Propriétés d’activité détaillées dans le journal d’audit
Lorsque vous exportez les résultats d’une recherche dans les journaux d’audit à partir du portail Microsoft Purview ou du portail de conformité Microsoft Purview, vous pouvez télécharger tous les résultats qui répondent à vos critères de recherche. Vous pouvez exporter ces informations en sélectionnant Exporter les résultats>Télécharger tous les résultats dans la page Recherche dans le journal d’audit . Pour plus d’informations, consultez Rechercher dans le journal d’audit.
Lorsque vous exportez tous les résultats d’une recherche dans les journaux d’audit, les données brutes du journal d’audit unifié sont copiées dans un fichier de valeurs séparées par des virgules (CSV) qui est téléchargé sur votre ordinateur local. Ce fichier contient des informations de propriété supplémentaires de chaque enregistrement d’activité d’audit dans une colonne nommée AuditData. Cette colonne contient une propriété à valeurs multiples pour plusieurs propriétés de l’enregistrement du journal d’audit. Chacune des paires propriété : valeur de cette propriété à valeurs multiples est séparée par une virgule.
Le tableau suivant décrit les propriétés d’activité incluses (en fonction du service dans lequel une activité se produit) dans la colonne AuditData à plusieurs propriétés. Le service Microsoft qui a cette colonne de propriété indique le service et le type d’activité (utilisateur ou administrateur) qui inclut la propriété. Pour plus d’informations sur ces propriétés ou sur les propriétés qui peuvent ne pas être répertoriées dans cet article, consultez Schéma de l’API activité de gestion.
Conseil
Vous pouvez utiliser la fonctionnalité de transformation JSON dans Power Query dans Excel pour fractionner la colonne AuditData en plusieurs colonnes afin que chaque propriété ait sa propre colonne. Cela vous permettra d’utiliser une ou plusieurs de ces propriétés pour trier et filtrer les valeurs. Pour savoir comment procéder, consultez Exporter, configurer et afficher les enregistrements du journal d’audit.
| Propriété | Description | Service Microsoft qui a cette propriété |
|---|---|---|
| Actor | Compte d’utilisateur ou de service qui a effectué l’action. | Azure Active Directory |
| AddOnName | Nom d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Le type de modules complémentaires dans Microsoft Teams est un bot, un connecteur ou un onglet. | Microsoft Teams |
| AddOnType | Type d’un module complémentaire qui a été ajouté, supprimé ou mis à jour dans une équipe. Les valeurs suivantes indiquent le type de module complémentaire. 1 - Indique un bot. 2 - Indique un connecteur. 3 - Indique un onglet. |
Microsoft Teams |
| AppAccessContext | Contexte de l’application pour l’utilisateur ou le principal de service qui a effectué l’action. | Microsoft Teams |
| ArtifactShared | Fichiers ou contenu partagés par l’utilisateur. | Microsoft Teams |
| AzureActiveDirectoryEventType | Type d’activité Azure Active Directory. Les valeurs suivantes indiquent le type d’activité. 0 - Indique une activité de connexion de compte. 1 - Indique une activité de sécurité d’application Azure. |
Azure Active Directory |
| ChannelGuid | ID d’un canal Microsoft Teams. L’équipe dans laquelle se trouve le canal est identifiée par les propriétés TeamName et TeamGuid . | Microsoft Teams |
| ChannelName | Nom d’un canal Microsoft Teams. L’équipe dans laquelle se trouve le canal est identifiée par les propriétés TeamName et TeamGuid . | Microsoft Teams |
| Client | L’appareil client, le système d’exploitation de l’appareil et le navigateur de l’appareil utilisé pour l’activité de connexion (par exemple, Nokia Lumia 920 ; Windows Phone 8 ; Internet Explorer Mobile 11). | Azure Active Directory |
| ClientInfoString | Informations sur le client de messagerie qui a été utilisé pour effectuer l’opération, telles qu’une version de navigateur, une version d’Outlook et des informations sur l’appareil mobile | Exchange (activité de boîte aux lettres) |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour l’activité d’administrateur (ou l’activité effectuée par un compte système) pour les activités liées à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. |
Azure Active Directory, Exchange, SharePoint |
| CreationTime | Date et heure utc (Temps universel coordonné) auxquelles l’enregistrement du journal d’audit est généré. | tous |
| CurrentProtectionType | Type de propriété complexe contenant des champs pour décrire l’état de protection actuel d’un document. Inclut les éléments suivants : ProtectionType : énumère le type de protection appliqué au document. Ces valeurs et leur signification s’appliquent : 0 (aucune protection), 1 (protection basée sur un modèle), 2 (ne pas transférer, pour le courrier électronique), 3 (chiffrer uniquement) et 4 (protection personnalisée configurée par l’utilisateur) Propriétaire : adresse e-mail de l’utilisateur qui a configuré la protection. TemplateId : lorsque protectionType est défini sur 1 (modèle), ce champ contient le GUID du modèle appliqué au document. Lorsque la valeur de ProtectionType n’est pas égale à 1, ce champ est vide. DocumentEncrypted : indicateur booléen indiquant si un type de chiffrement est appliqué au document. Les valeurs sont True ou False. |
tous |
| DestinationFileExtension | Extension du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les activités utilisateur FileCopied et FileMoved. | SharePoint |
| DestinationFileName | Le nom du fichier est copié ou déplacé. Cette propriété s’affiche uniquement pour les actions FileCopied et FileMoved. | SharePoint |
| DestinationRelativeUrl | URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs de SiteURL, DestinationRelativeURL et la propriété DestinationFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier qui a été copié. Cette propriété s’affiche uniquement pour les activités utilisateur FileCopied et FileMoved. | SharePoint |
| EventSource | Identifie qu’une activité s’est produite dans SharePoint. Les valeurs possibles sont SharePoint et ObjectModel. | SharePoint |
| ExternalAccess | Pour l’activité d’administrateur Exchange, spécifie si l’applet de commande a été exécutée par un utilisateur de votre organisation, par le personnel du centre de données Microsoft ou un compte de service de centre de données, ou par un administrateur délégué. La valeur False indique que la cmdlet a été exécutée par un membre de votre organisation. La valeur True indique que la cmdlet a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué. Pour l’activité de boîte aux lettres Exchange, spécifie si un utilisateur extérieur à votre organisation a accédé à une boîte aux lettres. |
Exchange |
| ExtendedProperties | Propriétés étendues d’une activité Azure Active Directory. | Azure Active Directory |
| ID | ID de l’entrée de rapport. L’ID identifie de façon unique l’entrée de rapport. | tous |
| InternalLogonType | Réservé à une utilisation interne. | Exchange (activité de boîte aux lettres) |
| ItemType | Type d’objet consulté ou modifié. Les valeurs possibles sont Fichier, Dossier, Web, Site, Locataire et DocumentLibrary. | SharePoint |
| IsJoinedFromLobby | Indique si l’utilisateur a rejoint une session Teams à partir de la salle d’attente. | Microsoft Teams |
| LoginStatus | Identifie les échecs de connexion qui ont pu se produire. | Azure Active Directory |
| LogonType | Type d’accès aux boîtes aux lettres. Les valeurs suivantes indiquent le type d’utilisateur qui a accédé à la boîte aux lettres. 0 - Indique un propriétaire de boîte aux lettres. 1 - Indique un administrateur. 2 - Indique un délégué. 3 - Indique le service de transport dans le centre de données Microsoft. 4 - Indique un compte de service dans le centre de données Microsoft. 6 - Indique un administrateur délégué. |
Exchange (activité de boîte aux lettres) |
| MailboxGuid | GUID Exchange de la boîte aux lettres consultée. | Exchange (activité de boîte aux lettres) |
| MailboxOwnerUPN | Adresse de messagerie du propriétaire de la boîte aux lettres consultée. | Exchange (activité de boîte aux lettres) |
| Members | Répertorie les utilisateurs qui ont été ajoutés ou supprimés d’une équipe. Les valeurs suivantes indiquent le type de rôles attribué à l’utilisateur. 1 indique le rôle Propriétaire. 2 indique le rôle Membre. 3 indique le rôle Invité. La propriété Members comprend également le nom de votre organisation et l’adresse e-mail du membre. |
Microsoft Teams |
| ModifiedProperties (Name, NewValue, OldValue) | La propriété est incluse pour les activités d’administration, telles que l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administrateurs de collection de sites. La propriété inclut le nom de la propriété qui a été modifiée (par exemple, le groupe Administrateur du site) la nouvelle valeur de la propriété modifiée (par exemple, l’utilisateur qui a été ajouté en tant qu’administrateur de site et la valeur précédente de l’objet modifié). | Tout (activité d’administrateur) |
| ObjectFullyQualifiedName | Nom complet d’une entité. | Microsoft Purview (gouvernance) |
| ObjectId | Pour la journalisation d’audit d’administration Exchange, il s’agit du nom de l’objet modifié par la cmdlet. Pour l’activité SharePoint, nom complet du chemin d’ACCÈS URL du fichier ou dossier auquel un utilisateur a accédé. Pour l’activité Azure AD, nom du compte d’utilisateur qui a été modifié. |
tous |
| ObjectName | Nom de l’entité principale. | Microsoft Purview (gouvernance) |
| ObjectType | Type d’entité. | Microsoft Purview (gouvernance) |
| OldValue | La valeur avant une modification inclut toutes les propriétés mises à jour ou supprimées. | Microsoft Purview (gouvernance) |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. La valeur de cette propriété correspond à la valeur sélectionnée dans la liste déroulante Activités . Si Afficher les résultats de toutes les activités a été sélectionné, le rapport inclut des entrées pour toutes les activités utilisateur et administrateur pour tous les services. Pour obtenir une description des opérations/activités enregistrées dans le journal d’audit, voir l’onglet Activités auditées dans Rechercher dans le journal d’audit dans Office 365. Pour une activité d’administration Exchange, cette propriété identifie le nom de la cmdlet qui a été exécutée. |
tous |
| OrganizationId | GUID de votre organisation. | tous |
| NewValue | La valeur après une modification inclut toutes les propriétés mises à jour ou supprimées. | Microsoft Purview (gouvernance) |
| Chemin d’accès | Nom de dossier de la boîte aux lettres dans laquelle se trouve le message consulté. Cette propriété identifie également le dossier dans lequel un message est créé ou copié/déplacé. | Exchange (activité de boîte aux lettres) |
| Paramètres | Pour l’activité d’administrateur Exchange, nom et valeur de tous les paramètres utilisés avec l’applet de commande identifiée dans la propriété Operation. | Exchange (activité d’administration) |
| ParticipantInfo | Propriétés supplémentaires sur l’identité du participant. | Microsoft Teams |
| ParticipatingDomainInformation | Informations de domaine sur le participant. | Microsoft Teams |
| PreviousProtectionType | Type de propriété complexe contenant des champs pour décrire l’état de protection précédent d’un document. Inclut les éléments suivants : ProtectionType : énumère le type de protection appliqué au document. Ces valeurs et leur signification s’appliquent : 0 (aucune protection), 1 (protection basée sur un modèle), 2 (ne pas transférer, pour le courrier électronique), 3 (chiffrer uniquement) et 4 (protection personnalisée configurée par l’utilisateur) Propriétaire : adresse e-mail de l’utilisateur qui a configuré la protection. TemplateId : lorsque protectionType est défini sur 1 (modèle), ce champ contient le GUID du modèle appliqué au document. Lorsque la valeur de ProtectionType n’est pas égale à 1, ce champ est vide. DocumentEncrypted : indicateur booléen indiquant si un type de chiffrement est appliqué au document. Les valeurs sont True ou False. |
tous |
| ProtectionEventType | Énumère la façon dont la protection a été modifiée par l’opération auditée. Les valeurs et significations suivantes s’appliquent : 0 - Indique inchangé. 1 - Indique ajouté. 2 - Indique modifié. 3 - Indique supprimé. |
tous |
| RecordType | Type d’opération indiqué par l’enregistrement. Cette propriété indique le service ou la fonctionnalité dans lequel l’opération a été déclenchée. Pour obtenir la liste des types d’enregistrements et leur valeur ENUM correspondante (qui est la valeur affichée dans la propriété RecordType dans un enregistrement d’audit), consultez Type d’enregistrement du journal d’audit. | |
| ResultStatus | Indique si l’action (spécifiée dans la propriété Operation ) a réussi ou non. Pour l’activité d’administration Exchange, la valeur est True (réussite) ou False (échec). |
tous |
| SecurityComplianceCenterEventType | Indique que l’activité était un portail Microsoft Purview et une activité du portail de conformité. Toutes les activités du portail Microsoft Purview et du portail de conformité auront la valeur 0 pour cette propriété. | Portail Microsoft Purview Portail de conformité Microsoft Purview |
| SensitivityLabel | Étiquette de confidentialité affectée à un élément de courrier spécifique. | Exchange |
| SharingType | Type d’autorisations de partage attribuées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié dans la propriété UserSharedWith . | SharePoint |
| Site | GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur. | SharePoint |
| SiteUrl | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. | SharePoint |
| SourceFileExtension | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. | SharePoint |
| SourceFileName | Nom du fichier ou du dossier consulté par l’utilisateur. | SharePoint |
| SourceRelativeUrl | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs pour SiteURL, SourceRelativeURL et la propriété SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. | SharePoint |
| Sujet | Ligne d’objet du message qui a été consulté. | Exchange (activité de boîte aux lettres) |
| TabType | Type d’onglet ajouté, supprimé ou mis à jour dans une équipe. Les valeurs possibles pour cette propriété sont les suivantes : Épingle Excel : onglet Excel. Extension : toutes les applications internes et tierces ; par exemple, Planification de classes, VSTS et Formulaires. Notes - Onglet OneNote. Pdfpin : onglet PDF. Powerbi : onglet Power BI. Powerpointpin : onglet PowerPoint. Sharepointfiles : onglet SharePoint. Page web : onglet de site web épinglé. Wiki-tab : onglet wiki. Wordpin : onglet Word. |
Microsoft Teams |
| Target | Utilisateur sur lequel l’action (identifiée dans la propriété Operation ) a été effectuée. Par exemple, si un invité est ajouté à SharePoint ou à une équipe Microsoft, cet utilisateur est répertorié dans cette propriété. | Azure Active Directory |
| TeamGuid | ID d’une équipe dans Microsoft Teams. | Microsoft Teams |
| TeamName | Nom d’une équipe dans Microsoft Teams. | Microsoft Teams |
| UserAgent | Informations sur le navigateur de l’utilisateur. Ces informations sont fournies par le navigateur. | SharePoint |
| UserDomain | Informations d’identité sur l’organisation cliente de l’utilisateur (acteur) qui a effectué l’action. | Azure Active Directory |
| UserId | Utilisateur qui a effectué l’action (spécifiée dans la propriété Operation ) qui a entraîné la journaliser l’enregistrement. Les enregistrements d’audit des activités effectuées par des comptes système (tels que SHAREPOINT\system ou NT AUTHORITY\SYSTEM) sont également inclus dans le journal d’audit. Une autre valeur courante pour la propriété UserId est app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, reportez-vous aux rubriques suivantes : Utilisateur app@sharepoint dans les enregistrements d’audit ou Comptes système dans les enregistrements d’audit de boîte aux lettres Exchange. |
tous |
| UserKey | Contient un ID d’objet Azure Active Directory valide au format GUID ou hexadécimal. Pour les scénarios où l’acteur principal n’est pas un utilisateur, userKey est une chaîne vide. Pour plus d’informations sur les différents scénarios UserKey, consultez Scénarios UserType et UserKey. | tous |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les différents scénarios UserType, consultez les scénarios UserType et UserKey. | tous |
| Version | Indique le numéro de version de l’activité (identifiée par la propriété Operation ) enregistrée. | tous |
| Charge de travail | Service Microsoft 365 où l’activité s’est produite. | tous |
Scénarios UserType et UserKey
Le tableau suivant fournit des détails pour les scénarios UserType et UserKey :
| Valeur | Nom du membre UserType | Description | UserKey |
|---|---|---|---|
| 0 | Regular | Un utilisateur normal sans autorisations d’administrateur. | ID d’objet Microsoft Entra au format GUID |
| 2 | Admin | Un administrateur dans votre organisation Microsoft 365. 1 | ID d’objet Microsoft Entra au format GUID |
| 3 | DCAdmin | Un compte de système de centre de données ou d’administrateur de centre de données Microsoft. | ID d’objet Microsoft Entra au format GUID |
| 4 | System | Événement d’audit déclenché par la logique côté serveur. Par exemple, les services Windows ou les processus en arrière-plan. | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
| 5 | Application | Événement d’audit déclenché par une application Microsoft Entra. | Nom de l’application Microsoft Entra ou ID d’application (le cas échéant). Sinon, une chaîne vide. |
| 6 | ServicePrincipal | Principal de service. | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
| 7 | CustomPolicy | Stratégie créée ou gérée par le client. | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
| 8 | SystemPolicy | Une stratégie système ou gérée par Microsoft. | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
| 9 | PartnerTechnician | L’utilisateur d’un locataire partenaire travaillant pour le compte du locataire client (dans les scénarios GDAP ). | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
| 10 | Guest | Un utilisateur invité ou anonyme. | Guid.Empty.ToString() (ou la valeur « 0000000-0000-0000-0000-0000000000000 »). |
Remarque
1 Pour les événements liés à Microsoft Entra, la valeur d’un administrateur n’est pas utilisée dans un enregistrement d’audit. Les enregistrements d’audit pour les activités effectuées par les administrateurs indiquent qu’un utilisateur normal (par exemple, UserType : 0) a effectué l’activité. La propriété UserID identifie la personne (utilisateur normal ou administrateur) qui a effectué l’activité.