Attività del log di controllo

Articolo
04/11/2024

Le tabelle di questo articolo descrivono le attività controllate in Microsoft 365. È possibile cercare queste attività eseguendo una ricerca nel log di controllo nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview.

Queste tabelle raggruppano le attività correlate o le attività di un determinato servizio. Le tabelle includono il nome descrittivo visualizzato nell'elenco a discesa Attività (o disponibili in PowerShell) e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca. Per le descrizioni delle informazioni dettagliate, vedere Proprietà dettagliate del log di controllo.

Consiglio

Selezionare uno dei collegamenti nell'elenco In questo articolo nella parte superiore di questo articolo per passare direttamente a una tabella di prodotti specifica.

Attività di amministrazione applicazioni

Nella tabella seguente sono elencate le attività di amministratore dell'applicazione registrate quando un amministratore aggiunge o modifica un'applicazione registrata in Microsoft Entra ID. Tutte le applicazioni che si basano su Microsoft Entra ID per l'autenticazione devono essere registrate nella directory.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Nome descrittivo	Operazione	Descrizione
Voce di delega aggiunta	Aggiunta di una voce di delega.	È stata creata o concessa un'autorizzazione di autenticazione a un'applicazione in Microsoft Entra ID.
Entità servizio aggiunta	Aggiunta di un'entità servizio.	Un'applicazione è stata registrata in Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory.
Credenziali aggiunte a un'entità servizio	Aggiunta delle credenziali dell'entità servizio.	Le credenziali sono state aggiunte a un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory.
Voce di delega rimossa	Rimozione della voce di delega.	Un'autorizzazione di autenticazione è stata rimossa da un'applicazione in Microsoft Entra ID.
Entità servizio rimossa dalla directory	Rimozione di un'entità servizio.	Un'applicazione è stata eliminata/annullata dalla Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory.
Credenziali rimosse da un'entità servizio	Rimozione delle credenziali dell'entità servizio.	Le credenziali sono state rimosse da un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory.
Voce di delega impostata	Impostazione della voce di delega.	Un'autorizzazione di autenticazione è stata aggiornata per un'applicazione in Microsoft Entra ID.

Microsoft Entra attività di amministrazione del gruppo

La tabella seguente elenca le attività di amministrazione gruppi registrate quando un amministratore o un utente crea o modifica un gruppo di Microsoft 365 oppure quando un amministratore crea un gruppo di sicurezza usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure. Per ulteriori informazioni sui gruppi in Microsoft 365, vedere Visualizzare, creare ed eliminare nell’interfaccia di amministrazione di Microsoft 365.

Nota

Nome descrittivo	Operazione	Descrizione
Gruppo aggiunto	Aggiunta di un gruppo.	È stato creato un gruppo.
Membro aggiunto a gruppo	Aggiunta di un membro al gruppo.	È stato aggiunto un membro a un gruppo.
Gruppo eliminato	Eliminazione di un gruppo.	È stato eliminato un gruppo.
Membro rimosso da gruppo	Rimozione di un membro dal gruppo.	È stato rimosso un membro da un gruppo.
Gruppo aggiornato	Aggiornamento di un gruppo.	È stata modificata una proprietà di un gruppo.

Attività e-mail di Briefing

La tabella seguente elenca le attività nel messaggio di posta elettronica di Briefing registrate nel log di controllo di Microsoft 365. Per ulteriori informazioni sulle e-mail di Briefing, vedere:

Nome descrittivo	Operazione	Descrizione
Impostazioni sulla privacy dell'organizzazione aggiornate	UpdatedOrganizationBriefingSettings	L'amministratore aggiorna le impostazioni sulla privacy dell'organizzazione per le e-mail di Briefing.
Impostazioni sulla privacy dell'utente aggiornate	UpdatedUserBriefingSettings	L'amministratore aggiorna le impostazioni sulla privacy dell'utente per le e-mail di Briefing.

Attività di conformità delle comunicazioni

La tabella seguente elenca le attività relative alla conformità delle comunicazioni registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Informazioni su Conformità delle comunicazioni Microsoft Purview.

Nota

Queste attività sono disponibili quando si usa il cmdlet powershell Search-UnifiedAuditLog. Queste attività non sono disponibili nell'elenco a discesa Attività .

Nome descrittivo	Operazione	Descrizione
Aggiornamento criteri	SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted	Un amministratore di conformità delle comunicazioni ha eseguito un aggiornamento dei criteri.
Corrispondenza criteri	SupervisionRuleMatch	Un utente ha inviato un messaggio che corrisponde alla condizione di un criterio.
Tag applicato ai messaggi	SupervisoryReviewTag	I tag vengono applicati ai messaggi o i messaggi vengono risolti.

Attività di Esplora contenuto

La tabella seguente elenca le attività di Esplora contenuto registrate nel log di controllo. Esplora contenuto, accessibile tramite lo strumento Classificazioni dati nel portale di Microsoft Purview e nel portale di conformità. Per altre informazioni, vedere Utilizzo di Esplora contenuto di classificazione dei dati.

Attività copilot

Nella tabella seguente sono elencate le attività di Microsoft 365 Copilot registrate nel log di controllo. Copilot è accessibile tra i servizi di Microsoft 365. Le attività includono come e quando gli utenti interagiscono con Copilot. Questo include il servizio Microsoft 365 in cui si è svolta l'attività e fa riferimento ai file a cui si accede durante l'interazione. Per altre informazioni sugli eventi di interazione copilot e un esempio di schema, vedere Panoramica degli eventi di interazione copilot.

Per accedere al testo dalla richiesta dell'utente durante l'interazione, vedere Contenuto Search. Per altre informazioni su Copilot, vedere Proteggere e gestire Microsoft 365 Copilot usando Microsoft Purview.

Nome descrittivo	Operazione	Descrizione
Interagire con Copilot	CopilotInteraction	Un utente, un amministratore o un sistema per conto di un utente, ha immesso richieste in Copilot.

Attività di amministrazione directory

La tabella seguente elenca Microsoft Entra directory e le attività correlate al dominio registrate quando un amministratore gestisce l'organizzazione nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.

Nota

Nome descrittivo	Operazione	Descrizione
Dominio aggiunto a società	Aggiunta di un dominio alla società.	È stato aggiunto un dominio all'organizzazione.
Partner aggiunto alla directory	Aggiunta di un partner alla società.	È stato aggiunto un partner (amministratore delegato) all'organizzazione.
Dominio rimosso da società	Rimozione di un dominio dalla società.	È stato rimosso un dominio dall'organizzazione.
Partner rimosso dalla directory	Rimozione di un partner dalla società.	È stato rimosso un partner (amministratore delegato) dall'organizzazione.
Informazioni sulla società impostate	Impostazione delle informazioni sulla società.	Sono state aggiornate le informazioni sulla società per l'organizzazione. Include gli indirizzi di posta elettronica per la posta elettronica relativa alla sottoscrizione inviata da Microsoft 365 e le notifiche tecniche sui servizi di Microsoft 365.
Impostazione dell'autenticazione del dominio	Impostazione dell'autenticazione dominio.	È stata modificata l'impostazione di autenticazione del dominio per l'organizzazione.
Impostazioni della federazione aggiornate per un dominio	Configurazione delle impostazioni di federazione nel dominio.	Sono state modificate le impostazioni di federazione (condivisione esterna) per l'organizzazione.
Criteri password impostati	Impostazione dei criteri password.	Sono stati modificati i vincoli di lunghezza e caratteri per le password utente nell'organizzazione.
Attivato Azure AD Sync	Impostazione del flag DirSyncEnabled.	È stata impostata la proprietà che abilita una directory per Azure AD Sync.
Dominio aggiornato	Aggiornamento di un dominio.	Sono state aggiornate le impostazioni di un dominio nell'organizzazione.
Dominio verificato	Verifica di un dominio.	È stato verificato che l'organizzazione è il proprietario di un dominio.
Posta elettronica verificata in dominio verificato	Verifica del dominio tramite la verifica di posta elettronica.	È stata usata la verifica tramite posta elettronica per verificare che l'organizzazione sia il proprietario di un dominio.

Attività di revisione per l'eliminazione

Nella tabella seguente sono elencate le attività eseguite da un revisore dell'eliminazione quando un elemento raggiunge la fine del periodo di conservazione configurato oppure un elemento viene spostato automaticamente nella fase di eliminazione successiva o eliminato definitivamente a seguito dell'approvazione automatica.

Nome descrittivo	Operazione	Descrizione
Dismissione approvata	ApproveDisposal	Per l'approvazione manuale: un revisore dell'eliminazione ha approvato l'eliminazione dell'elemento per spostarlo nella fase di eliminazione successiva. Se l'elemento era nella sola o ultima fase della revisione dell'eliminazione, l'approvazione dell'eliminazione ha contrassegnato l'elemento come idoneo per l'eliminazione definitiva. Per l'approvazione automatica: non è stata eseguita alcuna azione manuale entro il periodo di tempo di approvazione automatica configurato, in modo che l'elemento venga spostato automaticamente alla fase di eliminazione successiva. Se l'elemento si trovava nell'unica o ultima fase di revisione dell'eliminazione, l'elemento diventa automaticamente idoneo per l'eliminazione permanente.
Periodo di conservazione esteso	ExtendRetention	Un revisore dell'eliminazione ha esteso il periodo di conservazione dell'elemento.
Elemento rietichettato	RelabelItem	Un revisore dell'eliminazione ha rietichettato l'etichetta di conservazione.
Revisori aggiunti	AddReviewer	Un revisore dell'eliminazione ha aggiunto uno o più utenti alla fase di revisione dell'eliminazione corrente.

Attività di eDiscovery

Le attività correlate a Search e eDiscovery eseguite nel portale di Microsoft Purview e nel portale di conformità o eseguendo i cmdlet di PowerShell corrispondenti vengono registrate nel log di controllo. Include le attività seguenti:

Creazione e gestione di casi eDiscovery
Creazione, avvio e modifica di ricerche di contenuto
Esecuzione di operazioni di ricerca di contenuto, ad esempio visualizzazione in anteprima, esportazione ed eliminazione dei risultati della ricerca
Configurazione del filtro delle autorizzazioni per Ricerca contenuto
Gestione del ruolo di amministratore di eDiscovery

Per un elenco e una descrizione dettagliata delle attività di eDiscovery registrate, vedere Cercare attività di eDiscovery nel log di controllo.

Nota

Sono necessari fino a 30 minuti prima che le attività risultanti dalle attività elencate in attività eDiscovery e le attività eDiscovery (Premium) nell'elenco a discesa Attività vengano visualizzate nei risultati della ricerca. Invece, per visualizzare nei risultati della ricerca gli eventi corrispondenti provenienti dalle attività dei cmdlet di eDiscovery sono necessarie fino a 24 ore.

Attività di eDiscovery (Premium)

È anche possibile eseguire una ricerca nel log di audit per le attività in Microsoft Purview eDiscovery (Premium). Per una descrizione di queste attività, vedere la sezione "Attività di eDiscovery (Premium) in Cercare attività di eDiscovery nel log di controllo.

Attività del portale messaggi crittografati

I registri di accesso sono disponibili per i messaggi crittografati tramite il portale di messaggi crittografati, che consente all'organizzazione di determinare quando i messaggi devono essere letti e inoltrati dai destinatari esterni. Per altre informazioni sull'abilitazione e l'uso dei registri attività del portale dei messaggi crittografati, vedere Registri attività del portale dei messaggi crittografati.

Ogni voce di controllo per un messaggio rilevato contiene i campi seguenti:

MessageID: contiene l'ID del messaggio rilevato. Identificatore di chiave usato per seguire un messaggio attraverso il sistema.
Destinatario: elenco di tutti gli indirizzi di posta elettronica del destinatario.
Mittente: indirizzo di posta elettronica di origine.
AuthenticationMethod: descrive il metodo di autenticazione per l'accesso al messaggio, ad esempio OTP, Yahoo, Gmail o Microsoft.
AuthenticationStatus: contiene un valore che indica che l'autenticazione ha avuto esito positivo o negativo.
OperationStatus: indica se l'operazione indicata ha avuto esito positivo o negativo.
AttachmentName: nome dell'allegato.
OperationProperties: elenco di proprietà facoltative. Ad esempio, il numero di passcode OTP inviati o l'oggetto del messaggio di posta elettronica.

Attività di amministrazione di Exchange

La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Microsoft 365, registra un evento nel log di controllo quando un amministratore (o un utente a cui sono state assegnate autorizzazioni amministrative) apporta una modifica nell'organizzazione di Exchange Online. Le modifiche apportate mediante l'interfaccia di amministrazione di Exchange o eseguendo un cmdlet in PowerShell per Exchange Online vengono registrate nel log di controllo di amministrazione di Exchange. I cmdlet che iniziano con i verbi Get-, Search-oTest- non vengono registrati nel log di controllo. Per informazioni dettagliate sulla registrazione di controllo dell'amministratore in Exchange, vedere Registrazione di controllo dell'amministratore.

Importante

Alcuni cmdlet di Exchange Online che non sono stati registrati nel log di controllo di amministrazione di Exchange o nel log di controllo. Molti di questi cmdlet sono correlati alla gestione del servizio Exchange Online e sono eseguiti dal personale del centro dati Microsoft o dagli account di servizio. Questi cmdlet non vengono registrati perché comportano un gran numero di eventi di controllo "fastidiosi". Se è presente un cmdlet di Exchange Online che non viene controllato, inviare una richiesta di modifica della struttura (DCR) al Supporto tecnico Microsoft.

Di seguito sono forniti alcuni suggerimenti per la ricerca delle attività di amministrazione di Exchange durante la ricerca nel log di controllo:

Usare le caselle relative all'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca per i cmdlet eseguiti da uno specifico amministratore di Exchange in un determinato intervallo di date.
Per visualizzare gli eventi dal log di controllo dell'amministratore di Exchange, selezionare la colonna Attività per ordinare i nomi dei cmdlet in ordine alfabetico.
Per ottenere informazioni sul cmdlet eseguito, sui parametri e sui valori dei parametri usati e sugli oggetti interessati, è possibile esportare i risultati della ricerca e selezionare l'opzione Scarica tutti i risultati. Per ulteriori informazioni, vedere Esportare, configurare e visualizzare i record del log di controllo.
È anche possibile usare il comando Search-UnifiedAuditLog -RecordType ExchangeAdminin PowerShell di Exchange Online per restituire solo i record di controllo del log di controllo dell'amministratore di Exchange. Dopo l'esecuzione di un cmdlet di Exchange per la voce del log di controllo corrispondente, la restituzione dei risultati della ricerca potrebbe richiedere fino a 30 minuti. Per altre informazioni, vedere Search-UnifiedAuditLog. Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo .
È inoltre possibile visualizzare gli eventi nel log di controllo dell'amministratore di Exchange mediante l'interfaccia di amministrazione di Exchange o eseguendo Search-AdminAuditLog in PowerShell per Exchange Online. Il log di controllo è un buon modo per cercare in modo specifico l'attività eseguita dagli amministratori Exchange Online. Per istruzioni, vedere:
- Visualizzare il registro di controllo dell'amministratore
- Search-AdminAuditLog
Tenere presente che le stesse attività dell'amministratore di Exchange sono registrate sia nel log di controllo di amministrazione di Exchange che nel log di controllo.

Attività su cassette postali di Exchange

La tabella seguente elenca le attività che possono essere registrate tramite la registrazione di controllo delle cassette postali. Le attività delle cassette postali eseguite dal proprietario della cassetta postale, da un utente delegato o da un amministratore vengono registrate automaticamente nel log di controllo per un massimo di 180 giorni. L'amministratore può disattivare la registrazione di controllo delle cassette postali per tutti gli utenti dell'organizzazione. In questo caso non vengono registrate azioni di cassette postali per alcun utente. Per altre informazioni, vedere Gestire il controllo delle cassette postali.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

È anche possibile cercare le attività delle cassette postali utilizzando il cmdlet Search-MailboxAuditLog in PowerShell di Exchange Online.

Nome descrittivo	Operazione	Descrizione
Elementi delle cassette postali accessibili	MailItemsAccessed	I messaggi di una cassetta postale sono stati letti o aperti. Per questa attività i record di controllo vengono attivati nei casi seguenti: quando un client di posta elettronica, ad esempio Outlook, esegue un'operazione di binding sui messaggi oppure quando i protocolli di posta, ad esempio Exchange ActiveSync o IMAP, sincronizzano gli elementi in una cartella di posta elettronica. Hanno accesso a questa attività solo per gli utenti con una licenza di Office 365 o Microsoft 365 E5. L'analisi dei record di controllo per questa attività è utile per l'analisi di un account di posta elettronica compromesso. Per altre informazioni, vedere Audit (Premium).
Aggiunte autorizzazioni delegate per le cassette postali	Add-MailboxPermission	Un amministratore ha assegnato l'autorizzazione FullAccess per la cassetta postale a un utente (noto come delegato) alla cassetta postale di un'altra persona. L'autorizzazione FullAccess consente al delegato di aprire la cassetta postale di un'altra persona e di leggere e gestire il contenuto della cassetta postale. Il record di controllo per questa attività viene generato anche quando un account di sistema nel servizio Microsoft 365 esegue periodicamente attività di manutenzione per conto dell'organizzazione. Un'attività comune eseguita da un account di sistema è l'aggiornamento delle autorizzazioni per le cassette postali di sistema. Per ulteriori informazioni, vedere Gli account di sistema nei record di controllo delle cassette postali di Exchange.
Aggiunto o rimosso un utente con accesso delegato alla cartella del calendario	UpdateCalendarDelegation	Un utente è stato aggiunto o rimosso come delegato al calendario della cassetta postale di un altro utente. La delega del calendario assegna a un altro utente nella stessa organizzazione le autorizzazioni per la gestione del calendario del proprietario della cassetta postale.
Aggiunte autorizzazioni alla cartella	AddFolderPermissions	È stata aggiunta un'autorizzazione per una cartella. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Messaggi copiati in un'altra cartella	Copy	Un messaggio è stato copiato in un'altra cartella.
Elemento della cassetta postale creato	Creare	Viene creato un elemento nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione, l'invio o la ricezione di un messaggio non viene controllata, Inoltre, la creazione di una cartella della cassetta postale non viene verificata.
Creata una nuova regola della posta in arrivo in Outlook Web App	New-InboxRule	Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato una regola di posta in arrivo in Outlook Web App.
Messaggi eliminati dalla cartella Posta eliminata	SoftDelete	Un messaggio è stato eliminato definitivamente oppure è stato eliminato dalla cartella Posta eliminata. Questi elementi vengono spostati nella cartella Elementi ripristinabili. I messaggi vengono spostati nella cartella Elementi ripristinabili anche quando un utente li seleziona e preme MAIUSC+CANC.
Messaggio con etichetta come record	ApplyRecordLabel	Un messaggio è stato classificato come record. Si verifica quando un'etichetta di conservazione che classifica il contenuto come record viene applicata manualmente o automaticamente a un messaggio.
Messaggi spostati in un'altra cartella	Move	Un messaggio è stato spostato in un'altra cartella.
Messaggi spostati nella cartella Posta eliminata	MoveToDeletedItems	Un messaggio è stato eliminato e spostato nella cartella Posta eliminata.
Autorizzazione cartella modificata	UpdateFolderPermissions	Un'autorizzazione per una cartella è stata cambiata. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Regola della posta in arrivo modificata da Outlook Web App	Set-InboxRule	Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha modificato una regola di posta in arrivo in Outlook Web App.
Messaggi ripuliti dalla cassetta postale	HardDelete	Un messaggio è stato eliminato dalla cartella Elementi ripristinabili (eliminato in modo definitivo dalla cassetta postale).
Rimosse autorizzazioni delegate per le cassette postali	Remove-MailboxPermission	Un amministratore ha rimosso l'autorizzazione FullAccess (che era assegnata a un delegato) dalla cassetta postale di una persona. Dopo aver rimosso l'autorizzazione FullAccess, il delegato non riesce ad aprire la cassetta postale dell'altra persona o ad accedere a qualsiasi suo contenuto.
Autorizzazioni rimosse dalla cartella	RemoveFolderPermissions	Un'autorizzazione per una cartella è stata rimossa. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Messaggio inviato	Send	Un messaggio è stato inviato, inoltrato o ha ricevuto risposta. Hanno accesso a questa attività solo per gli utenti con una licenza di Office 365 o Microsoft 365 E5. Per altre informazioni, vedere Audit (Premium).
Messaggio inviato con autorizzazioni Invia come	SendAs	Un messaggio è stato inviato con l'autorizzazione SendAs, Ciò significa che un altro utente ha inviato il messaggio come se provenisse dal proprietario della cassetta postale.
Messaggio inviato con autorizzazioni Invia per conto di	SendOnBehalf	Un messaggio è stato inviato con l'autorizzazione SendOnBehalf, Ciò significa che un altro utente ha inviato il messaggio per conto del proprietario della cassetta postale. Il messaggio indica al destinatario per conto di chi è stato inviato e chi effettivamente lo ha inviato.
Regole della posta in arrivo aggiornate dal client di Outlook	UpdateInboxRules	Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato, modificato o eliminato una regola di posta in arrivo usando il client di Outlook.
Messaggio aggiornato	Update	Un messaggio o le relative proprietà sono state modificate.
Utente connesso a cassetta postale	MailboxLogin	Accesso effettuato dall'utente alla propria cassetta postale.
Messaggio con etichetta come record		Un utente ha applicato un'etichetta di conservazione a un messaggio di posta elettronica e tale etichetta è configurata in modo da contrassegnare l'elemento come record.

Account di sistema nei record di controllo delle cassette postali di Exchange

Nei record di controllo per alcune attività delle cassette postali (in particolare Add-MailboxPermissions), è possibile notare che l'utente che ha eseguito l'attività (ed è identificato nei campi User e UserId) è NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Ciò indica che l'"utente" che ha eseguito l'attività era un account di sistema nel servizio Exchange nel cloud Microsoft. Questo account di sistema spesso esegue attività di manutenzione pianificate per conto dell'organizzazione. Ad esempio, un'attività di controllo comune eseguita dall'account NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) consiste nell'aggiornare le autorizzazioni per DiscoverySearchMailbox, che è una cassetta postale di sistema. Lo scopo di questo aggiornamento è verificare che l'autorizzazione FullAccess (che è l'impostazione predefinita) sia assegnata al gruppo di ruoli Gestione individuazione per DiscoverySearchMailbox. Garantisce che gli amministratori di eDiscovery possano eseguire le attività necessarie nell'organizzazione.

Un altro account utente di sistema che può essere identificato in un record di controllo per Add-MailboxPermission è Administrator@apcprd03.prod.outlook.com. Questo account del servizio è incluso anche nei record di controllo delle cassette postali correlati alla verifica e all'aggiornamento dell'autorizzazione FullAccess assegnato al gruppo di ruoli Gestione individuazione per la cassetta postale di sistema DiscoverySearchMailbox. In particolare, i record di controllo che identificano l'account vengono in genere attivati quando il Administrator@apcprd03.prod.outlook.com personale del supporto Tecnico Microsoft esegue uno strumento di diagnostica del controllo degli accessi in base al ruolo per conto dell'organizzazione.

Attività su file e pagine

La tabella seguente descrive le attività su file e pagine in SharePoint Online e OneDrive for Business.

Nome descrittivo	Operazione	Descrizione
File aperto	FileAccessed	Un utente o un account di sistema esegue l'accesso a un file. Quando un utente accede a un file, l'evento FileAccessed non viene registrato di nuovo per lo stesso utente per lo stesso file per i cinque minuti successivi.
(nessuno)	FileAccessedExtended	Elemento correlato all'attività "File aperto" (FileAccessed). Un evento FileAccessedExtended viene registrato quando la stessa persona accede in modo continuativo a un file per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi FileAccessedExtended è di ridurre il numero di eventi FileAccessed registrati quando si accede a un file in modo continuativo. Ciò consente di ridurre il numero di record FileAccessed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileAccessed iniziale (e più importante).
Etichetta di conservazione modificata per un file	ComplianceSettingChanged	È stata applicata o rimossa un'etichetta di conservazione da un documento. Questo evento viene generato quando un'etichetta di conservazione viene applicata manualmente o automaticamente a un messaggio.
Stato del record modificato in bloccato	LockRecord	Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato bloccato. Ciò significa che non è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.
Stato del record modificato in sbloccato	UnlockRecord	Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato sbloccato. Ciò significa che è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.
File archiviato	FileCheckedIn	Un utente archivia un documento estratto da una raccolta documenti.
File estratto	FileCheckedOut	Un utente estrae un documento da una raccolta documenti. Gli utenti possono estrarre e apportare modifiche ai documenti condivisi con loro.
File copiato	FileCopied	Un utente copia un documento da un sito. Il file copiato può essere salvato in un'altra cartella nel sito.
File eliminato	FileDeleted	Un utente elimina un documento da un sito.
File eliminato dal Cestino	FileDeletedFirstStageRecycleBin	L'utente elimina un file dal Cestino di un sito.
File eliminato dal Cestino di secondo livello	FileDeletedSecondStageRecycleBin	L'utente elimina un file dal Cestino di secondo livello di un sito.
File eliminato contrassegnato come record	RecordDelete	Un documento o messaggio di posta elettronica contrassegnato come record è stato eliminato. Un elemento viene considerato record se all’elemento è applicata un'etichetta di conservazione che contrassegna il contenuto come record.
È stata rilevata una mancata corrispondenza della riservatezza del documento	DocumentSensitivityMismatchDetected	Un utente carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito. Ad esempio, un documento con etichetta Riservato viene caricato in un sito con etichetta Generale. Questo evento non viene attivato se il documento ha un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. Per altre informazioni sulla priorità dell'etichetta di riservatezza, vedere Priorità dell'etichetta (l’ordine è importante).
Malware rilevato nel file	FileMalwareDetected	Il motore antivirus di SharePoint rileva malware in un file.
Estrazione file rimossa	FileCheckOutDiscarded	L'utente rimuove (o annulla) un file estratto. Ciò significa che eventuali modifiche apportate al file al momento dell'estrazione vengono eliminate e non vengono salvate nella versione del documento nella raccolta documenti.
File scaricato	FileDownloaded	Un utente scarica un documento da un sito.
File modificato	FileModified	Un utente o un account di sistema modifica il contenuto o le proprietà di un documento in un sito. Il sistema attende cinque minuti prima di registrare un altro evento FileModified quando lo stesso utente modifica il contenuto o le proprietà dello stesso documento.
(nessuno)	FileModifiedExtended	Elemento correlato all'attività "File modificato" (FileModified). Un evento FileModifiedExtended viene registrato quando la stessa persona modifica in modo continuativo un file per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi FileModifiedExtended è di ridurre il numero di eventi FileModified registrati quando si modifica un file in modo continuativo. Ciò consente di ridurre il numero di record FileModified per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileModified iniziale (e più importante).
File spostato	FileMoved	Un utente sposta un documento dalla posizione corrente in un sito a una nuova posizione.
(nessuno)	FilePreviewed	L'utente visualizza in anteprima i file in un sito di SharePoint Online o di OneDrive for Business. Questi eventi si verificano in genere in volumi elevati in base a una singola attività, ad esempio la visualizzazione di una raccolta immagini.
Query di ricerca eseguita	SearchQueryPerformed	Un account utente o di sistema esegue una ricerca in SharePoint o in OneDrive for Business. Alcuni scenari comuni in cui un account del servizio esegue una query di ricerca includono l'applicazione di criteri di conservazione o blocchi di eDiscovery a siti e account di OneDrive e l'applicazione automatica di etichette di conservazione o riservatezza al contenuto del sito.
Un file è stato riciclato	FileRecycled	L'utente sposta un file nel Cestino di SharePoint.
Una cartella è stata riciclata	FolderRecycled	L'utente sposta una cartella nel Cestino di SharePoint.
Tutte le versioni secondarie di un file vengono spostate nel Cestino	FileVersionsAllMinorsRecycled	L'utente elimina tutte le versioni secondarie dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito.
Tutte le versioni di un file vengono spostate nel Cestino	FileVersionsAllRecycled	L'utente elimina tutte le versioni dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito.
La versione di un file viene spostata nel Cestino	FileVersionRecycled	L'utente una versione dalla cronologia delle versioni di un file. La versione eliminata viene spostata nel Cestino del sito.
File rinominato	FileRenamed	Un utente rinomina un documento in un sito.
File ripristinato	FileRestored	Un utente ripristina un documento dal Cestino di un sito.
File caricato	FileUploaded	Un utente carica un documento in una cartella in un sito.
Pagina visualizzata	PageViewed	Utente visualizza una pagina in un sito, ma non usa un Web browser per visualizzare i file presenti in una raccolta documenti. Quando un utente visualizza una pagina, l'evento PageViewed non viene registrato di nuovo per lo stesso utente per la stessa pagina per i cinque minuti successivi.
(nessuno)	PageViewedExtended	Elemento correlato all'attività "Pagina visualizzata" (PageViewed). Un evento PageViewedExtended viene registrato quando la stessa persona visualizza in modo continuativo una pagina Web per un periodo prolungato (fino a 3 ore). Lo scopo della registrazione di eventi PageViewedExtended è di ridurre il numero di eventi PageViewed registrati quando si visualizza una pagina Web in modo continuativo. Ciò consente di ridurre il numero di record PageViewed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento PageViewed iniziale (e più importante).
Visualizzazione segnalata dal client	ClientViewSignaled	Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha segnalato che la pagina indicata è stata visualizzata dall'utente. Questa attività viene spesso registrata dopo un evento PagePrefetched per una pagina. NOTA: poiché gli eventi ClientViewSignaled sono segnalati dal client, anziché dal server, è possibile che l'evento non sia registrato dal server e che quindi non compaia nel log di controllo. È anche possibile che le informazioni nel record di controllo non siano attendibili. Tuttavia, dato che l'identità dell'utente viene convalidata mediante il token usato per creare il segnale, l'identità dell'utente riportata nel record di controllo corrispondente è accurata. Il sistema attende cinque minuti prima di registrare lo stesso evento quando il client dello stesso utente segnala che la pagina è stata visualizzata di nuovo dall'utente.
(nessuno)	PagePrefetched	Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha richiesto la pagina indicata per migliorare le prestazioni in caso di esplorazione da parte dell'utente. Questo evento viene registrato per indicare che il contenuto della pagina è stato servito al client dell'utente. Questo evento non indica definitivamente che l'utente è passato alla pagina. Quando il contenuto della pagina viene visualizzato dal client (come richiesto dall'utente), è necessario generare un evento ClientViewSignaled. Non tutti i client supportano l'indicazione di caricamento in background, pertanto alcune attività predefinite potrebbero essere registrate come eventi PageViewed.

Domande frequenti sugli eventi FileAccessed e FilePreviewed

È possibile che attività non utente attivino record di controllo FilePreviewed che contengono un agente utente come "OneDriveMpc-Transform_Thumbnail"?

Non si è a conoscenza degli scenari in cui le azioni non utente generano eventi di questo tipo. Azioni utente come l'apertura di una scheda del profilo utente (selezionando il nome o l'indirizzo di posta elettronica in un messaggio in Outlook sul web) genererebbero eventi simili.

Le chiamate a OneDriveMpc-Transform_Thumbnail vengono sempre attivate intenzionalmente dall'utente?

No. Tuttavia, eventi simili possono essere registrati come il risultato del browser pre-fetch.

Se viene visualizzato un evento FilePreviewed derivante da un indirizzo IP registrato Microsoft, significa che l'anteprima è stata visualizzata sullo schermo del dispositivo dell'utente?

No. L'evento potrebbe essere stato registrato come il risultato del browser pre-fetch.

Esistono scenari in cui un utente che visualizza l'anteprima di un documento genera eventi FileAccessed?

Sia gli eventi FilePreviewed che FileAccessed indicano che una chiamata utente ha portato a una lettura del file (o a una lettura del rendering dell'anteprima del file). Mentre questi eventi devono essere allineati all'intento anteprima vs accesso, la distinzione dell'evento non garantisce l'intento dell'utente.

L'utente app@sharepoint nei record di controllo

Nei record di controllo relativi ad alcune attività di file (e altre attività correlate a SharePoint) l'utente che ha eseguito l'attività, identificato nei campi User e UserId, è app@sharepoint. Questo indica che l'utente che ha eseguito l'attività è in realtà un'applicazione. In questo caso, in SharePoint all'applicazione sono state concesse le autorizzazioni per eseguire le azioni a livello di organizzazione, ad esempio cercare un sito di SharePoint o un account di OneDrive, per conto di un utente, un amministratore o un servizio. Questo processo di assegnazione delle autorizzazioni a un'applicazione viene definito accesso di tipo solo app di SharePoint. Questo indica che l'autenticazione presentata a SharePoint per eseguire un'azione è stata eseguita da un'applicazione, anziché da un utente. Questo è il motivo per cui in determinati record di controllo è presente l'utente app@sharepoint. Per altre informazioni, vedere Concedere l'accesso di tipo solo app di SharePoint.

Ad esempio, app@sharepoint spesso viene identificato come utente per gli eventi "La query di ricerca è stata eseguita" e "File aperto". Il motivo è che un'applicazione con accesso di tipo solo app di SharePoint nell'organizzazione esegue query di ricerca e accede ai file durante l'applicazione di criteri di conservazione a siti e account di OneDrive.

Ecco alcuni altri scenari in cui è possibile identificare app@sharepoint in un record di controllo come utente che ha eseguito un'attività:

Gruppi di Microsoft 365. Quando un utente o un amministratore crea un nuovo gruppo, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint. Queste attività vengono eseguite da un'applicazione per conto dell'utente che ha creato il gruppo.
Microsoft Teams. Analogamente a Gruppi di Microsoft 365, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint quando si crea un team.
Funzionalità di conformità. Quando un amministratore implementa funzionalità di conformità, come i criteri di conservazione, i blocchi di eDiscovery e l'applicazione automatica delle etichette di sensitività.

In questi e altri scenari si noterà anche che sono stati creati più record di controllo usando app@sharepoint come utente specificato in un intervallo di tempo breve, spesso a pochi secondi di distanza l'uno dall'altro. Questo indica anche che probabilmente sono stati attivati dalla stessa attività avviata dall'utente. Anche i campi ApplicationDisplayName e EventData nel record di controllo possono essere utili per identificare lo scenario o l'applicazione che ha generato l'evento.

Attività su cartelle

La tabella seguente descrive le attività di cartella in SharePoint Online e OneDrive for Business. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo	Operazione	Descrizione
Cartella copiata	FolderCopied	L'utente copia una cartella da un sito in un'altra posizione in SharePoint o OneDrive for Business.
Cartella creata	FolderCreated	L'utente crea una cartella in un sito.
Cartella eliminata	FolderDeleted	L'utente elimina una cartella da un sito.
Cartella eliminata dal Cestino	FolderDeletedFirstStageRecycleBin	L'utente elimina una cartella dal Cestino di un sito.
Cartella eliminata dal Cestino di secondo livello	FolderDeletedSecondStageRecycleBin	L'utente elimina una cartella dal Cestino di secondo livello di un sito.
Cartella modificata	FolderModified	L'utente modifica una cartella in un sito. Vengono modificati anche i metadati della cartella, ad esempio tag e proprietà.
Cartella spostata	FolderMoved	L'utente sposta una cartella in una posizione diversa in un sito.
Cartella rinominata	FolderRenamed	L'utente rinomina una cartella in un sito.
Cartella ripristinata	FolderRestored	L'utente ripristina una cartella eliminata dal Cestino di un sito.

Attività barriere informative

La tabella seguente elenca le attività relative alle barriere informative registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle barriere informative, vedere Ulteriori informazioni sulle barriere informative in Microsoft 365.

Nome descrittivo	Operazione	Descrizione
Modifica dell'impostazione di AppBypassInformationBarrier per il tenant	AppBypassInformationBarrier	Un amministratore di SharePoint o globale ha modificato l'accesso alle app per i siti di SharePoint.
Modalità barriera delle informazioni applicata al sito	SiteIBModeSet	Un amministratore di SharePoint o globale ha applicato una modalità al sito.
Segmenti applicati al sito	SiteIBSegmentsSet	Un amministratore di SharePoint o globale, oppure il proprietario di un sito ha aggiunto uno o più segmenti di barriere informative a un sito.
Modifica della modalità barriera delle informazioni del sito	SiteIBModeChanged	Un amministratore di SharePoint o globale ha aggiornato la modalità del sito.
Segmenti di sito modificati	SiteIBSegmentsChanged	Un amministratore di SharePoint o globale ha modificato uno o più segmenti di barriere informative per un sito.
Barriere informative disabilitate per SharePoint e OneDrive	SPOIBIsDisabled	Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione.
Barriere informative abilitate per SharePoint e OneDrive	SPOIBIsEnabled	Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione.
Report informazioni dettagliate sulle barriere informative completato	InformationBarriersInsightsReportCompleted	Il sistema completa la compilazione del report informazioni dettagliate sulle barriere.
Report informazioni dettagliate sulle barriere informative Su cui è stata eseguita una query nella sezione OneDrive	InformationBarriersInsightsReportOneDriveSectionQueried	Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per gli account OneDrive.
Report informazioni dettagliate sulle barriere informative pianificato	InformationBarriersInsightsReportSchedule	Un amministratore pianifica il report informazioni dettagliate sulle barriere.
Report informazioni dettagliate sulle barriere informative su SharePoint su cui è stata eseguita una query	InformationBarriersInsightsReportSharePointSectionQueried	Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per i siti di SharePoint.
Segmento rimosso dal sito	SiteIBSegmentsRemoved	Un amministratore di SharePoint o globale ha rimosso uno o più segmenti di barriere informative da un sito.

Microsoft Defender per endpoint attività di impostazioni generali

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni generali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle impostazioni Microsoft Defender per endpoint, vedere Configurare le impostazioni generali di Defender per endpoint.

Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo	Operazione	Descrizione
Pacchetto offboarding scaricato	DownloadOffboardingPkg	Scaricato il pacchetto usato per rimuovere i dispositivi da Defender per endpoint.
Pacchetto di onboarding scaricato	DownloadOnboardingPkg	Scaricato il pacchetto usato per eseguire l'onboarding dei dispositivi in Defender per endpoint.
Conservazione dei dati modificata	ChangeDataRetention	Modifica delle impostazioni di conservazione dei dati per Defender per endpoint.
Impostare le funzionalità avanzate	SetAdvancedFeatures	Sono state modificate le funzionalità avanzate in Defender per endpoint, consentendo controlli più precisi durante un evento imprevisto. Nel log di controllo di Microsoft 365 vengono registrate solo le impostazioni per le funzionalità avanzate disponibili a livello generale.

Microsoft Defender per endpoint le attività relative alle impostazioni degli indicatori

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni degli indicatori registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli indicatori Microsoft Defender per endpoint, vedere Gestire gli indicatori.

Nome descrittivo	Operazione	Descrizione
Indicatore aggiunto	AddIndicator	È stato creato un nuovo indicatore di compromissione che è possibile usare per tenere traccia di attacchi ed eventi.
Indicatore modificato	EditIndicator	Modifica di un indicatore di compromissione.
Indicatore eliminato	DeleteIndicator	È stato rimosso un indicatore di compromissione.

Microsoft Defender per endpoint attività di reponse actions

La tabella seguente elenca le attività per le azioni di risposta Microsoft Defender per endpoint registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle azioni Microsoft Defender per endpoint repsonse, vedere Eseguire azioni di risposta in un dispositivo.

Nome descrittivo	Operazione	Descrizione
Pacchetto di indagine raccolto	CollectInvestigationPackage	Informazioni raccolte su un dispositivo usato per comprendere gli strumenti e le tecniche di attacco.
Esecuzione dell'analisi antivirus	RunAntiVirusScan	Esecuzione Microsoft Defender'analisi antivirus in un dispositivo.
Esecuzione di app con restrizioni	RestrictAppExecution	Impedire l'esecuzione di un'app dannosa.
Rimosse le restrizioni per le app	RemoveAppRestrictions	Consentire l'esecuzione di un'app.
Dispositivo isolato	IsolateDevice	Isolamento di un dispositivo dalla rete, per evitare che gli attacchi si diffondano.
Rilasciato dall'isolamento	ReleaseFromIsolation	È stato aggiunto di nuovo un dispositivo isolato alla rete.
File arrestato e in quarantena	StopAndQuarantineFile	Messo in quarantena un file suspicous per un'ulteriore analisi.
File scaricato	DownloadFile	Scaricato un file sospetto per ulteriori indagini.
Dispositivo offboarded	DeviceOffBoarding	È stato rimosso un dispositivo da Defender per endpoint.
API di risposta in tempo reale in esecuzione	RunLiveResponseApi	È stata aperta una sessione di risposta dinamica tramite una chiamata API, aprendo una shell remota in un dispositivo.
Log raccolti	LogsCollection	Informazioni di log raccolte su Defender per endpoint.
Ran get live response file link (Collegamento al file di risposta in tempo reale)	LiveResponseGetFile	È stata aperta una sessione di risposta live, aprendo una shell remota in un dispositivo.

Microsoft Defender per endpoint le attività delle impostazioni dei ruoli

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni del ruolo registrate nel log di controllo di Microsoft 365. Per altre informazioni sui ruoli in Microsoft Defender per endpoint, vedere Creare e gestire ruoli per il controllo degli accessi in base al ruolo.

Nome descrittivo	Operazione	Descrizione
AddRole	Aggiunta del ruolo	Aggiunta di nuovi ruoli di sicurezza e autorizzazioni.
EditRole	Ruolo modificato	Ruoli di sicurezza e autorizzazioni modificati.
DeleteRole	Ruolo eliminato	Sono stati rimossi i ruoli di sicurezza e le autorizzazioni.

Microsoft Defender per le attività degli esperti

La tabella seguente elenca le attività in Microsoft Defender Experts registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli esperti Microsoft Defender, vedere Informazioni sugli esperti Microsoft Defender per XDR e Informazioni su Microsoft Defender Experts for Hunting

Nome descrittivo	Operazione	Descrizione
Autorizzazione dell'analista di Defender Experts creata	DefenderExpertsAnalystPermissionCreated	Un amministratore ha concesso una o più autorizzazioni di ruolo agli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce.
Autorizzazione dell'analista di Defender Experts modificata	DefenderExpertsAnalystPermissionModified	Un amministratore ha modificato le autorizzazioni del ruolo per gli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce.

attività Microsoft Defender per identità

Nella tabella seguente sono elencate le attività per Microsoft Defender per identità registrate nel log di controllo di Microsoft 365.

Per visualizzare Microsoft Defender per identità attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo	Operazione	Descrizione
Tag di entità aggiornati	TaggingConfigurationUpdated	Un tag è stato aggiunto o rimosso da un'entità.
Aggiunta della configurazione delle esclusioni	ExclusionConfigurationAdded	È stata aggiunta un'esclusione globale per un avviso o per un'entità.
Configurazione delle esclusioni aggiornate	ExclusionConfigurationUpdated	Un'esclusione globale è stata aggiornata per un avviso o per un'entità.
Configurazione delle esclusioni eliminate	ExclusionConfigurationDeleted	Un'esclusione globale è stata eliminata per un avviso o per un'entità.
Configurazione aggiornata della soglia di avviso	WorkspaceAlertThresholdLevelUpdated	La configurazione delle soglie degli avvisi è stata aggiornata.
Avviso di sicurezza scaricato Excel	AlertExcelDownloaded	Il file di Excel dettagliato di un avviso è stato scaricato.
Aggiunta dell'azione di correzione	RemediationActionAdded	È stata aggiunta un'azione di correzione alla coda.
Azione di correzione aggiornata	RemediationActionUpdated	È stata completata un'azione di correzione.
Configurazione del sensore aggiornata	SensorConfigurationUpdated	La configurazione di un sensore è stata aggiornata.
Aggiunta del sensore	SensorCreated	È stato aggiunto un nuovo sensore.
Sensore rimosso	SensorDeleted	Un sensore è stato eliminato.
Chiave di distribuzione del sensore recuperata	SensorDeploymentAccessKeyReceived	La chiave di accesso dei sensori è stata recuperata.
Chiave di distribuzione del sensore rigenerato	SensorDeploymentAccessKeyUpdated	La chiave di accesso dei sensori è stata rigenerata.
Copertura controller di dominio scaricata In Excel	DomainControllerCoverageExcelDownloaded	Il file di Excel di copertura del controller di dominio è stato scaricato.
Aggiornamento della configurazione dell'account dei servizi directory	DirectoryServicesAccountConfigurationUpdated	Il set di account dei servizi directory è stato modificato.
Aggiornamento della configurazione dell'azione di correzione	RemediationActionConfigurationUpdated	Il set Gestisci account azione è stato modificato.
Configurazione aggiornata della correzione delle entità	EntityRemediatorConfigurationUpdated	La modalità Gestisci account azione è stata modificata.
Problema di integrità aggiornato	MonitoringAlertUpdated	È stato modificato un problema di integrità.
Report scaricato	ReportDownloaded	È stato scaricato un report.
Configurazione aggiornata del reporter	ReporterConfigurationUpdated	La pianificazione di un report è stata modificata.
Configurazione dell'inoltro syslog aggiornato	SyslogServiceConfigurationUpdated	La configurazione di inoltro syslog è stata modificata.
Configurazione aggiornata delle notifiche di sicurezza	NotificationConfigurationUpdated	La configurazione delle notifiche degli avvisi di sicurezza o dei problemi di integrità è stata modificata.
Aggiunta del destinatario della notifica di avviso	AlertNotificationsRecipientAdded	Un destinatario è stato aggiunto alla configurazione della notifica degli avvisi di sicurezza.
Destinatario della notifica di avviso eliminato	AlertNotificationsRecipientDeleted	Un destinatario è stato rimosso dalla configurazione della notifica degli avvisi di sicurezza.
Aggiunta del destinatario della notifica dei problemi di integrità	MonitoringAlertNotificationRecipientAdded	Un destinatario è stato aggiunto alla configurazione di notifica dei problemi di integrità.
Destinatario di notifica dei problemi di integrità eliminati	MonitoringAlertNotificationRecipientDeleted	Un destinatario è stato rimosso dalla configurazione della notifica problemi di integrità.
Configurazione VPN aggiornata	VpnConfigurationUpdated	La configurazione VPN (radius accounting) è stata modificata.
Aggiornamento della configurazione del controllo degli accessi in base al ruolo unificato	URbacAuthorizationStatusChanged	La configurazione Controllo di accesso basata su ruoli unificata è stata modificata.
Area di lavoro creata	WorkspaceCreated	L'area di lavoro è stata creata.
Area di lavoro eliminata	WorkspaceDeleted	L'area di lavoro è stata eliminata.

Microsoft Defender XDR attività di rilevamento personalizzate

Nella tabella seguente sono elencate le attività di rilevamento personalizzate per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft Defender XDR rilevamenti personalizzati, vedere Creare e gestire regole di rilevamento personalizzate.

Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo	Operazione	Descrizione
Regola di rilevamento personalizzata creata	CreateCustomDetection	È stata creata una nuova regola di rilevamento personalizzata.
Regola di rilevamento personalizzata modificata	EditCustomDetection	È stata modificata una regola di rilevamento personalizzata.
Stato della regola di rilevamento personalizzata modificata	ChangeCustomDetectionRuleStatus	Una regola di rilevamento personalizzata è stata disattivata o attivata.
È stata eseguita una regola di rilevamento personalizzata	RunCustomDetection	È stata eseguita manualmente una regola di rilevamento personalizzata.
Regola di rilevamento personalizzata eliminata	DeleteCustomDetection	È stata rimossa una regola di rilevamento personalizzata.

Microsoft Defender XDR attività impreviste

La tabella seguente elenca le attività degli eventi imprevisti per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli eventi imprevisti in Microsoft Defender XDR, vedere Panoramica degli eventi imprevisti.

Nome descrittivo	Operazione	Descrizione
Aggiunta di un commento all'evento imprevisto	AddCommentToIncident.	Aggiunta di un commento all'evento imprevisto.
Utente assegnato all'evento imprevisto	AssignUserToIncident	Utente assegnato all'evento imprevisto.
Utente non assegnato all'evento imprevisto	UnAssignUserFromIncident	Utente non assegnato all'evento imprevisto.
Stato degli eventi imprevisti aggiornati	UpdateIncidentStatus	Stato eventi imprevisti aggiornati.
Modificare la classificazione degli eventi imprevisti	EditIncidentClassification	Modificare la classificazione degli eventi imprevisti.
Aggiunta di tag all'evento imprevisto	AddTagsToIncident	Aggiunta di tag all'evento imprevisto.
Tag rimossi dall'evento imprevisto	RemoveTagsFromIncident	Tag rimossi dall'evento imprevisto.

attività delle regole di eliminazione Microsoft Defender XDR

Nella tabella seguente sono elencate le attività per le regole di eliminazione per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle regole di eliminazione in Microsoft Defender XDR, vedere Gestire le regole di eliminazione.

Nome descrittivo	Operazione	Descrizione
Regola di eliminazione creata	CreateSuppressionRule	Regola di sopressione degli avvisi creata.
Regola di eliminazione modificata	EditSuppressionRule	Regola di sopressione degli avvisi eliminata.
Regola di eliminazione abilitata	EnableSuppressionRule	Regola di pressione degli avvisi abilitata.
Regola di eliminazione disabilitata	DisableSuppressionRule	Regola di pressione degli avvisi disabilitata.
Regola di eliminazione eliminata	DeleteSuppressionRule	Regola di sopressione degli avvisi eliminata.

Attività di Microsoft Fabric

È possibile eseguire una ricerca nel log di controllo per le attività in Power BI. Per informazioni sulle impostazioni di controllo, vedere Impostazioni del tenant di controllo e utilizzo.

La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365. Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore. Per istruzioni, vedere Attivare il controllo.

Attività di Microsoft Forms

Le tabelle in questa sezione indicano le attività dell'utente e dell'amministratore in Microsoft Forms registrate nel registro di controllo. Microsoft Forms è uno strumento per la creazione di moduli, test e sondaggi usato per raccogliere dati a scopo di analisi. Dove indicato di seguito nelle descrizioni, alcune operazioni contengono parametri di attività aggiuntivi.

Se un'attività Forms viene eseguita da un coautore o da un risponditore anonimo, viene registrata in modo leggermente diverso. Per altre informazioni, vedere la sezione Attività di Forms eseguite da coautori e partecipanti anonimi.

Nota

Alcune attività di controllo di Forms sono disponibili solo in Audit (Premium). Questo significa che agli utenti deve essere assegnata la licenza appropriata prima di registrare queste attività nel registro di controllo. Per altre informazioni, vedere Audit (Premium). Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.

Nella tabella seguente le attività di Audit (Premium) sono evidenziate con un asterisco (*).

Nome descrittivo	Operazione	Descrizione
Commento creato	CreateComment	Il proprietario del modulo aggiunge un commento o il punteggio a un test.
Modulo creato	CreateForm	Il proprietario del modulo crea un nuovo modulo. Proprietà DataMode: la stringa indica che il modulo corrente è impostato per la sincronizzazione con una cartella di lavoro Excel nuova o esistente se il valore della proprietà è uguale a DataSync. Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente.
Modulo modificato	EditForm	Il proprietario del modulo modifica un modulo, ad esempio creando, eliminando o modificando una domanda. La proprietà EditOperation:string indica il nome dell'operazione di modifica. Le operazioni possibili sono: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage include qualsiasi posizione all'interno di Forms in cui l'utente può caricare un'immagine, ad esempio in una query o come tema di sfondo.
Modulo spostato	MoveForm	Il proprietario del modulo sposta un modulo. La proprietà DestinationUserId:stringa indica l'ID utente della persona che ha spostato il modulo. La proprietà NewFormId:stringa è il nuovo ID per il modulo appena copiato. Proprietà IsDelegateAccess: booleano che indica che l'azione di spostamento del modulo corrente viene eseguita tramite la pagina del delegato amministratore.
Modulo eliminato	DeleteForm	Il proprietario del modulo elimina un modulo. Include SoftDelete (uso dell'opzione Elimina e spostamento del modulo nel Cestino) e HardDelete (svuotamento del Cestino).
Modulo visualizzato (fase di progettazione)	ViewForm	Il proprietario del modulo apre un modulo esistente per la modifica. Property AccessDenied: booleano che indica che l'accesso al modulo corrente è negato a causa del controllo delle autorizzazioni. Proprietà FromSummaryLink: booleano che indica che la richiesta corrente proviene dalla pagina del collegamento di riepilogo.
Modulo visualizzato in anteprima	PreviewForm	Il proprietario del modulo visualizza un modulo in anteprima usando la funzione Anteprima.
Modulo esportato	ExportForm	Il proprietario del modulo esporta i risultati in Excel. La proprietà ExportFormat:stringa indica se il file di Excel è scaricato oppure online.
Condivisione del modulo per la copia consentita	AllowShareFormForCopy	Il proprietario del modulo crea un collegamento a un modello per condividere il modulo con altri utenti. Questo evento viene registrato quando il proprietario del modulo seleziona per generare l'URL del modello.
Condivisione del modulo per la copia non consentita	DisallowShareFormForCopy	Il proprietario del modulo elimina il collegamento al modello.
Coautore del modulo aggiunto	AddFormCoauthor	Un utente usa un collegamento per la collaborazione per aiutare nella progettazione o nella visualizzazione delle risposte. Questo evento viene registrato quando un utente usa un URL di collaborazione (non quando viene generato l'URL di collaborazione).
Coautore del modulo rimosso	RemoveFormCoauthor	Il proprietario del modulo elimina un collegamento per la collaborazione.
Pagina di risposta visualizzata	ViewRuntimeForm	L'utente ha aperto una pagina di risposta per la visualizzazione. Questo evento viene registrato indipendentemente dal fatto che l'utente invii o meno una risposta.
Risposta creata	CreateResponse	Simile alla ricezione di una nuova risposta. Un utente ha inviato una risposta a un modulo. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un partecipante anonimo, la proprietà ResponderId sarà Null.
Risposta aggiornata	UpdateResponse	Il proprietario del modulo ha aggiornato un commento o il punteggio di un test. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un risponditore anonimo, la proprietà ResponderId è Null.
Tutte le risposte eliminate	DeleteAllResponses	Il proprietario del modulo elimina tutti i dati delle risposte.
Risposta eliminata	DeleteResponse	Il proprietario del modulo elimina una risposta. La proprietà ResponseId:stringa indica la risposta eliminata.
Risposte visualizzate	ViewResponses	Il proprietario del modulo visualizza l'elenco aggregato di risposte. La proprietà ViewType:stringa indica se il proprietario del modulo visualizza i dati in dettaglio o in forma aggregata
Risposta visualizzata	ViewResponse	Il proprietario del modulo visualizza una risposta specifica. Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato. Per un risponditore anonimo, la proprietà ResponderId è Null.
Collegamento di riepilogo creato	GetSummaryLink	Il proprietario del modulo crea un collegamento ai risultati di riepilogo per condividere i risultati.
Collegamento di riepilogo eliminato	DeleteSummaryLink	Il proprietario del modulo elimina il collegamento ai risultati di riepilogo.
Stato di phishing modulo aggiornato	UpdatePhishingStatus	Questo evento viene registrato ogni volta che viene modificato il valore dettagliato dello stato di sicurezza interno, indipendentemente dal fatto che sia stato modificato lo stato di sicurezza finale, ad esempio il modulo ora è chiuso o aperto. Ciò significa che potrebbero comparire eventi duplicati senza il cambiamento dello stato di sicurezza finale. I possibili valori di stato per l'evento sono: - Rimuovi - Rimuovi da amministratore - Amministratore sbloccato - Bloccato automaticamente - Sbloccato automaticamente - Cliente segnalato - Reimpostare cliente segnalato
Stato di phishing utente aggiornato	UpdateUserPhishingStatus	Questo evento viene registrato ogni volta che viene modificato il valore per lo stato di sicurezza degli utenti. Il valore dello stato dell'utente nel record di controllo è Confermato come phisher quando l'utente ha creato un modulo di phishing che è stato rimosso dal team di sicurezza online di Microsoft. Se un amministratore sblocca l'utente, il valore dello stato dell'utente è impostato su Reimposta come utente normale.
Invito a Forms Pro inviato	ProInvitation	L'utente seleziona per attivare una versione di valutazione Pro.
Impostazione modulo aggiornata^*	UpdateFormSetting	Il proprietario del modulo aggiorna una o più impostazioni del modulo. Proprietà FormSettingName: la stringa che indica il nome delle impostazioni sensibili aggiornate. Proprietà NewFormSettings: la stringa che indica il nome delle impostazioni aggiornate e il nuovo valore. Proprietà thanksYouMessageContainsLink:booleano che indica che il messaggio di ringraziamento aggiornato contiene un collegamento URL.
Impostazione utente aggiornata	UpdateUserSetting	Il proprietario del modulo aggiorna un'impostazione utente. La proprietà UserSettingName:stringa indica il nome e il nuovo valore dell'impostazione
Moduli elencati^*	ListForms	Il proprietario del modulo sta visualizzando un elenco di moduli. La proprietà ViewType:stringa indica la visualizzazione esaminata dal proprietario del modulo: tutti i moduli, condivisi con l'utente o moduli dei gruppi
Risposta inviata	SubmitResponse	Un utente invia una risposta a un modulo. La proprietà IsInternalForm:booleano indica se il partecipante si trova nella stessa organizzazione del proprietario del modulo.
Impostazione Chiunque può rispondere abilitata^*	AllowAnonymousResponse	Il proprietario del modulo attiva l'impostazione che consente a chiunque di rispondere al modulo.
Impostazione Chiunque può rispondere disabilitata^*	DisallowAnonymousResponse	Il proprietario del modulo disattiva l'impostazione che consente a chiunque di rispondere al modulo.
Impostazione Persone specifiche possono rispondere abilitata^*	EnableSpecificResponse	Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo.
Impostazione Persone specifiche possono rispondere disabilitata^*	DisableSpecificResponse	Il proprietario del modulo diattiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo.
Risponditore specifico aggiunto^*	AddSpecificResponder	Il proprietario del modulo aggiunge un nuovo utente o gruppo all'elenco dei risponditori specifici.
Risponditore specifico rimosso^*	RemoveSpecificResponder	Il proprietario del modulo rimuove un utente o un gruppo dall'elenco dei risponditori specifici.
Collaborazione disabilitata^*	DisableCollaboration	Il proprietario del modulo disattiva l'impostazione di collaborazione nel modulo.
Collaborazione nell'account aziendale o dell'istituto di istruzione di Office 365 abilitata^*	EnableWorkOrSchoolCollaboration	Il proprietario del modulo attiva l'impostazione che consente agli utenti con un account aziendale o dell'istituto di istruzione di Microsoft 365 di visualizzare e modificare il modulo.
Collaborazione delle persone dell'organizzazione abilitata^*	EnableSameOrgCollaboration	Il proprietario del modulo attiva l'impostazione che consente agli utenti dell'organizzazione corrente di visualizzare e modificare il modulo.
Collaborazione di persone specifiche abilitata^*	EnableSpecificCollaboaration	Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di visualizzare e modificare il modulo.
Connesso a cartella di lavoro Excel^*	ConnectToExcelWorkbook	Il modulo è stato connesso a una cartella di lavoro di Excel. Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente.
È stata creata una raccolta	CollectionCreated	Il proprietario del modulo ha creato una raccolta.
È stata aggiornata una raccolta	CollectionUpdated	Il proprietario del modulo ha aggiornato una proprietà della raccolta.
La raccolta è stata eliminata dal Cestino	CollectionHardDeleted	Il proprietario del modulo ha eliminato definitivamente una raccolta dal Cestino.
La raccolta è stata spostata nel Cestino	CollectionSoftDeleted	Il proprietario del modulo ha spostato una raccolta nel Cestino.
È stata rinominata una raccolta	CollectionRenamed	Il proprietario del modulo ha modificato il nome di una raccolta.
È stato spostato un modulo nella raccolta	MovedFormIntoCollection	Il proprietario del modulo ha spostato un modulo in una raccolta.
È stato spostato un modulo all'esterno della raccolta	MovedFormOutofCollection	Il proprietario del modulo ha spostato un modulo fuori da una raccolta.

Attività di Forms eseguite da coautori e partecipanti anonimi

Forms supporta la collaborazione quando i moduli vengono progettati e durante l'analisi delle risposte. Un collaboratore di moduli è noto come coautore. I coautori possono eseguire tutte le operazioni eseguibili da un proprietario del modulo, tranne l'eliminazione o lo spostamento di un modulo. Forms consente anche di creare un modulo a cui è possibile rispondere in modo anonimo. Questo significa che non è necessario che il partecipante sia connesso all'organizzazione per rispondere a un modulo.

La tabella seguente descrive le attività di controllo e le informazioni del record di controllo relative alle attività eseguite dai coautori e dai partecipanti anonimi.

Tipo di attività	Utente interno o esterno	ID utente registrato	Organizzazione a cui si è connessi	Tipo di utente Forms
Attività di creazione condivisa	Interno	UPN	Organizzazione del proprietario del modulo	Coautore
Attività di creazione condivisa	Esterno	UPN	Organizzazione del coautore	Coautore
Attività di creazione condivisa	Esterno	`urn:forms:coauthor#a0b1c2d3@forms.office.com` La seconda parte dell'ID è un hash, che varia in base ai diversi utenti	Organizzazione del proprietario del modulo	Coautore
Attività di risposta	Esterno	UPN	Organizzazione del partecipante	Partecipante
Attività di risposta	Esterno	`urn:forms:external#a0b1c2d3@forms.office.com` La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti	Organizzazione del proprietario del modulo	Partecipante
Attività di risposta	Anonimo	`urn:forms:anonymous#a0b1c2d3@forms.office.com` La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti	Organizzazione del proprietario del modulo	Partecipante

Microsoft Graph Data Connect

Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Graph Data Connect registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Nome descrittivo	Operazione	Descrizione
Approvato o negato un'app	ConsentModificationRequest	Un utente ha eseguito una richiesta di modifica del consenso.
Estrazione eseguita	DataAccessRequestOperation	Un utente ha eseguito un'estrazione. I set di dati dei partner e le esecuzioni ISV sono esclusi.

attività Microsoft Planner

Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Planner registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Nome descrittivo	Operazione	Descrizione
Leggere un piano	PlanRead	Un piano viene letto da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid e ContainerId indica Null.
Creazione di un piano	PlanCreated	Un piano viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid e ContainerId indica Null.
Modifica di un piano	PlanModified	Un piano viene modificato da un utente o da un'app.
Eliminazione di un piano	PlanDeleted	Un piano viene eliminato da un utente o da un'app.
Copiato un piano	PlanCopied	Un piano viene copiato da un utente o da un'app. Se l'operazione di copia è ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid e newContainerId indica Null.
Leggere un'attività	TaskRead	Un'attività viene letta da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null.
Creazione di un'attività	TaskCreated	Un'attività viene creata da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null e PlanId indica Null.
Modifica di un'attività	TaskModified	Un'attività viene modificata da un utente o da un'app.
Eliminazione di un'attività	TaskDeleted	Un'attività viene eliminata da un utente o da un'app.
Assegnazione di un'attività	TaskAssigned	L'assegnatario di un'attività viene modificato da un utente o da un'app. Può trattarsi di un'attività non assegnata che viene assegnata o di un'attività assegnata con un nuovo assegnatario.
Completato un'attività	TaskCompleted	Un'attività viene contrassegnata come completata da un utente o da un'app.
Creazione di un elenco	RosterCreated	Un elenco di utenti viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una stringa vuota.
Eliminazione di un elenco	RosterDeleted	Un roster viene eliminato da un utente o da un'app.
Aggiunta di uno o più membri a un elenco	RosterMemberAdded	Uno o più membri viene aggiunto a un roster. Se l'operazione di aggiunta è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati.
Rimozione di uno o più membri in un elenco	RosterMemberDeleted	Uno o più membri vengono rimossi da un roster. Se l'operazione di rimozione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati.
Leggere un elenco di piani	PlanListRead	Un elenco di piani viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una stringa vuota.
Leggere un elenco di attività	TaskListRead	Un elenco di attività viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una stringa vuota.
Impostazioni del tenant aggiornate	TenantSettingsUpdated	Le impostazioni del tenant vengono aggiornate da un amministratore tenant. Se l'operazione di aggiornamento è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica le impostazioni originali e TenantSettings indica il tentativo di impostazione del tenant.
Aggiornamento dell'etichetta di riservatezza di un elenco	RosterSensitivityLabelUpdated	Un utente o un'app aggiorna l'etichetta di riservatezza di un elenco.

Attività di Microsoft Power Apps

È possibile eseguire una ricerca nel log di controllo per le attività in Power Apps. Queste attività includono la creazione, l'avvio e la pubblicazione di un'app. Anche l'assegnazione di autorizzazioni alle app è controllata. Per una descrizione di tutte le attività di Power Apps, vedere Registrazione delle attività per Power Apps.

Nota

Gli eventi di controllo dei criteri di avviso (avviso di protezione) (RecordType:45) non sono attualmente supportati per PowerApps.

Attività di Microsoft Power Automate

È possibile eseguire una ricerca nel log di controllo per le attività in Power Automate (prima denominato Microsoft Flow). Queste attività includono la creazione, la modifica e l'eliminazione di flussi e la modifica delle autorizzazioni di flusso. Per informazioni sul controllo per le attività di Power Automate, vedere il blog Eventi di controllo di Power Automate ora disponibili nel portale di conformità.

Attività di governance di Microsoft Purview

Nella tabella seguente sono elencate le attività di governance di Microsoft Purview registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Soluzioni di governance di Microsoft Purview.

Nome descrittivo	Operazione	Descrizione
Asset o entità creata	EntityCreated	Un nuovo asset o entità viene creato o aggiunto a un asset esistente.
Classificazione aggiunta	ClassificationAdded	Aggiungere classificazioni all'entità asset.
Definizione di classificazione creata	ClassificationDefinitionCreated	Creare un tipo di classificazione.
Definizione di classificazione eliminata	ClassificationDefinitionDeleted	Eliminare un tipo di classificazione.
Definizione di classificazione aggiornata	ClassificationDefinitionUpdated	Aggiornare un tipo di classificazione.
Classificazione eliminata	ClassificationDeleted	Eliminare le classificazioni dall'entità asset.
Classificazione aggiornata	ClassificationUpdated	Aggiornare le classificazioni per l'entità asset.
Entità eliminata	EntityDeleted	Un asset o un'entità viene eliminato da un asset esistente.
Entità aggiornata	EntityUpdated	Include: aggiornamento degli attributi, aggiornamento degli attributi aziendali, informazioni sulla raccolta (include solo l'ID raccolta), aggiornamento dei contatti, customAttributes, gerarchia, homeId, etichette, sourceDetails
Termine glossario assegnato	GlossaryTermAssigned	Assegnare termini all'entità asset.
Termine glossario creato	GlossaryTermCreated	Creare un termine.
Termine glossario eliminato	GlossaryTermDeleted	Eliminare un termine.
Termine del glossario disassociato	GlossaryTermDisassociated	Disassociare i termini dall'entità asset.
Termine del glossario aggiornato	GlossaryTermUpdated	Aggiornare un termine.
Etichetta di riservatezza modificata	SensitivityLabelChanged	L'etichetta di riservatezza viene aggiunta/aggiornata/eliminata.

Attività di Microsoft Project per il Web

È possibile cercare nel log di controllo le attività in Microsoft Project per il Web. Microsoft Project per il Web è basato su Microsoft Dataverse e ha un progetto Power App associato. Per abilitare il controllo per gli scenari in cui l'utente usa Microsoft Dataverse o Project Power App, vedere le linee guida della scheda Controllo delle impostazioni di sistema . Per un elenco delle entità correlate a Project per il Web, vedere le linee guida Esporta dati utente da Project per il Web.

Per informazioni su Microsoft Project per il Web, vedere Microsoft Project per il Web.

Nota

Gli eventi di controllo per le attività di Microsoft Project per il Web richiedono una licenza di Project - Piano 1 a pagamento (o superiore) oltre alla licenza di Microsoft 365 pertinente che include diritti a Audit (Premium).

Nome descrittivo	Operazione	Descrizione
Progetto creato	ProjectCreated	Un progetto viene creato da un utente o un'app.
Roadmap creata	RoadmapCreata	Una roadmap viene creata da un utente o un'app.
Elemento della roadmap creato	RoadmapItemCreated	Un elemento di roadmap viene creato da un utente o un'app.
Attività creata	TaskCreated	Un'attività viene creata da un utente o un'app.
Progetto eliminato	ProjectDeleted	Un progetto viene eliminato da un utente o un'app.
Roadmap eliminata	RoadmapDeleted	Una roadmap viene eliminata da un utente o un'app.
Elemento della roadmap eliminato	RoadmapItemDeleted	Un elemento della roadmap viene eliminato da un utente o un'app.
Attività eliminata	TaskDeleted	Un'attività viene eliminata da un utente o da un'app.
Accesso al progetto	ProjectAccessed	Un progetto viene letto o app.
Pagina iniziale del progetto a cui si accede	ProjectListAccessed	Un elenco di progetti e/o roadmap viene sottoposto a query da un utente.
Roadmap accessibile	RoadmapAccessed	Una roadmap viene letta da un utente o un'app.
Elemento della roadmap a cui si accede	RoadmapItemAccessed	Un elemento della roadmap viene letto da un utente o un'app.
Attività a cui si accede	TaskAccessed	Un'attività viene letta da un utente o un'app.
Impostazioni del progetto aggiornate	ProjectForTheWebProjectSettings	Le impostazioni del progetto vengono aggiornate da un amministratore.
Roadmap aggiornata	RoadmapUpdated	Una roadmap viene modificata da un utente o un'app.
Elemento della roadmap aggiornato	RoadmapItemUpdated	Un elemento della roadmap viene modificato da un utente o un'app.
Impostazioni della roadmap aggiornate	ProjectForTheWebRoadmaptSettings	Le impostazioni della roadmap vengono aggiornate da un amministratore.
Attività aggiornata	TaskUpdated	Un'attività viene modificata da un utente o un'app.
Progetto aggiornato	ProjectUpdated	Un progetto viene modificato da un utente o un'app.

Attività di Microsoft Stream

È possibile eseguire una ricerca nel log di controllo per le attività in Microsoft Stream. Queste attività includono le attività video eseguite dagli utenti, le attività dei canali del gruppo e le attività amministrative, ad esempio la gestione degli utenti, la gestione delle impostazioni dell'organizzazione e l'esportazione dei report. Per una descrizione di queste attività, vedere la sezione "Azioni registrate in Stream" in Log di controllo di Microsoft Stream.

Attività di Microsoft Teams

Nella tabella seguente sono elencate le attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. È possibile eseguire una ricerca nel log di controllo per le attività di utenti e amministratori in Microsoft Teams. Teams è un'area di lavoro basata su chat di Microsoft 365. Raggruppa conversazioni, riunioni, file e note in un'unica posizione. Per indicazioni più dettagliate sulla ricerca, vedere Search log di controllo per gli eventi in Microsoft Teams.

Nome descrittivo	Operazione	Descrizione
Aggiunta di un bot al team	BotAddedToTeam	Un utente aggiunge un bot al team.
Aggiunta di un canale	ChannelAdded	Un utente aggiunge un canale al team.
Aggiunta di un connettore	ConnectorAdded	Un utente aggiunge un connettore a un canale.
Aggiunta di dettagli sulla riunione ^{di Teams 2,}⁵	MeetingDetail	Teams ha aggiunto informazioni su una riunione, tra cui l'ora di inizio, l'ora di fine e l'URL per partecipare alla riunione.
Aggiunta di informazioni sui partecipanti ^{alla riunione 2,}⁵	MeetingParticipantDetail	Teams ha aggiunto informazioni sui partecipanti a una riunione, tra cui l'ID utente di ogni partecipante, l'ora in cui un partecipante ha partecipato alla riunione e l'ora in cui un partecipante ha lasciato la riunione.
Membri aggiunti ^5,⁶	MemberAdded	Il proprietario di un team aggiunge membri a un team, a un canale oppure a una chat di gruppo.
Aggiunta di una scheda	TabAdded	Un utente aggiunge una scheda a un canale.
Etichetta di riservatezza applicata	SensitivityLabelApplied	Un utente o un organizzatore della riunione ha applicato un'etichetta di riservatezza a una riunione di Teams.
Impostazione del canale cambiata	ChannelSettingChanged	L'operazione ChannelSettingChanged viene registrata quando vengono eseguite le attività seguenti dal membro di un team. Per ognuna di queste attività, una descrizione dell'impostazione modificata (visualizzata tra parentesi) viene visualizzata nella colonna Elemento nei risultati della ricerca nel log di controllo. Modifica il nome di un canale del team (nome canale) Descrizione delle modifiche di un canale del team (descrizione del canale)
Impostazione dell'organizzazione cambiata	TeamsTenantSettingChanged	L'operazione TeamsTenantSettingChanged viene registrata quando le attività seguenti vengono eseguite da un amministratore globale nel interfaccia di amministrazione di Microsoft 365. Queste attività influiscono sulle impostazioni di Teams a livello di organizzazione. Per altre informazioni, vedere Gestire le impostazioni di Teams per l'organizzazione. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo. Abilita o disabilita Teams per l'organizzazione (Microsoft Teams). Abilita o disabilita l'interoperabilità tra Microsoft Teams e Skype for Business per l'organizzazione (interoperabilità Skype for Business). Abilita o disabilita la visualizzazione dell'organigramma nei client di Microsoft Teams (visualizzazione Organigramma). Abilita o disabilita la possibilità per i membri del team di pianificare riunioni private (pianificazione di riunioni private). Abilita o disabilita la possibilità per i membri del team di pianificare riunioni del canale (pianificazione delle riunioni del canale). Abilita o disabilita le videochiamate nelle riunioni di Teams (video per riunioni Skype). Abilita o disabilita la condivisione dello schermo nei meetup di Microsoft Teams per l'organizzazione (condivisione dello schermo per le riunioni Skype). Abilita o disabilita la possibilità di aggiungere immagini animate (chiamate Giphys) alle conversazioni di Teams (immagini animate). Modifica l'impostazione di classificazione del contenuto per l'organizzazione (classificazione del contenuto). La classificazione del contenuto limita il tipo di immagini animate che possono essere visualizzate nelle conversazioni. Abilita o disabilita la possibilità per i membri del team di aggiungere immagini personalizzabili (chiamate meme personalizzati) da Internet alle conversazioni del team (immagini personalizzabili da Internet). Abilita o disabilita la possibilità per i membri del team di aggiungere immagini modificabili (denominate adesivi) alle conversazioni del team (immagini modificabili). Abilita o disabilita la possibilità per i membri del team di usare bot nelle chat e nei canali di Microsoft Teams (bot a livello di organizzazione). Abilita bot specifici per Microsoft Teams. Non include T-Bot, vale a dire il bot di supporto di Teams che è disponibile quando i bot sono abilitati per l'organizzazione (bot singoli). Abilita o disabilita la possibilità per i membri del team di aggiungere estensioni o schede (estensioni o schede). Abilita o disabilita il sideload dei bot proprietari per Microsoft Teams (caricamento laterale dei bot). Abilita o disabilita la possibilità per gli utenti di inviare messaggi di posta elettronica a un canale di Microsoft Teams (posta elettronica del canale).
Ruolo modificato dei membri del team	MemberRoleChanged	Un proprietario del team cambia il ruolo dei membri di un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente. 1 - Indica il ruolo Membro. 2 - Indica il ruolo Proprietario. 3 - Indica il ruolo Guest. La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro.
Impostazione del team cambiata	TeamSettingChanged	L'operazione TeamSettingChanged viene registrata quando vengono eseguite le attività seguenti dal proprietario di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo. Modifica il tipo di accesso per un team. Teams può essere impostato come privato o pubblico (tipo di accesso al team). Quando un team è privato (impostazione predefinita), gli utenti possono accedervi solo su invito. Quando un team è pubblico, è individuabile da tutti gli utenti. Modifica la classificazione delle informazioni di un team (classificazione team). Ad esempio, i dati del team possono essere classificati come a impatto aziendale elevato, medio o basso. Modifica il nome di un team (nome del team). Modifica la descrizione del team (descrizione del team). Modifiche apportate alle impostazioni del team. Per accedere a queste impostazioni, un proprietario del team può fare clic con il pulsante destro del mouse su un team, selezionare Gestisci team e quindi selezionare la scheda Impostazioni . Per queste attività, il nome dell'impostazione modificata viene visualizzato nella colonna Elemento nei risultati della ricerca del log di controllo.
Etichetta di riservatezza modificata	SensitivityLabelChanged	Un utente ha modificato un'etichetta di riservatezza in una riunione di Teams.
Creazione di una chat ^1,²	ChatCreato	È stata creata una chat di Teams.
Team creato	TeamCreated	Un utente crea un team.
Eliminato un messaggio ²	MessageDeleted	È stato eliminato un messaggio in una chat o in un canale.
Eliminato tutte le app dell'organizzazione	DeletedAllOrganizationApps	Sono state eliminate tutte le app dell'organizzazione dal catalogo.
App eliminata	AppDeletedFromCatalog	Un'app è stata eliminata dal catalogo.
Canale eliminato	ChannelDeleted	Un utente elimina un canale da un team.
Team eliminato	TeamDeleted	Un proprietario del team elimina un team.
Modifica di un messaggio con un collegamento URL in Teams ⁵	MessageEditedHasLink	Un utente modifica un messaggio e vi aggiunge un collegamento URL in Teams.
Messaggi esportati ^1,²	MessaggiEsportati	Sono stati esportati messaggi di chat o di canale.
Registrazioni esportate	RecordingExported	Le registrazioni chat sono state esportate.
Trascrizioni esportate	TrascrizioniEsportate	Le trascrizioni della chat sono state esportate.
Non è stato possibile convalidare l'invito al canale condiviso ³	Invalidazione non riuscita	Un utente risponde a un invito a un canale condiviso, ma la convalida dell'invito non è riuscita.
Chat recuperata ^1,²	ChatRetrieved	È stata recuperata una chat di Microsoft Teams.
Recupero di tutto il contenuto ospitato di un messaggio^1,²	MessageHostedContentsListed	Tutto il contenuto ospitato in un messaggio, ad esempio immagini o frammenti di codice, è stato recuperato.
App installata	AppInstalled	È stata installata un'app.
Azione eseguita sulla scheda	PerformedCardAction	Un utente ha intrapreso un'azione su una scheda adattiva all'interno di una chat. Le schede adattive vengono in genere usate dai bot per consentire la visualizzazione avanzata di informazioni e interazioni nelle chat. Nota: Solo le azioni di input inline in una scheda adattiva all'interno di una chat saranno disponibili nel log di controllo. Ad esempio, quando un utente invia una risposta di polling in una conversazione del canale su una scheda adattiva generata da un bot di polling. Le azioni utente, ad esempio "Visualizza risultato", che aprirà una finestra di dialogo o le azioni utente all'interno dei dialoghi non saranno disponibili nel log di controllo.
Pubblicato un nuovo messaggio ^1,^2,^5,⁶	MessageSent	È stato pubblicato un nuovo messaggio in una chat o in un canale.
App pubblicata	AppPublishedToCatalog	Un'app è stata aggiunta al catalogo.
Leggere un messaggio ^1,²	MessageRead	È stato recuperato un messaggio di una chat o di un canale.
Leggere il contenuto ospitato di un messaggio ^1,²	MessageHostedContentRead	Il contenuto ospitato in un messaggio, ad esempio un'immagine o un frammento di codice, è stato recuperato.
Rimozione del bot dal team	BotRemovedFromTeam	Un utente rimuove un bot dal team.
Rimozione di un connettore	ConnectorRemoved	Un utente rimuove un connettore da un canale.
Rimozione dei membri	MemberRemoved	Il proprietario di un team rimuove i membri da un team, da un canale o da una chat di gruppo.
Rimozione dell'etichetta di riservatezza	SensitivityLabelRemoved	Un utente ha rimosso un'etichetta di riservatezza da una riunione di Teams.
Rimozione della condivisione del canale del team ³	TerminatedSharing	Condivisione disabilitata per un canale condiviso da parte di un team o di un proprietario del canale.
Condivisione ripristinata del canale del team ³	SharingRestored	Condivisione riabilitare la condivisione di un team o di un proprietario del canale per un canale condiviso.
Rimozione di una scheda	TabRemoved	Un utente rimuove una scheda da un canale.
Risposta all'invito per il canale condiviso ³	InviteeResponded	Un utente ha risposto a un invito al canale condiviso.
Risposta all'invito al canale condiviso ³	ChannelOwnerResponded	Un proprietario del canale ha risposto a una risposta di un utente che ha risposto a un invito al canale condiviso.
Messaggi recuperati ^1,²	MessagesListed	I messaggi da una chat o da un canale sono stati recuperati.
Inviato un messaggio con un collegamento URL in Teams ⁵	MessageCreatedHasLink	Un utente invia un messaggio contenente un collegamento URL in Teams.
Notifica di modifica inviata per la creazione di messaggi ^1,²	MessageCreatedNotification	È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un nuovo messaggio.
Notifica di modifica inviata per l'eliminazione ^{dei messaggi 1,}²	MessageDeletedNotification	È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio eliminato.
Notifica di modifica inviata per l'aggiornamento ^{del messaggio 1,}²	MessageUpdatedNotification	È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio aggiornato.
Invito inviato per il canale condiviso ³	InviteSent	Un proprietario o un membro del canale invia un invito a un canale condiviso. Gli inviti ai canali condivisi possono essere inviati a utenti esterni all'organizzazione se i criteri del canale sono configurati per condividere il canale con utenti esterni.
Sottoscritto alle notifiche di modifica dei messaggi ^1,²	SubscribedToMessages	È stata creata una sottoscrizione da un'applicazione listener per ricevere notifiche di modifica per i messaggi.
App disinstallata	AppUninstalled	Un'app è stata disinstallata.
App aggiornata	AppUpdatedInCatalog	Un'app è stata aggiornata nel catalogo.
Aggiornamento di una chat ^1,²	ChatUpdated	È stata aggiornata una chat di Teams.
Aggiornamento di un messaggio ^1,²	MessageUpdated	È stato aggiornato un messaggio di una chat o di un canale.
Connettore aggiornato	ConnectorUpdated	Un utente ha modificato un connettore in un canale.
Scheda aggiornata	TabUpdated	Un utente ha modificato una scheda in un canale.
App aggiornata	AppUpgraded	Un'app è stata aggiornata alla versione più recente nel catalogo.
Utente connesso a Teams	TeamsSessionStarted	Un utente accede a un client di Microsoft Teams. Questo evento non acquisisce le attività di aggiornamento del token.
Postato nuovo messaggio ^3,^4,^5,⁶	MessageSent	È stato pubblicato un nuovo messaggio in una chat o in un canale. Questo evento è una funzionalità Premium con dettagli sulle licenze da definire.

Nota

¹ Un record di controllo per questo evento viene registrato solo quando l'operazione viene eseguita chiamando un API Graph Microsoft. Se l'operazione viene eseguita nel client di Teams, non verrà registrato un record di controllo
² Questo evento è disponibile solo in Audit (Premium). Ciò significa che agli utenti deve essere assegnata la licenza appropriata prima che questi eventi vengano registrati nel log di controllo. Per altre informazioni sulle attività disponibili solo in Audit (Premium), vedere Audit (Premium) in Microsoft Purview. Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.
³ Questo evento è in anteprima pubblica.
⁴Questo evento viene generato per la chat solo se sono presenti utenti guest, federati e/o anonimi.
⁵ Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
⁶ Questo evento è incluso in tutti i tenant partecipanti per le chat federate.
⁷ Questo evento include informazioni sul dominio partecipanti per le chat federate 1:1.

Attività di Microsoft Teams per il settore sanitario

Se l'organizzazione usa l'applicazione Pazienti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'utilizzo dell'app. Se l'ambiente è configurato per supportare l'app Pazienti, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.

Attività di Microsoft Teams per l’assistenza sanitaria nell'elenco di selezione Attività.

Per una descrizione delle attività dell'app Pazienti, vedere Log di controllo per l'app Pazienti.

Attività di Turni di Microsoft Teams

La tabella seguente elenca l'app Shift nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Turni in Microsoft Teams, è possibile cercare le attività correlate all'utilizzo dell'app nel log di controllo. Se l'ambiente è configurato per supportare le app Turni, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.

Nome descrittivo	Operazione	Descrizione
Aggiunta del gruppo di pianificazione	ScheduleGroupAdded	Un utente aggiunge correttamente un nuovo gruppo di pianificazione alla pianificazione.
Gruppo di pianificazione modificato	ScheduleGroupEdited	Un utente modifica correttamente un gruppo di pianificazione.
Gruppo di pianificazione eliminato	ScheduleGroupDeleted	Un utente elimina correttamente un gruppo di pianificazione dalla pianificazione.
Programma ritirato	ScheduleWithdrawn	Un utente ritira correttamente una pianificazione pubblicata.
Spostamento aggiunto	MaiuscAggiungi	Un utente aggiunge correttamente un turno.
Spostamento modificato	ShiftEdited	Un utente modifica correttamente un turno.
Spostamento eliminato	ShiftDeleted	Un utente elimina correttamente un turno.
Aggiunta del time off	TimeOffAdded	Un utente aggiunge correttamente il time off alla pianificazione.
Time off modificato	TimeOffEdited	Un utente modifica correttamente il time off.
Time off eliminato	TimeOffDeleted	Un utente elimina correttamente il time off.
Aggiunta del turno aperto	OpenShiftAdded	Un utente aggiunge correttamente un turno aperto a un gruppo di pianificazione.
Spostamento aperto modificato	OpenShiftEdited	Un utente modifica correttamente un turno aperto in un gruppo di pianificazione.
Spostamento aperto eliminato	OpenShiftDeleted	Un utente elimina correttamente un turno aperto da un gruppo di pianificazione.
Pianificazione condivisa	ScheduleShared	Un utente ha condiviso correttamente una pianificazione del team per un intervallo di date.
Clocking in using Time clock	ClockedIn	Un utente esegue correttamente l'orologio usando l'orologio.
Clocked out using Time clock	ClockedOut	Un utente esegue correttamente l'timeout usando l'orologio.
Interruzione avviata con l'orologio	BreakStarted	Un utente avvia correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Interruzione terminata con l'orologio temporale	BreakEnded	Un utente termina correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Aggiunta della voce Orologio	TimeClockEntryAdded	Un utente aggiunge correttamente una nuova voce dell'orologio orario manuale nel foglio presenze.
Voce Orologio modificato	TimeClockEntryEdited	A user successfully edits a Time clock entry on Time Sheet.
Voce ora eliminata	TimeClockEntryDeleted	Un utente elimina correttamente una voce orologio nel foglio presenze.
Aggiunta della richiesta di spostamento	RequestAdded	Un utente ha aggiunto una richiesta di spostamento.
Risposta alla richiesta di spostamento	RequestRespondedTo	Un utente ha risposto a una richiesta di spostamento.
Richiesta di spostamento annullata	RequestCancelled	Un utente ha annullato una richiesta di spostamento.
Impostazione della pianificazione modificata	ScheduleSettingChanged	Un utente modifica un'impostazione in Turni impostazioni.
Aggiunta dell'integrazione della forza lavoro	WorkforceIntegrationAdded	L'app Turni è integrata con un sistema di terze parti.
Messaggio disattivato accettato	OffShiftDialogAccepted	Un utente riconosce il messaggio fuori turno per accedere a Teams dopo l'orario di turno.

Attività di Aggiornamenti di Microsoft Teams

La tabella seguente elenca Aggiornamenti'app nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Aggiornamenti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'uso dell'app Aggiornamenti. Se l'ambiente è configurato per supportare Aggiornamenti app, nell'elenco Selezione attività è disponibile un gruppo di attività aggiuntivo per queste attività.

Nome descrittivo	Operazione	Descrizione
Creare una richiesta di aggiornamento	CreateUpdateRequest	Un utente crea correttamente una richiesta di aggiornamento.
Modificare una richiesta di aggiornamento	EditUpdateRequest	Un utente apre la procedura guidata di modifica della richiesta e seleziona Salva per confermare e salvare eventuali modifiche oppure abilita o disabilita direttamente la richiesta di aggiornamento.
Inviare un aggiornamento	SubmitUpdate	Un utente invia correttamente un aggiornamento.
Visualizzare i dettagli di un aggiornamento	ViewUpdate	Un utente visualizza i dettagli dell'aggiornamento.

Attività di Microsoft To Do

Nella tabella seguente sono elencate le attività di Microsoft To Do registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft To Do, vedere Supporto per Microsoft To Do.

Nota

Gli eventi di controllo per le attività di Microsoft To Do richiedono una licenza Project - Piano 1 a pagamento (o superiore) oltre alla licenza di Microsoft 365 pertinente che include i diritti a Audit (Premium).

Nome descrittivo	Operazione	Descrizione
Collegamento di condivisione accettato nella cartella	AcceptedSharingLinkOnFolder	Collegamento di condivisione accettato per una cartella.
Allegato creato	AttachmentCreated	È stato creato un allegato per un'attività.
Allegato aggiornato	AttachmentUpdated	Un allegato è stato aggiornato.
Allegato eliminato	AttachmentDeleted	Un allegato è stato eliminato.
Collegamento di condivisione cartelle condiviso	FolderSharingLinkShared	È stato creato un collegamento di condivisione per una cartella.
Entità collegata eliminata	LinkedEntityDeleted	Un'entità collegata è stata eliminata.
Entità collegata aggiornata	LinkedEntityUpdated	È stata aggiornata un'entità collegata.
Entità collegata creata	LinkedEntityCreated	È stata creata un'entità collegata dell'attività.
Attività secondaria creata	SubTaskCreated	È stata creata una sottoattività.
SubTask deleted	SubTaskDeleted	È stata eliminata una sottoattività.
SubTask aggiornato	SubTaskUpdated	È stata aggiornata una sottoattività.
Attività creata	TaskCreated	È stata creata un'attività.
Attività eliminata	TaskDeleted	Un'attività è stata eliminata.
Lettura attività	TaskRead	Un'attività è stata letta.
Attività aggiornata	TaskUpdated	Un'attività è stata aggiornata.
TaskList creato	TaskListCreated	È stato creato un elenco di attività.
TaskList read	TaskListRead	È stato letto un elenco di attività.
TaskList aggiornato	TaskListUpdated	È stato aggiornato un elenco di attività.
Utente invitato	UserInvited	Utente invitato a una cartella.

attività Microsoft Viva Insights

Viva Insights fornisce informazioni dettagliate sul modo in cui i gruppi collaborano all'interno dell'organizzazione. Nella tabella seguente sono elencate le attività eseguite dagli utenti a cui è assegnato il ruolo Di amministratore o i ruoli Analista in Viva Insights. Gli utenti a cui è stato assegnato il ruolo di analista hanno accesso completo a tutte le caratteristiche del servizio e usano il prodotto per eseguire l'analisi. Gli utenti a cui è stato assegnato il ruolo Amministratore possono configurare le impostazioni di privacy e le impostazioni predefinite del sistema e possono preparare, caricare e verificare i dati dell'organizzazione in Viva Insights. Per altre informazioni, vedere Introduzione a Microsoft Viva Insights.

Nome descrittivo	Operazione	Descrizione
Collegamento OData accessibile	AccessedOdataLink	L'analista ha avuto accesso al collegamento a OData per una query.
Query annullata	CanceledQuery	L'analista ha annullato una query in esecuzione.
Esclusione riunione creata	MeetingExclusionCreated	L'analista ha creato una regola di esclusione delle riunioni.
Risultato eliminato	DeletedResult	L'analista ha eliminato il risultato di una query.
Report scaricato	DownloadedReport	L'analista ha scaricato il file dei risultati di una query.
Query eseguita	ExecutedQuery	L'analista ha eseguito una query.
Impostazione di accesso ai dati aggiornata	UpdatedDataAccessSetting	L'amministratore ha aggiornato le impostazioni di accesso ai dati.
Impostazione privacy aggiornata	UpdatedPrivacySetting	Amministrazione impostazioni di privacy aggiornate, ad esempio le dimensioni minime del gruppo.
Dati dell'organizzazione caricati	UploadedOrgData	L'amministratore ha caricato il file di dati dell'organizzazione.
Utente connesso^*	UserLoggedIn	Un utente ha eseguito l'accesso all’account utente Microsoft 365.
Utente disconnesso^*	UserLoggedOff	Un utente si è disconnesso dall'account utente Microsoft 365.
Pagina Esplora visualizzata	ViewedExplore	L'analista ha visualizzato le visualizzazioni in una o più schede della pagina Esplora.

Nota

^*quando un utente accede viene creato un evento di attività di accesso e disconnessione Microsoft Entra. Questa attività viene registrata anche se non è Viva Insights attivata nell'organizzazione. Per altre informazioni sulle attività di accesso degli utenti, vedere Log di accesso in Microsoft Entra ID.

Attività di approfondimento personale

La tabella seguente elenca le attività in informazioni dettagliate personali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle informazioni dettagliate personali, vedere Amministrazione guida per informazioni dettagliate personali.

Nome descrittivo	Operazione	Descrizione
Updated organization MyAnalytics settings	UpdatedOrganizationMyAnalyticsSettings	Amministrazione aggiorna le impostazioni a livello di organizzazione per informazioni dettagliate personali.
Updated user MyAnalytics settings	UpdatedUserMyAnalyticsSettings	Amministrazione aggiorna le impostazioni utente per informazioni dettagliate personali.

Attività in quarantena

La tabella seguente elenca le attività in quarantena che è possibile cercare nel log di audit. Per altre informazioni sulla quarantena, vedere Messaggi di posta elettronica in quarantena.

Nome descrittivo	Operazione	Descrizione
Messaggio in quarantena eliminato	QuarantineDeleteMessage	Un amministratore o un utente ha eliminato un messaggio di posta elettronica considerato dannoso.
Richiesta di rilascio del messaggio di quarantena negata	QuarantineReleaseRequestDeny	Rifiuto amministratore per una richiesta di rilascio da parte di un utente per un messaggio di posta elettronica considerato dannoso.
Messaggio in quarantena esportato	QuarantineExport	Un amministratore o un utente ha esportato un messaggio di posta elettronica considerato dannoso.
Messaggio in quarantena in anteprima	QuarantinePreview	Un amministratore o un utente ha visualizzato in anteprima un messaggio di posta elettronica considerato dannoso.
Messaggio di quarantena rilasciato	QuarantineRelease	Un amministratore o un utente ha rilasciato un messaggio di posta elettronica dalla quarantena considerato dannoso.
Messaggio di quarantena della richiesta di rilascio	QuarantineReleaseRequest	Un utente ha richiesto il rilascio di un messaggio di posta elettronica considerato dannoso.
Intestazione del messaggio di quarantena visualizzata	QuarantineViewHeader	Un amministratore o un utente ha visualizzato l'intestazione un messaggio di posta elettronica considerato dannoso.

Attività relative ai report

La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.

Nome descrittivo	Operazione	Descrizione
Impostazioni di privacy dei report sull'utilizzo aggiornate	UpdateUsageReportsPrivacySetting	L'amministratore ha aggiornato le impostazioni di privacy per i report sull'utilizzo.

Attività su criteri di conservazione ed etichette di conservazione

Nella tabella seguente vengono descritte le attività di configurazione per i criteri di conservazione e le etichette di conservazione dei dati al momento della creazione, della riconfigurazione o dell'eliminazione.

Nome descrittivo	Operazione	Descrizione
Appartenenza ad ambito adattivo modificata	ApplicableAdaptiveScopeChange	Utenti, siti o gruppi sono stati aggiunti o rimossi dall'ambito adattivo. Queste modifiche sono i risultati dell'esecuzione della query dell'ambito. Poiché le modifiche vengono avviate dal sistema, l'utente segnalato viene visualizzato come identificatore univoco universale (GUID) anziché come account utente.
Impostazioni configurate per un criterio di conservazione	NewRetentionComplianceRule	L'amministratore ha configurato le impostazioni di conservazione per un nuovo criterio di conservazione. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet New-RetentionComplianceRule.
Ambito adattivo creato	NewAdaptiveScope	L'amministratore ha creato un ambito adattivo.
Etichetta di conservazione creata	NewComplianceTag	L'amministratore ha creato una nuova etichetta di conservazione.
Criterio di conservazione creato	NewRetentionCompliancePolicy	L'amministratore ha creato un nuovo criterio di conservazione.
Ambito adattivo eliminato	RemoveAdaptiveScope	L'amministratore ha eliminato un ambito adattivo.
Impostazioni eliminate per un criterio di conservazione	RemoveRetentionComplianceRule	L'amministratore ha eliminato le impostazioni di configurazione di un criterio di conservazione. Molto probabilmente, questa attività viene registrata quando un amministratore elimina un criterio di conservazione o esegue il cmdlet Remove-RetentionComplianceRule.
Etichetta di conservazione eliminata	RemoveComplianceTag	L'amministratore ha eliminato un'etichetta di conservazione.
Criterio di conservazione eliminato	RemoveRetentionCompliancePolicy	L'amministratore ha eliminato un criterio di conservazione.
Opzione del record normativo abilitata per le etichette di conservazione	SetRestrictiveRetentionUI	L'amministratore ha eseguito il cmdlet set-RegulatoryComplianceUI in modo che un amministratore possa selezionare l'opzione di configurazione dell'interfaccia utente per un'etichetta di conservazione che consente di contrassegnare il contenuto come record normativo.
Ambito adattivo aggiornato	SetAdaptiveScope	L'amministratore ha modificato la descrizione o la query per un ambito adattivo esistente.
Impostazioni aggiornate per un criterio di conservazione	SetRetentionComplianceRule	L'amministratore ha modificato le impostazioni di conservazione per un criterio di conservazione esistente. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet Set-RetentionComplianceRule.
Etichetta di conservazione aggiornata	SetComplianceTag	L'amministratore ha aggiornato un'etichetta di conservazione esistente.
Criterio di conservazione aggiornato	SetRetentionCompliancePolicy	L'amministratore ha aggiornato un criterio di conservazione esistente. Gli aggiornamenti che attivano questo evento includono l'aggiunta o l'esclusione di percorsi di contenuto ai quali applicare il criterio di conservazione.

Attività di amministrazione ruoli

La tabella seguente elenca Microsoft Entra attività di amministrazione dei ruoli registrate quando un amministratore gestisce i ruoli di amministratore nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.

Nota

Nome descrittivo	Operazione	Descrizione
Membro aggiunto a ruolo	Aggiunta membro a un ruolo.	È stato aggiunto un utente a un ruolo di amministratore in Microsoft 365.
Utente rimosso da un ruolo della directory	Rimozione di un membro dal ruolo.	È stato rimosso un utente da un ruolo di amministratore in Microsoft 365.
Impostazione delle informazioni di contatto aziendali	Impostazione delle informazioni di contatto aziendali.	Sono state aggiornare le preferenze di contatto a livello aziendale per l'organizzazione. Le informazioni includono indirizzi e-mail per messaggi correlati all'abbonamento inviati da Microsoft 365, nonché notifiche tecniche relative ai servizi.

Attività relative ai tipi di informazioni riservate

Nella tabella seguente vengono descritti gli eventi di controllo per le attività che comportano la creazione e l'aggiornamento di tipi di informazioni sensibili.

Nome descrittivo	Operazione	Descrizione
Nuovo tipo di informazioni riservate creato	CreateRulePackage/EditRulePackage*	È stato creato un nuovo tipo di informazioni riservate. Sono inclusi tutti i SIT creati copiando un'istanza predefinita di SIT. Nota: questa attività si presenta sotto le attività di controllo 'Created rule package' o 'Edited rule package'.
Modifica di un tipo di informazioni riservate	EditRulePackage	È stato modificato un tipo di informazioni riservate esistente. Possono essere incluse operazioni come l'aggiunta/rimozione di un modello e la modifica della regex/parola chiave associata al tipo di informazioni riservate. Nota: Questa attività verrà visualizzata sotto l'attività di controllo "Pacchetto di regole modificate".
Eliminato un tipo di informazioni riservate	EditRulePackage/RemoveRulePackage	È stato eliminato un tipo di informazioni riservate esistente. Nota: Questa attività verrà visualizzata sotto l'attività di controllo "Pacchetto regola modificato" o "Pacchetto di regole rimosso".

Attività sulle etichette di riservatezza

Nella tabella seguente sono elencati gli eventi che derivano dall'uso di etichette di riservatezza con siti ed elementi gestiti da Microsoft Purview. Gli elementi includono documenti, messaggi di posta elettronica ed eventi del calendario. Per i criteri di etichettatura automatica, gli elementi includono anche file e asset di dati schematizzati in Microsoft Purview Data Map.

Nome descrittivo	Operazione	Descrizione
Etichetta di riservatezza applicata al sito	SiteSensitivityLabelApplied	Un'etichetta di riservatezza è stata applicata a un sito di SharePoint o a un sito di Teams non connesso al gruppo.
Etichetta di riservatezza rimossa dal sito	SiteSensitivityLabelRemoved	Un'etichetta di riservatezza è stata rimossa da un sito di SharePoint o da un sito di Teams non connesso al gruppo.
Etichetta di riservatezza applicata al file	FileSensitivityLabelApplied SensitivityLabelApplied	Un'etichetta di riservatezza è stata applicata a un elemento usando app di Microsoft 365, Office sul web o criteri di etichettatura automatica. Le operazioni per questa attività sono diverse a seconda di come è stata applicata l'etichetta: - Office sul web o un criterio di etichettatura automatica (FileSensitivityLabelApplied) - App di Microsoft 365 (SensitivityLabelApplied)
Etichetta di riservatezza applicata a un file modificata	FileSensitivityLabelChanged SensitivityLabelUpdated	A un elemento è stata applicata un'etichetta di riservatezza diversa. Le operazioni per questa attività sono diverse a seconda di come è stata modificata l'etichetta: - Office sul Web o criteri di etichettatura automatica (FileSensitivityLabelChanged) - Microsoft 365 app (SensitivityLabelUpdated)
È stata modificata l'etichetta di riservatezza di un sito	SiteSensitivityLabelChanged	È stata applicata un'etichetta di riservatezza diversa a un sito di SharePoint o a un sito di Teams non connesso al gruppo.
Etichetta di riservatezza rimossa dal file	FileSensitivityLabelRemoved SensitivityLabelRemoved	Un'etichetta di riservatezza è stata rimossa da un elemento usando app di Microsoft 365, Office sul web, criteri di etichettatura automatica o il cmdlet Unlock-SPOSensitivityLabelEncryptedFile. Le operazioni per questa attività sono diverse a seconda di come è stata rimossa l'etichetta: - Office sul web o un criterio di etichettatura automatica (FileSensitivityLabelRemoved) - App di Microsoft 365 (SensitivityLabelRemoved)

Informazioni aggiuntive sul controllo per le etichette di riservatezza:

Quando si usano etichette di riservatezza per Gruppi di Microsoft 365 e quindi per i siti di Teams connessi al gruppo, le etichette vengono controllate con la gestione dei gruppi in Microsoft Entra ID. Per altre informazioni, vedere Log di controllo in Microsoft Entra ID.
Quando si usano etichette di riservatezza per gli inviti alle riunioni di Teams e le opzioni di riunione e chat di Teams, vedere Search log di controllo per gli eventi in Microsoft Teams.
Quando si usano etichette di riservatezza con Power BI, vedere Schema di controllo per le etichette di riservatezza in Power BI.
Quando si usano etichette di riservatezza con Microsoft Defender per le app cloud, vedere Governance delle app connesse e informazioni sull'etichettatura per le azioni di governance dei file.
Quando si applicano le etichette di riservatezza usando il client o lo scanner Microsoft Purview Information Protection o Microsoft Information Protection (MIP), vedere Informazioni di riferimento sul log di controllo di Azure Information Protection.

Attività dell'elenco di SharePoint

La tabella seguente descrive le attività correlate al momento in cui gli utenti interagiscono con gli elenchi e gli elementi elenco in SharePoint Online. I record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo	Operazione	Descrizione
Elenco creato	ListCreated	Un utente ha creato un elenco SharePoint.
Colonna elenco creata	ListColumnCreated	Un utente ha creato una colonna elenco di SharePoint. Una colonna elenco è una colonna associata a uno o più elenchi SharePoint.
Tipo di contenuto elenco creato	ListContentTypeCreated	Un utente ha creato un tipo di contenuto elenco. Un tipo di contenuto elenco è un tipo di contenuto associato a uno o più elenchi SharePoint.
Elemento elenco creato	ListItemCreated	Un utente ha creato un elemento in un elenco di SharePoint esistente.
Colonna sito creata	SiteColumnCreated	Un utente ha creato una colonna sito di SharePoint. Una colonna sito è una colonna non associata a un elenco. Una colonna sito è anche una struttura di metadati che può essere usata da qualsiasi elenco in un determinato Web.
Tipo di contenuto del sito creato	Sito ContentType creato	Un utente ha creato un tipo di contenuto del sito. Un tipo di contenuto del sito è un tipo di contenuto associato al sito padre.
Elenco eliminato	ListDeleted	Un utente ha eliminato un elenco SharePoint.
Colonna elenco eliminata	Colonna elenco eliminata	Un utente ha eliminato una colonna elenco SharePoint.
Tipo di contenuto elenco eliminato	ListContentTypeDeleted	Un utente ha eliminato un tipo di contenuto elenco.
Elemento elenco eliminato	Elemento elenco eliminato	Un utente ha eliminato un elemento elenco SharePoint.
Colonna sito eliminata	SiteColumnDeleted	Un utente ha eliminato una colonna sito SharePoint.
Tipo di contenuto del sito eliminato	SiteContentTypeDeleted	Un utente ha eliminato un tipo di contenuto del sito.
Elemento elenco riciclato	ListItemRecycled	Un utente ha spostato una elemento elenco di SharePoint nel Cestino.
Elenco ripristinato	ListRestored	Un utente ha ripristinato un elenco di SharePoint dal Cestino.
Elemento elenco ripristinato	ListItemRestored	Un utente ha ripristinato un elemento elenco di SharePoint dal Cestino.
Elenco aggiornato	ListUpdated	Un utente ha aggiornato un elenco di SharePoint modificando una o più proprietà.
Colonna elenco aggiornata	ListColumnUpdated	Un utente ha aggiornato una colonna elenco di SharePoint modificando una o più proprietà.
Tipo di contenuto elenco aggiornato	ListContentTypeUpdated	Un utente ha aggiornato un tipo di contenuto elenco modificando una o più proprietà.
Elemento elenco aggiornato	ListItemUpdated	Un utente ha aggiornato un elemento elenco di SharePoint modificando una o più proprietà.
Colonna sito aggiornata	SiteColumnUpdated	Un utente ha aggiornato una colonna sito di SharePoint modificando una o più proprietà.
Tipo di contenuto del sito aggiornato	SiteContentTypeUpdated	Un utente ha aggiornato un tipo di contenuto del sito modificando una o più proprietà.

La tabella seguente descrive le attività di richiesta di condivisione e accesso dell'utente in SharePoint Online e OneDrive for Business. Per gli eventi di condivisione, la colonna Dettagli in Risultati identifica il nome dell'utente o del gruppo con cui l'elemento è stato condiviso e indica se l'utente o il gruppo è un membro o un guest nell'organizzazione. Per altre informazioni, vedere Usare il controllo della condivisione nel log di controllo.

Nota

Gli utenti possono essere membri o guest in base alla proprietà UserType dell'oggetto utente. Un membro è in genere un dipendente, mentre un guest è in genere un collaboratore esterno all'organizzazione. Quando un utente accetta un invito alla condivisione (e non fa già parte dell'organizzazione), viene creato un account guest per tale utente nella directory dell'organizzazione. Dopo che l'utente guest ha ottenuto un account nella directory, le risorse possono essere condivise direttamente con lui, senza che sia necessario un invito.

Nome descrittivo	Operazione	Descrizione
È stato aggiunto un livello di autorizzazione alla raccolta siti	PermissionLevelAdded	Un livello di autorizzazione è stato aggiunto a una raccolta siti.
Richiesta di accesso approvata	AccessRequestAccepted	Una richiesta di accesso a un sito, una cartella o un documento è stata accettata e all'utente richiedente è stato concesso l'accesso.
Invito alla condivisione accettato	SharingInvitationAccepted	Un utente (membro o guest) ha accettato un invito alla condivisione e ha ottenuto l'accesso a una risorsa. Questo evento include informazioni sull'utente che è stato invitato e sull'indirizzo di posta elettronica usato per accettare l'invito (i due elementi potrebbero essere diversi). Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio aggiungendo l'utente a un gruppo che ha accesso alla risorsa.
Invito alla condivisione bloccato	SharingInvitationBlocked	Un invito alla condivisione inviato da un utente dell'organizzazione viene bloccato da criteri di condivisione esterna che consentono o impediscono la condivisione esterna in base al dominio dell'utente di destinazione. In questo caso, l'invito alla condivisione è stato bloccato perché: Il dominio dell'utente di destinazione non è incluso nell'elenco dei domini consentiti. Oppure Il dominio dell'utente di destinazione è incluso nell'elenco dei domini bloccati. Per altre informazioni su come consentire o bloccare la condivisione esterna in base ai domini, vedere Condivisione di domini con restrizioni in SharePoint Online e OneDrive for Business.
Richiesta di accesso creata	AccessRequestCreated	Un utente richiede l'accesso a un sito, una cartella o un documento per il quale non ha le autorizzazioni.
Creato un collegamento condivisibile nell'organizzazione	CompanyLinkCreated	Un utente ha creato un collegamento a livello aziendale a una risorsa. i collegamenti a livello aziendale possono essere usati solo dai membri dell'organizzazione. Non possono essere usati dai guest.
Creato un collegamento anonimo	AnonymousLinkCreated	Un utente ha creato un collegamento anonimo a una risorsa. Chiunque usi questo collegamento può accedere alla risorsa senza necessità di autenticazione.
Collegamento sicuro creato	SecureLinkCreated	È stato creato un collegamento di condivisione sicuro per questo elemento.
Invito alla condivisione creato	SharingInvitationCreated	Un utente ha condiviso una risorsa in SharePoint Online o OneDrive for Business con un utente che non fa parte della directory dell'organizzazione.
Collegamento sicuro eliminato	SecureLinkDeleted	È stato eliminato un collegamento di condivisione sicuro.
Richiesta di accesso rifiutata	AccessRequestDenied	Una richiesta di accesso a un sito, una cartella o un documento è stata negata.
Rimosso un collegamento condivisibile nell'organizzazione	CompanyLinkRemoved	Un utente ha rimosso un collegamento a livello aziendale a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa.
Rimosso un collegamento anonimo	AnonymousLinkRemoved	Un utente ha rimosso un collegamento anonimo a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa.
File, cartella o sito condiviso	SharingSet	Un utente (membro o guest) ha condiviso un file, una cartella o un sito in SharePoint o OneDrive for Business con un utente che fa parte della directory dell'organizzazione. Il valore nella colonna Dettagli per questa attività identifica il nome dell'utente con cui la risorsa è stata condivisa e indica se l'utente è un membro o un guest. Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio, aggiungendo l'utente a un gruppo che ha accesso alla risorsa.
Richiesta di accesso aggiornata	AccessRequestUpdated	Una richiesta di accesso a un elemento è stata aggiornata.
Aggiornato un collegamento anonimo	AnonymousLinkUpdated	Un utente ha aggiornato un collegamento anonimo a una risorsa. Il campo aggiornato è incluso nella proprietà EventData quando si esportano i risultati della ricerca.
Invito alla condivisione aggiornato	SharingInvitationUpdated	È stato aggiornato un invito alla condivisione esterna.
Usato un collegamento anonimo	AnonymousLinkUsed	Un utente anonimo ha eseguito l'accesso a una risorsa usando un collegamento anonimo. L'identità dell'utente potrebbe essere sconosciuta, ma è possibile ottenere altri dettagli, ad esempio il suo indirizzo IP.
File, cartella o sito non più condiviso	SharingRevoked	Un utente (membro o guest) ha annullato la condivisione di un file, una cartella o un sito che in precedenza era stato condiviso con un altro utente.
Usato un collegamento condivisibile nell'organizzazione	CompanyLinkUsed	Un utente ha eseguito l'accesso a una risorsa usando un collegamento a livello aziendale.
Collegamento sicuro utilizzato	SecureLinkUsed	Un utente ha usato un collegamento sicuro.
Utente aggiunto al collegamento sicuro	AddedToSecureLink	Un utente è stato aggiunto all'elenco di entità che possono usare un collegamento di condivisione sicuro.
Utente rimosso dal collegamento sicuro	RemovedFromSecureLink	Un utente è stato rimosso dall'elenco di entità che possono usare un collegamento di condivisione sicuro.
Invito alla condivisione ritirato	SharingInvitationRevoked	Un utente ha ritirato un invito alla condivisione per una risorsa.

Attività di amministrazione siti

Nella tabella seguente sono elencati gli eventi derivanti da attività di amministrazione in SharePoint Online. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo	Operazione	Descrizione
Aggiunta la posizione dei dati consentita	AllowedDataLocationAdded	Un amministratore globale o di SharePoint ha aggiunto una posizione di dati consentita in un ambiente multi-geografico.
Agente utente esente aggiunto	ExemptUserAgentSet	L'amministratore di SharePoint o l'amministratore globale aggiunge un agente utente all'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint.
Amministratore dell'area geografica aggiunto	GeoAdminAdded	Un amministratore globale o di SharePoint ha aggiunto un utente come amministratore geografico di una posizione.
Utente autorizzato a creare gruppi	AllowGroupCreationSet	Un proprietario o un amministratore del sito aggiunge un livello di autorizzazione a un sito che consente a un utente a cui viene assegnata tale autorizzazione di creare un gruppo per tale sito.
È stato annullato lo spostamento geografico di un sito	SiteGeoMoveCancelled	Un amministratore globale o di SharePoint annulla correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Criterio di condivisione cambiato	SharingPolicyChanged	Un amministratore globale o di SharePoint ha modificato i criteri di condivisione di SharePoint usando l'interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di SharePoint o SharePoint Online Management Shell. Qualsiasi modifica alle impostazioni dei criteri di condivisione dell'organizzazione verrà registrata. Il criterio modificato viene identificato nel campo ModifiedProperties nelle proprietà dettagliate del record dell'evento.
I criteri di accesso per i dispositivi sono stati modificati	DeviceAccessPolicyChanged	Un amministratore di SharePoint o globale ha cambiato i criteri dei dispositivi non gestiti per l'organizzazione. Questo criterio controlla l'accesso a SharePoint, OneDrive e Microsoft 365 da dispositivi che non fanno parte dell'organizzazione. La configurazione di questo criterio richiede un abbonamento Enterprise Mobility + Security. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti.
Agenti utente esenti cambiati	CustomizeExemptUsers	L'amministratore globale o SharePoint ha personalizzato l'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint. È possibile specificare quali agenti utente esentare dalla ricezione di un'intera pagina Web da indicizzare. Ciò significa che quando un agente utente specificato come esente rileva un modulo di InfoPath, il modulo viene restituito come file XML anziché come intera pagina Web. In questo modo l'indicizzazione dei moduli di InfoPath risulta più veloce.
Sono stati modificati i criteri di accesso alla rete	NetworkAccessPolicyChanged	Un amministratore di SharePoint o globale ha cambiato i criteri di accesso basati sulla posizione, denominati anche limite di rete attendibile, nell'interfaccia di amministrazione di SharePoint oppure usando PowerShell di SharePoint Online. Questi criteri controllano chi può accedere alle risorse di SharePoint e OneDrive nell'organizzazione in base a intervalli di indirizzi IP specificati dall'utente. Per altre informazioni, vedere Controllare l'accesso ai dati di SharePoint Online e OneDrive in base a determinati percorsi di rete.
Processo di migrazione completato	MigrationJobCompleted	Un processo di migrazione è stato completato correttamente.
Spostamento geografico di un sito completato	SiteGeoMoveCompleted	Uno spostamento geografico di un sito, pianificato da un amministratore globale dell'organizzazione, è stato completato correttamente. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Connessione Inviato a creata	SendToConnectionAdded	L'amministratore di SharePoint o globale crea una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint. Una connessione di invio specifica le impostazioni per un archivio documenti o un centro record. Quando si crea una connessione di invio, un Content Organizer può inviare documenti alla posizione specificata.
Raccolta siti creata	SiteCollectionCreated	Un amministratore SharePoint o globale crea una raccolta siti nell'organizzazione di SharePoint Online o un utente esegue il provisioning del sito di OneDrive for Business.
Sito hub orfano eliminato	HubSiteOrphanHubDeleted	Un amministratore SharePoint o globale ha eliminato un sito hub orfano, ossia un sito hub a cui non sono associati siti. È probabile che l'hub orfano sia causato dall'eliminazione del sito hub originale.
Connessione Inviato a eliminata	SendToConnectionRemoved	L'amministratore SharePoint o globale elimina una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint.
Sito eliminato	SiteDeleted	L'amministratore del sito elimina un sito.
Anteprima documento abilitata	PreviewModeEnabledSet	Un amministratore del sito abilita l'anteprima dei documenti per un sito.
Flusso di lavoro legacy abilitato	LegacyWorkflowEnabledSet	Un proprietario o un amministratore del sito aggiunge il tipo di contenuto Attività flusso di lavoro di SharePoint 2013 al sito. Gli amministratori globali possono anche abilitare i flussi di lavoro per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.
Office su richiesta abilitato	OfficeOnDemandSet	Un amministratore del sito abilita Office su richiesta, che consente agli utenti di accedere alla versione più recente delle applicazioni desktop di Office. Office su richiesta viene abilitato nell'interfaccia di amministrazione di SharePoint e richiede un abbonamento a Microsoft 365, che include le applicazioni Office complete installate.
Origine dei risultati abilitata per ricerche in Persone	PeopleResultsScopeSet	Un amministratore del sito crea l'origine dei risultati per le ricerche in Persone per un sito.
Feed RSS abilitati	NewsFeedEnabledSet	Un proprietario o un amministratore del sito abilita i feed RSS per un sito. Gli amministratori globali possono abilitare i feed RSS per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.
Sito unito al sito hub	HubSiteJoined	Il proprietario di un sito associa il sito a un sito hub.
Quota raccolta siti modificata	SiteCollectionQuotaModified	L'amministratore del sito modifica la quota per una raccolta siti.
Sito hub registrato	HubSiteRegistered	Un amministratore SharePoint o globale crea un sito hub. Il risultato è che il sito viene registrato come sito hub.
Rimossa la posizione dei dati consentita	AllowedDataLocationDeleted	Un amministratore SharePoint o globale ha rimosso una posizione di dati consentita in un ambiente multi-geografico.
Amministratore dell'area geografica rimosso	GeoAdminDeleted	Un amministratore SharePoint o globale ha aggiunto un utente come amministratore geografico di una posizione.
Sito rinominato	SiteRenamed	Un proprietario o un amministratore del sito rinomina un sito.
Spostamento geografico di un sito pianificato	SiteGeoMoveScheduled	Un amministratore SharePoint o globale programma correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Sito host impostato	HostSiteSet	Un amministratore di SharePoint o globale cambia il sito designato per ospitare siti di OneDrive for Business o personali.
Impostare una quota di archiviazione per una posizione geografica	GeoQuotaAllocated	Un amministratore SharePoint o globale ha configurato una quota di archiviazione per una posizione geografica in un ambiente multi-geografico.
Sito separato dal sito hub	HubSiteUnjoined	Il proprietario di un sito annulla l'associazione del sito a un sito hub.
Registrazione sito hub annullata	HubSiteUnregistered	Un amministratore SharePoint o globale annulla la registrazione di un sito come sito hub. Quando si annulla la registrazione di un sito hub, quest'ultimo non funziona più come sito hub.

Attività relative alle autorizzazioni del sito

La tabella seguente elenca gli eventi correlati all'assegnazione di autorizzazioni in SharePoint e all'uso dei gruppi per concedere (e revocare) l'accesso ai siti. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo	Operazione	Descrizione
Amministratore raccolta siti aggiunto	SiteCollectionAdminAdded	Un proprietario o un amministratore della raccolta siti aggiunge una persona come amministratore della raccolta siti per un sito. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari. Questa attività viene registrata anche quando un amministratore concede a se stesso l'accesso all'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint o usando l'interfaccia di amministrazione di Microsoft 365).
Utente o gruppo aggiunto al gruppo di SharePoint	AddedToGroup	Un utente ha aggiunto un membro o un guest a un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di condivisione.
L'ereditarietà dei livelli di autorizzazione è stata interrotta	PermissionLevelsInheritanceBroken	Un elemento è stato modificato in modo che non erediti più i livelli di autorizzazione dal relativo padre.
L'ereditarietà di condivisione è stata interrotta	SharingInheritanceBroken	Un elemento è stato modificato in modo che non erediti più le autorizzazioni di condivisione dal relativo padre.
Gruppo creato	GroupAdded	Un proprietario o un amministratore del sito crea un gruppo per un sito oppure esegue un'attività che comporta la creazione di un gruppo. Ad esempio, la prima volta che un utente crea un collegamento per condividere un file, un gruppo di sistema viene aggiunto al sito OneDrive for Business dell'utente. Questo evento può anche risultare dalla creazione, da parte di un utente, di un collegamento con autorizzazioni di modifica per un file condiviso.
Gruppo eliminato	GroupRemoved	Un utente elimina un gruppo da un sito.
Impostazioni richieste di accesso modificate	WebRequestAccessModified	Le impostazioni richieste di accesso sono state modificate in un sito.
Impostazione "I membri possono condividere" modificata	WebMembersCanShareModified	L'impostazione I membri possono condividere è stata modificata in un sito.
È stato modificato un livello di autorizzazione in una raccolta siti	PermissionLevelModified	Un livello di autorizzazione è stato modificato in una raccolta siti.
Autorizzazioni sito modificate	SitePermissionsModified	Un proprietario o un amministratore del sito (o un account di sistema) modifica il livello di autorizzazioni assegnato a un gruppo in un sito. Questa attività viene registrata anche se vengono rimosse tutte le autorizzazioni da un gruppo. NOTA: questa operazione è deprecata in SharePoint Online. Per trovare gli eventi correlati, è possibile cercare altre attività relative alle autorizzazioni, ad esempio Amministratore raccolta siti aggiunto, Utente o gruppo aggiunto a gruppo di SharePoint, Utente autorizzato a creare gruppi, Gruppo creato e Gruppo eliminato.
È stato rimosso un livello di autorizzazione dalla raccolta siti	PermissionLevelRemoved	Un livello di autorizzazione è stato rimosso da una raccolta siti.
Amministratore raccolta siti rimosso	SiteCollectionAdminRemoved	Un proprietario o un amministratore della raccolta siti rimuove una persona come amministratore della raccolta siti per un sito. Anche questa attività viene registrata quando un amministratore rimuove se stesso dall'elenco degli amministratori per l'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint). Per riportare questa attività nei risultati della ricerca nel log di controllo, è necessario cercare tutte le attività.
Utente o gruppo rimosso dal gruppo di SharePoint	RemovedFromGroup	Un utente ha rimosso un membro o un guest da un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di annullamento della condivisione.
Autorizzazioni di amministrazione sito richieste	SiteAdminChangeRequest	Un utente richiede di essere aggiunto come amministratore della raccolta siti per una raccolta. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari.
L'ereditarietà di condivisione è stata ripristinata	SharingInheritanceReset	È stata apportata una modifica che consente a un elemento di ereditare le autorizzazioni di condivisione dal relativo padre.
Gruppo aggiornato	GroupUpdated	Un proprietario o un amministratore del sito modifica le impostazioni di un gruppo per un sito. Questo può includere la modifica del nome del gruppo, degli utenti autorizzati a visualizzare o modificare l'appartenenza al gruppo e della modalità di gestione delle richieste di appartenenza.

Attività di sincronizzazione

La tabella seguente descrive le attività di sincronizzazione file in SharePoint Online e OneDrive for Business.

Nome descrittivo	Operazione	Descrizione
Computer autorizzato a sincronizzare i file	ManagedSyncClientAllowed	Un utente ha stabilito una relazione di sincronizzazione con un sito. La relazione di sincronizzazione viene eseguita correttamente perché il computer dell'utente fa parte di un dominio che è stato aggiunto all'elenco dei domini (denominato elenco destinatari attendibili) che possono accedere alle raccolte documenti all'interno dell'organizzazione. Per altre informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.
Computer non autorizzato a sincronizzare i file	UnmanagedSyncClientBlocked	L'utente tenta di stabilire una relazione di sincronizzazione con un sito da un computer che non è membro del dominio dell'organizzazione o è membro di un dominio che non è stato aggiunto all'elenco di domini (denominato elenco destinatari sicuri) che possono accedere alle raccolte documenti nell'organizzazione. La relazione di sincronizzazione non è consentita e al computer dell'utente viene impedito di sincronizzare, scaricare o caricare file in una raccolta documenti. Per informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.
File scaricati nel computer	FileSyncDownloadedFull	L'utente scarica un file nel computer da una raccolta documenti di SharePoint o OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe).
Modifiche ai file scaricate nel computer	FileSyncDownloadedPartial	Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe).
File caricati nella raccolta documenti	FileSyncUploadedFull	L'utente carica un nuovo file o le modifiche a un file nella raccolta documenti di SharePoint o in OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe).
Modifiche ai file caricate nella raccolta documenti	FileSyncUploadedPartial	Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe).

Attività di SystemSync

La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.

Nome descrittivo	Operazione	Descrizione
Condivisione dati creato	DataShareCreated	Quando l'esportazione dei dati viene creata dall'utente.
Condivisione dati eliminata correttamente.	DataShareDeleted	Quando l'esportazione dei dati viene eliminata dall'utente.
Generare una copia dei dati lake	GenerateCopyOfLakeData	Quando viene generata la copia di Lake Data.
Scarica la copia dei dati Lake	DownloadCopyOfLakeData	Quando viene scaricata la copia di Lake Data.

Attività di amministrazione utenti

La tabella seguente elenca le attività di amministrazione utenti registrate quando un amministratore aggiunge o modifica un account utente usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure.

Nota

Attività	Operazione	Descrizione
Utente aggiunto	Aggiunta utente.	È stato creato un account utente.
Licenza utente modificata	Modifica della licenza utente.	La licenza assegnata a un utente è stata modificata. Per visualizzare le licenze modificate, vedere l'attività Utente aggiornato corrispondente.
Password utente cambiata	Modifica della password utente.	Un utente ha cambiato la password. La reimpostazione della password in modalità self-service deve essere abilitata nell'organizzazione, per tutti gli utenti o per utenti selezionati, per consentire agli utenti di reimpostare la password. È anche possibile tenere traccia dell'attività di reimpostazione della password self-service in Microsoft Entra ID. Per altre informazioni, vedere Opzioni di creazione di report per Microsoft Entra gestione delle password.
Utente eliminato	Eliminazione utente.	È stato eliminato un account utente.
Reimpostazione della password utente	Reimpostazione della password utente.	Un amministratore ha reimpostato la password per un utente.
Impostata una proprietà che impone all'utente di cambiare la password	Impostazione forzatura per la modifica delle password utente.	Un amministratore ha impostato la proprietà che forza l'utente a cambiare la password al successivo accesso a Microsoft 365.
Impostazione delle proprietà della licenza	Impostazione delle proprietà della licenza.	Un amministratore modifica le proprietà di una licenza assegnata a un utente.
Utente aggiornato	Aggiornamento di un utente.	Un amministratore modifica una o più proprietà di un account utente. Per un elenco delle proprietà utente che è possibile aggiornare, vedere la sezione "Aggiorna attributi utente" in Microsoft Entra eventi del report di controllo.

attività Viva Goals

Nella tabella seguente sono elencate le attività utente e amministratore in Viva Goals registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Search il log di controllo descrive in dettaglio come cercare i log di controllo dal portale di Microsoft Purview e dal portale di conformità. L'utente deve essere un amministratore globale o avere le autorizzazioni di lettura di controllo per accedere ai log di controllo. È possibile utilizzare il filtro Attività per cercare attività specifiche ed elencare tutte le attività Viva Goals che è possibile scegliere "VivaGoals" nel filtro Tipo di record. È anche possibile usare le caselle dell'intervallo di date e l'elenco Utenti per restringere ulteriormente i risultati della ricerca.

Nome descrittivo	Operazione	Descrizione
Organizzazione creata	Organizzazione creata	Amministrazione o l'utente ha creato una nuova organizzazione in Viva Goals.
Aggiunta dell'utente	Aggiunta dell'utente	Un nuovo utente è stato aggiunto a un'organizzazione in Viva Goals.
Utente disattivato	Utente disattivato	Un utente è stato disattivato in un'organizzazione.
Utente eliminato	Utente eliminato	Un utente è stato eliminato da un'organizzazione in Viva Goals.
Utente connesso	Utente connesso	L'utente ha eseguito l'accesso a Viva Goals.
Aggiunta del team	Aggiunta del team	Un nuovo team è stato creato all'interno di un'organizzazione in Viva Goals.
Team aggiornato	Team aggiornato	Un team all'interno di un'organizzazione in Viva Goals è stato modificato o aggiornato.
Team eliminato	Team eliminato	Un team all'interno di un'organizzazione in Viva Goals è stato eliminato dall'utente.
Dati esportati	Dati esportati	Un utente ha esportato un elenco di OKR o un elenco di utenti in un'organizzazione in Viva Goals.
Goals criteri aggiornati	Goals criteri aggiornati	L'amministratore globale ha modificato i criteri o le impostazioni a livello di tenant in Viva Goals. Ad esempio, l'amministratore globale ha configurato chi può creare organizzazioni in Viva Goals.
Impostazioni dell'organizzazione aggiornate	Impostazioni dell'organizzazione aggiornate	L'utente (in genere proprietari o amministratori dell'organizzazione) ha aggiornato le impostazioni specifiche dell'organizzazione in Viva Goals.
Integrazioni dell'organizzazione aggiornate	Integrazioni dell'organizzazione aggiornate	L'utente (in genere proprietari o amministratori dell'organizzazione) ha configurato un'integrazione di terze parti o aggiornato un'integrazione di terze parti esistente per un'organizzazione in Viva Goals.
OKR o Progetto creato	OKR o Progetto creato	L'utente ha creato un OKR o un progetto in Viva Goals.
OKR o Progetto aggiornato	OKR o Progetto aggiornato	Un OKR/Progetto è stato modificato o è stato effettuato un check-in dall'utente o un'integrazione in Viva Goals.
OKR o Progetto eliminato	OKR o Progetto eliminato	L'utente ha eliminato un OKR o un progetto.
Dashboard creato	Dashboard creato	L'utente ha creato un nuovo dashboard in Viva Goals
Dashboard aggiornato	Dashboard aggiornato	L'utente ha aggiornato un dashboard in Viva Goals
Dashboard eliminato	Dashboard eliminato	L'utente ha eliminato un dashboard in Viva Goals.

attività Viva Engage

Nella tabella seguente sono elencate le attività utente e amministratore in Viva Engage registrate nel log di controllo. Per restituire le attività correlate Viva Engage dal log di controllo, è necessario selezionare Mostra risultati per tutte le attività nell'elenco Attività. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.

Nota

Alcune attività di controllo Viva Engage sono disponibili solo in Audit (Premium). Questo significa che agli utenti deve essere assegnata la licenza appropriata prima di registrare queste attività nel registro di controllo. Per altre informazioni, vedere Audit (Premium). Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.

Nella tabella seguente le attività di Audit (Premium) sono evidenziate con un asterisco (*).

Nome descrittivo	Operazione	Descrizione
Criteri di conservazione dei dati modificati	SoftDeleteSettingsUpdated	L'amministratore verificato aggiorna l'impostazione per i criteri di conservazione dei dati di rete per l'eliminazione definitiva o l'eliminazione temporanea. Solo gli amministratori verificati possono eseguire questa operazione.
Configurazione di rete modificata	NetworkConfigurationUpdated	L'amministratore di rete o verificato modifica la configurazione della rete Viva Engage. Imposta anche l'intervallo per l'esportazione dei dati e l'attivazione della chat.
Impostazioni del profilo di rete modificate	ProcessProfileFields	L'amministratore di rete o verificato modifica le informazioni visualizzate nei profili dei membri per gli utenti della rete.
Modalità per il contenuto privato modificata	SupervisorAdminToggled	L'amministratore verificato attiva o disattiva la modalità contenuto privato . Questa modalità consente a un amministratore di visualizzare i post nei gruppi privati e i messaggi privati scambiati tra singoli utenti o gruppi di utenti. Solo gli amministratori verificati possono eseguire questa operazione.
Configurazione della sicurezza modificata	NetworkSecurityConfigurationUpdated	L'amministratore verificato aggiorna la configurazione di sicurezza della rete Viva Engage. Imposta anche i criteri di scadenza della password e le limitazioni per gli indirizzi IP. Solo gli amministratori verificati possono eseguire questa operazione.
File creato	FileCreated	L'utente carica un file.
Gruppo creato	GroupCreation	Un utente crea un gruppo.
Un messaggio è stato creato^*	MessageCreated	L’utente crea un messaggio.
Gruppo eliminato	GroupDeletion	Un gruppo viene eliminato da Viva Engage.
Messaggio eliminato	MessageDeleted	L'utente elimina un messaggio.
File scaricato	FileDownloaded	L'utente scarica un file.
Dati esportati	DataExport	L'amministratore verificato esporta Viva Engage dati di rete. Solo gli amministratori verificati possono eseguire questa operazione.
Impossibile accedere alla community^*	CommunityAccessFailure	L’utente non è riuscito ad accedere a una community.
Impossibile accedere al file^*	FileAccessFailure	L’utente non è riuscito ad accedere al file.
Impossibile accedere al messaggio^*	MessageAccessFailure	L’utente non è riuscito ad accedere al messaggio.
Risposta al messaggio	MarkedMessageChanged	L'utente ha reagito a un messaggio.
File condiviso	FileShared	L'utente condivide un file con un altro utente.
Utente di rete sospeso	NetworkUserSuspended	L'amministratore di rete o verificato sospende (disattiva) un utente da Viva Engage.
Utente sospeso	UserSuspension	L'account utente viene sospeso (disattivato).
Descrizione del file aggiornata	FileUpdateDescription	L'utente modifica la descrizione di un file.
Nome file aggiornato	FileUpdateName	L'utente modifica il nome di un file.
Messaggio aggiornato^*	MessageUpdated	L’utente aggiorna un messaggio.
File visualizzato	FileVisited	L'utente visualizza un file.
Messaggio visualizzato^*	MessageViewed	L'utente visualizza un messaggio.

Windows 365 attività Customer Lockbox

Nella tabella seguente sono elencate le attività utente e amministratore in Windows 365 Customer Lockbox registrate nel log di controllo. Per restituire Windows 365 attività correlate a Customer Lockbox dal log di controllo, selezionare Windows365CustomerLockbox in Tipi di record. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.

Nome descrittivo	Operazione	Descrizione
Attivare la correzione del dispositivo	Attivare la correzione del dispositivo	Attivare la correzione del dispositivo.
Caricare la cartella nel BLOB	Caricare la cartella nel BLOB	Comprimere e caricare la cartella del dispositivo del cliente nel BLOB.
Controllare i criteri di esecuzione di PowerShell	Controllare i criteri di esecuzione di PowerShell	Controllare i criteri di esecuzione di PowerShell.
Installare l'agente Desktop remoto	Installare l'agente Desktop remoto	Installare l'agente Desktop remoto nel dispositivo dell'utente.
Eseguire l'estensione AADJ ibrida	Eseguire l'estensione AADJ ibrida	Eseguire l'estensione AADJ ibrida nel dispositivo dell'utente.
Creare una richiesta VmExtension	Creare una richiesta VmExtention	Crea richieste di estensione della macchina virtuale per eseguire l'estensione della macchina virtuale per eseguire script personalizzati nel dispositivo del cliente.
Trigger orchestrator	Trigger orchestrator	Attivare l'agente di orchestrazione per l'utente.
Attivare un'azione generica di SaaF	Attivare un'azione generica di SaaF	Attivare l'azione del dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) per l'utente.
Attivare un'azione generica	Attivare un'azione generica	Attivare l'azione del dispositivo per l'utente.
Attivare un'azione generica con le opzioni	Attivare un'azione generica con le opzioni	Attivare l'azione del dispositivo con parametri di opzione, più potente di quello dell'azione generica del trigger.
Creare nuovi elementi di lavoro (Utilità di pianificazione)	Creare nuovi elementi di lavoro (Utilità di pianificazione)	Creare nuovi elementi di lavoro, ad esempio Provisioning, Deprovision, Reprovision e così via.
Operazione post-azione remota	Operazione post-azione remota	Dopo l'azione remota, esegue il polling del risultato tramite l'operazione GetActions.
Comandi di esecuzione OCE nella macchina virtuale	Comandi di esecuzione OCE nella macchina virtuale	Eseguire comandi in base a tenantID, elenco deviceID e script.
Crea richiesta LogCollection	Crea richiesta LogCollection	Creare una richiesta di raccolta log per Cloud PC.
Attivare il controllo Canary dell'agente CMD.	Attivare il controllo Canary dell'agente CMD.	Attivare il controllo Canary dell'agente CMD su un dispositivo specifico.
Eseguire AppHealthPlugin	Eseguire AppHealthPlugin	Eseguire AppHealthPlugin.
Agente CMD di backfill	Operazione AddDevicesToBackfill	Eseguire il backfill dell'agente CMD nel PC cloud.
Reinstallare l'agente CMD	Operazione AddDevicesToReinstall	Reinstallare l'agente CMD su richiesta.
Reinstallare in blocco l'agente CMD	Operazione TriggerClientAgentCheckBulkAction	Reinstallare in blocco l'agente CMD su richiesta.
Creare un'operazione di azione remota in ActionModeratorService	Creare un'operazione di azione remota in ActionModeratorService	Creare un'azione remota in base a tenantID, workspaceID, actionType, actionParameters.

Attività del log di controllo

Attività di amministrazione applicazioni

Microsoft Entra attività di amministrazione del gruppo

Attività e-mail di Briefing

Attività di conformità delle comunicazioni

Attività di Esplora contenuto

Attività copilot

Attività di amministrazione directory

Attività di revisione per l'eliminazione

Attività di eDiscovery

Attività di eDiscovery (Premium)

Attività del portale messaggi crittografati

Attività di amministrazione di Exchange

Attività su cassette postali di Exchange

Account di sistema nei record di controllo delle cassette postali di Exchange

Attività su file e pagine

Domande frequenti sugli eventi FileAccessed e FilePreviewed

L'utente app@sharepoint nei record di controllo

Attività su cartelle

Attività barriere informative

Microsoft Defender per endpoint attività di impostazioni generali

Microsoft Defender per endpoint le attività relative alle impostazioni degli indicatori

Microsoft Defender per endpoint attività di reponse actions

Microsoft Defender per endpoint le attività delle impostazioni dei ruoli

Microsoft Defender per le attività degli esperti

attività Microsoft Defender per identità

Microsoft Defender XDR attività di rilevamento personalizzate

Microsoft Defender XDR attività impreviste

attività delle regole di eliminazione Microsoft Defender XDR

Attività di Microsoft Fabric

Attività di Microsoft Forms

Attività di Forms eseguite da coautori e partecipanti anonimi

Microsoft Graph Data Connect

attività Microsoft Planner

Attività di Microsoft Power Apps

Attività di Microsoft Power Automate

Attività di governance di Microsoft Purview

Attività di Microsoft Project per il Web

Attività di Microsoft Stream

Attività di Microsoft Teams

Attività di Microsoft Teams per il settore sanitario

Attività di Turni di Microsoft Teams

Attività di Aggiornamenti di Microsoft Teams

Attività di Microsoft To Do

attività Microsoft Viva Insights

Attività di approfondimento personale

Attività in quarantena

Attività relative ai report

Attività su criteri di conservazione ed etichette di conservazione

Attività di amministrazione ruoli

Attività relative ai tipi di informazioni riservate

Attività sulle etichette di riservatezza

Attività dell'elenco di SharePoint

Attività di richiesta di accesso e condivisione

Attività di amministrazione siti

Attività relative alle autorizzazioni del sito

Attività di sincronizzazione

Attività di SystemSync

Attività di amministrazione utenti

attività Viva Goals

attività Viva Engage

Windows 365 attività Customer Lockbox

Commenti e suggerimenti

Commenti e suggerimenti

Risorse aggiuntive