Office 365 管理アクティビティ API のスキーマ
Office 365 管理アクティビティ API のスキーマは、次の 2 つのレイヤーでデータ サービスとして提供されます。
共通スキーマ。 レコードの種類、作成時刻、ユーザーの種類、およびアクションなどの中心的な Office 365 監査概念へアクセスするためのインターフェースであり、同時にコア ディメンション (ユーザー ID など)、場所の詳細情報 (クライアント IP アドレスなど)、およびサービス固有のプロパティ (オブジェクト ID など) を提供します。 これにより一貫性がある統一ビューが確立され、いくつかの最上位ビューで適切なパラメーターを指定して、すべての Office 365 監査データを抽出できます。さらに、学習のコストを大幅に削減する、すべてのデータ ソース向けの固定スキーマも提供されます。 共通スキーマのデータは、Exchange、SharePoint、Azure Active Directory、Yammer、および OneDrive for Business などの各製品チームが所有する製品データから調達されます。 [オブジェクト ID] フィールドは、Microsoft 365 製品チームがサービス固有のプロパティを追加するために拡張できます。
サービス固有のスキーマ。 共通スキーマ上に構築され、Microsoft 365 のサービス固有の属性セット (SharePoint スキーマ、OneDrive for Business スキーマ、および Exchange 管理者スキーマなど) を提供します。
Office 365 管理 API のスキーマ
この記事では、共通スキーマとサービス固有のスキーマの詳細について説明します。 次の表では、使用可能なスキーマについて説明しています。
| スキーマ名 | 説明 |
|---|---|
| 共通スキーマ | レコードの種類、ユーザー ID、クライアント IP、ユーザーの種類、およびアクションと、ユーザーのプロパティ (ユーザー ID など)、場所のプロパティ (クライアント IP など)、およびサービス固有のプロパティ (オブジェクト ID など) といったコア ディメンションを抽出するためのビューです。 |
| Copilot スキーマ | イベントには、アクティビティが行われた Microsoft 365 サービスの Copilot と対話する方法とタイミング、および操作中にアクセスされた Microsoft 365 に格納されているファイルへの参照が含まれます。 |
| SharePoint 基本スキーマ | 共通スキーマを、すべての SharePoint 監査データに固有のプロパティで拡張します。 |
| SharePoint ファイルの操作 | SharePoint 基本スキーマを、ファイル アクセスと SharePoint での操作に固有のプロパティで拡張します。 |
| SharePoint リストの操作 | SharePoint Online のリストおよびリスト アイテムとの対話に固有のプロパティを使用して、SharePoint のベース スキーマを拡張します。 |
| SharePoint 共有スキーマ | SharePoint 基本スキーマを、ファイル共有に固有のプロパティで拡張します。 |
| SharePoint スキーマ | SharePoint 基本スキーマを、SharePoint に固有であるものの、ファイル アクセスと操作には関連がないプロパティで拡張します。 |
| Project スキーマ | SharePoint 基本スキーマを、プロジェクトに固有のプロパティで拡張します。 |
| Exchange 管理者スキーマ | 共通スキーマを、すべての Exchange 管理者監査データに固有のプロパティで拡張します。 |
| Exchange メールボックス スキーマ | 共通スキーマを、すべての Exchange メールボックス監査データに固有のプロパティで拡張します。 |
| OWA 認証スキーマ | 共通スキーマを、OWA 認証データに固有のプロパティで拡張します。 |
| 基本スキーマのMicrosoft Entra ID | すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Entra アカウント ログオン スキーマ | Microsoft Entra ID基本スキーマを、すべてのMicrosoft Entraログオン イベントに固有のプロパティで拡張します。 |
| セキュア STS ログオン スキーマのMicrosoft Entra ID | セキュリティで保護されたトークン サービス (STS) のすべてのログオン イベントに固有のプロパティを使用してMicrosoft Entra IDベース スキーマMicrosoft Entra ID拡張します。 |
| Microsoft Entra スキーマ | すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| DLP スキーマ | 共通スキーマを、データ損失防止イベントに固有のプロパティで拡張します。 |
| セキュリティ/コンプライアンス センター スキーマ | 共通スキーマを、すべてのセキュリティ/コンプライアンス センターのイベントに固有のプロパティで拡張します。 |
| セキュリティ/コンプライアンス アラート スキーマ | 共通スキーマを、すべてのOffice 365 セキュリティ/コンプライアンス アラートに固有のプロパティで拡張します。 |
| Yammer スキーマ | 共通スキーマを、すべての Yammer イベントに固有のプロパティで拡張します。 |
| データ センター セキュリティ基本スキーマ | 共通スキーマを、すべてのデータ センター セキュリティ監査データに固有のプロパティで拡張します。 |
| データ センター セキュリティ コマンドレット スキーマ | データ センター セキュリティ基本スキーマを、すべてのデータ センター セキュリティ コマンドレット監査データに固有のプロパティで拡張します。 |
| Microsoft Teams スキーマ | 共通スキーマを、すべての Microsoft Teams イベントに固有のプロパティで拡張します。 |
| Microsoft Defender for Office 365 および脅威の調査と対応スキーマ | Defender for Office 365 および脅威の調査と対応のデータに固有のプロパティを使用して、共通スキーマを拡張します。 |
| 報告スキーマ | Microsoft Defender for Office 365 のユーザーおよび管理者による報告に固有のプロパティを使用して、共通スキーマを拡張します。 |
| 自動調査および対応イベント スキーマ | Office 365 自動調査および応答 (AIR) イベントに固有のプロパティを使用して、共通スキーマを拡張します。 例については、「Tech Community のブログ: Microsoft Defender for Office 365 と O365 管理 API を使用して SOC の有効性を向上させる」を参照してください。 |
| 検疫イベントスキーマ | Exchange Online Protection および Microsoft Defender for Office 365 のイベントに固有のプロパティを使用して、共通スキーマを拡張します。 |
| Power BI スキーマ | 共通スキーマを、すべての Power BI イベントに固有のプロパティで拡張します。 |
| Dynamics 365 スキーマ | Dynamics 365 イベントに固有のプロパティを使用して共通スキーマを拡張します。 |
| Workplace Analytics スキーマ | 共通スキーマを、すべての Microsoft Workplace Analytics イベントに固有のプロパティで拡張します。 |
| 検疫スキーマ | 共通スキーマを、すべての検疫イベントに固有のプロパティで拡張します。 |
| Microsoft Forms スキーマ | 共通スキーマを、すべての Microsoft Forms イベントに固有のプロパティで拡張します。 |
| MIP ラベルのスキーマ | メール メッセージに手動または自動で適用される秘密度ラベルの固有のプロパティを使用して、共通のスキーマを拡張します。 |
| 暗号化されたメッセージのポータル イベント スキーマ | 外部受信者がアクセスする暗号化されたメッセージ ポータルに固有のプロパティを使用して共通スキーマを拡張します。 |
| コミュニケーションコンプライアンス Exchange スキーマ | コミュニケーションコンプライアンス違反言語モデルに固有のプロパティを使用して、共通スキーマを拡張します。 |
| レポート スキーマ | 共通スキーマを、すべての レポート イベントに固有のプロパティで拡張します。 |
| コンプライアンス コネクタ スキーマ | データ コネクタを使用して Microsoft 以外のデータをインポートするための固有のプロパティを使用して、共通スキーマを拡張します。 |
| SystemSync スキーマ | SystemSync を介して取り込まれたデータに固有のプロパティを使用して、共通スキーマを拡張します。 |
| スキーマのViva Goals | すべてのViva Goals イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Planner スキーマ | 共通スキーマを、Microsoft Planner イベントに固有のプロパティで拡張します。 |
| Microsoft Project for the web スキーマ | Microsoft Project For The Web イベントに固有のプロパティを使用して共通スキーマを拡張します。 |
| パルス スキーマのViva | Common スキーマを、すべてのViva Pulse イベントに固有のプロパティで拡張します。 |
| Compliance Manager スキーマ | Compliance Manager イベントに固有のプロパティを使用して、共通スキーマを拡張します。 |
| バックアップ ポリシー スキーマ | 共通スキーマを、Microsoft 365 バックアップ ポリシーに固有のプロパティで拡張します。 |
| タスク スキーマの復元 | [復元タスク] に固有のプロパティを使用して共通スキーマMicrosoft 365 バックアップ拡張します。 |
| バックアップ項目スキーマ | 共通スキーマを、Microsoft 365 バックアップ成果物に固有のプロパティで拡張します。 |
| アイテム スキーマの復元 | Microsoft 365 バックアップの復元項目に固有のプロパティを使用して、共通スキーマを拡張します。 |
共通スキーマ
EntityType の名前: AuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | はい | 監査レコードの一意識別子。 |
| RecordType | Self.AuditLogRecordType | はい | レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。 |
| CreationTime | Edm.Date | はい | 監査ログ レコードが生成されたときの協定世界時 (UTC) の日付と時刻。 |
| Operation | Edm.String | はい | ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。 Exchange 管理者アクティビティでは、このプロパティは、実行されたコマンドレットの名前を識別します。 DLP イベントでは、これは "DlpRuleMatch"、"DlpRuleUndo" または "DlpInfo" (後続の「DLP スキーマ」で説明) になる可能性があります。 |
| OrganizationId | Edm.Guid | はい | 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。 |
| UserType | Self.UserType | はい | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、「ユーザーの種類」の表を参照してください。 |
| UserKey | Edm.String | はい | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。 |
| Workload | Edm.String | はい | アクティビティが発生した Office 365 サービス。 |
| ResultStatus | Edm.String | いいえ | (Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。 指定可能な値は Succeeded、PartiallySucceeded、または Failed です。 Exchange 管理者アクティビティでは、値は True または False のいずれかになります。 重要: さまざまなワークロードにより ResultStatus プロパティの値が上書きされる可能性があります。 たとえば、STS ログオン イベントMicrosoft Entra IDの場合、ResultStatus の [成功] の値は、HTTP 操作が成功したことを示すだけです。ログオンが成功したことを意味するものではありません。 実際のログオンが成功したかどうかを判断するには、Microsoft Entra ID STS ログオン スキーマの LogonError プロパティを参照してください。 ログオンに失敗していた場合、このプロパティにはログオン試行に失敗した理由が含まれます。 |
| ObjectId | Edm.string | いいえ | SharePoint および OneDrive for Business のアクティビティの場合、ユーザーによりアクセスされるファイルまたはフォルダーの完全パス名。 Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。 |
| UserId | Edm.string | はい | レコードがログに記録されることになった、(Operation プロパティで指定された) アクションを実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name などです。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。 |
| ClientIP | Edm.String | はい | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Microsoft Entra ID関連イベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は です null。 |
| 範囲 | Self.AuditLogScope | いいえ | このイベントは、ホストされた O365 サービスまたはオンプレミスのサーバーによって作成されたものですか。 設定できる値は online および onprem です。 SharePoint は現在、オンプレミスから O365 にイベントを送信する唯一のワークロードです。 |
| AppAccessContext | CollectionSelf.AppAccessContext | いいえ | アクションを実行したユーザーまたはサービス プリンシパルのアプリケーション コンテキスト。 |
列挙値: AuditLogRecordType - 型: Edm.Int32
AuditLogRecordType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | ExchangeAdmin | Exchange 管理者監査ログからのイベント。 |
| 2 | ExchangeItem | 単一のアイテムに対して実行されるアクション (単一の電子メール メッセージの作成や受信など) の、Exchange メールボックス監査ログからのイベント。 |
| 3 | ExchangeItemGroup | 複数のアイテムに対して実行できるアクション (1 つ以上の電子メール メッセージの移動や削除など) の、Exchange メールボックス監査ログからのイベント。 |
| 4 | SharePoint | SharePoint イベント。 |
| 6 | SharePointFileOperation | SharePoint ファイル操作イベント。 |
| 7 | OneDrive | Skype for Business イベント。 |
| 8 | AzureActiveDirectory | Microsoft Entra ID イベント。 |
| 9 | AzureActiveDirectoryAccountLogon | OrgId ログオン イベントをMicrosoft Entra IDします (非推奨)。 |
| 10 | DataCenterSecurityCmdlet | データ センター セキュリティ コマンドレット イベント。 |
| 11 | ComplianceDLPSharePoint | SharePoint のデータ損失防止 (DLP) イベントと OneDrive for Business。 |
| 13 | ComplianceDLPExchange | 統合 DLP ポリシーを使用して構成された場合の Exchange のデータ損失防止 (DLP) イベント。 Exchange トランスポート ルールに基づく DLP イベントはサポートされていません。 |
| 14 | SharePointSharingOperation | SharePoint 共有イベント。 |
| 15 | AzureActiveDirectoryStsLogon | Microsoft Entra IDのセキュリティで保護されたトークン サービス (STS) ログオン イベント。 |
| 16 | SkypeForBusinessPSTNUsage | Skype for Business からの公衆交換電話網 (PSTN) イベント。 |
| 17 | SkypeForBusinessUsersBlocked | Skype for Business からのブロックされたユーザー イベント。 |
| 18 | SecurityComplianceCenterEOPCmdlet | セキュリティ センターとコンプライアンス センターの管理者アクション |
| 19 | ExchangeAggregatedOperation | 集計された Exchange メールボックス監査イベント。 |
| 20 | PowerBIAudit | Power BI イベント。 |
| 21 | CRM | Dynamics 365 イベント。 |
| 22 | Yammer | Yammer イベント。 |
| 23 | SkypeForBusinessCmdlets | Skype for Business イベント。 |
| 24 | Discovery | セキュリティ/コンプライアンス センターでコンテンツ検索を実行し、eDiscovery のケースを管理することによって実行される、電子情報開示アクティビティのイベント。 |
| 25 | MicrosoftTeams | Microsoft Teams のイベント。 |
| 28 | ThreatIntelligence | Exchange Online Protection と Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。 |
| 29 | MailSubmission | Exchange Online Protection と Office 365 Advanced Threat Protection からの送信についてのイベント。 |
| 30 | MicrosoftFlow | Microsoft Power Automate (旧称 Microsoft Flow) イベント。 |
| 31 | AeD | Advanced eDiscovery イベント。 |
| 32 | MicrosoftStream | Microsoft Stream のイベント。 |
| 33 | ComplianceDLPSharePointClassification | SharePoint の DLP 分類に関連するイベント。 |
| 34 | ThreatFinder | Microsoft Defender for Office 365 からのキャンペーン関連のイベント。 |
| 35 | Project | Microsoft Project のイベント。 |
| 36 | SharePointListOperation | SharePoint リスト イベント。 |
| 37 | SharePointCommentOperation | SharePoint コメント イベント。 |
| 38 | DataGovernance | セキュリティ/コンプライアンス センターにおけるアイテム保持ポリシーと保持ラベルに関連するイベント |
| 39 | Kaizala | Kaizala イベント。 |
| 40 | SecurityComplianceAlerts | セキュリティ/コンプライアンス アラートのシグナル。 |
| 41 | ThreatIntelligenceUrl | ブロック時の安全なリンクと Microsoft Defender for Office 365 からのイベントの上書きブロック。 |
| 42 | SecurityComplianceInsights | Office 365 セキュリティおよびコンプライアンス センターの分析情報とレポートに関連するイベント。 |
| 43 | MIPLabel | 秘密度ラベルで (手動または自動で) タグ付けされたメール メッセージのトランスポート パイプラインでの検出に関連するイベント。 |
| 44 | WorkplaceAnalytics | Workplace Analytics イベント。 |
| 45 | PowerAppsApp | Power Apps イベント。 |
| 46 | PowerAppsPlan | Power Apps のサブスクリプション プラン イベント。 |
| 47 | ThreatIntelligenceAtpContent | SharePoint、OneDrive for Business、Microsoft Teams のファイルについての Microsoft Defender for Office 365 からのフィッシングとマルウェアのイベント。 |
| 48 | LabelContentExplorer | データ分類コンテンツ エクスプローラーに関係するイベント。 |
| 49 | TeamsHealthcare | Microsoft 医療関係向けのTeams の患者アプリケーションに関連するベント。 |
| 50 | ExchangeItemAggregated | MailItemsAccessed メールボックス監査アクションに関連するイベント。 |
| 51 | HygieneEvent | 送信スパム保護に関連するイベント。 |
| 52 | DataInsightsRestApiAudit | データ インサイト REST API イベント。 |
| 53 | InformationBarrierPolicyApplication | 情報障壁ポリシーの適用に関連するイベント。 |
| 54 | SharePointListItemOperation | SharePoint リスト アイテム イベント。 |
| 55 | SharePointContentTypeOperation | SharePoint リスト コンテンツ タイプ イベント。 |
| 56 | SharePointFieldOperation | SharePoint リスト フィールド イベント。 |
| 57 | MicrosoftTeamsAdmin | Teams 管理者イベント |
| 58 | HRSignal | インサイダー リスク管理ソリューションをサポートする HR データ信号に関連するイベント。 |
| 59 | MicrosoftTeamsDevice | Teams デバイス イベント。 |
| 60 | MicrosoftTeamsAnalytics | Teams 分析イベント。 |
| 61 | InformationWorkerProtection | 侵害されたユーザーのアラートに関連するイベント。 |
| 62 | Campaign | Microsoft Defender for Office 365 からのメール キャンペーンのイベント。 |
| 63 | DLPEndpoint | エンドポイント DLP イベント。 |
| 64 | AIR 調査 | 自動インシデント応答 (AIR) イベント |
| 65 | Quarantine | 検疫イベント。 |
| 66 | MicrosoftForms | Microsoft Forms イベント。 |
| 67 | ApplicationAudit | アプリケーション監査イベント。 |
| 68 | ComplianceSupervisionExchange | コミュニケーションコンプライアンス違反言語モデルによって追跡されるイベント。 |
| 69 | CustomerKeyServiceEncryption | カスタマー キーの暗号化に関連するイベント。 |
| 70 | OfficeNative | Office ドキュメントに適用される機密ラベルに関連するイベント。 |
| 71 | MipAutoLabelSharePointItem | SharePoint での自動ラベル付けイベント。 |
| 72 | MipAutoLabelSharePointPolicyLocation | SharePoint での自動ラベル付けポリシー イベント。 |
| 73 | MicrosoftTeamsShifts | Teams シフト イベント。 |
| 75 | MipAutoLabelExchangeItem | Exchange での自動ラベル付けイベント。 |
| 76 | CortanaBriefing | ブリーフィング メール イベント。 |
| 78 | WDATPAlerts | Windows Defender for Endpoint によって生成されたアラートに関連するイベント。 |
| 79 | PowerAppsResource | Microsoft Power Platform コネクタ (プレビュー) に関連するイベント。 |
| 82 | SensitivityLabelPolicyMatch | 機密ラベルでラベル付けされたファイルが開かれるか、名前が変更されたときに生成されるイベント。 |
| 83 | SensitivityLabelAction | 機密ラベルがファイルに適用、更新、または削除されたときに生成されるイベント。 |
| 84 | SensitivityLabeledFileAction | 機密ラベルでラベル付けされたファイルが開かれたとき、または名前が変更されたときに生成されるイベント。 |
| 85 | AttackSim | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー アクティビティに関連するイベント。 |
| 86 | AirManualInvestigation | 自動調査と応答 (AIR) での手動調査に関連するイベント。 |
| 87 | SecurityComplianceRBAC | セキュリティとコンプライアンスの RBAC イベント。 |
| 88 | UserTraining | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー トレーニングに関連するイベント。 |
| 89 | AirAdminActionInvestigation | 自動調査と応答 (AIR) の管理者アクションに関連するイベント。 |
| 90 | MSTIC | Microsoft Defender for Office365 の脅威インテリジェンス イベント。 |
| 91 | PhysicalBadgingSignal | インサイダー リスク管理ソリューションをサポートする物理バッジに関連するイベント。 |
| 93 | AipDiscover | AIP スキャナー イベント |
| 94 | AipSensitivityLabelAction | AIP 秘密度ラベル イベント |
| 95 | AipProtectionAction | AIP 保護イベント |
| 96 | AipFileDeleted | AIP ファイル削除イベント |
| 97 | AipHeartBeat | AIP ハートビート イベント |
| 98 | MCASAlerts | Microsoft Cloud App Security によってトリガーされたアラートに対応するイベント。 |
| 99 | OnPremisesFileShareScannerDlp | ファイル共有の機密データのスキャンに関連するイベント。 |
| 100 | OnPremisesSharePointScannerDlp | SharePoint での機密データのスキャンに関連するイベント。 |
| 101 | ExchangeSearch | Outlook on the Web (OWA) を使用してメールボックス アイテムを検索することに関連するイベント。 |
| 102 | SharePointSearch | 組織の SharePoint ホーム サイトの検索に関連するイベント。 |
| 103 | PrivacyInsights | プライバシー分析情報イベント。 |
| 105 | MyAnalyticsSettings | MyAnalytics イベント。 |
| 106 | SecurityComplianceUserChange | ユーザーの変更または削除に関連するイベント。 |
| 107 | ComplianceDLPExchangeClassification | Exchange DLP 分類イベント。 |
| 109 | MipExactDataMatch | 完全データ一致 (EDM) 分類イベント。 |
| 113 | MS365DCustomDetection | Microsoft 365 Defender のカスタム検出アクションに関連するイベント。 |
| 147 | CoreReportingSettings | レポート設定イベント。 |
| 148 | ComplianceConnector | Microsoft Purview コンプライアンスポータルでデータコネクタを使用して Microsoft 以外のデータをインポートすることに関連するイベント。 |
| 154 | OMEPortal | 外部受信者によって生成された暗号化されたメッセージ ポータル イベント ログ。 |
| 164 | ScorePlatformGenericAuditRecord | データ コネクタに使用される汎用監査レコード。 |
| 174 | DataShareOperation | SystemSync 経由で取り込まれたデータの共有に関連するイベント。 |
| 181 | EduDataLakeDownloadOperation | SystemSync がレイクから取り込んだデータのエクスポートに関連するイベント。 |
| 183 | MicrosoftGraphDataConnectOperation | Microsoft Graph Data Connect によって行われる抽出に関連するイベント。 |
| 186 | PowerPagesSite | Power Pages サイトに関連するアクティビティ。 |
| 187 | PowerPlatformAdminDlp | Microsoft Power Platform DLP (プレビュー) に関連するイベント。 |
| 188 | PlannerPlan | Microsoft Plannerイベントを計画します。 |
| 189 | PlannerCopyPlan | プラン イベントMicrosoft Plannerコピーします。 |
| 190 | PlannerTask | タスク イベントをMicrosoft Plannerします。 |
| 191 | PlannerRoster | 名簿と名簿のメンバーシップ イベントをMicrosoft Plannerします。 |
| 192 | PlannerPlanList | プラン リスト イベントをMicrosoft Plannerします。 |
| 193 | PlannerTaskList | タスク リスト イベントをMicrosoft Plannerします。 |
| 194 | PlannerTenantSettings | テナント設定イベントをMicrosoft Plannerします。 |
| 195 | ProjectForThewebProject | Microsoft Project for the web プロジェクト イベント。 |
| 196 | ProjectForThewebTask | Microsoft Project for the web タスク イベント。 |
| 197 | ProjectForThewebRoadmap | Microsoft Project for the web ロードマップ イベント。 |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project for the webロードマップ項目イベント。 |
| 199 | ProjectForThewebProjectSettings | Microsoft Project for the web プロジェクト テナント設定イベント。 |
| 200 | ProjectForThewebRoadmapSettings | Microsoft Project for the web ロードマップ テナント設定イベント。 |
| 216 | Viva Goals | Viva Goals イベント。 |
| 217 | MicrosoftGraphDataConnectConsent | Microsoft Graph Data Connect アプリケーションのテナント管理者によって実行される同意アクションのイベント。 |
| 218 | AttackSimAdmin | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングの管理アクティビティに関連するイベント。 |
| 230 | TeamsUpdates | Teams Updates アプリ イベント。 |
| 231 | PlannerRosterSensitivityLabel | 名簿秘密度ラベル イベントをMicrosoft Plannerします。 |
| 237 | DefenderExpertsforXDRAdmin | エキスパート管理者アクション イベントをMicrosoft Defenderします。 |
| 251 | VfamCreatePolicy | アクセス管理ポリシー Vivaイベントを作成します。 |
| 252 | VfamUpdatePolicy | Access Management ポリシーの更新イベントをVivaします。 |
| 253 | VfamDeletePolicy | アクセス管理ポリシーの削除イベントをVivaします。 |
| 261 | CopilotInteraction | Copilot 相互作用イベント。 |
| 275 | OWAAuth | リソースのアクセス トークンが正常に発行されたイベント。 |
| 280 | VivaPulseResponse | パルス調査応答イベントをVivaします。 |
| 281 | VivaPulseOrganizer | パルスアンケート開催者イベントをVivaします。 |
| 282 | VivaPulseAdmin | パルス管理イベントをVivaします。 |
| 283 | VivaPulseReport | Vivaパルスは関連イベントを報告します。 |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project for the webテナント設定イベントに割り当てられます。 |
| 298 | BackupPolicy | Microsoft 365 バックアップ ポリシーに関連するイベント。 |
| 299 | RestoreTask | Microsoft 365 バックアップ復元タスクに関連するイベント。 |
| 300 | RestoreItem | Microsoft 365 バックアップでバックアップされた成果物に関連するイベント。 |
| 301 | BackupItem | Microsoft 365 バックアップを使用して復元されるアイテムに関連するイベント。 |
| 332 | ComplianceSettingsChange | Microsoft Purview コンプライアンス設定によってイベントが変更されます。 |
列挙値: User Type - 型: Edm.Int32
ユーザーの種類
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Regular | 管理者権限のない通常のユーザー。 |
| 1 | Reserved | 使用目的ではなく予約値。 |
| 2 | Admin | Microsoft 365 organizationの管理者。 ** |
| 3 | DCAdmin | Microsoft データセンター管理者またはデータセンター システム アカウント。 |
| 4 | System | サーバー側ロジックによってトリガーされる監査イベント。 たとえば、Windows サービスやバックグラウンド プロセスなどです。 |
| 5 | Application | Microsoft Entra アプリケーションによってトリガーされる監査イベント。 |
| 6 | ServicePrincipal | サービス プリンシパル。 |
| 7 | CustomPolicy | 顧客が作成または管理するポリシー。 |
| 8 | SystemPolicy | Microsoft が管理するポリシーまたはシステム ポリシー。 |
| 9 | PartnerTechnician | パートナー テナントのユーザーが顧客テナントに代わって作業している ( GDAP シナリオの場合)。 |
| 10 | Guest | ゲストまたは匿名ユーザー。 |
注:
** Microsoft Entra関連イベントの場合、管理者の値は監査レコードでは使用されません。 管理者によって実行されたアクティビティの監査レコードは、通常のユーザー (たとえば、UserType: 0) がアクティビティを実行したことを意味します。 UserID プロパティは、このアクティビティを実行したユーザー (通常のユーザーまたは管理者) を識別します。
列挙値: AuditLogScope - 型: Edm.Int32
AuditLogScope
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Online | このイベントは、ホストされた O365 サービスによって作成されました。 |
| 1 | Onprem | このイベントは、オンプレミスのサーバーによって作成されました。 |
複合型 AppAccessContext
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AADSessionId | Edm.String | いいえ | ユーザーの代わりにアプリによって実行された Entra サインインの Microsoft Entra SessionId。 |
| APIId | Edm.String | いいえ | リソースへのアクセスに使用される API パスウェイの ID。たとえば、Microsoft Graph API を介したアクセス。 |
| ClientAppId | Edm.String | いいえ | ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの ID。 |
| ClientAppName | Edm.String | いいえ | ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの名前。 |
| CorrelationId | Edm.String | いいえ | Microsoft 365 サービス全体で特定のユーザーのアクションを関連付けるために使用できる識別子。 |
| UniqueTokenId | Edm.String | いいえ | 要求に対してMicrosoft Entra トークンが使用可能な場合、UniqueTokenId が設定されます。 これは、大文字と小文字が区別される一意のトークンごとの識別子です。 |
| IssuedAtTime | Edm.Date | いいえ | 要求に対してMicrosoft Entra トークンが使用可能であり、このMicrosoft Entra トークンの認証がいつ行われたか示す場合は、"発行時" が設定されます。 |
SharePoint Base schema
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| サイト | Edm.Guid | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの GUID。 |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | いいえ | アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、「ItemType」の表を参照してください。 |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | いいえ | SharePoint でイベントが発生したことを示します。 指定可能な値は SharePoint または ObjectModel。 |
| SourceName | Edm.String | いいえ | 監査対象の操作をトリガーしたエンティティ。 指定可能な値は、SharePoint または ObjectModel。 |
| UserAgent | Edm.String | いいえ | ユーザーのクライアントまたはブラウザーに関する情報。 この情報は、クライアントまたはブラウザーによって提供されます。 |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。 |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。 |
| ListItemUniqueId | Edm.Guid | いいえ | リストの一意に識別可能な項目の GUID。 この情報は、該当する場合にのみ存在します。 |
| ListID | Edm.Guid | いいえ | リストの GUID。 この情報は、該当する場合にのみ存在します。 |
| ApplicationId | Edm.String | いいえ | 操作を実行するアプリケーションの ID。 |
| ApplicationDisplayName | Edm.String | いいえ | 操作を実行するアプリケーションの表示名。 |
| IsWorkflow | Edm.Boolean | いいえ | これは、SharePoint ワークフローが監査イベントをトリガーした場合に True に設定されます。 |
列挙:ItemType - タイプ:Edm.Int32
ItemType
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Invalid | アイテムは、その他の種類のアイテム (この表にリストされている) のいずれでもありません。 |
| 1 | File | アイテムはファイルです。 |
| 5 | Folder | アイテムはフォルダーです。 |
| 6 | Web | アイテムは Web です。 |
| 7 | Site | アイテムはサイトです。 |
| 8 | Tenant | アイテムはテナントです。 |
| 9 | DocumentLibrary | アイテムはドキュメント ライブラリです。 |
| 11 | Page | アイテムはページです。 |
列挙値: EventSource - 型: Edm.Int32
EventSource
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | SharePoint | イベント ソースは SharePoint です。 |
| 1 | ObjectModel | イベント ソースは ObjectModel です。 |
列挙:SharePointAuditOperation - タイプ:Edm.Int32
| メンバー名 | 説明 |
|---|---|
| AccessInvitationAccepted | 共有ファイル (またはフォルダー) の表示または編集への招待の受信者が、招待のリンクをクリックして共有ファイルにアクセスしました。 |
| AccessInvitationCreated | ユーザーは、SharePoint または OneDrive for Business サイトにある共有ファイルまたはフォルダーの表示または編集への招待を、(組織の内外の) 他のユーザーに送信します。 イベント エントリの詳細では、共有されたファイルの名前、招待の送信先のユーザー、招待の送信者が選択した共有のアクセス許可の種類を識別します。 |
| AccessInvitationExpired | 外部のユーザーに送信した招待の期限が切れています。 既定では、組織外のユーザーに送信された招待が承諾されていない場合は、7 日後に期限が切れます。 |
| AccessInvitationRevoked | SharePoint または OneDrive for Business のサイト管理者、サイト所有者、またはドキュメント所有者は、組織外のユーザーに送信された招待を取り下げます。 招待の取り下げは、招待が承諾される前にのみ行えます。 |
| AccessInvitationUpdated | SharePoint または OneDrive for Business サイトにある共有ファイルまたはフォルダーの表示または編集への招待を作成して送信したユーザーが、招待を再送します。 |
| AccessRequestApproved | SharePoint または OneDrive for Business のサイト管理者、サイト所有者、またはドキュメント所有者は、サイトまたはドキュメントにアクセスするユーザー要求を承認します。 |
| AccessRequestCreated | ユーザーは、アクセス許可がない SharePoint または OneDrive for Business のサイトまたはドキュメントへのアクセス権限を要求します。 |
| AccessRequestRejected | SharePoint 内のドキュメントやサイトの管理者または所有者が、サイトまたはドキュメントへのユーザー アクセスを拒否しています。 |
| ActivationEnabled | ユーザーは、フォーム コードが含まれていないフォーム テンプレートをブラウザー対応にする、完全な信頼を要求する、モバイル デバイスでのレンダリングを有効にする、サーバー管理者が管理するデータ接続を使用する、などができます。 |
| AdministratorAddedToTermStore | 用語ストア管理者が追加されました。 |
| AdministratorDeletedFromTermStore | 用語ストア管理者が削除されました。 |
| AllowGroupCreationSet | サイト管理者またはサイト所有者は、許可が割り当てられたユーザーが SharePoint または OneDrive for Business サイトのグループを作成できる許可レベルを、それらのサイトに追加します。 |
| AppCatalogCreated | SharePoint 環境でカスタム ビジネス アプリを利用できるように、アプリ カタログが作成されました。 |
| AuditPolicyRemoved | サイト コレクションのドキュメント ライフサイクル ポリシーが削除されました。 |
| AuditPolicyUpdate | サイト コレクションのドキュメント ライフ サイクル ポリシーが更新されました。 |
| AzureStreamingEnabledSet | ビデオ ポータルの所有者が、Azure からのビデオ ストリーミングを許可されました。 |
| CollaborationTypeModified | サイト (イントラネット、エクストラネット、またはパブリックなど) で許可されているコラボレーションの種類が変更されました。 |
| ConnectedSiteSettingModified | ユーザーがプロジェクトとプロジェクト サイトの間のリンクを作成、変更、または削除したか、ユーザーが Project Web アプリのリンクの同期設定を変更します。 |
| CreateSSOApplication | ターゲット アプリケーションが Secure Store Service で作成されました。 |
| CustomFieldOrLookupTableCreated | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを作成しました。 |
| CustomFieldOrLookupTableDeleted | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを削除しました。 |
| CustomFieldOrLookupTableModified | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを変更しました。 |
| CustomizeExemptUsers | グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストをカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 つまり、除外として指定したユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 これにより、InfoPath フォームのインデックス作成の時間が短縮されます。 |
| DefaultLanguageChangedInTermStore* | 用語ストアで変更された言語設定。 |
| DelegateModified | ユーザーが Project Web アプリでセキュリティ デリゲートを作成または変更しました。 |
| DelegateRemoved | ユーザーが Project Web アプリでセキュリティ デリゲートを削除しました。 |
| DeleteSSOApplication | SSO アプリケーションが削除されました。 |
| eDiscoveryHoldApplied | インプレース ホールドが、コンテンツ ソースに置かれました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。 |
| eDiscoveryHoldRemoved | インプレース ホールドが、コンテンツ ソースから削除されました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。 |
| eDiscoverySearchPerformed | 電子情報開示検索は、SharePoint の電子情報開示サイト コレクションを使用して実行されました。 |
| EngagementAccepted | ユーザーは Project Web アプリでリソース エンゲージメントを受け入れます。 |
| EngagementModified | ユーザーが Project Web アプリのリソース エンゲージメントを変更します。 |
| EngagementRejected | ユーザーが Project Web アプリのリソース エンゲージメントを拒否します。 |
| EnterpriseCalendarModified | ユーザーは、Project Web アプリでエンタープライズ 予定表をコピー、変更、または削除します。 |
| EntityDeleted | ユーザーは Project Web アプリでタイムシートを削除します。 |
| EntityForceCheckedIn | ユーザーは、Project Web アプリの予定表、ユーザー設定フィールド、または参照テーブルにチェックを強制します。 |
| ExemptUserAgentSet | グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストにユーザー エージェントを追加しました。 |
| FileAccessed | ユーザーまたはシステム アカウントは、SharePoint または OneDrive for Business サイトにあるファイルにアクセスします。 システム アカウントが FileAccessed イベントを生成する場合もあります。 |
| FileCheckOutDiscarded | チェック アウトしたファイルを破棄します (または元に戻します)。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。 |
| FileCheckedIn | ユーザーは、SharePoint または OneDrive for Business のドキュメント ライブラリからチェックアウトしたことをドキュメントで確認します。 |
| FileCheckedOut | ユーザーは、SharePoint または OneDrive for Business ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。 |
| FileCopied | ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントをコピーします。 コピーしたファイルは、サイト上の別のフォルダーに保存できます。 |
| FileDeleted | ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントを削除します。 |
| FileDeletedFirstStageRecycleBin | ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からファイルを削除します。 |
| FileDeletedSecondStageRecycleBin | ユーザーが SharePoint または OneDrive for Business サイトの第 2 段階のごみ箱からファイルを削除します。 |
| FileDownloaded | ユーザーは、SharePoint または OneDrive for Business サイトからドキュメントをダウンロードします。 |
| FileFetched | このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。 |
| FileModified | ユーザーまたはシステム アカウントは、SharePoint あるいは OneDrive for Business サイトにあるドキュメントの内容またはプロパティを変更します。 |
| FileMoved | ユーザーが SharePoint または OneDrive for Business サイトの現在の場所から新しい場所にドキュメントを移動します。 |
| FilePreviewed | ユーザーが SharePoint または OneDrive for Business サイトにあるドキュメントをプレビューします。 |
| FileRecycled | ユーザーはドキュメントを SharePoint または OneDrive ごみ箱に移動します。 |
| FileRenamed | ユーザーは、SharePoint または OneDrive for Business サイトにあるドキュメントの名前を変更します。 |
| FileRestored | ユーザーは、SharePoint または OneDrive for Business サイトのごみ箱からドキュメントを復元します。 |
| FileSyncDownloadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business からコンピューターにファイルをダウンロードします。 |
| FileSyncDownloadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
| FileSyncUploadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business に新しいファイルまたはファイルへの変更をアップロードします。 |
| FileSyncUploadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
| FileUploaded | ユーザーは、SharePoint または OneDrive for Business サイトにあるフォルダーにドキュメントをアップロードします。 |
| FileViewed | このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。 |
| FolderCopied | ユーザーがフォルダーを SharePoint または OneDrive for Business サイトから SharePoint または OneDrive for Business の別の場所にコピーします。 |
| FolderCreated | ユーザーが SharePoint または OneDrive for Business サイトでフォルダーを作成します。 |
| FolderDeleted | ユーザーが SharePoint または OneDrive for Business サイトからフォルダーを削除します。 |
| FolderDeletedFirstStageRecycleBin | ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からフォルダーを削除します。 |
| FolderDeletedSecondStageRecycleBin | ユーザーが SharePoint または OneDrive for Business サイトの第 2 段階のごみ箱からフォルダーを削除します。 |
| FolderModified | ユーザーが SharePoint または OneDrive for Business サイトでフォルダーを変更します。 このイベントには、フィルダーのメタデータ (タグやプロパティなど) の変更が含まれます。 |
| FolderMoved | ユーザーが SharePoint または OneDrive for Business サイトからフォルダーを移動します。 |
| FolderRecycled | ユーザーはフォルダーを SharePoint または OneDrive ごみ箱に移動します。 |
| FolderRenamed | ユーザーが SharePoint または OneDrive for Business サイトのフォルダーの名前を変更します。 |
| FolderRestored | ユーザーが SharePoint または OneDrive for Business サイトのごみ箱からフォルダーを復元します。 |
| GroupAdded | サイト管理者または所有者は、SharePoint または OneDrive for Business のグループを作成するか、グループが作成されることになるタスクを実行します。 たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business に追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。 |
| GroupRemoved | ユーザーは、SharePoint または OneDrive for Business のサイトからグループを削除します。 |
| GroupUpdated | サイト管理者または所有者は、SharePoint または OneDrive for Business サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。 |
| LanguageAddedToTermStore | 用語ストアに言語が追加されました。 |
| LanguageRemovedFromTermStore | 用語ストアから言語が削除されました。 |
| LegacyWorkflowEnabledSet | サイト管理者または所有者は、SharePoint ワークフロー タスク コンテンツ タイプをサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。 |
| LookAndFeelModified | ユーザーがサイド リンク バー、ガント チャートの書式、またはグループの形式を変更します。 または、ユーザーは Project Web アプリでビューを作成、変更、または削除します。 |
| ManagedSyncClientAllowed | ユーザーが SharePoint または OneDrive for Business サイトとの同期関係を正常に確立します。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。 詳細については、「SharePoint Online PowerShell を使用して、安全な受信者の一覧にあるドメインのOneDrive 同期を有効にする」を参照してください。 |
| MaxQuotaModified | サイトに割り当てられた上限が変更されています。 |
| MaxResourceUsageModified | サイトのリソース使用量の上限が変更されています。 |
| MySitePublicEnabledSet | SharePoint 管理者によって、ユーザーが公開 MySite を持てるようにフラグが設定されています。 |
| NewsFeedEnabledSet | サイト管理者または所有者は、SharePoint または OneDrive for Business サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。 |
| ODBNextUXSettings | OneDrive for Business 用の新しい UI が使用可能になっています。 |
| OfficeOnDemandSet | サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効になっており、完全にインストールされた Office アプリケーションを含むOffice 365 サブスクリプションが必要です。 |
| PageViewed | ユーザーが SharePoint または OneDrive for Business サイトにあるページを表示します。 これには、SharePoint サイトまたは One Drive for Business サイトのドキュメント ライブラリのファイルをブラウザーで表示することは含まれません。 |
| PeopleResultsScopeSet | サイト管理者は、SharePoint サイトの人の検索の結果ソースを作成または変更します。 |
| PermissionSyncSettingModified | ユーザーは、Project Web アプリのプロジェクト権限の同期設定を変更します。 |
| PermissionTemplateModified | ユーザーは、Project Web アプリでアクセス許可テンプレートを作成、変更、または削除します。 |
| PortfolioDataAccessed | ユーザーは、Project Web アプリのポートフォリオ コンテンツ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) にアクセスします。 |
| PortfolioDataModified | ユーザーは、Project Web アプリでポートフォリオ データ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) を作成、変更、または削除します。 |
| PreviewModeEnabledSet | サイト管理者は、SharePoint サイトのドキュメント プレビューを有効にします。 |
| ProjectAccessed | ユーザーは Project Web アプリのプロジェクト コンテンツにアクセスします。 |
| ProjectCheckedIn | ユーザーは、Project Web アプリからチェックアウトしたプロジェクトをチェックインします。 |
| ProjectCheckedOut | ユーザーは、Project Web アプリにあるプロジェクトをチェックアウトします。 ユーザーが開く権限を持つプロジェクトをチェックアウトして、変更することができます。 |
| ProjectCreated | ユーザーは Project Web アプリでプロジェクトを作成します。 |
| ProjectDeleted | ユーザーは Project Web アプリでプロジェクトを削除します。 |
| ProjectForceCheckedIn | ユーザーは、Project Web アプリのプロジェクトに対してチェックを強制的に入力します。 |
| ProjectModified | ユーザーが Project Web アプリでプロジェクトを変更します。 |
| ProjectPublished | ユーザーは Project Web アプリでプロジェクトを発行します。 |
| ProjectWorkflowRestarted | ユーザーが Project Web アプリでワークフローを再起動します。 |
| PWASettingsAccessed | ユーザーは、CSOM を使用して Project Web アプリの設定にアクセスします。 |
| PWASettingsModified | ユーザーが Project Web アプリの構成を変更します。 |
| QueueJobStateModified | ユーザーは Project Web アプリでキュー ジョブを取り消すか再起動します。 |
| QuotaWarningEnabledModified | ストレージ クォータ警告が変更されました。 |
| RenderingEnabled | ブラウザー対応フォーム テンプレートが、InfoPath フォーム サービスでレンダリングされます。 |
| ReportingAccessed | ユーザーが Project Web アプリのレポート エンドポイントにアクセスしました。 |
| ReportingSettingModified | ユーザーが Project Web アプリのレポート構成を変更します。 |
| ResourceAccessed | ユーザーは Project Web アプリのエンタープライズ リソース コンテンツにアクセスします。 |
| ResourceCheckedIn | ユーザーは、Project Web アプリからチェックアウトしたエンタープライズ リソースをチェックインします。 |
| ResourceCheckedOut | ユーザーは、Project Web アプリにあるエンタープライズ リソースをチェックアウトします。 |
| ResourceCreated | ユーザーは Project Web アプリでエンタープライズ リソースを作成します。 |
| ResourceDeleted | ユーザーは Project Web アプリでエンタープライズ リソースを削除します。 |
| ResourceForceCheckedIn | ユーザーは Project Web アプリでエンタープライズ リソースのチェックインを強制します。 |
| ResourceModified | ユーザーが Project Web アプリのエンタープライズ リソースを変更します。 |
| ResourcePlanCheckedInOrOut | ユーザーは Project Web アプリでリソース プランをチェックインまたはチェックアウトします。 |
| ResourcePlanModified | ユーザーが Project Web アプリのリソース プランを変更します。 |
| ResourcePlanPublished | ユーザーは Project Web アプリでリソース プランを発行します。 |
| ResourceRedacted | ユーザーは、Project Web アプリ内のすべての個人情報を削除するエンタープライズ リソースを編集します。 |
| ResourceWarningEnabledModified | リソース クォータ警告が変更されました。 |
| SSOGroupCredentialsSet | Secure Store Service でグループ資格情報が設定されました。 |
| SSOUserCredentialsSet | Secure Store Service でユーザー資格情報が設定されました。 |
| SearchCenterUrlSet | 検索センターの URL が設定されました。 |
| SecondaryMySiteOwnerSet | ユーザーがその MySite に代理所有者を追加しました。 |
| SecurityCategoryModified | ユーザーは、Project Web アプリでセキュリティ カテゴリを作成、変更、または削除します。 |
| SecurityGroupModified | ユーザーは、Project Web アプリでセキュリティ グループを作成、変更、または削除します。 |
| SendToConnectionAdded | グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、新しい [送信先] 接続を作成します。 [送信先] 接続は、ドキュメント リポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。 |
| SendToConnectionRemoved | グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、[送信先] 接続を削除します。 |
| SharedLinkCreated | ユーザーは、SharePoint または OneDrive for Business で共有ファイルへのリンクを作成します。 このリンクは、共有ファイルにアクセスできるように他のユーザーに送信できます。 ユーザーは、共有ファイルの表示と編集を許可するリンク、またはファイルの表示だけを許可するリンクの、2 種類のリンクを作成できます。 |
| SharedLinkDisabled | ユーザーは、ファイルを共有するために作成されたリンクを (完全に) 無効にします。 |
| SharingInvitationAccepted* | ユーザーは、ファイルまたはフォルダーの共有の招待を承諾します。 このイベントは、ユーザーが他のユーザーとファイルを共有すると記録されます。 |
| SharingRevoked | 以前他のユーザーと共有されたファイルまたはフォルダーの共有を解除します。 このイベントは、ユーザーが他のユーザーとのファイルの共有を停止すると記録されます。 |
| SharingSet | ユーザーは、SharePoint または OneDrive for Business にあるファイルまたはフォルダーを、組織内の他のユーザーと共有します。 |
| SiteAdminChangeRequest | ユーザーが、SharePoint サイト コレクションのサイト コレクション管理者として追加されるように要求します。 サイト コレクション管理者は、サイト コレクションとすべてのサブサイトのフル コントロール権限を持ちます。 |
| SiteCollectionAdminAdded* | サイト コレクション管理者または所有者は、ユーザーを SharePoint または OneDrive for Business サイトのサイト コレクション管理者として追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 |
| SiteCollectionCreated | グローバル管理者は、あなたの SharePoint 組織に新しいサイト コレクションを作成します。 |
| SiteRenamed | サイト管理者または所有者は、SharePoint または OneDrive for Business サイトの名前を変更します。 |
| StatusReportModified | ユーザーは、Project Web アプリで状態レポートを作成、変更、または削除します。 |
| SyncGetChanges | ユーザーがドキュメント ライブラリ内のファイルに加えたすべての変更内容を自分のコンピューターに同期するために、SharePoint または OneDrive for Business のアクション トレイにある [同期] をクリックします。 |
| SyntexBillingSubscriptionSettingsChanged | Syntex Billing サブスクリプションの設定が変更されました。 このイベントは、Syntex 試用版の有効期限が切れるとトリガーされます。 |
| TaskStatusAccessed | ユーザーは、Project Web アプリの 1 つ以上のタスクの状態にアクセスします。 |
| TaskStatusApproved | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を承認します。 |
| TaskStatusRejected | ユーザーは、Project Web アプリの 1 つ以上のタスクの状態更新を拒否します。 |
| TaskStatusSaved | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新プログラムを保存します。 |
| TaskStatusSubmitted | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を送信します。 |
| TimesheetAccessed | ユーザーは Project Web アプリでタイムシートにアクセスします。 |
| TimesheetApproved | ユーザーは Project Web アプリでタイムシートを承認します。 |
| TimesheetRejected | ユーザーは Project Web アプリでタイムシートを拒否します。 |
| TimesheetSaved | ユーザーは Project Web アプリにタイムシートを保存します。 |
| TimesheetSubmitted | ユーザーが Project Web アプリで状態タイムシートを送信します。 |
| UnmanagedSyncClientBlocked | ユーザーは、組織のドメインのメンバーではないコンピューター、または組織のドキュメント ライブラリにアクセスできるものの、ドメインのリスト (宛先セーフ リスト) に追加されていないドメインのメンバーであるコンピューターから、SharePoint または OneDrive for Business サイトとの同期関係を確立しようとします。 同期関係は許可されていません。ユーザーのコンピューターは、ドキュメント ライブラリ上のファイルの同期、ダウンロード、アップロードがブロックされています。 この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」を参照してください。 |
| UpdateSSOApplication | 対象アプリケーションが Secure Store Service で更新されました。 |
| UserAddedToGroup | サイト管理者または所有者は、SharePoint または OneDrive for Business サイトにあるグループにユーザーを追加します。 ユーザーをグループに追加すると、そのユーザーにはグループに割り当てられたアクセス許可が付与されます。 |
| UserRemovedFromGroup | サイト管理者または所有者は、SharePoint または OneDrive for Business サイトにあるグループからユーザーを削除します。 削除された後、そのユーザーにはグループに割り当てられたアクセス許可が付与されなくなります。 |
| WorkflowModified | ユーザーは、Project Web アプリでエンタープライズ プロジェクトの種類またはワークフローのフェーズまたはステージを作成、変更、または削除します。 |
SharePoint ファイルの操作
「コンプライアンス センターでの監査ログの検索」の「ファイルとフォルダーのアクティビティ」セクションにリストされているファイル関連 SharePoint イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SiteUrl | Edm.String | はい | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。 |
| SourceRelativeUrl | Edm.String | いいえ | ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。 |
| SourceFileName | Edm.String | はい | ユーザーによりアクセスされるファイルまたはフォルダーの名前。 |
| SourceFileExtension | Edm.String | いいえ | ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 |
| DestinationRelativeUrl | Edm.String | いいえ | ファイルのコピー先または移動先フォルダーの URL。 SiteURL、DestinationRelativeURL、DestinationFileName パラメーターの値の組み合わせは、コピーされたファイルの完全なパス名である ObjectID プロパティの値と同じです。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| DestinationFileName | Edm.String | いいえ | コピーまたは移動したファイルの名前。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| DestinationFileExtension | Edm.String | いいえ | コピーまたは移動したファイルのファイル拡張子。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| UserSharedWith | Edm.String | いいえ | リソースを共有したユーザー。 |
| SharingType | Edm.String | いいえ | リソースを共有したユーザーに割り当てられているアクセス許可の種類。 このユーザーは、 UserSharedWith パラメーターによって識別されます。 |
| SourceLabel | Edm.String | いいえ | ユーザー操作によって変更される前のファイルの元のラベル。 |
| DestinationLabel | Edm.String | いいえ | ユーザー操作によって変更された後のファイルの最終的なラベル。 |
| SensitivityLabelOwnerEmail | Edm.String | いいえ | 秘密度ラベルの所有者のメール アドレス。 |
| SensitivityLabelId | Edm.String | いいえ | ファイルの現在の秘密度ラベル ID。 |
SharePoint リストの操作
「コンプライアンス センターでの監査ログの検索」の「SharePoint リストのアクティビティ」セクションにリストされている SharePoint リストとリスト アイテム関連のイベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ListTitle | Edm.String | いいえ | SharePoint リストのタイトル。 |
| ListName | Edm.String | いいえ | SharePoint リストの名前。 |
| ListUrl | Edm.String | いいえ | 含まれている Web サイトに関連するリストの URL。 |
| ListBaseType | Edm.String | いいえ | リストの基本的な種類を指定します。 |
| ListBaseTemplateType | Edm.String | いいえ | リストの基になっているリスト定義の種類。 |
| IsHiddenList | Edm.Boolean | いいえ | SharePoint リストが非表示の場合、この値は True に設定されます。 |
| IsDocLib | Edm.Boolean | いいえ | SharePoint リストがドキュメント ライブラリの種類である場合、この値は True に設定されます。 |
SharePoint 共有スキーマ
ファイル共有関連の SharePoint イベント。 これは、ユーザーが別のユーザーに何らかの影響があるアクションを取るという点で、ファイル関連イベントやフォルダー関連イベントとは異なります。 SharePoint 共有スキーマについては、「監査ログで共有監査を使う」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | いいえ | リソースを共有していたターゲット ユーザーまたはグループの UPN または名前を格納します。 |
| TargetUserOrGroupType | Edm.String | いいえ | ターゲット ユーザーまたはグループが、メンバー、ゲスト、グループ、またはパートナーであるかどうかを示します。 |
| EventData | XML コード | いいえ | グループへのユーザーの追加や編集アクセス許可の付与などの、発生した共有アクションに関する追加情報を伝達します。 |
| SiteUrl | Edm.String | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。 |
| SourceRelativeUrl | Edm.String | いいえ | ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。 |
| SourceFileName | Edm.String | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーの名前。 |
| SourceFileExtension | Edm.String | いいえ | ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 |
| UniqueSharingId | Edm.String | いいえ | 共有操作に関連付けられている一意の共有 ID。 |
SharePoint スキーマ
「コンプライアンス センターでの監査ログの検索」にリストされている SharePoint イベント (ファイルおよびフォルダー イベントを除く) は、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| CustomEvent | Edm.String | いいえ | カスタム イベントのオプション文字列。 |
| EventData | Edm.String | いいえ | カスタム イベントのオプション ペイロード。 |
| ModifiedProperties | Collection(ModifiedProperty) | いいえ | このプロパティは、サイトまたはサイト コレクション管理者グループのメンバーとしてユーザーを追加するなどの、管理イベントの場合に含まれます。 プロパティには、変更されたプロパティの名前 (サイト管理者グループなど)、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザーなど)、および変更されたオブジェクトの以前の値が含まれます。 |
Project スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Entity | Edm.String | はい | 監査の対象になった ProjectEntity。 |
| Action | Edm.String | はい | 取得された ProjectAction。 |
| OnBehalfOfResId | Edm.Guid | いいえ | アクションが実行されたリソース ID。 |
列挙値: Project Action - 型: Edm.Int32
Project 操作
| メンバー名 | 説明 |
|---|---|
| Accepted | ユーザーがイベントまたはワークフローを承諾しました。 |
| Accessed | ユーザーがエンティティにアクセスしました。 |
| Activated | ユーザーがエンティティ、イベント、またはワークフローをアクティブ化しました。 |
| Cancelled | ユーザーがイベントまたはワークフローをキャンセルしました。 |
| CheckedIn | ユーザーがエンティティをチェックインします。 |
| CheckedOut | ユーザーがエンティティをチェックアウトします。 |
| Copied | ユーザーがエンティティをコピーしました。 |
| Created | ユーザーがエンティティを作成しました。 |
| Deactivated | ユーザーがエンティティを非アクティブ化しました。 |
| Deleted | ユーザーがエンティティを削除しました。 |
| Exported | ユーザーがエンティティをエクスポートしました。 |
| ForceCheckedIn | ユーザーがエンティティを強制的にチェックインさせました。 |
| Modified | ユーザーがエンティティを変更しました。 |
| Published | ユーザーがエンティティを公開しました。 |
| Redacted | ユーザーがエンティティを編集しました。 |
| Rejected | ユーザーがエンティティを拒否しました。 |
| Restarted | ユーザーがイベントまたはワークフローを再起動しました。 |
| Saved | ユーザーがエンティティを保存しました。 |
| Sent | ユーザーがエンティティを送信しました。 |
| Submitted | ユーザーがレビューまたはワークフローのエンティティを送信します。 |
列挙値: Project Entity - 型: Edm.Int32
Project エンティティ
| メンバー名 | 説明 |
|---|---|
| CustomField | エンタープライズ ユーザー設定フィールドを表します。 |
| Driver | ポートフォリオのドライバーを表します。 |
| DriverPrioritization | ポートフォリオの優先順位付けを表します。 |
| Engagement | リソースのエンゲージメントを表します。 |
| EnterpriseCalendar | エンタープライズ リソース予定表を表します。 |
| EnterpriseProjectType | エンタープライズ プロジェクトの種類を表します。 |
| FiscalPeriod | 会計期間を表します。 |
| GanttChartFormat | ガント チャートの書式を表します。 |
| GroupingFormat | ビューのグループ化の書式を表します。 |
| LineClassification | タイムシート行の分類を表します。 |
| LookupTable | エンタープライズ ルックアップ テーブルを表します。 |
| PermissionTemplate | セキュリティ アクセス許可のテンプレートを表します。 |
| PortfolioAnalysis | ポートフォリオ分析を表します。 |
| Project | プロジェクトを表します。 |
| QueueJob | キュー ジョブを表します。 |
| QuickLaunch | サイド リンク バーの項目を表します。 |
| Reporting | レポートのエンドポイントを表します。 |
| Resource | エンタープライズ リソースを表します。 |
| ResourcePlan | プロジェクトに関連付けられたリソース計画を表します。 |
| SecurityCategory | セキュリティのカテゴリを表します。 |
| SecurityGroup | セキュリティ グループを表します。 |
| Setting | Project Web アプリの設定を表します |
| Statusing | タスクの状態の更新を表します。 |
| StatusReport | 進捗レポートを表します。 |
| TimeReportingPeriod | タイムシートの期間を表します |
| Timesheet | タイムシートのエンティティを表します。 |
| TimesheetAuditLog | タイムシートの監査ログを表します。 |
| TimesheetManager | タイムシートの管理者を表します。 |
| UserDelegate | 別のユーザーへのユーザー委任を表します。 |
| View | ビューの定義を表します。 |
| WorkflowPhase | ワークフローのフェーズを表します。 |
| WorkflowStage | ワークフローのステージを表します。 |
Exchange Admin schema
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | いいえ | これはコマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です。 これはコマンドレットによるオブジェクトの変更の場合にのみ記録されます。 |
| パラメーター | Collection(Common.NameValuePair) | いいえ | Operations プロパティで示されているコマンドレットで使用された、すべてのパラメーターの名前と値。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | いいえ | このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたオブジェクトの以前の値が含まれます。 |
| ExternalAccess | Edm.Boolean | はい | 組織内のユーザー、Microsoft データセンター担当者またはデータセンター サービス アカウント、あるいは代理管理者により、コマンドレットが実行されたかどうかを示します。 値 False は、コマンドレットが組織内のユーザーによって実行されたことを示します。 値 True は、コマンドレットがデータセンターの担当者、データセンターのサービス アカウント、または代理管理者によって実行されたことを示します。 |
| OriginatingServer | Edm.String | いいえ | コマンドレット実行元のサーバーの名前。 |
| OrganizationName | Edm.String | いいえ | テナントの名前。 |
Exchange メールボックス スキーマ
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| LogonType | Self.LogonType | いいえ | メールボックスにアクセスして、ログに記録された操作を実行したユーザーの種類を示します。 |
| InternalLogonType | Self.LogonType | いいえ | 内部使用のため予約済みです。 |
| MailboxGuid | Edm.String | いいえ | アクセスされたメールボックスの Exchange GUID。 |
| MailboxOwnerUPN | Edm.String | いいえ | アクセスされたメールボックスの所有者の電子メール アドレス。 |
| MailboxOwnerSid | Edm.String | いいえ | メールボックス所有者の SID。 |
| MailboxOwnerMasterAccountSid | Edm.String | いいえ | メールボックス所有者のアカウントのマスター アカウント SID。 |
| LogonUserSid | Edm.String | いいえ | 操作を実行したユーザーの SID。 |
| LogonUserDisplayName | Edm.String | いいえ | 操作を実行したユーザーのユーザー フレンドリ名。 |
| ExternalAccess | Edm.Boolean | はい | これは、ログオン ユーザーのドメインがメールボックス所有者のドメインと異なる場合は、true です。 |
| OriginatingServer | Edm.String | いいえ | これは、操作の発生場所です。 |
| OrganizationName | Edm.String | いいえ | テナントの名前。 |
| ClientInfoString | Edm.String | いいえ | 操作を実行するために使用された電子メール クライアントについての情報 (ブラウザーのバージョン、Outlook のバージョン、およびモバイル デバイスの情報など)。 |
| ClientIPAddress | Edm.String | いいえ | 操作がログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ClientMachineName | Edm.String | いいえ | Outlook クライアントをホストしているマシン名。 |
| ClientProcessName | Edm.String | いいえ | メールボックスへのアクセスに使用された電子メール クライアント。 |
| ClientVersion | Edm.String | いいえ | 電子メール クライアントのバージョン。 |
列挙:LogonType - タイプ:Edm.Int32
LogonType
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Owner | メールボックス所有者。 |
| 1 | Admin | 他のユーザーのメールボックスに対する管理者特権を持つユーザー。 |
| 2 | 委任 | 他のユーザーのメールボックスに対する代理人特権を持つユーザー。 |
| 3 | Transport | Microsoft データセンターのトランスポート サービス。 |
| 4 | SystemService | Microsoft データセンターのサービス アカウント。 |
| 5 | BestAccess | 内部使用のため予約済みです。 |
| 6 | DelegatedAdmin | 代理管理者。 |
ExchangeMailboxAuditGroupRecord スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| フォルダー | Self.ExchangeFolder | いいえ | アイテムのグループが存在するフォルダー。 |
| CrossMailboxOperations | Edm.Boolean | いいえ | 操作に複数のメールボックスが関係したかどうかを示します。 |
| DestMailboxId | Edm.Guid | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの GUID を指定します。 |
| DestMailboxOwnerUPN | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者の UPN を指定します。 |
| DestMailboxOwnerSid | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの SID を指定します。 |
| DestMailboxOwnerMasterAccountSid | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者のマスター アカウント SID の SID を指定します。 |
| DestFolder | Self.ExchangeFolder | いいえ | 移動などの操作の場合の、移動先フォルダー。 |
| Folders | Collection(Self.ExchangeFolder) | いいえ | 操作に関連したソース フォルダーに関する情報 (フォルダーが選択されて削除された場合など)。 |
| AffectedItems | Collection(Self.ExchangeItem) | いいえ | グループ内の各項目についての情報。 |
ExchangeMailboxAuditRecord スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| アイテム | Self.ExchangeItem | いいえ | 操作の実行対象のアイテムを表します。 |
| ModifiedProperties | Collection(Edm.String) | いいえ | TBD |
| SendAsUserSmtp | Edm.String | いいえ | 偽装しているユーザーの SMTP アドレス。 |
| SendAsUserMailboxGuid | Edm.Guid | いいえ | 電子メールを偽装ユーザーとして送信するためにアクセスされたメールボックスの Exchange GUID。 |
| SendOnBehalfOfUserSmtp | Edm.String | いいえ | 電子メールが代理で送信されたユーザーの SMTP アドレス。 |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | いいえ | 電子メールを代理で送信するためにアクセスされたメールボックスの Exchange GUID。 |
ExchangeItem 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | ストア ID。 |
| Subject | Edm.String | いいえ | アクセスされたメッセージの件名。 |
| ParentFolder | Edm.ExchangeFolder | いいえ | アイテムが置かれているフォルダーの名前。 |
| Attachments | Edm.String | いいえ | メッセージに添付されているすべてのアイテムの名前とファイル サイズのリスト。 |
ExchangeFolder 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | フォルダー オブジェクトのストアの ID。 |
| Path | Edm.String | いいえ | アクセスされたメッセージが置かれているメールボックス フォルダーの名前。 |
OWA 認証スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | いいえ | リソースの一意識別子。 |
| ResourceURL | Edm.String | いいえ | リソース URL。 |
Azure Active Directory 基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | はい | Microsoft Entra イベントの種類。 |
| ExtendedProperties | Collection(Common.NameValuePair) | いいえ | Microsoft Entra イベントの拡張プロパティ。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | いいえ | このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
列挙:AzureActiveDirectoryEventType - タイプ: -Edm.Int32
AzureActiveDirectoryEventType
| メンバー名 | 説明 |
|---|---|
| AccountLogon | アカウント ログイン イベント。 |
| AzureApplicationAuditEvent | Azure アプリケーション セキュリティ イベント。 |
Azure Active Directory アカウント ログオン スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| アプリケーション | Edm.String | いいえ | Office 15 などの、アカウント ログイン イベントをトリガーするアプリケーション。 |
| Client | Edm.String | いいえ | クライアント デバイス、デバイスの OS、およびアカウント ログイン イベントに使用したデバイスのブラウザーに関する詳細。 |
| LoginStatus | Edm.Int32 | はい | このプロパティは、OrgIdLogon.LoginStatus に直接由来しています。 関心の対象となるさまざまなログオン失敗のマッピングは、警告アルゴリズムによって行うことができます。 |
| UserDomain | Edm.String | はい | テナント ID 情報 (TII)。 |
列挙:CredentialType - タイプ:Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| -1 | Other | その他の認証。 |
| 0 | Password | ユーザー資格情報は、ユーザー名とパスワードです。 |
| 1 | MobilePhone | ユーザー資格情報は、携帯電話です。 |
| 2 | SecretQuestion | ユーザー資格情報は、秘密の質問です。 |
| 3 | SecurePin | ユーザー資格情報は、セキュア PIN です。 |
| 4 | SecurePinReset | ユーザー資格情報は、セキュア PIN リセットです。 |
| 11 | EasyID | ユーザー資格情報は、EasyID です。 |
| 14 | PasswordIndexCredentialType | ユーザー資格情報は、PasswordIndexCredentialType です。 |
| 16 | Device | ユーザー資格情報は、デバイスです。 |
| 17 | ForeignRealmIndex | ユーザーの資格情報は、ForeignRealmIndex です。 |
列挙:LoginType - タイプ:Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| -1 | Other | その他の i タイプ。 |
| 1 | InitialAuth | 最初の認証でログイン。 |
| 2 | CookieCopy | Cookie を使用してログイン。 |
| 3 | SilentReAuth | 自動再認証でログイン。 |
列挙:AuthenticationMethod - タイプ:Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Min | 認証方法は、Min です。 |
| 1 | Password | 認証方法は、パスワードです。 |
| 2 | Digest | 認証方法は、ダイジェストです。 |
| 3 | ProxyAuth | 認証方法は、ProxyAuth です。 |
| 4 | InfoCard | 認証方法は、InfoCard です。 |
| 5 | DAToken | 認証方法は、DAToken です。 |
| 6 | Sha1RememberMyPassword | 認証方法は、Sha1RememberMyPassword です。 |
| 7 | LMPasswordHash | 認証方法は、LMPasswordHash です。 |
| 8 | ADFSFederatedToken | 認証方法は、ADFSFederatedToken です。 |
| 9 | EID | 認証方法は、EID です。 |
| 10 | DeviceID | 認証方法は、DeviceID です。 |
| 11 | MD5 | 認証方法は、MD5 です。 |
| 12 | EncProxyPasswordHash | 認証方法は、EncProxyPasswordHash です。 |
| 13 | LWAFederation | 認証方法は、LWAFederation です。 |
| 14 | Sha1HashedPassword | 認証方法は、Sha1HashedPassword です。 |
| 15 | SecurePin | 認証方法は、セキュア PIN です。 |
| 16 | SecurePinReset | 認証方法は、セキュア PIN リセットです。 |
| 17 | SAML20PostSimpleSign | 認証方法は、SAML20PostSimpleSign です。 |
| 18 | SAML20Post | 認証方法は、SAML20Post です。 |
| 19 | OneTimeCode | 認証方法は、ワンタイム・コードです。 |
Azure Active Directory スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | いいえ | アクションを実行したユーザーまたはサービス プリンシパル。 |
| ActorContextId | Edm.String | いいえ | アクターが属する組織の GUID。 |
| ActorIpAddress | Edm.String | いいえ | IPV4 または IPV6 アドレス形式の、アクターの IP アドレス。 |
| InterSystemsId | Edm.String | いいえ | Office 365 サービス内の複数のコンポーネント間でアクションを追跡する GUID。 |
| IntraSystemsId | Edm.String | いいえ | アクションを追跡するために Azure Active Directory で生成された GUID。 |
| SupportTicketId | Edm.String | いいえ | 「代理人」状態でのアクションのカスタマー サポート チケット ID。 |
| Target | Collection(Self.IdentityTypeValuePair) | いいえ | アクション (Operation プロパティで示される) の実行対象であったユーザー。 |
| TargetContextId | Edm.String | いいえ | 対象ユーザーが属する組織の GUID。 |
複合型 IdentityTypeValuePair
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | 種類を指定した ID の値。 |
| 種類 | Self.IdentityType | はい | ID の種類。 |
列挙:IdentityType - タイプ:Edm.Int32
IdentityType
| メンバー名 | 説明 |
|---|---|
| クレーム | ID は、認証目的の要求です。 |
| Name | 監査アクション アクターまたはターゲット ID の表示名。 |
| Other | アクターの ID は、Office 365 サービスによって生成された GUID の ObjectId などの、他の種類です。 |
| PUID | 監査アクション アクターまたはターゲット パスポートの固有 ID (PUID)。 |
| SPN | Office 365 サービスでアクションが実行される場合、サービス プリンシパルの ID。 |
| UPN | ユーザー プリンシパル名。 |
Azure Active Directory の Secure Token Service (STS) ログオン スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.String | いいえ | ログインを要求しているアプリケーションを表す GUID。 表示名は、Azure Active Directory グラフ API を使用して検索できます。 |
| クライアント | Edm.String | いいえ | ログインを実行するブラウザーが提供する、クライアント デバイス情報。 |
| DeviceProperties | Collection(Common.NameValuePair) | いいえ | このプロパティには、Id、表示名、OS、ブラウザー、IsCompliant、IsCompliantAndManaged、SessionId、DeviceTrustType など、さまざまなデバイスの詳細情報が含まれています。 DeviceTrustType プロパティには、次の値を設定できます。 0 - 登録Microsoft Entra 1 - Microsoft Entra参加済み 2 - ハイブリッド Microsoft Entra参加済み |
| ErrorCode | Edm.String | いいえ | ログインに失敗した場合 (Operation プロパティの値がUserLoginFailed の場合)、このプロパティには Azure Active Directory STS (AADSTS) エラー コードが含まれます。 これらのエラー コードの説明については、認証および承認のエラー コードを参照してください。
0 の値は、ログインが成功したことを示します。 |
| LogonError | Edm.String | いいえ | ログインに失敗した場合、このプロパティには、ログインに失敗した理由のユーザーが読み取り可能な説明が含まれます。 |
DLP スキーマ
DLP イベントは、Exchange Online、Endpoint(devices)、SharePoint Online、OneDrive For Business で使用できます。 Exchange の DLP イベントは、統合された DLP ポリシーに基づいたイベント (セキュリティ/コンプライアンス センターで構成されたものなど) でのみ使用できます。 Exchange トランスポート ルールに基づく DLP イベントはサポートされていません。
共通スキーマでは、DLP (データ損失防止) イベントに必ず UserKey="DlpAgent" があります。 共通スキーマの Operation プロパティの値として格納される 3 種類の DLP イベントがあります。
DlpRuleMatch: ルールが一致したことを示します。 これらのイベントは、Exchange、Endpoint(devices)、SharePoint Online、OneDrive for Businessすべてに存在します。 Exchange では、誤検知と上書きの情報が含まれます。 SharePoint Online と OneDrive for Business では、誤検知と上書きは異なるイベントを生成します。
DlpRuleUndo: SharePoint Online と OneDrive for Business にのみ存在し、ユーザーによる対象の誤検知/上書きにより、またはドキュメントがポリシーの適用対象ではなくなった (ポリシーを変更したか、ドキュメントのコンテンツを変更したため) ことにより、以前に適用されたポリシー アクションが取り消された ("undone") ことを示します。
DlpInfo: SharePoint Online と OneDrive for Business にのみ存在し、対象を誤検知したものの、取り消された ("undone") アクションはないことを示します。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | いいえ | 機密情報を含む SharePoint または OneDrive for Business 内のドキュメントに関するメタデータを記述します。 |
| ExchangeMetaData | Self.ExchangeMetadata | いいえ | 機密情報を含んだ電子メール メッセージに関するメタデータを記述します。 |
| EndpointMetaData | 自己。EndpointMetadata | いいえ | 機密情報を含むエンドポイント内のドキュメントに関するメタデータについて説明します |
| ExceptionInfo | Edm.String | いいえ | ポリシーが適用されなくなった理由や、エンド ユーザーが記した誤検知や上書きに関する情報を識別します。 |
| PolicyDetails | Collection(Self.PolicyDetails) | はい | DLP イベントをトリガーした 1 つ以上のポリシーに関する情報。 |
| SensitiveInfoDetectionIsIncluded | ブール型 | はい | ソース コンテンツからの機密性の高いデータ型の値や周囲のコンテキストがイベントに含まれているかどうかを示します。 Azure Active Directory では、機密性の高いデータへのアクセスは「機密情報を含む DLP ポリシー イベントの読み取り」アクセス許可が必要です。 |
SharePointMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 接続元 | Edm.String | はい | イベントをトリガーしたユーザー。 これは、FileOwner、LastModifier、または LastSharer のいずれかになります。 |
| itemCreationTime | Edm.Date | はい | イベントのログの記録日時に関する UTC の Datetimestamp。 |
| SiteCollectionGuid | Edm.Guid | はい | サイト コレクションの GUID。 |
| SiteCollectionUrl | Edm.String | はい | SharePoint サイトの名前。 |
| FileName | Edm.String | はい | パスの名前。 |
| FileOwner | Edm.String | はい | ドキュメントの所有者。 |
| FilePathUrl | Edm.String | はい | 文書の URL。 |
| DocumentLastModifier | Edm.String | はい | 最後にドキュメントを変更したユーザー。 |
| DocumentSharer | Edm.String | はい | 最後にドキュメントの共有を変更したユーザー。 |
| UniqueId | Edm.String | はい | ファイルを識別する GUID。 |
| LastModifiedTime | Edm.DateTime | はい | ドキュメントの最終更新日時に関する UTC の Timestamp。 |
| IsViewableByExternalUsers | Edm.Boolean | はい | 外部ユーザーがファイルにアクセスできるかどうかを示します。 |
ExchangeMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MessageID | Edm.String | はい | イベントをトリガーした電子メールのメッセージ ID。 |
| 送信元 | Edm.String | はい | 電子メールを送信したユーザー。 |
| 宛先 | Collection(Edm.String) | いいえ | メッセージの宛先行にあった電子メール アドレスのコレクション。 |
| CC | Collection(Edm.String) | いいえ | メッセージの CC 行にあった電子メール アドレスのコレクション。 |
| BCC | Collection(Edm.String) | いいえ | メッセージの BCC 行にあった電子メール アドレスのコレクション。 |
| 件名 | Edm.String | はい | 電子メール メッセージの件名。 |
| 送信日時 | Edm.DateTime | はい | 電子メールが送信された時の UTC の時間。 |
| RecipientCount | Edm.Int32 | はい | メッセージの宛先、CC、および BCC の各行に含まれるすべての受信者の合計数。 |
EndpointMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | いいえ | 検出された機密情報の種類に関する情報。 |
| EnforcementMode | Edm.String | はい | DLP ルールがそれぞれ audit/warn(block with override)/warn および bypass/block/allow(audit without alerts) を示す 1/2/3/4/5 に設定されているかどうかを示します。 |
| FileExtension | Edm.String | いいえ | 機密情報を含むドキュメントのファイル拡張子。 |
| FileType | Edm.String | いいえ | 機密情報を関連付けたドキュメントのファイルの種類。 |
| DeviceName | Edm.String | いいえ | DLP ルールの一致が検出されたデバイスの名前。 |
PolicyDetails 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyId | Edm.Guid | はい | このイベントにおける DLP ポリシーの GUID。 |
| PolicyName | Edm.String | はい | このイベントにおける DLP ポリシーのフレンドリ名。 |
| ルール | Collection(Self.Rules) | はい | このイベントと一致したポリシー内のルールに関する情報。 |
ルール複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RuleId | Edm.Guid | はい | このイベントにおける DLP ルールの GUID。 |
| RuleName | Edm.String | はい | このイベントにおける DLP ルールの フレンドリ名。 |
| アクション | Collection(Edm.String) | いいえ | DLP RuleMatch イベントの結果として実行されたアクションのリスト。 |
| OverriddenActions | Collection(Edm.String) | いいえ | 以前に実行されたものの、DLPRuleUndo イベントによって取り消されたアクションのリスト。 |
| 重要度 | Edm.String | いいえ | ルールの重要度 (低、中、高) が一致します。 |
| RuleMode | Edm.String | はい | DLP ルールが強制、通知を伴う監査、または監査のみのいずれに設定されているかを示します。 |
| ConditionsMatched | Self.ConditionsMatched | いいえ | このイベントと一致したルールの条件に関する詳細。 |
ConditionsMatched 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | いいえ | 検出された機密情報の種類に関する情報。 |
| DocumentProperties | Collection(NameValuePair) | いいえ | ルールの一致をトリガーしたドキュメント プロパティに関する情報。 |
| OtherConditions | Collection(NameValuePair) | いいえ | 一致した他のすべての条件を説明するキーと値の組み合わせリスト。 |
SensitiveInformation 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Confidence | Edm.Int | はい | 機密情報の種類のすべての一致するパターンの集計された信頼度。 |
| カウント | Edm.Int | はい | 検出された機密性の高いインスタンスの合計数。 |
| 場所 | Edm.String | いいえ | |
| SensitiveType | Edm.Guid | はい | 検出された機密性の高いデータの種類を識別する GUID。 |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | いいえ | 詳細 (一致した値と一致した値のコンテキスト) のある機密情報データを含むオブジェクトの配列。 |
| SensitiveInformationDetailedClassificationAttributes | Collection(SensitiveInformationDetailedConfidenceLevelResult) | はい | 3 つの各信頼度レベル (高、中、低) で検出された機密情報の種類の数および、DLP ルールに一致するかどうかに関する情報。 |
| SensitiveInformationTypeName | Edm.String | いいえ | 機密情報の種類の名前。 |
| UniqueCount | Edm.Int32 | はい | 一意の検出された機密性の高いインスタンスの数。 |
SensitiveInformationDetailedClassificationAttributes complex type
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Confidence | Edm.int32 | はい | 検出されたパターンの信頼度レベル。 |
| カウント | Edm.Int32 | はい | 特定の信頼度レベルで検出された機密性の高いインスタンスの数。 |
| IsMatch | Edm.Boolean | はい | 指定のカウントと DLP ルールで検出された機密の種類の信頼度レベルの結果が一致するかどうかを示します。 |
SensitiveInformationDetections complex type
DLP 機密データは、「DLP 機密データの読み取り」アクセス許可が付与されたユーザーが、アクティビティ フィード API でのみ利用できます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | はい | 検出された機密情報の配列。 情報には、値 = 一致した値を持つキー値のペアが含まれています (例:クレジット カードの値) と Context = 一致した値を含むソース コンテンツからの抜粋。 |
| ResultsTruncated | Edm.Boolean | はい | 結果が多いためにログが切り捨てられたかどうかを示します。 |
ExceptionInfo 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 理由 | Edm.String | いいえ | For a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change |
| FalsePositive | Edm.Boolean | いいえ | ユーザーが誤検知としてこのイベントを指定したかどうかを示します。 |
| 妥当性 | Edm.String | いいえ | ユーザーがポリシーを上書きすることにした場合、ユーザーによる指定の妥当性をここで確認できます。 |
| ルール | Collection(Edm.Guid) | いいえ | 誤検知または上書き、もしくはアクションが取り消されるものとして指定された各ルールの GUID のコレクション。 |
セキュリティ/コンプライアンス センター スキーマ
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| StartTime | Edm.Date | いいえ | コマンドレットが実行された日付と時刻。 |
| ClientRequestId | Edm.String | いいえ | このコマンドレットを、セキュリティ センターとコンプライアンス センターの UX 操作と関連付けるために使用できる GUID。 この情報は Microsoft サポートによってのみ使用されます。 |
| CmdletVersion | Edm.String | いいえ | 実行された時のコマンドレットのビルド バージョン。 |
| EffectiveOrganization | Edm.String | いいえ | コマンドレットの影響を受けた組織の GUID。 (非推奨:このパラメーターは将来的になくなります。) |
| UserServicePlan | Edm.String | いいえ | コマンドレットを実行したユーザーに割り当てられる Exchange Online Protection サービス プラン。 |
| ClientApplication | Edm.String | いいえ | コマンドレットが (リモート PowerShell とは対照的に) アプリケーションによって実行された場合、このフィールドにはそのアプリケーションの名前が含まれます。 |
| パラメーター | Edm.String | いいえ | 個人を特定できる情報を含まないコマンドレットで使用されたパラメーターの名前と値。 |
| NonPiiParameters | Edm.String | いいえ | 個人を特定できる情報を含むコマンドレットで使用されたパラメーターの名前と値。 (非推奨: このフィールドは将来的になくなり、そのコンテンツはパラメーター フィールドと結合されます。) |
セキュリティとコンプライアンスのアラート スキーマ
アラートの通知には、次のものが含まれます。
- セキュリティ/コンプライアンス センターのアラート ポリシーに基づいて生成されたすべてのアラート。
- Office 365 Cloud App Security および Microsoft Cloud App Security で生成された Office 365 関連のアラート。
これらのイベントの UserId と UserKey は、常に SecurityComplianceAlerts になります。 共通スキーマの Operation プロパティの値として格納される 3 種類の警告イベントがあります。
AlertTriggered: 新しいアラートがポリシーとの一致によって生成されている。
AlertEntityGenerated: 新しいエンティティがアラートに追加されている。 このイベントは、セキュリティ/コンプライアンス センターの警告 ポリシーに基づいて生成された警告にのみ適用されます。 生成されたアラートごとに、これらのイベントが 1 つまたは複数関連付けられます。 たとえば、いずれかのユーザーが 5 分以内に 100 ファイル以上削除したときに、アラートをトリガーするポリシーが定義されているとします。 2 人のユーザーがほとんど同時にしきい値を超えた場合、AlertEntityGenerated イベントは 2 つになりますが、AlertTriggered イベントは 1 つのみになります。
AlertUpdated - 警告のメタデータが更新されました。 このイベントは、警告のステータスが変更されたとき(例えば、「アクティブ」から「解決済み」に)、誰かが警告にコメントを追加したときにログに記録されます。
| パラメーター | 型 | 必須 | Description |
|---|---|---|---|
| AlertId | Edm.Guid | はい | アラートの GUID。 |
| AlertType | Self.String | はい | アラートの種類。 アラートの種類には、次のものが含まれます。
|
| Name | Edm.String | はい | アラートの名前。 |
| PolicyId | Edm.Guid | いいえ | アラートをトリガーしたポリシーの GUID。 |
| Status | Edm.String | いいえ | アラートの状態。 状態には、次のものが含まれます。
|
| 重要度 | Edm.String | いいえ | アラートの重大度。 重大度レベルには、次のものが含まれます。
|
| カテゴリ | Edm.String | いいえ | アラートのカテゴリ。 カテゴリには、次のものが含まれます。
|
| Source | Edm.String | いいえ | アラートのソース。 ソースには、次のものが含まれます。
|
| Comments | Edm.String | いいえ | アラートが表示されたユーザーが残したコメント。 既定は、"New alert" です。 |
| Data | Edm.String | いいえ | アラートまたはアラート エンティティの詳細データ BLOB。 |
| AlertEntityId | Edm.String | いいえ | アラート エンティティの識別子。 このパラメーターは、AlertEntityGenerated イベントにのみ適用されます。 |
| EntityType | Edm.String | いいえ | アラートまたはアラート エンティティの種類。 エンティティの種類には、次のものが含まれます。
|
Yammer スキーマ
「セキュリティ/コンプライアンス センターで監査ログを検索する」にリストされている Yammer イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| ActorUserId | Edm.String | いいえ | 操作を実行したユーザーの電子メール。 |
| ActorYammerUserId | Edm.Int64 | いいえ | 操作を実行したユーザーの ID。 |
| DataExportType | Edm.String | いいえ | データのエクスポートにメッセージ、メモ、ファイル、トピック、ユーザー、およびグループが含まれている場合は "data" を返します。データのエクスポートにユーザーのみが含まれている場合は "user" を返します。 |
| FileId | Edm.Int64 | いいえ | 操作中のファイルの ID。 |
| FileName | Edm.String | いいえ | 操作中のファイルの名前。 操作に関係のない場合は空白が表示されます。 |
| GroupName | Edm.String | いいえ | 操作中のグループの名前。 操作に関係のない場合は空白が表示されます。 |
| IsSoftDelete | Edm.Boolean | いいえ | ネットワークのデータ保持ポリシーが論理的な削除に設定されている場合は "true" を返します。ネットワークのデータ保持ポリシーが物理的な削除に設定されている場合は "false" を返します。 |
| MessageId | Edm.Int64 | いいえ | 操作中のメッセージの ID。 |
| YammerNetworkId | Edm.Int64 | いいえ | 操作を実行したユーザーのネットワーク ID。 |
| TargetUserId | Edm.String | いいえ | 操作中のターゲット ユーザーのメール アドレス。 操作に関係のない場合は空白が表示されます。 |
| TargetYammerUserId | Edm.Int64 | いいえ | 操作中のターゲット ユーザーの ID。 |
| VersionId | Edm.Int64 | いいえ | 操作中のファイルのバージョン ID。 |
データ センター セキュリティ基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | はい | ロック ボックス内のコマンドレット イベントのタイプ。 |
列挙:DataCenterSecurityEventType - タイプ:Edm.Int32
DataCenterSecurityEventType
| メンバー名 | 説明 |
|---|---|
| DataCenterSecurityCmdletAuditEvent | これは、コマンドレット監査タイプ イベントの列挙型の値です。 |
データ センター セキュリティ コマンドレット スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| StartTime | Edm.Date | はい | コマンドレット実行の開始時刻。 |
| EffectiveOrganization | Edm.String | はい | 昇格/コマンドレットの対象とされたテナントの名前。 |
| ElevationTime | Edm.Date | はい | イベントの開始時刻。 |
| ElevationApprover | Edm.String | はい | Microsoft 管理者の名前。 |
| ElevationApprovedTime | Edm.Date | いいえ | 昇格が承認されたときのタイムスタンプ。 |
| ElevationRequestId | Edm.Guid | はい | 昇格要求の一意識別子。 |
| ElevationRole | Edm.String | いいえ | 昇格が要求されたロール。 |
| ElevationDuration | Edm.Int32 | はい | 昇格がアクティブであった期間。 |
| GenericInfo | Edm.String | いいえ | コメントやその他の一般的な情報に使用されます。 |
Microsoft Teams スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Action | Edm.String | 不要 | 共有チャネル イベントの場合、チーム招待との共有のために招待者またはチャネル所有者が実行するアクション。 |
| AddOnGuid | Edm.Guid | いいえ | イベントを生成したアドオンの一意識別子。 |
| AddOnName | Edm.String | 不要 | イベントを生成したアドオンの名前。 |
| AddOnType | Self.AddOnType | いいえ | このイベントを生成したアドオンの種類。 |
| ChannelGuid | Edm.Guid | いいえ | 監査対象のチャネルの一意識別子。 |
| ChannelName | Edm.String | いいえ | 監査対象のチャネルの名前。 |
| ChannelType | Edm.String | いいえ | 監査対象のチャネルの種類 (標準/プライベート)。 |
| ExtraProperties | Collection(Self.KeyValuePair) | いいえ | 追加のプロパティのリスト。 |
| HostedContents | Collection(Self.HostedContent) | いいえ | チャットまたはチャネル メッセージでホストされるコンテンツのコレクション。 |
| 招待者 | Edm.String | 不要 | 共有チャネル イベントの場合、チーム招待との共有の招待を承認または拒否する招待チーム所有者のUPN。 |
| メンバー | Collection(Self.MicrosoftTeamsMember) | いいえ | チーム内のユーザーの一覧。 |
| MessageId | Edm.String | いいえ | チャットまたはチャネル メッセージの識別子。 |
| MessageURLs | Edm.String | いいえ | Teams メッセージで送信される URL に表示します。 |
| メッセージ | Collection(Self.Message) | いいえ | チャットまたはチャネル メッセージのコレクション。 |
| MessageSizeInBytes | Edm.Int64 | いいえ | UTF-16 エンコードを使用したチャットまたはチャネル メッセージのサイズ (バイト単位)。 |
| 名前 | Edm.String | いいえ | 設定のイベントにのみ存在します。 変更された設定の名前。 |
| NewValue | Edm.String | いいえ | 設定のイベントにのみ存在します。 設定の新しい値。 |
| OldValue | Edm.String | いいえ | 設定のイベントにのみ存在します。 設定の以前の値。 |
| SubscriptionId | Edm.String | いいえ | Microsoft Graph 変更通知サブスクリプションの一意識別子。 |
| TabType | Edm.String | いいえ | タブ イベントにのみ存在します。 イベントを生成したタブの種類。 |
| TeamGuid | Edm.Guid | いいえ | 監査対象のチームの一意識別子。 |
| TeamName | Edm.String | いいえ | 監査対象のチームの名前。 |
MicrosoftTeamsMember complex type
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UPN | Edm.String | いいえ | ユーザーのユーザー プリンシパル名。 |
| Role | Self.MemberRoleType | いいえ | チーム内のユーザーの役割。 |
| DisplayName | Edm.String | いいえ | ユーザーの表示名。 |
列挙値: MemberRoleType - 型: Edm.Int32
MemberRoleType
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Member | チームのメンバーであるユーザー。 |
| 1 | Owner | チームの所有者であるユーザー。 |
| 2 | Guest | チームのメンバーでないユーザー。 |
KeyValuePair 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| キー | Edm.String | いいえ | キーと値のペアのキー。 |
| 値 | Edm.String | いいえ | キーと値のペアの値。 |
列挙型: AddOnType - 型: Edm.Int32
AddOnType
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | Bot | Microsoft Teams ボット。 |
| 2 | Connector | Microsoft Teams コネクタ。 |
| 3 | Tab | Microsoft Teams タブ。 |
HostedContent 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | メッセージでホストされるコンテンツの一意の識別子。 |
| SizeInBytes | Edm.Int64 | いいえ | メッセージでホストされるコンテンツ サイズ (バイト単位)。 |
メッセージ複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AADGroupId | Edm.String | いいえ | メッセージが属する Azure Active Directory 内のグループの一意識別子。 |
| ID | Edm.String | はい | チャットまたはチャネル メッセージの一意識別子。 |
| ChannelGuid | Edm.String | いいえ | メッセージが属するチャネルの一意識別子。 |
| ChannelName | Edm.String | いいえ | メッセージが属するチャネルの名前。 |
| ChannelType | Edm.String | いいえ | メッセージが属するチャネルの種類。 |
| ChatName | Edm.String | いいえ | メッセージが属するチャットの名前。 |
| ChatThreadId | Edm.String | いいえ | メッセージが属するチャットの一意識別子。 |
| ParentMessageId | Edm.String | いいえ | 親チャットまたはチャネル メッセージの一意識別子。 |
| SizeInBytes | Edm.Int64 | いいえ | UTF-16 エンコードを使用したメッセージのサイズ (バイト単位)。 |
| TeamGuid | Edm.String | いいえ | メッセージが属するチームの一意識別子。 |
| TeamName | Edm.String | いいえ | メッセージが属するチームの名前。 |
| バージョン | Edm.String | いいえ | チャットまたはチャネル メッセージのバージョン。 |
Microsoft Defender for Office 365 および脅威の調査と対応スキーマ
Microsoft Defender for Office 365 と脅威の調査および対応のイベントは、Defender for Office 365 Plan 1、Defender for Office 365 Plan 2、またはE5サブスクリプションをお持ちの Office 365 のお客様にご利用いただけます。 Defender for Office 365 フィードの各イベントは、脅威が含まれていると判断された次のイベントに対応しています。
配信時および Zero-hour Auto Purge によってメッセージに対する検出が行われた、組織内のユーザーが送信または受信する電子メール メッセージ。
Defender for Office 365 の安全なリンクの保護に基づいてクリック時に悪意があるとして検出された組織内のユーザーがクリックした URL。
Microsoft Defender for Office 365 により悪意があるとして検出された SharePoint Online、OneDrive for Business、または Microsoft Teams 内のファイル。
トリガーされ、自動調査を開始したアラート。
注:
Microsoft Defender for Office 365 および Office 365 脅威の調査および対応(旧称Office 365 Threat Intelligence)機能は、追加の脅威保護機能を備えたDefender for Office 365 Plan2の一部になりました。 詳細については、「Microsoft Defender for Office 365 のプランと価格」および「Defender for Office 365 サービス説明書」を参照してください。
電子メール メッセージ イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | いいえ | イベントをトリガーした電子メール メッセージの添付ファイルに関するデータ。 |
| DetectionType | Edm.String | はい | 検出タイプ (例: Inline - 配信時に検出、Delayed - 配布後に検出、ZAP - Zero hour auto purge によって削除されたメッセージ)。 ZAP の検出タイプのイベントの前には、通常、Delayed 検出タイプのメッセージが表示されます。 |
| DetectionMethod | Edm.String | はい | Defender for Office 365 で検出に使用されるメソッドまたはテクノロジ。 |
| InternetMessageId | Edm.String | はい | インターネット メッセージ ID。 |
| NetworkMessageId | Edm.String | はい | Exchange Online のネットワーク メッセージ ID。 |
| P1Sender | Edm.String | はい | 電子メール メッセージの送信者の返信先。 |
| P2Sender | Edm.String | はい | 電子メール メッセージの送信者。 |
| ポリシー | Self.Policy | はい | メール メッセージに関連するフィルタリング ポリシーのタイプ (スパム対策やフィッシング対策など) および関連するアクションタイプ (高確度スパム、スパム、フィッシングなど)。 |
| ポリシー | Self.PolicyAction | はい | メール メッセージに関連するフィルタリング ポリシーで構成されたアクション (たとえば、迷惑メールフォルダーに移動または検疫)。 |
| P2Sender | Edm.String | はい | 電子メール メッセージの送信者。 |
| 受信者 | Collection(Edm.String) | はい | 電子メール メッセージの受信者の配列。 |
| SenderIp | Edm.String | はい | Office 365 の電子メールを送信した IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| 件名 | Edm.String | はい | メッセージの件名。 |
| Verdict | Edm.String | はい | メッセージの判定。 |
| MessageTime | Edm.Date | はい | メール メッセージが受信または送信された、協定世界時 (UTC) での日時。 |
| EventDeepLink | Edm.String | はい | エクスプローラーのメール イベントまたは Office 365 セキュリティ/コンプライアンス センターのリアルタイム レポートへのディープリンク。 |
| 配信アクション | Edm.String | はい | メール メッセージの元の配信操作。 |
| 元の配信場所 | Edm.String | はい | メール メッセージの元の配信場所。 |
| 最新の配信場所 | Edm.String | はい | イベントの時点でのメール メッセージの最新の配信場所。 |
| 方向性 | Edm.String | はい | メール メッセージが受信、送信、または内部組織のメッセージであるかどうかを識別します。 |
| ThreatsAndDetectionTech | Edm.String | はい | 脅威と対応する検出テクノロジ。 このフィールドは、スパム判定に対する最新の追加を含む、メール メッセージのすべての脅威を公開します。 たとえば、["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"。 異なる検出の脅威と検出テクノロジを以下に示します。 |
| AdditionalActionsAndResults | Collection(Edm.String) | いいえ | ZAP や手動での修復など、メールに対して行われた追加アクション。 また、対応する結果も含まれます。 |
| コネクタ | Edm.String | いいえ | メールに関連するコネクターの名前と GUID。 |
| AuthDetails | Collection(Self.AuthDetails) | いいえ | メールに対して行われる認証チェックです。 また、SPF、DKIM、DMARC、および CompAuth の値も含まれます。 |
| SystemOverrides | Collection(Self.SystemOverrides) | いいえ | メールに適用可能なオーバーライド。 これらは、システムまたはユーザーによるオーバーライドが可能です。 |
| フィッシング信頼度レベル | Edm.String | いいえ | フィッシング判定に関連した信頼度を示します。 「標準」または「高」にすることができます。 |
注:
新しい ThreatsAndDetectionTech フィールドは、複数の判定と更新された検出テクノロジを示すので、使用することをお勧めします。 このフィールドは、脅威エクスプローラーや高度な検出などの他のエクスペリエンス内で表示される値と一致します。
検出技術
| 名前 | 説明 |
|---|---|
| 高度なフィルター | 機械学習に基づくフィッシング シグナル。 |
| マルウェア対策エンジン | マルウェア対策エンジンによる検出。 |
| キャンペーン | キャンペーンの一部として識別されたメッセージ。 |
| ドメインの評価 | ドメインの評価に基づく分析。 |
| ファイルのデトネーション | デトネートされた分析の間、添付ファイルが悪い可能性が見つかりました。 |
| ファイルのデトネーションの評価 | 以前のデトネーション評価が原因で、添付ファイルが悪質としてマークされました。 |
| ファイルの評価 | 添付ファイルは、評価が悪いので悪質マークを付けられました。 |
| 指紋の一致 | 以前のメッセージが原因で、そのメッセージが悪質としてマークされた。 |
| 一般的なフィルター | ルールに基づくフィッシング シグナル。 |
| 偽装ブランド | 添付ファイルのファイルの種類。 |
| 偽装ドメイン | 顧客が所有または定義しているドメインの偽装。 |
| 偽装ユーザー | 管理者によって定義された、またはメールボックス インテリジェンス経由で理解されたユーザーの偽装。 |
| メールボックス インテリジェンス偽装 | メールボックス インテリジェンスに基づく偽装。 |
| 複合分析の検出 | 複数のフィルターがこのメッセージの判定に貢献しました。 |
| スプーフィング DMARC | メッセージに対する DMARC 認証エラー。 |
| 外部ドメインになりすます | 送信者が、他のドメインのなりすましを試みしています。 |
| 組織内のなりすまし | 送信者が受信者のドメインになりすましています。 |
| URL のデトネーション | 以前の悪意のある URL のデトネーションが原因で、メッセージが悪質と見なされました。 |
| URL のデトネーションの評価 | メッセージは、悪意のある URL のデトネーションのために、悪いと見なされました。 |
| URL に悪意があるとする評価 | 悪意のある URL が原因でメッセージが悪質と見なされました。 |
AttachmentData complex type
AttachmentData
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileName | Edm.String | はい | 添付ファイルのファイル名。 |
| FileType | Edm.String | はい | 添付ファイルのファイルの種類。 |
| FileVerdict | Self.FileVerdict | はい | ファイルのマルウェア判定。 |
| MalwareFamily | Edm.String | いいえ | ファイルのマルウェア ファミリ。 |
| SHA256 | Edm.String | はい | ファイルの SHA256 ハッシュ。 |
注:
マルウェア ファミリ内では、正確な MalwareFamily 名 (HTML/フィッシング.VS! など) を確認できます。MSR) または悪意のあるペイロードを静的な文字列として指定します。 特定の名前が認識されていない場合、悪意のあるペイロードは引き続き悪意のあるメールとして扱う必要があります。
SystemOverrides 複合型
SystemOverrides
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Edm.String | いいえ | 適用された特定のオーバーライド (ETR や Safe Sender など) に関する詳細です。 |
| FinalOverride | Edm.String | いいえ | 複数のオーバーライドがある場合に、配信に影響を与えるオーバーライドを示します。 |
| 結果 | Edm.String | いいえ | メールがオーバーライドに基づいて許可またはブロックに設定されたかどうかを示します。 |
| Source | Edm.String | いいえ | オーバーライドがユーザー構成によるものか、テナント構成によるものかを示します。 |
AuthDetails 複合型
AuthDetails
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 名前 | Edm.String | いいえ | DKIM や DMARC など、特定の認証チェックの名前です。 |
| 値 | Edm.String | いいえ | 特定の認証チェックに関連する値 (True や False など)。 |
列挙値: FileVerdict - 型: Edm.Int32
FileVerdict
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Good | 脅威は検出されませんでした。 |
| 1 | Bad | 添付ファイルにマルウェアが見つかりました。 |
| -1 | Error | スキャン/分析のエラー。 |
| -2 | Timeout | スキャン/分析のタイムアウト。 |
| -3 | Pending | スキャン/分析が完了していません。 |
列挙値: Policy - 型: Edm.Int32
ポリシー タイプおよびアクション タイプ
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | スパム対策、HSPM | スパム対策ポリシーの高確度スパム (HSPM) アクション。 |
| 2 | スパム対策、SPM | スパム対策ポリシーのスパム (SPM) アクション。 |
| 3 | スパム対策、バルク | スパム対策ポリシーのバルク アクション。 |
| 4 | スパム対策、PHSH | スパム対策ポリシーのフィッシング (PHSH) アクション。 |
| 5 | フィッシング対策、DIMP | フィッシング対策ポリシーのドメイン偽装 (DIMP) アクション。 |
| 6 | フィッシング対策、UIMP | フィッシング対策ポリシーのユーザー偽装 (UIMP) アクション。 |
| 7 | フィッシング対策、SPOOF | フィッシング対策ポリシーのスプーフィング アクション。 |
| 8 | フィッシング対策、GIMP | フィッシング対策ポリシーのメールボックス インテリジェンス アクション。 |
| 9 | マルウェア対策、AMP | マルウェア対策ポリシーのマルウェア ポリシー アクション。 |
| 10 | 安全な添付ファイル、SAP | Defender for Office 365 ポリシーの、安全な添付ファイルのポリシー アクション。 |
| 11 | Exchange トランスポート ルール、ETR | Exchange トランスポート ルールのポリシー アクション。 |
| 12 | マルウェア対策、ZAPM | ゼロアワー自動消去 (ZAP) に適用されるマルウェア対策ポリシーのマルウェア対策ポリシー アクション。 |
| 13 | フィッシング対策、ZAPP | ZAP に適用されるフィッシング対策のフィッシング詐欺ポリシー アクション。 |
| 14 | フィッシング対策、ZAPS | ZAP に適用されるスパム対策 ポリシーの迷惑メール ポリシー アクション。 |
| 15 | スパム対策、高確度フィッシング メール (HPHISH) | スパム対策ポリシーの高確度フィッシング ポリシー アクション。 |
| 17 | スパム対策、送信スパム ポリシー (OSPM) | スパム対策の送信スパム フィルター ポリシーのポリシー アクション。 |
列挙値: PolicyAction - 型: Edm.Int32
ポリシー アクション
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | MoveToJMF | 迷惑メールフォルダーに移動するポリシー アクション。 |
| 1 | AddXHeader | メール メッセージに X-header を追加するポリシー アクション。 |
| 2 | ModifySubject | フィルタリング ポリシーで指定された情報でメール メッセージの件名を変更するポリシー アクション。 |
| 3 | Redirect | フィルタリング ポリシーで指定されたメール アドレスにメール メッセージをリダイレクトするポリシー アクション。 |
| 4 | Delete | メール メッセージを削除 (ドロップ) するポリシー アクション。 |
| 5 | Quarantine | メール メッセージを隔離するポリシー アクション。 |
| 6 | NoAction | メール メッセージに対してアクションを実行しないように構成されたポリシー。 |
| 7 | BccMessage | フィルタリング ポリシーで指定されたメール アドレスにメール メッセージを Bcc するポリシー アクション。 |
| 8 | ReplaceAttachment | ポリシーアクションとは、フィルタリング ポリシーで指定されたメールメッセージの添付ファイルを置き換えることです。 |
URL time-of-click イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UserId | Edm.String | はい | URL をクリックしたユーザーの識別子 (例: 電子メール アドレス)。 |
| AppName | Edm.String | はい | URL がクリックされた Office 365 サービス (例: Outlook メール)。 |
| URLClickAction | Self.URLClickAction | はい | Defender for Office 365 の安全なリンクに関する組織のポリシーに基づいた、URL のクリック アクション。 |
| SourceId | Edm.String | はい | URL がクリックされた Office 365 サービスの識別子 (例: メールの場合、これは Exchange Online のネットワーク メッセージ ID)。 |
| TimeOfClick | Edm.Date | はい | ユーザーが URL をクリックした、世界協定時刻 (UTC) での日時。 |
| URL | Edm.String | はい | ユーザーがクリックした URL。 |
| UserIp | Edm.String | はい | URL をクリックしたユーザーの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
列挙値: URLClickAction - タイプ: Edm.Int32
URLClickAction
| 値 | メンバー名 | 説明 |
|---|---|---|
| 2 | Blockpage | Defender for Office 365 の安全なリンク機能により、ユーザーが URL に移動することがブロックされました。 |
| 3 | PendingDetonationPage | Defender for Office 365 の安全なリンク機能により、ユーザーに分析保留中のページが表示されました。 |
| 4 | BlockPageOverride | Defender for Office 365 の安全なリンク機能により、ユーザーが URL に移動することがブロックされましたが、ユーザーは URL に移動するためにブロックをオーバーライドしました。 |
| 5 | PendingDetonationPageOverride | Defender for Office 365 の安全なリンク機能により、ユーザーに分析保留中のページが表示されましたが、ユーザーは URL に移動するためにオーバーライドしました。 |
ファイルのイベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileData | Self.FileData | はい | イベントをトリガーしたファイルに関するデータ。 |
| SourceWorkload | Self.SourceWorkload | はい | ファイルが見つかったワークロードやサービス (例: SharePoint Online、OneDrive for Business、Microsoft Teams など) |
| DetectionMethod | Edm.String | はい | Microsoft Defender for Office 365 で検出に使用されるメソッドまたはテクノロジ。 |
| LastModifiedDate | Edm.Date | はい | ファイルが作成または最後に変更された、世界協定時刻 (UTC) での日時。 |
| LastModifiedBy | Edm.String | はい | ファイルを作成または最後に変更したユーザーの識別子 (例: メール アドレス)。 |
| EventDeepLink | Edm.String | はい | エクスプローラーのファイル イベントまたはセキュリティ/コンプライアンス センターのリアルタイム レポートへのディープリンク。 |
FileData 複合型
FileData
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DocumentId | Edm.String | はい | SharePoint、OneDrive、または Microsoft Teams のファイルの一意の識別子。 |
| FileName | Edm.String | はい | イベントをトリガーしたファイルの名前。 |
| FilePath | Edm.String | はい | SharePoint、OneDrive、または Microsoft Teams のファイルへのパス (場所)。 |
| FileVerdict | Self.FileVerdict | はい | ファイルのマルウェア判定。 |
| MalwareFamily | Edm.String | いいえ | ファイルのマルウェア ファミリ。 |
| SHA256 | Edm.String | はい | ファイルの SHA256 ハッシュ。 |
| FileSize | Edm.String | はい | ファイルのサイズ (バイト単位)。 |
列挙値: SourceWorkload - タイプ: Edm.Int32
SourceWorkload
| 値 | メンバー名 |
|---|---|
| 0 | SharePoint Online |
| 1 | OneDrive for Business |
| 2 | Microsoft Teams |
報告スキーマ
報告イベントは、セキュリティを備えるためすべての Office 365 カスタマーが利用できます。 これには、Exchange Online Protection と Office 365 Advanced Threat Protection を使用する組織が含まれます。 報告フィードの各イベントは、以下のとおり報告された偽陽性または偽陰性に対応しています。
- 管理者による報告。 分析のために Microsoft に報告されたメッセージ、ファイル、または URL。
- ユーザー報告による項目。 レビューのためにエンド ユーザーから管理者や Microsoft に報告されたメッセージ。
報告イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | いいえ | 管理者の報告が登録され、処理が承認待ちになっています。 |
| AdminSubmissionDeliveryCheck | Edm.String | いいえ | 管理者報告システムがメールのポリシーを確認しました。 |
| AdminSubmissionSubmitting | Edm.String | いいえ | 管理者報告システムがメールを送信しています。 |
| AdminSubmissionSubmitted | Edm.String | いいえ | 管理者報告システムがメールを送信しました。 |
| AdminSubmissionTriage | Edm.String | いいえ | 管理者による報告はグレーダーによってトリアージ済みです。 |
| AdminSubmissionTimeout | Edm.String | いいえ | 管理者による報告は、結果がないままタイムアウトしています。 |
| UserSubmission | Edm.String | いいえ | 報告は、エンド ユーザーからの最初の報告です。 |
| UserSubmissionTriage | Edm.String | いいえ | ユーザーによる報告はグレーダーによってトリアージ済みです。 |
| CustomSubmission | Edm.String | いいえ | ユーザーが報告したメッセージが、ユーザーが報告したメッセージ設定の設定として組織のカスタム メールボックスに送信されていました。 |
| AttackSimUserSubmission | Edm.String | いいえ | ユーザーが報告したメッセージは、実際には、フィッシング シミュレーションのトレーニング メッセージでした。 |
| AdminSubmissionTablAllow | Edm.String | いいえ | 報告時に、再スキャン中に類似したメッセージにすぐに対応するための許可が作成されました。 |
| SubmissionNotification | Edm.String | いいえ | 管理者のフィードバックがエンド ユーザーに送信されます。 |
Office 365 の自動調査および対応イベント
Office 365 自动调查和响应 (AIR) 事件适用于订阅了 Microsoft Defender for Office 365 计划 2 或 Office 365 E5 的 Office 365 客户。 調査イベントは調査ステータスの変更に基づいてログに記録されます。 たとえば、管理者が [保留中のアクション] の調査ステータスを [完了] に変更する操作を行うと、イベントがログに記録されます。
現在のところ、自動調査のみがログに記録されます (手動で生成された調査のイベントは間もなく発生します)。次のステータス値がログに記録されます。
- 調査が開始しました
- 脅威は検出されませんでした
- システムによって終了されました
- 保留中のアクション
- 脅威が検出されました
- 修復済み
- 失敗
- スロットルにより終了しました
- ユーザーによって終了されました
- 実行中
主要な調査スキーマ
| 名前 | 型 | 説明 |
|---|---|---|
| InvestigationId | Edm.String | 調査 ID/GUID |
| InvestigationName | Edm.String | 調査名 |
| InvestigationType | Edm.String | 調査の種類。 次のいずれかの値を指定できます。 - ユーザーが報告したメッセージ - zapped マルウェア - zapped フィッシング - URL の判定変更 (現在手動調査は利用できません。まもなく提供開始予定です) |
| LastUpdateTimeUtc | Edm.Date | 調査の最終更新の UTC 時刻 |
| StartTimeUtc | Edm.Date | 調査の開始時刻 |
| 状態 | Edm.String | 調査、実行中、保留中のアクションなどの状態。 |
| DeeplinkURL | Edm.String | Office 365 セキュリティ/コンプライアンス センターの調査へのディープ リンク URL |
| Actions | Collection (Edm.String) | 調査により推奨される操作のコレクション |
| データ | Edm.String | 調査エンティティの詳細、調査に関連するアラートの情報が含まれているデータ文字列。 エンティティはデータ blob 内の個別のノードで使用できます。 |
Actions
| Field | 種類 | 説明 |
|---|---|---|
| ID | Edm.String | 操作 ID |
| ActionType | Edm.String | 操作の種類 (メールの修復など) |
| ActionStatus | Edm.String | 値は次のとおりです。 - 保留中 - 実行中 - リソースの待機中 - 完了 - 失敗 |
| ApprovedBy | Edm.String | 自動承認された場合は null 値、それ以外の場合はユーザー名または ID (まもなく対応予定) |
| TimestampUtc | Edm.DateTime | 操作ステータス変更のタイムスタンプ |
| ActionId | Edm.String | 操作の一意の識別子 |
| InvestigationId | Edm.String | 調査の一意の識別子 |
| RelatedAlertIds | Collection(Edm.String) | 調査に関連するアラート |
| StartTimeUtc | Edm.DateTime | 操作作成のタイムスタンプ |
| EndTimeUtc | Edm.DateTime | 操作の最終ステータス更新のタイムスタンプ |
| リソース識別子 | Edm.String | Azure Active Directory のテナント ID で構成されます。 |
| Entities | Collection(Edm.String) | 操作によって影響を受ける複数のエンティティのリスト |
| 関連するアラート ID | Edm.String | 調査に関連するアラート |
Entities
MailMessage (電子メール)
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "mail-message" |
| Files | Collection (Self.File) | このメッセージの添付ファイルのファイルに関する詳細 |
| Recipient | Edm.String | メール メッセージの受信者 |
| Urls | Collection(Self.URL) | このメール メッセージに含まれている URL |
| Sender | Edm.String | 送信者の電子メール アドレス |
| SenderIP | Edm.String | 送信者の IP アドレス |
| ReceivedDate | Edm.DateTime | このメッセージの受信日 |
| NetworkMessageId | Edm.Guid | このメール メッセージのネットワーク メッセージ ID |
| InternetMessageId | Edm.String | このメール メッセージのインターネット メッセージ ID |
| 件名 | Edm.String | このメール メッセージの件名 |
IP
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "ip" |
| Address | Edm.String | 文字列としての IP アドレス (127.0.0.1 など) |
URL
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "url" |
| Url | Edm.String | エンティティが指す完全な URL |
Mailbox (ユーザーにも相当)
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "mailbox" |
| MailboxPrimaryAddress | Edm.String | メールボックスのプライマリ アドレス |
| DisplayName | Edm.String | メールボックスの表示名 |
| Upn | Edm.String | メールボックスの UPN |
File
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "file" |
| Name | Edm.String | パスのないファイル名 |
| FileHashes | Collection (Edm.String) | ファイルに関連付けられているファイル ハッシュ |
FileHash
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "filehash" |
| Algorithm | Edm.String | ハッシュ アルゴリズムの種類は、次のいずれかの値になります。 - Unknown - MD5 - SHA1 - SHA256 - SHA256AC |
| Value | Edm.String | ハッシュ値 |
MailCluster
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "MailCluster" 討議されているエンティティの種類を決定する |
| NetworkMessageIds | Collection (Edm.String) | メール クラスターに含まれているメール メッセージの ID のリスト |
| CountByDeliveryStatus | Collections (Edm.String) | DeliveryStatus の文字列表現によるメール メッセージの数 |
| CountByThreatType | Collections (Edm.String) | ThreatType の文字列表現によるメール メッセージの数 |
| Threats | Collections (Edm.String) | メール クラスターに含まれているメール メッセージの脅威。 脅威にはフィッシングやマルウェアなどの値が含まれます。 |
| Query | Edm.String | メール クラスターのメッセージを特定するために使用されたクエリ |
| QueryTime | Edm.DateTime | クエリ時間 |
| MailCount | Edm.int | メール クラスターに含まれているメール メッセージの数。 |
| ソース | String | メール クラスターのソース、クラスター ソースの値。 |
検疫イベント スキーマ
検疫イベントは送信スパム保護に関係しています。 これらのイベントは、メールの送信を制限されているユーザーに関係します。 詳細については、以下を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 監査 | Edm.String | いいえ | 検疫イベントに関連するシステム情報。 |
| イベント | Edm.String | いいえ | 検疫イベントの種類。 このパラメーターの有効な値は、一覧表示また一覧から除外です。 |
| EventId | Edm.Int64 | いいえ | 検疫イベントの種類の ID。 |
| EventValue | Edm.String | いいえ | 影響を受けたユーザー。 |
| 理由 | Edm.String | いいえ | 検疫イベントの詳細。 |
Power BI スキーマ
「Office 365 プロテクション センターでの監査ログの検索」にリストされている Power BI イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したアプリの名前です。 |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したダッシュ ボードの名前です。 |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したダッシュボードのデータの分類 (存在する場合)。 |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したデータセットの名前です。 |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | グループのメンバーシップ情報。 |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 組織のアプリのアクセス許可の一覧 (組織全体、特定のユーザー、特定のグループ)。 |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したレポートの名前です。 |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待を送るユーザーについての情報。 |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | さまざまなテナント レベル切り替えの状態についての情報。 |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したワークスペースの名前です。 |
MembershipInformationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | グループの電子メール アドレス。 |
| 状態 | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 現在、入力されていません。 |
SharingInformationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待の受信者の電子メール アドレス。 |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待の受信者の名前。 |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 受信者にアクセス許可が付与されています。 |
Dynamics 365 スキーマ
Dynamics 365 イベントのモデル駆動型アプリに関連するイベントの監査レコードは、基本スキーマとエンティティオペレーションスキーマの両方を使用します。 詳細については、「アクティビティログを有効にして使用する」を参照してください。
Dynamics 365 基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | はい | 組織の一意の名前。 |
| InstanceUrl | Edm.String | はい | インスタンスの URL。 |
| ItemUrl | Edm.String | いいえ | ログを発行しているレコードへのURL。 |
| ItemType | Edm.String | いいえ | エンティティの名前。 |
| UserAgent | Edm.String | いいえ | 組織内のユーザー GUID の一意の識別子。 |
| フィールド | Collection(Common.NameValuePair) | いいえ | 作成または更新されたプロパティのキーと値のペアを含む JSON オブジェクト。 |
Dynamics 365 エンティティ操作スキーマ
Dynamics 365 のモデル駆動型アプリからのエンティティイベントは、このスキーマを使用して、Dynamics 36 5基本スキーマに基づいて構築します。 このスキーマには、監査イベントをトリガーしたエンティティ操作に関する情報が含まれています。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EntityId | Edm.Guid | いいえ | エンティティの一意識別子。 |
| EntityName | Edm.String | はい | 組織のエンティティの名前。 エンティティの例には、contact や authenticationがあります。 |
| メッセージ | Edm.String | はい | このパラメーターには、エンティティーに関連して実行された操作が含まれています。 たとえば、新しい連絡先が作成された場合、Message プロパティの値は で Create 、EntityName プロパティの対応する値は です contact。 |
| クエリ | Edm.String | いいえ | FetchXML操作の実行中に使用されたフィルタークエリのパラメーター。 |
| PrimaryFieldValue | Edm.String | いいえ | エンティティのプライマリフィールドである属性の値を示します。 |
Workplace Analytics スキーマ
「Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」にリストされている WorkPlace Analytics イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| WpaUserRole | Edm.String | いいえ | アクションを実行したユーザーの Workplace Analytics ロール。 |
| ModifiedProperties | コレクション (Common.ModifiedProperty) | いいえ | このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
| OperationDetails | コレクション (Common.NameValuePair) | いいえ | 変更された設定の拡張プロパティの一覧。 各プロパティには Name と Value があります。 |
検疫スキーマ
「Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」に記載されている検疫イベントは、このスキーマを使用します。 検疫の詳細については、「Office 365 の検疫」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RequestType | Self.RequestType | いいえ | ユーザーによって実行された検疫要求の型。 |
| RequestSource | Self.RequestSource | いいえ | 検疫要求のソースは、セキュリティ/コンプライアンス センター (SCC)、コマンドレット、URLlink に由来する場合があります。 |
| NetworkMessageId | Edm.String | いいえ | 検疫されたメール メッセージのネットワーク メッセージ ID。 |
| ReleaseTo | Edm.String | いいえ | メール メッセージの受信者。 |
Enum: RequestType - Type: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Preview | これは、有害と見なされるメール メッセージをプレビューするように求める、ユーザーからの要求です。 |
| 1 | Delete | これは、有害と見なされるメール メッセージを削除するように求める、ユーザーからの要求です。 |
| 2 | Release | これは、有害と見なされるメール メッセージを解放するように求める、ユーザーからの要求です。 |
| 3 | Export | これは、有害と見なされるメール メッセージをエクスポートするように求める、ユーザーからの要求です。 |
| 4 | ViewHeader | これは、有害と見なされるメール メッセージのヘッダーを表示するように求める、ユーザーからの要求です。 |
| 5 | リリース要求 | これは、有害と見なされるメール メッセージを解放するように求める、ユーザーからのリリース要求です。 |
Enum: RequestSource - Type: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | SCC | セキュリティ/コンプライアンス センター (SCC) が、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。 |
| 1 | コマンドレット | コマンドレットが、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。 |
| 2 | URLlink | これが、有害な可能性のあるメール メッセージのプレビュー、削除、解放、エクスポート、ヘッダーの表示を求めるユーザーからの要求の発生元になりうるソースです。 |
Microsoft Forms スキーマ
「Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」に記載されている Micorosft Forms イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | はい | アクションを実行するユーザーの役割。 このパラメーターの値は、管理者、所有者、レスポンダー、または共同編集者です。 |
| SourceApp | Edm.String | はい | アクションが Forms Web サイトからのものなのか、他のアプリからのものなのかを示します。 |
| FormName | Edm.String | いいえ | 現在のフォームの名前。 |
| FormId | Edm.String | いいえ | 対象フォームの ID。 |
| FormTypes | Collection(Self.FormTypes) | いいえ | これが、フォーム、クイズ、またはアンケートなのかを示します。 |
| ActivityParameters | Edm.String | いいえ | アクティビティのパラメーターを含む JSON 文字列。 詳細については、「Office 365 セキュリティ/コンプライアンス センターで監査ログを検索する」を参照してください。 |
Enum: FormsUserTypes - Type: Edm.Int32
FormsUserTypes
| 値 | フォーム ユーザーの種類 | 説明 |
|---|---|---|
| 0 | 管理者 | フォームにアクセスできる管理者。 |
| 1 | Owner | フォームの所有者であるユーザー。 |
| 2 | レスポンダー | フォームに応答を送信したユーザー。 |
| 3 | 共同編集者 | フォームの所有者から提供された、フォームにログインして編集するための共同編集者リンクを使用したユーザー。 |
Enum: FormTypes - Type: Edm.Int32
FormTypes
| 値 | フォームの種類 | 説明 |
|---|---|---|
| 0 | フォーム | [新しいフォーム] オプションを使用して作成されたフォーム。 |
| 1 | クイズ | [新しいクイズ] オプションを使用して作成されたクイズ。 クイズは特殊な種類のフォームで、点数、自動および手動採点、コメントなどの追加の機能が含まれるフォームです。 |
| 2 | アンケート | [新しいアンケート] オプションを使用して作成されたアンケート。 アンケートは特殊な種類のフォームで、CMS 統合や Flow ルールのサポートなどの追加の機能が含まれるフォームです。 |
MIP ラベルのスキーマ
Microsoft Purview Information Protection ラベルのスキーマのイベントは、秘密度ラベルが適用されているトランスポート パイプラインのエージェントによって処理されたメール メッセージを Microsoft 365 が検出したときにトリガーされます。 秘密度ラベルは、手動または自動で、トランスポート パイプラインの内部または外部で適用されます。 秘密度ラベルは、ラベル ポリシーの自動適用により、メール メッセージに自動的に適用できます。
この監査スキーマの目的は、秘密度ラベルが適用されているすべてのメール アクティビティの合計を示すことです。 そのため、秘密度ラベルがいつどのように適用されたかに関係なく、秘密度ラベルが適用されている組織内のユーザー間で送受信されるメール メッセージごとに、監査のアクティビティが記録されます。 秘密度ラベルの詳細については、以下をご覧ください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Sender | Edm.String | いいえ | メール メッセージの差出人フィールドのメール アドレス。 |
| Receivers | Collection(Edm.String) | いいえ | メール メッセージの [宛先]、[CC]、[BCC] フィールドにあるすべてのメール アドレス。 |
| ItemName | Edm.String | いいえ | メール メッセージの件名フィールドの文字列。 |
| LabelId | Edm.Guid | いいえ | メール メッセージに適用される秘密度ラベルの GUID。 |
| LabelName | Edm.String | いいえ | メール メッセージに適用される秘密度ラベルの名前。 |
| LabelAction | Edm.String | いいえ | メッセージがメールのトランスポート パイプラインに入る前にメール メッセージに適用された秘密度ラベルによって指定されたアクション。 |
| LabelAppliedDateTime | Edm.Date | いいえ | メール メッセージに秘密度ラベルが適用された日付。 |
| ApplicationMode | Edm.String | いいえ | メール メッセージに秘密度ラベルが適用された方法を指定します。 Privileged の値は、ラベルがユーザーによって手動で適用されたことを示します。 Standard の値は、ラベルがクライアント側またはサービス側のラベル付けのプロセスによって自動的に適用されたことを示します。 |
暗号化されたメッセージのポータル イベント スキーマ
暗号化されたメッセージのポータル スキーマのイベントは、外部受信者が暗号化されたメール メッセージにポータル経由でアクセスしたことが Purview Message Encryption によって検出されるとトリガーされます。 メールの暗号化が秘密度ラベルや RMS テンプレートによって手動で行われた場合もあれば、トランスポート ルール、データ損失防止ポリシー、自動ラベル付けポリシーによって自動的に行われた場合もあります。
この監査スキーマの目的は、外部受信者による暗号化されたメールへのアクセスに関わるすべてのポータル アクティビティの合計を表すことです。 つまり、ポータルへのサインインを試みる受信者と、暗号化されたメールへのアクセスに関連するすべてのアクティビティについて、記録された監査アクティビティが存在する必要があるということです。 これには、暗号化が適用された日時や方法に関係なく、メールに暗号化が適用されたときに組織内のユーザーとの間で送受信されるメールが含まれます。 詳細については、「暗号化されたメッセージ ポータルログについて」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MessageId | Edm.String | 不要 | メッセージの ID。 |
| Recipient | Edm.String | 不要 | 受信者のメール アドレス。 |
| Sender | Edm.String | 不要 | 送信者のメール アドレス。 |
| AuthenticationMethod | Self.AuthenticationMethod | 不要 | メッセージにアクセスした時の認証方法 (OTP、Yahoo、Gmail、Microsoft など)。 |
| AuthenticationStatus | Self.AuthenticationStatus | 不要 | 0 – 成功、1 - 失敗。 |
| OperationStatus | Self.OperationStatus | 不要 | 0 – 成功、1 - 失敗。 |
| AttachmentName | Edm.String | 不要 | 添付ファイルの名前。 |
| OperationProperties | Collection(Common.NameValuePair) | いいえ | 追加のプロパティ (送信された OTP パスコードの数、メールの件名など)。 |
コミュニケーションコンプライアンス Exchange スキーマ
Office 365 監査ログにリストされているコミュニケーションコンプライアンスイベントは、このスキーマを使用します。 これには、電子メールメッセージのコンテンツに、一致精度が >= 99.5% のスパム対策モデルによって識別される不快な言語が含まれている場合に生成される SupervisoryReviewOLAudit 操作の監査レコードが含まれます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | いいえ | SupervisoryReviewOLAudit イベントをトリガーした電子メールメッセージのプロパティ。 |
Enum: ExchangeDetails - 種類: ExchangeDetails
ExchangeDetails
| メンバー名 | 型 | 説明 |
|---|---|---|
| NetworkMessageId | Edm.Guid | 電子メールメッセージのネットワークメッセージ ID。 |
| InternetMessageId | Edm.String | 電子メールメッセージのインターネットメッセージ ID。 |
| AttachmentData | コレクション (AttachmentDetails) | 電子メールメッセージに添付されたファイルに関する情報。 |
| 受信者 | Collection(Edm.String) | 電子メールメッセージのTo、Cc、Bccフィールドの電子メールアドレス。 |
| 件名 | Edm.String | 電子メールメッセージの件名フィールドのテキスト。 |
| MessageTime | Edm.Date | 電子メールメッセージが送信された日時。 |
| 送信元 | Edm.String | 電子メール メッセージの差出人フィールドのメール アドレス。 |
| 方向性 | Edm.String | 電子メールメッセージの発信ステータス。 |
Enum: AttachmentDetails - 種類: Edm.Int32
AttachmentDetails
| メンバー名 | 型 | 説明 |
|---|---|---|
| FileName | Edm.String | 電子メールメッセージに添付されたファイルの名前。 |
| FileType | Edm.String | 電子メールメッセージに添付されたファイルのファイル拡張子。 |
| SHA256 | Edm.String | 電子メールメッセージに添付されたファイルの SHA-256 ハッシュ。 |
レポート スキーマ
「Office 365 セキュリティ/コンプライアンス センターでの監査ログの検索」 に記載されているレポート イベントは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ModifiedProperties | コレクション (Common.ModifiedProperty) | いいえ | このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
コンプライアンス コネクタ スキーマ
コンプライアンス コネクタ スキーマのイベントは、データ コネクタによってインポートされたアイテムがスキップされるか、ユーザー メールボックスにインポートできなかった場合にトリガーされます。 詳細については、「サードパーティ データのコネクタの詳細」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| JobId | Edm.String | いいえ | これは、データ コネクタの一意の識別子です。 |
| TaskId | Edm.String | いいえ | 周期的なデータ コネクタ インスタンスの一意の識別子。 データ コネクタは、周期的な間隔でデータをインポートします。 |
| JobType | Edm.String | いいえ | データ コネクタの名前。 |
| ItemId | Edm.String | いいえ | インポートするアイテムの一意識別子 (電子メール メッセージなど)。 |
| ItemSize | Edm.Int64 | いいえ | インポートするアイテムのサイズ。 |
| SourceUserId | Edm.String | いいえ | サード パーティのデータ ソースからのユーザーの一意の識別子。 たとえば、Slack データ コネクタの場合、このプロパティは Slack ワークスペースのユーザー ID を指定します。 |
| FailureType | 自身。FailureType | いいえ | データ インポート エラーの種類を示します。 たとえば、incorrectusermappingは、サード パーティのデータ ソースと Microsoft 365の間にユーザー マッピングが見つからなかったため、アイテムがインポートされなかったことを示します。 |
| ResultMessage | Edm.String | いいえ | 重複メッセージなど、エラーの種類を示します。 |
| IsRetry | Edm.Boolean | いいえ | データ コネクタがアイテムのインポートを再試行したかどうかを示します。 |
| 添付ファイル | コレクション。添付ファイル | いいえ | サード パーティのデータ ソースから受信した添付ファイルの一覧。 |
列挙値: FailureType - 型: Edm.Int32
| 値 | メンバー名 |
|---|---|
| 0 | 既定値 |
| 1 | MailboxWrite |
添付ファイル複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileName | Edm.String | いいえ | 添付ファイルの名前。 |
| 詳細 | Edm.String | いいえ | 添付ファイルに関するその他の詳細。 |
SystemSync スキーマ
SystemSync スキーマのイベントは、SystemSync で取り込まれたデータが Data Lake 経由でエクスポートされるか、他のサービス経由で共有されたときにトリガーされます。
DataLakeExportOperationAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DataStoreType | DataStoreType | はい | データのダウンロード元のデータ ストアを示します。 使用可能なすべての値については、DataStoreType を参照してください。 |
| UserAction | DataLakeUserAction | はい | ユーザーがデータ ストアで実行したアクションを示します。 使用可能なすべての値については、DataLakeUserAction を参照してください。 |
| ExportTriggeredAt | Edm.DateTimeOffset | はい | データエクスポートがトリガーされたタイミングを示します。 |
| NameOfDownloadedZipFile | Edm.String | 不要 | 管理者が Data Lake からダウンロードした圧縮ファイルの名前。 |
DataShareOperationAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 招待 | DataShareInvitationType | 不要 | Data Share の受信者に送信された招待の詳細。 |
DataShareInvitationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ShareId | Edm.Guid | はい | Data Share のシステム割り当て識別子。 |
| 招待された人 | Collection(Edm.Guid) | はい | 招待が送信された管理者ユーザーの一覧。 |
| InviteeTenantId | Edm.Guid | はい | 招待の対象となるターゲット テナント。 |
| ShareName | Edm.String | はい | Data Share のシステム割り当て名。 |
| SyncFrequency | Self.SyncFrequency | はい | 共有が確立されると、データが移行先ストレージ アカウントに同期される頻度。 使用可能な値については、「SyncFrequency」を参照してください。 |
| SyncStartTime | Edm.DateTimeOffset | はい | 最初の同期の日時。 |
列挙: SyncFrequency - 型: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | 毎時 | データが 1 時間ごとに同期されることを示します。 |
| 1 | 毎日 | データが 1 日に 1 回同期されることを示します。 |
列挙:DataStoreType - タイプ: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | CanonicalStore | Canonical ストアからデータがダウンロードされることを示します。 |
| 1 | StagingStore | ステージング ストアからデータがダウンロードされることを示します。 |
列挙: DataLakeUserAction - タイプ: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | TriggerExport | 管理者ユーザーが Data Lake からのエクスポートをトリガーしました。 |
| 1 | DownloadZipFile | 管理者ユーザーがエクスポートされたデータをダウンロードしました。 |
MicrosoftGraphDataConnectOperation 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | はい | アプリケーション ID。 |
| ApplicationName | Edm.String | はい | アプリケーションの名前を示す文字列を指定します。 |
| PipelineName | Edm.String | はい | パイプライン名。 |
| PipelineRunId | Edm.Guid | いいえ | このパイプライン実行の ID。 |
| CopyActivityRunId | Edm.Guid | いいえ | ADF コピー アクティビティの ID。 |
| RunStartTime | Edm.Date | はい | 抽出の日時。 |
| RunEndTime | Edm.Date | はい | 抽出の日時。 |
| DatasetName | Edm.String | はい | 抽出されるデータセット名。 |
| DatasetColumns | Edm.String | はい | 抽出される選択した列のセット。 |
| ScopeList | Edm.String | はい | 抽出のスコープ。 |
| ScopeCountRequested | Edm.Int64 | いいえ | この抽出の要求されたスコープ数。 |
| ScopeCountDelivered | Edm.Int64 | いいえ | この抽出の配信されたスコープ数。 |
| UndeliveredScope | Edm.String | いいえ | 抽出の配信解除されたスコープ。 |
| RowCount | Edm.Int64 | いいえ | 抽出された行数。 |
| 状態 | Edm.String | はい | 抽出の状態。 |
| 理由 | Edm.String | いいえ | 失敗した場合のエラー メッセージ。 |
AipDiscover
次の表に、Azure Information Protection (AIP) スキャナー イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | 操作を実行するアプリケーションの ID。 |
| ApplicationName | 操作を実行しているアプリケーションのフレンドリ名。 Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態について説明します。 |
| DeviceName | アクティビティが発生したデバイス。 |
| Id | 現在のレコードの GUID。 |
| IsProtected | 保護されているかどうか: True/False |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 指定できる値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。 |
| ObjectId | ファイルの完全パス (URL)。 SharePoint および OneDrive for Business のアクティビティの場合、ユーザーによりアクセスされるファイルまたはフォルダーの完全パス名。 |
| 操作 | アクセスの種類について説明します。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS) |
| ProcessName | 関連するプロセス名。例: Outlook、msip.app、WinWord。 |
| ProductVersion | AIP クライアントのバージョン。 |
| ProtectionOwner | UPN 形式の Rights Management 所有者。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。 Log RecordType の完全な更新された一覧と完全な説明については、O365 Management API による Microsoft 365 コンプライアンス監査ログ アクティビティに関するブログ記事を参照してください。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| 範囲 | このイベントは、ホストされた O365 サービスまたはオンプレミスのサーバーによって作成されたものですか。 設定できる値は online および onprem です。 SharePoint は現在、オンプレミスから O365 にイベントを送信する唯一のワークロードです。 |
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します。 |
| SensitivityLabelId | 現在の MIP 秘密度ラベル GUID。 cmdlt Get-Label を使用して、GUID の完全な値を取得します。 |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、監査レコードのapp@sharepointユーザーに関するページを参照してください。 |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。 |
| UserType | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください。 0 = 標準 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| バージョン | 操作中のファイルのバージョン ID。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
AipSensitivityLabelAction
次の表に、AIP 秘密度ラベル イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | Microsoft Entra アプリケーション ID に対応します。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。 |
| CreationDate | ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態を指定します。 |
| DeviceName | ユーザーのデバイスの名前。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| IsProtected | 保護されているかどうか: True/False |
| IsProtectedBefore | 変更前にコンテンツが保護されたかどうか: True/False |
| IsValid | ブール型 |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。 |
| ObjectState | オブジェクトの状態を指定します。 |
| 操作 | 監査ログの操作の種類。ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティ の説明: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| PSComputerName | コンピューター名 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は False です。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS)。 |
| ProcessName | MIP SDK をホストするプロセス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 |
AipProtectionAction
| イベント | 説明 |
|---|---|
| PSComputerName | コンピューター名 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は false です。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。 |
| 操作 | 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| ObjectState | 現在のイベントの後の Object の状態。 |
| ApplicationId | アクティビティが発生し、GUID に表示されたアプリケーション。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ProcessName | Office アプリケーションのプロセス名。 |
| プラットフォーム | アクティビティが発生したプラットフォーム。 たとえば、Windows です。 |
| DeviceName | イベントが記録されたデバイス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| Id | 現在のレコードの GUID。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| Operation | ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。 |
| UserType | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください。 0 = 標準 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
| バージョン | 監査アクションを実行した Azure Information Protection クライアントのバージョン |
| 範囲 | スコープを指定します。 |
AipFileDeleted
| イベント | 説明 |
|---|---|
| PSComputerName | コンピューター名 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は false です。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。 |
| 操作 | 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| ObjectState | 現在のイベントの後の Object の状態。 |
| ApplicationId | アクティビティが発生し、GUID に表示されたアプリケーション。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ProcessName | Office アプリケーションのプロセス名。 |
| プラットフォーム | アクティビティが発生したプラットフォーム。 たとえば、Windows です。 |
| DeviceName | イベントが記録されたデバイス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、 監査レコードの app@sharepoint ユーザーに関するページを参照してください。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| Id | 現在のレコードの GUID。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| Operation | ユーザーまたは管理者アクティビティの名前。 一般的な操作/アクティビティの説明については、「Office 365 プロテクション センターでの監査ログの検索」を参照してください。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。 |
| UserType | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください。 0 = 標準 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
| バージョン | 監査アクションを実行した Azure Information Protection クライアントのバージョン |
| 範囲 | スコープを指定します。 |
AipHeartBeat
次の表に、AIP ハートビート イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | Microsoft Entra アプリケーション ID に対応します。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。 |
| CreationDate | ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態を指定します。 |
| DeviceName | ユーザーのデバイスの名前。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| IsProtected | 保護されているかどうか: True/False |
| IsProtectedBefore | 変更前にコンテンツが保護されたかどうか: True/False |
| IsValid | ブール型 |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。 |
| ObjectState | オブジェクトの状態を指定します。 |
| 操作 | 監査ログの操作の種類。ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティについて説明します。 |
| PSComputerName | コンピューター名 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は False です。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS)。 |
| ProcessName | MIP SDK をホストするプロセス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、my_name@my_domain_name。 システム アカウント (SHAREPOINT\system または NT AUTHORITY\SYSTEM など) で実行されるアクティビティのレコードも含まれることに注意してください。 SharePoint では、UserId プロパティの別の値が app@sharepoint に表示されます。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するために必要な アクセス許可が SharePoint に与えられているアプリケーションであることを示しています。 詳細については、監査レコードのapp@sharepointユーザーに関するページを参照してください。 |
| UserType | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、UserType テーブルを参照してください。 0 = 標準 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。 |
MicrosoftGraphDataConnectConsent 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | はい | アプリケーション ID。 |
| ApplicationVersion | Edm.String | はい | アプリケーションのバージョン。 |
| AppRegistrationTenantId | Edm.Guid | はい | アプリケーション登録テナント ID。 |
| 承認 | Edm.String | はい | 承認者のユーザー プリンシパル名。 |
| ApprovalUpdatedDateInUTC | Edm.Date | はい | 更新日時 (UTC)。 |
| ApprovalExpiryDateInUTC | Edm.Date | はい | UTC の有効期限日時。 |
| ApprovalValidDays | Edm.Int32 | はい | 承認が有効になる更新からの日数。 |
| DestinationSinks | Edm.String | はい | 宛先シンク。 |
| DestinationTenantId | Edm.Guid | はい | 移行先のテナント ID。 |
| 理由 | Edm.String | いいえ | 操作を実行した管理者が提供する理由。 |
| 状態コード | Edm.String | はい | 同意の状態。 |
| データセット | CollectionSelf。MGDCDataset | はい | この操作の一環として同意されたデータセットの詳細。 |
複合型 MGDCDataset
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DatasetName | Edm.String | はい | 同意操作のデータセットの名前。 |
| DatasetColumns | Edm.String | はい | 同意操作でのデータセットの列の一覧。 |
| DenyGroups | Edm.String | いいえ | 同意操作のデータセットの拒否グループの一覧。 |
| 範囲 | Edm.String | はい | 同意操作でのデータセットのスコープの種類。 使用可能な値は、All、List、FilterUri です。 |
| ScopeFiltersUris | Edm.String | いいえ | 同意操作のデータセットのスコープ フィルター URI。 |
| ScopeList | Edm.String | いいえ | 同意操作のデータセットのスコープ グループ の一覧。 |
| PrivacyPolicyType | Edm.String | はい | 同意操作のデータセットのプライバシー ポリシーの種類。 使用可能な値は None と DenyList です。 |
スキーマのViva Goals
(共通スキーマに加えて) このスキーマを使用Viva Goals関連するイベントの監査レコード。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 Viva Goalsに関連するイベントとアクティビティのキャプチャの詳細については、「監査ログ アクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Edm.String | いいえ | Viva Goalsで発生したイベントまたはアクティビティの説明。 |
| Username | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
いいえ | イベントをトリガーしたユーザーの名前。 |
| UserRole | Edm.String | いいえ | Viva Goalsでこのイベントをトリガーしたユーザーのロール。 これは、ユーザーがorganization管理者または所有者である場合にメンションされます。 |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
いいえ | イベントがトリガーされたViva Goals内のorganizationの名前。 |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
いいえ | イベントが発生したViva Goalsのorganizationの所有者。 |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
いいえ | イベントが発生したViva Goalsのorganizationの管理者。 organizationには 1 人以上の管理者が存在する場合があります。 |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
いいえ | イベントをトリガーしたユーザーのユーザー エージェント (ブラウザーの詳細)。 システムによって生成されたイベントの場合、UserAgent が存在しない可能性があります。 |
| ModifiedFields | Collection(Common.NameValuePair) | いいえ | 新しい値と古い値と共に変更された属性の一覧は、JSON として出力されます。 |
| ItemDetails | Collection(Common.NameValuePair) | いいえ | 変更されたオブジェクトに関する追加のプロパティ。 |
Microsoft Planner スキーマ
Microsoft Plannerは、共通スキーマの ObjectId と ResultStatus の定義を上書きします。 Microsoft Plannerの ObjectId 定義は、各Microsoft Plannerのレコード型にバインドされ、個別に示されます。
Microsoft Plannerの ResultStatus は次のように定義されます。
Enum: ResultStatus - 型: Edm.Int32
ResultStatus
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | 成功 | ユーザー要求は成功しました。 |
| 2 | 失敗 | 承認以外の理由により、ユーザー要求が失敗しました。 |
| 3 | AuthorizationFailure | 承認が失敗したため、要求されたユーザーは失敗しました。 |
Microsoft Plannerは、次のレコード型を使用して Common スキーマを拡張します。
PlannerPlan レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求されたプランの ID。 |
| ContainerType | 自己。ContainerType | プランに関連付けられているコンテナーの種類。 |
| ContainerId | Edm.String | プランに関連付けられているコンテナーの ID。 |
| SharedWithContainerId | Edm.String | プランへの共有アクセス権を持つコンテナーの ID。 |
| SharedWithContainerType | 自己。ContainerType | プランへの共有アクセス権を持つコンテナーの種類。 |
| SharedWithContainerAccessLevel | 自己。PlanAccessLevel | プランへの共有アクセス権を持つコンテナーに与えられるアクセス レベル。 |
Enum: ContainerType - 型 Edm.Int32
ContainerType
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | Invalid | 要求されたプランが見つからない場合に使用されます。 |
| 2 | グループ | プランは M365 グループに関連付けられています。 |
| 3 | TeamsConversation | プランは Teams の会話に関連付けられています。 |
| 4 | OfficeDocument | プランは Office ドキュメントに関連付けられています。 |
| 5 | ロスター | プランは名簿グループに関連付けられています。 |
| 6 | Project | このプランは Microsoft Project から作成されます。 |
Enum: PlanAccessLevel - 型 Edm.Int32
PlanAccessLevel
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | ReadAccess | プランの読み取りアクセス |
| 2 | ReadWriteAccess | プランへの読み取りと書き込みへのアクセス |
| 3 | FullAccess | プランの読み取り、書き込み、構成へのアクセス |
PlannerCopyPlan レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | コピーするプランの ID。 |
| OriginalPlanId | Edm.String | コピーするプランの ID。 ObjectId と同じです。 |
| OriginalContainerType | 自己。ContainerType | 元のプランに関連付けられているコンテナーの種類。 |
| OriginalContainerId | Edm.String | 元のプランに関連付けられているコンテナーの ID。 |
| NewPlanId | Edm.String | 新しいプランの ID。 操作が失敗した場合は Null。 |
| NewContainerType | 自己。ContainerType | 新しいプランに関連付けられているコンテナーの種類。 |
| NewContainerId | Edm.String | 新しいプランに関連付けられているコンテナーの ID。 |
PlannerTask レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求されたタスクの ID。 |
| PlanId | Edm.String | タスクを含むプランの ID。 |
PlannerRoster レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求された名簿の ID。 |
| MemberIds | Edm.String | メンバー ID のコンマ区切り文字列が名簿に変更されました。 |
PlannerPlanList レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | プランの一覧に対するビュー クエリの表現。 |
| PlanList | Edm.String | クエリされたプラン ID のコンマ区切りの文字列。 |
PlannerTaskList レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | タスクの一覧に対するビュー クエリの表現。 |
| PlanList | Edm.String | クエリされたタスク ID のコンマ区切りの文字列。 |
PlannerTenantSettings レコードの種類
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | JSON の元のテナント設定。 |
| TenantSettings | Edm.String | JSON の新しいテナント設定。 |
PlannerRosterSensitivityLabel レコード型
| Properties | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 秘密度ラベルの ID。 秘密度ラベルが削除された場合は Null。 |
| ロスター | Edm.String | 秘密度ラベルが変更される名簿の ID。 |
| AssignmentMethod | 自己。SensitivityLabelAssignmentMethod | 秘密度ラベルの割り当て方法。 |
Enum: SensitivityLabelAssignmentMethod - 型 Edm.Int32
SensitivityLabelAssignmentMethod
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | 標準 | 秘密度ラベルは自動的に適用されますが、特権ラベルの割り当てをオーバーライドすることはできません。 |
| 1 | 特権 | 秘密度ラベルは、ユーザーまたは管理者によって手動で適用されます。 |
| 2 | Auto | 秘密度ラベルは自動的に適用され、特権ラベルの割り当てをオーバーライドできます。 |
Microsoft Project for the web スキーマ
Microsoft Project For The Web では、次のレコードの種類を使用して 共通スキーマ が拡張されます。
ProjectForThewebProject レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectId | Edm.Guid | いいえ | 監査対象のプロジェクトの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | いいえ | 追加情報。 |
ProjectForThewebTask レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectId | Edm.Guid | はい | 監査対象のプロジェクトの ID。 |
| TaskId | Edm.Guid | はい | 監査対象のタスクの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | いいえ | 追加情報。 |
ProjectForThewebRoadmap レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| RoadmapId | Edm.Guid | はい | 監査対象のロードマップの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | いいえ | 追加情報。 |
ProjectForThewebRoadmapItem レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | はい | 監査対象のロードマップ 項目の ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | いいえ | 追加情報。 |
複合型 AdditionalInfo
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EnvironmentName | Edm.String | いいえ | アクションが実行された環境の ID。 |
ProjectForThewebProjectSetting レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | はい | Project for the webに設定された値 (1= 有効、0 が無効)。 |
ProjectForThewebRoadampSetting レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| ロードマップEnabled | Edm.Boolean | はい | ロードマップに設定された値 (1= が有効、0 が無効)。 |
ProjectForThewebAssignedToMeSetting レコードの種類
| Properties | Type | 必須かどうか? | 説明 |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | はい | AssignedToMe に設定された値 (1= が有効、0 が無効)。 |
パルス スキーマのViva
Viva Pulse に関連するイベントの監査レコードでは、(共通スキーマに加えて) このスキーマが使用されます。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 Viva Pulse に関連するイベントとアクティビティのキャプチャの詳細については、「監査ログ アクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventName | Edm.String | いいえ | Viva Pulse で発生したイベントまたはアクティビティの説明。 |
| PulseId | Edm.String | いいえ | パルス調査の ID。 |
| EventDetails | Collection(Common.NameValuePair) | いいえ | イベントに関するその他のプロパティ。 |
VivaPulse イベントの中には、EventDetails のさまざまなプロパティを記録するものもあります。 EventDetail に記録された各プロパティについては、表を参照してください。
| EventName | PropertName | 説明 |
|---|---|---|
| PulseReportShare | 受信者 | パルス調査を共有する受信者 ID の一覧。 |
| PulseCreate | 受信者 | spcified パルス調査の参加者であるユーザー ID の一覧。 |
| PulseInvite | 受信者 | さらにパルスに招待されたユーザー ID の一覧。 |
| PulseTenantSettingsUpdate | TenantSettingName | 設定名を変更しました。 |
| PulseSubmit | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseExtendDeadline | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseCancel | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseCreateDraft | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseDeleteDraft | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseDeleteUserData | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
Compliance Manager スキーマ
Microsoft Purview Compliance Manager に関連するイベントの監査レコードでは、(共通スキーマに加えて) このスキーマが使用 されます。 コンプライアンス ポータルから監査ログを検索する方法の詳細については、「 セキュリティ & コンプライアンス センターで監査ログを検索する」を参照してください。 コンプライアンス マネージャーに関連するイベントとアクティビティのキャプチャの詳細については、「 監査ログ アクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Collection(SettingsChange) | いいえ | Microsoft Purview コンプライアンス マネージャーで発生したイベントの説明。 |
さまざまな操作の詳細の SettingsChange プロパティによって取得される値については、次の表を参照してください。
| 操作名 | PropertyName | 説明 |
|---|---|---|
| すべての操作 | 名前 | コンプライアンス マネージャー操作に関連する設定の名前 |
| すべての操作 | NewValue | 新しい設定の新しい値。 |
| すべての操作 | OriginalValue | 新しい設定の元の値。 |
ご注意ください -
- ロールの変更の場合、名前はロールの種類になります
- 監査レコードには、ユーザーにロールが割り当てられたり、ロールが取り消されたりするなど、イベントの変更が反映されます
- 元の値と新しい値には、ロールが変更されたユーザーのメールが含まれます
- ロールに変更がない場合、そのロールの種類は監査レコードに存在しません。
バックアップ ポリシー スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyID | Edm.String | はい | ポリシーの ID。 |
| EditMethodology | Edm.String | いいえ | ポリシーの作成方法/編集方法。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | いいえ | 追加される成果物の数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | いいえ | 削除される成果物の数。 |
| ServiceType | Edm.String | いいえ | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
タスク スキーマの復元
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| TaskID | Edm.String | はい | 復元タスクの ID。 |
| CreationMethodology | Edm.String | いいえ | 復元タスクの作成/編集方法。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | いいえ | 追加される成果物の数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | いいえ | 削除される成果物の数。 |
| ServiceType | Edm.String | いいえ | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
アイテム スキーマの復元
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RestoreTime | Edm.DateTime | はい | アイテムの復元先の時刻。 |
| RestoreLocationType | Edm.String | はい | アイテムの復元先の場所の種類。 |
| RestoreLocation | Edm.String | いいえ | アイテムが復元される場所。 |
| TaskID | Edm.String | はい | 復元タスクの ID。 |
| BackupItemID | Edm.String | はい | 復元するバックアップ項目の ID。 |
| ProtectionUnitID | Edm.String | はい | 復元される項目の保護ユニット ID。 |
| SuccessStatus | Edm.String | いいえ | 復元操作が成功したかどうか。 |
| BackupItemType | Edm.String | はい | バックアップ項目がサイト/アカウント/メールボックスであるかどうか。 |
| ServiceType | Edm.String | いいえ | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
バックアップ項目スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyID | Edm.String | はい | 項目が追加されるポリシーのポリシー ID。 |
| ItemID | Edm.String | はい | バックアップ項目の ID。 |
| ProtectionUnitID | Edm.String | はい | バックアップするアイテムの保護ユニット ID。 |
| ResultStatus | Edm.String | いいえ | 復元操作が成功したかどうか。 |
| BackupItemType | Edm.String | はい | バックアップ項目がサイト/アカウント/メールボックスであるかどうか。 |
| EditMethodology | Edm.String | いいえ | バックアップ項目を追加する方法。 |
| ServiceType | Edm.String | いいえ | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |