Attività del log di controllo
Le tabelle di questo articolo descrivono le attività controllate in Microsoft 365. È possibile cercare queste attività eseguendo una ricerca nel log di controllo nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview.
Queste tabelle raggruppano le attività correlate o le attività di un determinato servizio. Le tabelle includono il nome descrittivo visualizzato nell'elenco a discesa Attività (o disponibili in PowerShell) e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca. Per le descrizioni delle informazioni dettagliate, vedere Proprietà dettagliate del log di controllo.
Consiglio
Selezionare uno dei collegamenti nell'elenco In questo articolo nella parte superiore di questo articolo per passare direttamente a una tabella di prodotti specifica.
Attività di amministrazione applicazioni
Nella tabella seguente sono elencate le attività di amministratore dell'applicazione registrate quando un amministratore aggiunge o modifica un'applicazione registrata in Microsoft Entra ID. Tutte le applicazioni che si basano su Microsoft Entra ID per l'autenticazione devono essere registrate nella directory.
Nota
I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Voce di delega aggiunta | Aggiunta di una voce di delega. | È stata creata o concessa un'autorizzazione di autenticazione a un'applicazione in Microsoft Entra ID. |
| Entità servizio aggiunta | Aggiunta di un'entità servizio. | Un'applicazione è stata registrata in Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory. |
| Credenziali aggiunte a un'entità servizio | Aggiunta delle credenziali dell'entità servizio. | Le credenziali sono state aggiunte a un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory. |
| Voce di delega rimossa | Rimozione della voce di delega. | Un'autorizzazione di autenticazione è stata rimossa da un'applicazione in Microsoft Entra ID. |
| Entità servizio rimossa dalla directory | Rimozione di un'entità servizio. | Un'applicazione è stata eliminata/annullata dalla Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory. |
| Credenziali rimosse da un'entità servizio | Rimozione delle credenziali dell'entità servizio. | Le credenziali sono state rimosse da un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory. |
| Voce di delega impostata | Impostazione della voce di delega. | Un'autorizzazione di autenticazione è stata aggiornata per un'applicazione in Microsoft Entra ID. |
Attività e-mail di Briefing
La tabella seguente elenca le attività nel messaggio di posta elettronica di Briefing registrate nel log di controllo di Microsoft 365. Per ulteriori informazioni sulle e-mail di Briefing, vedere:
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Impostazioni sulla privacy dell'organizzazione aggiornate | UpdatedOrganizationBriefingSettings | L'amministratore aggiorna le impostazioni sulla privacy dell'organizzazione per le e-mail di Briefing. |
| Impostazioni sulla privacy dell'utente aggiornate | UpdatedUserBriefingSettings | L'amministratore aggiorna le impostazioni sulla privacy dell'utente per le e-mail di Briefing. |
Attività di conformità delle comunicazioni
La tabella seguente elenca le attività relative alla conformità delle comunicazioni registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Informazioni su Conformità delle comunicazioni Microsoft Purview.
Nota
Queste attività sono disponibili quando si usa il cmdlet di PowerShell Search-UnifiedAuditLog . Queste attività non sono disponibili nell'elenco a discesa Attività .
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiornamento criteri | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Un amministratore di conformità delle comunicazioni ha eseguito un aggiornamento dei criteri. |
| Corrispondenza criteri | SupervisionRuleMatch | Un utente ha inviato un messaggio che corrisponde alla condizione di un criterio. |
| Tag applicato ai messaggi | SupervisoryReviewTag | I tag vengono applicati ai messaggi o i messaggi vengono risolti. |
Attività di Compliance Manager
Nella tabella seguente sono elencate le operazioni e le attività registrate quando un amministratore gestisce le impostazioni in Compliance Manager. Per altre informazioni, vedere Informazioni su Compliance Manager.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Modifica dei ruoli | ComplianceManagerRolesChange | Un amministratore ha modificato i ruoli per gli utenti. |
| Modifica del livello di automazione del tenant | ComplianceManagerAutomationLevelChange | Un amministratore ha modificato il livello di automazione per il tenant in tutte le azioni. |
| Test della modifica dell'automazione dell'origine | ComplianceManagerAutomationChange | Un amministratore ha modificato le impostazioni di automazione dell'origine di test. |
Attività di Esplora contenuto
La tabella seguente elenca le attività di Esplora contenuto registrate nel log di controllo. Esplora contenuto, accessibile tramite lo strumento Classificazioni dati nel portale di Microsoft Purview e nel portale di conformità. Per altre informazioni, vedere Utilizzo di Esplora contenuto di classificazione dei dati.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Elemento a cui è stato effettuato l'accesso | LabelContentExplorerAccessedItem | Un amministratore o un utente che fa parte del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto usa Esplora contenuto per visualizzare un messaggio di posta elettronica o un documento di SharePoint/OneDrive. |
Attività copilot
Nella tabella seguente sono elencate le attività di Microsoft 365 Copilot e Microsoft Copilot registrate nel log di controllo. Copilot è accessibile tra i servizi Microsoft. Le attività includono come e quando gli utenti interagiscono con Copilot. Questo include il servizio Microsoft in cui si è svolta l'attività e fa riferimento ai file a cui si accede durante l'interazione. Per altre informazioni sugli eventi di interazione copilot e un esempio di schema, vedere Panoramica degli eventi di interazione copilot.
Per accedere al testo dalla richiesta dell'utente durante l'interazione, vedere Ricerca contenuto o visualizzare l'evento di interazione con intelligenza artificiale da Esplora attività in Microsoft Purview Hub IA.
Per altre informazioni sul controllo e altre opzioni di gestione della conformità per Copilot, vedere Microsoft Purview supporta la gestione della conformità per Copilot.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Interagire con Copilot | CopilotInteraction | Un utente, un amministratore o un sistema per conto di un utente, ha immesso richieste in Copilot. |
Attività di amministrazione directory
La tabella seguente elenca Microsoft Entra directory e le attività correlate al dominio registrate quando un amministratore gestisce l'organizzazione nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.
Nota
I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Dominio aggiunto a società | Aggiunta di un dominio alla società. | È stato aggiunto un dominio all'organizzazione. |
| Partner aggiunto alla directory | Aggiunta di un partner alla società. | È stato aggiunto un partner (amministratore delegato) all'organizzazione. |
| Dominio rimosso da società | Rimozione di un dominio dalla società. | È stato rimosso un dominio dall'organizzazione. |
| Partner rimosso dalla directory | Rimozione di un partner dalla società. | È stato rimosso un partner (amministratore delegato) dall'organizzazione. |
| Informazioni sulla società impostate | Impostazione delle informazioni sulla società. | Sono state aggiornate le informazioni sulla società per l'organizzazione. Include gli indirizzi di posta elettronica per la posta elettronica relativa alla sottoscrizione inviata da Microsoft 365 e le notifiche tecniche sui servizi di Microsoft 365. |
| Impostazione dell'autenticazione del dominio | Impostazione dell'autenticazione dominio. | È stata modificata l'impostazione di autenticazione del dominio per l'organizzazione. |
| Impostazioni della federazione aggiornate per un dominio | Configurazione delle impostazioni di federazione nel dominio. | Sono state modificate le impostazioni di federazione (condivisione esterna) per l'organizzazione. |
| Criteri password impostati | Impostazione dei criteri password. | Sono stati modificati i vincoli di lunghezza e caratteri per le password utente nell'organizzazione. |
| Attivato Azure AD Sync | Impostazione del flag DirSyncEnabled. | È stata impostata la proprietà che abilita una directory per Azure AD Sync. |
| Dominio aggiornato | Aggiornamento di un dominio. | Sono state aggiornate le impostazioni di un dominio nell'organizzazione. |
| Dominio verificato | Verifica di un dominio. | È stato verificato che l'organizzazione è il proprietario di un dominio. |
| Posta elettronica verificata in dominio verificato | Verifica del dominio tramite la verifica di posta elettronica. | È stata usata la verifica tramite posta elettronica per verificare che l'organizzazione sia il proprietario di un dominio. |
Attività di revisione per l'eliminazione
Nella tabella seguente sono elencate le attività eseguite da un revisore dell'eliminazione quando un elemento ha raggiunto la fine del periodo di conservazione configurato oppure un elemento è stato spostato automaticamente nella fase di eliminazione successiva o eliminato definitivamente a seguito dell'applicazione automatica.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Dismissione approvata | ApproveDisposal | Per l'approvazione manuale: un revisore dell'eliminazione ha approvato l'eliminazione dell'elemento per spostarlo nella fase di eliminazione successiva. Se l'elemento era nella sola o ultima fase della revisione dell'eliminazione, l'approvazione dell'eliminazione ha contrassegnato l'elemento come idoneo per l'eliminazione definitiva. Per l'applicazione automatica: non è stata eseguita alcuna azione manuale entro il periodo di tempo di applicazione automatica configurato, in modo che l'elemento venga spostato automaticamente alla fase di eliminazione successiva. Se l'elemento si trovava nell'unica o ultima fase di revisione dell'eliminazione, l'elemento diventa automaticamente idoneo per l'eliminazione permanente. |
| Periodo di conservazione esteso | ExtendRetention | Un revisore dell'eliminazione ha esteso il periodo di conservazione dell'elemento. |
| Elemento rietichettato | RelabelItem | Un revisore dell'eliminazione ha rietichettato l'etichetta di conservazione. |
| Revisori aggiunti | AddReviewer | Un revisore dell'eliminazione ha aggiunto uno o più utenti alla fase di revisione dell'eliminazione corrente. |
Attività di eDiscovery
Attività correlate a Ricerca contenuto ed eDiscovery (per Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium)) eseguite nel portale di Microsoft Purview, Portale di conformità di Microsoft Purview o eseguendo i cmdlet di PowerShell corrispondenti vengono registrati nel log di controllo. Gli eventi vengono registrati quando gli amministratori o i responsabili di eDiscovery (o qualsiasi autorizzazione eDiscovery assegnata dall'utente) eseguono le seguenti attività Ricerca contenuto ed eDiscovery (Standard) nei portali:
- Creazione e gestione di casi di eDiscovery (Standard) ed eDiscovery (Premium).
- Creazione, avvio e modifica di ricerche di contenuto.
- Esecuzione di azioni di ricerca, ad esempio l'anteprima, l'esportazione e l'eliminazione dei risultati della ricerca.
- Gestione dei responsabili e dei set di revisione in eDiscovery (Premium).
- Configurazione del filtro delle autorizzazioni per Ricerca contenuto.
- Gestione del ruolo di amministratore di eDiscovery.
Per altre informazioni sulla ricerca nel log di controllo, sulle autorizzazioni necessarie e sull'esportazione dei risultati della ricerca, vedere Cercare nel log di controllo.
Nota
Sono necessari fino a 30 minuti prima che le attività risultanti dalle attività elencate in attività eDiscovery e le attività eDiscovery (Premium) nell'elenco a discesa Attività vengano visualizzate nei risultati della ricerca. Invece, per visualizzare nei risultati della ricerca gli eventi corrispondenti provenienti dalle attività dei cmdlet di eDiscovery sono necessarie fino a 24 ore.
Attività Di ricerca contenuto ed eDiscovery (Standard)
Nella tabella seguente vengono descritte le attività Ricerca contenuto ed eDiscovery (Standard) registrate quando un amministratore o un manager di eDiscovery esegue un'attività correlata a eDiscovery tramite il portale di conformità. Alcune attività eseguite in eDiscovery (Premium) possono essere restituite quando si cercano attività in questo elenco.
Nota
Le attività di eDiscovery descritte in questa sezione forniscono informazioni simili alle attività del cmdlet eDiscovery descritte nella sezione successiva. È consigliabile usare le attività di eDiscovery descritte in questa sezione perché verranno visualizzate nei risultati della ricerca nel log di controllo entro 30 minuti. La visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.
| Nome descrittivo | Operazione | Cmdlet corrispondente | Descrizione |
|---|---|---|---|
| Aggiunta di un membro al caso di eDiscovery |
CaseMemberAdded |
Add-ComplianceCaseMember |
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie. |
| Ricerca di contenuto modificata |
SearchUpdated |
Set-ComplianceSearch |
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto o la modifica della query di ricerca. |
| Modifica dell'appartenenza dell'amministratore di eDiscovery |
CaseAdminUpdated |
Update-eDiscoveryCaseAdmin |
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione CaseAdminAdded. |
| Modifica del caso di eDiscovery |
CaseUpdated |
Set-ComplianceCase |
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso. |
| Modifica dell'appartenenza al caso di eDiscovery |
CaseMemberUpdated |
Update-ComplianceCaseMember |
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione CaseMemberAdded o CaseMemberRemoved. |
| Filtro delle autorizzazioni di ricerca modificato |
SearchPermissionUpdated |
Set-ComplianceSecurityFilter |
È stato modificato un filtro delle autorizzazioni di ricerca. |
| Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery |
HoldUpdated |
Set-CaseHoldRule |
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query. |
| Elemento di anteprima della ricerca contenuto scaricato |
PreviewItemDownloaded |
N/D |
Un utente ha scaricato un elemento nel computer locale (selezionando il collegamento Scarica elemento originale ) durante l'anteprima dei risultati della ricerca. |
| Elemento di anteprima della ricerca contenuto elencato |
PreviewItemListed |
N/D |
Un utente ha selezionato Anteprima risultati ricerca per visualizzare la pagina dei risultati della ricerca di anteprima, che elenca fino a 1.000 elementi dai risultati di una ricerca. |
| Ricerca contenuto creata |
SearchCreated |
New-ComplianceSearch |
È stata creata una nuova ricerca di contenuto. |
| Amministratore di eDiscovery creato |
CaseAdminAdded |
Add-eDiscoveryCaseAdmin |
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione. |
| Creazione di un caso di eDiscovery |
CaseAdded |
New-ComplianceCase |
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi. |
| Filtro delle autorizzazioni di ricerca create |
SearchPermissionCreated |
New-ComplianceSecurityFilter |
È stato creato un filtro per le autorizzazioni di ricerca. |
| Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery |
HoldCreated |
New-CaseHoldRule |
È stato creato un blocco basato su query associato a un caso di eDiscovery. |
| Ricerca contenuto eliminato |
SearchRemoved |
Remove-ComplianceSearch |
È stata eliminata una ricerca di contenuto esistente. |
| Amministratore di eDiscovery eliminato |
CaseAdminRemoved |
Remove-eDiscoveryCaseAdmin |
Un amministratore di eDiscovery è stato eliminato dall'organizzazione. |
| Caso di eDiscovery eliminato |
CaseRemoved |
Remove-ComplianceCase |
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato. |
| Filtro delle autorizzazioni di ricerca eliminate |
SearchPermissionRemoved |
Remove-ComplianceSecurityFilter |
È stato eliminato un filtro delle autorizzazioni di ricerca. |
| Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery |
HoldRemoved |
Remove-CaseHoldRule |
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa. |
| Esportazione scaricata della ricerca di contenuto |
SearchExportDownloaded |
N/D |
Un utente ha scaricato i risultati di una ricerca di contenuto nel computer locale. È necessario avviare un'esportazione avviata dell'attività di ricerca del contenuto prima di scaricare i risultati della ricerca. |
| Risultati in anteprima della ricerca di contenuto |
RicercaAnteprima |
N/D |
Un utente ha visualizzato in anteprima i risultati di una ricerca di contenuto. |
| Risultati eliminati della ricerca di contenuto |
SearchResultsPurged |
New-ComplianceSearchAction |
Un utente ha eliminato i risultati di una ricerca contenuto eseguendo il comando New-ComplianceSearchAction -Purge . |
| Rimozione dell'analisi della ricerca di contenuto |
RemovedSearchResultsSentToZoom |
Remove-ComplianceSearchAction |
È stata eliminata un'azione di preparazione della ricerca di contenuto (per preparare i risultati della ricerca per eDiscovery (Premium).) Se l'azione di preparazione aveva meno di due settimane, i risultati della ricerca preparati per eDiscovery (Premium) sono stati eliminati dall'area di archiviazione di Microsoft Azure. Se l'azione di preparazione è stata precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di preparazione corrispondente. |
| Rimozione dell'esportazione della ricerca di contenuto |
RemovedSearchExported |
Remove-ComplianceSearchAction |
Un'azione di esportazione di ricerca contenuto è stata eliminata. Se l'azione di esportazione aveva meno di due settimane, i risultati della ricerca caricati nell'area di archiviazione di Microsoft Azure sono stati eliminati. Se l'azione di esportazione era precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di esportazione corrispondente. |
| Membro rimosso dal caso eDiscovery |
CaseMemberRemoved |
Remove-ComplianceCaseMember |
Un utente è stato rimosso come membro di un caso di eDiscovery. |
| Rimossi i risultati di anteprima della ricerca di contenuto |
RemovedSearchPreviewed |
Remove-ComplianceSearchAction |
È stata eliminata un'azione di anteprima della ricerca di contenuto. |
| Rimozione dell'azione di eliminazione eseguita nella ricerca di contenuto |
RemovedSearchResultsPurged |
Remove-ComplianceSearchAction |
Un'azione di eliminazione della ricerca di contenuto è stata eliminata. |
| Rimozione del report di ricerca |
SearchReportRemoved |
Remove-ComplianceSearchAction |
Un'azione di esportazione del report di ricerca contenuto è stata eliminata. |
| Analisi avviata della ricerca di contenuto |
SearchResultsSentToZoom |
New-ComplianceSearchAction |
I risultati di una ricerca di contenuto sono stati preparati per l'analisi in eDiscovery (Premium). |
| Ricerca contenuto avviata |
SearchStarted |
Start-ComplianceSearch |
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando il portale di conformità, la ricerca viene avviata automaticamente. |
| Avvio dell'esportazione della ricerca di contenuto |
SearchExported |
New-ComplianceSearchAction |
Un utente ha esportato i risultati di una ricerca di contenuto. |
| Report di esportazione avviato |
SearchReport |
New-ComplianceSearchAction |
Un utente ha esportato un report di ricerca contenuto. |
| Ricerca contenuto arrestata |
SearchStopped |
Stop-ComplianceSearch |
Un utente ha arrestato una ricerca di contenuto. |
| (nessuno) | CaseViewed | Get-ComplianceCase | Un utente ha visualizzato un caso di eDiscovery (Standard) nel portale di conformità. Il record di controllo per questo evento include il nome del caso visualizzato. |
| (nessuno) | SearchViewed | Get-ComplianceSearch | Un utente ha visualizzato una ricerca contenuto nel portale di conformità accedendo alla ricerca nella scheda Ricerche in un caso di eDiscovery (Standard) o accedendo alla ricerca contenuto nella pagina Ricerca contenuto . Il record di controllo per questo evento include l'identità della ricerca visualizzata. |
| (nessuno) | ViewedSearchExported | Get-ComplianceSearchAction -Export | Un utente ha visualizzato un'esportazione ricerca contenuto nel portale di conformità accedendo all'esportazione nella scheda Esportazioni nella pagina Ricerca contenuto . Questa attività viene registrata anche quando un utente visualizza un'esportazione associata a un caso eDiscovery (Standard). |
| (nessuno) | ViewedSearchPreviewed | Get-ComplianceSearchAction -Preview | Un utente ha visualizzato in anteprima i risultati di una ricerca contenuto nel portale di conformità. Questa attività viene registrata anche quando un utente visualizza in anteprima i risultati di una ricerca associata a un caso eDiscovery (Standard). |
Attività di eDiscovery (Premium)
Nella tabella seguente vengono descritte le attività di eDiscovery (Premium) registrate nel log di controllo. Queste attività possono essere usate per tenere traccia dell'avanzamento dell'attività in un caso di eDiscovery (Premium).
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiungere dati a un altro insieme da rivedere | AddWorkingSetQueryToWorkingSet | L'utente ha aggiunto i documenti di un insieme da rivedere a un altro insieme da rivedere. |
| Aggiunti dati a un insieme da rivedere | AddQueryToWorkingSet | L'utente ha aggiunto i risultati della ricerca da una ricerca di contenuto associata a un caso di eDiscovery (Premium) a un set di revisioni. |
| Sono stati aggiunti dati non di Microsoft 365 a un insieme da rivedere | AddNonOffice365DataToWorkingSet | L'utente ha aggiunto dati non di Microsoft 365 a un insieme da rivedere. |
| Aggiunta di documenti con correzione a un insieme da rivedere | AddRemediatedData | L'utente carica i documenti con errori di indicizzazione corretti in un insieme da rivedere. |
| Dati analizzati nell'insieme da rivedere | RunAlgo | L'utente ha eseguito l'analisi dei documenti in un set di revisione. |
| Documento con annotazioni nell'insieme da rivedere | AnnotateDocument | L'utente ha annotato un documento in un insieme da rivedere. L'annotazione include la correzione del contenuto di un documento. |
| Set di carichi confrontati | LoadComparisonJob | L'utente ha confrontato due set di carichi diversi in insieme da rivedere. Un set di carichi si verifica quando i dati di una ricerca di contenuto associata al caso vengono aggiunti a un insieme da rivedere. |
| Documenti corretti convertiti in PDF | BurnJob | L'utente ha convertito in file PDF tutti i documenti corretti di un insieme da rivedere. |
| Creato insieme da rivedere | CreateWorkingSet | L'utente ha creato un insieme da rivedere. |
| Ricerca insieme da rivedere creata | CreateWorkingSetSearch | L'utente ha creato una query di ricerca che consente di cercare i documenti in un insieme da rivedere. |
| Creato tag | CreateTag | L'utente ha creato un gruppo di tag in un insieme da rivedere. Un gruppo di tag può contenere uno o più tag figlio. Questi tag vengono usati per contrassegnare i documenti nell'insieme da rivedere. |
| Ricerca insieme da rivedere eliminata | DeleteWorkingSetSearch | Un utente ha eliminato una query di ricerca in un insieme da rivedere. |
| Tag eliminato | DeleteTag | L'utente ha eliminato un tag o un gruppo di tag in un insieme da rivedere. |
| Documento scaricato | DownloadDocument | L'utente ha scaricato un documento da un insieme da rivedere. |
| Tag modificato | UpdateTag | L'utente ha modificato un tag in un insieme da rivedere. |
| Esportati documenti da un insieme da rivedere | ExportJob | L'utente ha esportato dei documenti da un insieme da rivedere. |
| Impostazione caso modificata | UpdateCaseSettings | L'utente ha modificato le impostazioni per un caso. Le impostazioni per il caso includono le informazioni sul caso, le autorizzazioni di accesso e le impostazioni che controllano il comportamento di ricerca e analisi. |
| Ricerca insieme da rivedere modificata | UpdateWorkingSetSearch | Un utente ha modificato una query di ricerca in un insieme da rivedere. |
| Visualizzazione dell'anteprima della ricerca dell'insieme da rivedere | PreviewWorkingSetSearch | Un utente ha visualizzato in anteprima i risultati di una query di ricerca in un insieme da rivedere. |
| Corretti i documenti con errori | ErrorRemediationJob | L'utente corregge i file che contengono errori di indicizzazione. |
| Documento con tag | TagFiles | L'utente contrassegna un documento in un insieme da rivedere. |
| Contrassegnati i risultati di una query | TagJob | Un utente contrassegna tutti i documenti che corrispondono ai criteri della query di ricerca in un insieme da rivedere. |
| Documento visualizzato nell'insieme da rivedere | ViewDocument | L'utente ha visualizzato un documento in un insieme da rivedere. |
Attività dei cmdlet di eDiscovery
Nella tabella seguente sono elencati i record del log di controllo dei cmdlet registrati quando un amministratore o un utente esegue un'attività correlata a eDiscovery usando il portale di conformità o eseguendo il cmdlet corrispondente in PowerShell sicurezza & conformità. Le informazioni dettagliate nel record del log di controllo sono diverse per le attività dei cmdlet elencate in questa tabella e per le attività di eDiscovery descritte nella sezione precedente.
Come indicato in precedenza, la visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.
Consiglio
I cmdlet nella colonna Operazione nella tabella seguente sono collegati all'argomento della Guida corrispondente relativo ai cmdlet in TechNet. Passare all'argomento della Guida del cmdlet per una descrizione dei parametri disponibili per ogni cmdlet. Il parametro e il valore del parametro usati con un cmdlet sono inclusi nella voce del log di controllo per ogni attività del cmdlet eDiscovery registrata.
| Nome descrittivo | Operazione (cmdlet) | Descrizione |
|---|---|---|
| Blocco creato nel caso di eDiscovery |
New-CaseHoldPolicy |
È stato creato un blocco per un caso di eDiscovery. È possibile creare un blocco con o senza specificare un'origine di contenuto. Se vengono specificate origini di contenuto, vengono identificate nella voce del log di controllo. |
| Blocco eliminato dal caso di eDiscovery |
Remove-CaseHoldPolicy |
È stato eliminato un blocco associato a un caso di eDiscovery. L'eliminazione di un blocco rilascia tutti i percorsi del contenuto dal blocco. L'eliminazione del blocco comporta anche l'eliminazione delle regole di blocco maiuscole e minuscole associate al blocco (vedere Remove-CaseHoldRule). |
| Blocco modificato nel caso di eDiscovery |
Set-CaseHoldPolicy |
È stato modificato un blocco associato a un eDiscovery. Le possibili modifiche includono l'aggiunta o la rimozione di percorsi di contenuto o la disattivazione (disabilitazione) del blocco. |
| Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery |
New-CaseHoldRule |
È stato creato un blocco basato su query associato a un caso di eDiscovery. |
| Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery |
Remove-CaseHoldRule |
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa. |
| Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery |
Set-CaseHoldRule |
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query. |
| Creazione di un caso di eDiscovery |
New-ComplianceCase |
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi. |
| Caso di eDiscovery eliminato |
Remove-ComplianceCase |
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato. |
| Modifica del caso di eDiscovery |
Set-ComplianceCase |
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso. |
| Aggiunta di un membro al caso di eDiscovery |
Add-ComplianceCaseMember |
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie. |
| Membro rimosso dal caso eDiscovery |
Remove-ComplianceCaseMember |
Un utente è stato rimosso come membro di un caso di eDiscovery. |
| Modifica dell'appartenenza al caso di eDiscovery |
Update-ComplianceCaseMember |
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione Add-ComplianceCaseMember o Remove-ComplianceCaseMember . |
| Ricerca contenuto creata |
New-ComplianceSearch |
È stata creata una nuova ricerca di contenuto. |
| Ricerca contenuto eliminato |
Remove-ComplianceSearch |
È stata eliminata una ricerca di contenuto esistente. |
| Ricerca di contenuto modificata |
Set-ComplianceSearch |
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto in cui viene eseguita la ricerca e la modifica della query di ricerca. |
| Ricerca contenuto avviata |
Start-ComplianceSearch |
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando la GUI del portale di conformità, la ricerca viene avviata automaticamente. Se si crea o si modifica una ricerca usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch , è necessario eseguire il cmdlet Start-ComplianceSearch per avviare la ricerca. |
| Ricerca contenuto arrestata |
Stop-ComplianceSearch |
Una ricerca di contenuto in esecuzione è stata arrestata. |
| Azione di ricerca contenuto creata |
New-ComplianceSearchAction |
È stata creata un'azione di ricerca del contenuto. Le azioni di ricerca del contenuto includono l'anteprima dei risultati della ricerca, l'esportazione dei risultati della ricerca, la preparazione dei risultati della ricerca per l'analisi in eDiscovery (Premium) e l'eliminazione definitiva di elementi che corrispondono ai criteri di ricerca di una ricerca di contenuto. |
| Azione di ricerca contenuto eliminato |
Remove-ComplianceSearchAction |
Un'azione di ricerca contenuto è stata eliminata. |
| Filtro delle autorizzazioni di ricerca create |
New-ComplianceSecurityFilter |
È stato creato un filtro per le autorizzazioni di ricerca. |
| Filtro delle autorizzazioni di ricerca eliminate |
Remove-ComplianceSecurityFilter |
È stato eliminato un filtro delle autorizzazioni di ricerca. |
| Filtro delle autorizzazioni di ricerca modificato |
Set-ComplianceSecurityFilter |
È stato modificato un filtro delle autorizzazioni di ricerca. |
| Amministratore di eDiscovery creato |
Add-eDiscoveryCaseAdmin |
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione. |
| Amministratore di eDiscovery eliminato |
Remove-eDiscoveryCaseAdmin |
Un amministratore di eDiscovery è stato eliminato dall'organizzazione. |
| Modifica dell'appartenenza dell'amministratore di eDiscovery |
Update-eDiscoveryCaseAdmin |
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin . |
| (nessuno) |
Get-ComplianceCase |
Questa attività viene registrata quando un utente visualizza un elenco di casi di eDiscovery (Standard) o eDiscovery (Premium). Questa attività viene registrata anche quando un utente visualizza un caso specifico in eDiscovery (Standard). Quando un utente visualizza un caso specifico, il record di controllo include l'identità del caso visualizzato. Se l'utente ha visualizzato solo un elenco di casi, il record di controllo non contiene un'identità del caso. |
| (nessuno) | Get-ComplianceSearch | Questa attività viene registrata quando un utente visualizza un elenco di ricerche di contenuto o ricerche associate a un caso eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza una ricerca contenuto specifica o visualizza una ricerca specifica associata a un caso eDiscovery (Standard). Quando un utente visualizza una ricerca specifica, il record di controllo include l'identità della ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di ricerche, il record di controllo non contiene un'identità di ricerca. |
| (nessuno) | Get-ComplianceSearchAction | Questa attività viene registrata quando un utente visualizza un elenco di azioni di ricerca di conformità (ad esempio esportazioni, anteprime o ripuliture) o azioni associate a un caso di eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza un'azione di ricerca di conformità specifica (ad esempio un'esportazione) o visualizza un'azione specifica associata a un caso eDiscovery (Standard). Quando un utente visualizza un'azione di ricerca, il record di controllo include l'identità dell'azione di ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di azioni, il record di controllo non contiene un'identità di azione. |
Proprietà dettagliate per le attività di eDiscovery
Nella tabella seguente vengono descritte le proprietà incluse nella pagina a comparsa per un'attività di eDiscovery elencata nei risultati della ricerca. Queste proprietà sono incluse anche nel file CSV quando si esportano i risultati della ricerca nel log di controllo. Un record del log di controllo per un'attività di eDiscovery non includerà tutte le proprietà dettagliate elencate nella tabella seguente.
Consiglio
Quando si esportano i risultati della ricerca, il file CSV contiene una colonna denominata AudtiData, che contiene le proprietà dettagliate descritte nella tabella seguente in una proprietà multivalore. È possibile usare la funzionalità Power Query in Excel per suddividere questa colonna in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo sarà possibile ordinare e filtrare in base a una o più di queste proprietà. Per altre informazioni, vedere Cercare nel log di controllo.
| Proprietà | Descrizione |
|---|---|
| Caso |
Identità (GUID) del caso di eDiscovery creato, modificato o eliminato. |
| ClientApplication |
Le attività dei cmdlet di eDiscovery hanno un valore EMC per questa proprietà. Ciò indica che l'attività è stata eseguita usando la GUI del portale di conformità o eseguendo il cmdlet in PowerShell. |
| ClientIP |
Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6. |
| ClientRequestId |
Per le attività di eDiscovery, questa proprietà è in genere vuota. |
| CmdletVersion |
Numero di build per la versione del portale di conformità in esecuzione nell'organizzazione. |
| CreationTime |
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata completata l'attività eDiscovery. |
| EffectiveOrganization |
Nome dell'organizzazione di Microsoft 365. |
| ExchangeLocations |
Il Exchange Online cassette postali incluse in una ricerca di contenuto o sospese in un caso di eDiscovery. |
| Esclusioni |
Cassette postali o posizioni del sito escluse da una ricerca di contenuto o da un blocco in un caso di eDiscovery. |
| ExtendedProperties |
Proprietà aggiuntive da una ricerca di contenuto, un'azione di ricerca di contenuto o un blocco in un caso di eDiscovery, ad esempio il GUID dell'oggetto e i parametri cmdlet e cmdlet corrispondenti usati quando è stata eseguita l'attività. |
| Id |
ID della voce del report. L'ID identifica in modo univoco la voce del log di controllo. |
| NonPIIParameters |
Elenco dei parametri (senza valori) usati con il cmdlet identificato nella proprietà Operation. I parametri elencati in questa proprietà sono gli stessi elencati nella proprietà Parameters. |
| ObjectId |
GUID o nome dell'oggetto , ad esempio una ricerca contenuto o un caso eDiscovery (Standard) creato, accessibile, modificato o eliminato dall'attività elencata nella proprietà Operation. Questo oggetto viene identificato anche nella colonna Item nei risultati della ricerca del log di controllo. |
| ObjectType |
Tipo di oggetto eDiscovery creato, eliminato o modificato dall'utente; Ad esempio, un'azione di ricerca di contenuto (anteprima, esportazione o eliminazione), un caso di eDiscovery o una ricerca di contenuto. |
| Operazione |
Nome dell'operazione che corrisponde all'attività di eDiscovery eseguita. |
| OrganizationId |
GUID per l'organizzazione di Microsoft 365. |
| Parametri |
Nome e valore per i parametri usati con il cmdlet corrispondente. |
| PublicFolderLocations |
I percorsi delle cartelle pubbliche in Exchange Online inclusi in una ricerca di contenuto o messi in attesa in un caso di eDiscovery. |
| Query |
Query di ricerca associata all'attività, ad esempio una ricerca di contenuto o un blocco basato su query. |
| RecordType |
Tipo di operazione indicato dal record. Il valore 18 indica un evento correlato a un'attività elencata nella sezione attività del cmdlet eDiscovery . Il valore 24 indica un evento correlato a un'attività elencata nella sezione attività di eDiscovery . |
| ResultStatus |
Indica se l'azione (specificata nella proprietà Operation) ha avuto esito positivo o meno. |
| SecurityComplianceCenterEventType |
Indica che l'attività è un evento del portale di conformità. Tutte le attività di eDiscovery avranno un valore pari a 0 per questa proprietà. |
| SharepointLocations |
Siti di SharePoint Online inclusi in una ricerca di contenuto o sospesi in un caso di eDiscovery. |
| StartTime |
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata avviata l'attività eDiscovery. |
| UserId |
L'utente che ha eseguito l'attività (specificata nella proprietà Operation) che ha generato la registrazione del record. Anche i record per l'attività di eDiscovery eseguita dagli account di sistema (ad esempio NT AUTHORITY\SYSTEM) sono inclusi nel log di controllo. |
| UserKey |
ID alternativo per l'utente identificato nella proprietà UserId. Per le attività di eDiscovery, il valore di questa proprietà è in genere lo stesso della proprietà UserId. |
| UserServicePlan |
Sottoscrizione usata dall'organizzazione. Per le attività di eDiscovery, questa proprietà è in genere vuota. |
| Usertype |
Tipo di utente che ha eseguito l'operazione. I valori seguenti indicano il tipo di utente. 0 Un utente normale. 2 Amministratore dell'organizzazione. 3 Un amministratore del data center Microsoft o un account di sistema del data center. 4 Un account di sistema. 5 Un'applicazione. 6 Un'entità servizio. |
| Versione |
Indica il numero di versione dell'attività (identificata dalla proprietà Operation) registrata. |
| Carico di lavoro |
Servizio in cui si è verificata l'attività. Per le attività di eDiscovery, il valore è SecurityComplianceCenter. |
Attività del portale messaggi crittografati
I registri di accesso sono disponibili per i messaggi crittografati tramite il portale di messaggi crittografati, che consente all'organizzazione di determinare quando i messaggi devono essere letti e inoltrati dai destinatari esterni. Per altre informazioni sull'abilitazione e l'uso dei registri attività del portale dei messaggi crittografati, vedere Registri attività del portale dei messaggi crittografati.
Ogni voce di controllo per un messaggio rilevato contiene i campi seguenti:
- MessageID: contiene l'ID del messaggio rilevato. Identificatore di chiave usato per seguire un messaggio attraverso il sistema.
- Destinatario: elenco di tutti gli indirizzi di posta elettronica del destinatario.
- Mittente: indirizzo di posta elettronica di origine.
- AuthenticationMethod: descrive il metodo di autenticazione per l'accesso al messaggio, ad esempio OTP, Yahoo, Gmail o Microsoft.
- AuthenticationStatus: contiene un valore che indica che l'autenticazione ha avuto esito positivo o negativo.
- OperationStatus: indica se l'operazione indicata ha avuto esito positivo o negativo.
- AttachmentName: nome dell'allegato.
- OperationProperties: elenco di proprietà facoltative. Ad esempio, il numero di passcode OTP inviati o l'oggetto del messaggio di posta elettronica.
Attività di amministrazione di Exchange
La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Microsoft 365, registra un evento nel log di controllo quando un amministratore (o un utente a cui sono state assegnate autorizzazioni amministrative) apporta una modifica nell'organizzazione di Exchange Online. Le modifiche apportate mediante l'interfaccia di amministrazione di Exchange o eseguendo un cmdlet in PowerShell per Exchange Online vengono registrate nel log di controllo di amministrazione di Exchange. I cmdlet che iniziano con i verbi Get-, Search-oTest- non vengono registrati nel log di controllo. Per informazioni dettagliate sulla registrazione di controllo dell'amministratore in Exchange, vedere Registrazione di controllo dell'amministratore.
Importante
Alcuni cmdlet di Exchange Online che non sono stati registrati nel log di controllo di amministrazione di Exchange o nel log di controllo. Molti di questi cmdlet sono correlati alla gestione del servizio Exchange Online e sono eseguiti dal personale del centro dati Microsoft o dagli account di servizio. Questi cmdlet non vengono registrati perché comportano un gran numero di eventi di controllo "fastidiosi". Se è presente un cmdlet di Exchange Online che non viene controllato, inviare una richiesta di modifica della struttura (DCR) al Supporto tecnico Microsoft.
Di seguito sono forniti alcuni suggerimenti per la ricerca delle attività di amministrazione di Exchange durante la ricerca nel log di controllo:
- Usare le caselle relative all'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca per i cmdlet eseguiti da uno specifico amministratore di Exchange in un determinato intervallo di date.
- Per visualizzare gli eventi dal log di controllo dell'amministratore di Exchange, selezionare la colonna Attività per ordinare i nomi dei cmdlet in ordine alfabetico.
- Per ottenere informazioni sul cmdlet eseguito, sui parametri e sui valori dei parametri usati e sugli oggetti interessati, è possibile esportare i risultati della ricerca e selezionare l'opzione Scarica tutti i risultati. Per ulteriori informazioni, vedere Esportare, configurare e visualizzare i record del log di controllo.
- È anche possibile usare il comando
Search-UnifiedAuditLog -RecordType ExchangeAdminin PowerShell di Exchange Online per restituire solo i record di controllo del log di controllo dell'amministratore di Exchange. Dopo l'esecuzione di un cmdlet di Exchange per la voce del log di controllo corrispondente, la restituzione dei risultati della ricerca potrebbe richiedere fino a 30 minuti. Per altre informazioni, vedere Search-UnifiedAuditLog. Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo .
Attività su cassette postali di Exchange
La tabella seguente elenca le attività che possono essere registrate tramite la registrazione di controllo delle cassette postali. Le attività delle cassette postali eseguite dal proprietario della cassetta postale, da un utente delegato o da un amministratore vengono registrate automaticamente nel log di controllo per un massimo di 180 giorni. L'amministratore può disattivare la registrazione di controllo delle cassette postali per tutti gli utenti dell'organizzazione. In questo caso non vengono registrate azioni di cassette postali per alcun utente. Per altre informazioni, vedere Gestire il controllo delle cassette postali.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.
È anche possibile cercare le attività delle cassette postali utilizzando il cmdlet Search-MailboxAuditLog in PowerShell di Exchange Online.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Elementi delle cassette postali accessibili | MailItemsAccessed | I messaggi di una cassetta postale sono stati letti o aperti. Per questa attività i record di controllo vengono attivati nei casi seguenti: quando un client di posta elettronica, ad esempio Outlook, esegue un'operazione di binding sui messaggi oppure quando i protocolli di posta, ad esempio Exchange ActiveSync o IMAP, sincronizzano gli elementi in una cartella di posta elettronica. L'analisi dei record di controllo per questa attività è utile per l'analisi di un account di posta elettronica compromesso. |
| Aggiunte autorizzazioni delegate per le cassette postali | Add-MailboxPermission | Un amministratore ha assegnato l'autorizzazione FullAccess per la cassetta postale a un utente (noto come delegato) alla cassetta postale di un'altra persona. L'autorizzazione FullAccess consente al delegato di aprire la cassetta postale di un'altra persona e di leggere e gestire il contenuto della cassetta postale. Il record di controllo per questa attività viene generato anche quando un account di sistema nel servizio Microsoft 365 esegue periodicamente attività di manutenzione per conto dell'organizzazione. Un'attività comune eseguita da un account di sistema è l'aggiornamento delle autorizzazioni per le cassette postali di sistema. Per ulteriori informazioni, vedere Gli account di sistema nei record di controllo delle cassette postali di Exchange. |
| Aggiunto o rimosso un utente con accesso delegato alla cartella del calendario | UpdateCalendarDelegation | Un utente è stato aggiunto o rimosso come delegato al calendario della cassetta postale di un altro utente. La delega del calendario assegna a un altro utente nella stessa organizzazione le autorizzazioni per la gestione del calendario del proprietario della cassetta postale. |
| Aggiunte autorizzazioni alla cartella | AddFolderPermissions | È stata aggiunta un'autorizzazione per una cartella. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono. |
| Messaggi copiati in un'altra cartella | Copy | Un messaggio è stato copiato in un'altra cartella. |
| Elemento della cassetta postale creato | Creare | Viene creato un elemento nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione, l'invio o la ricezione di un messaggio non viene controllata, Inoltre, la creazione di una cartella della cassetta postale non viene verificata. |
| Creata una nuova regola della posta in arrivo in Outlook Web App | New-InboxRule | Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato una regola di posta in arrivo in Outlook Web App. |
| Messaggi eliminati dalla cartella Posta eliminata | SoftDelete | Un messaggio è stato eliminato definitivamente oppure è stato eliminato dalla cartella Posta eliminata. Questi elementi vengono spostati nella cartella Elementi ripristinabili. I messaggi vengono spostati nella cartella Elementi ripristinabili anche quando un utente li seleziona e preme MAIUSC+CANC. |
| Messaggio con etichetta come record | ApplyRecordLabel | Un messaggio è stato classificato come record. Si verifica quando un'etichetta di conservazione che classifica il contenuto come record viene applicata manualmente o automaticamente a un messaggio. |
| Messaggi spostati in un'altra cartella | Move | Un messaggio è stato spostato in un'altra cartella. |
| Messaggi spostati nella cartella Posta eliminata | MoveToDeletedItems | Un messaggio è stato eliminato e spostato nella cartella Posta eliminata. |
| Autorizzazione cartella modificata | UpdateFolderPermissions | Un'autorizzazione per una cartella è stata cambiata. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono. |
| Regola della posta in arrivo modificata da Outlook Web App | Set-InboxRule | Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha modificato una regola di posta in arrivo in Outlook Web App. |
| Messaggi ripuliti dalla cassetta postale | HardDelete | Un messaggio è stato eliminato dalla cartella Elementi ripristinabili (eliminato in modo definitivo dalla cassetta postale). |
| Rimosse autorizzazioni delegate per le cassette postali | Remove-MailboxPermission | Un amministratore ha rimosso l'autorizzazione FullAccess (che era assegnata a un delegato) dalla cassetta postale di una persona. Dopo aver rimosso l'autorizzazione FullAccess, il delegato non riesce ad aprire la cassetta postale dell'altra persona o ad accedere a qualsiasi suo contenuto. |
| Autorizzazioni rimosse dalla cartella | RemoveFolderPermissions | Un'autorizzazione per una cartella è stata rimossa. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono. |
| Messaggio inviato | Send | Un messaggio è stato inviato, inoltrato o ha ricevuto risposta. |
| Messaggio inviato con autorizzazioni Invia come | SendAs | Un messaggio è stato inviato con l'autorizzazione SendAs, Ciò significa che un altro utente ha inviato il messaggio come se provenisse dal proprietario della cassetta postale. |
| Messaggio inviato con autorizzazioni Invia per conto di | SendOnBehalf | Un messaggio è stato inviato con l'autorizzazione SendOnBehalf, Ciò significa che un altro utente ha inviato il messaggio per conto del proprietario della cassetta postale. Il messaggio indica al destinatario per conto di chi è stato inviato e chi effettivamente lo ha inviato. |
| Regole della posta in arrivo aggiornate dal client di Outlook | UpdateInboxRules | Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato, modificato o eliminato una regola di posta in arrivo usando il client di Outlook. |
| Messaggio aggiornato | Update | Un messaggio o le relative proprietà sono state modificate. |
| Utente connesso a cassetta postale | MailboxLogin | Accesso effettuato dall'utente alla propria cassetta postale. |
| Messaggio con etichetta come record | Un utente ha applicato un'etichetta di conservazione a un messaggio di posta elettronica e tale etichetta è configurata in modo da contrassegnare l'elemento come record. |
Account di sistema nei record di controllo delle cassette postali di Exchange
Nei record di controllo per alcune attività delle cassette postali (in particolare Add-MailboxPermissions), è possibile notare che l'utente che ha eseguito l'attività (ed è identificato nei campi User e UserId) è NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Ciò indica che l'"utente" che ha eseguito l'attività era un account di sistema nel servizio Exchange nel cloud Microsoft. Questo account di sistema spesso esegue attività di manutenzione pianificate per conto dell'organizzazione. Ad esempio, un'attività di controllo comune eseguita dall'account NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) consiste nell'aggiornare le autorizzazioni per DiscoverySearchMailbox, che è una cassetta postale di sistema. Lo scopo di questo aggiornamento è verificare che l'autorizzazione FullAccess (che è l'impostazione predefinita) sia assegnata al gruppo di ruoli Gestione individuazione per DiscoverySearchMailbox. Garantisce che gli amministratori di eDiscovery possano eseguire le attività necessarie nell'organizzazione.
Un altro account utente di sistema che può essere identificato in un record di controllo per Add-MailboxPermission è Administrator@apcprd03.prod.outlook.com. Questo account del servizio è incluso anche nei record di controllo delle cassette postali correlati alla verifica e all'aggiornamento dell'autorizzazione FullAccess assegnato al gruppo di ruoli Gestione individuazione per la cassetta postale di sistema DiscoverySearchMailbox. In particolare, i record di controllo che identificano l'account vengono in genere attivati quando il Administrator@apcprd03.prod.outlook.com personale del supporto Tecnico Microsoft esegue uno strumento di diagnostica del controllo degli accessi in base al ruolo per conto dell'organizzazione.
Attività su file e pagine
La tabella seguente descrive le attività su file e pagine in SharePoint Online e OneDrive for Business.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| File aperto | FileAccessed | Un utente o un account di sistema esegue l'accesso a un file. Quando un utente accede a un file, l'evento FileAccessed non viene registrato di nuovo per lo stesso utente per lo stesso file per i cinque minuti successivi. |
| (nessuno) | FileAccessedExtended | Elemento correlato all'attività "File aperto" (FileAccessed). Un evento FileAccessedExtended viene registrato quando la stessa persona accede in modo continuativo a un file per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi FileAccessedExtended è di ridurre il numero di eventi FileAccessed registrati quando si accede a un file in modo continuativo. Ciò consente di ridurre il numero di record FileAccessed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileAccessed iniziale (e più importante). |
| Etichetta di conservazione modificata per un file | ComplianceSettingChanged | È stata applicata o rimossa un'etichetta di conservazione da un documento. Questo evento viene generato quando un'etichetta di conservazione viene applicata manualmente o automaticamente a un messaggio. |
| Stato del record modificato in bloccato | LockRecord | Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato bloccato. Ciò significa che non è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento. |
| Stato del record modificato in sbloccato | UnlockRecord | Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato sbloccato. Ciò significa che è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento. |
| File archiviato | FileCheckedIn | Un utente archivia un documento estratto da una raccolta documenti. |
| File estratto | FileCheckedOut | Un utente estrae un documento da una raccolta documenti. Gli utenti possono estrarre e apportare modifiche ai documenti condivisi con loro. |
| File copiato | FileCopied | Un utente copia un documento da un sito. Il file copiato può essere salvato in un'altra cartella nel sito. |
| File eliminato | FileDeleted | Un utente elimina un documento da un sito. |
| File eliminato dal Cestino | FileDeletedFirstStageRecycleBin | L'utente elimina un file dal Cestino di un sito. |
| File eliminato dal Cestino di secondo livello | FileDeletedSecondStageRecycleBin | L'utente elimina un file dal Cestino di secondo livello di un sito. |
| File eliminato contrassegnato come record | RecordDelete | Un documento o messaggio di posta elettronica contrassegnato come record è stato eliminato. Un elemento viene considerato record se all’elemento è applicata un'etichetta di conservazione che contrassegna il contenuto come record. |
| È stata rilevata una mancata corrispondenza della riservatezza del documento | DocumentSensitivityMismatchDetected | Un utente carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito. Ad esempio, un documento con etichetta Riservato viene caricato in un sito con etichetta Generale. Questo evento non viene attivato se il documento ha un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. Per altre informazioni sulla priorità dell'etichetta di riservatezza, vedere Priorità dell'etichetta (l’ordine è importante). |
| Malware rilevato nel file | FileMalwareDetected | Il motore antivirus di SharePoint rileva malware in un file. |
| Estrazione file rimossa | FileCheckOutDiscarded | L'utente rimuove (o annulla) un file estratto. Ciò significa che eventuali modifiche apportate al file al momento dell'estrazione vengono eliminate e non vengono salvate nella versione del documento nella raccolta documenti. |
| File scaricato | FileDownloaded | Un utente scarica un documento da un sito. |
| File modificato | FileModified | Un utente o un account di sistema modifica il contenuto o le proprietà di un documento in un sito. Il sistema attende cinque minuti prima di registrare un altro evento FileModified quando lo stesso utente modifica il contenuto o le proprietà dello stesso documento. |
| (nessuno) | FileModifiedExtended | Elemento correlato all'attività "File modificato" (FileModified). Un evento FileModifiedExtended viene registrato quando la stessa persona modifica in modo continuativo un file per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi FileModifiedExtended è di ridurre il numero di eventi FileModified registrati quando si modifica un file in modo continuativo. Ciò consente di ridurre il numero di record FileModified per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileModified iniziale (e più importante). |
| File spostato | FileMoved | Un utente sposta un documento dalla posizione corrente in un sito a una nuova posizione. |
| (nessuno) | FilePreviewed | L'utente visualizza in anteprima i file in un sito di SharePoint Online o di OneDrive for Business. Questi eventi si verificano in genere in volumi elevati in base a una singola attività, ad esempio la visualizzazione di una raccolta immagini. |
| Query di ricerca eseguita | SearchQueryPerformed | Un account utente o di sistema esegue una ricerca in SharePoint o in OneDrive for Business. Alcuni scenari comuni in cui un account del servizio esegue una query di ricerca includono l'applicazione di un criterio di conservazione e blocchi di eDiscovery a siti e account OneDrive e l'applicazione automatica di etichette di conservazione o riservatezza al contenuto del sito. |
| Un file è stato riciclato | FileRecycled | L'utente sposta un file nel Cestino di SharePoint. |
| Una cartella è stata riciclata | FolderRecycled | L'utente sposta una cartella nel Cestino di SharePoint. |
| Tutte le versioni secondarie di un file vengono spostate nel Cestino | FileVersionsAllMinorsRecycled | L'utente elimina tutte le versioni secondarie dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito. |
| Tutte le versioni di un file vengono spostate nel Cestino | FileVersionsAllRecycled | L'utente elimina tutte le versioni dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito. |
| La versione di un file viene spostata nel Cestino | FileVersionRecycled | L'utente una versione dalla cronologia delle versioni di un file. La versione eliminata viene spostata nel Cestino del sito. |
| File rinominato | FileRenamed | Un utente rinomina un documento in un sito. |
| File ripristinato | FileRestored | Un utente ripristina un documento dal Cestino di un sito. |
| File caricato | FileUploaded | Un utente carica un documento in una cartella in un sito. |
| Pagina visualizzata | PageViewed | Utente visualizza una pagina in un sito, ma non usa un Web browser per visualizzare i file presenti in una raccolta documenti. Quando un utente visualizza una pagina, l'evento PageViewed non viene registrato di nuovo per lo stesso utente per la stessa pagina per i cinque minuti successivi. |
| (nessuno) | PageViewedExtended | Elemento correlato all'attività "Pagina visualizzata" (PageViewed). Un evento PageViewedExtended viene registrato quando la stessa persona visualizza in modo continuativo una pagina Web per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi PageViewedExtended è di ridurre il numero di eventi PageViewed registrati quando si visualizza una pagina Web in modo continuativo. Ciò consente di ridurre il numero di record PageViewed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento PageViewed iniziale (e più importante). |
| Visualizzazione segnalata dal client | ClientViewSignaled | Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha segnalato che la pagina indicata è stata visualizzata dall'utente. Questa attività viene spesso registrata dopo un evento PagePrefetched per una pagina. NOTA: poiché gli eventi ClientViewSignaled sono segnalati dal client, anziché dal server, è possibile che l'evento non sia registrato dal server e che quindi non compaia nel log di controllo. È anche possibile che le informazioni nel record di controllo non siano attendibili. Tuttavia, dato che l'identità dell'utente viene convalidata mediante il token usato per creare il segnale, l'identità dell'utente riportata nel record di controllo corrispondente è accurata. Il sistema attende cinque minuti prima di registrare lo stesso evento quando il client dello stesso utente segnala che la pagina è stata visualizzata di nuovo dall'utente. |
| (nessuno) | PagePrefetched | Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha richiesto la pagina indicata per migliorare le prestazioni in caso di esplorazione da parte dell'utente. Questo evento viene registrato per indicare che il contenuto della pagina è stato servito al client dell'utente. Questo evento non indica definitivamente che l'utente è passato alla pagina. Quando il contenuto della pagina viene visualizzato dal client (come richiesto dall'utente), è necessario generare un evento ClientViewSignaled. Non tutti i client supportano l'indicazione di un prefetch, pertanto alcune attività preletturate potrebbero invece essere registrate come eventi PageViewed. |
Domande frequenti sugli eventi FileAccessed e FilePreviewed
È possibile che attività non utente attivino record di controllo FilePreviewed che contengono un agente utente come "OneDriveMpc-Transform_Thumbnail"?
Non sono noti scenari in cui le azioni non utente generano eventi come questi. Azioni utente come l'apertura di una scheda del profilo utente (selezionando il nome o l'indirizzo di posta elettronica in un messaggio in Outlook sul web) genererebbero eventi simili.
Le chiamate a OneDriveMpc-Transform_Thumbnail vengono sempre attivate intenzionalmente dall'utente?
No. Ma eventi simili possono essere registrati come risultato della prelettura del browser.
Se viene visualizzato un evento FilePreviewed derivante da un indirizzo IP registrato Microsoft, significa che l'anteprima è stata visualizzata sullo schermo del dispositivo dell'utente?
No. L'evento potrebbe essere stato registrato come risultato della prelettura del browser.
Esistono scenari in cui un utente che visualizza l'anteprima di un documento genera eventi FileAccessed?
Sia gli eventi FilePreviewed che FileAccessed indicano che una chiamata utente ha portato a una lettura del file (o a una lettura del rendering dell'anteprima del file). Mentre questi eventi devono essere allineati all'intento anteprima vs accesso, la distinzione dell'evento non garantisce l'intento dell'utente.
L'utente app@sharepoint nei record di controllo
Nei record di controllo relativi ad alcune attività di file (e altre attività correlate a SharePoint) l'utente che ha eseguito l'attività, identificato nei campi User e UserId, è app@sharepoint. Questo indica che l'utente che ha eseguito l'attività è in realtà un'applicazione. In questo caso, in SharePoint all'applicazione sono state concesse le autorizzazioni per eseguire le azioni a livello di organizzazione, ad esempio cercare un sito di SharePoint o un account di OneDrive, per conto di un utente, un amministratore o un servizio. Questo processo di assegnazione delle autorizzazioni a un'applicazione viene definito accesso di tipo solo app di SharePoint. Questo indica che l'autenticazione presentata a SharePoint per eseguire un'azione è stata eseguita da un'applicazione, anziché da un utente. Questo è il motivo per cui in determinati record di controllo è presente l'utente app@sharepoint. Per altre informazioni, vedere Concedere l'accesso di tipo solo app di SharePoint.
Ad esempio, app@sharepoint spesso viene identificato come utente per gli eventi "La query di ricerca è stata eseguita" e "File aperto". Il motivo è che un'applicazione con accesso di tipo solo app di SharePoint nell'organizzazione esegue query di ricerca e accede ai file durante l'applicazione di criteri di conservazione a siti e account di OneDrive.
Ecco alcuni altri scenari in cui è possibile identificare app@sharepoint in un record di controllo come utente che ha eseguito un'attività:
- Gruppi di Microsoft 365. Quando un utente o un amministratore crea un nuovo gruppo, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint. Queste attività vengono eseguite da un'applicazione per conto dell'utente che ha creato il gruppo.
- Microsoft Teams. Analogamente a Gruppi di Microsoft 365, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint quando si crea un team.
- Funzionalità di conformità. Quando un amministratore implementa le funzionalità di conformità, ad esempio i criteri di conservazione, i blocchi di eDiscovery e l'applicazione automatica delle etichette di riservatezza.
In questi e altri scenari si noterà anche che sono stati creati più record di controllo usando app@sharepoint come utente specificato in un intervallo di tempo breve, spesso a pochi secondi di distanza l'uno dall'altro. Questo indica anche che probabilmente sono stati attivati dalla stessa attività avviata dall'utente. Anche i campi ApplicationDisplayName e EventData nel record di controllo possono essere utili per identificare lo scenario o l'applicazione che ha generato l'evento.
Attività su cartelle
La tabella seguente descrive le attività di cartella in SharePoint Online e OneDrive for Business. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Cartella copiata | FolderCopied | L'utente copia una cartella da un sito in un'altra posizione in SharePoint o OneDrive for Business. |
| Cartella creata | FolderCreated | L'utente crea una cartella in un sito. |
| Cartella eliminata | FolderDeleted | L'utente elimina una cartella da un sito. |
| Cartella eliminata dal Cestino | FolderDeletedFirstStageRecycleBin | L'utente elimina una cartella dal Cestino di un sito. |
| Cartella eliminata dal Cestino di secondo livello | FolderDeletedSecondStageRecycleBin | L'utente elimina una cartella dal Cestino di secondo livello di un sito. |
| Cartella modificata | FolderModified | L'utente modifica una cartella in un sito. Vengono modificati anche i metadati della cartella, ad esempio tag e proprietà. |
| Cartella spostata | FolderMoved | L'utente sposta una cartella in una posizione diversa in un sito. |
| Cartella rinominata | FolderRenamed | L'utente rinomina una cartella in un sito. |
| Cartella ripristinata | FolderRestored | L'utente ripristina una cartella eliminata dal Cestino di un sito. |
Attività barriere informative
La tabella seguente elenca le attività relative alle barriere informative registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle barriere informative, vedere Ulteriori informazioni sulle barriere informative in Microsoft 365.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Modifica dell'impostazione di AppBypassInformationBarrier per il tenant | AppBypassInformationBarrier | Un amministratore di SharePoint o globale ha modificato l'accesso alle app per i siti di SharePoint. |
| Modalità barriera delle informazioni applicata al sito | SiteIBModeSet | Un amministratore di SharePoint o globale ha applicato una modalità al sito. |
| Segmenti applicati al sito | SiteIBSegmentsSet | Un amministratore di SharePoint o globale, oppure il proprietario di un sito ha aggiunto uno o più segmenti di barriere informative a un sito. |
| Modifica della modalità barriera delle informazioni del sito | SiteIBModeChanged | Un amministratore di SharePoint o globale ha aggiornato la modalità del sito. |
| Segmenti di sito modificati | SiteIBSegmentsChanged | Un amministratore di SharePoint o globale ha modificato uno o più segmenti di barriere informative per un sito. |
| Barriere informative disabilitate per SharePoint e OneDrive | SPOIBIsDisabled | Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione. |
| Barriere informative abilitate per SharePoint e OneDrive | SPOIBIsEnabled | Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione. |
| Report informazioni dettagliate sulle barriere informative completato | InformationBarriersInsightsReportCompleted | Il sistema completa la compilazione del report informazioni dettagliate sulle barriere. |
| Report informazioni dettagliate sulle barriere informative Su cui è stata eseguita una query nella sezione OneDrive | InformationBarriersInsightsReportOneDriveSectionQueried | Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per gli account OneDrive. |
| Report informazioni dettagliate sulle barriere informative pianificato | InformationBarriersInsightsReportSchedule | Un amministratore pianifica il report informazioni dettagliate sulle barriere. |
| Report informazioni dettagliate sulle barriere informative su SharePoint su cui è stata eseguita una query | InformationBarriersInsightsReportSharePointSectionQueried | Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per i siti di SharePoint. |
| Segmento rimosso dal sito | SiteIBSegmentsRemoved | Un amministratore di SharePoint o globale ha rimosso uno o più segmenti di barriere informative da un sito. |
Microsoft Defender per endpoint attività di impostazioni generali
Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni generali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle impostazioni Microsoft Defender per endpoint, vedere Configurare le impostazioni generali di Defender per endpoint.
Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Pacchetto offboarding scaricato | DownloadOffboardingPkg | Scaricato il pacchetto usato per rimuovere i dispositivi da Defender per endpoint. |
| Pacchetto di onboarding scaricato | DownloadOnboardingPkg | Scaricato il pacchetto usato per eseguire l'onboarding dei dispositivi in Defender per endpoint. |
| Conservazione dei dati modificata | ChangeDataRetention | Modifica delle impostazioni di conservazione dei dati per Defender per endpoint. |
| Impostare le funzionalità avanzate | SetAdvancedFeatures | Sono state modificate le funzionalità avanzate in Defender per endpoint, consentendo controlli più precisi durante un evento imprevisto. Nel log di controllo di Microsoft 365 vengono registrate solo le impostazioni per le funzionalità avanzate disponibili a livello generale. |
Microsoft Defender per endpoint le attività relative alle impostazioni degli indicatori
Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni degli indicatori registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli indicatori Microsoft Defender per endpoint, vedere Gestire gli indicatori.
Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Indicatore aggiunto | AddIndicator | È stato creato un nuovo indicatore di compromissione che è possibile usare per tenere traccia di attacchi ed eventi. |
| Indicatore modificato | EditIndicator | Modifica di un indicatore di compromissione. |
| Indicatore eliminato | DeleteIndicator | È stato rimosso un indicatore di compromissione. |
attività di Microsoft Defender per endpoint azioni di risposta
Nella tabella seguente sono elencate le attività per le azioni di risposta Microsoft Defender per endpoint, inclusa la risposta live, registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle azioni di risposta Microsoft Defender per endpoint, vedere Eseguire azioni di risposta in un dispositivo.
Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Pacchetto di indagine raccolto | CollectInvestigationPackage | Informazioni raccolte su un dispositivo usato per comprendere gli strumenti e le tecniche di attacco. |
| Esecuzione dell'analisi antivirus | RunAntiVirusScan | Esecuzione Microsoft Defender'analisi antivirus in un dispositivo. |
| Esecuzione di app con restrizioni | RestrictAppExecution | Impedire l'esecuzione di un'app dannosa. |
| Rimosse le restrizioni per le app | RemoveAppRestrictions | Consentire l'esecuzione di un'app. |
| Dispositivo isolato | IsolateDevice | Isolamento di un dispositivo dalla rete, per evitare che gli attacchi si diffondano. |
| Rilasciato dall'isolamento | ReleaseFromIsolation | È stato aggiunto di nuovo un dispositivo isolato alla rete. |
| File arrestato e in quarantena | StopAndQuarantineFile | È stato messo in quarantena un file sospetto per un'ulteriore analisi. |
| File scaricato | DownloadFile | Scaricato un file sospetto per ulteriori indagini. |
| Dispositivo offboarded | DeviceOffBoarding | È stato rimosso un dispositivo da Defender per endpoint. |
| API di risposta in tempo reale in esecuzione | RunLiveResponseApi | È stata aperta una sessione di risposta dinamica tramite una chiamata API, aprendo una shell remota in un dispositivo. |
| Log raccolti | LogsCollection | Informazioni di log raccolte su Defender per endpoint. |
| Ran get Live response file link (Collegamento al file di risposta in tempo reale) | LiveResponseGetFile | È stata aperta una sessione di risposta live, aprendo una shell remota in un dispositivo. |
| Sessione di risposta in tempo reale in esecuzione | RunLiveResponseSession | È stata eseguita una sessione di risposta live, aprendo una shell remota in un dispositivo. |
Microsoft Defender per endpoint le attività delle impostazioni dei ruoli
Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni del ruolo registrate nel log di controllo di Microsoft 365. Per altre informazioni sui ruoli in Microsoft Defender per endpoint, vedere Creare e gestire ruoli per il controllo degli accessi in base al ruolo.
Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| AddRole | Aggiunta del ruolo | Aggiunta di nuovi ruoli di sicurezza e autorizzazioni. |
| EditRole | Ruolo modificato | Ruoli di sicurezza e autorizzazioni modificati. |
| DeleteRole | Ruolo eliminato | Sono stati rimossi i ruoli di sicurezza e le autorizzazioni. |
Microsoft Defender per le attività degli esperti
La tabella seguente elenca le attività in Microsoft Defender Experts registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli esperti Microsoft Defender, vedere Informazioni su Microsoft Defender Experts for XDR e Informazioni su Microsoft Defender Experts for Hunting
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Autorizzazione dell'analista di Defender Experts creata | DefenderExpertsAnalystPermissionCreated | Un amministratore ha concesso una o più autorizzazioni di ruolo agli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce. |
| Autorizzazione dell'analista di Defender Experts modificata | DefenderExpertsAnalystPermissionModified | Un amministratore ha modificato le autorizzazioni del ruolo per gli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce. |
attività Microsoft Defender per identità
Nella tabella seguente sono elencate le attività per Microsoft Defender per identità registrate nel log di controllo di Microsoft 365.
Per visualizzare Microsoft Defender per identità attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Tag di entità aggiornati | TaggingConfigurationUpdated | Un tag è stato aggiunto o rimosso da un'entità. |
| Aggiunta della configurazione delle esclusioni | ExclusionConfigurationAdded | È stata aggiunta un'esclusione globale per un avviso o per un'entità. |
| Configurazione delle esclusioni aggiornate | ExclusionConfigurationUpdated | Un'esclusione globale è stata aggiornata per un avviso o per un'entità. |
| Configurazione delle esclusioni eliminate | ExclusionConfigurationDeleted | Un'esclusione globale è stata eliminata per un avviso o per un'entità. |
| Configurazione aggiornata della soglia di avviso | WorkspaceAlertThresholdLevelUpdated | La configurazione delle soglie degli avvisi è stata aggiornata. |
| Avviso di sicurezza scaricato Excel | AlertExcelDownloaded | Il file di Excel dettagliato di un avviso è stato scaricato. |
| Aggiunta dell'azione di correzione | RemediationActionAdded | È stata aggiunta un'azione di correzione alla coda. |
| Azione di correzione aggiornata | RemediationActionUpdated | È stata completata un'azione di correzione. |
| Configurazione del sensore aggiornata | SensorConfigurationUpdated | La configurazione di un sensore è stata aggiornata. |
| Aggiunta del sensore | SensorCreated | È stato aggiunto un nuovo sensore. |
| Sensore rimosso | SensorDeleted | Un sensore è stato eliminato. |
| Chiave di distribuzione del sensore recuperata | SensorDeploymentAccessKeyReceived | La chiave di accesso dei sensori è stata recuperata. |
| Chiave di distribuzione del sensore rigenerato | SensorDeploymentAccessKeyUpdated | La chiave di accesso dei sensori è stata rigenerata. |
| Copertura controller di dominio scaricata In Excel | DomainControllerCoverageExcelDownloaded | Il file di Excel di copertura del controller di dominio è stato scaricato. |
| Aggiornamento della configurazione dell'account dei servizi directory | DirectoryServicesAccountConfigurationUpdated | Il set di account dei servizi directory è stato modificato. |
| Aggiornamento della configurazione dell'azione di correzione | RemediationActionConfigurationUpdated | Il set Gestisci account azione è stato modificato. |
| Configurazione aggiornata della correzione delle entità | EntityRemediatorConfigurationUpdated | La modalità Gestisci account azione è stata modificata. |
| Problema di integrità aggiornato | MonitoringAlertUpdated | È stato modificato un problema di integrità. |
| Report scaricato | ReportDownloaded | È stato scaricato un report. |
| Configurazione aggiornata del reporter | ReporterConfigurationUpdated | La pianificazione di un report è stata modificata. |
| Configurazione dell'inoltro syslog aggiornato | SyslogServiceConfigurationUpdated | La configurazione di inoltro syslog è stata modificata. |
| Configurazione aggiornata delle notifiche di sicurezza | NotificationConfigurationUpdated | La configurazione delle notifiche degli avvisi di sicurezza o dei problemi di integrità è stata modificata. |
| Aggiunta del destinatario della notifica di avviso | AlertNotificationsRecipientAdded | Un destinatario è stato aggiunto alla configurazione della notifica degli avvisi di sicurezza. |
| Destinatario della notifica di avviso eliminato | AlertNotificationsRecipientDeleted | Un destinatario è stato rimosso dalla configurazione della notifica degli avvisi di sicurezza. |
| Aggiunta del destinatario della notifica dei problemi di integrità | MonitoringAlertNotificationRecipientAdded | Un destinatario è stato aggiunto alla configurazione di notifica dei problemi di integrità. |
| Destinatario di notifica dei problemi di integrità eliminati | MonitoringAlertNotificationRecipientDeleted | Un destinatario è stato rimosso dalla configurazione della notifica problemi di integrità. |
| Configurazione VPN aggiornata | VpnConfigurationUpdated | La configurazione VPN (radius accounting) è stata modificata. |
| Aggiornamento della configurazione del controllo degli accessi in base al ruolo unificato | URbacAuthorizationStatusChanged | La configurazione Controllo di accesso basata su ruoli unificata è stata modificata. |
| Area di lavoro creata | WorkspaceCreated | L'area di lavoro è stata creata. |
| Area di lavoro eliminata | WorkspaceDeleted | L'area di lavoro è stata eliminata. |
Microsoft Defender XDR attività di rilevamento personalizzate
Nella tabella seguente sono elencate le attività di rilevamento personalizzate per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft Defender XDR rilevamenti personalizzati, vedere Creare e gestire regole di rilevamento personalizzate.
Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Regola di rilevamento personalizzata creata | CreateCustomDetection | È stata creata una nuova regola di rilevamento personalizzata. |
| Regola di rilevamento personalizzata modificata | EditCustomDetection | È stata modificata una regola di rilevamento personalizzata. |
| Stato della regola di rilevamento personalizzata modificata | ChangeCustomDetectionRuleStatus | Una regola di rilevamento personalizzata è stata disattivata o attivata. |
| È stata eseguita una regola di rilevamento personalizzata | RunCustomDetection | È stata eseguita manualmente una regola di rilevamento personalizzata. |
| Regola di rilevamento personalizzata eliminata | DeleteCustomDetection | È stata rimossa una regola di rilevamento personalizzata. |
Microsoft Defender XDR attività impreviste
La tabella seguente elenca le attività degli eventi imprevisti per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli eventi imprevisti in Microsoft Defender XDR, vedere Panoramica degli eventi imprevisti.
Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunta di un commento all'evento imprevisto | AddCommentToIncident. | Aggiunta di un commento all'evento imprevisto. |
| Utente assegnato all'evento imprevisto | AssignUserToIncident | Utente assegnato all'evento imprevisto. |
| Utente non assegnato all'evento imprevisto | UnAssignUserFromIncident | Utente non assegnato all'evento imprevisto. |
| Stato degli eventi imprevisti aggiornati | UpdateIncidentStatus | Stato eventi imprevisti aggiornati. |
| Modificare la classificazione degli eventi imprevisti | EditIncidentClassification | Modificare la classificazione degli eventi imprevisti. |
| Aggiunta di tag all'evento imprevisto | AddTagsToIncident | Aggiunta di tag all'evento imprevisto. |
| Tag rimossi dall'evento imprevisto | RemoveTagsFromIncident | Tag rimossi dall'evento imprevisto. |
attività delle regole di eliminazione Microsoft Defender XDR
Nella tabella seguente sono elencate le attività per le regole di eliminazione per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle regole di eliminazione in Microsoft Defender XDR, vedere Gestire le regole di eliminazione.
Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Regola di eliminazione creata | CreateSuppressionRule | Regola di eliminazione degli avvisi creata. |
| Regola di eliminazione modificata | EditSuppressionRule | Regola di eliminazione degli avvisi eliminata. |
| Regola di eliminazione abilitata | EnableSuppressionRule | Regola di eliminazione degli avvisi abilitata. |
| Regola di eliminazione disabilitata | DisableSuppressionRule | Regola di eliminazione degli avvisi disabilitata. |
| Regola di eliminazione eliminata | DeleteSuppressionRule | Regola di eliminazione degli avvisi eliminata. |
Microsoft Entra attività di amministrazione del gruppo
La tabella seguente elenca le attività di amministrazione gruppi registrate quando un amministratore o un utente crea o modifica un gruppo di Microsoft 365 oppure quando un amministratore crea un gruppo di sicurezza usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure. Per ulteriori informazioni sui gruppi in Microsoft 365, vedere Visualizzare, creare ed eliminare nell’interfaccia di amministrazione di Microsoft 365.
Nota
I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Gruppo aggiunto | Aggiunta di un gruppo. | È stato creato un gruppo. |
| Membro aggiunto a gruppo | Aggiunta di un membro al gruppo. | È stato aggiunto un membro a un gruppo. |
| Gruppo eliminato | Eliminazione di un gruppo. | È stato eliminato un gruppo. |
| Membro rimosso da gruppo | Rimozione di un membro dal gruppo. | È stato rimosso un membro da un gruppo. |
| Gruppo aggiornato | Aggiornamento di un gruppo. | È stata modificata una proprietà di un gruppo. |
Attività di Microsoft Fabric
È possibile eseguire una ricerca nel log di controllo per le attività in Power BI. Per informazioni sulle impostazioni di controllo, vedere Impostazioni del tenant di controllo e utilizzo.
La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365. Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore. Per istruzioni, vedere Attivare il controllo.
Attività di Microsoft Forms
Le tabelle in questa sezione indicano le attività dell'utente e dell'amministratore in Microsoft Forms registrate nel registro di controllo. Microsoft Forms è uno strumento per la creazione di moduli, test e sondaggi usato per raccogliere dati a scopo di analisi. Dove indicato di seguito nelle descrizioni, alcune operazioni contengono parametri di attività aggiuntivi.
Se un'attività Forms viene eseguita da un coautore o da un risponditore anonimo, viene registrata in modo leggermente diverso. Per altre informazioni, vedere la sezione Attività di Forms eseguite da coautori e partecipanti anonimi.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Commento creato | CreateComment | Il proprietario del modulo aggiunge un commento o il punteggio a un test. |
| Modulo creato | CreateForm | Il proprietario del modulo crea un nuovo modulo. Proprietà DataMode: la stringa indica che il modulo corrente è impostato per la sincronizzazione con una cartella di lavoro Excel nuova o esistente se il valore della proprietà è uguale a DataSync. Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente. |
| Modulo modificato | EditForm | Il proprietario del modulo modifica un modulo, ad esempio creando, eliminando o modificando una domanda. La proprietà EditOperation:string indica il nome dell'operazione di modifica. Le operazioni possibili sono: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage include qualsiasi posizione all'interno di Forms in cui l'utente può caricare un'immagine, ad esempio in una query o come tema di sfondo. |
| Modulo spostato | MoveForm | Il proprietario del modulo sposta un modulo. La proprietà DestinationUserId:stringa indica l'ID utente della persona che ha spostato il modulo. La proprietà NewFormId:stringa è il nuovo ID per il modulo appena copiato. Proprietà IsDelegateAccess: booleano che indica che l'azione di spostamento del modulo corrente viene eseguita tramite la pagina del delegato amministratore. |
| Modulo eliminato | DeleteForm | Il proprietario del modulo elimina un modulo. Include SoftDelete (uso dell'opzione Elimina e spostamento del modulo nel Cestino) e HardDelete (svuotamento del Cestino). |
| Modulo visualizzato (fase di progettazione) | ViewForm | Il proprietario del modulo apre un modulo esistente per la modifica. Property AccessDenied: booleano che indica che l'accesso al modulo corrente è negato a causa del controllo delle autorizzazioni. Proprietà FromSummaryLink: booleano che indica che la richiesta corrente proviene dalla pagina del collegamento di riepilogo. |
| Modulo visualizzato in anteprima | PreviewForm | Il proprietario del modulo visualizza un modulo in anteprima usando la funzione Anteprima. |
| Modulo esportato | ExportForm | Il proprietario del modulo esporta i risultati in Excel. La proprietà ExportFormat:stringa indica se il file di Excel è scaricato oppure online. |
| Condivisione del modulo per la copia consentita | AllowShareFormForCopy | Il proprietario del modulo crea un collegamento a un modello per condividere il modulo con altri utenti. Questo evento viene registrato quando il proprietario del modulo seleziona per generare l'URL del modello. |
| Condivisione del modulo per la copia non consentita | DisallowShareFormForCopy | Il proprietario del modulo elimina il collegamento al modello. |
| Coautore del modulo aggiunto | AddFormCoauthor | Un utente usa un collegamento per la collaborazione per aiutare nella progettazione o nella visualizzazione delle risposte. Questo evento viene registrato quando un utente usa un URL di collaborazione (non quando viene generato l'URL di collaborazione). |
| Coautore del modulo rimosso | RemoveFormCoauthor | Il proprietario del modulo elimina un collegamento per la collaborazione. |
| Pagina di risposta visualizzata | ViewRuntimeForm | L'utente ha aperto una pagina di risposta per la visualizzazione. Questo evento viene registrato indipendentemente dal fatto che l'utente invii o meno una risposta. |
| Risposta creata | CreateResponse | Simile alla ricezione di una nuova risposta. Un utente ha inviato una risposta a un modulo. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un risponditore anonimo, la proprietà ResponderId è Null. |
| Risposta aggiornata | UpdateResponse | Il proprietario del modulo ha aggiornato un commento o il punteggio di un test. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un risponditore anonimo, la proprietà ResponderId è Null. |
| Tutte le risposte eliminate | DeleteAllResponses | Il proprietario del modulo elimina tutti i dati delle risposte. |
| Risposta eliminata | DeleteResponse | Il proprietario del modulo elimina una risposta. La proprietà ResponseId:stringa indica la risposta eliminata. |
| Risposte visualizzate | ViewResponses | Il proprietario del modulo visualizza l'elenco aggregato di risposte. La proprietà ViewType:stringa indica se il proprietario del modulo visualizza i dati in dettaglio o in forma aggregata |
| Risposta visualizzata | ViewResponse | Il proprietario del modulo visualizza una risposta specifica. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un risponditore anonimo, la proprietà ResponderId è Null. |
| Collegamento di riepilogo creato | GetSummaryLink | Il proprietario del modulo crea un collegamento ai risultati di riepilogo per condividere i risultati. |
| Collegamento di riepilogo eliminato | DeleteSummaryLink | Il proprietario del modulo elimina il collegamento ai risultati di riepilogo. |
| Stato di phishing modulo aggiornato | UpdatePhishingStatus | Questo evento viene registrato ogni volta che viene modificato il valore dettagliato dello stato di sicurezza interno, indipendentemente dal fatto che sia stato modificato lo stato di sicurezza finale, ad esempio il modulo ora è chiuso o aperto. Ciò significa che potrebbero comparire eventi duplicati senza il cambiamento dello stato di sicurezza finale. I possibili valori di stato per l'evento sono: - Rimuovi - Rimuovi da amministratore - Amministratore sbloccato - Bloccato automaticamente - Sbloccato automaticamente - Cliente segnalato - Reimpostare cliente segnalato |
| Stato di phishing utente aggiornato | UpdateUserPhishingStatus | Questo evento viene registrato ogni volta che viene modificato il valore per lo stato di sicurezza degli utenti. Il valore dello stato dell'utente nel record di controllo è Confermato come phisher quando l'utente ha creato un modulo di phishing che è stato rimosso dal team di sicurezza online di Microsoft. Se un amministratore sblocca l'utente, il valore dello stato dell'utente è impostato su Reimposta come utente normale. |
| Invito a Forms Pro inviato | ProInvitation | L'utente seleziona per attivare una versione di valutazione Pro. |
| Impostazione modulo aggiornata | UpdateFormSetting | Il proprietario del modulo aggiorna una o più impostazioni del modulo. Proprietà FormSettingName: la stringa che indica il nome delle impostazioni sensibili aggiornate. Proprietà NewFormSettings: la stringa che indica il nome delle impostazioni aggiornate e il nuovo valore. Proprietà thanksYouMessageContainsLink:booleano che indica che il messaggio di ringraziamento aggiornato contiene un collegamento URL. |
| Impostazione utente aggiornata | UpdateUserSetting | Il proprietario del modulo aggiorna un'impostazione utente. La proprietà UserSettingName:stringa indica il nome e il nuovo valore dell'impostazione |
| Moduli elencati | ListForms | Il proprietario del modulo sta visualizzando un elenco di moduli. La proprietà ViewType:stringa indica la visualizzazione esaminata dal proprietario del modulo: tutti i moduli, condivisi con l'utente o moduli dei gruppi |
| Risposta inviata | SubmitResponse | Un utente invia una risposta a un modulo. La proprietà IsInternalForm:booleano indica se il partecipante si trova nella stessa organizzazione del proprietario del modulo. |
| Impostazione Chiunque può rispondere abilitata | AllowAnonymousResponse | Il proprietario del modulo attiva l'impostazione che consente a chiunque di rispondere al modulo. |
| Impostazione Chiunque può rispondere disabilitata | DisallowAnonymousResponse | Il proprietario del modulo disattiva l'impostazione che consente a chiunque di rispondere al modulo. |
| Impostazione Persone specifiche possono rispondere abilitata | EnableSpecificResponse | Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo. |
| Impostazione Persone specifiche possono rispondere disabilitata | DisableSpecificResponse | Il proprietario del modulo diattiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo. |
| Risponditore specifico aggiunto | AddSpecificResponder | Il proprietario del modulo aggiunge un nuovo utente o gruppo all'elenco dei risponditori specifici. |
| Risponditore specifico rimosso | RemoveSpecificResponder | Il proprietario del modulo rimuove un utente o un gruppo dall'elenco dei risponditori specifici. |
| Collaborazione disabilitata | DisableCollaboration | Il proprietario del modulo disattiva l'impostazione di collaborazione nel modulo. |
| Collaborazione nell'account aziendale o dell'istituto di istruzione di Office 365 abilitata | EnableWorkOrSchoolCollaboration | Il proprietario del modulo attiva l'impostazione che consente agli utenti con un account aziendale o dell'istituto di istruzione di Microsoft 365 di visualizzare e modificare il modulo. |
| Collaborazione delle persone dell'organizzazione abilitata | EnableSameOrgCollaboration | Il proprietario del modulo attiva l'impostazione che consente agli utenti dell'organizzazione corrente di visualizzare e modificare il modulo. |
| Collaborazione di persone specifiche abilitata | EnableSpecificCollaboaration | Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di visualizzare e modificare il modulo. |
| Connesso a cartella di lavoro di Excel | ConnectToExcelWorkbook | Il modulo è stato connesso a una cartella di lavoro di Excel. Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente. |
| È stata creata una raccolta | CollectionCreated | Il proprietario del modulo ha creato una raccolta. |
| È stata aggiornata una raccolta | CollectionUpdated | Il proprietario del modulo ha aggiornato una proprietà della raccolta. |
| La raccolta è stata eliminata dal Cestino | CollectionHardDeleted | Il proprietario del modulo ha eliminato definitivamente una raccolta dal Cestino. |
| La raccolta è stata spostata nel Cestino | CollectionSoftDeleted | Il proprietario del modulo ha spostato una raccolta nel Cestino. |
| È stata rinominata una raccolta | CollectionRenamed | Il proprietario del modulo ha modificato il nome di una raccolta. |
| È stato spostato un modulo nella raccolta | MovedFormIntoCollection | Il proprietario del modulo ha spostato un modulo in una raccolta. |
| È stato spostato un modulo all'esterno della raccolta | MovedFormOutofCollection | Il proprietario del modulo ha spostato un modulo fuori da una raccolta. |
Attività di Forms eseguite da coautori e partecipanti anonimi
Forms supporta la collaborazione quando i moduli vengono progettati e durante l'analisi delle risposte. Un collaboratore di moduli è noto come coautore. I coautori possono eseguire tutte le operazioni eseguibili da un proprietario del modulo, tranne l'eliminazione o lo spostamento di un modulo. Forms consente anche di creare un modulo a cui è possibile rispondere in modo anonimo. Questo significa che non è necessario che il partecipante sia connesso all'organizzazione per rispondere a un modulo.
La tabella seguente descrive le attività di controllo e le informazioni del record di controllo relative alle attività eseguite dai coautori e dai partecipanti anonimi.
| Tipo di attività | Utente interno o esterno | ID utente registrato | Organizzazione a cui si è connessi | Tipo di utente Forms |
|---|---|---|---|---|
| Attività di creazione condivisa | Interno | UPN | Organizzazione del proprietario del modulo | Coautore |
| Attività di creazione condivisa | Esterno | UPN |
Organizzazione del coautore |
Coautore |
| Attività di creazione condivisa | Esterno | urn:forms:coauthor#a0b1c2d3@forms.office.comLa seconda parte dell'ID è un hash, che varia in base ai diversi utenti |
Organizzazione del proprietario del modulo |
Coautore |
| Attività di risposta | Esterno | UPN |
Organizzazione del partecipante |
Partecipante |
| Attività di risposta | Esterno | urn:forms:external#a0b1c2d3@forms.office.comLa seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti |
Organizzazione del proprietario del modulo | Partecipante |
| Attività di risposta | Anonimo | urn:forms:anonymous#a0b1c2d3@forms.office.comLa seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti |
Organizzazione del proprietario del modulo | Partecipante |
Microsoft Graph Data Connect
Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Graph Data Connect registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Approvato o negato un'app | ConsentModificationRequest | Un utente ha eseguito una richiesta di modifica del consenso. |
| Estrazione eseguita | DataAccessRequestOperation | Un utente ha eseguito un'estrazione. I set di dati dei partner e le esecuzioni ISV sono esclusi. |
attività Microsoft Planner
Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Planner registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.
Nota
L'attività del portfolio in Planner viene registrata con l'attività di roadmap Web di Microsoft Project. Per informazioni dettagliate, vedere la sezione Attività di Microsoft Project per il Web.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Leggere un piano | PlanRead | Un piano viene letto da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid e ContainerId indica Null. |
| Creazione di un piano | PlanCreated | Un piano viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid e ContainerId indica Null. |
| Modifica di un piano | PlanModified | Un piano viene modificato da un utente o da un'app. |
| Eliminazione di un piano | PlanDeleted | Un piano viene eliminato da un utente o da un'app. |
| Copiato un piano | PlanCopied | Un piano viene copiato da un utente o da un'app. Se l'operazione di copia è ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid e newContainerId indica Null. |
| Leggere un'attività | TaskRead | Un'attività viene letta da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null. |
| Creazione di un'attività | TaskCreated | Un'attività viene creata da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null e PlanId indica Null. |
| Modifica di un'attività | TaskModified | Un'attività viene modificata da un utente o da un'app. |
| Eliminazione di un'attività | TaskDeleted | Un'attività viene eliminata da un utente o da un'app. |
| Assegnazione di un'attività | TaskAssigned | L'assegnatario di un'attività viene modificato da un utente o da un'app. Può trattarsi di un'attività non assegnata che viene assegnata o di un'attività assegnata con un nuovo assegnatario. |
| Completato un'attività | TaskCompleted | Un'attività viene contrassegnata come completata da un utente o da un'app. |
| Creazione di un elenco | RosterCreated | Un elenco di utenti viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una stringa vuota. |
| Eliminazione di un elenco | RosterDeleted | Un roster viene eliminato da un utente o da un'app. |
| Aggiunta di uno o più membri a un elenco | RosterMemberAdded | Uno o più membri viene aggiunto a un roster. Se l'operazione di aggiunta è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati. |
| Rimozione di uno o più membri in un elenco | RosterMemberDeleted | Uno o più membri vengono rimossi da un roster. Se l'operazione di rimozione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati. |
| Leggere un elenco di piani | PlanListRead | Un elenco di piani viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una stringa vuota. |
| Leggere un elenco di attività | TaskListRead | Un elenco di attività viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una stringa vuota. |
| Impostazioni del tenant aggiornate | TenantSettingsUpdated | Le impostazioni del tenant vengono aggiornate da un amministratore tenant. Se l'operazione di aggiornamento è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica le impostazioni originali e TenantSettings indica il tentativo di impostazione del tenant. |
| Aggiornamento dell'etichetta di riservatezza di un elenco | RosterSensitivityLabelUpdated | Un utente o un'app aggiorna l'etichetta di riservatezza di un elenco. |
Attività di Microsoft Power Apps
È possibile eseguire una ricerca nel log di controllo per le attività in Power Apps. Queste attività includono la creazione, l'avvio e la pubblicazione di un'app. Anche l'assegnazione di autorizzazioni alle app è controllata. Per una descrizione di tutte le attività di Power Apps, vedere Registrazione delle attività per Power Apps.
Nota
Gli eventi di controllo dei criteri di avviso (avviso di protezione) (RecordType:45) non sono attualmente supportati per PowerApps.
Attività di Microsoft Power Automate
È possibile eseguire una ricerca nel log di controllo per le attività in Power Automate (prima denominato Microsoft Flow). Queste attività includono la creazione, la modifica e l'eliminazione di flussi e la modifica delle autorizzazioni di flusso. Per informazioni sul controllo per le attività di Power Automate, vedere il blog Eventi di controllo di Power Automate ora disponibili nel portale di conformità.
Attività di Microsoft Project per il Web
È possibile cercare nel log di controllo le attività in Microsoft Project per il Web. Microsoft Project per il Web è basato su Microsoft Dataverse e ha un progetto Power App associato. Per abilitare il controllo per gli scenari in cui l'utente usa Microsoft Dataverse o Project Power App, vedere le linee guida della scheda Controllo delle impostazioni di sistema . Per un elenco delle entità correlate a Project per il Web, vedere le linee guida Esporta dati utente da Project per il Web.
Per informazioni su Microsoft Project per il Web, vedere Microsoft Project per il Web.
Nota
Per il controllo degli eventi per le attività di Microsoft Project per il Web è necessaria una licenza Project - Piano 1 a pagamento (o superiore).
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Progetto creato | ProjectCreated | Un progetto viene creato da un utente o un'app. |
| Roadmap creata | RoadmapCreata | Un roadmap o un portfolio viene creato da un utente o un'app. |
| Elemento della roadmap creato | RoadmapItemCreated | Un elemento di roadmap o portfolio viene creato da un utente o un'app. |
| Attività creata | TaskCreated | Un'attività viene creata da un utente o un'app. |
| Progetto eliminato | ProjectDeleted | Un progetto viene eliminato da un utente o un'app. |
| Roadmap eliminata | RoadmapDeleted | Una roadmap o un portfolio viene eliminato da un utente o un'app. |
| Elemento della roadmap eliminato | RoadmapItemDeleted | Un elemento di roadmap o portfolio viene eliminato da un utente o un'app. |
| Attività eliminata | TaskDeleted | Un'attività viene eliminata da un utente o da un'app. |
| Accesso al progetto | ProjectAccessed | Un progetto viene letto o app. |
| Pagina iniziale del progetto a cui si accede | ProjectListAccessed | Un elenco di progetti e/o roadmap viene sottoposto a query da un utente. |
| Roadmap accessibile | RoadmapAccessed | Una roadmap o un portfolio viene letto da un utente o da un'app. |
| Elemento della roadmap a cui si accede | RoadmapItemAccessed | Un elemento di roadmap o portfolio viene letto da un utente o un'app. |
| Attività a cui si accede | TaskAccessed | Un'attività viene letta da un utente o un'app. |
| Impostazioni del progetto aggiornate | ProjectForTheWebProjectSettings | Le impostazioni del progetto vengono aggiornate da un amministratore. |
| Roadmap aggiornata | RoadmapUpdated | Una roadmap o un portfolio viene modificato da un utente o un'app. |
| Elemento della roadmap aggiornato | RoadmapItemUpdated | Un elemento di roadmap o portfolio viene modificato da un utente o un'app. |
| Impostazioni della roadmap aggiornate | ProjectForTheWebRoadmaptSettings | Le impostazioni della roadmap o del portfolio vengono aggiornate da un amministratore. |
| Attività aggiornata | TaskUpdated | Un'attività viene modificata da un utente o un'app. |
| Progetto aggiornato | ProjectUpdated | Un progetto viene modificato da un utente o un'app. |
Microsoft Purview Audit attività della soluzione
Nella tabella seguente sono elencate le attività associate alle soluzioni di controllo nel portale di Microsoft Purview, nella Portale di conformità di Microsoft Purview e nella API Graph Ricerca di controllo. Queste attività vengono controllate nel carico di lavoro SecurityComplianceCenter . Per altre informazioni, vedere Cercare nel log di controllo.
Le attività di ricerca ed esportazione di controllo eseguite con Search-UnifiedAuditLog non vengono controllate.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Ricerca di controllo creata | AuditSearchCreated | Viene inviata una nuova richiesta di ricerca di controllo. |
| Ricerca di controllo completata | AuditSearchCompleted | Un processo di ricerca di controllo è stato completato. |
| Ricerca di controllo annullata | AuditSearchCancelled | Un processo di ricerca di controllo viene annullato. |
| Ricerca di controllo eliminata | AuditSearchDeleted | Un processo di ricerca di controllo viene eliminato. |
| Controllare il processo di esportazione della ricerca creato | AuditSearchExportJobCreated | Viene creato un processo di esportazione per esportare i risultati della ricerca di una query di ricerca di controllo. |
| Controllo del processo di esportazione della ricerca completato | AuditSearchExportJobCompleted | Il processo di esportazione per esportare i risultati della ricerca di una query di ricerca di controllo viene completato. |
| Controllare i risultati dell'esportazione della ricerca scaricati | AuditSearchExportResultsDownloaded | I risultati della ricerca da una query di ricerca di controllo sono stati scaricati. |
Attività di governance di Microsoft Purview
Nella tabella seguente sono elencate le attività di governance di Microsoft Purview registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Soluzioni di governance di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Asset o entità creata | EntityCreated | Un nuovo asset o entità viene creato o aggiunto a un asset esistente. |
| Classificazione aggiunta | ClassificationAdded | Aggiungere classificazioni all'entità asset. |
| Definizione di classificazione creata | ClassificationDefinitionCreated | Creare un tipo di classificazione. |
| Definizione di classificazione eliminata | ClassificationDefinitionDeleted | Eliminare un tipo di classificazione. |
| Definizione di classificazione aggiornata | ClassificationDefinitionUpdated | Aggiornare un tipo di classificazione. |
| Classificazione eliminata | ClassificationDeleted | Eliminare le classificazioni dall'entità asset. |
| Classificazione aggiornata | ClassificationUpdated | Aggiornare le classificazioni per l'entità asset. |
| Entità eliminata | EntityDeleted | Un asset o un'entità viene eliminato da un asset esistente. |
| Entità aggiornata | EntityUpdated | Include: aggiornamento degli attributi, aggiornamento degli attributi aziendali, informazioni sulla raccolta (include solo l'ID raccolta), aggiornamento dei contatti, customAttributes, gerarchia, homeId, etichette, sourceDetails |
| Termine glossario assegnato | GlossaryTermAssigned | Assegnare termini all'entità asset. |
| Termine glossario creato | GlossaryTermCreated | Creare un termine. |
| Termine glossario eliminato | GlossaryTermDeleted | Eliminare un termine. |
| Termine del glossario disassociato | GlossaryTermDisassociated | Disassociare i termini dall'entità asset. |
| Termine del glossario aggiornato | GlossaryTermUpdated | Aggiornare un termine. |
| Etichetta di riservatezza modificata | SensitivityLabelChanged | L'etichetta di riservatezza viene aggiunta/aggiornata/eliminata. |
Attività di Microsoft Stream
È possibile eseguire una ricerca nel log di controllo per le attività in Microsoft Stream. Queste attività includono le attività video eseguite dagli utenti, le attività dei canali del gruppo e le attività amministrative, ad esempio la gestione degli utenti, la gestione delle impostazioni dell'organizzazione e l'esportazione dei report. Per una descrizione di queste attività, vedere la sezione "Azioni registrate in Stream" in Log di controllo di Microsoft Stream.
Attività di Microsoft Teams
Nella tabella seguente sono elencate le attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. È possibile eseguire una ricerca nel log di controllo per le attività di utenti e amministratori in Microsoft Teams. Teams è un'area di lavoro basata su chat di Microsoft 365. Raggruppa conversazioni, riunioni, file e note in un'unica posizione. Per indicazioni più dettagliate sulla ricerca, vedere Cercare gli eventi in Microsoft Teams nel log di controllo.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunta di un bot al team | BotAddedToTeam | Un utente aggiunge un bot al team. |
| Aggiunta di un canale | ChannelAdded | Un utente aggiunge un canale al team. |
| Aggiunta di un connettore | ConnectorAdded | Un utente aggiunge un connettore a un canale. |
| Aggiunta di dettagli sulla riunione di Teams 9 | MeetingDetail | Teams ha aggiunto informazioni su una riunione, tra cui l'ora di inizio, l'ora di fine e l'URL per partecipare alla riunione. |
| Aggiunta di informazioni sui partecipanti alla riunione 9 | MeetingParticipantDetail | Teams ha aggiunto informazioni sui partecipanti a una riunione, tra cui l'ID utente di ogni partecipante, l'ora in cui un partecipante ha partecipato alla riunione e l'ora in cui un partecipante ha lasciato la riunione. |
| Aggiunti membri 6, 8 | MemberAdded | Il proprietario di un team aggiunge membri a un team, a un canale oppure a una chat di gruppo. |
| Aggiunta di una scheda | TabAdded | Un utente aggiunge una scheda a un canale. |
| Etichetta di riservatezza applicata | SensitivityLabelApplied | Un utente o un organizzatore della riunione ha applicato un'etichetta di riservatezza a una riunione di Teams. |
| Impostazione del canale cambiata | ChannelSettingChanged | L'operazione ChannelSettingChanged viene registrata quando vengono eseguite le attività seguenti dal membro di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Impostazione dell'organizzazione cambiata | TeamsTenantSettingChanged | L'operazione TeamsTenantSettingChanged viene registrata quando le attività seguenti vengono eseguite da un amministratore globale nel interfaccia di amministrazione di Microsoft 365. Queste attività influiscono sulle impostazioni di Teams a livello di organizzazione. Per altre informazioni, vedere Gestire le impostazioni di Teams per l'organizzazione. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Ruolo modificato dei membri del team | MemberRoleChanged | Un proprietario del team cambia il ruolo dei membri di un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente. 1 - Indica il ruolo Membro. 2 - Indica il ruolo Proprietario. 3 - Indica il ruolo Guest. La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro. |
| Impostazione del team cambiata | TeamSettingChanged | L'operazione TeamSettingChanged viene registrata quando vengono eseguite le attività seguenti dal proprietario di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Etichetta di riservatezza modificata | SensitivityLabelChanged | Un utente ha modificato un'etichetta di riservatezza in una riunione di Teams. |
| Creazione di una chat 1 | ChatCreato | È stata creata una chat di Teams. |
| Team creato | TeamCreated | Un utente crea un team. |
| Eliminato un messaggio 2 | MessageDeleted | È stato eliminato un messaggio in una chat o in un canale. |
| Eliminato tutte le app dell'organizzazione | DeletedAllOrganizationApps | Sono state eliminate tutte le app dell'organizzazione dal catalogo. |
| App eliminata | AppDeletedFromCatalog | Un'app è stata eliminata dal catalogo. |
| Canale eliminato | ChannelDeleted | Un utente elimina un canale da un team. |
| Team eliminato | TeamDeleted | Un proprietario del team elimina un team. |
| Modifica di un messaggio con un collegamento URL in Teams | MessageEditedHasLink | Un utente modifica un messaggio e vi aggiunge un collegamento URL in Teams. |
| Messaggi esportati 1,2 | MessaggiEsportati | Sono stati esportati messaggi di chat o di canale. |
| Registrazioni esportate 1 | RecordingExported | Le registrazioni chat sono state esportate. |
| Trascrizioni esportate 1 | TrascrizioniEsportate | Le trascrizioni della chat sono state esportate. |
| Non è stato possibile convalidare l'invito al canale condiviso 3 | Invalidazione non riuscita | Un utente risponde a un invito a un canale condiviso, ma la convalida dell'invito non è riuscita. |
| Chat recuperata 1 | ChatRetrieved | È stata recuperata una chat di Microsoft Teams. |
| Recupero di tutto il contenuto ospitato di un messaggio1 | MessageHostedContentsListed | Tutto il contenuto ospitato in un messaggio, ad esempio immagini o frammenti di codice, è stato recuperato. |
| App installata | AppInstalled | È stata installata un'app. |
| Azione eseguita sulla scheda | PerformedCardAction | Un utente ha intrapreso un'azione su una scheda adattiva all'interno di una chat. Le schede adattive vengono in genere usate dai bot per consentire la visualizzazione avanzata di informazioni e interazioni nelle chat. Nota: Solo le azioni di input inline in una scheda adattiva all'interno di una chat saranno disponibili nel log di controllo. Ad esempio, quando un utente invia una risposta di polling in una conversazione del canale su una scheda adattiva generata da un bot di polling. Le azioni utente, ad esempio "Visualizza risultato", che aprirà una finestra di dialogo o le azioni utente all'interno dei dialoghi non saranno disponibili nel log di controllo. |
| Pubblicato un nuovo messaggio 1, 6, 8 | MessageSent | È stato pubblicato un nuovo messaggio in una chat o in un canale. |
| App pubblicata | AppPublishedToCatalog | Un'app è stata aggiunta al catalogo. |
| Leggere un messaggio 1 | MessageRead | È stato recuperato un messaggio di una chat o di un canale. |
| Leggere il contenuto ospitato di un messaggio 1 | MessageHostedContentRead | Il contenuto ospitato in un messaggio, ad esempio un'immagine o un frammento di codice, è stato recuperato. |
| Rimozione del bot dal team | BotRemovedFromTeam | Un utente rimuove un bot dal team. |
| Rimozione di un connettore | ConnectorRemoved | Un utente rimuove un connettore da un canale. |
| Membri rimossi 8 | MemberRemoved | Il proprietario di un team rimuove i membri da un team, da un canale o da una chat di gruppo. |
| Rimozione dell'etichetta di riservatezza | SensitivityLabelRemoved | Un utente ha rimosso un'etichetta di riservatezza da una riunione di Teams. |
| Rimozione della condivisione del canale del team 3 | TerminatedSharing | Condivisione disabilitata per un canale condiviso da parte di un team o di un proprietario del canale. |
| Condivisione ripristinata del canale del team 3 | SharingRestored | Condivisione riabilitare la condivisione di un team o di un proprietario del canale per un canale condiviso. |
| Rimozione di una scheda | TabRemoved | Un utente rimuove una scheda da un canale. |
| Risposta all'invito per il canale condiviso 3 | InviteeResponded | Un utente ha risposto a un invito al canale condiviso. |
| Risposta all'invito al canale condiviso 3 | ChannelOwnerResponded | Un proprietario del canale ha risposto a una risposta di un utente che ha risposto a un invito al canale condiviso. |
| Messaggi recuperati 1 | MessagesListed | I messaggi da una chat o da un canale sono stati recuperati. |
| Inviato un messaggio con un collegamento URL in Teams | MessageCreatedHasLink | Un utente invia un messaggio contenente un collegamento URL in Teams. |
| Notifica di modifica inviata per la creazione del messaggio 1 | MessageCreatedNotification | È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un nuovo messaggio. |
| Notifica di modifica inviata per l'eliminazione del messaggio 1 | MessageDeletedNotification | È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio eliminato. |
| Notifica di modifica inviata per l'aggiornamento del messaggio 1 | MessageUpdatedNotification | È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio aggiornato. |
| Invito inviato per il canale condiviso 3 | InviteSent | Un proprietario o un membro del canale invia un invito a un canale condiviso. Gli inviti ai canali condivisi possono essere inviati a utenti esterni all'organizzazione se i criteri del canale sono configurati per condividere il canale con utenti esterni. |
| Sottoscritto alle notifiche di modifica dei messaggi 1 | SubscribedToMessages | È stata creata una sottoscrizione da un'applicazione listener per ricevere notifiche di modifica per i messaggi. |
| App disinstallata | AppUninstalled | Un'app è stata disinstallata. |
| App aggiornata | AppUpdatedInCatalog | Un'app è stata aggiornata nel catalogo. |
| Aggiornamento di una chat 1 | ChatUpdated | È stata aggiornata una chat di Teams. |
| Aggiornamento di un messaggio 1 | MessageUpdated | È stato aggiornato un messaggio di una chat o di un canale. |
| Connettore aggiornato | ConnectorUpdated | Un utente ha modificato un connettore in un canale. |
| Scheda aggiornata | TabUpdated | Un utente ha modificato una scheda in un canale. |
| App aggiornata | AppUpgraded | Un'app è stata aggiornata alla versione più recente nel catalogo. |
| Utente connesso a Teams | TeamsSessionStarted | Un utente accede a un client di Microsoft Teams. Questo evento non acquisisce le attività di aggiornamento del token. |
| Nuovo messaggio pubblicato 3,4,6, 8 | MessageSent | È stato pubblicato un nuovo messaggio in una chat o in un canale. |
Nota
1 Un record di controllo per questo evento viene registrato solo quando l'operazione viene eseguita chiamando un API Graph Microsoft. Se l'operazione viene eseguita nel client di Teams, non verrà registrato un record di controllo
2 Questo evento è disponibile solo in Audit (Premium). Ciò significa che agli utenti deve essere assegnata la licenza appropriata prima che questi eventi vengano registrati nel log di controllo. Per altre informazioni sulle attività disponibili solo in Audit (Premium), vedere Audit (Premium) in Microsoft Purview. Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.
3 Questo evento è in anteprima pubblica.
4Questo evento viene generato per la chat solo se sono presenti utenti guest, federati e/o anonimi.
5 Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
6 Questo evento è incluso in tutti i tenant partecipanti per le chat federate.
7 Questo evento include informazioni sul dominio partecipanti per le chat federate 1:1.
8 Questo evento è incluso in tutte le conversazioni di chat tra utenti esterni di Teams gestiti da un'organizzazione e utenti esterni di Teams non gestiti da un'organizzazione.
9 Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC) e Department of Defense (DoD).
Attività di Microsoft Teams per il settore sanitario
Se l'organizzazione usa l'applicazione Pazienti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'utilizzo dell'app. Se l'ambiente è configurato per supportare l'app Pazienti, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.
Per una descrizione delle attività dell'app Pazienti, vedere Log di controllo per l'app Pazienti.
Attività di Turni di Microsoft Teams
La tabella seguente elenca l'app Shift nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Turni in Microsoft Teams, è possibile cercare le attività correlate all'utilizzo dell'app nel log di controllo. Se l'ambiente è configurato per supportare le app Turni, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunta del gruppo di pianificazione | ScheduleGroupAdded | Un utente aggiunge correttamente un nuovo gruppo di pianificazione alla pianificazione. |
| Gruppo di pianificazione modificato | ScheduleGroupEdited | Un utente modifica correttamente un gruppo di pianificazione. |
| Gruppo di pianificazione eliminato | ScheduleGroupDeleted | Un utente elimina correttamente un gruppo di pianificazione dalla pianificazione. |
| Programma ritirato | ScheduleWithdrawn | Un utente ritira correttamente una pianificazione pubblicata. |
| Spostamento aggiunto | MaiuscAggiungi | Un utente aggiunge correttamente un turno. |
| Spostamento modificato | ShiftEdited | Un utente modifica correttamente un turno. |
| Spostamento eliminato | ShiftDeleted | Un utente elimina correttamente un turno. |
| Aggiunta del time off | TimeOffAdded | Un utente aggiunge correttamente il time off alla pianificazione. |
| Time off modificato | TimeOffEdited | Un utente modifica correttamente il time off. |
| Time off eliminato | TimeOffDeleted | Un utente elimina correttamente il time off. |
| Aggiunta del turno aperto | OpenShiftAdded | Un utente aggiunge correttamente un turno aperto a un gruppo di pianificazione. |
| Spostamento aperto modificato | OpenShiftEdited | Un utente modifica correttamente un turno aperto in un gruppo di pianificazione. |
| Spostamento aperto eliminato | OpenShiftDeleted | Un utente elimina correttamente un turno aperto da un gruppo di pianificazione. |
| Pianificazione condivisa | ScheduleShared | Un utente ha condiviso correttamente una pianificazione del team per un intervallo di date. |
| Clocking in using Time clock | ClockedIn | Un utente esegue correttamente l'orologio usando l'orologio. |
| Clocked out using Time clock | ClockedOut | Un utente esegue correttamente l'timeout usando l'orologio. |
| Interruzione avviata con l'orologio | BreakStarted | Un utente avvia correttamente un'interruzione durante una sessione di clock dell'ora attiva. |
| Interruzione terminata con l'orologio temporale | BreakEnded | Un utente termina correttamente un'interruzione durante una sessione di clock dell'ora attiva. |
| Aggiunta della voce Orologio | TimeClockEntryAdded | Un utente aggiunge correttamente una nuova voce dell'orologio orario manuale nel foglio presenze. |
| Voce Orologio modificato | TimeClockEntryEdited | A user successfully edits a Time clock entry on Time Sheet. |
| Voce ora eliminata | TimeClockEntryDeleted | Un utente elimina correttamente una voce orologio nel foglio presenze. |
| Aggiunta della richiesta di spostamento | RequestAdded | Un utente ha aggiunto una richiesta di spostamento. |
| Risposta alla richiesta di spostamento | RequestRespondedTo | Un utente ha risposto a una richiesta di spostamento. |
| Richiesta di spostamento annullata | RequestCancelled | Un utente ha annullato una richiesta di spostamento. |
| Impostazione della pianificazione modificata | ScheduleSettingChanged | Un utente modifica un'impostazione in Turni impostazioni. |
| Aggiunta dell'integrazione della forza lavoro | WorkforceIntegrationAdded | L'app Turni è integrata con un sistema di terze parti. |
| Messaggio disattivato accettato | OffShiftDialogAccepted | Un utente riconosce il messaggio fuori turno per accedere a Teams dopo l'orario di turno. |
Attività di Aggiornamenti di Microsoft Teams
La tabella seguente elenca Aggiornamenti'app nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Aggiornamenti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'uso dell'app Aggiornamenti. Se l'ambiente è configurato per supportare Aggiornamenti app, nell'elenco Selezione attività è disponibile un gruppo di attività aggiuntivo per queste attività.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Creare una richiesta di aggiornamento | CreateUpdateRequest | Un utente crea correttamente una richiesta di aggiornamento. |
| Modificare una richiesta di aggiornamento | EditUpdateRequest | Un utente apre la procedura guidata di modifica della richiesta e seleziona Salva per confermare e salvare eventuali modifiche oppure abilita o disabilita direttamente la richiesta di aggiornamento. |
| Inviare un aggiornamento | SubmitUpdate | Un utente invia correttamente un aggiornamento. |
| Visualizzare i dettagli di un aggiornamento | ViewUpdate | Un utente visualizza i dettagli dell'aggiornamento. |
Attività di Microsoft To Do
Nella tabella seguente sono elencate le attività di Microsoft To Do registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft To Do, vedere Supporto per Microsoft To Do.
Nota
Gli eventi di controllo per le attività di Microsoft To Do richiedono una licenza Project - Piano 1 a pagamento (o superiore) oltre alla licenza di Microsoft 365 pertinente che include i diritti a Audit (Premium).
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Collegamento di condivisione accettato nella cartella | AcceptedSharingLinkOnFolder | Collegamento di condivisione accettato per una cartella. |
| Allegato creato | AttachmentCreated | È stato creato un allegato per un'attività. |
| Allegato aggiornato | AttachmentUpdated | Un allegato è stato aggiornato. |
| Allegato eliminato | AttachmentDeleted | Un allegato è stato eliminato. |
| Collegamento di condivisione cartelle condiviso | FolderSharingLinkShared | È stato creato un collegamento di condivisione per una cartella. |
| Entità collegata eliminata | LinkedEntityDeleted | Un'entità collegata è stata eliminata. |
| Entità collegata aggiornata | LinkedEntityUpdated | È stata aggiornata un'entità collegata. |
| Entità collegata creata | LinkedEntityCreated | È stata creata un'entità collegata dell'attività. |
| Attività secondaria creata | SubTaskCreated | È stata creata una sottoattività. |
| SubTask deleted | SubTaskDeleted | È stata eliminata una sottoattività. |
| SubTask aggiornato | SubTaskUpdated | È stata aggiornata una sottoattività. |
| Attività creata | TaskCreated | È stata creata un'attività. |
| Attività eliminata | TaskDeleted | Un'attività è stata eliminata. |
| Lettura attività | TaskRead | Un'attività è stata letta. |
| Attività aggiornata | TaskUpdated | Un'attività è stata aggiornata. |
| TaskList creato | TaskListCreated | È stato creato un elenco di attività. |
| TaskList read | TaskListRead | È stato letto un elenco di attività. |
| TaskList aggiornato | TaskListUpdated | È stato aggiornato un elenco di attività. |
| Utente invitato | UserInvited | Utente invitato a una cartella. |
attività Microsoft Viva Insights
Viva Insights fornisce informazioni dettagliate sul modo in cui i gruppi collaborano all'interno dell'organizzazione. Nella tabella seguente sono elencate le attività eseguite dagli utenti a cui è assegnato il ruolo Di amministratore o i ruoli Analista in Viva Insights. Gli utenti a cui è stato assegnato il ruolo di analista hanno accesso completo a tutte le caratteristiche del servizio e usano il prodotto per eseguire l'analisi. Gli utenti a cui è stato assegnato il ruolo Amministratore possono configurare le impostazioni di privacy e le impostazioni predefinite del sistema e possono preparare, caricare e verificare i dati dell'organizzazione in Viva Insights. Per altre informazioni, vedere Introduzione a Microsoft Viva Insights.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Collegamento OData accessibile | AccessedOdataLink | L'analista ha avuto accesso al collegamento a OData per una query. |
| Aggiunta dell'accesso delegato | AddDelegates | Un utente ha aggiunto l'accesso delegato per informazioni dettagliate sull'organizzazione o per il dashboard copilot. |
| Query annullata | CanceledQuery | L'analista ha annullato una query in esecuzione. |
| Esclusione riunione creata | MeetingExclusionCreated | L'analista ha creato una regola di esclusione delle riunioni. |
| Risultato eliminato | DeletedResult | L'analista ha eliminato il risultato di una query. |
| Report scaricato | DownloadedReport | L'analista ha scaricato il file dei risultati di una query. |
| Query eseguita | ExecutedQuery | L'analista ha eseguito una query. |
| Rimozione dell'accesso delegato | RemoveDelegates | Un utente ha rimosso l'accesso delegato per informazioni dettagliate sull'organizzazione o per il dashboard copilot. |
| Impostazione di accesso ai dati aggiornata | UpdatedDataAccessSetting | L'amministratore ha aggiornato le impostazioni di accesso ai dati. |
| Impostazione privacy aggiornata | UpdatedPrivacySetting | Amministrazione impostazioni di privacy aggiornate, ad esempio le dimensioni minime del gruppo. |
| Dati dell'organizzazione caricati | UploadedOrgData | L'amministratore ha caricato il file di dati dell'organizzazione. |
| Utente connesso* | UserLoggedIn | Un utente ha eseguito l'accesso all’account utente Microsoft 365. |
| Utente disconnesso* | UserLoggedOff | Un utente si è disconnesso dall'account utente Microsoft 365. |
| Pagina Esplora visualizzata | ViewedExplore | L'analista ha visualizzato le visualizzazioni in una o più schede della pagina Esplora. |
Nota
*quando un utente accede viene creato un evento di attività di accesso e disconnessione Microsoft Entra. Questa attività viene registrata anche se non è Viva Insights attivata nell'organizzazione. Per altre informazioni sulle attività di accesso degli utenti, vedere Log di accesso in Microsoft Entra ID.
Attività di approfondimento personale
La tabella seguente elenca le attività in informazioni dettagliate personali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle informazioni dettagliate personali, vedere Amministrazione guida per informazioni dettagliate personali.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Updated organization MyAnalytics settings | UpdatedOrganizationMyAnalyticsSettings | Amministrazione aggiorna le impostazioni a livello di organizzazione per informazioni dettagliate personali. |
| Updated user MyAnalytics settings | UpdatedUserMyAnalyticsSettings | Amministrazione aggiorna le impostazioni utente per informazioni dettagliate personali. |
Attività in quarantena
La tabella seguente elenca le attività in quarantena che è possibile cercare nel log di audit. Per altre informazioni sulla quarantena, vedere Messaggi di posta elettronica in quarantena.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Messaggio in quarantena eliminato | QuarantineDeleteMessage | Un amministratore o un utente ha eliminato un messaggio di posta elettronica considerato dannoso. |
| Richiesta di rilascio del messaggio di quarantena negata | QuarantineReleaseRequestDeny | Rifiuto amministratore per una richiesta di rilascio da parte di un utente per un messaggio di posta elettronica considerato dannoso. |
| Messaggio in quarantena esportato | QuarantineExport | Un amministratore o un utente ha esportato un messaggio di posta elettronica considerato dannoso. |
| Messaggio in quarantena in anteprima | QuarantinePreview | Un amministratore o un utente ha visualizzato in anteprima un messaggio di posta elettronica considerato dannoso. |
| Messaggio di quarantena rilasciato | QuarantineRelease | Un amministratore o un utente ha rilasciato un messaggio di posta elettronica dalla quarantena considerato dannoso. |
| Messaggio di quarantena della richiesta di rilascio | QuarantineReleaseRequest | Un utente ha richiesto il rilascio di un messaggio di posta elettronica considerato dannoso. |
| Intestazione del messaggio di quarantena visualizzata | QuarantineViewHeader | Un amministratore o un utente ha visualizzato l'intestazione un messaggio di posta elettronica considerato dannoso. |
Attività relative ai report
La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Impostazioni di privacy dei report sull'utilizzo aggiornate | UpdateUsageReportsPrivacySetting | L'amministratore ha aggiornato le impostazioni di privacy per i report sull'utilizzo. |
Attività su criteri di conservazione ed etichette di conservazione
Nella tabella seguente vengono descritte le attività di configurazione per i criteri di conservazione e le etichette di conservazione dei dati al momento della creazione, della riconfigurazione o dell'eliminazione.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Appartenenza ad ambito adattivo modificata | ApplicableAdaptiveScopeChange | Utenti, siti o gruppi sono stati aggiunti o rimossi dall'ambito adattivo. Queste modifiche sono i risultati dell'esecuzione della query dell'ambito. Poiché le modifiche vengono avviate dal sistema, l'utente segnalato viene visualizzato come identificatore univoco universale (GUID) anziché come account utente. |
| Impostazioni configurate per un criterio di conservazione | NewRetentionComplianceRule | L'amministratore ha configurato le impostazioni di conservazione per un nuovo criterio di conservazione. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet New-RetentionComplianceRule. |
| Ambito adattivo creato | NewAdaptiveScope | L'amministratore ha creato un ambito adattivo. |
| Etichetta di conservazione creata | NewComplianceTag | L'amministratore ha creato una nuova etichetta di conservazione. |
| Criterio di conservazione creato | NewRetentionCompliancePolicy | L'amministratore ha creato un nuovo criterio di conservazione. |
| Ambito adattivo eliminato | RemoveAdaptiveScope | L'amministratore ha eliminato un ambito adattivo. |
| Impostazioni eliminate per un criterio di conservazione | RemoveRetentionComplianceRule |
L'amministratore ha eliminato le impostazioni di configurazione di un criterio di conservazione. Molto probabilmente, questa attività viene registrata quando un amministratore elimina un criterio di conservazione o esegue il cmdlet Remove-RetentionComplianceRule. |
| Etichetta di conservazione eliminata | RemoveComplianceTag | L'amministratore ha eliminato un'etichetta di conservazione. |
| Criterio di conservazione eliminato | RemoveRetentionCompliancePolicy |
L'amministratore ha eliminato un criterio di conservazione. |
| Opzione del record normativo abilitata per le etichette di conservazione |
SetRestrictiveRetentionUI | L'amministratore ha eseguito il cmdlet set-RegulatoryComplianceUI in modo che un amministratore possa selezionare l'opzione di configurazione dell'interfaccia utente per un'etichetta di conservazione che consente di contrassegnare il contenuto come record normativo. |
| Elemento di posta elettronica conservato in modo proattivo | ExchangeDataProactivelyPreserved | La protezione adattiva ha applicato automaticamente un'etichetta di conservazione per conservare un elemento in Exchange. |
| File conservato in modo proattivo | SharePointDataProactivelyPreserved | La protezione adattiva ha applicato automaticamente un'etichetta di conservazione per conservare un elemento in SharePoint o OneDrive. |
| Ambito adattivo aggiornato | SetAdaptiveScope | L'amministratore ha modificato la descrizione o la query per un ambito adattivo esistente. |
| Impostazioni aggiornate per un criterio di conservazione | SetRetentionComplianceRule | L'amministratore ha modificato le impostazioni di conservazione per un criterio di conservazione esistente. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet Set-RetentionComplianceRule. |
| Etichetta di conservazione aggiornata | SetComplianceTag | L'amministratore ha aggiornato un'etichetta di conservazione esistente. |
| Criterio di conservazione aggiornato | SetRetentionCompliancePolicy | L'amministratore ha aggiornato un criterio di conservazione esistente. Gli aggiornamenti che attivano questo evento includono l'aggiunta o l'esclusione di percorsi di contenuto ai quali applicare il criterio di conservazione. |
Attività di amministrazione ruoli
La tabella seguente elenca Microsoft Entra attività di amministrazione dei ruoli registrate quando un amministratore gestisce i ruoli di amministratore nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.
Nota
I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Membro aggiunto a ruolo | Aggiunta membro a un ruolo. | È stato aggiunto un utente a un ruolo di amministratore in Microsoft 365. |
| Utente rimosso da un ruolo della directory | Rimozione di un membro dal ruolo. | È stato rimosso un utente da un ruolo di amministratore in Microsoft 365. |
| Impostazione delle informazioni di contatto aziendali | Impostazione delle informazioni di contatto aziendali. | Sono state aggiornare le preferenze di contatto a livello aziendale per l'organizzazione. Le informazioni includono indirizzi e-mail per messaggi correlati all'abbonamento inviati da Microsoft 365, nonché notifiche tecniche relative ai servizi. |
Attività relative ai tipi di informazioni riservate
Nella tabella seguente vengono descritti gli eventi di controllo per le attività che comportano la creazione e l'aggiornamento di tipi di informazioni sensibili.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Nuovo tipo di informazioni riservate creato | CreateRulePackage/EditRulePackage* | È stato creato un nuovo tipo di informazioni riservate. Sono inclusi tutti i SIT creati copiando un'istanza predefinita di SIT. Nota: questa attività si presenta sotto le attività di controllo 'Created rule package' o 'Edited rule package'. |
| Modifica di un tipo di informazioni riservate | EditRulePackage | È stato modificato un tipo di informazioni riservate esistente. Possono essere incluse operazioni come l'aggiunta/rimozione di un modello e la modifica della regex/parola chiave associata al tipo di informazioni riservate. Nota: Questa attività si presenta sotto l'attività di controllo "Pacchetto di regole modificate". |
| Eliminato un tipo di informazioni riservate | EditRulePackage/RemoveRulePackage | È stato eliminato un tipo di informazioni riservate esistente. Nota: Questa attività si presenta sotto l'attività di controllo "Pacchetto regola modificato" o "Pacchetto di regole rimosso". |
Attività sulle etichette di riservatezza
Nella tabella seguente sono elencati gli eventi risultanti dall'uso di etichette di riservatezza con siti ed elementi gestiti da Microsoft Purview. Gli elementi includono documenti, messaggi di posta elettronica ed eventi del calendario. Per i criteri di etichettatura automatica, gli elementi includono anche file e asset di dati schematizzati in Microsoft Purview Data Map.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Etichetta di riservatezza applicata al sito | SiteSensitivityLabelApplied | Un'etichetta di riservatezza è stata applicata a un sito di SharePoint o a un sito di Teams non connesso al gruppo. |
| Etichetta di riservatezza rimossa dal sito | SiteSensitivityLabelRemoved | Un'etichetta di riservatezza è stata rimossa da un sito di SharePoint o da un sito di Teams non connesso al gruppo. |
| Etichetta di riservatezza applicata al file | FileSensitivityLabelApplied SensitivityLabelApplied |
Un'etichetta di riservatezza è stata applicata a un elemento usando app di Microsoft 365, Office per il web o criteri di etichettatura automatica. Le operazioni per questa attività sono diverse a seconda di come è stata applicata l'etichetta: - Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelApplied) - App di Microsoft 365 (SensitivityLabelApplied) |
| Etichetta di riservatezza applicata a un file modificata | FileSensitivityLabelChanged SensitivityLabelUpdated |
A un elemento è stata applicata un'etichetta di riservatezza diversa. Le operazioni per questa attività sono diverse a seconda di come è stata modificata l'etichetta: - Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelChanged) - Microsoft 365 app (SensitivityLabelUpdated) |
| È stata modificata l'etichetta di riservatezza di un sito | SiteSensitivityLabelChanged | È stata applicata un'etichetta di riservatezza diversa a un sito di SharePoint o a un sito di Teams non connesso al gruppo. |
| Etichetta di riservatezza rimossa dal file | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Un'etichetta di riservatezza è stata rimossa da un elemento usando app di Microsoft 365, Office per il web, criteri di etichettatura automatica o il cmdlet Unlock-SPOSensitivityLabelEncryptedFile. Le operazioni per questa attività sono diverse a seconda di come è stata rimossa l'etichetta: - Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelRemoved) - App di Microsoft 365 (SensitivityLabelRemoved) |
Informazioni aggiuntive sul controllo per le etichette di riservatezza:
- Quando si usano etichette di riservatezza per Gruppi di Microsoft 365 e quindi per i siti di Teams connessi al gruppo, le etichette vengono controllate con la gestione dei gruppi in Microsoft Entra ID. Per altre informazioni, vedere Log di controllo in Microsoft Entra ID.
- Quando si usano le etichette di riservatezza per gli inviti alle riunioni di Teams e le opzioni di riunione e la chat di Teams, vedere Cercare gli eventi in Microsoft Teams nel log di controllo.
- Quando si usano etichette di riservatezza con Power BI, vedere Schema di controllo per le etichette di riservatezza in Power BI.
- Quando si usano etichette di riservatezza con Microsoft Defender per le app cloud, vedere Governance delle app connesse e informazioni sull'etichettatura per le azioni di governance dei file.
- Quando si applicano le etichette di riservatezza usando il client o lo scanner Microsoft Purview Information Protection o Microsoft Information Protection (MIP), vedere Informazioni di riferimento sul log di controllo di Azure Information Protection.
Attività dell'elenco di SharePoint
La tabella seguente descrive le attività correlate al momento in cui gli utenti interagiscono con gli elenchi e gli elementi elenco in SharePoint Online. I record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Elenco creato | ListCreated | Un utente ha creato un elenco SharePoint. |
| Colonna elenco creata | ListColumnCreated | Un utente ha creato una colonna elenco di SharePoint. Una colonna elenco è una colonna associata a uno o più elenchi SharePoint. |
| Tipo di contenuto elenco creato | ListContentTypeCreated | Un utente ha creato un tipo di contenuto elenco. Un tipo di contenuto elenco è un tipo di contenuto associato a uno o più elenchi SharePoint. |
| Elemento elenco creato | ListItemCreated | Un utente ha creato un elemento in un elenco di SharePoint esistente. |
| Colonna sito creata | SiteColumnCreated | Un utente ha creato una colonna sito di SharePoint. Una colonna sito è una colonna non associata a un elenco. Una colonna sito è anche una struttura di metadati che può essere usata da qualsiasi elenco in un determinato Web. |
| Tipo di contenuto del sito creato | Sito ContentType creato | Un utente ha creato un tipo di contenuto del sito. Un tipo di contenuto del sito è un tipo di contenuto associato al sito padre. |
| Elenco eliminato | ListDeleted | Un utente ha eliminato un elenco SharePoint. |
| Colonna elenco eliminata | Colonna elenco eliminata | Un utente ha eliminato una colonna elenco SharePoint. |
| Tipo di contenuto elenco eliminato | ListContentTypeDeleted | Un utente ha eliminato un tipo di contenuto elenco. |
| Elemento elenco eliminato | Elemento elenco eliminato | Un utente ha eliminato un elemento elenco SharePoint. |
| Colonna sito eliminata | SiteColumnDeleted | Un utente ha eliminato una colonna sito SharePoint. |
| Tipo di contenuto del sito eliminato | SiteContentTypeDeleted | Un utente ha eliminato un tipo di contenuto del sito. |
| Elemento elenco riciclato | ListItemRecycled | Un utente ha spostato una elemento elenco di SharePoint nel Cestino. |
| Elenco ripristinato | ListRestored | Un utente ha ripristinato un elenco di SharePoint dal Cestino. |
| Elemento elenco ripristinato | ListItemRestored | Un utente ha ripristinato un elemento elenco di SharePoint dal Cestino. |
| Elenco aggiornato | ListUpdated | Un utente ha aggiornato un elenco di SharePoint modificando una o più proprietà. |
| Colonna elenco aggiornata | ListColumnUpdated | Un utente ha aggiornato una colonna elenco di SharePoint modificando una o più proprietà. |
| Tipo di contenuto elenco aggiornato | ListContentTypeUpdated | Un utente ha aggiornato un tipo di contenuto elenco modificando una o più proprietà. |
| Elemento elenco aggiornato | ListItemUpdated | Un utente ha aggiornato un elemento elenco di SharePoint modificando una o più proprietà. |
| Visualizzazione elenco aggiornata | ListViewUpdated | Un utente ha aggiornato una visualizzazione elenco di SharePoint modificando una o più proprietà. |
| Colonna sito aggiornata | SiteColumnUpdated | Un utente ha aggiornato una colonna sito di SharePoint modificando una o più proprietà. |
| Tipo di contenuto del sito aggiornato | SiteContentTypeUpdated | Un utente ha aggiornato un tipo di contenuto del sito modificando una o più proprietà. |
Attività di richiesta di accesso e condivisione
La tabella seguente descrive le attività di richiesta di condivisione e accesso dell'utente in SharePoint Online e OneDrive for Business. Per gli eventi di condivisione, la colonna Dettagli in Risultati identifica il nome dell'utente o del gruppo con cui l'elemento è stato condiviso e indica se l'utente o il gruppo è un membro o un guest nell'organizzazione. Per altre informazioni, vedere Usare il controllo della condivisione nel log di controllo.
Nota
Gli utenti possono essere membri o guest in base alla proprietà UserType dell'oggetto utente. Un membro è in genere un dipendente, mentre un guest è in genere un collaboratore esterno all'organizzazione. Quando un utente accetta un invito alla condivisione (e non fa già parte dell'organizzazione), viene creato un account guest per tale utente nella directory dell'organizzazione. Dopo che l'utente guest ha ottenuto un account nella directory, le risorse possono essere condivise direttamente con lui, senza che sia necessario un invito.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| È stato aggiunto un livello di autorizzazione alla raccolta siti | PermissionLevelAdded | Un livello di autorizzazione è stato aggiunto a una raccolta siti. |
| Richiesta di accesso approvata | AccessRequestAccepted | Una richiesta di accesso a un sito, una cartella o un documento è stata accettata e all'utente richiedente è stato concesso l'accesso. |
| Invito alla condivisione accettato | SharingInvitationAccepted | Un utente (membro o guest) ha accettato un invito alla condivisione e ha ottenuto l'accesso a una risorsa. Questo evento include informazioni sull'utente che è stato invitato e sull'indirizzo di posta elettronica usato per accettare l'invito (i due elementi potrebbero essere diversi). Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio aggiungendo l'utente a un gruppo che ha accesso alla risorsa. |
| Invito alla condivisione bloccato | SharingInvitationBlocked | Un invito alla condivisione inviato da un utente dell'organizzazione viene bloccato da criteri di condivisione esterna che consentono o impediscono la condivisione esterna in base al dominio dell'utente di destinazione. In questo caso, l'invito alla condivisione è stato bloccato perché: Il dominio dell'utente di destinazione non è incluso nell'elenco dei domini consentiti. Oppure Il dominio dell'utente di destinazione è incluso nell'elenco dei domini bloccati. Per altre informazioni su come consentire o bloccare la condivisione esterna in base ai domini, vedere Condivisione di domini con restrizioni in SharePoint Online e OneDrive for Business. |
| Richiesta di accesso creata | AccessRequestCreated | Un utente richiede l'accesso a un sito, una cartella o un documento per il quale non ha le autorizzazioni. |
| Creato un collegamento condivisibile nell'organizzazione | CompanyLinkCreated | Un utente ha creato un collegamento a livello aziendale a una risorsa. i collegamenti a livello aziendale possono essere usati solo dai membri dell'organizzazione. Non possono essere usati dai guest. |
| Creato un collegamento anonimo | AnonymousLinkCreated | Un utente ha creato un collegamento anonimo a una risorsa. Chiunque usi questo collegamento può accedere alla risorsa senza necessità di autenticazione. |
| Collegamento sicuro creato | SecureLinkCreated | È stato creato un collegamento di condivisione sicuro per questo elemento. |
| Invito alla condivisione creato | SharingInvitationCreated | Un utente ha condiviso una risorsa in SharePoint Online o OneDrive for Business con un utente che non fa parte della directory dell'organizzazione. |
| Collegamento sicuro eliminato | SecureLinkDeleted | È stato eliminato un collegamento di condivisione sicuro. |
| Richiesta di accesso rifiutata | AccessRequestDenied | Una richiesta di accesso a un sito, una cartella o un documento è stata negata. |
| Rimosso un collegamento condivisibile nell'organizzazione | CompanyLinkRemoved | Un utente ha rimosso un collegamento a livello aziendale a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa. |
| Rimosso un collegamento anonimo | AnonymousLinkRemoved | Un utente ha rimosso un collegamento anonimo a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa. |
| File, cartella o sito condiviso | SharingSet | Un utente (membro o guest) ha condiviso un file, una cartella o un sito in SharePoint o OneDrive for Business con un utente che fa parte della directory dell'organizzazione. Il valore nella colonna Dettagli per questa attività identifica il nome dell'utente con cui la risorsa è stata condivisa e indica se l'utente è un membro o un guest. Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio, aggiungendo l'utente a un gruppo che ha accesso alla risorsa. |
| Richiesta di accesso aggiornata | AccessRequestUpdated | Una richiesta di accesso a un elemento è stata aggiornata. |
| Aggiornato un collegamento anonimo | AnonymousLinkUpdated | Un utente ha aggiornato un collegamento anonimo a una risorsa. Il campo aggiornato è incluso nella proprietà EventData quando si esportano i risultati della ricerca. |
| Invito alla condivisione aggiornato | SharingInvitationUpdated | È stato aggiornato un invito alla condivisione esterna. |
| Usato un collegamento anonimo | AnonymousLinkUsed | Un utente anonimo ha eseguito l'accesso a una risorsa usando un collegamento anonimo. L'identità dell'utente potrebbe essere sconosciuta, ma è possibile ottenere altri dettagli, ad esempio il suo indirizzo IP. |
| File, cartella o sito non più condiviso | SharingRevoked | Un utente (membro o guest) ha annullato la condivisione di un file, una cartella o un sito che in precedenza era stato condiviso con un altro utente. |
| Usato un collegamento condivisibile nell'organizzazione | CompanyLinkUsed | Un utente ha eseguito l'accesso a una risorsa usando un collegamento a livello aziendale. |
| Collegamento sicuro utilizzato | SecureLinkUsed | Un utente ha usato un collegamento sicuro. |
| Utente aggiunto al collegamento sicuro | AddedToSecureLink | Un utente è stato aggiunto all'elenco di entità che possono usare un collegamento di condivisione sicuro. |
| Utente rimosso dal collegamento sicuro | RemovedFromSecureLink | Un utente è stato rimosso dall'elenco di entità che possono usare un collegamento di condivisione sicuro. |
| Invito alla condivisione ritirato | SharingInvitationRevoked | Un utente ha ritirato un invito alla condivisione per una risorsa. |
Attività di amministrazione siti
Nella tabella seguente sono elencati gli eventi derivanti da attività di amministrazione in SharePoint Online. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunta la posizione dei dati consentita | AllowedDataLocationAdded | Un amministratore globale o di SharePoint ha aggiunto una posizione di dati consentita in un ambiente multi-geografico. |
| Agente utente esente aggiunto | ExemptUserAgentSet | L'amministratore di SharePoint o l'amministratore globale aggiunge un agente utente all'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint. |
| Amministratore dell'area geografica aggiunto | GeoAdminAdded | Un amministratore globale o di SharePoint ha aggiunto un utente come amministratore geografico di una posizione. |
| Utente autorizzato a creare gruppi | AllowGroupCreationSet | Un proprietario o un amministratore del sito aggiunge un livello di autorizzazione a un sito che consente a un utente a cui viene assegnata tale autorizzazione di creare un gruppo per tale sito. |
| È stato annullato lo spostamento geografico di un sito | SiteGeoMoveCancelled | Un amministratore globale o di SharePoint annulla correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online. |
| Criterio di condivisione cambiato | SharingPolicyChanged | Un amministratore globale o di SharePoint ha modificato i criteri di condivisione di SharePoint usando l'interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di SharePoint o SharePoint Online Management Shell. Qualsiasi modifica alle impostazioni dei criteri di condivisione dell'organizzazione verrà registrata. Il criterio modificato viene identificato nel campo ModifiedProperties nelle proprietà dettagliate del record dell'evento. |
| I criteri di accesso per i dispositivi sono stati modificati | DeviceAccessPolicyChanged | Un amministratore di SharePoint o globale ha cambiato i criteri dei dispositivi non gestiti per l'organizzazione. Questo criterio controlla l'accesso a SharePoint, OneDrive e Microsoft 365 da dispositivi che non fanno parte dell'organizzazione. La configurazione di questo criterio richiede un abbonamento Enterprise Mobility + Security. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti. |
| Agenti utente esenti cambiati | CustomizeExemptUsers | L'amministratore globale o SharePoint ha personalizzato l'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint. È possibile specificare quali agenti utente esentare dalla ricezione di un'intera pagina Web da indicizzare. Ciò significa che quando un agente utente specificato come esente rileva un modulo di InfoPath, il modulo viene restituito come file XML anziché come intera pagina Web. In questo modo l'indicizzazione dei moduli di InfoPath risulta più veloce. |
| Sono stati modificati i criteri di accesso alla rete | NetworkAccessPolicyChanged | Un amministratore di SharePoint o globale ha cambiato i criteri di accesso basati sulla posizione, denominati anche limite di rete attendibile, nell'interfaccia di amministrazione di SharePoint oppure usando PowerShell di SharePoint Online. Questi criteri controllano chi può accedere alle risorse di SharePoint e OneDrive nell'organizzazione in base a intervalli di indirizzi IP specificati dall'utente. Per altre informazioni, vedere Controllare l'accesso ai dati di SharePoint Online e OneDrive in base a determinati percorsi di rete. |
| Processo di migrazione completato | MigrationJobCompleted | Un processo di migrazione è stato completato correttamente. |
| Spostamento geografico di un sito completato | SiteGeoMoveCompleted | Uno spostamento geografico di un sito, pianificato da un amministratore globale dell'organizzazione, è stato completato correttamente. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online. |
| Connessione Inviato a creata | SendToConnectionAdded | L'amministratore di SharePoint o globale crea una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint. Una connessione di invio specifica le impostazioni per un archivio documenti o un centro record. Quando si crea una connessione di invio, un Content Organizer può inviare documenti alla posizione specificata. |
| Raccolta siti creata | SiteCollectionCreated | Un amministratore SharePoint o globale crea una raccolta siti nell'organizzazione di SharePoint Online o un utente esegue il provisioning del sito di OneDrive for Business. |
| Sito hub orfano eliminato | HubSiteOrphanHubDeleted | Un amministratore SharePoint o globale ha eliminato un sito hub orfano, ossia un sito hub a cui non sono associati siti. È probabile che l'hub orfano sia causato dall'eliminazione del sito hub originale. |
| Connessione Inviato a eliminata | SendToConnectionRemoved | L'amministratore SharePoint o globale elimina una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint. |
| Sito eliminato | SiteDeleted | L'amministratore del sito elimina un sito. |
| Anteprima documento abilitata | PreviewModeEnabledSet | Un amministratore del sito abilita l'anteprima dei documenti per un sito. |
| Flusso di lavoro legacy abilitato | LegacyWorkflowEnabledSet | Un proprietario o un amministratore del sito aggiunge il tipo di contenuto Attività flusso di lavoro di SharePoint 2013 al sito. Gli amministratori globali possono anche abilitare i flussi di lavoro per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint. |
| Office su richiesta abilitato | OfficeOnDemandSet | Un amministratore del sito abilita Office su richiesta, che consente agli utenti di accedere alla versione più recente delle applicazioni desktop di Office. Office su richiesta viene abilitato nell'interfaccia di amministrazione di SharePoint e richiede un abbonamento a Microsoft 365, che include le applicazioni Office complete installate. |
| Origine dei risultati abilitata per ricerche in Persone | PeopleResultsScopeSet | Un amministratore del sito crea l'origine dei risultati per le ricerche in Persone per un sito. |
| Feed RSS abilitati | NewsFeedEnabledSet | Un proprietario o un amministratore del sito abilita i feed RSS per un sito. Gli amministratori globali possono abilitare i feed RSS per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint. |
| Sito unito al sito hub | HubSiteJoined | Il proprietario di un sito associa il sito a un sito hub. |
| Quota raccolta siti modificata | SiteCollectionQuotaModified | L'amministratore del sito modifica la quota per una raccolta siti. |
| Sito hub registrato | HubSiteRegistered | Un amministratore SharePoint o globale crea un sito hub. Il risultato è che il sito viene registrato come sito hub. |
| Rimossa la posizione dei dati consentita | AllowedDataLocationDeleted | Un amministratore SharePoint o globale ha rimosso una posizione di dati consentita in un ambiente multi-geografico. |
| Amministratore dell'area geografica rimosso | GeoAdminDeleted | Un amministratore SharePoint o globale ha aggiunto un utente come amministratore geografico di una posizione. |
| Sito rinominato | SiteRenamed | Un proprietario o un amministratore del sito rinomina un sito. |
| Spostamento geografico di un sito pianificato | SiteGeoMoveScheduled | Un amministratore SharePoint o globale programma correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online. |
| Sito host impostato | HostSiteSet | Un amministratore di SharePoint o globale cambia il sito designato per ospitare siti di OneDrive for Business o personali. |
| Impostare una quota di archiviazione per una posizione geografica | GeoQuotaAllocated | Un amministratore SharePoint o globale ha configurato una quota di archiviazione per una posizione geografica in un ambiente multi-geografico. |
| Sito separato dal sito hub | HubSiteUnjoined | Il proprietario di un sito annulla l'associazione del sito a un sito hub. |
| Registrazione sito hub annullata | HubSiteUnregistered | Un amministratore SharePoint o globale annulla la registrazione di un sito come sito hub. Quando si annulla la registrazione di un sito hub, quest'ultimo non funziona più come sito hub. |
Attività relative alle autorizzazioni del sito
La tabella seguente elenca gli eventi correlati all'assegnazione di autorizzazioni in SharePoint e all'uso dei gruppi per concedere (e revocare) l'accesso ai siti. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Amministratore raccolta siti aggiunto | SiteCollectionAdminAdded | Un proprietario o un amministratore della raccolta siti aggiunge una persona come amministratore della raccolta siti per un sito. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari. Questa attività viene registrata anche quando un amministratore concede a se stesso l'accesso all'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint o usando l'interfaccia di amministrazione di Microsoft 365). |
| Utente o gruppo aggiunto al gruppo di SharePoint | AddedToGroup | Un utente ha aggiunto un membro o un guest a un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di condivisione. |
| L'ereditarietà dei livelli di autorizzazione è stata interrotta | PermissionLevelsInheritanceBroken | Un elemento è stato modificato in modo che non erediti più i livelli di autorizzazione dal relativo padre. |
| L'ereditarietà di condivisione è stata interrotta | SharingInheritanceBroken | Un elemento è stato modificato in modo che non erediti più le autorizzazioni di condivisione dal relativo padre. |
| Gruppo creato | GroupAdded | Un proprietario o un amministratore del sito crea un gruppo per un sito oppure esegue un'attività che comporta la creazione di un gruppo. Ad esempio, la prima volta che un utente crea un collegamento per condividere un file, un gruppo di sistema viene aggiunto al sito OneDrive for Business dell'utente. Questo evento può anche risultare dalla creazione, da parte di un utente, di un collegamento con autorizzazioni di modifica per un file condiviso. |
| Gruppo eliminato | GroupRemoved | Un utente elimina un gruppo da un sito. |
| Impostazioni richieste di accesso modificate | WebRequestAccessModified | Le impostazioni richieste di accesso sono state modificate in un sito. |
| Impostazione "I membri possono condividere" modificata | WebMembersCanShareModified | L'impostazione I membri possono condividere è stata modificata in un sito. |
| È stato modificato un livello di autorizzazione in una raccolta siti | PermissionLevelModified | Un livello di autorizzazione è stato modificato in una raccolta siti. |
| Autorizzazioni sito modificate | SitePermissionsModified | Un proprietario o un amministratore del sito (o un account di sistema) modifica il livello di autorizzazioni assegnato a un gruppo in un sito. Questa attività viene registrata anche se vengono rimosse tutte le autorizzazioni da un gruppo. NOTA: questa operazione è deprecata in SharePoint Online. Per trovare gli eventi correlati, è possibile cercare altre attività relative alle autorizzazioni, ad esempio Amministratore raccolta siti aggiunto, Utente o gruppo aggiunto a gruppo di SharePoint, Utente autorizzato a creare gruppi, Gruppo creato e Gruppo eliminato. |
| È stato rimosso un livello di autorizzazione dalla raccolta siti | PermissionLevelRemoved | Un livello di autorizzazione è stato rimosso da una raccolta siti. |
| Amministratore raccolta siti rimosso | SiteCollectionAdminRemoved | Un proprietario o un amministratore della raccolta siti rimuove una persona come amministratore della raccolta siti per un sito. Anche questa attività viene registrata quando un amministratore rimuove se stesso dall'elenco degli amministratori per l'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint). Per riportare questa attività nei risultati della ricerca nel log di controllo, è necessario cercare tutte le attività. |
| Utente o gruppo rimosso dal gruppo di SharePoint | RemovedFromGroup | Un utente ha rimosso un membro o un guest da un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di annullamento della condivisione. |
| Autorizzazioni di amministrazione sito richieste | SiteAdminChangeRequest | Un utente richiede di essere aggiunto come amministratore della raccolta siti per una raccolta. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari. |
| L'ereditarietà di condivisione è stata ripristinata | SharingInheritanceReset | È stata apportata una modifica che consente a un elemento di ereditare le autorizzazioni di condivisione dal relativo padre. |
| Gruppo aggiornato | GroupUpdated | Un proprietario o un amministratore del sito modifica le impostazioni di un gruppo per un sito. Questo può includere la modifica del nome del gruppo, degli utenti autorizzati a visualizzare o modificare l'appartenenza al gruppo e della modalità di gestione delle richieste di appartenenza. |
Attività di sincronizzazione
La tabella seguente descrive le attività di sincronizzazione file in SharePoint Online e OneDrive for Business.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Computer autorizzato a sincronizzare i file | ManagedSyncClientAllowed | Un utente ha stabilito una relazione di sincronizzazione con un sito. La relazione di sincronizzazione viene eseguita correttamente perché il computer dell'utente fa parte di un dominio che è stato aggiunto all'elenco dei domini (denominato elenco destinatari attendibili) che possono accedere alle raccolte documenti all'interno dell'organizzazione. Per altre informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili. |
| Computer non autorizzato a sincronizzare i file | UnmanagedSyncClientBlocked | L'utente tenta di stabilire una relazione di sincronizzazione con un sito da un computer che non è membro del dominio dell'organizzazione o è membro di un dominio che non è stato aggiunto all'elenco di domini (denominato elenco destinatari sicuri) che possono accedere alle raccolte documenti nell'organizzazione. La relazione di sincronizzazione non è consentita e al computer dell'utente viene impedito di sincronizzare, scaricare o caricare file in una raccolta documenti. Per informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili. |
| File scaricati nel computer | FileSyncDownloadedFull | L'utente scarica un file nel computer da una raccolta documenti di SharePoint o OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe). |
| Modifiche ai file scaricate nel computer | FileSyncDownloadedPartial | Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe). |
| File caricati nella raccolta documenti | FileSyncUploadedFull | L'utente carica un nuovo file o le modifiche a un file nella raccolta documenti di SharePoint o in OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe). |
| Modifiche ai file caricate nella raccolta documenti | FileSyncUploadedPartial | Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe). |
Attività di SystemSync
La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Condivisione dati creato | DataShareCreated | Quando l'esportazione dei dati viene creata dall'utente. |
| Condivisione dati eliminata correttamente. | DataShareDeleted | Quando l'esportazione dei dati viene eliminata dall'utente. |
| Generare una copia dei dati lake | GenerateCopyOfLakeData | Quando viene generata la copia di Lake Data. |
| Scarica la copia dei dati Lake | DownloadCopyOfLakeData | Quando viene scaricata la copia di Lake Data. |
Attività di amministrazione utenti
La tabella seguente elenca le attività di amministrazione utenti registrate quando un amministratore aggiunge o modifica un account utente usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure.
Nota
I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.
| Attività | Operazione | Descrizione |
|---|---|---|
| Utente aggiunto | Aggiunta utente. | È stato creato un account utente. |
| Licenza utente modificata | Modifica della licenza utente. | La licenza assegnata a un utente è stata modificata. Per visualizzare le licenze modificate, vedere l'attività Utente aggiornato corrispondente. |
| Password utente cambiata | Modifica della password utente. | Un utente ha cambiato la password. La reimpostazione della password in modalità self-service deve essere abilitata nell'organizzazione, per tutti gli utenti o per utenti selezionati, per consentire agli utenti di reimpostare la password. È anche possibile tenere traccia dell'attività di reimpostazione della password self-service in Microsoft Entra ID. Per altre informazioni, vedere Opzioni di creazione di report per Microsoft Entra gestione delle password. |
| Utente eliminato | Eliminazione utente. | È stato eliminato un account utente. |
| Reimpostazione della password utente | Reimpostazione della password utente. | Un amministratore ha reimpostato la password per un utente. |
| Impostata una proprietà che impone all'utente di cambiare la password | Impostazione forzatura per la modifica delle password utente. | Un amministratore ha impostato la proprietà che forza l'utente a cambiare la password al successivo accesso a Microsoft 365. |
| Impostazione delle proprietà della licenza | Impostazione delle proprietà della licenza. | Un amministratore modifica le proprietà di una licenza assegnata a un utente. |
| Utente aggiornato | Aggiornamento di un utente. | Un amministratore modifica una o più proprietà di un account utente. Per un elenco delle proprietà utente che è possibile aggiornare, vedere la sezione "Aggiorna attributi utente" in Microsoft Entra eventi del report di controllo. |
attività Viva Goals
Nella tabella seguente sono elencate le attività utente e amministratore in Viva Goals registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.
Cercare i dettagli del log di controllo per cercare i log di controllo dal portale di Microsoft Purview e dal portale di conformità. L'utente deve essere un amministratore globale o avere le autorizzazioni di lettura di controllo per accedere ai log di controllo. È possibile utilizzare il filtro Attività per cercare attività specifiche ed elencare tutte le attività Viva Goals che è possibile scegliere "VivaGoals" nel filtro Tipo di record. È anche possibile usare le caselle dell'intervallo di date e l'elenco Utenti per restringere ulteriormente i risultati della ricerca.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Organizzazione creata | Organizzazione creata | Amministrazione o l'utente ha creato una nuova organizzazione in Viva Goals. |
| Aggiunta dell'utente | Aggiunta dell'utente | Un nuovo utente è stato aggiunto a un'organizzazione in Viva Goals. |
| Utente disattivato | Utente disattivato | Un utente è stato disattivato in un'organizzazione. |
| Utente eliminato | Utente eliminato | Un utente è stato eliminato da un'organizzazione in Viva Goals. |
| Utente connesso | Utente connesso | L'utente ha eseguito l'accesso a Viva Goals. |
| Aggiunta del team | Aggiunta del team | Un nuovo team è stato creato all'interno di un'organizzazione in Viva Goals. |
| Team aggiornato | Team aggiornato | Un team all'interno di un'organizzazione in Viva Goals è stato modificato o aggiornato. |
| Team eliminato | Team eliminato | Un team all'interno di un'organizzazione in Viva Goals è stato eliminato dall'utente. |
| Dati esportati | Dati esportati | Un utente ha esportato un elenco di OKR o un elenco di utenti in un'organizzazione in Viva Goals. |
| Goals criteri aggiornati | Goals criteri aggiornati | L'amministratore globale ha modificato i criteri o le impostazioni a livello di tenant in Viva Goals. Ad esempio, l'amministratore globale ha configurato chi può creare organizzazioni in Viva Goals. |
| Impostazioni dell'organizzazione aggiornate | Impostazioni dell'organizzazione aggiornate | L'utente (in genere proprietari o amministratori dell'organizzazione) ha aggiornato le impostazioni specifiche dell'organizzazione in Viva Goals. |
| Integrazioni dell'organizzazione aggiornate | Integrazioni dell'organizzazione aggiornate | L'utente (in genere proprietari o amministratori dell'organizzazione) ha configurato un'integrazione di terze parti o aggiornato un'integrazione di terze parti esistente per un'organizzazione in Viva Goals. |
| OKR o Progetto creato | OKR o Progetto creato | L'utente ha creato un OKR o un progetto in Viva Goals. |
| OKR o Progetto aggiornato | OKR o Progetto aggiornato | Un OKR/Progetto è stato modificato o è stato effettuato un check-in dall'utente o un'integrazione in Viva Goals. |
| OKR o Progetto eliminato | OKR o Progetto eliminato | L'utente ha eliminato un OKR o un progetto. |
| Dashboard creato | Dashboard creato | L'utente ha creato un nuovo dashboard in Viva Goals |
| Dashboard aggiornato | Dashboard aggiornato | L'utente ha aggiornato un dashboard in Viva Goals |
| Dashboard eliminato | Dashboard eliminato | L'utente ha eliminato un dashboard in Viva Goals. |
attività Viva Engage
Nella tabella seguente sono elencate le attività utente e amministratore in Viva Engage registrate nel log di controllo. Per restituire le attività correlate Viva Engage dal log di controllo, è necessario selezionare Mostra risultati per tutte le attività nell'elenco Attività. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.
Nota
Alcune attività di controllo Viva Engage sono disponibili solo in Audit (Premium). Questo significa che agli utenti deve essere assegnata la licenza appropriata prima di registrare queste attività nel registro di controllo. Per altre informazioni, vedere Audit (Premium). Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.
Nella tabella seguente le attività di Audit (Premium) sono evidenziate con un asterisco (*).
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Criteri di conservazione dei dati modificati | SoftDeleteSettingsUpdated | L'amministratore verificato aggiorna l'impostazione per i criteri di conservazione dei dati di rete per l'eliminazione definitiva o l'eliminazione temporanea. Solo gli amministratori verificati possono eseguire questa operazione. |
| Configurazione di rete modificata | NetworkConfigurationUpdated | L'amministratore di rete o verificato modifica la configurazione della rete Viva Engage. Imposta anche l'intervallo per l'esportazione dei dati e l'attivazione della chat. |
| Impostazioni del profilo di rete modificate | ProcessProfileFields | L'amministratore di rete o verificato modifica le informazioni visualizzate nei profili dei membri per gli utenti della rete. |
| Modalità per il contenuto privato modificata | SupervisorAdminToggled | L'amministratore verificato attiva o disattiva la modalità contenuto privato . Questa modalità consente a un amministratore di visualizzare i post nei gruppi privati e i messaggi privati scambiati tra singoli utenti o gruppi di utenti. Solo gli amministratori verificati possono eseguire questa operazione. |
| Configurazione della sicurezza modificata | NetworkSecurityConfigurationUpdated | L'amministratore verificato aggiorna la configurazione di sicurezza della rete Viva Engage. Imposta anche i criteri di scadenza della password e le limitazioni per gli indirizzi IP. Solo gli amministratori verificati possono eseguire questa operazione. |
| File creato | FileCreated | L'utente carica un file. |
| Gruppo creato | GroupCreation | Un utente crea un gruppo. |
| Un messaggio è stato creato | MessageCreation | L’utente crea un messaggio. |
| Gruppo eliminato | GroupDeletion | Un gruppo viene eliminato da Viva Engage. |
| Messaggio eliminato | MessageDeleted | L'utente elimina un messaggio. |
| File scaricato | FileDownloaded | L'utente scarica un file. |
| Dati esportati | DataExport | L'amministratore verificato esporta Viva Engage dati di rete. Solo gli amministratori verificati possono eseguire questa operazione. |
| Impossibile accedere alla community | CommunityAccessFailure | L’utente non è riuscito ad accedere a una community. |
| Impossibile accedere al file | FileAccessFailure | L’utente non è riuscito ad accedere al file. |
| Impossibile accedere al messaggio | MessageAccessFailure | L’utente non è riuscito ad accedere al messaggio. |
| Risposta al messaggio | MarkedMessageChanged | L'utente ha reagito a un messaggio. |
| Rimuovere l'argomento curato* | RemoveCuratedTopic | L'utente rimuove un argomento curato. |
| File condiviso | FileShared | L'utente condivide un file con un altro utente. |
| Utente di rete sospeso | NetworkUserSuspended | L'amministratore di rete o verificato sospende (disattiva) un utente da Viva Engage. |
| Utente sospeso | UserSuspension | L'account utente viene sospeso (disattivato). |
| Descrizione del file aggiornata | FileUpdateDescription | L'utente modifica la descrizione di un file. |
| Nome file aggiornato | FileUpdateName | L'utente modifica il nome di un file. |
| Messaggio aggiornato | MessageUpdated | L’utente aggiorna un messaggio. |
| File visualizzato | FileVisited | L'utente visualizza un file. |
| Messaggio visualizzato | MessageViewed | L'utente visualizza un messaggio. |
attività pulse Viva
Nella tabella seguente sono elencate le attività utente e amministratore in Viva Pulse registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.
Cercare i dettagli del log di controllo per cercare i log di controllo dal portale di Microsoft Purview e dal portale di conformità. L'utente deve essere un amministratore globale o avere le autorizzazioni di lettura di controllo per accedere ai log di controllo. È possibile utilizzare il filtro Attività per cercare attività specifiche ed elencare tutte le attività Viva Pulse, è possibile scegliere VivaPulse nel filtro Tipo di record. È anche possibile usare le caselle dell'intervallo di date e l'elenco Utenti per restringere ulteriormente i risultati della ricerca.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Risposta inviata dall'utente a un sondaggio a impulsi | PulseSubmit | Amministrazione o il feedback fornito dall'utente per una richiesta di feedback Viva Pulse. |
| L'utente ha creato un sondaggio Pulse | PulseCreate | Viene creata una nuova richiesta di feedback Viva Pulse. |
| L'utente ha esteso la scadenza del sondaggio a impulsi | PulseExtendDeadline | La scadenza per la richiesta di feedback pulse Viva esistente è stata estesa. |
| L'utente ha invitato altri utenti al sondaggio Pulse | PulseInvite | Altri utenti sono stati invitati a una richiesta di feedback esistente Viva Pulse. |
| L'utente ha annullato un sondaggio Pulse | PulseCancel | L'utente ha annullato un sondaggio Pulse. |
| L'utente ha condiviso un report pulse | PulseShareResults | Viva risultato del feedback pulse è stato condiviso con gli utenti. |
| L'utente ha creato una bozza pulse | PulseCreateDraft | L'utente ha creato una bozza pulse. |
| L'utente ha eliminato una bozza pulse | PulseDeleteDraft | L'utente ha eliminato una bozza pulse. |
| Amministrazione eliminato i dati di un utente | PulseDeleteUserData | Amministrazione eliminato i dati di un utente. |
| Amministrazione impostazioni aggiornate del tenant | PulseTenantSettingsUpdate | Amministrazione aggiornato un'impostazione dell'organizzazione per Viva Pulse. |
Windows 365 attività Customer Lockbox
Nella tabella seguente sono elencate le attività utente e amministratore in Windows 365 Customer Lockbox registrate nel log di controllo. Per restituire Windows 365 attività correlate a Customer Lockbox dal log di controllo, selezionare Windows365CustomerLockbox in Tipi di record. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Attivare la correzione del dispositivo | Attivare la correzione del dispositivo | Attivare la correzione del dispositivo. |
| Caricare la cartella nel BLOB | Caricare la cartella nel BLOB | Comprimere e caricare la cartella del dispositivo del cliente nel BLOB. |
| Controllare i criteri di esecuzione di PowerShell | Controllare i criteri di esecuzione di PowerShell | Controllare i criteri di esecuzione di PowerShell. |
| Installare l'agente Desktop remoto | Installare l'agente Desktop remoto | Installare l'agente Desktop remoto nel dispositivo dell'utente. |
| Eseguire l'estensione AADJ ibrida | Eseguire l'estensione AADJ ibrida | Eseguire l'estensione AADJ ibrida nel dispositivo dell'utente. |
| Creare una richiesta VmExtension | Creare una richiesta VmExtention | Crea richieste di estensione della macchina virtuale per eseguire l'estensione della macchina virtuale per eseguire script personalizzati nel dispositivo del cliente. |
| Trigger orchestrator | Trigger orchestrator | Attivare l'agente di orchestrazione per l'utente. |
| Attivare un'azione generica di SaaF | Attivare un'azione generica di SaaF | Attivare l'azione del dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) per l'utente. |
| Attivare un'azione generica | Attivare un'azione generica | Attivare l'azione del dispositivo per l'utente. |
| Attivare un'azione generica con le opzioni | Attivare un'azione generica con le opzioni | Attivare l'azione del dispositivo con parametri di opzione, più potente di quello dell'azione generica del trigger. |
| Creare nuovi elementi di lavoro (Utilità di pianificazione) | Creare nuovi elementi di lavoro (Utilità di pianificazione) | Creare nuovi elementi di lavoro, ad esempio Provisioning, Deprovision, Reprovision e così via. |
| Operazione post-azione remota | Operazione post-azione remota | Dopo l'azione remota, oltre al polling del risultato tramite l'operazione GetActions. |
| Comandi di esecuzione OCE nella macchina virtuale | Comandi di esecuzione OCE nella macchina virtuale | Eseguire i comandi in base a tenantID, deviceID list e script. |
| Crea richiesta LogCollection | Crea richiesta LogCollection | Creare una richiesta di raccolta log per Cloud PC. |
| Attivare il controllo Canary dell'agente CMD. | Attivare il controllo Canary dell'agente CMD. | Attivare il controllo Canary dell'agente CMD su un dispositivo specifico. |
| Eseguire AppHealthPlugin | Eseguire AppHealthPlugin | Eseguire AppHealthPlugin. |
| Agente CMD di backfill | Operazione AddDevicesToBackfill | Eseguire il backfill dell'agente CMD nel PC cloud. |
| Reinstallare l'agente CMD | Operazione AddDevicesToReinstall | Reinstallare l'agente CMD su richiesta. |
| Reinstallare in blocco l'agente CMD | Operazione TriggerClientAgentCheckBulkAction | Reinstallare in blocco l'agente CMD su richiesta. |
| Creare un'operazione di azione remota in ActionModeratorService | Creare un'operazione di azione remota in ActionModeratorService | Creare un'azione remota in base a tenantID, workspaceID, actionType, actionParameters. |