lorsque le propriétaire du formulaire sélectionne pour générer l’URL du modèle.
Formulaire de partage non autorisé pour copie DisallowShareFormForCopy Le propriétaire du formulaire supprime le lien modèle.
Co-auteur du formulaire ajouté AddFormCoauthor Un utilisateur utilise un lien de collaboration pour vous aider à concevoir et afficher les réponses. Cet événement est consigné lorsqu’un utilisateur utilise une URL espace collaboration (pas lorsque espace collaboration URL est générée pour la première fois).
Co-auteur du formulaire supprimé RemoveFormCoauthor Le propriétaire du formulaire supprime un lien de collaboration.
Page de réponse consultée ViewRuntimeForm Un utilisateur a ouvert une page de réponse à afficher. Cet événement est consigné, que l’utilisateur envoie ou non une réponse.
Réponse créée CreateResponse Similaire à la réception d'une nouvelle réponse. Un utilisateur a soumis une réponse à un formulaire.

La propriété ResponseId:string et la propriété ResponderId:string indiquent quel résultat est affiché.

Pour un répondeur anonyme, la propriété ResponderId a la valeur null.
Réponse mise à jour UpdateResponse Le propriétaire du formulaire a mis à jour un commentaire ou une note sur un questionnaire.

La propriété ResponseId:string et la propriété ResponderId:string indiquent quel résultat est affiché.

Pour un répondeur anonyme, la propriété ResponderId a la valeur null.
Toutes les réponses supprimées DeleteAllResponses Le propriétaire du formulaire supprime toutes les données de réponse.
Réponse supprimée DeleteResponse Un propriétaire d’un formulaire supprime une réponse.

La propriété ResponseId:string indique la réponse en cours de suppression.
Réponses consultées ViewResponses Propriétaire du formulaire affiche la liste agrégée des réponses.

La propriété ViewType : String indique si le propriétaire du formulaire affiche les détails ou les agrégats
Réponse consultée ViewResponse Le propriétaire du formulaire affiche une réponse spécifique.

La propriété ResponseId:string et la propriété ResponderId:string indiquent quel résultat est affiché.

Pour un répondeur anonyme, la propriété ResponderId a la valeur null.
Lien de synthèse créé GetSummaryLink Le propriétaire du formulaire crée un lien de résultats de synthèse pour partager les résultats.
Lien de synthèse supprimé DeleteSummaryLink Le propriétaire du formulaire supprime le lien de synthèse des résultats.
Formulaire mis à jour état d’hameçonnage UpdatePhishingStatus Cet événement est enregistré chaque fois que la valeur détaillée de l’état de sécurité interne est modifiée, que cela modifie l’état de sécurité final ou non (par exemple, le formulaire est désormais Fermé ou Ouvert). Cela signifie que vous pouvez rencontrer des événements en double même si l’état de sécurité final n’a pas été modifié. Voici les valeurs d’état possibles pour cet événement :
– Retirer
– Retirer par l’administrateur
– Admin débloqué
– Bloqué automatiquement
– Débloqué automatiquement
– Utilisateur signalé
– Réinitialiser l’utilisateur signalé
État de l’hameçonnage de l’utilisateur mis à jour UpdateUserPhishingStatus Cet événement est enregistré chaque fois que la valeur de l’état de sécurité de l’utilisateur est modifiée. La valeur de l’état de l’utilisateur dans l’enregistrement d’audit est définie sur Confirmé comme hameçonnage lorsque l’utilisateur créé un formulaire d’hameçonnage qui est supprimé par l’équipe de sécurité de Microsoft Online. Si un administrateur débloque l’utilisateur, la valeur de l’état de l’utilisateur est définie sur Réinitialiser en tant qu’utilisateur normal.
Invitation Forms Pro envoyée ProInvitation L’utilisateur sélectionne pour activer une version d’évaluation Pro.
Paramètres de formulaire mis à jour UpdateFormSetting Le propriétaire du formulaire met à jour un ou plusieurs paramètres de formulaire.

La propriété FormSettingName:string indique le nom des paramètres sensibles mis à jour. La propriété NewFormSettings:string indique la nouvelle valeur et le nom des paramètres mis à jour. Propriété thankYouMessageContainsLink:booléen indique que le message de remerciement mis à jour contient un lien URL.
Paramètres d’utilisateur mis à jour UpdateUserSetting Le propriétaire du formulaire met à jour un paramètre d’utilisateur.

La propriété UserSettingName:string indique le nom et la nouvelle valeur du paramètre
Formulaires répertoriés ListForms Le propriétaire du formulaire affiche une liste de formulaires.

La propriété ViewType:string indique l'affichage que le propriétaire du formulaire consulte : Tous les formulaires, Partagés avec moi ou les Formulaires de groupe
Réponse envoyée SubmitResponse Un utilisateur envoie une réponse à un formulaire.

La propriété IsInternalForm:boolean indique si le répondant fait partie de la même organisation que le propriétaire du formulaire.
Paramètre activé : tout le monde peut répondre AllowAnonymousResponse Le propriétaire du formulaire active le paramètre autorisant tout le monde à répondre au formulaire.
Paramètre désactivé : tout le monde peut répondre DisallowAnonymousResponse Le propriétaire du formulaire désactive le paramètre autorisant tout le monde à répondre au formulaire.
Paramètre activé : des personnes spécifiques peuvent répondre au paramètre EnableSpecificResponse Le propriétaire du formulaire active le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à répondre au formulaire.
Paramètre désactivé : des personnes spécifiques peuvent répondre DisableSpecificResponse Le propriétaire du formulaire désactive le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à répondre au formulaire.
Ajout d'un répondeur spécifique AddSpecificResponder Le propriétaire du formulaire ajoute un nouvel utilisateur ou un nouveau groupe à la liste des répondeurs spécifiques.
Suppression du répondeur spécifique RemoveSpecificResponder Le propriétaire du formulaire supprime un utilisateur ou un groupe à la liste des répondeurs spécifiques.
Collaboration désactivée DisableCollaboration Le propriétaire de formulaire désactive le paramètre de collaboration sur le formulaire.
Activation de la collaboration d’un compte professionnel ou scolaire Office 365 EnableWorkOrSchoolCollaboration Le propriétaire du formulaire active le paramètre autorisant les utilisateurs ayant un compte professionnel ou scolaire Microsoft 365 à afficher et modifier le formulaire.
Collaboration activée des personnes de mon organisation EnableSameOrgCollaboration Le propriétaire du formulaire active le paramètre autorisant les utilisateurs de l’organisation actuelle à afficher et modifier le formulaire.
Collaboration activée de personnes spécifiques EnableSpecificCollaboaration Le propriétaire du formulaire active le paramètre autorisant uniquement des personnes ou des groupes spécifiques de l’organisation actuelle à afficher et modifier le formulaire.
Connecté à un classeur Excel ConnectToExcelWorkbook Formulaire connecté à un classeur Excel.

La propriété ExcelWorkbookLink:string indique l’ID du classeur Excel associé du formulaire actuel.
Collection créée CollectionCreated Le propriétaire du formulaire a créé une collection.
Collection mise à jour CollectionUpdated Le propriétaire du formulaire a mis à jour une propriété de collection.
Collection supprimée de la Corbeille CollectionHardDeleted Propriétaire du formulaire a supprimé définitivement une collection de la Corbeille.
Collection déplacée vers la Corbeille CollectionSoftDeleted Le propriétaire du formulaire a déplacé une collection vers la Corbeille.
Collection renommée CollectionRenamed Le propriétaire du formulaire a modifié le nom d’une collection.
Un formulaire a été déplacé dans la collection MovedFormIntoCollection Le propriétaire du formulaire a déplacé un formulaire dans une collection.
Un formulaire a été déplacé hors de la collection MovedFormOutofCollection Le propriétaire du formulaire a déplacé un formulaire d’une collection.

Activités Forms réalisées par des co-auteurs et des répondants anonymes

Forms prend en charge la collaboration pendant la conception des formulaires et l’analyse des réponses. Un collaborateur de formulaire est appelé co-auteur. Les co-auteurs peuvent effectuer les mêmes actions que le propriétaire d’un formulaire, excepté supprimer ou déplacer un formulaire. Forms vous permet également de créer un formulaire dans lequel les répondants restent anonymes. Ce qui signifie qu’un répondant n’a pas besoin d’être connecté à votre organisation pour répondre à un formulaire.

Le tableau suivant décrit les activités d’audit et les informations figurant dans l’enregistrement d’audit pour les activités réalisées par les co-auteurs et les répondants anonymes.

Type d’activité Utilisateur interne ou externe Identifiant de l’utilisateur connecté Organisation connectée à Type d’utilisateur Forms
Activités de co-création Interne UPN Organisation du propriétaire du formulaire Co-auteur
Activités de co-création Externe UPN
Organisation du co-auteur
Co-auteur
Activités de co-création Externe urn:forms:coauthor#a0b1c2d3@forms.office.com
(La deuxième partie de l’identifiant est hachée de façon différente pour chaque utilisateur).
Organisation du propriétaire du formulaire
Co-auteur
Activités de réponse Externe UPN
Organisation du répondant
Répondant
Activités de réponse Externe urn:forms:external#a0b1c2d3@forms.office.com
(La deuxième partie de l’identifiant d’utilisateur est hachée de façon différente pour chaque utilisateur).
Organisation du propriétaire du formulaire Répondant
Activités de réponse Anonyme urn:forms:anonymous#a0b1c2d3@forms.office.com
(La deuxième partie de l’identifiant d’utilisateur est hachée de façon différente pour chaque utilisateur).
Organisation du propriétaire du formulaire Répondant

Microsoft Graph Data Connect

Le tableau suivant répertorie les activités utilisateur et administrateur dans Microsoft Graph Data Connect qui sont enregistrées pour l’audit. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.

Nom facile à retenir Opération Description
Approbation ou refus d’une application ConsentModificationRequest Un utilisateur a effectué une demande de modification de consentement.
Extraction exécutée DataAccessRequestOperation Un utilisateur a effectué une extraction. Les jeux de données partenaires et les exécutions d’éditeurs de logiciels indépendants sont exclus.

activités Planificateur Microsoft

Le tableau suivant répertorie les activités de l’utilisateur et de l’administrateur dans Planificateur Microsoft qui sont enregistrées pour l’audit. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.

Remarque

L’activité de portefeuille dans Planificateur est journalisée avec l’activité de feuille de route web de Microsoft Project. Pour plus d’informations, consultez la section Activités microsoft Project pour le web.

Nom facile à retenir Opération Description
Lire un plan PlanRead Un plan est lu par un utilisateur ou une application. Si l’opération de lecture est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ContainerType indique ContainerType.Invalid et ContainerId indique null.
Création d’un plan PlanCréated Un plan est créé par un utilisateur ou une application. Si l’opération de création est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indique null, ContainerType indique ContainerType.Invalid et ContainerId indique null.
Modification d’un plan PlanModified Un plan est modifié par un utilisateur ou une application.
Suppression d’un plan PlanDeleted Un plan est supprimé par un utilisateur ou une application.
Copie d’un plan PlanCopied Un plan est copié par un utilisateur ou une application. Si l’opération de copie est un ResultStatus.Failure ou ResultStatus.Failure, newPlanId indique null, newContainerType indique ContainerType.Invalid et newContainerId indique null.
Lire une tâche TaskRead Une tâche est lue par un utilisateur ou une application. Si l’opération de lecture est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanId indique null.
Création d’une tâche TaskCreated Une tâche est créée par un utilisateur ou une application. Si l’opération de création est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indique null et PlanId indique null.
Modification d’une tâche TaskModified Une tâche est modifiée par un utilisateur ou une application.
Suppression d’une tâche TaskDeleted Une tâche est supprimée par un utilisateur ou une application.
Affectation d’une tâche TaskAssigned Le destinataire d’une tâche est modifié par un utilisateur ou une application. Il peut s’agir d’une tâche non affectée affectée ou d’une tâche affectée à un nouveau destinataire.
Fin d’une tâche TaskCompleted Une tâche est marquée comme terminée par un utilisateur ou une application.
Création d’une liste Listecréée Une liste est créée par un utilisateur ou une application. Si l’opération de création est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indique null, MemberIds indique une chaîne vide.
Suppression d’une liste RosterDeleted Une liste est supprimée par un utilisateur ou une application.
Ajout d’un ou plusieurs membres à une liste RosterMemberAdded Un ou plusieurs membres sont ajoutés à une liste. Si l’opération d’ajout est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indique la liste des ID de membre tentés.
Suppression d’un ou de plusieurs membres dans une liste RosterMemberDeleted Un ou plusieurs membres sont supprimés d’une liste. Si l’opération de suppression est un ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indique la liste des ID de membre tentés.
Lire la liste des plans PlanListRead Une liste de plans est interrogée par un utilisateur ou une application. Si l’opération de requête est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanList indique une chaîne vide.
Lire la liste des tâches TaskListRead Une liste de tâches est interrogée par un utilisateur ou une application. Si l’opération de requête est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, TaskList indique une chaîne vide.
Paramètres de locataire mis à jour TenantSettingsUpdated Les paramètres de locataire sont mis à jour par un administrateur de locataire. Si l’opération de mise à jour est ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indique les paramètres d’origine et TenantSettings indique les paramètres de locataire tentés.
Mise à jour de l’étiquette de confidentialité d’une liste RosterSensitivityLabelUpdated Un utilisateur ou une application met à jour l’étiquette de confidentialité d’une liste.

Activités Microsoft Power Apps

Vous pouvez effectuer une recherche dans le journal d’audit pour consulter les activités liées aux applications dans Power Apps. Ces activités incluent la création, le lancement et la publication d’une application. L’attribution d’autorisations à des applications est également auditée. Pour obtenir une description de toutes les activités Power Apps, voir Journalisation des activités pour Power Apps.

Remarque

Les événements d’audit des stratégies d’alerte (alerte de protection) (RecordType :45) ne sont actuellement pas pris en charge pour PowerApps.

Activités Microsoft Power Automate

Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Power Automate (précédemment appelé Microsoft Flow). Ces activités incluent la création, la modification et la suppression de flux, et la modification des autorisations de flux. Pour plus d’informations sur l’audit des activités Power Automate, consultez le blog Événements d’audit Power Automate désormais disponibles dans le portail de conformité.

Activités microsoft Project pour le web

Vous pouvez rechercher dans le journal d’audit des activités dans Microsoft Project pour le web. Microsoft Project pour le web est basé sur Microsoft Dataverse et a un Project Power App associé. Pour activer l’audit pour les scénarios où l’utilisateur utilise Microsoft Dataverse ou Project Power App, consultez les instructions de l’onglet Audit des paramètres système . Pour obtenir la liste des entités liées à Project pour le web, consultez les instructions Exporter des données utilisateur à partir de Project pour le web.

Pour plus d’informations sur Microsoft Project pour le web, consultez Microsoft Project pour le web.

Remarque

L’audit des événements pour les activités microsoft Project pour le web nécessite une licence Project (plan 1) payante (ou supérieure).

Nom facile à retenir Opération Description
Projet créé ProjectCreated Un projet est créé par un utilisateur ou une application.
Feuille de route créée Feuille de routeCréée Une feuille de route ou un portefeuille est créé par un utilisateur ou une application.
Élément de feuille de route créé RoadmapItemCreated Un élément de feuille de route ou de portefeuille est créé par un utilisateur ou une application.
Tâche créée TaskCreated Une tâche est créée par un utilisateur ou une application.
Projet supprimé ProjectDeleted Un projet est supprimé par un utilisateur ou une application.
Feuille de route supprimée Feuille de route Supprimée Une feuille de route ou un portefeuille est supprimé par un utilisateur ou une application.
Élément de feuille de route supprimé RoadmapItemDeleted Un élément de feuille de route ou de portefeuille est supprimé par un utilisateur ou une application.
Tâche supprimée TaskDeleted Une tâche est supprimée par un utilisateur ou une application.
Projet consulté ProjectAccessed Un projet est lu ou app.
Accueil du projet accessible ProjectListAccessed Une liste de projets et/ou de feuilles de route est interrogée par un utilisateur.
Feuille de route consultée Feuille de routeAccessed Une feuille de route ou un portefeuille est lu par un utilisateur ou une application.
Élément de feuille de route consulté RoadmapItemAccessed Un élément de feuille de route ou de portefeuille est lu par un utilisateur ou une application.
Tâche consultée TaskAccessed Une tâche est lue par un utilisateur ou une application.
Paramètres du projet mis à jour ProjectForTheWebProjectSettings Les paramètres du projet sont mis à jour par un administrateur.
Feuille de route mise à jour Feuille de routeMise à jour Une feuille de route ou un portefeuille est modifié par un utilisateur ou une application.
Élément de feuille de route mis à jour RoadmapItemUpdated Un élément de feuille de route ou de portefeuille est modifié par un utilisateur ou une application.
Paramètres de la feuille de route mis à jour ProjectForTheWebRoadmaptSettings Les paramètres de feuille de route ou de portefeuille sont mis à jour par un administrateur.
Tâche mise à jour TaskUpdated Une tâche est modifiée par un utilisateur ou une application.
Projet mis à jour ProjectUpdated Un projet est modifié par un utilisateur ou une application.

activités de solution Microsoft Purview Audit

Le tableau suivant répertorie les activités associées aux solutions d’audit dans le portail Microsoft Purview, le portail de conformité Microsoft Purview et le API Graph Recherche d’audit. Ces activités sont auditées sous la charge de travail SecurityComplianceCenter . Pour plus d’informations, consultez Rechercher dans le journal d’audit.

Les activités de recherche et d’exportation d’audit effectuées à l’aide de Search-UnifiedAuditLog ne sont pas auditées.

Nom facile à retenir Opération Description
Auditer la recherche créée AuditSearchCreated Une nouvelle demande de recherche d’audit est envoyée.
Auditer la recherche terminée AuditSearchCompleted Un travail de recherche d’audit est terminé.
Auditer la recherche annulée AuditSearchCancelled Un travail de recherche d’audit est annulé.
Auditer la recherche supprimée AuditSearchDeleted Un travail de recherche d’audit est supprimé.
Auditer la tâche d’exportation de recherche créée AuditSearchExportJobCreated Un travail d’exportation est créé pour exporter les résultats de recherche d’une requête de recherche d’audit.
Auditer la tâche d’exportation de recherche terminée AuditSearchExportJobCompleted Le travail d’exportation pour exporter les résultats de recherche d’une requête de recherche d’audit est terminé.
Auditer les résultats de l’exportation de recherche téléchargés AuditSearchExportResultsDownloaded Les résultats de la recherche d’une requête de recherche d’audit ont été téléchargés.

Activités de gouvernance Microsoft Purview

Le tableau suivant répertorie les activités de gouvernance Microsoft Purview qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations, consultez Solutions de gouvernance Microsoft Purview.

Nom facile à retenir Opération Description
Ressource ou entité créée EntityCreated Une nouvelle ressource ou entité est créée ou ajoutée à une ressource existante.
Classification ajoutée ClassificationAdded Ajouter des classifications à l’entité de ressource.
Définition de classification créée ClassificationDefinitionCreated Créez un type de classification.
Définition de classification supprimée ClassificationDefinitionDeleted Supprimer un type de classification.
Définition de classification mise à jour ClassificationDefinitionUpdated Mettre à jour un type de classification.
Classification supprimée ClassificationDeleted Supprimez les classifications de l’entité de ressource.
Classification mise à jour ClassificationMise à jour Mettre à jour les classifications sur l’entité de ressource.
Entité supprimée EntityDeleted Une ressource ou une entité est supprimée d’une ressource existante.
Entité mise à jour EntityUpdated Inclut : mise à jour d’attribut, mise à jour des attributs métier, informations de collecte (incluent uniquement l’ID de collection), mise à jour des contacts, customAttributes, hierarchy, homeId, étiquettes, sourceDetails
Terme de glossaire affecté GlossaireTermAssigned Affectez des termes à l’entité de ressource.
Terme de glossaire créé GlossaireTermCreated Créez un terme.
Terme de glossaire supprimé GlossaireTermDeleted Supprimer un terme.
Terme de glossaire dissocié GlossaireTermDisassociated Dissociez les termes de l’entité de ressource.
Terme de glossaire mis à jour GlossaireTermUpdated Mettre à jour un terme.
Étiquette de confidentialité modifiée SensitivityLabelChanged L’étiquette de confidentialité est ajoutée/mise à jour/supprimée.

Activités de Microsoft Stream

Vous pouvez effectuer une recherche dans le journal d’audit des activités dans Microsoft Stream. Ces activités incluent les activités de vidéo effectuées par les utilisateurs, les activités de canal de groupe et les activités d’administrateur telles que la gestion des utilisateurs, la gestion des paramètres d’organisation et l’exportation de rapports. Pour obtenir une description de ces activités, voir «Actions enregistrées dans Stream» dans Journaux d’audit dans Microsoft Stream.

Activités dans Microsoft Teams

Le tableau suivant répertorie les activités Microsoft Teams qui sont enregistrées dans le journal d’audit Microsoft 365. Vous pouvez effectuer une recherche dans le journal d’audit des activités des utilisateurs et des administrateurs dans Microsoft Teams. Teams est un espace de travail centré sur la conversation dans Microsoft 365. Il rassemble les conversations, réunions, fichiers et notes d’une équipe dans un emplacement unique. Pour obtenir des instructions de recherche plus détaillées, consultez Rechercher des événements dans le journal d’audit dans Microsoft Teams.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nom convivial Opération Description
Robot ajouté à une équipe BotAddedToTeam Un utilisateur ajoute un robot à une équipe.
Canal ajouté ChannelAdded Un utilisateur ajoute un canal à une équipe.
Connecteur ajouté ConnectorAdded Un utilisateur ajoute un connecteur à un canal.
Ajout de détails sur la réunion Teams 9 MeetingDetail Teams a ajouté des informations sur une réunion, notamment l’heure de début, l’heure de fin et l’URL pour rejoindre la réunion.
Ajout d’informations sur les participants à la réunion 9 MeetingParticipantDetail Teams a ajouté des informations sur les participants d’une réunion, y compris l’ID utilisateur de chaque participant, l’heure à laquelle un participant a rejoint la réunion et l’heure à laquelle un participant a quitté la réunion.
Membres ajoutés 6, 8 MemberAdded Un propriétaire d'une équipe ajoute des membres à une équipe, un canal ou une conversation de groupe.
Onglet ajouté TabAdded Un utilisateur ajoute un onglet à un canal.
Étiquette de confidentialité appliquée SensitivityLabelApplied Un utilisateur ou un organisateur de réunion a appliqué une étiquette de confidentialité à une réunion Teams.
Paramètre de canal modifié ChannelSettingChanged L’opération ChannelSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Modifie le nom d’un canal d’équipe (nom du canal)
  • Modification de la description d’un canal d’équipe (description du canal)
Paramètre d’organisation modifié TeamsTenantSettingChanged L’opération TeamsTenantSettingChanged est journalisée lorsque les activités suivantes sont effectuées par un administrateur général dans le Centre d’administration Microsoft 365. Ces activités affectent les paramètres Teams à l’échelle de l’organisation. Pour plus d’informations, consultez Gérer les paramètres Teams pour votre organization.
Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Active ou désactive Teams pour le organization (Microsoft Teams).
  • Active ou désactive l’interopérabilité entre Microsoft Teams et Skype Entreprise pour le organization (interopérabilité Skype Entreprise).
  • Active ou désactive l’affichage organigramme dans les clients Microsoft Teams (vue Organigramme).
  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions privées (planification de réunions privées).
  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions de canal (planification des réunions de canal).
  • Active ou désactive les appels vidéo dans les réunions Teams (vidéo pour les réunions Skype).
  • Active ou désactive le partage d’écran dans les réunions Microsoft Teams pour les organization (partage d’écran pour les réunions Skype).
  • Active ou désactive cette possibilité d’ajouter des images animées (appelées Giphys) aux conversations Teams (images animées).
  • Modifie le paramètre d’évaluation du contenu pour le organization (Évaluation du contenu). L’évaluation du contenu restreint les types d’images animées qui peuvent être affichées dans les conversations.
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images personnalisables (appelées mèmes personnalisés) à partir d’Internet aux conversations d’équipe (images personnalisables à partir d’Internet).
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images modifiables (appelées autocollants) aux conversations d’équipe (images modifiables).
  • Active ou désactive cette possibilité pour les membres de l’équipe d’utiliser des bots dans les conversations et les canaux Microsoft Teams (bots à l’échelle de l’organisation).
  • Active des bots spécifiques pour Microsoft Teams. Cela n’inclut pas T-Bot qui est le robot d’assistance de Teams disponible lorsque les robots sont activés pour l’organisation (Robots individuels).
  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des extensions ou des onglets (extensions ou onglets).
  • Active ou désactive le chargement indépendant de bots propriétaires pour Microsoft Teams (chargement indépendant de bots).
  • Active ou désactive la possibilité pour les utilisateurs d’envoyer des messages électroniques à un canal Microsoft Teams (messagerie de canal).
Rôle modifié des membres de l’équipe MemberRoleChanged Un propriétaire d’équipe modifie le rôle de membres d’une équipe. Les valeurs suivantes indiquent le type de rôle attribué à l’utilisateur.

1 - Indique le rôle Membre.
2 - Indique le rôle Propriétaire.
3 indique le rôle Invité.

La propriété Members inclut également le nom de votre organization et l’adresse e-mail du membre.
Paramètre d’équipe modifié TeamSettingChanged L’opération TeamSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses) s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
  • Modifie le type d’accès d’une équipe. Teams peut être défini comme privé ou public (type d’accès à l’équipe). Quand une équipe est privée (paramètre par défaut), les utilisateurs ne peuvent ne peuvent y accéder que sur invitation. Quand une équipe est publique, n’importe qui peut la trouver.
  • Modifie la classification des informations d’une équipe (classification d’équipe). Par exemple, les données d’une équipe peuvent être classifiées comme ayant un impact élevé, moyen ou faible sur l’activité.
  • Modifie le nom d’une équipe (nom de l’équipe).
  • Modifie la description de l’équipe (description de l’équipe).
  • Modifications apportées aux paramètres de l’équipe. Pour accéder à ces paramètres, un propriétaire d’équipe peut cliquer avec le bouton droit sur une équipe, sélectionner Gérer l’équipe, puis sélectionner l’onglet Paramètres . Pour ces activités, le nom du paramètre qui a été modifié s’affiche dans la colonne Élément des résultats de la recherche dans le journal d’audit.
Étiquette de confidentialité modifiée SensitivityLabelChanged Un utilisateur a modifié une étiquette de confidentialité sur une réunion Teams.
Création d’une conversation 1 ChatCreated Une conversation Teams a été créée.
Équipe créée TeamCreated L’utilisateur crée une équipe.
Suppression d’un message 2 MessageDeleted Un message dans une conversation ou un canal a été supprimé.
Suppression de toutes les applications organization DeletedAllOrganizationApps Suppression de toutes les applications organization du catalogue.
Application supprimée AppDeletedFromCatalog Une application a été supprimée du catalogue.
Canal supprimé ChannelDeleted Un utilisateur supprime un canal d’une équipe.
Équipe supprimée TeamDeleted Un propriétaire d’équipe supprime une équipe.
Modification d’un message avec un lien URL dans Teams MessageEditedHasLink Un utilisateur modifie un message et y ajoute un lien URL dans Teams.
Messages exportés 1,2 MessagesExported Les messages de conversation ou de canal ont été exportés.
Enregistrements exportés 1 RecordingExported Les enregistrements de conversation ont été exportés.
Transcriptions exportées 1 TranscriptionsExported Les transcriptions de conversation ont été exportées.
Échec de la validation de l’invitation au canal partagé 3 FailedValidation Un utilisateur répond à une invitation à un canal partagé, mais la validation de l’invitation a échoué.
Conversation récupérée 1 ChatRetrieved Une conversation Microsoft Teams a été récupérée.
Extrait tout le contenu hébergé d’un message1 MessageHostedContentsListed Tout le contenu hébergé dans un message, tel que les images ou les extraits de code, a été récupéré.
Application installée AppInstalled Une application a été installée.
Action effectuée sur carte PerformCardAction Un utilisateur a effectué une action sur un carte adaptatif dans une conversation. Les cartes adaptatives sont généralement utilisées par les bots pour permettre l’affichage complet des informations et des interactions dans les conversations.

Note: Seules les actions d’entrée inline sur un carte adaptatif à l’intérieur d’une conversation sont disponibles dans le journal d’audit. Par exemple, lorsqu’un utilisateur envoie une réponse de sondage dans une conversation de canal sur un carte adaptatif généré par un bot poll. Les actions utilisateur telles que « Afficher le résultat », qui ouvre une boîte de dialogue, ou les actions de l’utilisateur à l’intérieur des dialogues ne sont pas disponibles dans le journal d’audit.
Publication d’un nouveau message 1, 6, 8 MessageSent Un nouveau message a été publié sur une conversation ou un canal.
Application publiée AppPublishedToCatalog Une application a été ajoutée au catalogue.
Lire un message 1 MessageRead Un message d’une conversation ou d’un canal a été récupéré.
Lire le contenu hébergé d’un message 1 MessageHostedContentRead Le contenu hébergé dans un message, tel qu’une image ou un extrait de code, a été récupéré.
Robot supprimé l’équipe BotRemovedFromTeam Un utilisateur supprime un robot d’une d’une équipe.
Connecteur supprimé ConnectorRemoved Un utilisateur supprime un connecteur d’un canal.
Membres supprimés 8 MemberRemoved Un propriétaire d’équipe supprime des membres d’une équipe, d'un canal ou d'une conversation de groupe.
Étiquette de confidentialité supprimée SensitivityLabelRemoved Un utilisateur a supprimé une étiquette de confidentialité d’une réunion Teams.
Suppression du partage du canal d’équipe 3 TerminatedSharing Un propriétaire d’équipe ou de canal a désactivé le partage pour un canal partagé.
Partage restauré du canal d’équipe 3 SharingRestored Un propriétaire d’équipe ou de canal a réactivé le partage pour un canal partagé.
Onglet supprimé TabRemoved Un utilisateur supprime un onglet d’un canal.
Réponse à l’invitation pour le canal partagé 3 InviteeResponded Un utilisateur a répondu à une invitation de canal partagé.
Réponse à la réponse de l’invité au canal partagé 3 ChannelOwnerResponded Un propriétaire de canal a répondu à une réponse d’un utilisateur qui a répondu à une invitation de canal partagé.
Messages récupérés 1 MessagesListed Les messages d’une conversation ou d’un canal ont été récupérés.
Envoi d’un message avec un lien URL dans Teams MessageCreatedHasLink Un utilisateur envoie un message contenant un lien URL dans Teams.
Notification de modification envoyée pour la création du message 1 MessageCreatedNotification Une notification de modification a été envoyée pour notifier un nouveau message à une application d’écouteur abonnée.
Notification de modification envoyée pour la suppression du message 1 MessageDeletedNotification Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message supprimé.
Notification de modification envoyée pour la mise à jour du message 1 MessageUpdatedNotification Une notification de modification a été envoyée pour avertir une application d’écouteur abonnée d’un message mis à jour.
Invitation envoyée pour le canal partagé 3 InviteSent Un propriétaire ou un membre de canal envoie une invitation à un canal partagé. Les invitations à des canaux partagés peuvent être envoyées à des personnes extérieures à votre organization si la stratégie de canal est configurée pour partager le canal avec des utilisateurs externes.
Abonné aux notifications de modification de message 1 SubscribedToMessages Un abonnement a été créé par une application d’écouteur pour recevoir des notifications de modification pour les messages.
Application désinstallée AppUninstalled Une application a été désinstallée.
Application mise à jour AppUpdatedInCatalog Une application a été mise à jour dans le catalogue.
Mise à jour d’une conversation 1 ChatUpdated Une conversation Teams a été mise à jour.
Mise à jour d’un message 1 MessageUpdated Un message d’une conversation ou d’un canal a été mis à jour.
Connecteur mis à jour ConnectorUpdated Un utilisateur a modifié un connecteur dans un canal.
Onglet mis à jour TabUpdated Un utilisateur a modifié un onglet dans un canal.
Application mise à niveau AppUpgraded Une application a été mise à niveau vers sa dernière version dans le catalogue.
Utilisateur connecté à Teams TeamsSessionStarted Un utilisateur se connecte à un client Microsoft Teams. Cet événement ne capture pas les activités d’actualisation des jetons.
Nouveau message publié 3,4,6, 8 MessageSent Un nouveau message a été publié sur une conversation ou un canal.

Remarque

1 Un enregistrement d’audit pour cet événement n’est enregistré que lorsque l’opération est effectuée en appelant un API Graph Microsoft. Si l’opération est effectuée dans le client Teams, aucun enregistrement d’audit n’est enregistré
2 Cet événement est disponible uniquement dans Audit (Premium). Cela signifie que les utilisateurs doivent se voir attribuer la licence appropriée avant que ces événements soient enregistrés dans le journal d’audit. Pour plus d’informations sur les activités disponibles uniquement dans Audit (Premium), consultez Audit (Premium) dans Microsoft Purview. Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.
3 Cet événement est en préversion publique.
4Cet événement est généré pour la conversation uniquement s’il existe des invités, des utilisateurs fédérés et/ou anonymes.
5 Cet événement n’est actuellement pas disponible dans les organisations Government Community Cloud (GCC), Government Community Cloud High (GCC-High) et Department of Defense (DoD).
6 Cet événement est inclus dans tous les locataires participants pour les conversations fédérées.
7 Cet événement contient des informations de domaine de participation pour les conversations fédérées 1:1.
8 Cet événement est inclus dans toutes les conversations de conversation entre des utilisateurs Teams externes gérés par un organization et des utilisateurs Teams externes non gérés par un organization.
9 Cet événement n’est actuellement pas disponible dans les organisations Government Community Cloud (GCC) et Department of Defense (DoD).

Activités Santé Microsoft Teams

Si votre organisation utilise l’application Patients dans Microsoft Teams, vous pouvez effectuer une recherche dans le journal d’audit pour consulter les activités liées à l’application Patients. Si votre environnement est configuré pour prendre en charge l’application Patients, un groupe d’activités supplémentaire pour ces activités est disponible dans la liste du sélecteur Activitiés.

Les activités Microsoft Teams pour la santé dans les activités de la liste du sélecteur.

Pour obtenir une description des activités de l’application Patients, voir les journaux d’audit pour l’application Patients.

Activités Shifts dans Microsoft Teams

Le tableau suivant répertorie l’application Shift dans les activités Microsoft Teams qui sont enregistrées dans le journal d’audit Microsoft 365. Si votre organisation utilise l’application Shifts dans Microsoft Teams, vous pouvez effectuer une recherche dans le journal d’audit pour consulter les activités liées à cette application. Si votre environnement est configuré pour prendre en charge l’application Shifts, un groupe d’activités supplémentaire pour ces activités est disponible dans la liste du sélecteur Activités.

Nom facile à retenir Opération Description
Ajout d’un groupe de planification ScheduleGroupAdded Un utilisateur a correctement ajouté un nouveau groupe de planification à la planification.
Groupe de planification modifié ScheduleGroupEdited Un utilisateur modifie correctement un groupe de planification.
Groupe de planification supprimé ScheduleGroupDeleted Un utilisateur supprime correctement un groupe de planification de la planification de la planification.
Planification retirée ScheduleWithdrawn Un utilisateur retire correctement une planification publiée.
Ajout d’un décalage MajAdded Un utilisateur a correctement ajouté un décalage.
Maj modifié ShiftEdited Un utilisateur modifie correctement un shift.
Décalage supprimé MajDeleted Un utilisateur supprime correctement une équipe.
Ajout d’un congé TimeOffAdded Un utilisateur a correctement ajouté un congé à la planification.
Temps de congé modifié TimeOffEdited Un utilisateur modifie correctement le temps de congé.
Congé supprimé TimeOffDeleted Un utilisateur supprime correctement le temps de congé.
Ajout du décalage ouvert OpenShiftAdded Un utilisateur a correctement ajouté un shift ouvert à un groupe de planification.
Maj ouvert modifié OpenShiftEdited Un utilisateur modifie correctement une équipe ouverte dans un groupe de planification.
Décalage ouvert supprimé OpenShiftDeleted Un utilisateur supprime correctement une équipe ouverte d’un groupe de planification.
Planification partagée ScheduleShared Un utilisateur a partagé avec succès une planification d’équipe pour une plage de dates.
Horloge dans à l’aide de Time clock ClockedIn Un utilisateur a réussi à horloger à l’aide de Time clock.
Horloge à l’aide de Time clock ClockedOut Un utilisateur a réussi à sortir de l’horloge à l’aide de Time clock.
Arrêt démarré à l’aide de l’horloge chronologique BreakStarted Un utilisateur démarre correctement une pause pendant une session d’horloge active.
Arrêt terminé à l’aide de l’horloge chronologique BreakEnded Un utilisateur met fin à une pause pendant une session d’horloge active.
Ajout de l’entrée Time clock TimeClockEntryAdded Un utilisateur a correctement ajouté une nouvelle entrée d’horloge manuelle sur la feuille de temps.
Entrée d’horloge de temps modifiée TimeClockEntryEdited Un utilisateur modifie correctement une entrée d’horloge sur la feuille de temps.
Entrée d’horloge de l’heure supprimée TimeClockEntryDeleted Un utilisateur supprime correctement une entrée Time clock sur la feuille de temps.
Ajout d’une demande de shift RequestAdded Un utilisateur a ajouté une demande de shift.
Réponse à la demande de shift RequestRespondedTo Un utilisateur a répondu à une demande de shift.
Demande de shift annulée RequestCancelled Un utilisateur a annulé une demande de shift.
Modification du paramètre de planification ScheduleSettingChanged Un utilisateur modifie un paramètre dans les paramètres Shifts.
Intégration de la main-d’œuvre ajoutée WorkforceIntegrationAdded L’application Shifts est intégrée à un système tiers.
Message de décalage accepté OffShiftDialogAccepted Un utilisateur accuse réception du message d’arrêt de travail pour accéder à Teams après les heures de travail.

Activités Mises à jour Microsoft Teams

Le tableau suivant répertorie Mises à jour’application dans les activités Microsoft Teams qui sont enregistrées dans le journal d’audit Microsoft 365. Si votre organization utilise l’application Mises à jour dans Microsoft Teams, vous pouvez rechercher dans le journal d’audit des activités liées à l’utilisation de l’application Mises à jour. Si votre environnement est configuré pour prendre en charge Mises à jour applications, un groupe d’activités supplémentaire pour ces activités est disponible dans la liste du sélecteur d’activités.

Nom facile à retenir Opération Description
Créer une demande de mise à jour CreateUpdateRequest Un utilisateur crée correctement une demande de mise à jour.
Modifier une demande de mise à jour EditUpdateRequest Un utilisateur ouvre l’Assistant Modification de demande et sélectionne Enregistrer pour confirmer et enregistrer les modifications, ou active ou désactive directement la demande de mise à jour.
Envoyer une mise à jour SubmitUpdate Un utilisateur envoie correctement une mise à jour.
Afficher les détails d’une mise à jour ViewUpdate Un utilisateur affiche les détails de la mise à jour.

Activités Microsoft To Do

Le tableau suivant répertorie les activités dans Microsoft To Do qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur Microsoft To Do, consultez Prise en charge de Microsoft To Do.

Remarque

L’audit des événements pour les activités Microsoft To Do nécessite une licence Project (plan 1) payante (ou supérieure) en plus de la licence Microsoft 365 appropriée qui inclut les droits d’audit (Premium).

Nom facile à retenir Opération Description
Lien de partage accepté dans le dossier AcceptedSharingLinkOnFolder Lien de partage accepté pour un dossier.
Pièce jointe créée Pièce jointecréée Une pièce jointe a été créée pour une tâche.
Pièce jointe mise à jour AttachmentUpdated Une pièce jointe a été mise à jour.
Pièce jointe supprimée AttachmentDeleted Une pièce jointe a été supprimée.
Lien de partage de dossiers partagé FolderSharingLinkShared Création d’un lien de partage pour un dossier.
Entité liée supprimée LinkedEntityDeleted Une entité liée a été supprimée.
Entité liée mise à jour LinkedEntityUpdated Une entité liée a été mise à jour.
Entité liée créée LinkedEntityCreated Une entité liée de tâche a été créée.
Tâche subordonnée créée SubTaskCreated Une tâche subordonnée a été créée.
Tâches subordonnées supprimées SubTaskDeleted Une tâche subordonnée a été supprimée.
Tâche subordonnée mise à jour SubTaskUpdated Une tâche subordonnée a été mise à jour.
Tâche créée TaskCreated Une tâche a été créée.
Tâche supprimée TaskDeleted Une tâche a été supprimée.
Lecture de la tâche TaskRead Une tâche a été lue.
Tâche mise à jour TaskUpdated Une tâche a été mise à jour.
TaskList créé TaskListCreated Une liste de tâches a été créée.
TaskList lue TaskListRead Une liste de tâches a été lue.
TaskList mis à jour TaskListUpdated Une liste de tâches a été mise à jour.
Utilisateur invité Utilisateur invité Utilisateur invité dans un dossier.

activités Microsoft Viva Insights

Viva Insights fournit des informations sur la façon dont les groupes collaborent dans votre organization. Le tableau suivant répertorie les activités effectuées par les utilisateurs auxquels le rôle Administrateur ou Analyste est attribué dans Viva Insights. Les utilisateurs dotés du rôle d’analyste ont un accès total à toutes les fonctionnalités du service et utilisent le produit pour effectuer l’analyse. Les utilisateurs auxquels le rôle Administrateur est attribué peuvent configurer les paramètres de confidentialité et les paramètres système par défaut, et peuvent préparer, charger et vérifier les données organisationnelles dans Viva Insights. Pour plus d’informations, consultez Présentation de Microsoft Viva Insights.

Nom facile à retenir Opération Description
Lien OData consulté AccessedOdataLink Les analystes ont accédé au lien OData pour une requête.
Ajout de l’accès délégué AddDelegates Un utilisateur a ajouté un accès délégué pour organization insights ou le tableau de bord Copilot.
Requête annulée CanceledQuery Un analyste a annulé une requête en cours d’exécution.
Exclusion de réunion créée MeetingExclusionCreated Un analyste a créé une règle d’exclusion de réunion.
Résultat supprimé DeletedResult Un analyste a supprimé un résultat de requête.
Fichier téléchargé DownloadedReport Un analyste a téléchargé un résultat de requête.
Requête exécutée ExecutedQuery Un analyste a exécuté une requête.
Suppression de l’accès délégué RemoveDelegates Un utilisateur a supprimé l’accès délégué pour organization insights ou le tableau de bord Copilot.
Paramètres d’accès aux données mis à jour UpdatedDataAccessSetting Un administrateur a mis à jour les paramètres d’accès aux données.
Paramètre de confidentialité mis à jour UpdatedPrivacySetting Administration paramètres de confidentialité mis à jour, par exemple, la taille minimale du groupe.
Données d’organisation téléchargées UploadedOrgData Fichier de données d’organisation téléchargé par l’administrateur.
Utilisateur connecté* Utilisateur connecté Un utilisateur connecté à son compte d'utilisateur Microsoft 365.
Utilisateur déconnecté* UserLoggedOff Un utilisateur s'est déconnecté de son compte d'utilisateur Microsoft 365.
Exploration de la consultation ViewedExplore Un analyste a consulté les visualisations dans un ou plusieurs onglets de page exploration.

Remarque

*un événement d’activité de connexion et de déconnexion Microsoft Entra est créé lorsqu’un utilisateur se connecte. Cette activité est journalisée même si vous n’avez pas activé Viva Insights dans votre organization. Pour plus d’informations sur les activités de connexion des utilisateurs, consultez Journaux de connexion dans Microsoft Entra ID.

Activités d’insights personnels

Le tableau suivant répertorie les activités des insights personnels qui sont enregistrées dans le journal d’audit Microsoft 365. Pour plus d’informations sur les insights personnels, consultez Administration guide d’informations personnelles.

Nom facile à retenir Opération Description
Mise à jour des paramètres de l'organisation MyAnalytics UpdatedOrganizationMyAnalyticsSettings Administration met à jour les paramètres de niveau organization pour les insights personnels.
Mise à jour des paramètres MyAnalytics de l'utilisateur UpdatedUserMyAnalyticsSettings Administration met à jour les paramètres utilisateur pour les insights personnels.

Activités de mise en quarantaine

Le tableau suivant illustre une liste d’activités que vous pouvez rechercher dans le journal d’audit. Si vous souhaitez en savoir plus sur la mise en quarantaine, consultez l’article Mettre les e-mails en quarantaine.

Nom facile à retenir Opération Description
Message de quarantaine supprimé QuarantineDeleteMessage Un administrateur ou un utilisateur a supprimé un message électronique considéré comme dangereux.
Demande de publication de message de mise en quarantaine refusée QuarantineReleaseRequestDeny Un refus administrateur pour une demande de mise en production d’un utilisateur pour un e-mail qui a été considéré comme dangereux.
Message de quarantaine exporté QuarantineExport Un administrateur ou un utilisateur a exporté un e-mail qui a été considéré comme dangereux.
Message de quarantaine visualisé QuarantinePreview Un administrateur ou un utilisateur a affiché un aperçu d’un message électronique qui a été considéré comme dangereux.
Message de quarantaine publié QuarantineRelease Un administrateur ou un utilisateur a libéré un e-mail de mise en quarantaine qui a été considéré comme dangereux.
Message de mise en quarantaine de la demande de mise en production QuarantineReleaseRequest Un utilisateur a demandé la publication d’un e-mail qui a été considéré comme dangereux.
En-tête du message de quarantaine consulté QuarantineViewHeader Un administrateur ou un utilisateur a consulté l’en-tête un message électronique qui a été considéré comme dangereux.

Activités de rapport

Le tableau suivant répertorie les activités des rapports d’utilisation enregistrés dans le journal d’audit Microsoft 365.

Nom convivial Opération Description
Mise à jour des paramètres de confidentialité du rapport d’utilisation UpdateUsageReportsPrivacySetting Les paramètres de confidentialité des rapports d’utilisation ont été mis à jour par l’administrateur.

Stratégie de rétention et activités d’étiquette de rétention

Le tableau suivant décrit les activités de configuration des stratégies de rétention et des étiquettes de rétention lorsqu’elles ont été créées, reconfigurées ou supprimées.

Nom facile à retenir Opération Description
Appartenance à l’étendue adaptative modifiée ApplicableAdaptiveScopeChange Des utilisateurs, des sites ou des groupes ont été ajoutés ou supprimés de l’étendue adaptative. Ces modifications sont le résultat de l’exécution de la requête de l’étendue. Étant donné que les modifications sont initiées par le système, l’utilisateur signalé s’affiche en tant que GUID plutôt qu’en tant que compte d’utilisateur.
Paramètres configurés pour une stratégie de rétention NewRetentionComplianceRule L’administrateur a configuré les paramètres de rétention pour une nouvelle stratégie de rétention. Les paramètres de rétention incluent la durée de conservation des éléments et ce qu’il advient des éléments à l’expiration de la période de rétention (comme la suppression d’éléments, la conservation des éléments ou leur conservation puis leur suppression). Cette activité correspond également à l’exécution du cmdlet New-RetentionComplianceRule.
Étendue adaptative créée NewAdaptiveScope L’administrateur a créé une étendue adaptative.
Étiquette de rétention créée NewComplianceTag Un administrateur a créé une étiquette de rétention.
Stratégie de rétention créée NewRetentionCompliancePolicy Un administrateur a créé une stratégie de rétention.
Étendue adaptative supprimée RemoveAdaptiveScope L’administrateur a supprimé une étendue adaptative.
Paramètres supprimés d’une stratégie de rétention RemoveRetentionComplianceRule
Un administrateur a supprimé les paramètres de configuration d’une stratégie de rétention. Cette activité est probablement enregistrée lorsqu’un administrateur supprime une stratégie de rétention ou exécute le cmdlet Remove-RetentionComplianceRule.
Étiquette de rétention supprimée RemoveComplianceTag Un administrateur a supprimé une étiquette de rétention.
Stratégie de rétention supprimée RemoveRetentionCompliancePolicy
Un administrateur a supprimé une stratégie de rétention.
Option d’enregistrement réglementaire activée pour les étiquettes de rétention
SetRestrictiveRetentionUI Un administrateur a exécuté le cmdlet RegulatoryComplianceUI afin qu’un administrateur puisse ensuite sélectionner l’option de configuration de l’interface utilisateur pour une étiquette de rétention et identifier le contenu en tant qu’enregistrement réglementaire.
Élément d’e-mail conservé de manière proactive ExchangeDataProactivelyPreserved La protection adaptative a appliqué automatiquement une étiquette de rétention pour conserver un élément dans Exchange.
Fichier conservé de manière proactive SharePointDataProactivelyPreserved La protection adaptative a appliqué automatiquement une étiquette de rétention pour conserver un élément dans SharePoint ou OneDrive.
Étendue adaptative mise à jour SetAdaptiveScope L’administrateur a modifié la description ou la requête pour une étendue adaptative existante.
Paramètres mis à jour pour une stratégie de rétention SetRetentionComplianceRule L’administrateur a modifié les paramètres de rétention d’une stratégie de rétention existante. Les paramètres de rétention incluent la durée de conservation des éléments et ce qu’il advient des éléments à l’expiration de la période de rétention (comme la suppression d’éléments, la conservation des éléments ou leur conservation puis leur suppression). Cette activité correspond également à l’exécution du cmdlet Set-RetentionComplianceRule.
Étiquette de rétention mise à jour SetComplianceTag Un administrateur a mis à jour une étiquette de rétention existante.
Stratégie de rétention mise à jour SetRetentionCompliancePolicy Un administrateur a mis à jour une stratégie de rétention existante. Les mises à jour qui déclenchent cet événement incluent l’ajout ou l’exclusion d’emplacements de contenu auxquels la stratégie de rétention est appliquée.

Activités d’administration des rôles

Le tableau suivant répertorie Microsoft Entra activités d’administration des rôles enregistrées lorsqu’un administrateur gère les rôles d’administrateur dans le Centre d’administration Microsoft 365 ou dans le portail de gestion Azure.

Remarque

Les noms d’opération répertoriés dans la colonne Opération de ce tableau contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.

Nom facile à retenir Opération Description
Membre ajouté au rôle Ajouter un membre à un rôle. Un utilisateur a été ajouté à un rôle d’administrateur dans Microsoft 365.
Utilisateur supprimé d’un rôle d’annuaire Supprimer un membre d’un rôle. Un utilisateur a été supprimé d’un rôle d’administrateur dans Microsoft 365.
Définition des informations de contact d’une entreprise Définir des informations de contact professionnel. Les préférences de contact au niveau de l’entreprise ont été mises à jour pour votre organisation. Cela inclut les adresses de messagerie pour les messages liés à un abonnement envoyés par Microsoft 365, ainsi que les notifications techniques relatives aux services.

Activités relatives aux types d’informations sensibles

Le tableau suivant décrit les événements d’audit pour les activités impliquant la création et la mise à jour de types d’informations sensibles.

Nom facile à retenir Opération Description
Création d’un nouveau type d’informations sensibles CreateRulePackage / EditRulePackage* Un nouveau type d’informations sensibles a été créé. Cela inclut tous les SIT créés en copiant un sit out of the box.

Remarque : cette activité apparaît sous les activités d’audit « Package de règles créé » ou « Package de règles modifiées ».

Modification d’un type d’informations sensibles EditRulePackage Un type d’informations sensibles existant a été modifié. Cela peut inclure des opérations telles que l’ajout/la suppression d’un modèle et la modification de l’expression régulière/mot clé associées au type d’informations sensibles.

Note: Cette activité apparaît sous l’activité d’audit « Package de règle modifié ».

Suppression d’un type d’informations sensibles EditRulePackage / RemoveRulePackage Un type d’informations sensibles existant a été supprimé.

Note: Cette activité apparaît sous l’activité d’audit « Package de règle modifié » ou « Package de règles supprimé ».

Activités des étiquettes de confidentialité

Le tableau suivant répertorie les événements qui résultent de l’utilisation d’étiquettes de confidentialité avec des sites et des éléments gérés par Microsoft Purview. Les éléments incluent des documents, des e-mails et des événements de calendrier. Pour les stratégies d’étiquetage automatique, les éléments incluent également des fichiers et des ressources de données schématisées dans Mappage de données Microsoft Purview.

Nom facile à retenir Opération Description
Étiquette de confidentialité appliquée au site SiteSensitivityLabelApplied Une étiquette de confidentialité a été appliquée à un site SharePoint ou à un site Teams qui n’est pas connecté à un groupe.
Suppression de l'étiquette de confidentialité sur le site SiteSensitivityLabelRemoved Une étiquette de confidentialité a été supprimée d’un site SharePoint ou d’un site Teams qui n’est pas connecté à un groupe.
Étiquette de confidentialité appliquée au fichier FileSensitivityLabelApplied

SensitivityLabelApplied
Une étiquette de confidentialité a été appliquée à un élément à l’aide d’applications Microsoft 365, d’Office sur le Web ou d’une stratégie d’étiquetage automatique.

Les opérations de cette activité sont différentes selon la façon dont l’étiquette a été appliquée :
- Office sur le Web ou une stratégie d’étiquetage automatique (FileSensitivityLabelApplied)
- Applications Microsoft 365 (SensitivityLabelApplied)
Étiquette de confidentialité modifiée appliquée au fichier FileSensitivityLabelChanged

SensitivityLabelUpdated
Une étiquette de confidentialité différente a été appliquée à un élément.

Les opérations de cette activité sont différentes en fonction de la façon dont l’étiquette a été modifiée :
- Office sur le Web ou une stratégie d’étiquetage automatique (FileSensitivityLabelChanged)
Microsoft 365 Apps (SensitivityLabelUpdated)
Étiquette de confidentialité modifiée sur un site SiteSensitivityLabelChanged Une étiquette de confidentialité différente a été appliquée à un site SharePoint ou à un site Teams qui n’est pas connecté à un groupe.
Suppression de l'étiquette de confidentialité sur le document FileSensitivityLabelRemoved

SensitivityLabelRemoved
Une étiquette de confidentialité a été supprimée d’un élément à l’aide d’applications Microsoft 365, d’Office sur le Web, d’une stratégie d’étiquetage automatique ou de l’applet de commande Unlock-SPOSensitivityLabelEncryptedFile.

Les opérations de cette activité sont différentes selon la façon dont l’étiquette a été supprimée :
- Office sur le Web ou une stratégie d’étiquetage automatique (FileSensitivityLabelRemoved)
- Applications Microsoft 365 (SensitivityLabelRemoved)

Informations d’audit supplémentaires pour les étiquettes de confidentialité :

Activités de liste SharePoint

Le tableau suivant décrit les activités liées à la façon dont les utilisateurs interagissent avec les listes et les éléments de liste dans SharePoint Online. Les enregistrements d’audit de certaines activités SharePoint indiquent l’app@sharepoint’utilisateur a effectué l’activité de la part de l’utilisateur ou de l’administrateur qui a initié l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.

Nom facile à retenir Opération Description
Liste créée ListCreated Un utilisateur a créé une liste SharePoint.
Colonne de liste créée ListColumnCreated Un utilisateur a créé une colonne de liste SharePoint. Une colonne de liste est une colonne jointe à une ou plusieurs listes SharePoint.
Type de contenu de liste créé ListContentTypeCreated Un utilisateur a créé un type de contenu de liste. Un type de contenu de liste est un type de contenu attaché à une ou plusieurs listes SharePoint.
Élément de liste créé ListItemCreated Un utilisateur a créé un élément dans une liste SharePoint existante.
Colonne de site créée SiteColumnCreated Un utilisateur a créé une colonne de site SharePoint. Une colonne de site est une colonne qui n’est pas jointe à une liste. Une colonne de site est également une structure de métadonnées pouvant être utilisée par n’importe quelle liste d’un site Web donné.
Type de contenu de site créé ContentType du site créé Un utilisateur a créé un type de contenu de site. Un type de contenu de site est un type de contenu attaché au site parent.
Liste supprimée ListDeleted Un utilisateur a supprimé une liste SharePoint.
Colonne de liste supprimée Colonne de liste supprimée Un utilisateur a supprimé une colonne de liste SharePoint.
Type de contenu de liste supprimé ListContentTypeDeleted Un utilisateur a supprimé un type de contenu de liste.
Élément de liste supprimé Élément de liste supprimé Un utilisateur a supprimé un élément de liste SharePoint.
Colonne de site supprimée SiteColumnDeleted Un utilisateur a supprimé une colonne de site SharePoint.
Type de contenu de site supprimé SiteContentTypeDeleted Un utilisateur a supprimé un type de contenu de site.
Élément de liste recyclé ListItemRecycled Un utilisateur a déplacé un élément de liste SharePoint dans la corbeille.
Liste restaurée ListRestored Un utilisateur a restauré un élément de liste SharePoint depuis la corbeille.
Élément de liste restauré ListItemRestored Un utilisateur a restauré un élément de liste SharePoint depuis la corbeille.
Liste mise à jour ListUpdated Un utilisateur a mis à jour une liste SharePoint en modifiant une ou plusieurs propriétés.
Colonne de liste mise à jour ListColumnUpdated Un utilisateur a mis à jour une colonne de liste SharePoint en modifiant une ou plusieurs propriétés.
Type de contenu de liste mis à jour ListContentTypeUpdated Un utilisateur a mis à jour un type de contenu de liste en modifiant une ou plusieurs propriétés.
Élément de liste mis à jour ListItemUpdated Un utilisateur a mis à jour un élément de liste SharePoint en modifiant une ou plusieurs propriétés.
Affichage liste mis à jour ListViewUpdated Un utilisateur a mis à jour un affichage de liste SharePoint en modifiant une ou plusieurs propriétés.
Colonne de site mise à jour SiteColumnUpdated Un utilisateur a mis à jour une colonne de site SharePoint en modifiant une ou plusieurs propriétés.
Type de contenu de site mis à jour SiteContentTypeUpdated Un utilisateur a mis à jour un type de contenu de site en modifiant une ou plusieurs propriétés.

Activités de demande d’accès et de partage

Le tableau suivant décrit les activités de demande d’accès et de partage d’utilisateurs dans SharePoint Online et OneDrive Entreprise. Pour les événements de partage, la colonne Détails sous Résultats identifie le nom de l’utilisateur ou du groupe avec lequel l’élément était partagé et si cet utilisateur ou groupe est un membre de votre organisation ou un invité. Pour plus d’informations, voir Utiliser l’audit du partage dans le journal d’audit.

Remarque

Les utilisateurs peuvent être des membres ou des invités en fonction de la propriété UserType de l’objet utilisateur. Un membre est généralement un employé, tandis qu’un invité est généralement un collaborateur externe à votre organisation. Lorsqu’un utilisateur accepte une invitation de partage (et ne fait pas déjà partie de votre organisation), un compte invité est créé pour lui dans l’annuaire de votre organisation. Dès lors que l’utilisateur invité a un compte dans votre annuaire, des ressources peuvent être partagées directement avec lui (sans invitation).

Nom convivial Opération Description
Ajout d’un niveau d’autorisation à la collection de sites PermissionLevelAdded Un niveau d’autorisation a été ajouté à une collection de sites.
Demande d’accès acceptée AccessRequestAccepted Une demande d’accès à un site, un dossier ou un document a été acceptée et l’utilisateur à l’origine de la demande s’est vu octroyé l’accès.
Invitation de partage acceptée SharingInvitationAccepted L’utilisateur (membre ou invité) a accepté une invitation de partage et s’est vu octroyer l’accès à une ressource. Cet événement inclut des informations sur l’utilisateur invité et l’adresse de messagerie utilisée pour accepter l’invitation (ils peuvent être différents). Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource).
Invitation de partage bloquée SharingInvitationBlocked Une invitation de partage envoyée par un utilisateur de votre organisation est bloquée par une stratégie de partage externe qui autorise ou refuse le partage externe en fonction du domaine de l’utilisateur cible. Dans ce cas, l’invitation de partage a été bloquée car :
Le domaine de l’utilisateur cible n’est pas inclus dans la liste des domaines autorisés.
Ou
Le domaine de l’utilisateur cible est inclus dans la liste des domaines bloqués.
Pour plus d’informations sur l’autorisation ou le blocage du partage externe en fonction des domaines, voir Restreindre le partage des domaines dans SharePoint Online et OneDrive Entreprise.
Demande d’accès créée AccessRequestCreated Un utilisateur demande l’accès à un site, un dossier ou un document auquel il n’est pas autorisé à accéder.
Création d’un lien d’entreprise partageable CompanyLinkCreated L’utilisateur a créé un lien à l’échelle de l’entreprise vers une ressource. Les liens à l’échelle de l’entreprise ne peuvent être utilisés que par les membres de votre organisation. Ils ne peuvent pas être utilisés par les invités.
Création d’un lien anonyme AnonymousLinkCreated L’utilisateur a créé un lien anonyme vers une ressource. Toute personne disposant de ce lien peut accéder à la ressource sans être authentifiée.
Lien sécurisé créé SecureLinkCreated Un lien de partage sécurisé a été créé sur cet élément.
Invitation de partage créée SharingInvitationCreated Un utilisateur a partagé une ressource dans SharePoint Online ou OneDrive Entreprise avec un utilisateur qui ne figure pas dans l’annuaire de votre organisation.
Lien sécurisé supprimé SecureLinkDeleted Un lien de partage sécurisé a été supprimé.
Demande d’accès refusée AccessRequestDenied Une demande d’accès à un site, un dossier ou un document a été refusée.
Suppression d’un lien d’entreprise partageable CompanyLinkRemoved L’utilisateur a supprimé un lien à l’échelle de l’entreprise vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.
Suppression d’un lien anonyme AnonymousLinkRemoved L’utilisateur a supprimé un lien anonyme vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.
Fichier, dossier ou site partagé SharingSet L’utilisateur (membre ou invité) a partagé un fichier, un dossier ou un site dans SharePoint ou OneDrive Entreprise avec un utilisateur dans l’annuaire de votre organisation. La valeur dans la colonne Détails pour cette activité identifie le nom de l’utilisateur avec lequel la ressource a été partagée et si cet utilisateur est un membre ou un invité.

Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource. Par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource.
Demande d’accès mise à jour AccessRequestUpdated Une demande d’accès à un élément a été mise à jour.
Mise à jour d’un lien anonyme AnonymousLinkUpdated L’utilisateur a mis à jour un lien anonyme vers une ressource. Le champ mise à jour est inclus dans la propriété EventData lorsque vous exportez les résultats de recherche.
Invitation de partage mise à jour SharingInvitationUpdated Une invitation de partage externe a été mise à jour.
Utilisation d’un lien anonyme AnonymousLinkUsed Un utilisateur anonyme a consulté une ressource à l’aide d’un lien anonyme. L’identité de l’utilisateur peut être inconnue, mais vous pouvez obtenir d’autres informations telles que l’adresse IP de l’utilisateur.
Fichier, dossier ou site non partagé SharingRevoked Un utilisateur (membre ou invité) a cessé de partager un fichier, un dossier ou un site précédemment partagé avec un autre utilisateur.
Utilisation d’un lien d’entreprise partageable CompanyLinkUsed Un utilisateur a consulté une ressource à l’aide d’un lien à l’échelle de l’entreprise.
Lien sécurisé utilisé SecureLinkUsed Un utilisateur a utilisé un lien sécurisé.
Utilisateur ajouté à un lien sécurisé. AddedToSecureLink Un utilisateur a été ajouté à la liste des entités pouvant utiliser un lien de partage sécurisé.
Utilisateur supprimé d’un lien sécurisé. RemovedFromSecureLink Un utilisateur a été supprimé de la liste des entités pouvant utiliser un lien de partage sécurisé.
Invitation de partage retirée SharingInvitationRevoked Un utilisateur a retiré une invitation de partage à une ressource.

Activités d’administration des sites

Le tableau suivant répertorie les événements qui résultent de tâches d’administration de site dans SharePoint Online. Comme expliqué précédemment, les enregistrements d’audit de certaines activités SharePoint indiquent le app@sharepoint’utilisateur a effectué l’activité de la part de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nom facile à retenir Opération Description
Ajout de l’emplacement de données autorisé AllowedDataLocationAdded Un administrateur SharePoint ou général a ajouté un emplacement de données autorisé dans un environnement à plusieurs emplacements géographiques.
Agent utilisateur exempté ajouté ExemptUserAgentSet Un administrateur SharePoint ou général a ajouté un agent utilisateur à la liste des agents utilisateurs exemptés dans le centre d’administration SharePoint.
Ajout d’un administrateur d’emplacement géographique GeoAdminAdded Un administrateur SharePoint ou général a ajouté un utilisateur en tant qu’administrateur géo d’un emplacement.
Utilisateur autorisé à créer des groupes AllowGroupCreationSet Un administrateur ou propriétaire de site ajoute un niveau d’autorisation à un site qui permet à un utilisateur auquel cette autorisation est octroyée de créer un groupe pour ce site.
Annulation du géodéplacement d’un site SiteGeoMoveCancelled Un administrateur SharePoint ou global annule correctement un déplacement géospatial de site SharePoint ou OneDrive. La fonctionnalité Multigéographie permet à une organisation de couvrir plusieurs géographies de centre de données Microsoft (appelées géos). Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online.
Modification d’une stratégie de partage SharingPolicyChanged Un administrateur SharePoint ou général a modifié une stratégie de partage SharePoint à l’aide du Centre d’administration Microsoft 365, du Centre d’administration SharePoint ou de SharePoint Online Management Shell. Les modifications apportées aux paramètres de la stratégie de partage de votre organisation sont enregistrées. La stratégie modifiée est identifiée dans le champ ModifiedProperties des propriétés détaillées de l’enregistrement d’événement.
Modification de la stratégie d’accès aux appareils DeviceAccessPolicyChanged Un administrateur SharePoint ou général a modifié la stratégie relative aux appareils non gérés de votre organisation. Cette stratégie contrôle l’accès à SharePoint, OneDrive et Microsoft 365 sur les appareils qui ne sont pas associés à votre organisation. La configuration de cette stratégie nécessite un abonnement Enterprise Mobility + Security. Pour plus d’informations, voir Contrôler l’accès à partir des appareils non gérés.
Agents utilisateurs exemptés modifiés CustomizeExemptUsers L’administrateur SharePoint ou général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous voulez exempter de la réception d’une page web entière à indexer. Cela signifie que lorsqu’un agent utilisateur que vous avez spécifié comme exempt rencontre un formulaire InfoPath, le formulaire est retourné sous la forme d’un fichier XML, au lieu d’une page web entière. Cela permet d’accélérer l’indexation des formulaires InfoPath.
Modification de la stratégie d’accès au réseau NetworkAccessPolicyChanged Un administrateur SharePoint ou général a modifié la stratégie d’accès basée sur l’emplacement (également appelée limite réseau approuvée) dans le Centre d’administration SharePoint ou à l’aide de SharePoint Online PowerShell. Ce type de stratégie détermine qui peut accéder aux ressources SharePoint et OneDrive de votre organisation en fonction des plages d’adresses IP autorisées que vous spécifiez. Pour plus d’informations, voir Contrôler l’accès aux données SharePoint Online et OneDrive en fonction d’emplacements réseau définis.
Travail de migration terminé MigrationJobCompleted Un travail de migration a été effectué avec succès.
Géodéplacement de site effectué SiteGeoMoveCompleted Un géodéplacement planifié par un administrateur général de votre organisation a été effectué avec succès. La fonctionnalité Multigéographie permet à une organisation de couvrir plusieurs géographies de centre de données Microsoft (appelées géos). Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online.
Connexion Envoyé à créée SendToConnectionAdded L’administrateur SharePoint ou général crée une nouvelle connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. Une connexion Envoyer à spécifie les paramètres pour un référentiel de documents ou un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié.
Collection de sites créée SiteCollectionCreated Un administrateur SharePoint ou global crée une collection de sites dans votre organisation SharePoint Online ou un utilisateur configure son site OneDrive Entreprise.
Site hub orphelin supprimé HubSiteOrphanHubDeleted Un administrateur SharePoint ou général a supprimé un site hub orphelin, qui est un site concentrateur qui n’a pas de sites associé. Un concentrateur orphelin est probablement dû à la suppression du site concentrateur d’origine.
Connexion Envoyé à supprimée SendToConnectionRemoved L’administrateur SharePoint ou général supprime une connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint.
Site supprimé SiteDeleted L’administrateur de site supprime un site.
Aperçu du document activé PreviewModeEnabledSet Un administrateur de site active l’aperçu des documents pour un site.
Flux de travail hérité activé LegacyWorkflowEnabledSet Le propriétaire ou l’administrateur du site ajoute le type de contenu de tâche de flux de travail SharePoint 2013 au site. Les administrateurs généraux peuvent également activer les workflows pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.
Office à la demande activé OfficeOnDemandSet L’administrateur de site active Office à la demande, qui permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. Office à la demande est activé dans le centre d’administration SharePoint et nécessite un abonnement Microsoft 365 qui inclut l’installation de l’ensemble des applications Office.
Source de résultats activée pour les recherches de personnes PeopleResultsScopeSet Un administrateur de site crée l’origine des résultats pour les recherches de personnes pour un site.
Flux RSS activés NewsFeedEnabledSet L’administrateur ou le propriétaire du site active les flux RSS pour un site. Les administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.
Site joint au site concentrateur HubSiteJoined Un propriétaire de site associe son site à un site concentrateur.
Quota de collection de sites modifié SiteCollectionQuotaModified L’administrateur de site modifie le quota d’une collection de sites.
Site hub inscrit HubSiteRegistered Un administrateur SharePoint ou global crée un site concentrateur. Le résultat est que le site est inscrit pour être un site concentrateur.
Emplacement des données autorisées supprimé AllowedDataLocationDeleted Un administrateur SharePoint ou général a supprimé un emplacement de données autorisé dans un environnement à plusieurs emplacements géographiques.
Administrateur d’emplacement géographique supprimé GeoAdminDeleted Un administrateur SharePoint ou général a supprimé un utilisateur en tant qu’administrateur géo d’un emplacement.
Site renommé SiteRenamed Un administrateur ou propriétaire de site renomme un site.
Planification du géodéplacement d’un site SiteGeoMoveScheduled Un administrateur SharePoint ou global planifie correctement un déplacement géospatial de site SharePoint ou OneDrive. La fonctionnalité Multigéographie permet à une organisation de couvrir plusieurs géographies de centre de données Microsoft (appelées géos). Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online.
Site hôte défini HostSiteSet Un administrateur SharePoint ou général modifie le site désigné pour l’hébergement de sites personnels ou OneDrive Entreprise.
Définir un quota de stockage pour un emplacement géographique GeoQuotaAllocated Un administrateur SharePoint ou général a configuré un quota de stockage pour un environnement à plusieurs emplacements géographiques.
Site disjoint d’un site concentrateur HubSiteUnjoined Un propriétaire de site dissocie son site d’un site concentrateur.
Site concentrateur non enregistré HubSiteUnregistered Un administrateur SharePoint ou global annule l’enregistrement d’un site concentrateur. Lorsqu’un site concentrateur est supprimé, il ne fonctionne plus en tant que site concentrateur.

Activités d’autorisations de site

Le tableau suivant répertorie les événements liés à l’attribution d’autorisations dans SharePoint et l’utilisation des groupes pour accorder (et révoquer) l’accès aux sites. Comme expliqué précédemment, les enregistrements d’audit de certaines activités SharePoint indiquent le app@sharepoint’utilisateur a effectué l’activité de la part de l’utilisateur ou de l’administrateur qui a lancé l’action. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.

Nom facile à retenir Opération Description
Administrateur de collection de site ajouté SiteCollectionAdminAdded L’administrateur de collection de sites ou le propriétaire ajoute une personne en tant qu’administrateur de collection de sites pour un site. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. Cette activité est également enregistrée lorsqu’un administrateur se donne accès au compte OneDrive d’un utilisateur (en modifiant le profil utilisateur dans le Centre d’administration SharePoint ou à l’aide du Centre d’administration Microsoft 365).
Utilisateur ou groupe ajouté au groupe SharePoint AddedToGroup L’utilisateur a ajouté un membre ou un invité à un groupe SharePoint. Il s’agit peut-être d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement de partage).
Fin de l’héritage des niveaux d’autorisation PermissionLevelsInheritanceBroken Un élément a été modifié afin qu’il n’hérite plus des niveaux d’autorisation de son parent.
Fin de l’héritage de partage SharingInheritanceBroken Un élément a été modifié afin qu’il n’hérite plus des autorisations de partage de son parent.
Groupe créé GroupAdded L’administrateur ou le propriétaire du site crée un groupe pour un site ou effectue une tâche à l’origine de la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive Entreprise de l’utilisateur. Cet événement peut également être le résultat de la création d’un lien par un utilisateur avec autorisation de modification sur un fichier partagé.
Groupe supprimé GroupRemoved Un utilisateur supprime un groupe d’un site.
Paramètre de demande d’accès modifié WebRequestAccessModified Les paramètres de demande d’accès ont été modifiés sur un site.
Paramètre «les membres peuvent partagés» modifié WebMembersCanShareModified Le paramètre les membres peuvent partager a été modifié sur un site.
Modification du niveau d’autorisation sur une collection de sites PermissionLevelModified Un niveau d’autorisation a été modifié sur une collection de sites.
Autorisations de site modifiées SitePermissionsModified L’administrateur ou le propriétaire du site (ou compte système) modifie le niveau d’autorisation affecté à un groupe sur un site. Cette activité est également enregistrée si toutes les autorisations sont supprimées d’un groupe.

Remarque: cette opération est déconseillée dans SharePoint Online. Pour rechercher des événements connexes, vous pouvez rechercher d’autres activités liées à une autorisation, telles que Administrateur de collection de sites ajoutée, Utilisateur ou groupe ajouté à un groupe SharePoint, Utilisateur autorisé à créer des groupes, Groupe créé et Groupe supprimé.
Suppression d’un niveau d’autorisation dans une collection de sites PermissionLevelRemoved Un niveau d’autorisation a été supprimé d’une collection de sites.
Administrateur de collection de site supprimé SiteCollectionAdminRemoved L’administrateur de collection de sites ou le propriétaire supprime une personne en tant qu’administrateur de collection de sites pour un site. Cette activité est également enregistrée lorsqu’un administrateur se supprime de la liste des administrateurs de collections de sites pour le compte OneDrive d’un utilisateur (en modifiant le profil utilisateur dans le centre d’administration SharePoint). Pour renvoyer cette activité dans les résultats de la recherche dans le journal d’audit, vous devez rechercher toutes les activités.
Utilisateur ou groupe supprimé au groupe SharePoint RemovedFromGroup L’utilisateur a supprimé un membre ou un invité d’un groupe SharePoint. Il s’agit peut-être d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement d’annulation de partage).
Autorisations d’administrateur de site demandées SiteAdminChangeRequest L’utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites.
Restauration de l’héritage de partage SharingInheritanceReset Une modification a été apportée afin qu’un élément hérite des autorisations de partage de son parent.
Groupe mis à jour GroupUpdated L’administrateur ou le propriétaire du site modifie les paramètres d’un groupe pour un site. Cela peut inclure la modification du nom du groupe, qui peut consulter ou modifier l’appartenance au groupe et la gestion des demandes d’appartenance.

Activités de synchronisation

Le tableau suivant décrit les activités de synchronisation dans SharePoint Online et OneDrive Entreprise.

Nom facile à retenir Opération Description
Ordinateur autorisé à synchroniser des fichiers ManagedSyncClientAllowed L’utilisateur a réussi à établir une relation de synchronisation avec un site. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (liste des destinataires approuvés) qui peuvent accéder aux bibliothèques de documents dans votre organisation.

Pour plus d’informations sur cette fonctionnalité, consultez Utiliser les applets de commande PowerShell pour activer la synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés.
Ordinateur non autorisé à synchroniser des fichiers UnmanagedSyncClientBlocked L’utilisateur tente d’établir une relation de synchronisation avec un site à partir d’un ordinateur qui n’est pas membre du domaine de votre organization ou qui est membre d’un domaine qui n’a pas été ajouté à la liste des domaines (appelé liste des destinataires approuvés) qui peut accéder aux bibliothèques de documents dans votre organization. La relation de synchronisation n’est pas autorisée et l’ordinateur de l’utilisateur ne peut pas synchroniser, télécharger ou charger des fichiers sur une bibliothèque de documents.

Pour plus d’informations sur cette fonctionnalité, consultez Utiliser les applets de commande PowerShell pour activer la synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés.
Fichiers téléchargés sur l’ordinateur FileSyncDownloadedFull L’utilisateur télécharge un fichier sur son ordinateur à partir d’une bibliothèque de documents SharePoint ou de OneDrive Entreprise à l’aide de l’application de synchronisation OneDrive (OneDrive.exe).
Modifications du fichier téléchargées sur l’ordinateur FileSyncDownloadedPartial Cet événement a été déprécié avec l’ancienne application de synchronisation OneDrive Entreprise (Groove.exe).
Fichiers téléchargés dans la bibliothèque de documents FileSyncUploadedFull Un utilisateur charge un nouveau fichier ou les modifications apportées à un fichier dans SharePoint bibliothèque de documents ou de OneDrive Entreprise à l’aide de l’application de synchronisation OneDrive (OneDrive.exe).
Modifications du fichier téléchargées dans la bibliothèque de documents FileSyncUploadedPartial Cet événement a été déprécié avec l’ancienne application de synchronisation OneDrive Entreprise (Groove.exe).

Activités SystemSync

Le tableau suivant répertorie les activités de SystemSync enregistrées dans le journal d’audit Microsoft 365.

Nom facile à retenir Opération Description
Data Share créé DataShareCreated Lorsque l’exportation de données est créée par l’utilisateur.
Data Share supprimé DataShare Supprimé Lorsque l’exportation de données est supprimée par l’utilisateur.
Générer une copie des données Lake GenerateCopyOfLakeData Lorsque la copie de Lake Data est générée.
Télécharger la copie des données Lake DownloadCopyOfLakeData Lorsque la copie de Lake Data est téléchargée.

Activités d’administration des utilisateurs

Le tableau suivant répertorie les activités d’administration des utilisateurs enregistrées quand un administrateur ajoute ou modifie un compte d’utilisateur via le Centre d’administration Microsoft 365 ou le portail de gestion Azure.

Remarque

Les noms d’opération répertoriés dans la colonne Opération de ce tableau contiennent un point ( . ). Vous devez inclure le point dans le nom de l’opération si vous spécifiez l’opération dans une commande PowerShell lors de la recherche dans le journal d’audit, la création de stratégies de rétention d’audit, la création de stratégies d’alerte, ou la création d’alertes d’activité. Utilisez également des guillemets doubles (" ") pour contenir le nom de l’opération.

Activité Opération Description
Utilisateur ajouté Ajouter un utilisateur. Un compte d’utilisateur a été créé.
Licence utilisateur modifiée Modifier une licence d’utilisateur. La licence attribuée à un utilisateur a été modifiée. Pour identifier les licences modifiées, voir l’activité Utilisateur mis à jour correspondante.
Mot de passe utilisateur modifié Modifier un mot de passe d’utilisateur. Un utilisateur modifie son mot de passe. La réinitialisation du mot de passe en libre-service doit être activée (pour tous les utilisateurs ou les utilisateurs sélectionnés) au sein de votre organisation pour permettre aux utilisateurs de réinitialiser leur mot de passe. Vous pouvez également suivre l’activité de réinitialisation de mot de passe en libre-service dans Microsoft Entra ID. Pour plus d’informations, consultez Options de création de rapports pour Microsoft Entra la gestion des mots de passe.
Utilisateur supprimé Supprimez l’utilisateur. Un compte d’utilisateur a été supprimé.
Réinitialiser le mot de passe de l’utilisateur Réinitialiser un mot de passe d’utilisateur. Un administrateur réinitialise le mot de passe d’un utilisateur.
Propriété définie qui force l’utilisateur à changer de mot de passe. Définir la modification forcée d’un mot de passe d’utilisateur. Un administrateur a défini la propriété qui force un utilisateur à modifier son mot de passe lors de sa prochaine connexion à Microsoft 365.
Propriétés de licence définies Définir des propriétés de licence. Un administrateur modifie les propriétés d’une licence attribuée à un utilisateur.
Utilisateur mis à jour Mettre à jour un utilisateur. Un administrateur modifie une ou plusieurs propriétés d’un compte d’utilisateur. Pour obtenir la liste des propriétés utilisateur qui peuvent être mises à jour, consultez la section « Mettre à jour les attributs utilisateur » dans Microsoft Entra auditer les événements de rapport.

activités Viva Goals

Le tableau suivant répertorie les activités de l’utilisateur et de l’administrateur dans Viva Goals qui sont enregistrées pour l’audit. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.

Recherchez dans les détails du journal d’audit la façon dont vous pouvez rechercher les journaux d’audit à partir du portail Microsoft Purview et du portail de conformité. L’utilisateur doit être administrateur général ou disposer d’autorisations de lecture d’audit pour accéder aux journaux d’audit. Vous pouvez utiliser le filtre Activités pour rechercher des activités spécifiques et répertorier toutes les activités Viva Goals vous pouvez choisir « VivaGoals » dans le filtre Type d’enregistrement. Vous pouvez également utiliser les zones de plage de dates et la liste Utilisateurs pour affiner davantage les résultats de la recherche.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nom facile à retenir Opération Description
Organisation créée Organisation créée Administration ou l’utilisateur a créé un organization sur Viva Goals.
Utilisateur ajouté Utilisateur ajouté Un nouvel utilisateur a été ajouté à un organization sur Viva Goals.
Utilisateur désactivé Utilisateur désactivé Un utilisateur a été désactivé dans un organization.
Utilisateur supprimé Utilisateur supprimé Un utilisateur a été supprimé d’un organization sur Viva Goals.
Utilisateur connecté Utilisateur connecté L’utilisateur s’est connecté à Viva Goals.
Ajout de l’équipe Ajout de l’équipe Une nouvelle équipe a été créée au sein d’un organization sur Viva Goals.
Mise à jour de l’équipe Mise à jour de l’équipe Une équipe au sein d’une organization sur Viva Goals a été modifiée ou mise à jour.
Équipe supprimée Équipe supprimée Une équipe au sein d’une organization sur Viva Goals a été supprimée par l’utilisateur.
Données exportées Données exportées Un utilisateur a exporté une liste d’OKR ou une liste d’utilisateurs dans un organization sur Viva Goals.
Goals mise à jour de la stratégie Goals mise à jour de la stratégie L’administrateur général a modifié la stratégie ou les paramètres au niveau du locataire sur Viva Goals. Par exemple, l’administrateur général a configuré qui peut créer des organisations sur Viva Goals.
Paramètres de l’organisation mis à jour Paramètres de l’organisation mis à jour L’utilisateur (généralement les propriétaires ou administrateurs de l’organisation) a mis à jour organization paramètres spécifiques sur Viva Goals.
Intégrations d’organisation mises à jour Intégrations d’organisation mises à jour L’utilisateur (généralement propriétaires d’organisation ou administrateurs) a configuré une intégration tierce ou mis à jour une intégration tierce existante pour une organization sur Viva Goals.
OKR ou projet créé OKR ou projet créé L’utilisateur a créé un OKR ou un projet sur Viva Goals.
OKR ou Projet mis à jour OKR ou Projet mis à jour Un OKR/Projet a été modifié, une case activée a été effectuée par l’utilisateur ou une intégration sur Viva Goals.
OKR ou projet supprimé OKR ou projet supprimé L’utilisateur a supprimé un OKR ou un projet.
Tableau de bord créé Tableau de bord créé L’utilisateur a créé un tableau de bord sur Viva Goals
Tableau de bord mis à jour Tableau de bord mis à jour L’utilisateur a mis à jour un tableau de bord sur Viva Goals
Tableau de bord supprimé Tableau de bord supprimé L’utilisateur a supprimé un tableau de bord sur Viva Goals.

Viva Engage activités

Le tableau suivant répertorie les activités utilisateur et administrateur dans Viva Engage qui sont enregistrées dans le journal d’audit. Pour retourner des activités Viva Engage à partir du journal d’audit, vous devez sélectionner Afficher les résultats de toutes les activités dans la liste Activités. Utilisez les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de la recherche.

Remarque

Certaines activités d’audit Viva Engage sont disponibles uniquement dans Audit (Premium). Cela signifie que les utilisateurs doivent se voir attribuer la licence appropriée avant que ces activités ne soient enregistrées dans le journal d'audit. Pour plus d’informations, consultez Audit (Premium) . Pour connaître les conditions de licence de l'audit (Premium), consultez la section Solutions d'audit dans Microsoft 365.

Dans le tableau suivant, les activités d'audit (Premium) sont marquées d'un astérisque (*).

Nom facile à retenir Opération Description
Modification d’une stratégie de rétention des données SoftDeleteSettingsUpdated Un administrateur vérifié met à jour le paramètre de stratégie de rétention des données de réseau en vue d’une suppression définitive ou réversible. Seuls les administrateurs vérifiés peuvent effectuer cette opération.
Modification de configuration réseau NetworkConfigurationUpdated L’administrateur réseau ou vérifié modifie la configuration du réseau Viva Engage. Cela inclut la définition d’un intervalle pour l’exportation de données et l’activation de la conversation instantanée.
Modification des paramètres de profil réseau ProcessProfileFields Un administrateur réseau ou vérifié modifie les informations qui apparaissent sur les profils de membre des utilisateurs du réseau.
Modification du mode Contenu privé SupervisorAdminToggled L’administrateur vérifié active ou désactive le mode contenu privé . Ce mode permet à un administrateur d’afficher les publications dans des groupes privés et les messages privés entre utilisateurs individuels (ou groupes d’utilisateurs). Seuls les administrateurs vérifiés peuvent effectuer cette opération.
Modification de la configuration de la sécurité NetworkSecurityConfigurationUpdated L’administrateur vérifié met à jour la configuration de sécurité du réseau Viva Engage. Cela inclut la définition des stratégies d’expiration de mot de passe et les restrictions d’adresses IP. Seuls les administrateurs vérifiés peuvent effectuer cette opération.
Création de fichier FileCreated Un utilisateur charge un fichier.
Groupe créé GroupCreation L’utilisateur crée un groupe.
Message créé MessageCreation L’utilisateur crée un groupe.
Groupe supprimé GroupDeletion Un groupe est supprimé de Viva Engage.
Message supprimé MessageDeleted Un utilisateur supprime un message.
Fichier téléchargé FileDownloaded Un utilisateur télécharge un fichier.
Données exportées DataExport Les exportations d’administration vérifiées Viva Engage données réseau. Seuls les administrateurs vérifiés peuvent effectuer cette opération.
Échec de l'accès à la communauté CommunityAccessFailure L'utilisateur n'a pas réussi à accéder à une communauté.
Échec de l'accès au fichier FileAccessFailure L'utilisateur n'a pas réussi à accéder à un fichier.
Échec de l'accès au message MessageAccessFailure L'utilisateur n'a pas réussi à accéder à un message.
Réaction au message MarkedMessageChanged L’utilisateur a réagi à un message.
Supprimer une rubrique organisée* RemoveCuratedTopic L’utilisateur supprime une rubrique organisée.
Partage de fichier FileShared Un utilisateur partage un fichier avec un autre utilisateur.
Suspension d’un utilisateur du réseau NetworkUserSuspended L’administrateur réseau ou vérifié suspend (désactive) un utilisateur de Viva Engage.
Utilisateur suspendu UserSuspension Un compte d’utilisateur est suspendu (désactivé).
Mise à jour de la description d’un fichier FileUpdateDescription Un utilisateur modifie la description d’un fichier.
Mise à jour d’un nom de fichier FileUpdateName Un utilisateur modifie le nom d’un fichier.
Message mis à jour MessageUpdated Un utilisateur met à jour un message.
Affichage d’un fichier FileVisited Un utilisateur affiche un fichier.
Message affiché MessageViewed Un utilisateur affiche un message.

activités Viva Pulse

Le tableau suivant répertorie les activités de l’utilisateur et de l’administrateur dans Viva Pulse qui sont enregistrées pour l’audit. Le tableau inclut le nom convivial affiché dans la colonne Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier CSV lorsque vous exportez les résultats de la recherche.

Recherchez dans les détails du journal d’audit la façon dont vous pouvez rechercher les journaux d’audit à partir du portail Microsoft Purview et du portail de conformité. L’utilisateur doit être administrateur général ou disposer d’autorisations de lecture d’audit pour accéder aux journaux d’audit. Vous pouvez utiliser le filtre Activités pour rechercher des activités spécifiques et pour répertorier toutes les activités Viva Pulse, vous pouvez choisir VivaPulse dans le filtre Type d’enregistrement. Vous pouvez également utiliser les zones de plage de dates et la liste Utilisateurs pour affiner davantage les résultats de la recherche.

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. La réduction du nombre d’utilisateurs disposant du rôle Administrateur général permet d’améliorer la sécurité de vos organization. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nom facile à retenir Opération Description
Réponse envoyée par l’utilisateur à une enquête pulse PulseSubmit Administration ou les commentaires fournis par l’utilisateur pour une demande de commentaires Viva Pulse.
L’utilisateur a créé une enquête Pulse PulseCreate Une nouvelle demande de commentaires Viva Pulse est créée.
L’utilisateur a prolongé l’échéance de son enquête de pouls PulseExtendDeadline L’échéance de la demande de commentaires Viva Pulse existante a été prolongée.
L’utilisateur a invité des utilisateurs supplémentaires à l’enquête Pulse PulseInvite Des utilisateurs supplémentaires ont été invités à une demande de commentaires Viva Pulse existante.
L’utilisateur a annulé une enquête Pulse PulseCancel L’utilisateur a annulé une enquête Pulse.
L’utilisateur a partagé un rapport pulse PulseShareResults Viva résultat des commentaires Pulse a été partagé avec les utilisateurs.
L’utilisateur a créé un brouillon Pulse PulseCreateDraft L’utilisateur a créé un brouillon Pulse.
L’utilisateur a supprimé un brouillon Pulse PulseDeleteDraft L’utilisateur a supprimé un brouillon Pulse.
Administration supprimé les données d’un utilisateur PulseDeleteUserData Administration supprimé les données d’un utilisateur.
Administration les paramètres du locataire mis à jour PulseTenantSettingsUpdate Administration mis à jour un paramètre de organization pour Viva Pulse.

Windows 365 activités Customer Lockbox

Le tableau suivant répertorie les activités utilisateur et administrateur dans Windows 365 Customer Lockbox qui sont enregistrées dans le journal d’audit. Pour retourner Windows 365 activités liées à Customer Lockbox à partir du journal d’audit, sélectionnez Windows365CustomerLockbox sous Types d’enregistrements. Utilisez les zones des plages de dates et la liste Utilisateurs pour limiter les résultats de la recherche.

Nom facile à retenir Opération Description
Déclencher la correction de l’appareil Déclencher la correction de l’appareil Déclencher la correction de l’appareil.
Charger un dossier dans un objet blob Charger un dossier dans un objet blob Compressez et chargez le dossier de l’appareil client dans l’objet blob.
Vérifier la stratégie d’exécution de PowerShell Vérifier la stratégie d’exécution de PowerShell Vérifiez la stratégie d’exécution de PowerShell.
Installer l’agent Bureau à distance Installer l’agent Bureau à distance Installez l’agent Bureau à distance sur l’appareil de l’utilisateur.
Exécuter l’extension AADJ hybride Exécuter l’extension AADJ hybride Exécutez l’extension AADJ hybride sur l’appareil de l’utilisateur.
Créer une demande VmExtension Créer une demande VmExtention Crée des demandes d’extension de machine virtuelle pour exécuter l’extension de machine virtuelle afin d’exécuter des scripts personnalisés sur l’appareil du client.
Orchestrateur de déclencheur Orchestrateur de déclencheur Orchestrateur de déclencheur pour l’utilisateur.
Déclencher une action générique par SaaF Déclencher une action générique par SaaF Déclencher une action d’appareil (Reciblage, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) pour l’utilisateur.
Déclencher une action générique Déclencher une action générique Déclencher une action d’appareil pour l’utilisateur.
Déclencher une action générique avec des options Déclencher une action générique avec des options Déclencher une action d’appareil avec des paramètres d’option, plus puissants que celui d’une action générique de déclenchement.
Créer des éléments de travail (Planificateur) Créer des éléments de travail (Planificateur) Créer des éléments de travail, par exemple Provisionner, Déprovisionner, Reprovisionner, etc.
Post Remote Action Operation Post Remote Action Operation Post Remote Action, plus l’interrogation du résultat par l’opération GetActions.
Commandes d’exécution oce sur une machine virtuelle Commandes d’exécution oce sur une machine virtuelle Exécutez des commandes par tenantID, deviceID list et script.
Créer une demande LogCollection Créer une demande LogCollection Créer une demande de collecte de journaux sur un PC cloud.
Déclencher l’agent CMD canary case activée. Déclencher l’agent CMD canary case activée. Déclencher l’agent CMD Canary case activée sur un appareil spécifique.
Exécuter AppHealthPlugin Exécuter AppHealthPlugin Exécutez AppHealthPlugin.
Agent CMD de remblayage Opération AddDevicesToBackfill Agent CMD de remblayage sur pc cloud.
Réinstaller l’agent CMD Opération AddDevicesToReinstall Réinstallez l’agent CMD à la demande.
Réinstaller en bloc l’agent CMD Opération TriggerClientAgentCheckBulkAction Réinstallez en bloc l’agent CMD à la demande.
Créer une opération d’action à distance dans ActionModeratorService Créer une opération d’action à distance dans ActionModeratorService Créez une action distante par tenantID, workspaceID, actionType, actionParameters.