Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma de l’API d’activité de gestion Office 365 est fourni en tant que service de données dans deux couches :
Schéma commun. L’interface permettant d’accéder aux principaux concepts d’audit d’Office 365, comme le type d’enregistrement, l’heure de création, le type d’utilisateur et l’action, ainsi que d’obtenir les dimensions principales (par exemple, l’ID utilisateur), les informations sur l’emplacement (par exemple, l’adresse IP du client) et les propriétés propres au service (par exemple, l’ID d’objet). Elle présente des affichages uniformes et cohérents pour les utilisateurs afin d’extraire toutes les données d’audit d’Office 365 dans un nombre réduit d’affichages de niveau supérieur avec les paramètres appropriés. Elle fournit un schéma fixe pour toutes les sources de données, ce qui réduit considérablement le coût d’apprentissage. Le schéma commun provient des données de produit détenues par chaque équipe produit, comme Exchange, SharePoint, Azure Active Directory, Viva Engage et OneDrive. Le champ ID d’objet peut être étendu par les équipes de produit Microsoft 365 pour ajouter des propriétés propres au service.
Schéma spécifique au service. Basé sur le schéma commun pour fournir un ensemble d’attributs spécifiques au service Microsoft 365 ; par exemple, schéma SharePoint, schéma OneDrive et schéma d’administration Exchange.
Schémas de l’API de gestion d’Office 365
Cet article fournit des détails sur le schéma commun ainsi que sur les schémas spécifiques au service. Le tableau suivant décrit les schémas disponibles.
| Nom du schéma | Description |
|---|---|
| Schéma commun | Vue permettant d’extraire le type d’enregistrement, l’ID utilisateur, l’adresse IP du client, le type d’utilisateur et l’action, ainsi que les dimensions principales telles que les propriétés utilisateur (comme UserID), les propriétés d’emplacement (comme l’adresse IP du client) et les propriétés propres au service (comme l’ID d’objet). |
| Schéma Copilot | Les événements incluent comment et quand interagir avec Copilot, dans lequel microsoft 365 service l’activité a eu lieu, et des références aux fichiers stockés dans Microsoft 365 qui ont été consultés pendant l’interaction. |
| Schéma de base SharePoint | Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit de SharePoint. |
| Opérations sur les fichiers SharePoint | Étend le schéma de base SharePoint avec les propriétés spécifiques de la manipulation et de l’accès aux fichiers dans SharePoint. |
| Liste d’opérations SharePoint | Étend le schéma de base SharePoint avec les propriétés spécifiques aux interactions avec les listes et les éléments de liste dans SharePoint. |
| Schéma de partage SharePoint | Étend le schéma de base de SharePoint avec les propriétés spécifiques du partage de fichier. |
| Schéma SharePoint | Étend le schéma de base de SharePoint avec les propriétés spécifiques de SharePoint, mais non liées à la manipulation ou à l’accès aux fichiers. |
| Schéma Project | Étend le schéma de base SharePoint avec les propriétés spécifiques de Project. |
| Schéma d’administration Exchange | Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit d’administration Exchange. |
| Schéma de boîte aux lettres Exchange | Étend le schéma de base avec les propriétés spécifiques de toutes les données d’audit de boîte aux lettres Exchange. |
| Schéma d’OWA Auth | Étend le schéma commun avec les propriétés spécifiques aux données d’authentification OWA. |
| schéma de base Microsoft Entra ID | Étend le schéma commun avec les propriétés spécifiques à toutes les données d’audit Microsoft Entra. |
| schéma d’ouverture de session du compte Microsoft Entra | Étend le schéma de base Microsoft Entra ID avec les propriétés spécifiques à tous les événements d’ouverture de session Microsoft Entra. |
| Microsoft Entra ID schéma d’ouverture de session STS sécurisé | Étend le schéma de base Microsoft Entra ID avec les propriétés spécifiques à tous les événements d’ouverture de session STS (Secure Token Service) Microsoft Entra ID. |
| schéma Microsoft Entra | Étend le schéma commun avec les propriétés spécifiques à toutes les données d’audit Microsoft Entra. |
| Schéma DLP | Étend le schéma commun avec les propriétés spécifiques des événements de protection contre la perte de données (DLP). |
| Schéma du Centre de sécurité et conformité | Étend le schéma commun avec les propriétés spécifiques à tous les événements du Centre de conformité & de sécurité. |
| Schéma d’alertes de sécurité et conformité | Étend le schéma commun avec les propriétés spécifiques de toutes les alertes de sécurité et conformité d’Office 365. |
| schéma Viva Engage | Étend le schéma commun avec les propriétés spécifiques à tous les événements Viva Engage. |
| Schéma de base de sécurité du centre de données | Étend le Schéma commun avec les propriétés spécifiques de toutes les données d’audit de sécurité du centre de données. |
| Schéma de cmdlet de sécurité du centre de données | Étend le schéma de base de sécurité du centre de données avec les propriétés spécifiques de toutes les données d’audit de cmdlet de sécurité du centre de données. |
| Schéma Microsoft Teams | Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Teams. |
| Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces | Étend le schéma commun avec les propriétés spécifiques à Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces. |
| Schéma d’envoi | Étend le schéma Commun avec les propriétés spécifiques aux envois d’utilisateurs et d’administrateurs dans Microsoft Defender pour Office 365. |
| Événements d’investigation et de réponse automatisés dans Microsoft Defender pour Office 365 Plan 2 | Étend le schéma commun avec les propriétés spécifiques aux événements d’investigation et de réponse automatisés (AIR) d’Office 365. Pour voir un exemple, consultez le blog tech community : Améliorer l’efficacité de votre SOC avec Microsoft Defender pour Office 365 et l’API de gestion des Office 365. |
| Schéma des événements d’hygiène | Étend le schéma commun avec les propriétés spécifiques aux événements dans les fonctionnalités de sécurité intégrées pour toutes les boîtes aux lettres cloud et Microsoft Defender pour Office 365. |
| Schéma Power BI | Étend le Schéma commun avec les propriétés spécifiques à tous les événements Power BI. |
| Schéma Dynamics 365 | Étend le schéma commun avec les propriétés spécifiques de tous les événements Dynamics 365. |
| Schéma Viva Insights | Étend le schéma commun avec les propriétés spécifiques à tous les événements Microsoft Viva Insights. |
| Schéma de la mise en quarantaine | Étend le schéma commun avec les propriétés spécifiques de tous les événements de mise en quarantaine. |
| Schéma Microsoft Forms | Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Forms. |
| Schéma d’étiquette Microsoft Information Protection | Développe le schéma commun avec les propriétés spécifiques aux étiquettes de confidentialité, appliquées de façon manuelle ou automatique aux courriers électroniques. |
| Schéma d’événement du portail de messages chiffré | Étend le schéma commun avec les propriétés spécifiques au portail de messages chiffrés accessibles par les destinataires externes. |
| Schéma Exchange de conformité aux communications | Étend le schéma commun avec les propriétés spécifiques du modèle de langage choquant de conformité aux communications. |
| Schéma des rapports | Étend le schéma commun avec les propriétés spécifiques de tous les événements de rapport. |
| Schéma du connecteur de conformité | Étend le schéma commun avec les propriétés spécifiques à l’importation de données non-Microsoft à l’aide de connecteurs de données. |
| Schéma SystemSync | Étend le schéma de base avec les propriétés spécifiques à toutes les données ingérées via SystemSync. |
| schéma Viva Goals | Étend le schéma commun avec les propriétés spécifiques à tous les événements Viva Goals. |
| schéma Planificateur Microsoft | Étend le schéma commun avec les propriétés spécifiques aux événements Planificateur Microsoft. |
| Schéma microsoft Project pour le web | Étend le schéma commun avec les propriétés spécifiques aux événements Project pour le web Microsoft. |
| Schéma Viva Pulse | Étend le schéma commun avec les propriétés spécifiques à tous les événements Viva Pulse. |
| Schéma du Gestionnaire de conformité | Étend le schéma commun avec les propriétés spécifiques aux événements du Gestionnaire de conformité. |
| Schéma de stratégie de sauvegarde | Étend le schéma commun avec les propriétés spécifiques aux stratégies Sauvegarde Microsoft 365. |
| Restaurer le schéma de tâche | Étend le schéma commun avec les propriétés spécifiques aux tâches de restauration Sauvegarde Microsoft 365. |
| Schéma de l’élément de sauvegarde | Étend le schéma commun avec les propriétés spécifiques aux artefacts Sauvegarde Microsoft 365. |
| Restaurer le schéma d’élément | Étend le schéma commun avec les propriétés spécifiques à Sauvegarde Microsoft 365 Éléments de restauration. |
| Schéma du service De stratégie cloud | Étend le schéma commun avec les propriétés spécifiques à toutes les données d’audit du service Cloud Policy. |
| Schéma de configuration du profil de mise à jour cloud | Étend le schéma commun avec les propriétés spécifiques aux données d’audit de configuration de profil Cloud Update. |
| Schéma de configuration du locataire Cloud Update | Étend le schéma commun avec les propriétés spécifiques aux données d’audit de configuration du locataire Cloud Update. |
| Schéma de configuration de l’appareil De mise à jour cloud | Étend le schéma commun avec les propriétés spécifiques aux données d’audit de configuration de l’appareil Cloud Update. |
| Schéma de détection des risques Microsoft Entra | Étend le schéma commun avec les propriétés spécifiques aux événements de détection des risques Microsoft Entra. |
| Schéma Microsoft Edge WebContentFiltering | Étend le schéma commun avec les propriétés spécifiques aux événements Microsoft Edge WebContentFiltering. |
| Microsoft 365 Copilot schéma d’invite planifiée | Étend le schéma commun avec les propriétés spécifiques à Microsoft 365 Copilot données d’audit d’invite planifiées. |
| schéma d’annuaire Microsoft Places | Étend le schéma commun avec les propriétés spécifiques aux données d’audit Microsoft Places Directory. |
Schéma commun
Nom EntityType : AuditRecord
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Combinaison GUIDEdm.Guid | Oui | Identificateur unique d’un enregistrement d’audit. |
| RecordType | Self.AuditLogRecordType | Oui | Type d’opération indiqué par l’enregistrement. Reportez-vous au tableau AuditLogRecordType pour obtenir plus d’informations sur les types d’enregistrements du journal d’audit. |
| CreationTime | Edm.Date | Oui | Date et heure utc (Temps universel coordonné) auxquelles l’enregistrement du journal d’audit a été généré. |
| Opération | Edm.String | Oui | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes, consultez Rechercher dans le journal d’audit. Pour une activité d’administration Exchange, cette propriété identifie le nom de la cmdlet qui a été exécutée. Pour les événements DLP, les valeurs possibles, définies sous « Schéma DLP » ci-dessous, sont les suivantes : « DlpRuleMatch », « DlpRuleUndo » ou « DlpInfo ». |
| OrganizationId | Edm.Guid | Oui | GUID pour le client Office 365 de votre organisation. Cette valeur est toujours la même pour votre organization, quel que soit le service Office 365 dans lequel elle se produit. |
| UserType | Self.UserType | Oui | Type d’utilisateur ayant effectué l’opération. Reportez-vous au tableau UserType pour obtenir plus d’informations sur les types d’utilisateur. |
| UserKey | Edm.String | Oui | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive et Exchange. |
| Charge de travail | Edm.String | Oui | Service Office 365 dans lequel l’activité s’est produite. |
| ResultStatus | Edm.String | Non | Indique si l’action (indiquée dans la propriété Operation) a réussi ou non. Valeurs possibles : Succeeded, PartiallySucceded ou Failed. Pour une activité d’administration Exchange, la valeur peut être True ou False. Important : Différentes charges de travail peuvent remplacer la valeur de la propriété ResultStatus. Par exemple, pour Microsoft Entra ID événements d’ouverture de session STS, la valeur Succeeded pour ResultStatus indique uniquement que l’opération HTTP a réussi ; cela ne signifie pas que l’ouverture de session a réussi. Pour déterminer si l’ouverture de session réelle a réussi ou non, consultez la propriété LogonError dans le schéma d’ouverture de session STS Microsoft Entra ID. Si l’ouverture de session a échoué, la valeur de cette propriété contient la raison de l’échec de la tentative d’ouverture de session. |
| ObjectId | Edm.string | Non | Pour l’activité SharePoint et OneDrive, le nom complet du chemin d’accès du fichier ou du dossier auquel l’utilisateur a accédé. Pour la journalisation d’audit d’administration Exchange, il s’agit du nom de l’objet modifié par la cmdlet. Pour le service Cloud Policy, l’ID d’objet de la configuration de la stratégie. Pour l’activité TrainableClassifier, id du modèle créé, publié, mis à jour ou supprimé par l’utilisateur. |
| UserId | Edm.string | Oui | L’UPN (nom d’utilisateur principal) de l’utilisateur ayant effectué l’action (indiquée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Par exemple, my_name@my_domain_name.
Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| ClientIP | Edm.String | Oui | Adresse IPv4 ou IPv6 de l’appareil qui a été utilisé lorsque l’activité a été enregistrée. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour les événements liés à Microsoft Entra ID, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. |
| Portée | Self.AuditLogScope | Non | Événement créé par l’une des sources suivantes :
|
| AppAccessContext | CollectionSelf. AppAccessContext | Non | Contexte de l’application pour l’utilisateur ou le principal de service qui a effectué l’action. |
AgentAdminActivity
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Id de l’agent | Edm.String | Oui | Identificateur unique de l’agent |
| Nom_agent | Edm.String | Oui | Nom de l’agent |
| AgentType | Edm.Int32 | Oui | Type de l’agent : Microsoft (1P), externe (3P), partagé par les utilisateurs (partagé), créé par votre organisation (externe). |
| UserAssignments | Collection (Edm.Guid) | Non | Collection de GUID d’utilisateurs et de groupes associés à l’activité de l’agent. |
| ForAllUsers | Edm.Boolean | Oui | Si l’activité associée à l’agent a été capturée pour l’ensemble du organization ou non. True lorsqu’elle s’applique à tous les utilisateurs du organization. False quand elle s’applique à des utilisateurs/groupes spécifiques. |
AgentSettingsAdminActivity
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Propriété | Edm.String | Oui | Nom du paramètre à l’échelle du locataire qui a été mis à jour par l’administrateur. |
| RemovedIdentities | Collection(Edm.Guid) | Non | Collection de GUID d’utilisateurs ou de groupes supprimés. |
| AddedIdentities | Collection(Edm.Guid) | Non | Collection de GUID d’utilisateurs ou de groupes qui ont été ajoutés. |
| NewValue | Edm.String | Oui | Nouvelle valeur du paramètre. |
| ForAllUsers | Edm.Boolean | Oui | Valeur booléenne indiquant si le paramètre à l’échelle du locataire a impacté tous les utilisateurs. |
| OldValue | Edm.String | Oui | Ancienne valeur ou nouveau paramètre. |
Énumération : AuditLogRecordType - Type : Edm.Int32
AuditLogRecordType
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | ExchangeAdmin | Événements du journal d’audit de d’administration Exchange. |
| 2 | ExchangeItem | Événements d’un enregistrement d’audit de boîte aux lettres Exchange pour les actions effectuées sur un seul élément, comme la création ou la réception d’un message électronique. |
| 3 | ExchangeItemGroup | Événements d’un événement d’audit de boîte aux lettres Exchange pour les actions qui peuvent être effectuées sur plusieurs éléments, comme le déplacement ou la suppression d’un ou de plusieurs messages électroniques. |
| 4 | SharePoint | Événements SharePoint. |
| 6 | SharePointFileOperation | Événements d’opération de fichier SharePoint. |
| 7 | OneDrive | Événements OneDrive. |
| 8 | AzureActiveDirectory | Microsoft Entra ID événements. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID événements d’ouverture de session OrgId (déconseillé). |
| 10 | DataCenterSecurityCmdlet | Événements de cmdlet de sécurité du centre de données. |
| 11 | ComplianceDLPSharePoint | Événements de protection contre la perte de données (DLP) dans SharePoint et OneDrive. |
| 13 | ComplianceDLPExchange | Événements de protection contre la perte de données (DLP) dans Exchange lorsqu’ils sont configurés via une stratégie DLP unifiée. Les événements DLP basés sur les règles de transport Exchange ne sont pas pris en charge. |
| 14 | SharePointSharingOperation | Événements de partage SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | Événements d’ouverture de session STS (Secure Token Service) dans Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Événements du réseau téléphonique public commuté (RTPC) à partir de Skype entreprise. |
| 17 | SkypeForBusinessUsersBlocked | Événements utilisateur bloqués à partir de Skype entreprise. |
| 18 | SecurityComplianceCenterEOPCmdlet | Administration des actions dans les fonctionnalités de sécurité intégrées pour toutes les boîtes aux lettres cloud à partir du portail Microsoft Defender. |
| 19 | ExchangeAggregatedOperation | Événements d’audit des boîtes aux lettres Exchange agrégées. |
| 20 | PowerBIAudit | Événements Power BI. |
| 21 | CRM | Événements Dynamics 365. |
| 22 | Viva Engage | Viva Engage événements. |
| 23 | SkypeForBusinessCmdlets | Événements Skype Entreprise. |
| 24 | Discovery | Événements pour les activités eDiscovery effectuées en exécutant des recherches de contenu et en gérant des cas eDiscovery dans le portail Microsoft Purview. |
| 25 | MicrosoftTeams | Événements de Microsoft Teams. |
| 28 | ThreatIntelligence | Événements de hameçonnage et de programmes malveillants provenant des fonctionnalités de sécurité intégrées pour toutes les boîtes aux lettres cloud et Microsoft Defender pour Office 365. |
| 29 | MailSubmission | Événements de soumission à partir des fonctionnalités de sécurité intégrées pour toutes les boîtes aux lettres cloud et Microsoft Defender pour Office 365. |
| 30 | MicrosoftFlow | Événements Microsoft Power Automate (autrefois appelés Microsoft Flow). |
| 31 | AeD | Événements eDiscovery (découverte électronique) avancée. |
| 32 | MicrosoftStream | Événements Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | Événements liés à la classification DLP dans SharePoint. |
| 34 | ThreatFinder | Événements liés à la campagne de Microsoft Defender pour Office 365. |
| 35 | Project | Événements Microsoft Project. |
| 36 | SharePointListOperation | Événements de liste SharePoint. |
| 37 | SharePointCommentOperation | Événements de commentaire SharePoint. |
| 38 | DataGovernance | Événements liés aux stratégies de rétention et aux étiquettes de rétention dans le portail Microsoft Purview. |
| 39 | Kaizala | Événements Kaizala. |
| 40 | SecurityComplianceAlerts | Signaux d’alerte de sécurité et conformité. |
| 41 | ThreatIntelligenceUrl | Événements de liens approuvés de bloc horaire et bloc de remplacement à partir de Microsoft Defender pour Office 365 |
| 42 | SecurityComplianceInsights | Événements liés aux insights et aux rapports dans le portail Microsoft Defender. |
| 43 | MIPLabel | Événements liés à la détection dans le pipeline de transport de courriers électroniques marqués (de façon manuelle ou automatique) avec des étiquettes de confidentialité. |
| 44 | VivaInsights | Événements Viva Insights. |
| 45 | PowerAppsApp | Événements Power Apps. |
| 46 | PowerAppsPlan | Événements de plan d’abonnement pour les applications Power. |
| 47 | ThreatIntelligenceAtpContent | Les événements d’hameçonnage et de programmes malveillants pour les fichiers dans SharePoint, OneDrive et Microsoft Teams à partir de Microsoft Defender pour Office 365. |
| 48 | LabelContentExplorer | Événements liés à l’explorateur de contenu de la classification des données. |
| 49 | TeamsHealthcare | Événements liés à l’application Patients dans Microsoft Teams for Healthcare. |
| 50 | ExchangeItemAggregated | Action d’audit de boîte aux lettres MailItemsAccessed. |
| 51 | HygieneEvent | Événements liés à la protection contre le courrier indésirable sortant. |
| 52 | DataInsightsRestApiAudit | Informations données sur les événements de l’API REST. |
| 53 | InformationBarrierPolicyApplication | Événements liés à l’application des stratégies de barrière des informations. |
| 54 | SharePointListItemOperation | Éléments de liste SharePoint. |
| 55 | SharePointContentTypeOperation | Événements de type de contenu de liste SharePoint. |
| 56 | SharePointFieldOperation | Éléments de champs de liste SharePoint. |
| 57 | MicrosoftTeamsAdmin | Événements de Teams admin. |
| 58 | HRSignal | Événements liés aux signaux de données RH qui prennent en charge la solution de gestion des risques Insider. |
| 59 | MicrosoftTeamsDevice | Événements du périphérique Teams. |
| 60 | MicrosoftTeamsAnalytics | Événements de l’analyse Teams. |
| 61 | InformationWorkerProtection | Événements liés aux alertes utilisateur compromises. |
| 62 | Campagne | Événements liés à la campagne de courrier électronique à partir de Microsoft Defender pour Office 365. |
| 63 | DLPEndpoint | Événements DLP de point de terminaison. |
| 64 | AirInvestigation | Événements de réponse aux incidents automatisée (AIR). |
| 65 | Quarantaine | Évènements mis en quarantaine. |
| 66 | MicrosoftForms | Événements Microsoft Forms. |
| 67 | ApplicationAudit | Événements d’audit des applications. |
| 68 | ComplianceSupervisionExchange | Événements suivis par le modèle de langage choquant de conformité aux communications. |
| 69 | CustomerKeyServiceEncryption | Événements liés au service de chiffrement de clé du client. |
| 70 | OfficeNative | Événements liés aux étiquettes de confidentialité appliqués aux documents Office. |
| 71 | MipAutoLabelSharePointItem | Évènements d’étiquetage automatique dans SharePoint. |
| 72 | MipAutoLabelSharePointPolicyLocation | Évènements de la stratégie d’étiquetage automatique dans SharePoint. |
| 73 | MicrosoftTeamsShifts | Événements de Teams Shifts. |
| 75 | MipAutoLabelExchangeItem | Évènements d’étiquetage automatique dans Exchange. |
| 76 | CortanaBriefing | Évènements de courrier électronique de briefing. |
| 78 | WDATPAlerts | Événements liés aux alertes générées par Windows Defender pour les points de terminaison. |
| 79 | PowerAppsResource | Événements liés aux connecteurs Microsoft Power Platform (préversion). |
| 82 | SensitivityLabelPolicyMatch | Événements générés lorsque le nom du fichier avec une étiquette de confidentialité est ouvert ou renommé. |
| 83 | SensitivityLabelAction | Événement généré lorsque des étiquettes de sensibilité sont appliquées, mises à jour ou supprimées d’un fichier. |
| 84 | SensitivityLabeledFileAction | Événements générés lorsqu’un fichier est étiquetté avec une étiquette de confidentialité est ouvert ou renommé. |
| 85 | AttackSim | Événements liés aux activités des utilisateurs dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 86 | AirManualInvestigation | Événements liés à des investigations manuelles dans les enquêtes et réponses automatisées (AIR). |
| 87 | SecurityComplianceRBAC | Évènements de la sécurité et conformité. |
| 88 | UserTraining | Événements liés à la formation des utilisateurs dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 89 | AirAdminActionInvestigation | Événements liés aux actions de l’administrateur dans Investigation et réponse automatisées (AIR). |
| 90 | MSTIC | Événements de l’intelligence de menace dans Microsoft Defender pour Office 365. |
| 91 | PhysicalBadgingSignal | Événements liés aux signaux de badging physiques qui prennent en charge la solution de gestion des risques Insider. |
| 92 | TeamsEasyApprovals | Événements liés aux approbations faciles teams |
| 93 | AipDiscover | Événements du scanneur AIP |
| 94 | AipSensitivityLabelAction | Événements d’étiquette de confidentialité AIP |
| 95 | AipProtectionAction | Événements de protection AIP |
| 96 | AipFileDeleted | Événements de suppression de fichier AIP |
| 97 | AipHeartBeat | Événements de pulsation AIP |
| 98 | MCASAlerts | Événements correspondant aux alertes déclenchées par la sécurité de l’application Cloud Microsoft. |
| 99 | OnPremisesFileShareScannerDlp | Événements liés à la recherche de données sensibles sur les partages de fichiers. |
| 100 | OnPremisesSharePointScannerDlp | Événements liés à la recherche de données sensibles dans SharePoint. |
| 101 | ExchangeSearch | Événements liés à l’utilisation d’Outlook sur le web (OWA) pour rechercher des éléments de boîte aux lettres. |
| 102 | SharePointSearch | Événements liés à la recherche d’un site d’accueil SharePoint d’une organisation. |
| 103 | PrivacyInsights | Événements liés à la protection de la vie privée. |
| 105 | MyAnalyticsSettings | Évènements MyAnalytics. |
| 106 | SecurityComplianceUserChange | Événements liés à la modification ou la suppression d’un utilisateur. |
| 107 | ComplianceDLPExchangeClassification | Événements de classification Exchange DLP. |
| 109 | MipExactDataMatch | Évènements de classification exacte des correspondances de données (EDM). |
| 113 | MS365DCustomDetection | Événements liés aux actions de détection personnalisées dans Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Signale les événements de paramètre. |
| 148 | ComplianceConnector | Événements liés à l’importation de données non-Microsoft à l’aide de connecteurs de données dans le portail Microsoft Purview. |
| 154 | OMEPortal | Journaux d’événements chiffrés du portail des messages générés par des destinataires externes. |
| 157 | MipLabelAnalyticsAuditRecord | Événements MIP Label Analytics. |
| 164 | ScorePlatformGenericAuditRecord | Enregistrement d’audit générique utilisé pour les connecteurs de données. |
| 174 | DataShareOperation | Événements liés au partage de données ingérées via SystemSync. |
| 181 | EduDataLakeDownloadOperation | Événements liés à l’exportation de données ingérées SystemSync à partir du lac. |
| 183 | MicrosoftGraphDataConnectOperation | Événements liés aux extractions effectuées par Microsoft Graph Data Connect. |
| 186 | PowerPagesSite | Activités liées au site Power Pages. |
| 187 | PowerPlatformAdminDlp | Événements liés à Microsoft Power Platform DLP (préversion). |
| 188 | PlannerPlan | Planificateur Microsoft des événements de plan. |
| 189 | PlannerCopyPlan | Planificateur Microsoft des événements de plan de copie. |
| 190 | PlannerTask | Planificateur Microsoft des événements de tâche. |
| 191 | PlannerRoster | Planificateur Microsoft les événements d’adhésion à la liste et à la liste. |
| 192 | PlannerPlanList | Planificateur Microsoft les événements de liste de plans. |
| 193 | PlannerTaskList | Planificateur Microsoft les événements de liste de tâches. |
| 194 | PlannerTenantSettings | Planificateur Microsoft les événements des paramètres de locataire. |
| 195 | ProjectForThewebProject | Événements de projet Microsoft Project pour le web. |
| 196 | ProjectForThewebTask | Événements de tâche Microsoft Project pour le web. |
| 197 | ProjectForThewebRoadmap | Événements de la feuille de route microsoft Project pour le web. |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project pour le web événements d’élément de feuille de route. |
| 199 | ProjectForThewebProjectSettings | Microsoft Project pour le web les événements des paramètres du locataire du projet. |
| 200 | ProjectForThewebRoadmapSettings | Événements des paramètres de locataire de la feuille de route Microsoft Project pour le web. |
| 202 | MicrosoftTodoAudit | Événements Microsoft To Do Audit. |
| 206 | MicrosoftTeamsSensitivityLabelAction | Événements d’étiquette de confidentialité Microsoft Teams. |
| 216 | Viva Goals | Viva Goals événements. |
| 217 | MicrosoftGraphDataConnectConsent | Événements pour les actions de consentement effectuées par les administrateurs de locataire pour les applications Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | Événements liés aux activités d’administration dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 230 | TeamsUpdates | Teams Mises à jour Événements d’application. |
| 231 | PlannerRosterSensitivityLabel | Planificateur Microsoft événements d’étiquette de confidentialité de la liste. |
| 235 | MicrosoftDefenderForIdentityAudit | Microsoft Defender pour Identity les événements d’audit. |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender Les événements d’action Administrateur d’experts. |
| 251 | VfamCreatePolicy | Créer des événements de stratégie Viva Access Management. |
| 252 | VfamUpdatePolicy | Événements de mise à jour de la stratégie Viva Access Management. |
| 253 | VfamDeletePolicy | Événements de suppression de stratégie Viva Access Management. |
| 256 | PowerPlatformAdministratorActivity | Événements d’activité administrateur Power Platform. |
| 257 | Windows365CustomerLockbox | Événements d’audit De Windows365 Customer Lockbox. |
| 261 | CopilotInteraction | Événements d’interaction Copilot. |
| 265 | VivaLearning | Activités des utilisateurs dans Viva Learning. |
| 266 | VivaLearningAdmin | Administration activités dans Viva Learning. |
| 269 | PeopleAdminSettings | Auditez les événements pour les paramètres de Personnes Administration. |
| 275 | OWAAuth | Jeton d’accès pour les événements de ressource émis avec succès. |
| 277 | SharePointESignature | Événements d’audit eSignature SharePoint. |
| 278 | Dynamics365BusinessCentral | Auditer les événements pour Dynamics 365 Business Central. |
| 279 | MeshWorlds | Événements d’audit pour Mesh. |
| 280 | VivaPulseResponse | Événements de réponse à l’enquête Viva Pulse. |
| 281 | VivaPulseOrganizer | Événements de l’organisateur de l’enquête Viva Pulse. |
| 282 | VivaPulseAdmin | Événements d’administration Viva Pulse. |
| 283 | VivaPulseReport | Événements liés au rapport Viva Pulse. |
| 284 | AIAppInteraction | Auditez les événements pour les interactions utilisateur avec des applications IA tierces (non-Microsoft et non personnalisées). |
| 285 | ComplianceDLMExchange | Événements ComplianceDLMExchange. |
| 286 | ComplianceDLMSharePoint | Événements ComplianceDLMSharePoint. |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project pour le web affecté aux événements des paramètres de locataire. |
| 288 | CloudPolicyService | Événements du service Cloud Policy. |
| 291 | SensitiveInfoDiscovered | Événements de la classification à la demande Purview pour les appareils de point de terminaison. |
| 292 | InsiderRiskScopedUserInsights | Événements liés aux insights utilisateur délimités dans la gestion des risques internes. |
| 293 | MicrosoftTeamsRetentionLabelAction | Auditer les événements pour les étiquettes de rétention dans Microsoft Teams. |
| 294 | AadRiskDetection | Auditer les événements pour la détection des risques dans Microsoft Entra (précédemment appelé Azure Active Directory). |
| 295 | AuditSearch | Auditer les événements d’un administrateur qui interagit avec la recherche dans Purview Audit. |
| 296 | AuditRetentionPolicy | Auditer les événements d’un administrateur qui interagit avec les stratégies de rétention dans Purview Audit. |
| 297 | AuditConfig | Événements d’audit pour un administrateur qui interagit avec les paramètres de configuration liés à Purview Audit. |
| 298 | BackupPolicy | Événements liés aux stratégies de Sauvegarde Microsoft 365. |
| 299 | RestoreTask | Événements liés aux tâches de restauration Sauvegarde Microsoft 365. |
| 300 | RestoreItem | Événements liés aux artefacts sauvegardés avec Sauvegarde Microsoft 365. |
| 301 | BackupItem | Événements liés aux éléments en cours de restauration à l’aide de Sauvegarde Microsoft 365. |
| 302 | URBACAssignment | Événements liés aux affectations RBAC unifiées. |
| 303 | URBACRole | Événements liés aux rôles RBAC unifiés. |
| 304 | URBACEnableState | Événements liés à l’activation de l’état RBAC unifié. |
| 306 | PurviewInsiderRiskCases | Événements liés aux cas de risque interne Purview. |
| 307 | PurviewInsiderRiskAlerts | Événements liés aux alertes à risque interne Purview. |
| 308 | InsiderRiskScopedUsers | Événements liés aux utilisateurs concernés par le risque interne Purview. |
| 310 | CreateCopilotPlugin | Auditer les événements pour la création du plug-in Copilot. |
| 311 | UpdateCopilotPlugin | Événements d’audit pour la mise à jour d’un plug-in Copilot. |
| 312 | DeleteCopilotPlugin | Événements d’audit pour la suppression d’un plug-in Copilot. |
| 313 | EnableCopilotPlugin | Auditer les événements pour l’activation d’un plug-in Copilot. |
| 314 | DisableCopilotPlugin | Auditer les événements pour désactiver un plug-in Copilot. |
| 315 | CreateCopilotWorkspace | Événements d’audit pour la création d’un espace de travail Copilot. |
| 316 | UpdateCopilotWorkspace | Auditer les événements pour la mise à jour d’un espace de travail Copilot. |
| 317 | DeleteCopilotWorkspace | Événements d’audit pour la suppression d’un espace de travail Copilot. |
| 318 | EnableCopilotWorkspace | Événements d’audit pour l’activation d’un espace de travail Copilot. |
| 319 | DisableCopilotWorkspace | Auditer les événements pour désactiver un espace de travail Copilot. |
| 320 | CreateCopilotPromptBook | Événements d’audit pour la création d’un manuel d’invite Copilot. |
| 321 | UpdateCopilotPromptBook | Événements d’audit pour la mise à jour d’un promptbook Copilot. |
| 322 | DeleteCopilotPromptBook | Auditer les événements pour la suppression d’un manuel d’invite Copilot. |
| 323 | EnableCopilotPromptBook | Événements d’audit pour l’activation d’un livre d’invite Copilot. |
| 324 | DisableCopilotPromptBook | Auditer les événements pour désactiver un manuel d’invite Copilot. |
| 325 | UpdateCopilotSettings | Événement d’audit pour la mise à jour des paramètres utilisateur ou client liés à Copilot. |
| 328 | ConnectedAIAppInteraction | Auditez les événements liés aux interactions utilisateur avec des applications IA tierces (non développées par Microsoft) qui sont déployées dans le locataire Microsoft du organization. |
| 329 | PrivaPrivacyConsentOperation | Auditer les événements liés au consentement dans Microsoft Priva. |
| 330 | PrivaPrivacyAssessmentOperation | Auditer les événements liés aux évaluations dans Microsoft Priva. |
| 331 | DataCatalogAccessRequests | Auditez les événements liés aux demandes d’accès Data Catalog. |
| 332 | ComplianceSettingsChange | Événements de modification des paramètres de conformité Microsoft Purview. |
| 333 | DataSecurityInvestigation | Événements de Enquêtes sur la sécurité des données dans Microsoft Purview. |
| 334 | TeamCopilotInteraction | Auditez les événements pour les interactions utilisateur avec le facilitateur et les activités effectuées par le facilitateur dans Microsoft Teams. |
| 335 | IRMActivityAuditTrail | Événements de Purview Insider Risk Management. |
| 336 | SharePointContentSecurityPolicy | Événements de la stratégie de sécurité du contenu dans SharePoint. |
| 337 | CloudUpdateProfileConfig | Événements de la configuration de profil de Cloud Update. |
| 338 | CloudUpdateTenantConfig | Événements de la configuration du locataire de Cloud Update. |
| 339 | CloudUpdateDeviceConfig | Événements de la configuration des appareils gérés de Cloud Update. |
| 341 | DeviceDiscoverySettingsExclusion | Événements liés aux exclusions dans les paramètres de découverte d’appareils. |
| 342 | DeviceDiscoverySettingsAuthenticatedScans | Événements liés aux analyses authentifiées dans les paramètres de découverte d’appareils. |
| 344 | DeviceDiscoverySettings | Événements liés aux paramètres dans la découverte d’appareils. |
| 345 | USXWorkspaceOnboarding | Événements liés à l’intégration de l’espace de travail dans Microsoft Defender USX. |
| 346 | VivaGlintAdvancedConfiguration | Événements liés à la configuration avancée dans Viva Glint. |
| 347 | VivaGlintPulseProgram | Événements liés au programme Pulse dans Viva Glint. |
| 348 | VivaGlintPulseProgramRespondentRate | Événements liés au taux de répondants du programme Pulse dans Viva Glint. |
| 349 | VivaGlintQuestion | Événements liés aux questions dans Viva Glint. |
| 350 | VivaGlintRole | Événements liés aux rôles dans Viva Glint. |
| 351 | VivaGlintRubicon | Événements liés à Rubicon dans Viva Glint. |
| 352 | VivaGlintSupportAccess | Événements liés à l’accès au support dans Viva Glint. |
| 353 | VivaGlintSystem | Événements liés aux activités système dans Viva Glint. |
| 354 | VivaGlintUser | Événements liés aux activités des utilisateurs dans Viva Glint. |
| 355 | VivaGlintUserGroup | Événements liés aux activités de groupe d’utilisateurs dans Viva Glint. |
| 356 | VivaGlintFeedbackProgram | Événements liés aux programmes de commentaires dans Viva Glint. |
| 357 | FabricAudit | Événements liés à Microsoft Fabric. |
| 358 | TrainableClassifier | Événements de la classification des données Purview. |
| 359 | WebContentFiltering | Événements de Microsoft Edge WebContentFiltering. |
| 360 | NoisyAlertPolicy | Événements liés aux stratégies d’alerte bruyante dans Microsoft Defender. |
| 361 | DataScanClassification | Événements de la classification à la demande Purview pour SharePoint et OneDrive. |
| 362 | AIInteractionsExport | Événements liés à l’exportation d’interactions ia. |
| 363 | Microsoft365CopilotScheduledPrompt | Événements de Microsoft 365 Copilot invite planifiée. |
| 364 | LieuxDirectory | Événements de Microsoft Places Directory. |
| 365 | SentinelNotebookOnLake | Événements de l’exécution du notebook sur Sentinel lac de données. |
| 366 | SentinelJob | Événements des opérations sur les travaux dans Sentinel lac de données. |
| 367 | SentinelKQLOnLake | Événements de l’exécution de KQL sur Sentinel lac de données. |
| 368 | SentinelLakeOnboarding | Événements de l’intégration à Sentinel lac de données. |
| 369 | SentinelLakeDataOnboarding | Événements de chargement de données dans Sentinel lac de données. |
| 370 | SentinelAITool | Événements des opérations sur l’outil IA dans Microsoft Sentinel |
| 371 | SentinelGraph | Événements liés à Graph dans Microsoft Sentinel. |
| 372 | CrossTenantAccessPolicy | Événements des stratégies d’accès interlocataire. |
| 373 | OutlookCopilotAutomation | Événements liés à l’automatisation du back-end (sans interaction utilisateur explicite) dans Microsoft Outlook pilotés par agents, Copilot ou d’autres scénarios d’IA. |
| 374 | VivaEngageNetworkAssociation | Événements liés à l’association de réseau dans Viva Engage. |
| 375 | AppAdminActivity | Événements liés à l’activité de l’administrateur d’application. |
| 376 | AppSettingsAdminActivity | Événements liés à l’activité d’administration des paramètres d’application. |
| 377 | UniversalPrintPrintJob | Auditer les événements liés aux travaux d’impression dans l’impression universelle Microsoft. |
| 378 | VivaAmplifyOutlookSensitivityLabel | Événements liés aux étiquettes de confidentialité Outlook dans Viva Amplify. |
| 379 | AIInteractionsSubscription | Événements liés aux abonnements d’interaction IA. |
| 380 | AIInteractionsChangeNotification | Événements liés aux notifications de modification d’interaction ia. |
| 381 | FilteringMailMetadataExtended | Événements liés au filtrage des métadonnées de courrier. |
| 382 | OfficeRestrictedModeAction | Auditez les événements liés aux activités effectuées en mode restreint Office. |
| 383 | CopilotForSecurityTrigger | Événements liés aux déclencheurs pour les agents Security Copilot. |
| 384 | CopilotAgentManagement | Événements liés aux activités d’administration pour les agents Microsoft Copilot. |
| 385 | P4AIAssessmentFabricScannerRecord | Événements liés à Purview pour AI Assessment Fabric Scanner. |
| 386 | PlannerGoal | Planificateur Microsoft les événements d’objectif. |
| 387 | PlannerGoalList | Planificateur Microsoft événements de liste d’objectifs. |
| 414 | VivaEngageSegment | Viva Engage événements de segmentation. |
| 422 | VivaEngageEvents | Événements liés aux événements hébergés Viva Engage. |
| 427 | UniversalPrintManagement | Auditer les événements liés aux événements de gestion dans l’impression universelle Microsoft. |
Énumération : User Type - Type : Edm.Int32
Type d’utilisateur
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Regular | Un utilisateur normal sans autorisations d’administrateur. |
| 1 | Reserved | Valeur réservée, non destinée à être utilisée. |
| 2 | Admin | Un administrateur dans votre organization Microsoft 365. |
| 3 | DCAdmin | Un compte de système de centre de données ou d’administrateur de centre de données Microsoft. |
| 4 | System | Événement d’audit déclenché par la logique côté serveur. Par exemple, les services Windows ou les processus en arrière-plan. |
| 5 | Application | Événement d’audit déclenché par une application Microsoft Entra. |
| 6 | ServicePrincipal | Principal de service. |
| 7 | CustomPolicy | Stratégie créée ou gérée par le client. |
| 8 | SystemPolicy | Une stratégie système ou gérée par Microsoft. |
| 9 | PartnerTechnician | L’utilisateur d’un locataire partenaire travaillant pour le compte du locataire client (dans les scénarios GDAP). |
| 10 | Guest | Un utilisateur invité ou anonyme. |
Remarque
** Pour Microsoft Entra événements associés, la valeur d’un administrateur n’est pas utilisée dans un enregistrement d’audit. Les enregistrements d’audit des activités effectuées par les administrateurs indiquent qu’un utilisateur normal (par exemple, UserType : 0) a effectué l’activité. La propriété UserID identifie la personne (utilisateur ou administrateur normal) qui a effectué cette activité.
Énumération : AuditLogScope - Type : Edm.Int32
AuditLogScope
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Online | Cet événement a été créé par un service Microsoft 365. |
| 1 | Onprem | Cet événement a été créé par un serveur local. |
Type complexe AppAccessContext
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AADSessionId | Edm.String | Non | Le Microsoft Entra SessionId de la connexion Entra effectuée par l’application pour le compte de l’utilisateur. |
| APIId | Edm.String | Non | ID du chemin d’API utilisé pour accéder à la ressource ; par exemple, l’accès via l’API Microsoft Graph. |
| ClientAppId | Edm.String | Non | ID de l’application Microsoft Entra qui a effectué l’accès au nom de l’utilisateur. |
| ClientAppName | Edm.String | Non | Nom de l’application Microsoft Entra qui a effectué l’accès au nom de l’utilisateur. |
| CorrelationId | Edm.String | Non | Identificateur qui peut être utilisé pour corréler les actions d’un utilisateur spécifique entre les services Microsoft 365. |
| UniqueTokenId | Edm.String | Non | UniqueTokenId est défini si le jeton Microsoft Entra est disponible pour la requête. Il s’agit d’un identificateur unique par jeton qui respecte la casse. |
| IssuedAtTime | Edm.Date | Non | « Issued At » est défini si le jeton Microsoft Entra est disponible pour la requête et indique quand l’authentification pour ce jeton Microsoft Entra s’est produite. |
Schéma de base SharePoint
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| Site | Edm.Guid | Non | GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Non | Type d’objet consulté ou modifié. Reportez-vous au tableau ItemType pour obtenir plus d’informations sur les types d’objets. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Non | Identifie qu’un événement s’est produit dans SharePoint. Valeurs possibles : SharePoint ou ObjectModel. |
| SourceName | Edm.String | Non | Entité qui a déclenché l’opération auditée. Valeurs possibles : SharePoint ou ObjectModel. |
| UserAgent | Edm.String | Non | Informations sur le navigateur ou le client de l’utilisateur. Ces informations sont fournies par le navigateur ou le client. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| ListItemUniqueId | Edm.Guid | Non | Guid d’un élément de liste identifiable de manière unique Ces informations sont présentes uniquement si elles sont applicables. |
| ListId | Edm.Guid | Non | Guid de la liste Ces informations sont présentes uniquement si elles sont applicables. |
| ApplicationId | Edm.String | Non | ID de l’application qui exécute l’opération. |
| ApplicationDisplayName | Edm.String | Non | Nom d’affichage de l’application qui exécute l’opération. |
| IsWorkflow | Edm.Boolean | Non | Cette opération est définie si SharePoint flux de travail True a déclenché l’événement audité. |
Énumération : ItemType - Type : Edm.Int32
ItemType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Invalid | L’élément n’est d’aucun des autres types d’éléments (qui sont répertoriés dans ce tableau). |
| 1 | File | L’élément est un fichier. |
| 5 | Folder | L’élément est un dossier. |
| 6 | web | L’élément est un site web. |
| 7 | Site | L’élément est un site. |
| 8 | Tenant | L’élément est un client. |
| 9 | DocumentLibrary | L’élément est une bibliothèque de documents. |
| 11 | Page | L’élément est une page. |
Énumération : EventSource - Type : Edm.Int32
EventSource
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | SharePoint | La source de l’événement est SharePoint. |
| 1 | ObjectModel | La source de l’événement est ObjectModel. |
Énumération : SharePointAuditOperation - Type : Edm.Int32
| Nom du membre | Description |
|---|---|
| AccèsInvitationAccepté | Le destinataire d’une invitation à afficher ou à modifier un fichier (ou dossier) partagé a accédé au fichier partagé en cliquant sur le lien dans l’invitation. |
| AccèsInvitationCréé | L’utilisateur envoie une invitation à une autre personne (à l’intérieur ou à l’extérieur de son organization) pour afficher ou modifier un fichier ou dossier partagé sur un site SharePoint ou OneDrive. Les détails de l’entrée d’événement identifient le nom du fichier qui a été partagé, l’utilisateur auquel l’invitation a été envoyée et le type d’autorisation de partage sélectionnée par la personne qui a envoyé l’invitation. |
| AccèsInvitationExpiré | Une invitation envoyée à un utilisateur externe arrive à expiration. Par défaut, une invitation envoyée à un utilisateur en dehors de votre organisation expire au bout de 7 jours si l’invitation n’est pas acceptée. |
| AccèsInvitationRévoqué | L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive retire une invitation qui a été envoyée à un utilisateur en dehors de votre organization. Une invitation peut être retirée uniquement avant d’être acceptée. |
| AccessInvitationUpdated | L’utilisateur qui a créé et envoyé une invitation à une autre personne pour afficher ou modifier un fichier ou dossier partagé sur un site SharePoint ou OneDrive renvoie l’invitation. |
| AccessRequestApproved | L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive approuve une demande d’accès utilisateur au site ou au document. |
| AccessRequestCreated | L’utilisateur demande l’accès à un site ou à un document dans SharePoint ou OneDrive auquel il n’a pas l’autorisation d’accéder. |
| AccessRequestRejected | L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint refuse la demande d’un utilisateur à accéder au site ou au document. |
| ActivationEnabled | Les utilisateurs peuvent activer les modèles de formulaires pour le navigateur qui ne contiennent pas de code de formulaire, qui nécessitent une autorisation totale, qui activent le rendu sur un appareil mobile ou qui utilisent une connexion de données gérée par un administrateur de serveurs. |
| AdministratorAddedToTermStore | Ajout d’un administrateur de magasin de termes. |
| AdministratorDeletedFromTermStore | Suppression d’un administrateur de magasin de termes. |
| AllowGroupCreationSet | L’administrateur ou le propriétaire du site ajoute un niveau d’autorisation à un site SharePoint ou OneDrive qui permet à un utilisateur affecté à cette autorisation de créer un groupe pour ce site. |
| AppCatalogCreated | Création d’un catalogue d’applications pour mettre à disposition des applications d’entreprise personnalisées pour votre environnement SharePoint. |
| AuditPolicyRemoved | Stratégie de cycle de vie de document supprimée pour une collection de sites. |
| AuditPolicyUpdate | Stratégie de cycle de vie de document mise à jour pour une collection de sites. |
| AzureStreamingEnabledSet | Le propriétaire d’un portail vidéo a autorisé la diffusion en continu de vidéos à partir d’Azure. |
| CollaborationTypeModified | Le type de collaboration autorisé sur les sites (par exemple, intranet, extranet ou public) a été modifié. |
| ConnectedSiteSettingModified | L’utilisateur a créé, modifié ou supprimé le lien entre un projet et un site de projet, ou l’utilisateur modifie le paramètre de synchronisation sur le lien dans Project web App. |
| CreateSSOApplication | Application cible créée dans le service Banque d’informations sécurisé. |
| CustomFieldOrLookupTableCreated | L’utilisateur a créé un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomFieldOrLookupTableDeleted | L’utilisateur a supprimé un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomFieldOrLookupTableModified | L’utilisateur a modifié un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomizeExemptUsers | L’administrateur général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous voulez exempter de la réception d’une page web entière à indexer. Cette configuration signifie que lorsqu’un agent utilisateur exempté rencontre un formulaire InfoPath, le formulaire est retourné sous la forme d’un fichier XML au lieu d’une page web entière. Ce résultat accélère l’indexation des formulaires InfoPath. |
| DefaultLanguageChangedInTermStore* | Paramètre de langue modifié dans le magasin de termes. |
| DelegateModified | L’utilisateur a créé ou modifié un délégué de sécurité dans Project web App. |
| DelegateRemoved | L’utilisateur a supprimé un délégué de sécurité dans Project web App. |
| DeleteSSOApplication | Une application SSO a été supprimée. |
| eDiscoveryHoldApplied | Une conservation inaltérable a été placée sur une source de contenu. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint. |
| eDiscoveryHoldRemoved | Une conservation inaltérable a été supprimée d’une source de contenu. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint. |
| eDiscoverySearchPerformed | Une recherche eDiscovery a été effectuée à l’aide d’une collection de sites eDiscovery dans SharePoint. |
| EngagementAccepted | L’utilisateur accepte un engagement de ressource dans Project Web App. |
| EngagementModified | L’utilisateur modifie un engagement de ressource dans Project web App. |
| EngagementRejected | L’utilisateur rejette un engagement de ressource dans Project web App. |
| EnterpriseCalendarModified | L’utilisateur copie, modifie ou supprime un calendrier d’entreprise dans Project web App. |
| EntityDeleted | L’utilisateur supprime une feuille de temps dans Project Web App. |
| EntityForceCheckedIn | L’utilisateur force une case activée dans un calendrier, un champ personnalisé ou une table de choix dans l’application web Project. |
| ExemptUserAgentSet | L’administrateur général ajoute un agent utilisateur à la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. |
| FeatureActivated | L’administrateur de site active une fonctionnalité de collection de sites. |
| FeatureDeactivated | L’administrateur de site désactive une fonctionnalité de collection de sites. |
| FileAccessed | Le compte d’utilisateur ou système accède à un fichier sur un site SharePoint ou OneDrive. Les comptes système peuvent également générer des événements FileAccessed. |
| FileCheckOutDiscarded | L’utilisateur ignore un fichier extrait. Cela signifie que les modifications qui ont été apportées au fichier lorsqu’il a été extrait sont ignorées et ne sont pas enregistrées dans la version du document disponible dans la bibliothèque de documents. |
| FileCheckedIn | L’utilisateur archive un document qu’il a extrait d’une bibliothèque de documents SharePoint ou OneDrive. |
| FileCheckedOut | L’utilisateur extrait un document situé dans une bibliothèque de documents SharePoint ou OneDrive. Les utilisateurs peuvent extraire et apporter des modifications aux documents partagés avec eux. |
| FileCopied | L’utilisateur copie un document à partir d’un site SharePoint ou OneDrive. Le fichier copié peut être enregistré dans un autre dossier sur le site. |
| FileDeleted | L’utilisateur supprime un document d’un site SharePoint ou OneDrive. |
| FileDeletedFirstStageRecycleBin | L’utilisateur supprime un fichier de la Corbeille sur un site SharePoint ou OneDrive. |
| FileDeletedSecondStageRecycleBin | L’utilisateur supprime un fichier de la corbeille secondaire sur un site SharePoint ou OneDrive. |
| FileDownloaded | L’utilisateur télécharge un document à partir d’un site SharePoint ou OneDrive. |
| FileFetched | Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé. |
| FileModified | Le compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document situé sur un site SharePoint ou OneDrive. |
| FileMoved | L’utilisateur déplace un document de son emplacement actuel sur un site SharePoint ou OneDrive vers un nouvel emplacement. |
| FilePreviewed | L’utilisateur affiche un aperçu d’un document sur un site SharePoint ou OneDrive. |
| Fichier recyclé | L’utilisateur déplace un document dans la Corbeille SharePoint ou OneDrive. |
| FileRenamed | L’utilisateur renomme un document sur un site SharePoint ou OneDrive. |
| FileRestored | L’utilisateur restaure un document à partir de la corbeille d’un site SharePoint ou OneDrive. |
| FileSyncDownloadedFull | L’utilisateur télécharge un fichier sur son ordinateur à partir d’une bibliothèque de documents SharePoint ou de OneDrive à l’aide de Synchronisation OneDrive application (OneDrive.exe). |
| FileSyncDownloadedPartial | Cet événement a été déprécié avec l’ancienne application Synchronisation OneDrive (Groove.exe). |
| FileSyncUploadedFull | L’utilisateur charge un nouveau fichier ou modifie un fichier dans la bibliothèque de documents SharePoint ou OneDrive à l’aide de Synchronisation OneDrive application (OneDrive.exe). |
| FileSyncUploadedPartial | Cet événement a été déprécié avec l’ancienne application Synchronisation OneDrive (Groove.exe). |
| FileUploaded | L’utilisateur charge un document dans un dossier sur un site SharePoint ou OneDrive. |
| FileViewed | Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé. |
| FolderCopied | L’utilisateur copie un dossier d’un site SharePoint ou OneDrive vers un autre emplacement dans SharePoint ou OneDrive. |
| FolderCreated | L’utilisateur crée un dossier sur un site SharePoint ou OneDrive. |
| FolderDeleted | L’utilisateur supprime un dossier d’un site SharePoint ou OneDrive. |
| FolderDeletedFirstStageRecycleBin | L’utilisateur supprime un dossier de la corbeille sur un site SharePoint ou OneDrive. |
| FolderDeletedSecondStageRecycleBin | L’utilisateur supprime un dossier de la corbeille secondaire sur un site SharePoint ou OneDrive. |
| FolderModified | L’utilisateur modifie un dossier sur un site SharePoint ou OneDrive. Cet événement inclut les modifications de métadonnées de dossier, telles que les balises et les propriétés. |
| FolderMoved | L’utilisateur déplace un dossier à partir d’un site SharePoint ou OneDrive. |
| DossierRecyclé | L’utilisateur déplace un dossier dans la Corbeille SharePoint ou OneDrive. |
| FolderRenamed | L’utilisateur renomme un dossier sur un site SharePoint ou OneDrive. |
| FolderRestored | L’utilisateur restaure un dossier à partir de la Corbeille sur un site SharePoint ou OneDrive. |
| GroupAdded | L’administrateur ou le propriétaire du site crée un groupe pour un site SharePoint ou OneDrive, ou effectue une tâche qui entraîne la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive de l’utilisateur. Cet événement peut également être le résultat de la création d’un lien par un utilisateur avec autorisation de modification sur un fichier partagé. |
| GroupRemoved | L’utilisateur supprime un groupe d’un site SharePoint ou OneDrive. |
| GroupUpdated | L’administrateur ou le propriétaire du site modifie les paramètres d’un groupe pour un site SharePoint ou OneDrive. Cela peut inclure la modification du nom du groupe, qui peut consulter ou modifier l’appartenance au groupe et la gestion des demandes d’appartenance. |
| LanguageAddedToTermStore | Langue ajoutée au magasin de termes. |
| LanguageRemovedFromTermStore | Langue supprimée du magasin de termes. |
| LegacyWorkflowEnabledSet | L’administrateur ou le propriétaire du site ajoute le type de contenu de tâche de flux de travail SharePoint au site. Les administrateurs généraux peuvent également activer les workflows pour l’ensemble de l’organisation dans le Centre d’administration SharePoint. |
| LookAndFeelModified | L’utilisateur modifie un lancement rapide, des formats de diagramme de Gantt ou des formats de groupe. Ou l’utilisateur crée, modifie ou supprime une vue dans Project web App. |
| ManagedSyncClientAllowed | L’utilisateur établit correctement une relation de synchronisation avec un site SharePoint ou OneDrive. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (« liste des destinataires approuvés ») qui peuvent accéder aux bibliothèques de documents de votre organisation. Pour plus d’informations, consultez Prise en main de SharePoint Online Management Shell pour activer Synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés. |
| MaxQuotaModified | Le quota maximal pour un site a été modifié. |
| MaxResourceUsageModified | L’utilisation de ressources maximale autorisée pour un site a été modifiée. |
| MySitePublicEnabledSet | L’indicateur permettant aux utilisateurs de rendre public un site Mon site a été défini par l’administrateur SharePoint. |
| NewsFeedEnabledSet | L’administrateur ou le propriétaire du site active les flux RSS pour un site SharePoint ou OneDrive. Les administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint. |
| ODBNextUXSettings | La nouvelle interface utilisateur pour OneDrive a été activée. |
| OfficeOnDemandSet | L’administrateur de site active Office à la demande, qui permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. « Office à la demande » est activé dans le Centre d’administration SharePoint et nécessite un abonnement Office 365 qui inclut l’installation de l’ensemble des applications Office. |
| PageViewed | L’utilisateur affiche une page sur un site SharePoint ou un site OneDrive. Ceci n’inclut pas l’affichage des fichiers de bibliothèque de documents à partir d’un site SharePoint ou OneDrive Entreprise sur un navigateur. |
| PeopleResultsScopeSet | L’administrateur de site crée ou modifie l’origine des résultats pour les recherches de personnes pour un site SharePoint. |
| PermissionSyncSettingModified | L’utilisateur modifie les paramètres de synchronisation des autorisations de projet dans Project web App. |
| PermissionTemplateModified | L’utilisateur crée, modifie ou supprime un modèle d’autorisations dans Project web App. |
| PortfolioDataAccessed | L’utilisateur accède au contenu du portefeuille (bibliothèque de pilotes, hiérarchisation des pilotes, analyses de portefeuille) dans Project web App. |
| PortfolioDataModified | L’utilisateur crée, modifie ou supprime des données de portefeuille (bibliothèque de pilotes, hiérarchisation des pilotes, analyses de portefeuille) dans Project web App. |
| PreviewModeEnabledSet | L’administrateur de site active l’aperçu de document pour un site SharePoint. |
| ProjectAccessed | L’utilisateur accède au contenu du projet dans l’application web Project. |
| ProjectCheckedIn | L’utilisateur archive un projet qu’il a extrait d’une application web Project. |
| ProjectCheckedOut | L’utilisateur extrait un projet situé dans une application web Project. Les utilisateurs peuvent extraire les projets qu’ils sont autorisés à ouvrir et y apporter des modifications . |
| ProjectCreated | L’utilisateur crée un projet dans Project web App. |
| ProjectDeleted | L’utilisateur supprime un projet dans l’application web Project. |
| ProjectForceCheckedIn | L’utilisateur force une case activée dans sur un projet dans l’application web Project. |
| ProjectModified | L’utilisateur modifie un projet dans Project web App. |
| ProjectPublished | L’utilisateur publie un projet dans Project web App. |
| ProjectWorkflowRestarted | L’utilisateur redémarre un flux de travail dans Project web App. |
| PWASettingsAccessed | L’utilisateur accède aux paramètres de l’application web Project via CSOM. |
| PWASettingsModified | L’utilisateur modifie la configuration d’une application web Project. |
| QueueJobStateModified | L’utilisateur annule ou redémarre un travail de file d’attente dans Project web App. |
| QuotaWarningEnabledModified | Avertissement de quota de stockage modifié. |
| RenderingEnabled | Les modèles de formulaire compatibles avec le navigateur sont rendus par les services de formulaires InfoPath. |
| ReportingAccessed | L’utilisateur a accédé au point de terminaison de création de rapports dans Project Web App. |
| ReportingSettingModified | L’utilisateur modifie la configuration des rapports dans Project web App. |
| ResourceAccessed | L’utilisateur accède au contenu d’une ressource d’entreprise dans Project web App. |
| ResourceCheckedIn | L’utilisateur archive une ressource d’entreprise qu’il a extraite de Project web App. |
| ResourceCheckedOut | L’utilisateur extrait une ressource d’entreprise située dans Project web App. |
| ResourceCreated | L’utilisateur crée une ressource d’entreprise dans Project web App. |
| ResourceDeleted | L’utilisateur supprime une ressource d’entreprise dans Project web App. |
| ResourceForceCheckedIn | L’utilisateur force une case activée d’une ressource d’entreprise dans l’application web Project. |
| ResourceModified | L’utilisateur modifie une ressource d’entreprise dans Project web App. |
| ResourcePlanCheckedInOrOut | Un utilisateur archive ou extrait un plan de ressources dans l’application web Project. |
| ResourcePlanModified | L’utilisateur modifie un plan de ressources dans Project web App. |
| ResourcePlanPublished | L’utilisateur publie un plan de ressources dans Project web App. |
| ResourceRedacted | L’utilisateur rédige une ressource d’entreprise en supprimant toutes les informations personnelles dans Project web App. |
| ResourceWarningEnabledModified | Avertissement de quota de ressource modifié. |
| SSOGroupCredentialsSet | Informations d’identification de groupe définies dans le service Banque d’informations sécurisé. |
| SSOUserCredentialsSet | Informations d’identification utilisateur définies dans le service Banque d’informations sécurisé. |
| SearchCenterUrlSet | URL du Centre de recherche définie. |
| SecondaryMySiteOwnerSet | Un utilisateur a ajouté un propriétaire secondaire à son site Mon site. |
| SecurityCategoryModified | L’utilisateur crée, modifie ou supprime une catégorie de sécurité dans Project web App. |
| SecurityGroupModified | L’utilisateur crée, modifie ou supprime un groupe de sécurité dans Project web App. |
| SendToConnectionAdded | L’administrateur général crée une nouvelle connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. Une connexion Envoyer à spécifie les paramètres pour un référentiel de documents ou un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié. |
| SendToConnectionRemoved | L’administrateur général supprime une connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. |
| SharedLinkCreated | L’utilisateur crée un lien vers un fichier partagé dans SharePoint ou OneDrive. Ce lien peut être envoyé à d’autres personnes pour leur donner accès au fichier. Un utilisateur peut créer deux types de liens : un lien qui permet à la personne d’afficher et de modifier le fichier partagé, ou un lien qui permet à la personne d’afficher le fichier uniquement. |
| SharedLinkDisabled | Un utilisateur désactive (définitivement) un lien qui a été créé pour partager un fichier. |
| SharingInvitationAccepted * | Un utilisateur accepte une invitation à partager un fichier ou un dossier. Cet événement est enregistré lorsqu’un utilisateur partage un fichier avec d’autres utilisateurs. |
| SharingRevoked | L’utilisateur a supprimé le partage d’un fichier ou d’un dossier précédemment partagé avec d’autres utilisateurs. Cet événement est enregistré lorsqu’un utilisateur arrête le partage d’un fichier avec d’autres utilisateurs. |
| SharingSet | L’utilisateur partage un fichier ou un dossier situé dans SharePoint ou OneDrive avec un autre utilisateur à l’intérieur de son organization. |
| SiteAdminChangeRequest | Un utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites SharePoint. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. |
| SiteCollectionAdminAdded* | L’administrateur ou le propriétaire de collection de sites ajoute une personne en tant qu’administrateur de collection de sites pour un site SharePoint ou OneDrive. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. |
| SiteCollectionCreated | L’administrateur général crée une nouvelle collection de sites dans votre organisation SharePoint. |
| SitePermanentlyDeleted | Un administrateur SharePoint ou général supprime définitivement un site de SharePoint Administration Center Sites supprimés. |
| SiteRenamed | L’administrateur ou le propriétaire du site renomme un site SharePoint ou OneDrive |
| SiteRestored | Un administrateur SharePoint ou général restaure un site à partir de Sites supprimés du Centre Administration SharePoint. |
| StatusReportModified | L’utilisateur crée, modifie ou supprime un rapport status dans l’application web Project. |
| SyncGetChanges | L’utilisateur clique sur Synchroniser dans la barre d’état des actions dans SharePoint ou OneDrive pour synchroniser les modifications apportées au fichier d’une bibliothèque de documents sur leur ordinateur. |
| SyntexBillingSubscriptionSettingsChanged | Les paramètres d’abonnement Syntex Billing ont changé. Cet événement est déclenché à l’expiration d’une version d’évaluation Syntex. |
| TaskStatusAccessed | L’utilisateur accède à la status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusApproved | L’utilisateur approuve une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusRejected | L’utilisateur rejette une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusSaved | L’utilisateur enregistre une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusSubmitted | L’utilisateur envoie une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TenantWideThemeCreated | Un administrateur SharePoint, un administrateur général ou un responsable de marque crée un thème personnalisé qui s’applique à tous les sites SharePoint de votre organization. |
| TenantWideThemeDeleted | Un administrateur SharePoint, un administrateur général ou un responsable de marque supprime un thème personnalisé qui s’applique à tous les sites SharePoint de votre organization. |
| TenantWideThemeUpdated | Un administrateur SharePoint, un administrateur général ou un responsable de marque met à jour un thème personnalisé qui s’applique à tous les sites SharePoint de votre organization. |
| TimesheetAccessed | L’utilisateur accède à une feuille de temps dans Project web App. |
| TimesheetApproved | L’utilisateur approuve la feuille de temps dans Project web App. |
| TimesheetRejected | L’utilisateur rejette une feuille de temps dans Project web App. |
| TimesheetSaved | L’utilisateur enregistre une feuille de temps dans Project web App. |
| TimesheetSubmitted | L’utilisateur envoie une feuille de temps status dans l’application web Project. |
| UnmanagedSyncClientBlocked | L’utilisateur tente d’établir une relation de synchronisation avec un site SharePoint ou OneDrive à partir d’un ordinateur qui n’est pas membre du domaine de votre organization ou qui est membre d’un domaine qui n’a pas été ajouté à la liste des domaines (appelé liste des destinataires approuvés) qui peuvent accéder aux bibliothèques de documents dans votre organization. La relation de synchronisation n’est pas autorisée et l’ordinateur de l’utilisateur est bloqué en matière de synchronisation, de téléchargement ou de chargement de fichiers dans une bibliothèque de documents. |
| UpdateDisableSiteBranding | Un administrateur SharePoint ou général active ou désactive la personnalisation du site. |
| UpdateSSOApplication | Application cible mise à jour dans le service Banque d’informations sécurisé. |
| UserAddedToGroup | L’administrateur ou le propriétaire du site ajoute une personne à un groupe sur un site SharePoint ou OneDrive. Ajouter une personne à un groupe accorde à l’utilisateur les autorisations qui ont été affectées au groupe. |
| UserRemovedFromGroup | L’administrateur ou le propriétaire du site supprime une personne d’un groupe sur un site SharePoint ou OneDrive. Une fois que la personne est supprimée, elle ne dispose plus des autorisations qui ont été affectées au groupe. |
| WebThemeApplied | Un administrateur SharePoint ou général, ou un propriétaire de site applique un thème web. |
| WorkflowModified | L’utilisateur crée, modifie ou supprime un type de projet d’entreprise ou des phases ou des phases de flux de travail dans l’application web Project. |
Opérations de fichier SharePoint
Les événements de fichier et de page retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| SiteUrl | Edm.String | Oui | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| SourceRelativeUrl | Edm.String | Non | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. |
| SourceFileName | Edm.String | Oui | Nom du fichier ou du dossier consulté par l’utilisateur. |
| SourceFileExtension | Edm.String | Non | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. |
| DestinationRelativeUrl | Edm.String | Non | URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs des paramètres SiteURL, DestinationRelativeURL et DestinationFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier copié. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| DestinationFileName | Edm.String | Non | Nom du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| DestinationFileExtension | Edm.String | Non | Extension du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| UserSharedWith | Edm.String | Non | Utilisateur avec lequel une ressource a été partagée. |
| SharingType | Edm.String | Non | Type des autorisations de partage qui ont été affectées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith . |
| SourceLabel | Edm.String | Non | Étiquette d’origine du fichier avant qu’il ne soit modifié par une action de l’utilisateur. |
| DestinationLabel | Edm.String | Non | L'étiquette finale du fichier après qu'il ait été modifié par une action de l'utilisateur. |
| SensitivityLabelOwnerEmail | Edm.String | Non | Adresse de messagerie du propriétaire de l’étiquette de sensibilité |
| SensitivityLabelId | Edm.String | Non | ID d’étiquette de sensibilité actuel du fichier |
SharePoint de liste
Les événements de liste SharePoint retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| ListTitle | Edm.String | Non | Titre de la liste SharePoint liste |
| ListName | Edm.String | Non | Nom de la liste SharePoint liste |
| ListUrl | Edm.String | Non | URL de la liste relative au site web contenant |
| ListBaseType | Edm.String | Non | Spécifie le type de base pour une liste. |
| ListBaseTemplateType | Edm.String | Non | Type de définition de liste sur lequel est basée la liste. |
| IsHiddenList | Edm.Boolean | Non | Cette valeur est définie si True la liste SharePoint est masquée. |
| IsDocLib | Edm.Boolean | Non | Cette valeur est définie si True la liste SharePoint est de type Bibliothèque de documents. |
Schéma de partage SharePoint
Les événements de partage et de demande d’accès retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
Événements SharePoint relatifs au partage de fichier. Il s’agit de différents événements relatifs aux fichiers et aux dossiers dans lesquels un utilisateur effectue une action qui a certains effets sur un autre utilisateur. Pour plus d’informations sur SharePoint de partage, voir Utiliser l’audit de partage dans le journal d’audit.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Non | Stocke le nom d’utilisateur principal (UPN), ou le nom du groupe ou de l’utilisateur cible avec lequel une ressource a été partagée. |
| TargetUserOrGroupType | Edm.String | Non | Détermine si le groupe ou l’utilisateur cible est un membre, un invité, un groupe ou un partenaire. |
| EventData | Code XML | Non | Indique les informations de suivi concernant l’action de partage qui s’est produite. Par exemple, l’ajout d’un utilisateur à un groupe ou l’octroi d’autorisations de modification. |
| SiteUrl | Edm.String | Non | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| SourceRelativeUrl | Edm.String | Non | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. |
| SourceFileName | Edm.String | Non | Nom du fichier ou du dossier consulté par l’utilisateur. |
| SourceFileExtension | Edm.String | Non | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. |
| UniqueSharingId | Edm.String | Non | ID de partage unique associé à l’opération de partage |
Schéma SharePoint
Les événements SharePoint (à l’exception des événements de fichier et de dossier) retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| CustomEvent | Edm.String | Non | Chaîne facultative pour les événements personnalisés. |
| EventData | Edm.String | Non | Charge utile facultative pour les événements personnalisés. |
| ModifiedProperties | Collection(ModifiedProperty) | Non | La propriété est incluse pour les événements d’administration, par exemple l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration d’une collection de sites. La propriété inclut le nom de la propriété modifiée (par exemple, le groupe d’administrateurs du site), la nouvelle valeur de la propriété modifiée (comme l’utilisateur qui a été ajouté en tant qu’administrateur du site) et la valeur précédente de l’objet modifié. |
Schéma Project
Les événements microsoft Project pour le web retournés dans les recherches dans les journaux d’audit utilisent ces schémas.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| Entity | Edm.String | Oui | ProjectEntity pour laquelle l’audit a été effectué. |
| Action | Edm.String | Oui | ProjectAction qui a été effectuée. |
| OnBehalfOfResId | Edm.Guid | Non | ID de ressource au nom duquel l’action a été effectuée. |
Énumération : Project Action - Type : Edm.Int32
Action de projet
| Nom du membre | Description |
|---|---|
| Accepted | L’utilisateur a accepté un événement ou un flux de travail. |
| Accessed | L’utilisateur a accédé à une entité. |
| Activated | L’utilisateur a activé une entité, un événement ou un flux de travail. |
| Cancelled | L’utilisateur a annulé un événement ou un flux de travail. |
| CheckedIn | L’utilisateur a archivé une entité. |
| CheckedOut | L’utilisateur a extrait une entité. |
| Copied | L’utilisateur a copié une entité. |
| Created | L’utilisateur a créé une entité. |
| Deactivated | L’utilisateur a désactivé une entité. |
| Deleted | L’utilisateur a supprimé une entité. |
| Exported | L’utilisateur a exporté une entité. |
| ForceCheckedIn | L’utilisateur a forcé l’archivage d’une entité. |
| Modified | L’utilisateur a modifié une entité. |
| Published | L’utilisateur a publié une entité. |
| Redacted | L’utilisateur a rédigé une entité. |
| Rejected | L’utilisateur a rejeté une entité. |
| Restarted | L’utilisateur a redémarré un événement ou un flux de travail. |
| Saved | L’utilisateur a enregistré une entité. |
| Sent | L’utilisateur a envoyé une entité. |
| Submitted | L’utilisateur a soumis une entité pour révision ou un flux de travail. |
Énumération : Project Entity - Type : Edm.Int32
Entité de projet
| Nom du membre | Description |
|---|---|
| CustomField | Représente un champ personnalisé d’entreprise. |
| Driver | Représente un pilote de portefeuille. |
| DriverPrioritization | Représente une définition de priorités de portefeuille. |
| Engagement | Représente un engagement de ressources. |
| EnterpriseCalendar | Représente un calendrier de ressources d’entreprise. |
| EnterpriseProjectType | Représente un type de projet d’entreprise. |
| FiscalPeriod | Représente une période fiscale. |
| GanttChartFormat | Représente un format de diagramme de Gantt. |
| GroupingFormat | Représente un format de regroupement d’affichage. |
| LineClassification | Représente une classification de ligne de feuille de temps. |
| LookupTable | Représente une table de choix d’entreprise. |
| PermissionTemplate | Représente un modèle d’autorisation de sécurité. |
| PortfolioAnalysis | Représente une analyse de portefeuille. |
| Project | Représente un projet. |
| QueueJob | Représente un travail de file d’attente. |
| QuickLaunch | Représente un élément de lancement rapide. |
| Reporting | Représente le point de terminaison de génération de rapports. |
| Resource | Représente une ressource d’entreprise. |
| ResourcePlan | Représente un plan des ressources associé à un projet. |
| SecurityCategory | Représente une catégorie de sécurité. |
| SecurityGroup | Représente un groupe de sécurité. |
| Setting | Représente un paramètre d’application web Project. |
| Statusing | Représente une mise à jour de l’état de tâche. |
| StatusReport | Représente un rapport d’état. |
| TimeReportingPeriod | Représente une période pour une feuille de temps. |
| Timesheet | Représente une entité de feuille de temps. |
| TimesheetAuditLog | Représente un journal d’audit de feuille de temps. |
| TimesheetManager | Représente le gestionnaire d’une feuille de temps. |
| UserDelegate | Représente une délégation d’utilisateur pour un autre utilisateur. |
| View | Représente une définition de l’affichage. |
| WorkflowPhase | Représente une phase dans un flux de travail. |
| WorkflowStage | Représente une étape dans un flux de travail. |
Schéma d’administration Exchange
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Non | Il s’agit du nom convivial de l’objet modifié par la cmdlet. Ce paramètre est enregistré uniquement si la cmdlet modifie l’objet. |
| Paramètres | Collection(Common.NameValuePair) | Non | Nom et valeur de tous les paramètres utilisés avec la cmdlet identifiée dans la propriété Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Non | Propriété incluse pour les événements d’administration. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de l’objet modifié. |
| ExternalAccess | Edm.Boolean | Oui | Spécifie si la cmdlet a été exécutée par un utilisateur dans votre organisation, par le personnel du centre de données Microsoft ou par un compte de service du centre de données, ou par un administrateur délégué. La valeur False indique que la cmdlet a été exécutée par un membre de votre organisation. La valeur True indique que la cmdlet a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué. |
| OriginatingServer | Edm.String | Non | Nom du serveur à partir duquel la cmdlet a été exécutée. |
| OrganizationName | Edm.String | Non | Nom du client. |
| DeviceId | Edm.String | Non | Disponible uniquement pour les appareils inscrits/joints à un domaine. |
| TokenObjectId | Edm.String | Oui | revendication oid des jetons Microsoft Entra. |
| TokenTenantId | Edm.String | Oui | revendication des jetons de Microsoft Entra. |
Schéma de boîte aux lettres Exchange
Les événements de boîte aux lettres Exchange retournés dans les recherches dans les journaux d’audit utilisent ces schémas.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| LogonType | Self.LogonType | Oui | Indique le type d’utilisateur ayant accédé à la boîte aux lettres et effectué l’opération qui a été enregistrée. |
| InternalLogonType | Self.LogonType | Oui | Réservé à une utilisation interne. |
| MailboxGuid | Edm.String | Non | GUID Exchange de la boîte aux lettres consultée. |
| MailboxOwnerUPN | Edm.String | Non | Adresse de messagerie du propriétaire de la boîte aux lettres consultée. |
| MailboxOwnerSid | Edm.String | Non | SID du propriétaire de la boîte aux lettres. |
| MailboxOwnerMasterAccountSid | Edm.String | Non | SID du compte principal du compte du propriétaire de la boîte aux lettres. |
| LogonUserSid | Edm.String | Non | SID de l’utilisateur ayant effectué l’opération. |
| LogonUserDisplayName | Edm.String | Non | Nom convivial de l’utilisateur ayant effectué l’opération. |
| ExternalAccess | Edm.Boolean | Oui | La valeur est True si le domaine de l’utilisateur de connexion est différent du domaine du propriétaire de la boîte aux lettres. |
| OriginatingServer | Edm.String | Non | Il s’agit de l’emplacement où l’opération a été lancée. |
| OrganizationName | Edm.String | Non | Nom du client. |
| ClientInfoString | Edm.String | Non | Informations sur le client de messagerie que vous avez utilisé pour effectuer l’opération, comme la version d’un navigateur, la version d’Outlook et les informations d’appareil mobile. |
| ClientIPAddress | Edm.String | Non | Adresse IP du périphérique utilisé lors de la journalisation de l’opération. L’adresse IP apparaît au format IPv4 ou IPv6. |
| ClientMachineName | Edm.String | Non | Nom de l’ordinateur qui héberge le client Outlook. |
| ClientProcessName | Edm.String | Non | Client de messagerie que vous avez utilisé pour accéder à la boîte aux lettres. |
| ClientVersion | Edm.String | Non | Version du client de messagerie. |
| SessionId | Edm.String | Non | Identificateur unique de la session. Il permet de différencier les actions des attaquants par rapport aux activités quotidiennes des utilisateurs sur le même compte (utile pour les comptes compromis) |
| Appid | Edm.String | Non | Identificateur d’application |
| ClientAppId | Edm.String | Non | Identificateur de l’appelant d’origine (service/protocole) de la demande. |
| HostAppId | Edm.String | Non | Identificateur de service/protocole en cours d’exécution. |
| OperationProperties | Collection(Common.NameValuePair) | Non | Collection de propriétés spécifiques à l’opération. |
| ClientRequestId | Edm.String | Non | Identificateur de la demande du client. |
| ExternalUserTenantId | Edm.String | Non | Identificateur de locataire pour les utilisateurs externes. |
| ActorIP | Edm.String | Non | Adresse IP de l’acteur effectuant l’opération. |
| ActorInfoString | Edm.String | Non | Nom du instance cloud (par exemple, Public, GCC, GCC-H) |
| DeviceId | Edm.String | Non | Disponible uniquement pour les appareils inscrits/joints à un domaine. |
| CloudInstanceName | Edm.String | Non | Nom du instance cloud (par exemple, Public, GCC, GCC-H) |
| TokenObjectId | Edm.String | Non | revendication oid des jetons Microsoft Entra. |
| TokenTenantId | Edm.String | Non | revendication des jetons de Microsoft Entra. |
| Authtype | Edm.String | Non | Spécifie le schéma d’authentification utilisé par le client pour accéder au service. |
| TokenType | Edm.String | Non | Indique le type de jeton présenté lors de l’authentification, en fournissant un contexte sur le rôle et l’étendue du jeton. |
Énumération : LogonType - Type : Edm.Int32
LogonType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Owner | Propriétaire de la boîte aux lettres. |
| 1 | Admin | Personne disposant des privilèges d’administration pour la boîte aux lettres d’un utilisateur. |
| 2 | Delegated | Personne disposant des privilèges de délégué pour la boîte aux lettres d’un utilisateur. |
| 3 | Transport | Service de transport dans le centre de données Microsoft. |
| 4 | SystemService | Compte de service dans le centre de données Microsoft |
| 5 | BestAccess | Réservé à une utilisation interne. |
| 6 | DelegatedAdmin | Administrateur délégué. |
Schéma ExchangeMailboxAuditGroupRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Folder | Self.ExchangeFolder | Non | Dossier où se trouve un groupe d’éléments. |
| CrossMailboxOperations | Edm.Boolean | Non | Indique si l’opération a impliqué plusieurs boîtes aux lettres. |
| DestMailboxId | Edm.Guid | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique le GUID de la boîte aux lettres cible. |
| DestMailboxOwnerUPN | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique l’UPN du propriétaire de la boîte aux lettres cible. |
| DestMailboxOwnerSid | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique le SID de la boîte aux lettres cible. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Spécifie le SID du compte principal du propriétaire de la boîte aux lettres cible. |
| DestFolder | Self.ExchangeFolder | Non | Dossier de destination pour les opérations telles qu’un déplacement. |
| Folders | Collection(Self.ExchangeFolder) | Non | Informations sur les dossiers source impliqués dans une opération. Par exemple, si les dossiers sont sélectionnés, puis supprimés. |
| AffectedItems | Collection(Self.ExchangeItem) | Non | Informations sur chaque élément dans le groupe. |
| Teams | Self.TeamsData | Non | Données relatives à Microsoft Teams pour les opérations de groupe. |
Schéma ExchangeMailboxAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Item | Self.ExchangeItem | Non | Représente l’élément sur lequel l’opération a été effectuée. |
| ModifiedProperties | Collection(Edm.String) | Non | Propriétés modifiées. |
| MbxLoginLocalQueueADLookupInfo | Soi-même. LocalQueueADLookupInfo | Non | Contient les détails de la recherche Active Directory pour le contexte de connexion aux boîtes aux lettres. |
| SendAsUserSmtp | Edm.String | Non | Adresse SMTP de l’utilisateur qui est empruntée. |
| SendAsUserMailboxGuid | Edm.Guid | Non | GUID Exchange de la boîte aux lettres consultée pour envoyer un message électronique. |
| SendOnBehalfOfUserSmtp | Edm.String | Non | Adresse SMTP de l’utilisateur au nom duquel le message électronique est envoyé. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Non | GUID Exchange de la boîte aux lettres consultée pour le compte duquel envoyer un message électronique. |
| ContactEmail1EmailAddress | Edm.String | Non | Première adresse e-mail pour les informations de contact. |
| ContactEmail1DisplayName | Edm.String | Non | Nom d’affichage de l’e-mail du premier contact. |
| ContactEmail2EmailAddress | Edm.String | Non | Deuxième adresse e-mail pour les informations de contact. |
| ContactEmail2DisplayName | Edm.String | Non | Nom d’affichage du deuxième e-mail de contact. |
| ContactEmail3EmailAddress | Edm.String | Non | Troisième adresse e-mail pour les informations de contact. |
| ContactEmail3DisplayName | Edm.String | Non | Nom d’affichage de l’e-mail du troisième contact. |
| AttachmentId | Edm.String | Non | Identificateur de la pièce jointe de l’e-mail. |
| AttachmentSizeInBytes | Edm.Int64 | Non | Taille de la pièce jointe en octets. |
| SaveToSentItems | Edm.Boolean | Non | Indicateur indiquant si l’élément doit être enregistré dans le dossier des éléments envoyés. |
| Teams | Self.TeamsData | Non | Données liées à Microsoft Teams. |
Schéma ExchangeAggregatedMailboxAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| OperationCount | Edm.Int32 | Non | Nombre total d’opérations effectuées sur l’ensemble agrégé d’éléments. |
| Folders | Collection(Self.ExchangeAggregatedFolder) | Non | Collection d’objets de dossier agrégés impliqués dans l’opération. |
| Messages | Collection(Self.ExchangeAggregatedMessage) | Non | Collection d’objets de message agrégés impliqués dans l’opération. |
Schéma ExchangeAggregatedOperationRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| OperationCount | Edm.Int32 | Non | Nombre total d’opérations incluses agrégées dans cet enregistrement. |
| AggregateDurationInSeconds | Edm.Int32 | Non | Durée combinée de toutes les opérations agrégées en secondes. |
Type complexe ExchangeItem
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | ID de magasin. |
| Subject | Edm.String | Non | Ligne d’objet du message qui a été consulté. |
| ParentFolder | Self.ExchangeFolder | Non | Nom du dossier dans lequel se trouve l’élément. |
| ParentMessage | Soi-même. ExchangeMessage | Non | Message parent si cet élément est imbriqué. |
| Attachments | Edm.String | Non | Liste des noms et taille du fichier de tous les éléments joints au message. |
| ImmutableId | Edm.String | Non | Identificateur permanent et immuable de l’élément. |
| InternetMessageId | Edm.String | Non | Identificateur de message Internet. |
| ComplianceLabel | Edm.String | Non | Étiquette de conformité appliquée à l’élément. |
| IsRecord | Edm.Boolean | Non | Indicateur indiquant si l’élément est un enregistrement. |
| IsPriorityCleanup | Edm.Boolean | Non | Indicateur pour le traitement du nettoyage de priorité |
| SizeInBytes | Edm.Int64 | Non | Taille de l’élément Exchange en octets. |
| Niveau de confidentialité | Edm.String | Non | Indique le niveau de sensibilité de l’élément (par exemple, Normal, Personnel, Privé, Confidentiel). |
Type complexe LocalQueueADLookupInfo
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Puid | Edm.String | Non | Identificateur unique Passport (Puid) pour un compte Microsoft ou un objet utilisateur. |
| OrgIdPuid | Edm.String | Non | PUID de l’identificateur d’organisation. |
| Smtp | Edm.String | Non | Adresse SMTP pour la recherche AD. |
| SearchScope | Edm.String | Non | Étendue de recherche Active Directory |
| ConsumerMailbox | Edm.String | Non | Indicateur indiquant s’il s’agit d’une boîte aux lettres de consommateur. |
Type complexe EmailAddress
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Adresse | Edm.String | Non | Email adresse associée à l’utilisateur. |
| Nom | Edm.String | Non | Nom d’affichage de l’adresse e-mail. |
Type complexe ExchangeFolder
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | ID de magasin de l’objet du dossier. |
| Path | Edm.String | Non | Nom de dossier de la boîte aux lettres dans laquelle se trouve le message consulté. |
| Nom | Edm.String | Non | Nom du dossier |
| MemberSid | Edm.String | Non | Identificateur de sécurité de membre |
| MemberRights | Edm.String | Non | Droits d’accès sur le dossier |
| MemberUpn | Edm.String | Non | Nom d’utilisateur principal du membre |
Type complexe ExchangeMessage
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | Identificateur unique du message. |
| Path | Edm.String | Non | Chemin d’accès où se trouve le message |
Type complexe ExchangeFolderItem
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Non | GUID qui identifie l’élément de dossier dans Exchange. |
| ImmutableId | Edm.String | Non | Identificateur immuable pour chaque élément de dossier Exchange. |
| InternetMessageId | Edm.String | Non | Identificateur de message Internet pour chaque élément de dossier. |
| CreationTime | Edm.Date | Non | Heure de création de l’enregistrement/de l’élément. |
| Sujet | Edm.String | Non | Objet de l’enregistrement/de l’élément. |
| SizeInBytes | Edm.Int64 | Non | Taille de l’enregistrement/de l’élément en octets. |
| Niveau de confidentialité | Edm.String | Non | Étiquettes de confidentialité de l’enregistrement/de l’élément. |
| ClientRequestId | Edm.String | Non | Identificateur unique de la demande du client qui a déclenché l’opération. |
| Teams | Self.TeamsData | Non | Données liées à Microsoft Teams |
Type complexe ExchangeMessageItem
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Non | GUID qui identifie l’élément de message Exchange. |
| SizeInBytes | Edm.Int64 | Non | Taille du message en octets, y compris les pièces jointes. |
Type complexe ExchangeAggregatedFolder
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | GUID du dossier agrégé. |
| Path | Edm.String | Non | Chemin du dossier agrégé. |
| FolderItems | Collection(Self.ExchangeFolderItem) | Non | Collection d’éléments de dossier Exchange. |
Type complexe ExchangeAggregatedMessage
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | GUID du conteneur de messages agrégés. |
| Path | Edm.String | Non | Chemin du message agrégé. |
| MessageItems | Collection(Self.ExchangeMessageItem) | Non | Collection d’éléments de message d’échange. |
Schéma d’OWA Auth
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | Non | Identificateur unique de la ressource. |
| ResourceURL | Edm.String | Non | URL de la ressource. |
Schéma de base Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Oui | Type d’événement Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | Non | Propriétés étendues de l’événement Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Non | Cette propriété est incluse pour les événements d’administration. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
Énumération : AzureActiveDirectoryEventType - Type : Edm.Int32
AzureActiveDirectoryEventType
| Nom du membre | Description |
|---|---|
| AccountLogon | Événement de connexion au compte. |
| AzureApplicationAuditEvent | Événement de sécurité de l’application Azure. |
Schéma de connexion au compte Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Application | Edm.String | Non | Application qui déclenche l’événement de connexion au compte. Par exemple, Office 15. |
| Client | Edm.String | Non | Détails sur le périphérique client, le système d’exploitation du périphérique et le navigateur du périphérique qui ont été utilisés pour l’événement de connexion au compte. |
| LoginStatus | Edm.Int32 | Oui | Cette propriété provient directement de l’élément OrgIdLogon.LoginStatus. Le mappage de différents échecs de connexion intéressants peut être effectué à l’aide d’algorithmes d’alerte. |
| UserDomain | Edm.String | Oui | Informations sur l’identité du client (TII). |
Énumération : CredentialType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| -1 | Other | Autre authentification. |
| 0 | Password | Les informations d’identification utilisateur sont le nom d’utilisateur et le mot de passe. |
| 1 | MobilePhone | Les informations d’identification utilisateur correspondent à un téléphone mobile. |
| 2 | SecretQuestion | Les informations d’identification utilisateur correspondent à une question secrète. |
| 3 | SecurePin | Les informations d’identification utilisateur correspondent à un code confidentiel sécurisé. |
| 4 | SecurePinReset | Les informations d’identification utilisateur correspondent à une réinitialisation du code confidentiel sécurisé. |
| 11 | EasyID | Les informations d’identification utilisateur correspondent à EasyID. |
| 14 | PasswordIndexCredentialType | Les informations d’identification utilisateur correspondent à PasswordIndexCredentialType. |
| 16 | Device | Les informations d’identification utilisateur correspondent à un périphérique. |
| 17 | ForeignRealmIndex | Les informations d’identification utilisateur correspondent à ForeignRealmIndex. |
Énumération : LoginType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| -1 | Other | Autre type i. |
| 1 | InitialAuth | Connexion avec l’authentification initiale |
| 2 | CookieCopy | Connectez-vous avec le cookie. |
| 3 | SilentReAuth | Connectez-vous avec une authentification multiple en mode silencieux. |
Énumération : AuthenticationMethod - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Min | La méthode d’authentification est Min. |
| 1 | Password | La méthode d’authentification est un mot de passe. |
| 2 | Digest | La méthode d’authentification est Digest. |
| 3 | ProxyAuth | La méthode d’authentification ProxyAuth. |
| 4 | InfoCard | La méthode d’authentification est InfoCard. |
| 5 | DAToken | La méthode d’authentification est DAToken. |
| 6 | Sha1RememberMyPassword | La méthode d’authentification est Sha1RememberMyPassword. |
| 7 | LMPasswordHash | La méthode d’authentification est LMPasswordHash. |
| 8 | ADFSFederatedToken | La méthode d’authentification est ADFSFederatedToken. |
| 9 | EID | La méthode d’authentification est EID. |
| 10 | DeviceID | La méthode d’authentification est DeviceID. |
| 11 | MD5 | La méthode d’authentification est MD5. |
| 12 | EncProxyPasswordHash | La méthode d’authentification est EncProxyPasswordHash. |
| 13 | LWAFederation | La méthode d’authentification est LWAFederation. |
| 14 | Sha1HashedPassword | La méthode d’authentification est Sha1HashedPassword. |
| 15 | SecurePin | La méthode d’authentification est un code confidentiel sécurisé. |
| 16 | SecurePinReset | La méthode d’authentification est une réinitialisation de code confidentiel sécurisé. |
| 17 | SAML20PostSimpleSign | La méthode d’authentification est SAML20PostSimpleSign. |
| 18 | SAML20Post | La méthode d’authentification est SAML20Post. |
| 19 | OneTimeCode | La méthode d’authentification est un code à usage unique. |
Schéma Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | Non | Utilisateur ou principal de service ayant exécuté l’action. |
| ActorContextId | Edm.String | Non | GUID de l’organisation à laquelle appartient l’acteur. |
| ActorIpAddress | Edm.String | Non | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6. |
| InterSystemsId | Edm.String | Non | GUID effectuant le suivi des actions au sein des composants dans le service Office 365. |
| IntraSystemsId | Edm.String | Non | GUID généré par Azure Active Directory pour effectuer le suivi de l’action. |
| SupportTicketId | Edm.String | Non | ID de ticket de prise en charge de client pour l’action dans les situations « agir au nom d’un autre utilisateur ». |
| Target | Collection(Self.IdentityTypeValuePair) | Non | Utilisateur sur lequel a été effectuée l’action (identifiée par la propriété Operation). |
| TargetContextId | Edm.String | Non | GUID de l’organisation à laquelle appartient l’utilisateur ciblé. |
Type complexe IdentityTypeValuePair
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | Valeur de l’identité en fonction du type. |
| Type | Self.IdentityType | Oui | Type de l’identité. |
Énumération : IdentityType - Type : Edm.Int32
IdentityType
| Nom du membre | Description |
|---|---|
| Claim | L’identité est une revendication à des fins d’autorisation. |
| Name | Nom d’affichage de l’identité cible ou de l’acteur de l’action d’audit. |
| Other | L’identité de l’acteur est d’un autre type. Par exemple, ObjectId dans le GUID généré par le service Office 365. |
| PUID | ID unique Passport (PUID) cible ou ID de l’acteur de l’action d’audit. |
| SPN | Identité d’un principal de service si l’action est effectuée par le service Office 365. |
| UPN | Nom d’utilisateur principal. |
Schéma de connexion STS (Secure Token Service) dans Azure Active Directory.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.String | Non | GUID représentant l’application qui demande la connexion. Le nom d’affichage peut être recherché via l’API Graph Azure Active Directory. |
| Client | Edm.String | Non | Informations sur le périphérique client, fournies par le navigateur exécutant la connexion. |
| DeviceProperties | Collection(Common.NameValuePair) | Non | Cette propriété inclut plusieurs détails sur d’appareil, notamment l’id, le nom d'affichage, le système d’exploitation, le navigateur, IsCompliant, IsCompcompntAndManaged, SessionId, et DeviceTrustType. La propriété DeviceTrustType peut avoir ces valeurs : 0 - Microsoft Entra inscrit 1 - Microsoft Entra joint 2 - Joint Microsoft Entra hybride |
| ErrorCode | Edm.String | Non | Pour les échecs de connexion (où la valeur de la propriété de l’opération est UserLoginFailed), cette propriété contient le code d’erreur Azure Active Directory STS (AADSTS). Pour obtenir les descriptions de ces codes d’erreur, consultez Codes d’erreur d’authentification et d’autorisation. Une valeur de 0 indique connexion réussie. |
| LogonError | Edm.String | Non | Pour les échecs de connexion, cette propriété contient une description de la raison de l’échec de la connexion lisible par l’utilisateur. |
Schéma DLP
Les événements de protection contre la perte de données (DLP) dans Microsoft Purview sont disponibles pour Exchange Online, Point de terminaison (appareils) et SharePoint et OneDrive.
Les événements DLP ont UserKey="DlpAgent" toujours dans le schéma commun. Il existe trois types d’événements DLP qui sont stockés en tant que valeur de la propriété Operation du schéma commun :
- DlpRuleMatch : indique qu’une règle a été mise en correspondance. Ces événements existent dans tous les systèmes Exchange, Endpoint(devices) et SharePoint et OneDrive. Pour Exchange, cela inclut les informations de remplacement et sur les faux positifs. Pour SharePoint et OneDrive, les faux positifs et les remplacements génèrent des événements distincts.
-
DlpRuleUndo : SharePoint et OneDrive uniquement. Indique qu’une action de stratégie précédemment appliquée a été « annulée » en raison des raisons suivantes :
- Désignation positive/de remplacement AFalse par l’utilisateur.
- Le document n’est plus soumis à la stratégie (en raison d’une modification de stratégie ou d’une modification du contenu dans le document).
- DlpInfo : SharePoint et OneDrive uniquement. Indique une désignation de faux positif, mais aucune action n’a été « annulée ».
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Non | Décrit les métadonnées relatives au document dans SharePoint ou OneDrive qui contenaient les informations sensibles. |
| ExchangeMetaData | Self.ExchangeMetadata | Non | Décrit les métadonnées relatives au message électronique contenant des informations sensibles. |
| EndpointMetaData | Soi-même. EndpointMetadata | Non | Décrit les métadonnées relatives au document dans le point de terminaison qui contenait les informations sensibles |
| ExceptionInfo | Edm.String | Non | Identifie les raisons pour lesquelles une stratégie ne s’applique plus et/ou les informations relatives aux faux positifs et/ou remplacements indiqués par l’utilisateur final. |
| PolicyDetails | Collection(Self.PolicyDetails) | Oui | Informations concernant au moins une stratégie ayant déclenché l’événement DLP. |
| SensitiveInfoDetectionIsIncluded | Boolean | Oui | Indique si l’événement contient la valeur du type de données sensibles et le contexte environnant à partir du contenu source. L’accès aux données sensibles nécessite l’autorisation d’accès en lecture aux événements de stratégie DLP incluant des informations sensibles dans Azure Active Directory. |
Schéma eDiscovery
Le schéma d’audit eDiscovery est conçu pour capturer et journaliser les activités liées aux processus eDiscovery au sein du organization.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| CaseId | Edm.Guid | Non | Identité (GUID) du cas eDiscovery. |
| CaseName | Edm.String | Non | Nom du cas eDiscovery. |
| Object1Id | Edm.String | Non | ID de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) qui a été créé, consulté ou modifié. |
| Object1Name | Edm.String | Non | Nom de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) qui a été créé, consulté ou modifié. |
| Object1Type | Edm.String | Non | Type de l’objet eDiscovery que l’utilisateur a créé, supprimé ou modifié. |
| Object2Id | Edm.String | Non | ID de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) qui a été créé, consulté ou modifié. |
| Object2Name | Edm.String | Non | Nom de l’objet (par exemple, un jeu de recherche, de conservation ou de révision) qui a été créé, consulté ou modifié. |
| Object2Type | Edm.String | Non | Type de l’objet eDiscovery que l’utilisateur a créé, supprimé ou modifié. |
| StartTime | Edm.Date | Non | Date et heure utc (Temps universel coordonné) auxquelles l’activité eDiscovery a démarré. |
| EndTime | Edm.Date | Non | Date et heure utc (Temps universel coordonné) auxquelles l’activité eDiscovery a pris fin. |
| UserCancelled | Edm.Boolean | Non | Indique si l’activité spécifique a été annulée par l’utilisateur. |
| ItemIds | Collection(Edm.String) | Non | ID d’élément associés à l’activité. |
| ItemNames | Collection(Edm.String) | Non | Noms d’éléments associés à l’activité. |
| DataSources | Collection(Edm.String) | Non | Liste des ID sources, des noms de sources et des emplacements associés à l’activité. |
| QueryId | Edm.String | Non | ID de la requête associée à l’activité. |
| QueryText | Edm.String | Non | Texte de requête associé à l’activité, tel qu’un processus de statistiques de recherche ou ajouter au processus de révision. |
| QueryFiles | Collection(Edm.String) | Non | Noms de fichiers d’entrée utilisés pour générer la requête. Cela est spécifique au mouvement de recherche par fichier. |
| Paramètres | Collection(Common.NameValuePair) | Non | Paramètres appliqués à l’activité eDiscovery. |
| ExtendedProperties | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires liées à l’activité eDiscovery. |
| ExportName | Edm.String | Non | Nom de l’exportation eDiscovery. |
| JobId | Edm.String | Non | GUID du processus eDiscovery. |
| Numéro d’enregistrement | Edm.String | Non | Utilisé lorsqu’un enregistrement d’audit est divisé en plusieurs parties en raison de sa taille. Il indique la séquence de chaque partie dans le total des fractionnements. |
Type complexe SharePointMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| From | Edm.String | Oui | Utilisateur ayant déclenché l’événement. Les valeurs sont FileOwner, LastModifier ou LastSharer. |
| itemCreationTime | Edm.Date | Oui | Horodatage UTC du moment où l’événement a été journalisé. |
| SiteCollectionGuid | Edm.Guid | Oui | GUID de la collection de sites. |
| SiteCollectionUrl | Edm.String | Oui | Nom du site SharePoint. |
| FileName | Edm.String | Oui | Nom du chemin d’accès. |
| FileOwner | Edm.String | Oui | Propriétaire du document. |
| FilePathUrl | Edm.String | Oui | URL du document. |
| DocumentLastModifier | Edm.String | Oui | Identité de l’utilisateur qui a modifié le document en dernier. |
| DocumentSharer | Edm.String | Oui | Identité de l’utilisateur qui a modifié le partage en dernier. |
| UniqueID | Edm.String | Oui | GUID qui identifie un fichier. |
| LastModifiedTime | Edm.DateTime | Oui | Horodatage à l’heure UTC du moment de la dernière modification du document. |
| IsViewableByExternalUsers | Edm.Boolean | Oui | Détermine si le fichier est accessible à tout utilisateur externe. |
Type complexe ExchangeMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MessageID | Edm.String | Oui | ID du message électronique ayant déclenché l’événement. |
| From | Edm.String | Oui | L’utilisateur qui a envoyé le message électronique. |
| À | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne À du message. |
| Cc | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne Cc du message. |
| Cci | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne Cci du message. |
| Subject | Edm.String | Oui | Objet du message électronique. |
| Sent | Edm.DateTime | Oui | Heure UTC de l’envoi du message électronique. |
| RecipientCount | Edm.Int32 | Oui | Nombre total de tous les destinataires sur les lignes À, Cc et Cci du message. |
Type complexe EndpointMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Non | Informations sur le type d’informations sensibles détecté. |
| EnforcementMode | Edm.String | Oui | Indiquez si la règle DLP est définie sur 1/2/3/4/5 représentant respectivement audit/warn(block with override)/warn et bypass/block/allow(audit sans alertes). |
| FileExtension | Edm.String | Non | Extension de fichier du document qui contenait les informations sensibles. |
| FileType | Edm.String | Non | Type de fichier du document contenant les informations sensibles. |
| DeviceName | Edm.String | Non | Nom de l’appareil sur lequel la correspondance de règle DLP a été détectée. |
Type complexe PolicyDetails
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyId | Edm.Guid | Oui | GUID de la stratégie DLP pour cet événement. |
| PolicyName | Edm.String | Oui | Nom convivial de la stratégie DLP pour cet événement. |
| Rules | Collection(Self.Rules) | Oui | Informations sur les règles dans la stratégie qui ont été satisfaites pour cet événement. |
Type complexe Rules
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RuleId | Edm.Guid | Oui | GUID de la règle DLP pour cet événement. |
| RuleName | Edm.String | Oui | Nom convivial de la règle DLP pour cet événement. |
| Actions | Collection(Edm.String) | Non | Liste des actions entreprises suite à un événement DLP RuleMatch. |
| OverriddenActions | Collection(Edm.String) | Non | Liste des actions entreprises précédemment qui ont été annulées suite à un événement DLPRuleUndo. |
| Severity | Edm.String | Non | Gravité (élevée, moyenne et faible) de la correspondance de règle. |
| RuleMode | Edm.String | Oui | Indiquez si la règle DLP a été définie sur Appliquer, Audit avec notification ou Audit uniquement. |
| ConditionsMatched | Self.ConditionsMatched | Non | Informations sur les conditions de la règle qui ont été satisfaites pour cet événement. |
Type complexe ConditionsMatched
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Non | Informations sur le type d’informations sensibles détecté. |
| DocumentProperties | Collection(NameValuePair) | Non | Informations sur les propriétés du document qui a déclenché une correspondance de règle. |
| OtherConditions | Collection(NameValuePair) | Non | Liste des paires clé/valeur décrivant les autres conditions qui ont été satisfaites. |
Type complexe SensitiveInformation
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Confidence | Edm.Int | Oui | L’indice de confiance agrégée de toutes les correspondances de motifs pour ce type d’informations sensibles. |
| Count | Edm.Int | Oui | Total d’instances sensibles détectées. |
| Emplacement | Edm.String | Non | |
| SensitiveType | Edm.Guid | Oui | GUID qui identifie le type de données sensibles détecté. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Non | Tableau d’objets qui contiennent des données d’informations sensibles avec les détails suivants : valeur de correspondance et contexte de la valeur correspondante. |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
Oui | Informations sur le nombre de types d’informations sensibles détectés pour chacun des trois niveaux de confiance (Haut, Moyen et Faible) et qu’ils correspondent ou non à la règle DLP. |
| SensitiveInformationTypeName | Edm.String | Non | Nom du type d’informations sensibles. |
| UniqueCount | Edm.Int32 | Oui | Compte unique d’instances sensibles détectées. |
Type complexe SensitiveInformationDetailedClassificationAttributes
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Confidence | Edm.int32 | Oui | Le niveau de confiance du motif détecté. |
| Compte | Edm.Int32 | Oui | Nombre d’instances sensibles détectées pour un niveau de confiance particulier. |
| IsMatch | Edm.Boolean | Oui | Indique si le compte donné et le niveau de confiance du type d’informations sensibles détectées correspondent à une règle de protection contre la perte de données. |
Type complexe SensitiveInformationDetections
Les données sensibles DLP sont disponibles uniquement dans l’API de flux d’activité pour les utilisateurs qui ont reçu l’autorisation d’accès en lecture des données sensibles DLP.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | Oui | Tableau d’informations sensibles détecté. Les informations contiennent des paires clé-valeur avec Valeur = valeur correspondante (par exemple, Valeur de crédit carte) et Contexte = extrait du contenu source qui contient la valeur correspondante. |
| ResultsTruncated | Edm.Boolean | Oui | Indique si les journaux ont été tronqués en raison du nombre élevé de résultats. |
Type complexe ExceptionInfo
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Reason | Edm.String | Non | Pour un événement DLPRuleUndo, ce paramètre indique pourquoi la règle ne plus s’applique plus, ce qui peut être l’une de ces 3 raisons : remplacement, modification du document ou modification de la stratégie. |
| FalsePositive | Edm.Boolean | Non | Indique si l’utilisateur a désigné cet événement comme un faux positif. |
| Justification | Edm.String | Non | Si l’utilisateur a choisi de remplacer la stratégie, toute justification spécifiée par l’utilisateur est capturée ici. |
| Rules | Collection(Edm.Guid) | Non | Collection de GUID pour chaque règle désignée comme faux positif ou remplacement, ou pour laquelle une action a été annulée. |
Schéma du Centre de sécurité et conformité
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| StartTime | Edm.Date | Non | Date et heure d’exécution de l’applet de commande. |
| ClientRequestId | Edm.String | Non | GUID qui peut être utilisé pour mettre en corrélation cette applet de commande avec les opérations du portail. Ces informations sont utilisées uniquement par le support Microsoft. |
| CmdletVersion | Edm.String | Non | Version de build de l’applet de commande lors de son exécution. |
| EffectiveOrganization | Edm.String | Non | GUID de l’organisation affecté par la cmdlet. (Déconseillé : ce paramètre finit par cesser d’apparaître.) |
| UserServicePlan | Edm.String | Non | Plan de service affecté à l’utilisateur qui a exécuté l’applet de commande. |
| ClientApplication | Edm.String | Non | Si l’applet de commande a été exécutée par une application, par opposition à PowerShell distante, ce champ contient le nom de l’application. |
| Paramètres | Edm.String | Non | Nom et valeur des paramètres utilisés avec l’applet de commande qui n’incluent pas de données personnelles. |
| NonPiiParameters | Edm.String | Non | Nom et valeur des paramètres utilisés avec l’applet de commande qui incluent des données personnelles. (Déconseillé : ce champ finit par cesser d’apparaître et son contenu sera fusionné avec le champ Paramètres.) |
Schéma d’alertes de sécurité et conformité
Les signaux d’alerte sont les suivants :
- Toutes les alertes générées par les stratégies d’alerte dans le portail Microsoft Defender.
- Alertes liées à Microsoft 365 générées dans Microsoft Defender for Cloud Apps.
Les paramètres UserId et UserKey de ces événements sont toujours des alertes SecurityComplianceAlerts. Il existe trois types d’événements d’alerte qui sont stockés en tant que valeur de la propriété Operation du schéma commun :
- AlertTriggered : une nouvelle alerte est générée en raison d’une correspondance de stratégie.
- AlertEntityGenerated : une nouvelle entité est ajoutée à une alerte. Cet événement s’applique uniquement aux alertes générées en fonction des stratégies d’alerte dans le portail Microsoft Defender. Chaque alerte générée peut être associée à un ou à plusieurs de ces événements. Par exemple, une stratégie d’alerte est définie pour déclencher une alerte si un utilisateur supprime plus de 100 fichiers en 5 minutes. Si deux utilisateurs dépassent le seuil à la même heure, il existe deux événements AlertEntityGenerated, mais un seul événement AlertTriggered.
- AlertUpdated : une mise à jour a été effectuée pour les métadonnées d’une alerte. Cet événement est journalisé lorsque le status d’une alerte est modifié (par exemple, de Actif à Résolu) et lorsqu’une personne ajoute un commentaire à l’alerte.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| AlertId | Edm.Guid | Oui | GUID de l’alerte. |
| AlertType | Self.String | Oui | Type de l’alerte. Les types d’alertes sont les suivants :
|
| Name | Edm.String | Oui | Nom de l’alerte. |
| PolicyId | Edm.Guid | Non | GUID de la stratégie qui a déclenché l’alerte. |
| Status | Edm.String | Non | Statut de l’alerte. Les statuts sont les suivants :
|
| Severity | Edm.String | Non | Gravité de l’alerte. Les niveaux de gravité sont les suivants :
|
| Catégorie | Edm.String | Non | Catégorie de l’alerte. Les catégories sont les suivantes :
|
| Source | Edm.String | Non | Source de l’alerte. Les sources sont les suivantes :
|
| Comments | Edm.String | Non | Commentaires laissés par les utilisateurs qui ont vu l’alerte. Il s’agit d’une « nouvelle alerte » par défaut. |
| Data | Edm.String | Non | BLOB des données de détail de l’alerte ou de l’entité de l’alerte. |
| AlertEntityId | Edm.String | Non | Identificateur pour l’entité de l’alerte. Ce paramètre s’applique uniquement aux événements AlertEntityGenerated. |
| EntityType | Edm.String | Non | Type de l’alerte ou de l’entité de l’alerte. Les types d’entités sont les suivants :
Ce paramètre s’applique uniquement aux événements AlertEntityGenerated. |
schéma Viva Engage
Viva Engage événements retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| ActorUserId | Edm.String | Non | Adresse électronique de l’utilisateur ayant effectué l’opération. |
| ActorYammerUserId | Edm.Int64 | Non | ID de l’utilisateur ayant effectué l’opération. |
| DataExportType | Edm.String | Non | Renvoie « data » si l’exportation de données inclut des messages, des notes, des fichiers, des rubriques, des utilisateurs et des groupes. Renvoie « user » si exportation de données inclut uniquement des utilisateurs. |
| FileId | Edm.Int64 | Non | ID du fichier dans l’opération. |
| FileName | Edm.String | Non | Nom du fichier dans l’opération. Apparaît vide s’il n’est pas pertinent pour l’opération. |
| GroupName | Edm.String | Non | Nom du groupe dans l’opération. Apparaît vide s’il n’est pas pertinent pour l’opération. |
| IsSoftDelete | Edm.Boolean | Non | Renvoie « true » si la stratégie de rétention des données du réseau est définie sur Suppression réversible. Renvoie « false » si la stratégie de rétention des données du réseau est définie sur Suppression définitive. |
| MeetingId | Edm.String | Non | ID de l’événement/de la réunion teams dans l’opération. |
| MessageId | Edm.Int64 | Non | ID du message dans l’opération. |
| ModifiedProperties | Collection(ModifiedProperty) | Non | Inclut le nom de la propriété qui a été modifiée, la nouvelle valeur de l’objet modifié et la valeur précédente de l’objet modifié. |
| YammerNetworkId | Edm.Int64 | Non | ID réseau de l’utilisateur ayant effectué l’opération. |
| TargetObjectId | Edm.String | Non | Id Entra de l’utilisateur cible dans l’opération. |
| TargetUserId | Edm.String | Non | Adresse électronique de l’utilisateur cible dans l’opération. Apparaît vide s’il n’est pas pertinent pour l’opération. |
| TargetYammerUserId | Edm.Int64 | Non | ID de l’utilisateur cible dans l’opération. |
| ThreadId | Edm.Int64 | Non | ID du thread message dans l’opération. |
| VersionId | Edm.Int64 | Non | ID de version du fichier dans l’opération. |
Schéma de base de sécurité du centre de données
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Oui | Le type d’événement de cmdlet dans la zone de verrouillage. |
Énumération : DataCenterSecurityEventType - Type : Edm.Int32
DataCenterSecurityEventType
| Nom du membre | Description |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Il s’agit de la valeur enum pour l’événement de type d’audit de la cmdlet. |
Schéma de cmdlet de sécurité du centre de données
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| StartTime | Edm.Date | Oui | Heure de début de l’exécution de la cmdlet. |
| EffectiveOrganization | Edm.String | Oui | Nom du client sur lequel l’élévation/la cmdlet a été ciblée. |
| ElevationTime | Edm.Date | Oui | Heure de début de l’élévation. |
| ElevationApprover | Edm.String | Oui | Nom d’un responsable Microsoft. |
| ElevationApprovedTime | Edm.Date | Non | Horodatage du moment où l’élévation a été approuvée. |
| ElevationRequestId | Edm.Guid | Oui | Identificateur unique pour la demande d’élévation. |
| ElevationRole | Edm.String | Non | Rôle pour lequel l’élévation a été demandée. |
| ElevationDuration | Edm.Int32 | Oui | Durée pendant laquelle l’élévation était active. |
| GenericInfo | Edm.String | Non | Utilisé pour les commentaires et d’autres informations génériques. |
Schéma Microsoft Teams
Les événements Microsoft Teams retournés dans les recherches dans les journaux d’audit utilisent ces schémas.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Action | Edm.String | Non | Pour les événements de canal partagé, l’action effectuée par l’invité ou le propriétaire du canal pour un partage avec invitation d’équipe. |
| AddOnGuid | Edm.Guid | Non | Identificateur unique du complément ayant généré l’événement. |
| AddOnName | Edm.String | Non | Nom du complément ayant généré l’événement. |
| AddOnType | Self.AddOnType | Non | Type de complément ayant généré cet événement. |
| ChannelGuid | Edm.Guid | Non | Identificateur unique pour le canal audité. |
| ChannelName | Edm.String | Non | Nom du canal audité. |
| ChannelType | Edm.String | Non | Type de canal audité (standard/privé). |
| ExtraProperties | Collection(Self.KeyValuePair) | Non | Liste de propriétés supplémentaires. |
| HostedContents | Collection(Self.HostedContent) | Non | Une collection de contenus hébergés de messages de conversation ou de canaux. |
| Invité(e) | Edm.String | Non | Pour les événements de canal partagé, l’UPN du propriétaire de l’équipe invitée qui accepte ou refuse l’invitation pour un partage avec l’invitation d’équipe. |
| Members | Collection(Self.MicrosoftTeamsMember) | Non | Liste des utilisateurs dans une équipe. |
| MessageId | Edm.String | Non | Identificateur pour un message de conversation ou de canal. |
| MessageURLs | Edm.String | Non | Présenter pour les URLs envoyées dans les messages Teams. |
| Messages | Collection(Self.Message) | Non | Une collection de messages de conversation ou de canaux. |
| MessageSizeInBytes | Edm.Int64 | Non | Taille d’un message de conversation ou de canal en octets avec encodage UTF-16. |
| Nom | Edm.String | Non | Uniquement présent pour les événements de paramètres. Nom du paramètre modifié. |
| NewValue | Edm.String | Non | Uniquement présent pour les événements de paramètres. Nouvelle valeur du paramètre. |
| OldValue | Edm.String | Non | Uniquement présent pour les événements de paramètres. Ancienne valeur du paramètre. |
| SubscriptionId | Edm.String | Non | Identificateur unique d’un abonnement aux notifications de modification Microsoft Graph. |
| TabType | Edm.String | Non | Uniquement présent pour les événements de tabulation. Type de l’onglet ayant généré l’événement. |
| TeamGuid | Edm.Guid | Non | Identificateur unique de l’équipe auditée. |
| TeamName | Edm.String | Non | Nom de l’équipe auditée. |
Type complexe MicrosoftTeamsMember
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| UPN | Edm.String | Non | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| Role | Self.MemberRoleType | Non | Rôle de l’utilisateur au sein de l’équipe. |
| DisplayName | Edm.String | Non | Nom d’affichage de l’utilisateur. |
Énumération : MemberRoleType - Type : Edm.Int32
MemberRoleType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Member | Utilisateur membre de l’équipe. |
| 1 | Owner | Utilisateur propriétaire de l’équipe. |
| 2 | Guest | Utilisateur qui n’est pas membre de l’équipe. |
Type complexe KeyValuePair
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Clé | Edm.String | Non | Clé de la paire clé/valeur. |
| Valeur | Edm.String | Non | Valeur de la paire clé-valeur. |
Énumération : AddOnType - Type : Edm.Int32
AddOnType
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Bot | Bot Microsoft Teams. |
| 2 | Connector | Connecteur Microsoft Teams. |
| 3 | Tab | Onglet Microsoft Teams. |
Type complexe HostedContent
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | Identificateur unique du contenu hébergé du message. |
| SizeInBytes | Edm.Int64 | Non | Taille du contenu hébergé du message en octets. |
Type complexe de message
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AADGroupId | Edm.String | Non | Identificateur unique du groupe dans Azure Active Directory auquel appartient le message. |
| ID | Edm.String | Oui | Identificateur unique du message de conversation ou de canal. |
| ChannelGuid | Edm.String | Non | Identificateur unique du canal auquel appartient le message. |
| ChannelName | Edm.String | Non | Nom du canal auquel appartient le message. |
| ChannelType | Edm.String | Non | Type du canal auquel appartient le message. |
| ChatName | Edm.String | Non | Nom de la conversation à laquelle appartient le message. |
| ChatThreadId | Edm.String | Non | Identificateur unique de la conversation à laquelle appartient le message. |
| ParentMessageId | Edm.String | Non | Identificateur unique du message de conversation ou de canal parent. |
| SizeInBytes | Edm.Int64 | Non | Taille du message en octets avec encodage UTF-16. |
| TeamGuid | Edm.String | Non | Identificateur unique de l’équipe à laquelle appartient le message. |
| TeamName | Edm.String | Non | Nom de l’équipe à laquelle appartient le message. |
| Version | Edm.String | Non | Version du message de conversation ou de canal. |
Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces
Microsoft Defender pour les événements Office 365 sont disponibles pour les clients Microsoft 365 disposant de Defender pour Office 365, inclus ou en tant qu’abonnement de module complémentaire. Par exemple, Microsoft 365 Business Premium inclut Defender pour Office 365 Plan 1 et Microsoft 365 A5/E5/G5 inclut Defender pour Office 365 Plan 2.
Les événements d’investigation et de réponse aux menaces sont disponibles uniquement pour les clients disposant de Defender pour Office 365 Plan 2.
Chaque événement du flux Defender pour Office 365 correspond aux fonctionnalités suivantes :
- Messages électroniques remis détectés et activés par le vidage automatique zéro heure (ZAP).
- URL détectées au moment du clic par les liens fiables.
- Fichiers détectés par les pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams.
- Alertes qui ont déclenché des investigations automatisées (Defender pour Office 365 Plan 2 uniquement).
- événements Exercice de simulation d’attaque (Defender pour Office 365 Plan 2 uniquement).
Événements de message électronique
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Non | Données sur les pièces jointes dans le message électronique ayant déclenché l’événement. |
| DetectionType | Edm.String | Oui | Type de détection. Par exemple
Les événements avec le type de détection ZAP sont généralement précédés d’un message avec un type de détection différée . |
| DetectionMethod | Edm.String | Oui | Méthode ou technologie de détection utilisée par Defender pour Office 365. |
| InternetMessageId | Edm.String | Oui | ID de message Internet. |
| NetworkMessageId | Edm.String | Oui | ID de message réseau Exchange Online. |
| P1Sender | Edm.String | Oui | Adresse MAIL FROM utilisée dans la transmission SMTP du message électronique entre les serveurs de messagerie (également appelée 5321.MailFrom adresse, expéditeur P1 ou expéditeur d’enveloppe). |
| P2Sender | Edm.String | Oui | Adresse de départ (également appelée 5322.From adresse ou expéditeur P2) affichée dans les clients de messagerie. |
| Stratégie | Self.Policy | Oui | Le type de stratégie de menace (par exemple, anti-courrier indésirable ou anti-hameçonnage) et le type d’action associé (par exemple, courrier indésirable à haut niveau de confiance, courrier indésirable ou hameçonnage) correspondant au message électronique. |
| Stratégie | Self.PolicyAction | Oui | Action configurée dans la stratégie de menace (par exemple, Déplacer vers le dossier Courrier indésirable ou Quarantaine) pertinente pour le message électronique. |
| Recipients | Collection(Edm.String) | Oui | Tableau des destinataires du message électronique. |
| SenderIp | Edm.String | Oui | Adresse IPv4 ou IPv6 qui a envoyé le message. |
| Sujet | Edm.String | Oui | Ligne d’objet du message. |
| Verdict | Edm.String | Oui | Verdict du message. |
| MessageTime | Edm.Date | Oui | Date et l’heure en temps universel coordonné (UTC) de réception ou d’envoi du courrier électronique. |
| EventDeepLink | Edm.String | Oui | Lien profond vers l’événement d’e-mail dans Détections de Explorer de menaces ou en temps réel. |
| Action de remise | Edm.String | Oui | Action de remise d’origine sur le courrier électronique. |
| Emplacement de la remise d’origine | Edm.String | Oui | Emplacement de remise d’origine du courrier électronique. |
| Dernier emplacement de remise | Edm.String | Oui | Dernier emplacement de remise du courrier électronique au moment de l’événement. |
| Orientation | Edm.String | Oui | Identifie si un message électronique a été entrant, sortant ou intra-organisation. |
| ThreatsAndDetectionTech | Edm.String | Oui | Les menaces et les technologies de détection correspondantes. Ce champ expose toutes les menaces qui s’y rapportent sur un courrier électronique, notamment le dernier ajout de courrier indésirable. Par exemple : ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. Les différentes technologies de détection des menaces et de détection sont décrites dans Technologies de détection. |
| AdditionalActionsAndResults | Collection(Edm.String) | Non | Actions supplémentaires effectuées sur l’e-mail, telles que ZAP ou correction manuelle. Inclut également les résultats correspondants. |
| Connecteurs | Edm.String | Non | Noms et GUID des connecteurs associés à l’e-mail. |
| AuthDetails | Collection(Self.AuthDetails) | Non | Vérifications d’authentification effectuées pour l’e-mail. Inclut également les valeurs pour SPF, DKIM, DMARC et CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Non | Remplacements applicables à l’e-mail. Il peut s’agir de remplacements système ou utilisateur. |
| Niveau de confiance des hameçonnages | Edm.String | Non | Indique le niveau de confiance associé au verdict d’hameçonnage. Il peut être normal ou élevé. |
Remarque
Nous vous recommandons d'utiliser le nouveau champ ThreatsAndDetectionTech car il indique les verdicts multiples et les technologies de détection mises à jour. Ce champ s’aligne également sur les valeurs que vous voyez dans d’autres expériences telles que la Explorer des menaces et la chasse avancée.
Technologies de détection
| Nom | Description |
|---|---|
| Filtre avancé | Signaux de hameçonnage basés sur l’apprentissage automatique. |
| Moteur anti-programme malveillant | Détection à partir de moteurs anti-programme malveillant. |
| Campagne | Messages identifiés dans le cadre d’une campagne. |
| Réputation du domaine | Analyse basée sur la réputation du domaine. |
| Détonation de fichier | Les fichiers joints se sont avérés mauvais pendant l'analyse des détonations. |
| Réputation de détonation de fichier | Fichier joint marqué comme mauvais en raison de la réputation de détonation précédente. |
| Réputation des fichiers | Fichiers joints marqués comme mauvais en raison de leur mauvaise réputation. |
| Correspondance de l’empreinte | Le message a été marqué comme mauvais en raison de messages précédents. |
| Filtre général | Signaux de hameçonnage basés sur des règles. |
| Marque d’emprunt d’identité | Type de fichier de la pièce jointe. |
| Domaine d’emprunt d’identité | Emprunt d’identité des domaines qui sont la propriété ou la définition du client. |
| Utilisateur emprunt d’identité | Usurpation d'identité des utilisateurs définis par l'administrateur ou appris par la veille des boîtes aux lettres. |
| Emprunt d’identité sur la veille des boîtes aux lettre | Emprunt d’identité basé sur la veille des boîtes aux lettres. |
| Détection d’analyse mixte | Plusieurs filtres ont été facteurs dans la recherche de ce message. |
| Usurper une identité DMARC | Échec de l’authentification DMARC pour les messages. |
| Usurpation d’un domaine externe | L’expéditeur tente d’usurper un autre domaine. |
| Usurpation d’organisation intra-organisation | L’expéditeur tente d’usurper le domaine du destinataire. |
| Détonation d’URL | Le message a été considéré comme mauvais en raison d’une détonation d’URL malveillante précédente. |
| Réputation de détonation d’URL | Le message a été considéré comme mauvais en raison d’une détonation d’URL malveillante. |
| Réputation d’URL malveillante | Le message a été considéré comme mauvais en raison d’une URL malveillante. |
Type complexe AttachmentData
AttachmentData
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileName | Edm.String | Oui | Nom de fichier de la pièce jointe. |
| FileType | Edm.String | Oui | Type de fichier de la pièce jointe. |
| FileVerdict | Self.FileVerdict | Oui | Verdict de programme malveillant dans le fichier. |
| MalwareFamily | Edm.String | Non | Famille de programme malveillant de fichier. |
| SHA256 | Edm.String | Oui | Hachage SHA256 du fichier. |
Remarque
Dans la famille de programmes malveillants, vous voyez le nom exact de MalwareFamily (par exemple, HTML/Phish.VS ! MSR) ou charge utile malveillante sous forme de chaîne statique. Une charge utile malveillante doit toujours être traitée comme un courriel malveillant lorsqu'un nom spécifique n'est pas identifié.
Type complexe SystemOverrides
SystemOverrides
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Détails | Edm.String | Non | Détails sur le remplacement spécifique (tel que l’ETR ou l’expéditeur approuvé) qui a été appliqué. |
| FinalOverride | Edm.String | Non | Indique le remplacement qui a impacté la remise dans le cas de plusieurs remplacements. |
| Résultat | Edm.String | Non | Indique si l’e-mail a été défini sur autorisé ou bloqué en fonction du remplacement. |
| Source | Edm.String | Non | Indique si le remplacement a été configuré par l’utilisateur ou configuré par le client. |
Type complexe AuthDetails
AuthDetails
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Nom | Edm.String | Non | Nom de la vérification d’authentification spécifique, telle que DKIM ou DMARC. |
| Valeur | Edm.String | Non | Valeur associée à la vérification d’authentification spécifique, telle que True ou False. |
Énumération : FileVerdict - Type : Edm.Int32
FileVerdict
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Good | Aucune menace détectée. |
| 1 | Bad | Programme malveillant détecté dans la pièce jointe. |
| -1 | Error | Erreur d’analyse. |
| -2 | Timeout | Expiration de l’analyse. |
| -3 | Pending | Analyse non terminée. |
Énumération : Stratégie – Type : Edm.Int32
Type de stratégie et type d’action
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Anti-courrier indésirable, HSPM | Action HSPM (High Confidence Spam) dans la stratégie anti-courrier indésirable. |
| 2 | Anti-courrier indésirable, SPM | Action de courrier indésirable (SPM) dans la stratégie anti-courrier indésirable. |
| 3 | Anti-courrier indésirable, Bloc | Action en bloc dans la stratégie anti-courrier indésirable. |
| 4 | Anti-courrier indésirable, PHSH | Action de hameçonnage (PHSH) dans la stratégie anti-courrier indésirable. |
| 5 | Anti-hameçonnage, DIMP | Action d’emprunt d’identité de domaine (DIMP) dans la stratégie anti-hameçonnage. |
| 6 | Anti-hameçonnage, UIMP | Action D’emprunt d’identité utilisateur (UIMP) dans la stratégie anti-hameçonnage. |
| 7 | Anti-hameçonnage, SPOOF | Action d’usurpation dans la stratégie anti-hameçonnage. |
| 8 | Anti-hameçonnage, GIMP | Action d’intelligence de boîte aux lettres dans la stratégie anti-hameçonnage. |
| 9 | Anti-programme malveillant, AMP | Action de stratégie de programme malveillant dans la stratégie anti-programme malveillant. |
| 10 | Pièce jointe fiable, SAP | Action de stratégie dans la stratégie Pièces jointes fiables. |
| 11 | Règle de transport Exchange, ETR | Action de stratégie dans la règle de flux de messagerie Exchange (également appelée règle de transport). |
| 12 | Anti-programme malveillant, ZAPM | Action de stratégie de programme malveillant dans la stratégie anti-programme malveillant appliquée à la purge automatique zero-hour (ZAP). |
| 13 | Anti-hameçonnage, PAZH | Action de stratégie d’hameçonnage dans la stratégie anti-hameçonnage appliquée à ZAP. |
| 14 | Anti-hameçonnage, PAZH | Action de stratégie de courrier indésirable dans la stratégie anti-courrier indésirable appliquée à ZAP. |
| 15 | Anti-courrier indésirable, e-mail de hameçonnage haute confiance (HPHISH) | Action de stratégie de hameçonnage à haut niveau de confiance dans la stratégie anti-courrier indésirable. |
| 17 | Anti-courrier indésirable, courrier indésirable sortant (OSPM) | Action de stratégie dans la stratégie de courrier indésirable sortant. |
Énumération : PolicyAction – Type : Edm.Int32
Action de stratégie
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | MoveToJMF | L’action de stratégie consiste à déplacer le message vers le dossier Email indésirable. |
| 1 | AddXHeader | L’action de stratégie consiste à ajouter un en-tête X au message électronique. |
| 2 | ModifySubject | L’action de stratégie consiste à modifier l’objet du message électronique avec les informations spécifiées par la stratégie de menace. |
| 3 | Rediriger | L’action de stratégie consiste à rediriger le message électronique vers l’adresse e-mail spécifiée par la stratégie de menace. |
| 4 | Supprimer | L’action de stratégie consiste à supprimer (abandonner) le message électronique. |
| 5 | Quarantaine | L’action de stratégie consiste à mettre en quarantaine le message électronique. |
| 6 | NoAction | La stratégie est configurée de manière à ne prendre aucune mesure sur le message électronique. |
| 7 | BccMessage | L’action de stratégie consiste à ccir le message électronique à l’adresse e-mail spécifiée par la stratégie de menace. |
| 8 | ReplaceAttachment | L’action de stratégie consiste à remplacer la pièce jointe dans le message électronique comme spécifié par la stratégie de menace. |
Événements d’heure de clic d’URL
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| UserId | Edm.String | Oui | Identificateur (par exemple, adresse e-mail) de l’utilisateur qui a cliqué sur l’URL. |
| AppName | Edm.String | Oui | Service Office 365 à partir duquel un utilisateur a cliqué sur l’URL (par exemple, Courrier Outlook). |
| URLClickAction | Self.URLClickAction | Oui | Cliquez sur l’action pour l’URL en fonction des stratégies de l’organization pour les liens fiables. |
| SourceId | Edm.String | Oui | Identificateur du service Office 365 à partir duquel l’URL a été cliqué (par exemple, pour l’e-mail, cette valeur est l’ID de message réseau Exchange Online). |
| TimeOfClick | Edm.Date | Oui | Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a cliqué sur l’URL. |
| URL | Edm.String | Oui | URL sur laquelle l’utilisateur a cliqué. |
| UserIp | Edm.String | Oui | Adresse IPv4 ou IPv6 de l’utilisateur qui a cliqué sur l’URL. |
Enum : URLClickAction ; Type : Edm.Int32
URLClickAction
| Valeur | Nom du membre | Description |
|---|---|---|
| 2 | Blockpage | L’utilisateur n’a pas accès à l’URL par des liens fiables. |
| 3 | PendingDetonationPage | L’utilisateur présente la page en attente de détonation par des liens fiables. |
| 4 | BlockPageOverride | L’utilisateur a bloqué la navigation vers l’URL par des liens fiables, mais l’utilisateur a dépassé le bloc pour accéder à l’URL. |
| 5 | PendingDetonationPageOverride | L’utilisateur a présenté la page de détonation par des liens fiables, mais l’utilisateur a dépassé la page pour accéder à l’URL. |
Événements de fichier
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileData | Self.FileData | Oui | Données sur le fichier ayant déclenché l’événement. |
| SourceWorkload | Self.SourceWorkload | Oui | Charge de travail ou service dans lequel le fichier a été trouvé (par exemple, SharePoint, OneDrive ou Microsoft Teams) |
| DetectionMethod | Edm.String | Oui | Méthode ou technologie utilisée par Microsoft Defender pour Office 365 pour la détection. |
| LastModifiedDate | Edm.Date | Oui | Date et heure à l’heure UTC (temps universel coordonné) e création ou de dernière modification du fichier. |
| LastModifiedBy | Edm.String | Oui | Identificateur (par exemple, une adresse de messagerie) de l’utilisateur qui a créé ou modifié en dernier le fichier. |
| EventDeepLink | Edm.String | Oui | Lien profond vers l’événement de fichier dans Détections de Explorer de menaces ou en temps réel. |
Type complexe FileData
FileData
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DocumentId | Edm.String | Oui | Identificateur unique pour le fichier dans SharePoint, OneDrive ou Microsoft Teams. |
| FileName | Edm.String | Oui | Nom du fichier ayant déclenché l’événement. |
| FilePath | Edm.String | Oui | Chemin (emplacement) pour le fichier dans SharePoint, OneDrive ou Microsoft Teams. |
| FileVerdict | Self.FileVerdict | Oui | Verdict de programme malveillant dans le fichier. |
| MalwareFamily | Edm.String | Non | Famille de programme malveillant de fichier. |
| SHA256 | Edm.String | Oui | Hachage SHA256 du fichier. |
| FileSize | Edm.String | Oui | Taille du fichier, en octets. |
Enum : SourceWorkload ; Type : Edm.Int32
SourceWorkload
| Valeur | Nom du membre |
|---|---|
| 0 | SharePoint |
| 1 | OneDrive |
| 2 | Microsoft Teams |
Schéma Sim d’attaque dans Microsoft Defender pour Office 365 Plan 2
Exercice de simulation d’attaque événements sont disponibles pour les clients Microsoft 365 disposant de Defender pour Office 365 Plan 2, inclus ou en tant qu’abonnement complémentaire. Par exemple, Microsoft 365 A5/E5/G5 inclut Defender pour Office 365 Plan 2.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID de lot | Edm.String | Oui | Identificateur unique d’un groupe d’enregistrements qui sont traités ensemble. |
| ID de campagne | Edm.String | Oui | Identificateur unique pour la campagne de formation à la simulation d’attaque. |
| UserDisplayName | Edm.String | Non | Nom d’affichage de l’utilisateur impliqué dans la campagne de formation à la simulation d’attaque. |
| AttackTechnique | Edm.String | Non | Technique d’attaque utilisée dans la simulation. |
| CampaignType | Edm.String | Non | Type de campagne de simulation d’attaque. Les différents types sont campagne de simulation, campagne de formation, automatisation de simulation. |
| TimeData | Edm.Date | Non | Heure de lancement de la campagne. |
| EndTimeData | Edm.Date | Non | Heure de fin de la campagne. |
| AttackSimEvent | Self.AttackSimEventType | Oui | Type d’événement (activité utilisateur ou état de remise de message). |
| ExtendedProperties | Collection(Common.NameValuePair) | Oui | Propriétés supplémentaires associées à l’enregistrement d’audit. |
Énumération : AttackSimEventType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | MessageDelivered | Message remis au destinataire. |
| 2 | MessageFailed | La remise du message a échoué. |
| 6 | Informations d’identification entrées | L’utilisateur a entré des informations d’identification dans la simulation de hameçonnage pour des techniques telles que la collecte des informations d’identification, le lien en pièce jointe. |
| 7 | PermissionGranted | L’utilisateur a accordé une autorisation dans la simulation d’hameçonnage pour une technique telle que l’octroi de consentement Oauth. |
| 8 | LinkClicked | L’utilisateur a cliqué sur l’URL de simulation de hameçonnage. |
| 10 | Pièce jointeOuverte | Pièce jointe ouverte par l’utilisateur pour des techniques telles que La pièce jointe de logiciels malveillants, le lien dans la pièce jointe. |
| 12 | MessageRead | Message ouvert et lu par le destinataire. |
| 13 | MessageReplied | Le destinataire a répondu au message. |
| 14 | MessageForwarded | Message transféré à un autre utilisateur. |
| 15 | MessageReported | Message signalé comme hameçonnage par le destinataire. |
| 16 | MessageDeleted | Message supprimé par le destinataire. |
| 17 | OutOfOffice | Réponses automatiques dans Outlook activées pour le destinataire. |
| 18 | PositiveReinforcementMessageDelivered | Message de renforcement positif remis avec succès au destinataire. |
Schéma de Administration Sim d’attaque dans Microsoft Defender pour Office 365 Plan 2
les événements d’administration Exercice de simulation d’attaque sont disponibles pour les clients Microsoft 365 disposant de Defender pour Office 365 Plan 2, inclus ou en tant qu’abonnement d’extension. Par exemple, Microsoft 365 A5/E5/G5 inclut Defender pour Office 365 Plan 2.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID de lot | Edm.String | Oui | Identificateur unique d’un groupe d’enregistrements qui sont traités ensemble. |
| ID de campagne | Edm.String | Oui | Identificateur unique pour une campagne de formation à la simulation d’attaque. |
| AttackTechnique | Edm.String | Non | Technique d’attaque utilisée dans une simulation. |
| CampaignType | Edm.String | Non | Type de campagne de simulation d’attaque. Les différents types sont campagne de simulation, campagne de formation, automatisation de simulation. |
| TimeData | Edm.Date | Oui | Heure de lancement de la campagne. |
| EndTimeData | Edm.Date | Oui | Heure de fin de la campagne. |
| AttackSimAdminEvent | Self.AttackSimAdminEventType | Oui | Type d’événement d’administration sim d’attaque. |
| ExtendedProperties | Collection(Common.NameValuePair) | Oui | Propriétés supplémentaires associées à l’enregistrement d’audit. |
Énumération : AttackSimAdminEventType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | CampaignLaunched | Lorsqu’une campagne de formation à la simulation d’attaque a été lancée. Les différents types de campagnes sont la simulation, la campagne de formation. |
| 1 | CampaignCompleted | Lorsqu’une campagne de formation à la simulation d’attaque a été terminée. |
| 2 | CampaignReportDownloaded | Administration téléchargé un rapport de campagne. |
| 3 | CampaignReportViewed | Administration vu un rapport de campagne. |
| 4 | CampaignCancelled | Lorsqu’une campagne d’entraînement à la simulation d’attaque a été annulée. |
| 5 | Campagnes planifiées | Quand une campagne d’entraînement à la simulation d’attaque a été planifiée. |
| 6 | CampaignDeleted | Lorsqu’une campagne de formation à la simulation d’attaque a été supprimée. |
| 7 | SimulationExcluded | Quand une simulation a été exclue de la création de rapports. |
| 8 | AutomationSubmitted | Lorsqu’une automatisation a été envoyée, inclut la simulation et l’automatisation de la charge utile. |
| 9 | AutomationTurnOn | Lorsqu’une automatisation a été activée, inclut la simulation et l’automatisation de la charge utile. |
| 10 | AutomationTurnOff | Lorsqu’une automatisation a été désactivée, inclut l’automatisation de la simulation et de la charge utile. |
| 11 | AutomationCompleted | Une fois l’automatisation de la simulation terminée. |
| 12 | AutomationDeleted | Lorsqu’une automatisation a été supprimée, inclut la simulation et l’automatisation de la charge utile. |
Schéma d’entraînement de l’utilisateur
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID de lot | Edm.String | Oui | Identificateur unique d’un groupe d’enregistrements qui sont traités ensemble. |
| ID de campagne | Edm.String | Oui | Identificateur unique pour une campagne de formation à la simulation d’attaque. |
| ID de cours | Edm.String | Oui | Identificateur unique d’un cours de formation. |
| UserDisplayName | Edm.String | Non | Nom complet de l’utilisateur impliqué dans la simulation d’attaque. |
| CampaignType | Edm.String | Oui | Type de campagne de simulation d’attaque. Les différents types sont campagne de simulation, campagne de formation, automatisation de simulation. |
| TimeData | Edm.Date | Oui | Heure de lancement de la campagne. |
| EndTimeData | Edm.Date | Oui | Heure de fin de la campagne. |
| UserTrainingEvent | Self.UserTrainingEventType | Oui | Type d’événement de formation utilisateur. |
| ExtendedProperties | Collection(Common.NameValuePair) | Oui | Propriétés supplémentaires associées à l’enregistrement d’audit. |
Énumération : UserTrainingEventType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | TrainingAssigned | Formation affectée à l’utilisateur. |
| 2 | TrainingUpdated | Formation mise à jour pour l’utilisateur. |
| 3 | TrainingCompleted | L’utilisateur a terminé la formation. |
| 4 | TrainingPreviouslyAssigned | Formation précédemment attribuée à l’utilisateur. |
| 5 | TrainingNotCompleted | L’utilisateur n’a pas terminé la formation attribuée. |
Schéma d’envoi
Les événements permettant d’envoyer des faux positifs ou des faux négatifs à Microsoft à des fins d’analyse sont disponibles dans toutes les organisations avec des boîtes aux lettres dans Exchange Online. Chaque événement dans le flux de soumission correspond à des faux positifs ou faux négatifs qui ont été envoyés par :
- Administrateurs : messages, fichiers ou URL envoyés à Microsoft à des fins d’analyse.
- Utilisateurs : messages signalés par les utilisateurs aux administrateurs ou à Microsoft pour révision.
Événements d’envoi
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Non | L’envoi de l’administrateur est inscrite et en attente de traitement. |
| AdminSubmissionDeliveryCheck | Edm.String | Non | Le système d’envoi de l’administrateur a vérifié la stratégie de l’e-mail. |
| AdminSubmissionSubmitting | Edm.String | Non | Le système d’envoi de l’administrateur envoie l’e-mail. |
| AdminSubmissionSubmitted | Edm.String | Non | Le système d’envoi de l’administrateur a envoyé l’e-mail. |
| AdminSubmissionTriage | Edm.String | Non | Administration soumission triée par classe. |
| AdminSubmissionTimeout | Edm.String | Non | Administration’envoi a expiré sans résultat. |
| UserSubmission | Edm.String | Non | L’envoi a d’abord été signalé par un utilisateur final. |
| UserSubmissionTriage | Edm.String | Non | L’envoi de l’utilisateur est triée par classeur. |
| CustomSubmission | Edm.String | Non | Le message signalé par un utilisateur a été envoyé à la boîte aux lettres personnalisée de l’organisation comme défini dans les paramètres des messages signalés par l’utilisateur. |
| AttackSimUserSubmission | Edm.String | Non | Le message signalé par l’utilisateur était en fait un message d’entraînement de simulation d’hameçonnage. |
| AdminSubmissionTablAllow | Edm.String | Non | Une entrée d’autorisation dans la liste verte/bloquée du locataire a été créée au moment de la soumission pour prendre immédiatement des mesures sur des messages similaires pendant qu’il est réanalysé. |
| SubmissionNotification | Edm.String | Non | Les commentaires de l’administrateur sont envoyés à l’utilisateur final. |
Événements d’investigation et de réponse automatisés dans Microsoft Defender pour Office 365 Plan 2
Les événements AIR (Automated Investigation and Response) sont disponibles pour les clients Microsoft 365 disposant de Defender pour Office 365 Plan 2, inclus ou en tant qu’abonnement complémentaire. Par exemple, Microsoft 365 A5/E5/G5 inclut Defender pour Office 365 Plan 2.
Les événements d’investigation sont enregistrés sur la base d’un changement d’état d’investigation. Par exemple, lorsqu’un administrateur effectue une action qui modifie le status d’une investigation d’actions en attente à Terminé, un événement est journalisé.
Pour l’instant, seules les investigations automatiques sont enregistrées. Les valeurs status suivantes sont journalisées :
- Investigation commencée
- Aucune menace détectée
- Interrompu par le système
- Action en attente
- Menaces détectées
- Corrigé
- Échec
- Interrompu par une limitation
- Interrompu par l’utilisateur
- En cours d’exécution
Schéma d’investigation principal
| Nom | Type | Description |
|---|---|---|
| InvestigationId | Edm.String | ID/GUID d’investigation. |
| InvestigationName | Edm.String | Nom de l’enquête. |
| InvestigationType | Edm.String | Type d’investigation. Peut prendre l’une des valeurs suivantes :
(Actuellement, les investigations manuelles ne sont pas disponibles.) |
| LastUpdateTimeUtc | Edm.Date | Heure UTC de la dernière mise à jour pour une investigation. |
| StartTimeUtc | Edm.Date | Heure de début d’une investigation. |
| État | Edm.String | État d’investigation, d’exécution, d’actions en attente, etc. |
| DeeplinkURL | Edm.String | URL de lien profond vers une investigation dans le portail Microsoft Defender. |
| Actions | Collection (Edm.String) | Collection d’actions recommandées par une investigation. |
| Data | Edm.String | Chaîne de données qui contient des détails supplémentaires sur les entités d’investigation, ainsi que des informations sur les alertes relatives à l’investigation. Les entités sont disponibles dans un nœud séparé dans l’objet BLOB. |
Actions
| Champ | Type | Description |
|---|---|---|
| ID | Edm.String | ID d’action |
| ActionType | Edm.String | Type de l’action, par exemple correction d’e-mail. |
| ActionStatus | Edm.String | Les valeurs sont les suivantes :
|
| ApprovedBy | Edm.String | Null si approuvée automatiquement; sinon, nom d’utilisateur/ID (prochainement disponible) |
| TimestampUtc | Edm.DateTime | Horodatage de l’action status changer. |
| ActionId | Edm.String | Identificateur unique pour l’action. |
| InvestigationId | Edm.String | Identificateur unique pour l’investigation. |
| RelatedAlertIds | Collection(Edm.String) | Alertes liées à une investigation. |
| StartTimeUtc | Edm.DateTime | Horodatage de la création de l’action. |
| EndTimeUtc | Edm.DateTime | Action finale status horodatage de mise à jour. |
| Identificateurs de ressources | Edm.String | Correspond à l'identifiant du client Azure Active Directory. |
| Entités | Collection(Edm.String) | Liste d’une ou plusieurs entités affectées par action. |
| Identifiants d’alerte associée | Edm.String | Alerte liée à une investigation. |
Entités
MailMessage (e-mail)
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "mail-message" |
| Fichiers | Collection (self. file) | Détails sur les fichiers des pièces jointes de ce message. |
| Destinataire | Edm.String | Destinataire de ce message électronique. |
| URL | Collection (self. URL) | URL contenues dans ce message électronique. |
| Expéditeur | Edm.String | Adresse e-mail de l’expéditeur. |
| SenderIP | Edm.String | Adresse IP de l’expéditeur. |
| ReceivedDate | Edm.DateTime | Date de réception de ce message. |
| NetworkMessageId | Edm.Guid | ID de message réseau de ce message électronique. |
| InternetMessageId | Edm.String | ID de message Internet de ce message électronique. |
| Sujet | Edm.String | Objet de ce message électronique. |
IP
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "IP" |
| Adresse | Edm.String | Adresse IP sous forme de chaîne, telle que 127.0.0.1. |
URL
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « URL » |
| Url | Edm.String | URL complète vers laquelle pointe une entité. |
Boîte aux lettres (également équivalente à l’utilisateur)
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « boîte aux lettres » |
| MailboxPrimaryAddress | Edm.String | Adresse principale de la boîte aux lettres. |
| DisplayName | Edm.String | Nom complet de la boîte aux lettres. |
| UPN | Edm.String | UPN de la boîte aux lettres. |
File
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « fichier » |
| Nom | Edm.String | Nom de fichier sans chemin d’accès. |
| FileHashes | Collection (Edm.String) | Hachages de fichier associés au fichier. |
FileHash
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « filehash » |
| Algorithme | Edm.String | Le type d’algorithme de hachage, qui peut être l’une des valeurs suivantes :
|
| Valeur | Edm.String | Valeur de hachage. |
MailCluster
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "MailCluster" Détermine le type d’entité abordée. |
| NetworkMessageIds | Collection (Edm.String) | Liste des ID de message électronique qui font partie du cluster de messagerie. |
| CountByDeliveryStatus | Collections (Edm.String) | Nombre de messages électroniques par représentation sous forme de chaîne DeliveryStatus. |
| CountByThreatType | Collections (Edm.String) | Nombre de messages électroniques par représentation sous forme de chaîne ThreatType. |
| Menaces | Collections (Edm.String) | Les menaces relatives aux messages électroniques qui font partie du cluster de courriers. Les menaces incluent des valeurs telles que le hameçonnage et les programmes malveillants. |
| Requête | Edm.String | Requête utilisée pour identifier les messages du cluster de messagerie. |
| QueryTime | Edm.DateTime | Heure de la requête. |
| MailCount | Edm.int | Nombre de messages électroniques qui font partie du cluster de messagerie. |
| Source | String | Source du cluster de courriers ; valeur de la source de cluster. |
Schéma des événements d’hygiène
Les événements d’hygiène sont liés à la protection contre le courrier indésirable sortant. Ces événements sont liés aux utilisateurs qui ne sont pas autorisés à envoyer des messages électroniques. Si vous souhaitez en savoir plus, consultez les articles suivants :
- Protection contre le courrier indésirable sortant
- Supprimer les utilisateurs bloqués de la page Entités restreintes
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Audit | Edm.String | Non | Informations système liées à l’événement d’hygiène. |
| Événement | Edm.String | Non | Type d’événement d’hygiène. Les valeurs de ce paramètre sont Répertoriées ou Supprimées. |
| EventId | Edm.Int64 | Non | ID du type d’événement d’hygiène. |
| EventValue | Edm.String | Non | L'utilisateur ayant été impacté. |
| Reason | Edm.String | Non | Détails sur l’événement d’hygiène. |
Schéma Power BI
Les événements Power BI répertoriés dans Rechercher dans le journal d’audit utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Nom de l’application dans laquelle l’événement s’est produit. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de bord dans lequel l’événement s’est produit. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | La classification des données, le cas échéant, pour le tableau de bord dans lequel l’événement s’est produit. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de l’ensemble de données dans lequel l’événement s’est produit. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » | Non | Informations d’appartenance au groupe. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Liste des autorisations pour une application d’organisation (organisation entière, utilisateurs spécifiques ou groupes spécifiques). |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau du rapport dans lequel l’événement s’est produit. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » | Non | Informations sur la personne à laquelle est envoyée une invitation de partage. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur l’état des différents commutateurs au niveau client. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de l’espace de travail dans lequel l’événement s’est produit. |
Type complexe MembershipInformationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Adresse de messagerie du groupe. |
| Statut | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Actuellement non rempli. |
Type complexe SharingInformationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Adresse de messagerie du destinataire de l’invitation de partage. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Nom du destinataire de l’invitation de partage. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | L’autorisation accordée au destinataire. |
Schéma Dynamics 365
Les enregistrements d’audit pour les événements liés aux applications basées sur les modèles dans les événements Dynamics 365 utilisent un schéma d’opérations de base et d’entité. Pour plus d’informations, consultez Activer et utiliser la journalisation des activités.
Schéma de base Dynamics 365
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Oui | Nom unique de l’organisation. |
| InstanceUrl | Edm.String | Oui | URL vers l’instance. |
| ItemUrl | Edm.String | Non | URL vers l’enregistrement qui émet le journal. |
| ItemType | Edm.String | Non | Le nom de l’entité. |
| UserAgent | Edm.String | Non | Identificateur unique du GUID de l’utilisateur dans l’organisation. |
| Champs | Collection(Common.NameValuePair) | Non | Objet JSON qui contient les paires clé-valeur de propriété qui ont été créées ou mises à jour. |
Schéma d’opération d’entité Dynamics 365
Les événements d’entité provenant d’applications basées sur un modèle dans Dynamics 365 utilisent ce schéma pour créer le schéma de base Dynamics 365. Ce schéma inclut des informations sur l’opération d’entité ayant déclenché l’événement audité.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| EntityId | Edm.Guid | Non | Identificateur unique de l’entité. |
| EntityName | Edm.String | Oui | Nom de l’entité au sein de l’organisation. Les exemples d’entités incluent contact ou authentication. |
| Message | Edm.String | Oui | Ce paramètre contient l’opération effectuée dans en relation avec l’entité. Par exemple, si un contact a été créé, la valeur de la propriété Message est Create et la valeur correspondante de la propriété EntityName est contact. |
| Requête | Edm.String | Non | Paramètres de la requête de filtre utilisés lors de l’exécution de l’opération FetchXML. |
| PrimaryFieldValue | Edm.String | Non | Indique la valeur de l’attribut qui est le champ primaire pour l’entité. |
Schéma Viva Insights
Les événements Viva Insights retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| WpaUserRole | Edm.String | Non | Rôle Viva Insights de l’utilisateur qui a effectué l’action. |
| ModifiedProperties | Collection (Common.ModifiedProperty) | Non | Cette propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
| OperationDetails | Collection (Common.NameValuePair) | Non | Liste des propriétés étendues pour le paramètre ayant été modifié. Chaque propriété a un Nom et une Valeur. |
Schéma de la mise en quarantaine
Les événements de mise en quarantaine retournés dans les recherches dans les journaux d’audit utilisent ce schéma. Pour plus d’informations sur la mise en quarantaine, consultez Messages électroniques mis en quarantaine dans les organisations cloud.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RequestType | Self.RequestType | Non | Type de demande de quarantaine exécutée par un utilisateur. |
| RequestSource | Self.RequestSource | Non | La demande de mise en quarantaine provient du portail Microsoft Defender, d’une applet de commande ou d’un lien URL. |
| NetworkMessageId | Edm.String | Non | L’ID de message réseau du message électronique mis en quarantaine. |
| ReleaseTo | Edm.String | Non | Le destinataire du message. |
Enum: RequestType - Type: Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Aperçu | Demande de l’utilisateur pour afficher un aperçu d’un message électronique identifié comme dangereux. |
| 1 | Supprimer | Demande de l’utilisateur pour supprimer un e-mail identifié comme dangereux. |
| 2 | Débloquer | Demande de l’utilisateur pour libérer un e-mail identifié comme dangereux. |
| 3 | Exporter | Demande de l’utilisateur pour exporter un e-mail identifié comme dangereux. |
| 4 | ViewHeader | Demande de l’utilisateur pour afficher l’en-tête d’un message électronique identifié comme dangereux. |
| 5 | Demande de publication | Demande de l’utilisateur pour libérer un e-mail identifié comme dangereux. |
Enum: RequestSource - Type: Edm.Int32
Source d’une demande d’utilisateur pour afficher un aperçu, supprimer, publier, exporter ou afficher l’en-tête d’un message électronique potentiellement dangereux.
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | SCC | Portail Microsoft Defender. |
| 1 | Cmdlet | Applet de commande. |
| 2 | URLlink | Lien. |
Schéma Microsoft Forms
Microsoft Forms événements retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | Oui | Le rôle de l’utilisateur ayant exécuté l’action. Les valeurs de ce paramètre sont Administrateur Propriétaire, Répondant ou Coauteur. |
| SourceApp | Edm.String | Oui | Indique si l’action provient du site Web Forms ou d’une autre application. |
| FormName | Edm.String | Non | Nom du formulaire actuel. |
| FormId | Edm.String | Non | ID du formulaire cible. |
| FormTypes | Collection(Self.FormTypes) | Non | Indique s’il s’agit d’un formulaire, d’un questionnaire ou d’une enquête. |
| ActivityParameters | Edm.String | Non | Chaîne JSON contenant les paramètres d’activité. Pour plus d’informations, consultez activités Microsoft Forms. |
Enum : FormsUserTypes-type : EDM. Int32
FormsUserTypes
| Valeur | Type d'utilisateur de formulaire | Description |
|---|---|---|
| 0 | Administrateur | Un administrateur ayant accès au formulaire. |
| 1 | Propriétaire | Utilisateur propriétaire du formulaire. |
| 2 | Répondant | Utilisateur ayant soumis une réponse à un formulaire. |
| 3 | Coauteur | Utilisateur ayant utilisé un lien de collaboration fourni par le propriétaire du formulaire pour se connecter et modifier un formulaire. |
Enum: FormTypes-Type: Edm.Int32
FormTypes
| Valeur | Types de formulaires | Description |
|---|---|---|
| 0 | Formulaire | Formulaires créés à l’aide de l’option nouveau formulaire. |
| 1 | Quiz | Questionnaires créés à l’aide de l’option nouveau questionnaire. Un questionnaire est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que des valeurs de points, des notations automatiques et manuelles, ainsi que des commentaires. |
| 2 | Enquête | Enquêtes créées à l’aide de l’option nouveau formulaire. Une enquête est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que l’intégration et la prise en charge de CMS pour les règles de flux. |
Schéma d’étiquette Microsoft Information Protection
Les événements figurant dans le schéma d’étiquette Information Protection Microsoft Purview sont déclenchés lorsque Microsoft 365 détecte un message électronique traité par des agents dans le pipeline de transport auquel une étiquette de confidentialité est appliquée. L’étiquette de confidentialité peut avoir été appliquée manuellement ou automatiquement, et elle a peut-être été appliquée à l’intérieur ou à l’extérieur du pipeline de transport. Les étiquettes de confidentialité peuvent être automatiquement appliquées aux courriers via l’application automatique des stratégies d’étiquettes.
L’objectif de ce schéma d’audit est de représenter toutes les activités de courrier électronique impliquant des étiquettes de confidentialité. En d’autres termes, une activité d’audit doit être enregistrée pour chaque message envoyé ou provenant des utilisateurs de l’organisation à laquelle une étiquette de confidentialité est appliquée, quel que soit le moment ou le mode d’application de l’étiquette de confidentialité. Pour plus d’informations sur les étiquettes de confidentialité, voir :
- En savoir plus sur les étiquettes de niveau de confidentialité
- Appliquer automatiquement une étiquette de confidentialité à du contenu
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Expéditeur | Edm.String | Non | L’adresse de messagerie dans le champ De du message électronique. |
| Récepteurs | Collection(Edm.String) | Non | Toutes les adresses de messagerie figurant dans les champs à, CC et CCI de l’e-mail. |
| IitemName | Edm.String | Non | Chaîne dans le champ Objet du message électronique. |
| LabelId | Edm.Guid | Non | GUID de l’étiquette de confidentialité appliquée au message électronique. |
| LabelName | Edm.String | Non | Nom de l’étiquette de confidentialité appliquée au courrier électronique. |
| LabelAction | Edm.String | Non | Les actions spécifiées par l’étiquette de confidentialité qui ont été appliquées au courrier électronique avant que le message ne soit entré dans le pipeline de transport du courrier. |
| LabelAppliedDateTime | Edm.Date | Non | Date d’application de l’étiquette de confidentialité au courrier électronique. |
| ApplicationMode | Edm.String | Non | Indique la manière dont l’étiquette de confidentialité a été appliquée au courrier électronique. La valeur Privilégié indique que l’étiquette a été appliquée manuellement par un utilisateur. La valeur Standard indique que l’étiquette a été appliquée automatiquement par un processus d’étiquetage côté client ou service. |
Schéma des événements du portail des messages chiffrés
Les événements pour le schéma du portail de messages chiffrés sont déclenchés lorsque Purview Message Encryption détecte qu’un message électronique chiffré est accessible via le portail par un destinataire externe. Le courrier peut avoir été chiffré manuellement avec une étiquette de confidentialité ou un modèle RMS, ou automatiquement par une règle de transport, une stratégie de protection contre la perte de données ou une stratégie d’étiquetage automatique.
L’objectif de ce schéma d’audit est de représenter la somme de toutes les activités du portail qui impliquent l’accès au courrier chiffré par des destinataires externes. En d’autres termes, il doit y avoir une activité d’audit enregistrée pour un destinataire qui tente de se connecter au portail et toutes les activités liées à l’accès au courrier chiffré. Cela inclut les messages envoyés à ou à partir d’utilisateurs de l’organisation lorsque le courrier a un chiffrement qui lui est appliqué, quel que soit le moment ou la façon dont le chiffrement a été appliqué. Pour plus d’informations, consultez En savoir plus sur les journaux chiffrés du portail des messages.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MessageId | Edm.String | Non | ID du message. |
| Destinataire | Edm.String | Non | Adresse de courrier du destinataire. |
| Expéditeur | Edm.String | Non | Adresse de messagerie de l'expéditeur. |
| AuthenticationMethod | Self.AuthenticationMethod | Non | Méthode d’authentification lors de l’accès au message, c’est-à-dire mot de passe à usage unique, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | Non | 0 : Réussite, 1 : Échec. |
| OperationStatus | Self.OperationStatus | Non | 0 : Réussite, 1 : Échec. |
| AttachmentName | Edm.String | Non | Nom de la pièce jointe. |
| OperationProperties | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires, c’est-à-dire le nombre de codes secrets OTP envoyés, l’objet de l’e-mail, etc. |
Schéma Exchange de conformité aux communications
Les événements de conformité aux communications répertoriés dans le journal d’audit Office 365 utilisent ce schéma. Cela inclut les enregistrements d’audit pour l’opération de SupervisoryReviewOLAudit générés lorsque le contenu d’un courrier électronique contient un langage choquant identifié par des modèles anti-courrier indésirable, avec une précision de correspondance de >= 99,5 %.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Non | Propriétés du courrier électronique ayant déclenché l’événement SupervisoryReviewOLAudit. |
Enumération : ExchangeDetails - type : ExchangeDetails
ExchangeDetails
| Nom du membre | Type | Description |
|---|---|---|
| NetworkMessageId | Edm.Guid | ID de message réseau du message électronique. |
| InternetMessageId | Edm.String | ID de message internet du message électronique. |
| AttachmentData | Collection(AttachmentDetails) | Informations sur les fichiers joints aux e-mails. |
| Destinataires | Collection(Edm.String) | Les adresses de messagerie figurant dans les champs à, Cc et Cci de l’e-mail. |
| Sujet | Edm.String | Texte dans le champ Objet du message électronique. |
| MessageTime | Edm.Date | Date et heure d’envoi du message électronique. |
| De | Edm.String | L’adresse de messagerie dans le champ De du message électronique. |
| Orientation | Edm.String | État d’origine du message électronique. |
Enumération : AttachmentDetails - Type : Edm.Int32
AttachmentDetails
| Nom du membre | Type | Description |
|---|---|---|
| FileName | Edm.String | Nom du fichier joint au message électronique. |
| FileType | Edm.String | Extension du fichier joint au message électronique. |
| SHA256 | Edm.String | Code de hachage SHA-256 du fichier joint au message électronique. |
Schéma des rapports
Les événements de rapport retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ModifiedProperties | Collection (Common.ModifiedProperty) | Non | Cette propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
Schéma du connecteur de conformité
Les événements du schéma du connecteur de conformité sont déclenchés lorsque les éléments importés par un connecteur de données sont ignorés ou n’ont pas pu être importés dans les boîtes aux lettres utilisateur. Pour plus d’informations sur les connecteurs de données, consultez En savoir plus sur les connecteurs pour les données tierces.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| JobId | Edm.String | Non | Il s’agit d’un identificateur unique du connecteur de données. |
| TaskId | Edm.String | Non | Identificateur unique de l’instance périodique du connecteur de données Les connecteurs de données importent des données par intervalles périodiques. |
| JobType | Edm.String | Non | Nom du connecteur de données |
| ItemId | Edm.String | Non | Identificateur unique de l’élément (par exemple, un e-mail) importé |
| ItemSize | Edm.Int64 | Non | Taille de l’élément importé |
| SourceUserId | Edm.String | Non | Identificateur unique de l’utilisateur à partir de la source de données tierce Par exemple, pour un connecteur de données Slack, cette propriété spécifie l’ID d’utilisateur dans l’espace de travail Slack. |
| FailureType | Moi- même. FailureType | Non | Indique le type d’échec d’importation de données. Par exemple, la valeur incorrectusermapping indique que l’élément n’a pas été importé, car aucun mappage utilisateur entre la source de données tierce et Microsoft 365 n’a pu être trouvé. |
| ResultMessage | Edm.String | Non | Indique le type d’échec, tel que Message en double. |
| IsRetry | Edm.Boolean | Non | Indique si le connecteur de données a tenté à nouveau d’importer l’élément. |
| Pièces jointes | Collection. Pièce jointe | Non | Liste des pièces jointes reçues de la source de données tierce. |
Énumération : LoginType - Type : Edm.Int32
| Valeur | Nom du membre |
|---|---|
| 0 | Valeur par défaut |
| 1 | MailboxWrite |
Type complexe de pièce jointe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileName | Edm.String | Non | Nom de fichier de la pièce jointe |
| Détails | Edm.String | Non | Autres détails sur la pièce jointe |
Schéma SystemSync
Les événements du schéma SystemSync sont déclenchés lorsque les données ingérées de SystemSync sont exportées via Data Lake ou partagées via d’autres services.
DataLakeExportOperationAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DataStoreType | DataStoreType | Oui | Indique le magasin de données à partir duquel les données ont été téléchargées. Reportez-vous à DataStoreType pour toutes les valeurs possibles. |
| UserAction | DataLakeUserAction | Oui | Indique l’action que l’utilisateur a effectuée sur le magasin de données. Reportez-vous à DataLakeUserAction pour toutes les valeurs possibles. |
| ExportTriggeredAt | Edm.DateTimeOffset | Oui | Indique quand l’exportation de données a été déclenchée. |
| NameOfDownloadedZipFile | Edm.String | Non | Nom du fichier compressé que l’administrateur a téléchargé à partir de Data Lake. |
DataShareOperationAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Invitation | DataShareInvitationType | Non | Détails de l’invitation envoyée au destinataire de Data Share. |
Type complexe DataShareInvitationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ShareId | Edm.Guid | Oui | Identificateur attribué par le système pour Data Share. |
| Invités | Collection(Edm.Guid) | Oui | Liste des utilisateurs administrateurs à qui l’invitation a été envoyée. |
| InviteeTenantId | Edm.Guid | Oui | Locataire cible auquel l’invitation est destinée. |
| ShareName | Edm.String | Oui | Nom attribué par le système pour Data Share. |
| SyncFrequency | Self.SyncFrequency | Oui | Fréquence à laquelle les données sont synchronisées avec le compte de stockage de destination une fois le partage établi. Consultez SyncFrequency pour les valeurs possibles. |
| SyncStartTime | Edm.DateTimeOffset | Oui | Date et heure de la première synchronisation. |
Énumération : SyncFrequency - Type : Edm.Int32 :
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Toutes les heures | Indique que les données sont synchronisées toutes les heures. |
| 1 | Journalière | Indique que les données sont synchronisées une fois par jour. |
Énumération : DataStoreType - Type : Edm.Int32 :
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | CanonicalStore | Indique que les données sont téléchargées à partir du magasin Canonical. |
| 1 | StagingStore | Indique que les données sont téléchargées à partir du magasin intermédiaire. |
Énumération : DataLakeUserAction - Type : Edm.Int32 :
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | TriggerExport | L’utilisateur administrateur a déclenché l’exportation à partir de Data Lake. |
| 1 | DownloadZipFile | L’utilisateur administrateur a téléchargé les données exportées. |
Type complexe MicrosoftGraphDataConnectOperation
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.Guid | Oui | Identification de l’application. |
| ApplicationName | Edm.String | Oui | Nom de l'application. |
| PipelineName | Edm.String | Oui | Nom du pipeline. |
| PipelineRunId | Edm.Guid | Non | Identification de cette exécution de pipeline. |
| CopyActivityRunId | Edm.Guid | Non | Identification de l’activité de copie ADF. |
| RunStartTime | Edm.Date | Oui | Date et heure de l’extraction. |
| RunEndTime | Edm.Date | Oui | Date et heure de l’extraction. |
| DatasetName | Edm.String | Oui | Nom du jeu de données en cours d’extraction. |
| DatasetColumns | Edm.String | Oui | Ensemble de colonnes sélectionnées en cours d’extraction. |
| ScopeList | Edm.String | Oui | Étendue de l’extraction. |
| ScopeCountRequested | Edm.Int64 | Non | Nombre d’étendues demandé pour cette extraction. |
| ScopeCountDelivered | Edm.Int64 | Non | Nombre d’étendues livrées pour cette extraction. |
| UndeliveredScope | Edm.String | Non | Étendue non remis de l’extraction. |
| RowCount | Edm.Int64 | Non | Nombre de lignes extraites. |
| État | Edm.String | Oui | État de l’extraction. |
| Reason | Edm.String | Non | Message d’erreur en cas d’échec. |
AipDiscover
Le tableau suivant contient des informations relatives aux événements du scanneur Azure Information Protection (AIP).
| Événement | Description |
|---|---|
| ApplicationId | ID de l’application qui exécute l’opération. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour Azure événements liés à Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’enregistrement du journal d’audit a été généré. |
| DataState | Décrit l’état des données. |
| DeviceName | Appareil sur lequel l’activité s’est produite. |
| ID | GUID de l’enregistrement actif. |
| IsProtected | S’il est protégé : True/False |
| Lieu | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectId | Chemin d’accès complet du fichier (URL). Pour l’activité SharePoint et OneDrive, le nom complet du chemin d’accès du fichier ou du dossier auquel l’utilisateur a accédé. |
| Opération | Décrit le type d’accès. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur est toujours la même pour votre organization, quel que soit le service Office 365 dans lequel elle se produit. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS) |
| ProcessName | Nom du processus approprié. Par exemple, Outlook, msip.app ou WinWord. |
| ProductVersion | Version du client AIP. |
| ProtectionOwner | Propriétaire Rights Management au format UPN. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Type d’opération indiqué par l’enregistrement. Reportez-vous au tableau AuditLogRecordType pour obtenir plus d’informations sur les types d’enregistrements du journal d’audit. Pour obtenir une liste complète mise à jour et une description complète du Type d’enregistrement de journal, consultez le billet de blog Activités du journal d’audit de conformité Microsoft 365 via l’API de gestion des Office 365. Ici, nous listons uniquement les types d’enregistrements MIP appropriés. |
| Portée | Événement créé par l’une des sources suivantes :
|
| SensitiveInfoTypeData | Stocke le type de données des données de type Informations sensibles. |
| SensitivityLabelId | GUID actuel de l’étiquette de confidentialité MIP. Utilisez get-label pour obtenir les valeurs complètes du GUID. |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir de Azure Information Protection. |
| UserId | L’UPN (nom d’utilisateur principal) de l’utilisateur ayant effectué l’action (indiquée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Par exemple, my_name@my_domain_name.
Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive et Exchange. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Version | ID de version du fichier dans l’opération. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
AipSensitivityLabelAction
Le tableau suivant contient des informations relatives aux événements d’étiquette de confidentialité AIP.
| Événement | Description |
|---|---|
| ApplicationId | Correspond à l’ID d’application Microsoft Entra. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. |
| CreationDate | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| DataState | Spécifie l’état des données. |
| DeviceName | Nom de l’appareil de l’utilisateur. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| IsProtected | S’il est protégé : True/False |
| IsProtectedBefore | Si le contenu a été protégé avant la modification : True/False |
| IsValid | Booléen |
| Lieu | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectState | Spécifie l’état de l’objet. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes : SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| PSComputerName | Computer Name |
| PSShowComputerName | La valeur est False pour les modifications documentées dans Office 365. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS). |
| ProcessName | Processus qui héberge le Kit de développement logiciel (SDK) MIP. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| SensitiveInfoTypeData | Stocke le type de données des données de type d’informations sensibles |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir de Azure Information Protection. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
AipProtectionAction
| Événement | Description |
|---|---|
| PSComputerName | Nom de l'ordinateur |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| PSShowComputerName | La valeur est false pour un document modifié dans Office 365. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’enregistrement du journal d’audit a été généré. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. Par exemple : my_name@my_domain_name. Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| ObjectState | État de l’objet après l’événement actuel. |
| ApplicationId | Application dans laquelle l’activité s’est produite et affichée dans le GUID. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ProcessName | Nom du processus de l’application Office. |
| Plateforme | Plateforme sur laquelle l’activité s’est produite. Par exemple, Windows. |
| DeviceName | Appareil sur lequel l’événement a été enregistré. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cela indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour Azure événements liés à Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ID | GUID de l’enregistrement actif. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’enregistrement du journal d’audit a été généré. |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes, consultez Rechercher dans le journal d’audit. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur est toujours la même pour votre organization, quel que soit le service Office 365 dans lequel elle se produit. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive et Exchange. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
| Version | Version du client Azure Information Protection qui a effectué l’action d’audit |
| Portée | Spécifie l’étendue. |
AipFileDeleted
| Événement | Description |
|---|---|
| PSComputerName | Nom de l'ordinateur |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| PSShowComputerName | La valeur est false pour un document modifié dans Office 365. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’enregistrement du journal d’audit a été généré. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. Par exemple : my_name@my_domain_name. Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| ObjectState | État de l’objet après l’événement actuel. |
| ApplicationId | Application dans laquelle l’activité s’est produite et affichée dans le GUID. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ProcessName | Nom du processus de l’application Office. |
| Plateforme | Plateforme sur laquelle l’activité s’est produite. Par exemple, Windows. |
| DeviceName | Appareil sur lequel l’événement a été enregistré. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour Azure événements liés à Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ID | GUID de l’enregistrement actif. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’enregistrement du journal d’audit a été généré. |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes, consultez Rechercher dans le journal d’audit. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur est toujours la même pour votre organization, quel que soit le service Office 365 dans lequel elle se produit. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive et Exchange. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
| Version | Version du client Azure Information Protection qui a effectué l’action d’audit |
| Portée | Spécifie l’étendue. |
AipHeartBeat
Le tableau suivant contient des informations relatives aux événements de pulsation AIP.
| Événement | Description |
|---|---|
| ApplicationId | Correspond à l’ID d’application Microsoft Entra. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. |
| CreationDate | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| DataState | Spécifie l’état des données. |
| DeviceName | Nom de l’appareil de l’utilisateur. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| IsProtected | S’il est protégé : True/False |
| IsProtectedBefore | Si le contenu a été protégé avant la modification : True/False |
| IsValid | Booléen |
| Lieu | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectState | Spécifie l’état de l’objet. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. |
| PSComputerName | Computer Name |
| PSShowComputerName | La valeur est False pour les modifications documentées dans Office 365. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS). |
| ProcessName | Processus qui héberge le Kit de développement logiciel (SDK) MIP. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| SensitiveInfoTypeData | Stocke le type de données des données de type d’informations sensibles. |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir de Azure Information Protection. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name.
Remarque : les enregistrements d’activité effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus. Dans SharePoint, une autre valeur affichée dans la propriété UserId est app@sharepoint. Cette valeur indique que l'« utilisateur » qui a effectué l’activité était une application disposant des autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de organization (telles que la recherche d’un site SharePoint ou d’un compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique de passeport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive et Exchange. |
Type complexe MicrosoftGraphDataConnectConsent
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.Guid | Oui | Identification de l’application. |
| ApplicationVersion | Edm.String | Oui | Version de l’application. |
| AppRegistrationTenantId | Edm.Guid | Oui | ID de locataire d’inscription d’application. |
| Approbateur | Edm.String | Oui | Nom d’utilisateur principal de l’approbateur. |
| ApprovalUpdatedDateInUTC | Edm.Date | Oui | Date et heure de mise à jour au format UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Oui | Date d’expiration et heure UTC. |
| ApprovalValidDays | Edm.Int32 | Oui | Nombre de jours après la mise à jour pour lesquels l’approbation est valide. |
| DestinationSinks | Edm.String | Oui | Récepteurs de destination. |
| DestinationTenantId | Edm.Guid | Oui | ID du locataire de destination. |
| Reason | Edm.String | Non | Raison fournie par l’administrateur qui a effectué l’opération. |
| État | Edm.String | Oui | État du consentement. |
| Jeux de données | CollectionSelf. MGDCDataset | Oui | Détails sur les jeux de données qui ont été acceptés dans le cadre de cette opération. |
Type complexe MGDCDataset
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DatasetName | Edm.String | Oui | Nom du jeu de données dans l’opération de consentement. |
| DatasetColumns | Edm.String | Oui | Liste des colonnes du jeu de données dans l’opération de consentement. |
| DenyGroups | Edm.String | Non | Liste de groupes de refus pour le jeu de données dans l’opération de consentement. |
| Portée | Edm.String | Oui | Types d’étendue pour le jeu de données dans l’opération de consentement. Les valeurs possibles sont All, List et FilterUri. |
| ScopeFiltersUris | Edm.String | Non | URI de filtre d’étendue pour le jeu de données dans l’opération de consentement. |
| ScopeList | Edm.String | Non | Liste de groupes d’étendues pour le jeu de données dans l’opération de consentement. |
| PrivacyPolicyType | Edm.String | Oui | Types de stratégie de confidentialité pour le jeu de données dans l’opération de consentement. Les valeurs possibles sont None et DenyList. |
Schéma Viva Glint
Les événements Viva Glint retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ClientUUID | Edm.String | O | UUID client du instance Viva Glint. |
| ImportType | Edm.String | N | Type de source d’importation de données. |
| DataDSRControl | Edm.String | N | Ce contrôle dans la plateforme détermine si les données d’enquête sont supprimées lorsqu’un utilisateur est supprimé de la plateforme Viva Glint. |
| DiscardEmployeeIds | Edm.String | N | Ce contrôle dans la plateforme spécifie si les ID d’employés des employés précédemment supprimés sont ignorés ou conservés dans la plateforme Viva Glint. |
| JobName | Edm.String | N | Nom d’un travail d’application de données Glint qui a été exécuté. |
| ExtendedCompletionDate | Edm.Date | N | Nouvelle date à laquelle un cycle d’enquête fermé a été prolongé. |
| FeedBackComponentName | Edm.String | N | Nom d’un composant spécifique dans le programme de commentaires 360. |
schéma Viva Goals
Viva Goals événements retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Détails | Edm.String | Non | Description de l’événement ou de l’activité qui s’est produit dans Viva Goals. |
| Nom d’utilisateur | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true » |
Non | Nom de l’utilisateur qui a déclenché l’événement. |
| UserRole | Edm.String | Non | Rôle de l’utilisateur qui a déclenché cet événement dans Viva Goals. Cette valeur indique si l’utilisateur est un administrateur organization ou un propriétaire. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Nom du organization dans Viva Goals où l’événement a été déclenché. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Propriétaire du organization dans Viva Goals où l’événement s’est produit. |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Le ou les administrateurs du organization dans Viva Goals où l’événement s’est produit. Il peut y avoir un ou plusieurs administrateurs dans le organization. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Agent utilisateur (détails du navigateur) de l’utilisateur qui a déclenché l’événement. UserAgent peut ne pas être présent en cas d’événement généré par le système. |
| ModifiedFields | Collection(Common.NameValuePair) | Non | Liste des attributs qui ont été modifiés, ainsi que ses valeurs nouvelles et anciennes sorties au format JSON. |
| ItemDetails | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires relatives à l’objet qui a été modifié. |
schéma Planificateur Microsoft
Planificateur Microsoft événements retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
Planificateur Microsoft remplace la définition d’ObjectId et ResultStatus dans le schéma commun. La définition ObjectId de Planificateur Microsoft est liée au type d’enregistrement de chaque Planificateur Microsoft et est illustrée individuellement.
Planificateur Microsoft ResultStatus est défini comme suit.
Énumération : ResultStatus - Type : Edm.Int32
ResultStatus
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Opération réussie | La demande de l’utilisateur a réussi. |
| 2 | Échec | La demande de l’utilisateur a échoué pour des raisons autres que l’autorisation. |
| 3 | AuthorizationFailure | L’utilisateur demandé a échoué en raison de l’échec de l’autorisation. |
Planificateur Microsoft étend le schéma commun avec les types d’enregistrements suivants.
Type d’enregistrement PlannerGoal
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de l’objectif demandé. |
| PlanId | Edm.String | ID du plan contenant l’objectif. |
Type d’enregistrement PlannerPlan
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID du plan demandé. |
| ContainerType | Soi-même. ContainerType | Type du conteneur associé au plan. |
| ContainerId | Edm.String | ID du conteneur associé au plan. |
| SharedWithContainerId | Edm.String | ID du conteneur avec accès partagé au plan. |
| SharedWithContainerType | Soi-même. ContainerType | Type du conteneur avec accès partagé au plan. |
| SharedWithContainerAccessLevel | Soi-même. PlanAccessLevel | Niveau d’accès accordé au conteneur avec un accès partagé au plan. |
Énumération : ContainerType - Type Edm.Int32
ContainerType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Invalid | Utilisé lorsque le plan demandé est introuvable. |
| 2 | Groupe | Le plan est associé à un groupe Microsoft 3365. |
| 3 | TeamsConversation | Le plan est associé à une conversation Teams. |
| 4 | OfficeDocument | Le plan est associé à un document Office. |
| 5 | Liste | Le plan est associé à un groupe de liste. |
| 6 | Project | Le plan provient de Microsoft Project. |
| 7 | Utilisateur | Le plan est associé à un utilisateur. |
| 8 | TeamsChannel | Le plan est associé à un canal Teams. |
| 10 | PlannerTask | Le plan est associé à une tâche planificateur. |
Énumération : PlanAccessLevel - Type Edm.Int32
PlanAccessLevel
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | ReadAccess | Accès en lecture au plan. |
| 2 | ReadWriteAccess | Accès à la lecture et à l’écriture dans Plan. |
| 3 | FullAccess | Accès à la lecture, à l’écriture et à la configuration du plan. |
Type d’enregistrement PlannerCopyPlan
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID du plan en cours de copie. |
| OriginalPlanId | Edm.String | ID du plan en cours de copie. Identique à ObjectId. |
| OriginalContainerType | Soi-même. ContainerType | Type du conteneur associé au plan d’origine. |
| OriginalContainerId | Edm.String | ID du conteneur associé au plan d’origine. |
| NewPlanId | Edm.String | ID du nouveau plan. Null en cas d’échec de l’opération. |
| NewContainerType | Soi-même. ContainerType | Type du conteneur associé au nouveau plan. |
| NewContainerId | Edm.String | ID du conteneur associé au nouveau plan. |
Type d’enregistrement PlannerTask
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de la tâche demandée. |
| PlanId | Edm.String | ID du plan contenant la tâche. |
Type d’enregistrement PlannerRoster
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de la liste demandée. |
| MemberIds | Edm.String | Une chaîne séparée par des virgules d’ID de membre a été remplacée par la liste. |
Type d’enregistrement PlannerGoalList
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Représentation de la requête d’affichage pour une liste d’objectifs. |
| GoalList | Edm.String | Chaîne séparée par des virgules des ID d’objectif interrogés. |
Type d’enregistrement PlannerPlanList
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Représentation de la requête d’affichage pour une liste de plans. |
| PlanList | Edm.String | Chaîne séparée par des virgules des ID de plan interrogés. |
Type d’enregistrement PlannerTaskList
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Représentation de la requête d’affichage pour une liste de tâches. |
| Tasklist | Edm.String | Chaîne séparée par des virgules des ID de tâche interrogés. |
Type d’enregistrement PlannerTenantSettings
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Paramètres de locataire d’origine dans JSON. |
| TenantSettings | Edm.String | Nouveaux paramètres de locataire dans JSON. |
Type d’enregistrement PlannerRosterSensitivityLabel
| Propriétés | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de l’étiquette de confidentialité. Null lorsque l’étiquette de confidentialité est supprimée. |
| Liste | Edm.String | ID de la liste dans laquelle l’étiquette de confidentialité est modifiée. |
| AssignmentMethod | Soi-même. SensitivityLabelAssignmentMethod | Méthode d’affectation de l’étiquette de confidentialité. |
Énumération : SensitivityLabelAssignmentMethod - Type Edm.Int32
SensitivityLabelAssignmentMethod
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Standard | L’étiquette de confidentialité est appliquée automatiquement, mais elle n’est pas autorisée à remplacer une attribution d’étiquette privilégiée. |
| 1 | Privilégié | L’étiquette de confidentialité est appliquée manuellement par un utilisateur ou par un administrateur. |
| 2 | Auto | L’étiquette de confidentialité est automatiquement appliquée et est autorisée à remplacer une attribution d’étiquette privilégiée. |
Schéma microsoft Project pour le web
Microsoft Project pour le web étend le schéma commun avec les types d’enregistrements suivants.
Type d’enregistrement ProjectForThewebProject
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectId | Edm.Guid | Non | ID du projet en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebTask
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectId | Edm.Guid | Oui | ID du projet en cours d’audit. |
| TaskId | Edm.Guid | Oui | ID de la tâche en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebRoadmap
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapId | Edm.Guid | Oui | ID de la feuille de route en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebRoadmapItem
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Oui | ID de l’élément de feuille de route en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type complexe AdditionalInfo
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| EnvironmentName | Edm.String | Non | ID de l’environnement dans lequel l’action a été effectuée. |
Type d’enregistrement ProjectForThewebProjectSetting
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Oui | Valeur définie pour Project pour le web (1 = activé, 0 désactivé). |
Type d’enregistrement ProjectForThewebRoadmapSetting
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | Oui | Valeur définie pour la feuille de route (1 = activé, 0 désactivé). |
Type d’enregistrement ProjectForThewebAssignedToMeSetting
| Propriétés | Type | Obligatoire ? | Description |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | Oui | Valeur définie pour AssignedToMe (1 = activé, 0 désactivé). |
Schéma Viva Pulse
Les événements Viva Pulse retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Eventname | Edm.String | Non | Description de l’événement ou de l’activité qui s’est produit dans Viva Pulse. |
| PulseId | Edm.String | Non | ID de l’enquête de pouls. |
| EventDetails | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires relatives à l’événement. |
Certains événements VivaPulse enregistrent des propriétés différentes dans EventDetails. Chaque propriété enregistrée dans EventDetail est décrite dans le tableau .
| Eventname | PropertName | Description |
|---|---|---|
| PulseReportShare | Recipients | Liste des ID de destinataire avec lesquels l’enquête de pouls est partagée. |
| PulseCreate | Recipients | Liste des ID d’utilisateur qui participent à l’enquête de pouls spécifiée. |
| PulseInvite | Recipients | Liste des ID d’utilisateur qui sont également invités à l’impulsion. |
| PulseTenantSettingsUpdate | TenantSettingName | Nom des paramètres modifiés. |
| PulseSubmit | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseExtendDeadline | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseCancel | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseCreateDraft | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseDeleteDraft | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseDeleteUserData | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseQuestionDeleted | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseDataExport | ExportType,ExportCompletedDate | ExportType indique si l’exportation de données est une exportation de niveau Administration ou au niveau de l’auteur. ExportCompletedDate spécifie le moment où l’exportation de données a été finalisée. |
| PulseConfidentialConversationStarted | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseConfidentialConversationResponded | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
| PulseConfidentialConversationMessageDeleted | Non applicable | Cet événement n’enregistre aucune propriété dans EventDetails. |
Schéma du Gestionnaire de conformité
Les événements du Gestionnaire de conformité retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Détails | Collection(SettingsChange) | Non | Description de l’événement qui s’est produit pour un Gestionnaire de conformité Microsoft Purview. |
Les valeurs prises par les propriétés SettingsChange dans Détails pour différentes opérations sont décrites dans le tableau ci-dessous.
| Opération | PropertyName | Description |
|---|---|---|
| Toutes les opérations | Nom | Nom du paramètre impliqué dans l’opération du Gestionnaire de conformité. |
| Toutes les opérations | NewValue | Nouvelle valeur pour les nouveaux paramètres. |
| Toutes les opérations | OriginalValue | Valeur d’origine du nouveau paramètre. |
Remarque
- Pour les modifications de rôle, le nom est le type de rôle.
- L’enregistrement d’audit reflète la modification de l’événement, par exemple un rôle attribué à l’utilisateur ou un rôle révoqué.
- La valeur d’origine et la nouvelle valeur ont les e-mails de l’utilisateur pour lesquels le rôle a changé.
- En l’absence de modification du rôle, ce type de rôle n’est pas présent dans l’enregistrement d’audit.
Schéma de stratégie de sauvegarde
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyID | Edm.String | Oui | ID de la stratégie. |
| EditMethodology | Edm.String | Non | Comment la stratégie a été créée/modifiée. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Non | Nombre d’artefacts ajoutés. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Non | Nombre d’artefacts supprimés. |
| Servicetype | Edm.String | Non | Qu’il s’agisse d’une stratégie SharePoint, Exchange ou OneDriveForBusiness. |
Restaurer le schéma de tâche
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| TaskID | Edm.String | Oui | ID de la tâche de restauration. |
| CréationMethodology | Edm.String | Non | Comment la tâche de restauration a été créée/modifiée. |
| CountOfArtifactsBeingAdded | Edm.Int32 | Non | Nombre d’artefacts ajoutés. |
| CountOfArtifactsBeingRemoved | Edm.Int32 | Non | Nombre d’artefacts supprimés. |
| Servicetype | Edm.String | Non | Qu’il s’agisse d’une stratégie SharePoint, Exchange ou OneDriveForBusiness. |
Restaurer le schéma d’élément
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RestoreTime | Edm.DateTime | Oui | Heure à laquelle l’élément est restauré. |
| RestoreLocationType | Edm.String | Oui | Type d’emplacement vers lequel l’élément est restauré. |
| RestoreLocation | Edm.String | Non | Emplacement dans lequel l’élément est restauré. |
| TaskID | Edm.String | Oui | ID de la tâche de restauration. |
| BackupItemID | Edm.String | Oui | ID de l’élément de sauvegarde en cours de restauration. |
| ProtectionUnitID | Edm.String | Oui | ID d’unité de protection de l’élément en cours de restauration. |
| SuccessStatus | Edm.String | Non | Indique si l’opération de restauration a réussi. |
| BackupItemType | Edm.String | Oui | Indique si l’élément de sauvegarde est un site, un compte ou une boîte aux lettres. |
| Servicetype | Edm.String | Non | Qu’il s’agisse d’une stratégie SharePoint, Exchange ou OneDriveForBusiness. |
Schéma de l’élément de sauvegarde
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyID | Edm.String | Oui | ID de stratégie de la stratégie à laquelle l’élément est ajouté. |
| ItemID | Edm.String | Oui | ID de l’élément de sauvegarde. |
| ProtectionUnitID | Edm.String | Oui | ID d’unité de protection de l’élément en cours de sauvegarde. |
| ResultStatus | Edm.String | Non | Indique si l’opération de restauration a réussi. |
| BackupItemType | Edm.String | Oui | Indique si l’élément de sauvegarde est un site, un compte ou une boîte aux lettres. |
| EditMethodology | Edm.String | Non | Comment l’élément de sauvegarde doit être ajouté. |
| Servicetype | Edm.String | Non | Qu’il s’agisse d’une stratégie SharePoint, Exchange ou OneDriveForBusiness. |
Schéma du service De stratégie cloud
Les enregistrements d’audit pour les événements liés au service De stratégie cloud étendent le schéma commun comme suit :
PolicyConfigChangeAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ConfigId | Edm.String | Non | ID de la configuration de la stratégie |
| ConfigName | Edm.String | Non | Nom donné de la configuration de la stratégie |
| Description | Edm.String | Non | Description fournie pour la configuration de la stratégie |
| ConfigScope | Soi-même. CPSScope | Non | Étendue de la configuration de la stratégie |
| Groupes | Collection(Common.NameValuePair) | Non | Liste des groupes configurés |
| Priority | Edm.Int32 | Non | Valeur de priorité de la configuration de la stratégie |
| Politiques | Collection(Self.Stratégie) | Non | Liste des paramètres de stratégie configurés |
| Priorités | Collection(Self.PrioritySetting) | Non | Liste des configurations de stratégie et leurs valeurs de priorité |
Énumération : CPSScope - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Tenant | La configuration de la stratégie est limitée à tous les utilisateurs du locataire. |
| 2 | Anonyme | La configuration de la stratégie est limitée aux utilisateurs anonymes. |
| 3 | Utilisateur | La configuration de la stratégie est limitée aux utilisateurs dans Microsoft Entra groupe(s) configuré(s). |
Stratégie de type complexe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyId | Edm.String | Non | ID du paramètre de stratégie |
| PolicyName | Edm.String | Non | Nom du paramètre de stratégie |
| Valeur | Edm.String | Non | Valeur configurée du paramètre de stratégie |
| Paramètres | Collection(Self.Paramètre) | Non | Paramètre configuré |
Paramètre de type complexe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| SettingId | Edm.String | Non | ID du paramètre |
| SettingName | Edm.String | Non | Nom du paramètre |
| Valeur | Edm.String | Non | Valeur configurée du paramètre |
PrioritySetting de type complexe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ConfigId | Edm.String | Non | ID de la configuration de la stratégie |
| ConfigName | Edm.String | Non | Nom donné de la configuration de la stratégie |
| Valeur | Edm.String | Non | Priorité configurée de la configuration de la stratégie |
Schéma de configuration du profil de mise à jour cloud
Les événements liés à la configuration du profil De mise à jour cloud étendent le schéma commun avec les types d’enregistrements suivants.
CloudUpdateProfileConfigAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProfileName | Edm.String | Oui | Nom du profil |
| ProfileState | Soi-même. ProfileState | Non | État du profil |
| Échéance | Edm.Int32 | Non | Date d’échéance configurée |
| UpdateValidationState | Soi-même. UpdateValidationState | Non | État de la validation des mises à jour |
| Vagues | Collection(Self.Vague) | Non | Collection contenant des ondes configurées |
| WaveDelay | Edm.Int32 | Non | Définir le délai entre les vagues |
Énumération : ProfileState - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Activé | Le profil est activé et actif. |
| 2 | Désactivé | Le profil est désactivé. |
| 3 | Suspendu | Le profil est activé, mais dans un état suspendu. |
Énumération : UpdateValidationState - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Activé | La validation de mise à jour est activée. |
| 2 | Désactivé | La validation de mise à jour est désactivée. |
Onde de type complexe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Nom | Edm.String | Non | Nom de l’onde |
| Type | Soi-même. WaveType | Non | Vague spécifiée par l’administrateur ou vague fourre-tout automatique |
| Groupes | Collection(Common.NameValuePair) | Non | Collection de groupes configurés pour cette vague |
Énumération : WaveType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Groupes | Wave a été configuré par l’administrateur à l’aide de groupes. |
| 2 | Appareils restants | Vague créée automatiquement qui inclut tous les appareils dans l’étendue du profil qui ne sont pas couverts par les vagues précédentes. |
Schéma de configuration du locataire Cloud Update
Les événements liés à la configuration du locataire Cloud Update étendent le schéma commun avec les types d’enregistrements suivants.
CloudUpdateTenantConfigAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProfileExclusionWindows | Collection(Self.ExclusionWindow) | Non | Collection de fenêtres d’exclusion configurées |
| ExclusionList | Collection(Common.NameValuePair) | Non | Collection d’exclusions configurées |
| TAK | Edm.String | Non | Clé d’association de locataire |
Exclusion de type complexeWindow
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Nom | Edm.String | Non | Nom donné de la fenêtre d’exclusion |
| StartDate | Edm.Date | Non | Date de début des fenêtres d’exclusion |
| EndDate | Edm.Date | Non | Date de fin des fenêtres d’exclusion |
| Groupes | Collection(Common.NameValuePair) | Non | Collection de groupes dont la fenêtre d’exclusion est délimitée |
Schéma de l’appareil De mise à jour cloud
Les événements liés à l’appareil Cloud Update étendent le schéma commun avec les types d’enregistrements suivants.
CloudUpdateDeviceConfigAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RollbackDevices | Soi-même. Restauration | Non | Restaurations déclenchées |
| ChannelChangeDevices | Soi-même. ChannelChange | Non | Changements de canal déclenchés |
Restauration de type complexe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RollbackType | Soi-même. RollbackType | Non | Type de restauration |
| RollbackBuildNumber | Edm.String | Non | Numéro de build ciblé à restaurer |
| Appareils | Collection(Edm.String) | Non | Regroupement d’appareils ciblés par restauration |
Énumération : RollbackType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | SpecificDevices | La restauration a été ciblée sur un sous-ensemble spécifique d’appareils. |
| 2 | AllDevices | La restauration a été ciblée sur tous les appareils dans l’étendue du profil. |
Type complexe ChannelChange
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ChannelChange | Soi-même. Canal | Non | Canal de mise à jour ciblée |
| Appareils | Collection(Edm.String) | Non | Collection d’appareils ciblés |
| Groupes | Collection(Common.NameValuePair) | Non | Collection de groupes ciblés |
Énumération : Channel - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | MonthlyEnterpriseChannel | Canal mensuel des entreprises |
| 2 | CurrentChannel | Canal actuel |
Schéma de détection des risques Microsoft Entra
Microsoft Entra événements de détection des risques retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Activité | Edm.String | Non | Type d’activité pour lequel un risque a été détecté. |
| ActivityDateTime | Edm.Date | Non | Date et heure utc (Temps universel coordonné) auxquelles l’activité à risque s’est produite. |
| AdditionalInfo | Edm.String | Non | Informations supplémentaires au format JSON pour le risque détecté. |
| CorrelationId | Edm.String | Non | Identificateur qui peut être utilisé pour mettre en corrélation les activités de connexion associées à une détection de risque. |
| DetectedDateTime | Edm.Date | Non | Date et heure en temps universel coordonné (UTC) auxquelles le risque a été détecté. |
| DetectionTimingType | Edm.String | Non | Indique le type de minutage du risque détecté. Les valeurs possibles sont en temps réel/hors connexion. |
| LastUpdatedDateTime | Edm.Date | Non | Date et heure en temps universel coordonné (UTC) auxquelles la détection des risques a été mise à jour pour la dernière fois. |
| Lieu | Soi-même. LocationType | Non | Informations sur l’emplacement à partir duquel l’activité de connexion a été détectée. |
| RequestId | Edm.String | Non | Indique l’ID de demande de l’activité de connexion pour laquelle un risque a été détecté. Si la détection des risques n’est pas associée à la connexion, cette propriété a la valeur Null. |
| RiskDetail | Edm.String | Non | Détails du risque détecté. |
| RiskEventType | Edm.String | Non | Type d’événement pour lequel un risque a été détecté. |
| RiskId | Edm.String | Non | Identificateur unique pour la détection des risques. |
| RiskLevel | Edm.String | Non | Niveau du risque détecté. |
| RiskState | Edm.String | Non | État de risque d’un utilisateur à risque ou d’une connexion liée à la détection des risques. |
| Source | Edm.String | Non | Source du risque détecté. |
| TokenIssuerType | Edm.String | Non | Type d’émetteur de jeton pour la connexion liée à la détection des risques. |
| UserDisplayName | Edm.String | Non | Nom d’utilisateur principal (UPN) de l’utilisateur pour lequel le risque a été détecté. |
Type complexe LocationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Ville | Edm.String | Non | La ville où la connexion a été effectuée. |
| CountryOrRegion | Edm.String | Non | Pays ou région où la connexion a été effectuée. |
| GeoCoordinates | Soi-même. GeoCoordinatesType | Non | Coordonnées géographiques de l’emplacement où la connexion a été effectuée. |
| État | Edm.String | Non | État dans lequel la connexion a été effectuée. |
Type complexe GeoCoordinatesType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Altitude | Edm.String | Non | Altitude de l’emplacement où la connexion a été effectuée. |
| Latitude | Edm.String | Non | Latitude de l’emplacement où la connexion a été effectuée. |
| Longitude | Edm.String | Non | Longitude de l’emplacement où la connexion a été effectuée. |
Schéma Microsoft Edge WebContentFiltering
Les événements Microsoft Edge WebContentFiltering retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| URLPath | Edm.String | Oui | URL qui a été parcourue. |
| DomainURL | Edm.String | Oui | URL de domaine qui a été parcourue. |
| Catégorie | Edm.String | Oui | Catégorie de l’URL parcourue. |
Microsoft 365 Copilot schéma d’invite planifiée
Microsoft 365 Copilot événements d’invite planifiés retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
Les invites planifiées Copilot permettent aux utilisateurs d’automatiser les invites Copilot, afin qu’ils s’exécutent selon une planification définie dans Microsoft 365 Copilot Chat.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ScenarioType | Edm.String | Oui | Nom de l’automatisation. |
| PromptText | Edm.String | Non | Requête Copilot qui est exécuté par le LLM. |
| AutomationId | Edm.String | Oui | Identificateur unique qui met en corrélation toutes les activités liées à chaque exécution du requête Copilot. |
| TriggerMode | Edm.String | Non | Planification de l’exécution du requête Copilot, affichée au format cron. |
schéma d’annuaire Microsoft Places
Microsoft Places les événements d’annuaire retournés dans les recherches dans les journaux d’audit utilisent ce schéma (ainsi que le schéma commun).
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Type de place | Edm.String | Non | Type de l’élément de place créé/mis à jour/supprimé par la requête. Par exemple, « Bâtiment », « Salle », « Bureau », etc. |
| Paramètres | Collection(Common.NameValuePair) | Non | Nom et valeur de tous les paramètres utilisés avec la cmdlet identifiée dans la propriété Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Non | La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de l’objet modifié. |
schéma de lac de données et de graphe Microsoft Sentinel
Les événements Microsoft Sentinel suivants retournés dans les recherches dans les journaux d’audit utilisent ces schémas (ainsi que le schéma commun).
SentinelNotebookOnLake
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités de notebook data lake.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| EventTime | Edm.Date | Oui | Horodatage lorsque l’exécution du notebook Spark a été envoyée/démarrée. |
| Calcul | Edm.String | Non | Calcul sélectionné. |
| DatabaseName | Edm.String | Non | Espace de travail sur lequel la commande a été exécutée. |
| TableName | Edm.String | Non | Nom du tableau. |
| SessionDurationInSecs | Edm.String | Oui | Durée totale de la session. |
| SessionStartTime | Edm.Date | Non | Heure de début de la session. |
| SessionEndTime | Edm.Date | Non | Heure de fin de la session. |
| KernalId | Edm.Guid | Oui | Jupyter KernelId, identifie de façon unique la session notebook. |
| SessionId | Edm.Guid | Non | ID de corrélation pour les différents blocs de code exécutés avec une session Spark. |
| Interface | Edm.String | Oui | Interface à partir de laquelle le notebook a été exécuté. |
SentinelJob
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités de travail de lac de données.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| EventTime | Edm.Date | Oui | Horodatage lorsque l’opération sur le travail a été lancée. |
| Opération | Edm.String | Oui | Nom de l’opération de travail. |
| Type de travail | Edm.String | Oui | Type de travail tel que Notebook, KQL. |
| N° du travail | Edm.Guid | Oui | Identificateur unique d’un travail. |
| Nom du travail | Edm.String | Oui | Nom du travail. |
| Calcul | Edm.String | Non | Configuration de calcul du travail. |
| Planification | Edm.String | Non | Détails de la planification, s’ils sont configurés pour le travail. |
| ID d’exécution | Edm.Guid | Non | ID d’une exécution de travail spécifique instance. |
| JobRunStatus | Edm.String | Non | État de l’exécution du travail. |
| Journaux d’activité | Edm.String | Non | Journaux de l’exécution du notebook. |
| JobExecutionDurationInSecs | Edm.Int64 | Non | Temps nécessaire à l’exécution du travail. |
| JobTotalDurationInSecs | Edm.Int64 | Non | Durée totale de l’opération de travail, session comprise. |
| JobStartTime | Edm.Date | Non | Heure de début du travail. |
| JobEndTime | Edm.Date | Non | Heure de fin du travail. |
| Interface | Edm.String | Oui | Interface à partir de laquelle l’opération de travail a été effectuée. |
| Bases de donnéesRead | Collection(Edm.String) | Non | Liste des espaces de travail lus par le travail. |
| Bases de donnéesWrite | Collection(Edm.String) | Non | Liste des espaces de travail écrits par le travail |
| TablesRead | Collection(Edm.String) | Non | Liste des tables lues par le travail. |
| TablesWrite | Collection(Edm.String) | Non | Liste des tables écrites dans par le travail. |
| Requête | Edm.String | Non | Requête KQL ou notebook exécuté dans le travail. |
SentinelKQLOnLake
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités KQL data lake.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| EventTime | Edm.Date | Oui | Horodatage de l’exécution des requêtes KQL. |
| DatabaseName | Collection(Edm.String) | Oui | Espaces de travail sur 2 000 000 que la requête KQL a exécutés. |
| ResultTableCount | Edm.Int64 | Non | Nombre de tables de sortie. |
| QueryResponse | Edm.String | Oui | Réponse de l’exécution de la requête KQL. |
| Totalrows | Collection(Edm.Int64) | Oui | Nombre total de lignes retournées par l’exécution de la requête. Liste des valeurs si plusieurs requêtes sont exécutées simultanément. |
| ComponentFault | Edm.String | Non | Entité à l’origine de l’échec de la requête. Par exemple, si le résultat de la requête est trop volumineux, la valeur ComponentFault est « Client ». Si une erreur interne s’est produite, la valeur ComponentFault est « Server ». |
| FailureReason | Edm.String | Non | Si la requête KQL a échoué, la raison de l’échec. |
| ExecutionDuration | Edm.Int64 | Oui | Temps nécessaire à l’exécution des requêtes, en millisecondes. |
| TotalCPU | Edm.Int64 | Oui | Durée totale du processeur de l’exécution. |
| MemoryPeak | Edm.Int64 | Oui | Pic de mémoire de l’exécution de la requête KQL. |
| Interface | Edm.String | Oui | Interface à partir de laquelle la requête KQL a été exécutée. |
| TablesRead | Collection(Edm.String) | Oui | Liste des tables lues dans la requête KQL. |
| QueryText | Edm.String | Oui | Requête KQL exécutée sous forme de scrublage. |
SentinelLakeOnboarding
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités d’intégration de lac de données.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| BillingAzureSubscriptionId | Edm.String | Non | Azure abonnement choisi pour Sentinel facturation de lac de données. |
| BillingAzureResourceGroupName | Edm.String | Non | Azure groupe de ressources choisi pour Sentinel facturation du lac de données. |
| TenantId | Edm.String | Non | ID de locataire associé à la configuration ou à la mise à jour du lac. |
| ProvisioningStatus | Edm.String | Non | État de l’approvisionnement du lac. |
SentinelLakeDataOnboarding
| Nom de la propriété | Type | Obligatoire ? | Description |
|---|---|---|---|
| DataOnboardingAtSetup | Edm.String | Non | Jeux de données ingérés lors de l’intégration de Sentinel lac de données. |
| Tables | Collection(Edm.String) | Non | Liste des noms de table ingérés lors de l’intégration Sentinel data lake. |
| SubscriptionsEnabled | Collection(Edm.String) | Non | Liste des abonnements activés pour l’ingestion ARG. |
| DataOnboardingStatus | Edm.String | Non | État de l’opération. |
SentinelAITool
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités de l’outil IA.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| EventOccurenceTime | Edm.Date | Oui | Horodatage de l’opération. |
| ToolID | Edm.Guid | Oui | Identificateur de l’outil IA. |
| ToolName | Edm.String | Oui | Nom de l’outil IA. |
| Interface | Edm.String | Oui | Interface à partir de laquelle l’outil IA a été exécuté. |
| InputParameters | Edm.String | Non | Paramètres donnés à l’outil. |
| Bases de donnéesRead | Collection(Edm.String) | Non | Liste des bases de données lues dans l’exécution. |
| TablesRead | Collection(Edm.String) | Non | Liste des tables lues dans l’exécution. |
| APICalled | Collection(Edm.String) | Non | API appelées par l’outil IA. |
| FailureReason | Edm.String | Non | Si l’exécution a échoué, la raison de l’échec. |
| Totalrows | Collection(Edm.Int64) | Non | Nombre total de lignes retournées. |
| DataScanned | Edm.Int64 | Non | Nombre total de Go analysés. |
| ExecutionDuration | Edm.Int64 | Non | Temps nécessaire à l’exécution des requêtes, en millisecondes. |
| TotalCpuHours | Edm.Int64 | Non | Durée totale du processeur de l’exécution. |
| TotalSCUHours | Edm.Int64 | Non | Nombre total de SKU utilisées dans l’exécution. |
SentinelGraph
Pour les activités du journal d’audit, consultez Microsoft Sentinel activités de graphe.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| EventTime | Edm.Date | Oui | Horodatage de l’opération. |
| GraphName | Edm.String | Oui | Nom du instance du graphique. |
| Opération | Edm.string | Oui | Action effectuée sur le graphique. |
| OperationInput | Edm.string | Non | Paramètres de l’action de graphe. |
| GraphQuery Stats | Edm.string | Non | Collection de métadonnées de réponse. |
| État de GraphQuery | Edm.String | Non | Réponse de la requête ou de l’action sur le graphique. |
| Interface | Edm.String | Oui | Interface à partir de laquelle l’action de graphe a été effectuée. |
Schéma de classification à la demande Purview
Les événements de classification à la demande Microsoft Purview retournés dans les recherches dans les journaux d’audit utilisent ce schéma.
Schéma DataScanClassification
Le schéma d’audit DataScanClassification est conçu pour capturer et journaliser les activités lorsqu’un fichier a été évalué pour du contenu sensible dans le cadre d’une analyse de classification à la demande pour SharePoint ou OneDrive.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| ClassificationInfo | Collection(Self.SensitiveInformation) | Non | Détails sur les informations sensibles trouvées dans le fichier après l’analyse. |
| PolicyId | Edm.Guid | Oui | GUID de l’analyse de classification à la demande. |
| ClassificationMode | Edm.Int32 | Oui | Indique si l’analyse a été exécutée pour des classifieurs spécifiques ou pour tout. |
| ClassificationPosture | Edm.Int32 | Oui | Comparaison des informations sensibles découvertes avant et après l’analyse. |
| ClassificationResult | Edm.Int32 | Oui | Status de classification de fichiers. |
| DocumentMetaData | Soi-même. DocumentMetadata | Non | Décrit les métadonnées relatives au document dans SharePoint ou OneDrive qui contenaient les informations sensibles. |
| PreviousClassificationInfo | Collection(Self.SensitiveInformation) | Non | Détails sur les informations sensibles trouvées dans le fichier après l’analyse. |
Type complexe DocumentMetaData
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| itemCreationTime | Edm.Date | Oui | Datetimestamp à l’heure UTC du moment de la journalisation de l’événement. |
| SiteCollectionGuid | Edm.Guid | Oui | GUID de la collection de sites. |
| SiteCollectionUrl | Edm.String | Oui | Nom du site SharePoint. |
| FileName | Edm.String | Oui | Nom du chemin d’accès. |
| FileOwner | Edm.String | Oui | Propriétaire du document. |
| FileOwnerEmail | Edm.String | Oui | Email adresse du propriétaire du document. |
| FilePathUrl | Edm.String | Oui | URL du document. |
| DocumentLastModifier | Edm.String | Oui | Identité de l’utilisateur qui a modifié le document en dernier. |
| UniqueID | Edm.String | Oui | GUID qui identifie un fichier. |
| LastModifiedTime | Edm.DateTime | Oui | Horodatage à l’heure UTC du moment de la dernière modification du document. |
Énumération : ClassificationMode - Type : Edm.Int32
| Valeur | Description |
|---|---|
| 1 | Fichier évalué pour tous les classifieurs configurés dans le locataire. |
| 2 | Fichier évalué uniquement pour les classifieurs sélectionnés spécifiés dans l’analyse. |
Énumération : ClassificationPosture - Type : Edm.Int32
| Valeur | Description |
|---|---|
| 1 | Le fichier ne correspondait à aucun classifieur avant et après l’analyse. |
| 2 | Aucun nouveau classifieur trouvé après l’analyse. |
| 3 | Le fichier ne correspondait à aucun classifieur avant l’analyse. Un ou plusieurs classifieurs trouvés dans le fichier après l’analyse. |
| 4 | Le fichier correspondait à certains classifieurs avant l’analyse. Un ou plusieurs classifieurs ne correspondent plus |
| 5 | Le fichier correspondait à certains classifieurs avant l’analyse. Nouveau classifieur ou modification du nombre de classifieur ou du niveau de confiance existant après l’analyse. |
Énumération : ClassificationResult - Type : Edm.Int32
| Valeur | Description |
|---|---|
| 1 | La classification des fichiers s’est terminée avec succès. |
| 2 | La classification des fichiers s’est terminée avec une erreur. Échec de l’évaluation d’un ou de plusieurs classifieur. |
| 3 | Échec de la classification des fichiers. |