Pesquisar o log de auditoria de eventos no Microsoft Teams

Importante

O centro de administração do Microsoft Teams está substituindo gradualmente o centro de administração do Skype for Business e estamos migrando as configurações do Teams do centro de administração do Microsoft 365 para ele. Se uma configuração tiver sido migrada, você receberá uma notificação e será direcionado para o local da configuração no centro de administração do Teams. Para saber mais, confira Gerenciar o Teams durante a transição para o centro de administração do Teams.

O log de auditoria pode ajudá-lo a investigar atividades específicas nos serviços do Microsoft 365. Para o Microsoft Teams, aqui estão algumas das atividades auditadas:

  • Criação de equipes
  • Exclusão de equipes
  • Canal adicionado
  • Canal excluído
  • Configuração de canal alterada

Para obter uma lista completa das atividades do Teams auditadas, consulte atividades do Teams e Turnos nas atividades do Teams.

Observação

Eventos de auditoria de canais privados também são registrados como são para equipes e canais padrão.

Ativar a auditoria no Microsoft Teams

Antes de examinar os dados de auditoria, você precisa primeiro ativar a auditoria no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Ativar ou desativar a auditoria.

Importante

Os dados de auditoria só estão disponíveis a partir do ponto em que você ativou a auditoria.

Recuperar dados do Microsoft Teams a partir do log de auditoria

  1. Para recuperar logs de auditoria para atividades do Teams, acesse e https://compliance.microsoft.com selecione Auditoria.

  2. Na página Pesquisar , filtre as atividades, as datas e os usuários que você deseja auditar.

  3. Exporte os resultados para o Excel para analisá-los melhor.

Para obter instruções passo a passo, consulte Pesquisar o log de auditoria no centro de conformidade.

Importante

Os dados de auditoria só serão visíveis no log de auditoria se a auditoria estiver ativada.

O período em que um registro de auditoria é retido e pesquisável no log de auditoria depende da sua assinatura do Microsoft 365 ou Office 365 e, especificamente, do tipo de licença atribuída aos usuários. Para saber mais, confira a descrição do serviço & Centro de Conformidade.

Dicas para pesquisar o log de auditoria

Aqui estão dicas para pesquisar atividades do Teams no log de auditoria.

Captura de tela da página de pesquisa de log de auditoria no centro de conformidade

  • Você pode selecionar atividades específicas para pesquisar clicando na caixa de seleção ao lado de uma ou mais atividades. Se uma atividade estiver selecionada, você poderá clicar nela para cancelar a seleção. Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave digitada.

    Captura de tela da lista suspensa de atividades na página de pesquisa de log de auditoria

  • Para exibir eventos para atividades executadas usando cmdlets, selecione Mostrar resultados de todas as atividades na lista Atividades . Se você souber o nome da operação para essas atividades, digite-a na caixa de pesquisa para exibir a atividade e selecione-a.

  • Para limpar os critérios de pesquisa atuais, clique em Limpar tudo. O intervalo de datas retorna ao padrão dos últimos sete dias.

  • Se 5.000 resultados forem encontrados, você provavelmente poderá supor que há mais de 5.000 eventos que atenderam aos critérios de pesquisa. Você pode refinar os critérios de pesquisa e executar novamente a pesquisa para retornar menos resultados ou exportar todos os resultados da pesquisa selecionando Exportar > Baixar todos os resultados. Para obter instruções passo a passo para exportar logs de auditoria, consulte Exportar os resultados da pesquisa para um arquivo.

Confira este vídeo para usar a pesquisa de log de áudio. Junte-se a Ansuman Acharya, gerente de programa do Teams, pois ele demonstra como fazer uma pesquisa de log de auditoria para o Teams.

Atividades do Teams

Aqui está uma lista de todos os eventos registrados para atividades de usuário e administrador no Teams no log de auditoria do Microsoft 365. A tabela inclui o nome amigável exibido na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV quando você exporta os resultados da pesquisa.

Nome amigável Operação Descrição
Bot adicionado à equipe BotAddedToTeam Um usuário adiciona um bot a uma equipe.
Canal adicionado ChannelAdded Um usuário adiciona um canal a uma equipe.
Conector adicionado ConnectorAdded Um usuário adiciona um conector a um canal.
Detalhes adicionados sobre a reunião 2 do Teams MeetingDetail O Teams adicionou informações sobre uma reunião, incluindo a hora de início, a hora de término e a URL para ingressar na reunião.
Adicionadas informações sobre os participantes da reunião 2 MeetingParticipantDetail O Teams adicionou informações sobre os participantes de uma reunião, incluindo a ID de usuário de cada participante, a hora em que um participante ingressou na reunião e a hora em que um participante saiu da reunião.
Membros adicionados MemberAdded Um proprietário de equipe adiciona membros a uma equipe, canal ou chat em grupo.
Guia Adicionada TabAdded Um usuário adiciona uma guia a um canal.
Configuração de canal alterada ChannelSettingChanged A operação ChannelSettingChanged é registrada quando as atividades a seguir são executadas por um membro da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o nome de um canal de equipe (nome do canal)
  • Altera a descrição de um canal de equipe (descrição do canal)
Configuração da organização alterada TeamsTenantSettingChanged A operação TeamsTenantSettingChanged é registrada quando as atividades a seguir são executadas por um administrador global no Centro de administração do Microsoft 365. Essas atividades afetam as configurações do Teams em toda a organização. Para saber mais, confira Gerenciar configurações do Teams para sua organização.
Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Habilita ou desabilita o Teams para a organização (Microsoft Teams).
  • Habilita ou desabilita a interoperabilidade entre o Microsoft Teams e Skype for Business para a organização (Skype for Business interoperabilidade).
  • Habilita ou desabilita a exibição de organograma nos clientes do Microsoft Teams (modo de exibição de organograma).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões privadas (agendamento de reunião privada).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões de canal (agendamento de reunião do canal).
  • Habilita ou desabilita chamadas de vídeo em reuniões do Teams (vídeo para reuniões do Skype).
  • Habilita ou desabilita o compartilhamento de tela em reuniões do Microsoft Teams para a organização (Compartilhamento de tela para reuniões do Skype).
  • Habilita ou desabilita essa capacidade de adicionar imagens animadas (chamadas Giphys) às conversas do Teams (imagens animadas).
  • Altera a configuração de classificação de conteúdo para a organização (classificação de conteúdo). A classificação de conteúdo restringe o tipo de imagem animada que pode ser exibida em conversas.
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens personalizáveis (chamadas de memes personalizados) da Internet às conversas da equipe (imagens personalizáveis da Internet).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens editáveis (chamadas de adesivos) às conversas da equipe (imagens editáveis).
  • Habilita ou desabilita essa capacidade para os membros da equipe usarem bots em chats e canais do Microsoft Teams (bots em toda a organização).
  • Habilita bots específicos para o Microsoft Teams. Isso não inclui o T-Bot, que é o bot de ajuda do Teams que está disponível quando os bots estão habilitados para a organização (bots individuais).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar extensões ou guias (extensões ou guias).
  • Habilita ou desabilita o sideload de bots proprietários para o Microsoft Teams (sideload de bots).
  • Habilita ou desabilita a capacidade de os usuários enviarem mensagens de email para um canal do Microsoft Teams (email do canal).
Função alterada de membros na equipe MemberRoleChanged Um proprietário de equipe altera a função de membros em uma equipe. Os valores a seguir indicam o tipo de função atribuído ao usuário.

1 - Indica a função Membro.
2 – Indica a função Proprietário.
3 - Indica a função Convidado.

A propriedade Members também inclui o nome da sua organização e o endereço de email do membro.
Configuração da equipe alterada TeamSettingChanged A operação TeamSettingChanged é registrada quando as atividades a seguir são executadas por um proprietário de equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o tipo de acesso de uma equipe. As equipes podem ser definidas como privadas ou públicas (tipo de acesso de equipe). Quando uma equipe é privada (a configuração padrão), os usuários podem acessar a equipe somente por convite. Quando uma equipe é pública, ela é detectável por qualquer pessoa.
  • Altera a classificação de informações de uma equipe (classificação de equipe). Por exemplo, os dados da equipe podem ser classificados como alto impacto nos negócios, impacto médio nos negócios ou baixo impacto nos negócios.
  • Altera o nome de uma equipe (nome da equipe).
  • Altera a descrição da equipe (descrição da equipe).
  • Alterações feitas nas configurações da equipe. Para acessar essas configurações, um proprietário da equipe pode clicar com o botão direito do mouse em uma equipe, selecionar Gerenciar equipe e, em seguida, clicar na guia Configurações . Para essas atividades, o nome da configuração que foi alterada é exibido na coluna Item nos resultados da pesquisa de log de auditoria.
Criou um chat 1, 2 ChatCreated Um chat do Teams foi criado.
Equipe criada TeamCreated Um usuário cria uma equipe.
Uma mensagem excluída MessageDeleted Uma mensagem em um chat ou canal foi excluída.
Todos os aplicativos da organização excluídos DeletedAllOrganizationApps Todos os aplicativos da organização foram excluídos do catálogo.
Aplicativo excluído AppDeletedFromCatalog Um aplicativo foi excluído do catálogo.
Canal excluído ChannelDeleted Um usuário exclui um canal de uma equipe.
Equipe excluída TeamDeleted Um proprietário de equipe exclui uma equipe.
Editou uma mensagem com um link de URL no Teams MessageEditedHasLink Um usuário edita uma mensagem e adiciona um link de URL a ela no Teams.
Mensagens exportadas 1, 2 MessagesExported Mensagens de chat ou canal foram exportadas.
Falha ao validar o convite para o canalcompartilhado 3 FailedValidation Um usuário responde a um convite para um canal compartilhado, mas a validação do convite falhou.
Chat buscado 1, 2 ChatRetrieved Um chat do Microsoft Teams foi recuperado.
Buscado todo o conteúdo hospedado de uma mensagem1, 2 MessageHostedContentsListed Todo o conteúdo hospedado em uma mensagem, como imagens ou snippets de código, foi recuperado.
Aplicativo instalado AppInstalled Um aplicativo foi instalado.
Ação executada no cartão PerformedCardAction Um usuário tomou medidas em um cartão adaptável dentro de um chat. Cartões adaptáveis normalmente são usados por bots para permitir a exibição avançada de informações e interação em chats.

Nota: Somente ações de entrada embutidas em um cartão adaptável dentro de um chat estarão disponíveis no log de auditoria. Por exemplo, quando um usuário envia uma resposta de votação em uma conversa de canal em um cartão adaptável gerado por um bot de Votação. Ações do usuário, como "Exibir resultado", que abrirão uma caixa de diálogo ou ações do usuário dentro de caixas de diálogo não estarão disponíveis no log de auditoria.
Postou uma nova mensagem 1, 2 MessageSent Uma nova mensagem foi postada em um chat ou canal.
Aplicativo publicado AppPublishedToCatalog Um aplicativo foi adicionado ao catálogo.
Ler uma mensagem 1, 2 MessageRead Uma mensagem de um chat ou canal foi recuperada.
Ler o conteúdo hospedado de uma mensagem 1, 2 MessageHostedContentRead O conteúdo hospedado em uma mensagem, como uma imagem ou um snippet de código, foi recuperado.
Bot removido da equipe BotRemovedFromTeam Um usuário remove um bot de uma equipe.
Conector removido ConnectorRemoved Um usuário remove um conector de um canal.
Membros removidos MemberRemoved Um proprietário da equipe remove membros de uma equipe, canal ou chat em grupo.
Compartilhamento removido do canalde equipe 3 Compartilhamento Encerrado Um proprietário de equipe ou canal desabilitou o compartilhamento de um canal compartilhado.
Compartilhamento restaurado do canalde equipe 3 SharingRestored Um proprietário de equipe ou canal reabilitou o compartilhamento para um canal compartilhado.
Guia Removida TabRemoved Um usuário remove uma guia de um canal.
Resposta ao convite para o canalcompartilhado 3 InviteeResponded Um usuário respondeu a um convite de canal compartilhado.
Resposta à resposta do convidado para o canalcompartilhado 3 ChannelOwnerResponded Um proprietário do canal respondeu a uma resposta de um usuário que respondeu a um convite de canal compartilhado.
Mensagens recuperadas 1, 2 MessagesListed As mensagens de um chat ou canal foram recuperadas.
Enviou uma mensagem com um link de URL no Teams MessageCreatedHasLink Um usuário envia uma mensagem contendo um link de URL no Teams.
Notificação de alteração enviada para criação de mensagem 1, 2 MessageCreatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma nova mensagem.
Notificação de alteração enviada para exclusão de mensagem 1, 2 MessageDeletedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem excluída.
Notificação de alteração enviada para atualização de mensagem 1, 2 MessageUpdatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem atualizada.
Convite enviado para o canalcompartilhado 3 InviteSent Um proprietário ou membro do canal envia um convite para um canal compartilhado. Os convites para canais compartilhados poderão ser enviados para pessoas de fora da sua organização se a política de canal estiver configurada para compartilhar o canal com usuários externos.
Assinar notificações de alteração de mensagem 1, 2 SubscribedToMessages Uma assinatura foi criada por um aplicativo ouvinte para receber notificações de alteração para mensagens.
Aplicativo desinstalado AppUninstalled Um aplicativo foi desinstalado.
Aplicativo atualizado AppUpdatedInCatalog Um aplicativo foi atualizado no catálogo.
Atualização de um chat 1, 2 ChatUpdated Um chat do Teams foi atualizado.
Atualização de uma mensagem 1, 2 MessageUpdated Uma mensagem de um chat ou canal foi atualizada.
Conector atualizado ConnectorUpdated Um usuário modificou um conector em um canal.
Guia Atualizado TabUpdated Um usuário modificou uma guia em um canal.
Aplicativo atualizado AppUpgraded Um aplicativo foi atualizado para sua versão mais recente no catálogo.
Usuário conectado ao Teams TeamsSessionStarted Um usuário entra em um cliente do Microsoft Teams. Esse evento não captura atividades de atualização de token.

Observação

1 Um registro de auditoria para esse evento é registrado somente quando a operação é executada chamando um microsoft API do Graph. Se a operação for executada no cliente do Teams, um registro de auditoria não será registrado
2 Este evento só está disponível em Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que esses eventos sejam registrados no log de auditoria. Para obter mais informações sobre as atividades disponíveis somente em Auditoria (Premium), consulte Auditoria (Premium) no Microsoft Purview. Para requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
3 Este evento está em versão prévia pública.

Turnos nas atividades do Teams

(em visualização)

Se sua organização estiver usando o aplicativo Turnos no Teams, você poderá pesquisar no log de auditoria atividades relacionadas ao aplicativo Shifts. Aqui está uma lista de todos os eventos registrados para atividades de Turnos no Teams no log de auditoria do Microsoft 365.

Nome amigável Operação Descrição
Grupo de agendamento adicionado ScheduleGroupAdded Um usuário adiciona com êxito um novo grupo de agendamento ao agendamento.
Grupo de agendamento editado ScheduleGroupEdited Um usuário edita com êxito um grupo de agendamento.
Grupo de agendamento excluído ScheduleGroupDeleted Um usuário exclui com êxito um grupo de agendamento do agendamento.
Agenda retirou ScheduleWithdrawn Um usuário retira com êxito uma agenda publicada.
Turno adicionado ShiftAdded Um usuário adiciona um turno com êxito.
Turno editado ShiftEdited Um usuário edita com êxito um turno.
Turno excluído ShiftDeleted Um usuário exclui com êxito um turno.
Folga adicionada TimeOffAdded Um usuário adiciona folga com êxito ao agendamento.
Folga editada TimeOffEdited Um usuário edita com êxito o tempo limite.
Folga excluída TimeOffDeleted Um usuário exclui com êxito o tempo limite.
Turno aberto adicionado OpenShiftAdded Um usuário adiciona com êxito um turno aberto a um grupo de agendamento.
Turno aberto editado OpenShiftEdited Um usuário edita com êxito um turno aberto em um grupo de agendamento.
Turno aberto excluído OpenShiftDeleted Um usuário exclui com êxito um turno aberto de um grupo de agendamento.
Agenda compartilhada ScheduleShared Um usuário compartilhou com êxito uma agenda de equipe para um intervalo de datas.
Relógio no uso do Relógio ClockedIn Um usuário relógios com êxito usando o relógio de hora.
Relógio de saída usando o relógio de hora ClockedOut Um usuário sai com êxito usando o relógio de hora.
Interrupção iniciada usando o relógio de hora BreakStarted Um usuário inicia com êxito uma interrupção durante uma sessão de relógio de hora ativa.
Interrupção encerrada usando o relógio de hora BreakEnded Um usuário encerra com êxito uma interrupção durante uma sessão de relógio de hora ativa.
Entrada de relógio de hora adicionada TimeClockEntryAdded Um usuário adiciona com êxito uma nova entrada manual de relógio de hora no Time Sheet.
Entrada de relógio de hora editada TimeClockEntryEdited Um usuário edita com êxito uma entrada de relógio de hora no Time Sheet.
Entrada de relógio de hora excluída TimeClockEntryDeleted Um usuário exclui com êxito uma entrada de relógio de hora no Time Sheet.
Solicitação de turno adicionada RequestAdded Um usuário adicionou uma solicitação de turno.
Resposta à solicitação de deslocamento RequestRespondedTo Um usuário respondeu a uma solicitação de turno.
Solicitação de turno cancelada RequestCancelled Um usuário cancelou uma solicitação de turno.
Configuração de agenda alterada ScheduleSettingChanged Um usuário altera uma configuração nas configurações de Turnos.
Integração de força de trabalho adicionada WorkforceIntegrationAdded O aplicativo Shifts é integrado a um sistema de terceiros.
Mensagem de deslocamento aceita OffShiftDialogAccepted Um usuário reconhece a mensagem de folga para acessar o Teams após o horário de turno.

API Office 365 de Atividade de Gerenciamento do Office 365

Você pode usar a API Office 365 de Atividade de Gerenciamento para recuperar informações sobre eventos do Teams. Para saber mais sobre o esquema da API da Atividade de Gerenciamento para o Teams, consulte o esquema do Teams.

Atribuição nos logs de auditoria do Teams

As alterações de associação ao Teams (como usuários adicionados ou excluídos) feitas por meio do Azure Active Directory (Azure AD), do portal de administração do Microsoft 365 ou do Grupos do Microsoft 365 API do Graph aparecerão nas mensagens de auditoria do Teams e no canal Geral com uma atribuição a um proprietário existente da equipe, e não ao iniciador real da ação. Nesses cenários, consulte Azure AD logs de auditoria do Grupo do Microsoft 365 para ver as informações relevantes.

Usar o Defender para Aplicativos de Nuvem para definir políticas de atividade

Usando Microsoft Defender para Aplicativos de Nuvem integração, você pode definir políticas de atividade para impor uma ampla variedade de processos automatizados usando as APIs do provedor de aplicativos. Essas políticas permitem monitorar atividades específicas realizadas por vários usuários ou seguir taxas inesperadamente altas de um determinado tipo de atividade.

Depois de definir uma política de detecção de atividade, ela começa a gerar alertas. Os alertas só são gerados em atividades que ocorrem depois que você cria a política. Aqui estão alguns cenários de exemplo de como você pode usar políticas de atividade no Defender para Aplicativos de Nuvem para monitorar as atividades do Teams.

Cenário de usuário externo

Um cenário no qual talvez você queira ficar atento, de uma perspectiva de negócios, é a adição de usuários externos ao seu ambiente do Teams. Se os usuários externos estão habilitados, monitorar sua presença é uma boa ideia. Você pode usar o Defender para Aplicativos de Nuvem para identificar possíveis ameaças.

Política para monitorar a adição de usuários externos.

A captura de tela dessa política para monitorar a adição de usuários externos permite nomear a política, definir a severidade de acordo com suas necessidades de negócios, defini-la como (nesse caso) uma única atividade e, em seguida, estabelecer os parâmetros que monitorarão especificamente apenas a adição de usuários não internos e limitar essa atividade ao Teams.

Os resultados dessa política podem ser exibidos no log de atividades:

Eventos disparados pela política de usuários externos.

Aqui, você pode examinar as correspondentes à política que definiu e fazer os ajustes conforme necessário ou exportar os resultados a serem usado em outro lugar.

Cenário de exclusão em massa

Conforme mencionado anteriormente, você pode monitorar cenários de exclusão. É possível criar uma política que monitora a exclusão em massa de sites do Teams. Neste exemplo, uma política baseada em alerta é configurada para detectar a exclusão em massa de equipes em um período de 30 minutos.

Política mostrando a configuração de uma política para detecção de exclusão em massa da equipe.

Como mostra a captura de tela, você pode definir muitos parâmetros diferentes para essa política para monitorar exclusões do Teams, incluindo severidade, ação única ou repetida e parâmetros que limitam isso ao Teams e à exclusão do site. Isso pode ser feito independentemente de um modelo ou você pode ter um modelo criado para basear essa política, dependendo de suas necessidades organizacionais.

Depois de estabelecer uma política que funcione para sua empresa, você pode examinar os resultados no log de atividades à medida que os eventos são disparados:

Captura de tela de eventos disparados por exclusões em massa.

Você pode filtrar até a política definida para ver os resultados dessa política. Se os resultados que você está obtendo no log de atividades não forem satisfatórios (talvez você esteja vendo muitos resultados ou nada), isso poderá ajudá-lo a ajustar a consulta para torná-la mais relevante para o que você precisa fazer.

Cenário de alerta e governança

Você pode definir alertas e enviar emails para administradores e outros usuários quando uma política de atividade é disparada. Você pode definir ações de governança automatizadas, como suspender um usuário ou fazer com que um usuário entre novamente de maneira automatizada. Este exemplo mostra como uma conta de usuário pode ser suspensa quando uma política de atividade é disparada e determina que um usuário excluiu duas ou mais equipes em 30 minutos.

Captura de tela de alertas e ações de governança para uma política de atividade.

Usar o Defender para Aplicativos de Nuvem para definir políticas de detecção de anomalias

As políticas de detecção de anomalias no Defender para Aplicativos de Nuvem fornecem UEBA (análise comportamental de entidade e usuário) e ML (machine learning) integradas para que você possa executar imediatamente a detecção avançada de ameaças em seu ambiente de nuvem. Como elas são habilitadas automaticamente, as novas políticas de detecção de anomalias fornecem resultados imediatos fornecendo detecções imediatas, direcionando várias anomalias comportamentais em seus usuários e computadores e dispositivos conectados à sua rede. Além disso, as novas políticas expõem mais dados do mecanismo de detecção do Defender para Aplicativos de Nuvem, para ajudá-lo a acelerar o processo de investigação e a conter ameaças contínuas.

Estamos trabalhando para integrar eventos do Teams às políticas de detecção de anomalias. Por enquanto, você pode configurar políticas de detecção de anomalias para outros produtos do Office e executar itens de ação em usuários que correspondem a essas políticas.