Compartilhar via


Esquema da API da Atividade de Gerenciamento do Office 365

O esquema da API de Atividade de Gestão de Office 365 é fornecido como um serviço de dados em duas camadas:

  • Esquema comum. A interface para acessar os principais conceitos de auditoria do Office 365, como Tipo de registro, Hora de criação, Tipo de usuário e Ação, além de fornecer dimensões principais (como ID de usuário), especificações do local (como endereço IP do cliente) e propriedades específicas do serviço (como ID de objeto). Ele estabelece exibições uniformes e consistentes para os usuários extraírem todos os dados de auditoria do Office 365 em algumas exibições de nível superior com os parâmetros apropriados e fornece um esquema fixo para todas as fontes de dados, o que reduz significativamente o custo do aprendizado. O esquema Comum é originado de dados de produto que pertencem a cada equipe de produto, como o Exchange, o SharePoint, o Azure Active Directory, o Yammer e o OneDrive for Business. O campo ID de objeto pode ser estendido por equipes de produtos do Microsoft 365 para adicionar propriedades específicas do serviço.

  • Esquema específico do serviço. Criado sobre o esquema comum para fornecer um conjunto de atributos específicos do serviço do Microsoft 365; por exemplo, esquema do SharePoint, esquema do OneDrive for Business e esquema de administração do Exchange.

Esquemas da API de Gerenciamento do Office 365

Este artigo fornece detalhes sobre o esquema Comum, bem como esquemas específicos do serviço. A tabela a seguir descreve os esquemas disponíveis.

Nome do esquema Descrição
Esquema Comum O modo de exibição para extrair o Tipo de registro, ID de usuário, IP do cliente, Tipo de usuário e Ação junto com as dimensões principais, como propriedades do usuário (como UserID), propriedades do local (como IP do cliente) e propriedades específicas do serviço (como ID de objeto).
Esquema copilot Os eventos incluem como e quando interagir com o Copilot, no qual o serviço do Microsoft 365 ocorreu, e referências aos ficheiros armazenados no Microsoft 365 que foram acedidos durante a interação.
Esquema Base do SharePoint Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do SharePoint.
Operações de Arquivos do SharePoint Estende o esquema Base do SharePoint com as propriedades específicas do acesso e manipulação de arquivos no SharePoint.
Listar Operações do Sharepoint Estende o esquema Base do SharePoint com as propriedades específicas para interações com listas e itens de lista no SharePoint Online.
Esquema de compartilhamento do SharePoint Estende o esquema Base do SharePoint com as propriedades específicas do compartilhamento de arquivos.
Esquema do SharePoint Estende o esquema Base do SharePoint com as propriedades específicas do SharePoint, mas não está relacionado ao acesso e manipulação de arquivos.
Esquema do Project Estende o esquema Base do SharePoint com as propriedades específicas do Project.
Esquema de administração do Exchange Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do Exchange.
Esquema de caixa de correio do Exchange Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria da caixa de correio do Exchange.
Esquema de Autenticação OWA Expande o esquema Comum com as propriedades específicas dos dados da Autenticação OWA.
esquema base do Microsoft Entra ID Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra.
Microsoft Entra esquema de início de sessão da conta Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão Microsoft Entra.
Microsoft Entra ID esquema de Início de Sessão STS Seguro Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão do Serviço de Token Seguro (STS) Microsoft Entra ID.
Microsoft Entra esquema Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra.
Esquema DLP Estende o esquema Comum com as propriedades específicas de Eventos de Prevenção Contra Perda de Dados.
Esquema do Centro de Conformidade e Segurança Estende o esquema Comum com as propriedades específicas de todos os Eventos do Centro de Conformidade e Segurança.
Esquema de Alertas de Conformidade e Segurança Estende o esquema Comum com as propriedades específicas de todos os alertas de conformidade e segurança do Office 365.
Esquema do Yammer Estende o esquema Comum com as propriedades específicas de todos os eventos do Yammer.
Esquema Base de Segurança do Data Center Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria de segurança do data center.
Esquema Cmdlet de Segurança do Data Center Estende o esquema Base de Segurança do Data Center com as propriedades específicas de todos os dados de auditoria do cmdlet de segurança do datacenter.
Esquema do Microsoft Teams Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Teams.
Microsoft Defender para Office 365 e esquema de Investigação e Resposta a Ameaças Estende o esquema Comum com as propriedades específicas do Defender for Office 365 e investigação de ameaças e dados de resposta.
Esquema de envio Estende o Esquema Comum com as propriedades específicas para envios de usuário e administrador no Microsoft Defender para Office 365.
Esquema de eventos de investigação e resposta automatizadas Estende o esquema Comum com as propriedades específicas para os eventos de investigação e resposta (AIR) automatizados do Office 365. Para ver um exemplo, consulte o blog da Comunidade de Tecnologia: Melhore a eficácia do seu SOC com o Microsoft Defender para Office 365 e a API de gerenciamento do O365.
Esquema de eventos de higiene Estende o esquema Comum com as propriedades específicas para eventos na Proteção do Exchange Online e no Microsoft Defender para Office 365.
Esquema do Power BI Estende o esquema Comum com as propriedades específicas de todos os eventos do Power BI.
Esquema do Dynamics 365 Estende o esquema Comum com as propriedades específicas dos eventos do Dynamics 365.
Esquema do Workplace Analytics Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Workplace Analytics.
Esquema de quarentena Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena.
Esquema do Microsoft Forms Estende o esquema Comum com as propriedades específicas a todos os eventos do Microsoft Forms.
Esquema de rótulos MIP Estende o esquema comum com as propriedades específicas a rótulos de sensibilidade aplicados manualmente ou automaticamente às mensagens de email.
Esquema de eventos do portal de mensagens criptografadas Estende o esquema Comum com as propriedades específicas do portal de mensagens criptografadas acessadas por destinatários externos.
Esquema de conformidade de comunicações do Exchange Estende o esquema comum com as propriedades específicas para o modelo de linguagem ofensiva de conformidade de comunicações.
Esquema de relatórios Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena.
Esquema do conector de conformidade Estende o esquema Comum com as propriedades específicas para importar dados que não são da Microsoft usando conectores de dados.
Esquema SystemSync Estende o esquema Comum com as propriedades específicas dos dados ingeridos por meio do SystemSync.
Viva Goals esquema Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Goals.
Microsoft Planner esquema Expande o esquema Comum com as propriedades específicas para Microsoft Planner eventos.
Esquema do Microsoft Project para a Web Expande o esquema Comum com as propriedades específicas dos eventos Web do Microsoft Project For The.
esquema Viva Pulse Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Pulse.
Esquema do Gestor de Conformidade Expande o esquema comum com as propriedades específicas dos eventos do Gestor de Conformidade.
Esquema de Política de Cópia de Segurança Expande o esquema Comum com as propriedades específicas para políticas de Backup do Microsoft 365.
Restaurar Esquema de tarefas Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 Tarefas de Restauro.
Esquema de Item de Cópia de Segurança Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 artefactos.
Restaurar esquema de Item Expande o esquema comum com as propriedades específicas para Backup do Microsoft 365 Restaurar Itens.

Esquema Comum

EntityType Name: AuditRecord

Parâmetro Tipo Obrigatório? Descrição
Id Combination GUIDEdm.Guid Sim Identificador exclusivo de um registro de auditoria.
RecordType Self.AuditLogRecordType Sim O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria.
CreationTime Edm.Date Sim A data e hora na Hora Universal Coordenada (UTC) em que o registo de auditoria foi gerado.
Operation Edm.String Sim O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. Para eventos Dlp, as opções podem ser "DlpRuleMatch", "DlpRuleUndo" ou "DlpInfo", que são descritas em "Esquema DLP" abaixo.
OrganizationId Edm.Guid Sim O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType Self.UserType Sim O tipo de usuário que executou a operação. Confira a tabela UserType para detalhes sobre os tipos de usuários.
UserKey Edm.String Sim Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload Edm.String Sim O serviço do Office 365 em que a atividade ocorreu.
ResultStatus Edm.String Não Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. Os valores possíveis são Succeeded, PartiallySucceeded ou Failed. Para a atividade de administração do Exchange, o valor é Verdadeiro ou Falso.

Importante: Cargas de trabalho diferentes podem substituir o valor da propriedade ResultStatus. Por exemplo, para Microsoft Entra ID eventos de início de sessão STS, um valor com Êxito para ResultStatus indica apenas que a operação HTTP foi bem-sucedida; não significa que o início de sessão foi bem-sucedido. Para determinar se o início de sessão real foi ou não bem-sucedido, veja a propriedade LogonError no Microsoft Entra ID esquema de Início de Sessão STS. Se o logon falhar, o valor dessa propriedade conterá o motivo da falha na tentativa de logon.
ObjectId Edm.string Não Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet.
UserId Edm.string Sim O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
ClientIP Edm.String Sim O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.

Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade.

Além disso, para Microsoft Entra ID eventos relacionados, o endereço IP não é registado e o valor da propriedade ClientIP é null.
Escopo Self.AuditLogScope Não Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente.
AppAccessContext CollectionSelf.AppAccessContext Não O contexto do aplicativo para o usuário ou principal de serviço que executou a ação.

Enumeração: AuditLogRecordType - Tipo: Edm.Int32

AuditLogRecordType

Valor Nome do membro Descrição
1 ExchangeAdmin Eventos do log de auditoria do administrador do Exchange.
2 ExchangeItem Eventos de um log de auditoria de caixa de correio do Exchange para ações executadas em um único item, como criar ou receber uma mensagem de email.
3 ExchangeItemGroup Eventos de um log de auditoria de caixa de correio do Exchange para ações que podem ser executadas em vários itens, como mover ou excluir uma ou mais mensagens de email.
4 SharePoint Eventos do SharePoint.
6 SharePointFileOperation Eventos de operação de arquivos do SharePoint.
7 OneDrive Eventos do OneDrive for Business.
8 AzureActiveDirectory Microsoft Entra ID eventos.
9 AzureActiveDirectoryAccountLogon Microsoft Entra ID eventos de início de sessão OrgId (preterido).
10 DataCenterSecurityCmdlet Eventos de cmdlet de segurança do Data Center.
11 ComplianceDLPSharePoint Eventos de proteção contra perda de dados (DLP) no SharePoint e no OneDrive for Business.
13 ComplianceDLPExchange Eventos de Proteção contra a Perda de Dados (DLP), quando configurados via Política DLP Unificada. Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.
14 SharePointSharingOperation Eventos de compartilhamento do SharePoint.
15 AzureActiveDirectoryStsLogon Eventos de início de sessão do Serviço de Tokens Seguros (STS) no Microsoft Entra ID.
16 SkypeForBusinessPSTNUsage Eventos da Rede Telefônica Pública Comutada (PSTN) do Skype for Business.
17 SkypeForBusinessUsersBlocked Eventos de usuário bloqueados do Skype for Business.
18 SecurityComplianceCenterEOPCmdlet Ações de administração do Centro de Conformidade e Segurança.
19 ExchangeAggregatedOperation Eventos de auditoria de caixa de correio do Exchange agregado.
20 PowerBIAudit Eventos do Power BI.
21 CRM Eventos do Dynamics 365.
22 Yammer Eventos do Yammer.
23 SkypeForBusinessCmdlets Eventos do Skype for Business.
24 Descoberta Eventos para atividades de Descoberta Eletrônica realizados executando pesquisas de conteúdo e gerenciando casos de Descoberta Eletrônica no Centro de Conformidade e Segurança.
25 MicrosoftTeams Eventos do Microsoft Teams.
28 ThreatIntelligence Eventos de phishing e malware da Proteção do Exchange Online e do Microsoft Defender para Office 365.
29 MailSubmission Envio de eventos da Proteção do Exchange Online e do Microsoft Defender para Office 365.
30 MicrosoftFlow Eventos do Microsoft Power Automate (anteriormente chamado de Microsoft Flow).
31 AeD Eventos de Descoberta Eletrônica Avançada.
32 MicrosoftStream Eventos do Microsoft Stream.
33 ComplianceDLPSharePointClassification Eventos relacionados à classificação DLP no SharePoint.
34 ThreatFinder Eventos relacionados à campanha do Microsoft Defender para Office 365.
35 Project Eventos do Microsoft Project.
36 SharePointListOperation Eventos da Lista do SharePoint.
37 SharePointCommentOperation Eventos de comentário do Microsoft Office SharePoint Online.
38 DataGovernance Eventos relacionados às políticas de retenção e rótulos de retenção no Centro de Conformidade e Segurança
39 Kaizala Eventos do Kaizala.
40 SecurityComplianceAlerts Sinais de alerta de conformidade e segurança.
41 ThreatIntelligenceUrl Eventos de anulação de bloqueios e de tempo de bloqueio de links seguros a partir do Microsoft Defender para Office 365
42 SecurityComplianceInsights Eventos relacionados à informações e relatórios no centro de segurança e conformidade do Office 365.
43 MIPLabel Eventos relacionados à detecção no pipeline de transporte de mensagens de email que foram marcadas (manual ou automaticamente) com rótulos de confidencialidade.
44 WorkplaceAnalytics Eventos do Workplace Analytics.
45 PowerAppsApp Eventos dos Aplicativos de Energia.
46 PowerAppsPlan Eventos de plano de assinatura para Power Apps.
47 ThreatIntelligenceAtpContent Eventos de phishing e malware para arquivos no SharePoint, OneDrive for Business e Microsoft Teams do Microsoft Defender para Office 365.
48 LabelContentExplorer Eventos relacionados ao explorador de conteúdo de classificação de dados.
49 TeamsHealthcare Eventos relacionados ao Aplicativo dos pacientes no Microsoft Teams para Assistência Médica.
50 ExchangeItemAggregated Eventos relacionados à ação de auditoria da caixa de correio MailItemsAccessed.
51 HygieneEvent Eventos relacionados à proteção contra spam de saída.
52 DataInsightsRestApiAudit Informações sobre os dados de eventos da API REST.
53 InformationBarrierPolicyApplication Eventos relacionados à aplicação de políticas de barreira de informação.
54 SharePointListItemOperation Eventos de item de lista do SharePoint.
55 SharePointContentTypeOperation Eventos do tipo de conteúdo de lista do SharePoint.
56 SharePointFieldOperation Eventos de campo de lista do SharePoint.
57 MicrosoftTeamsAdmin Eventos de administração do Teams.
58 HRSignal Eventos relacionados a sinais de dados de RH que dão suporte à solução de gerenciamento de risco interno.
59 MicrosoftTeamsDevice Eventos de dispositivo do Teams.
60 MicrosoftTeamsAnalytics Eventos de análise do Teams.
61 InformationWorkerProtection Eventos relacionados a alertas de usuários comprometidos.
62 Campanha Eventos de campanha por email do Microsoft Defender para Office 365.
63 DLPEndpoint Eventos Endpoint DLP.
64 AirInvestigation Eventos de resposta automática de incidente (AIR).
65 Quarentena Eventos de quarentena.
66 MicrosoftForms Eventos do Microsoft Forms.
67 ApplicationAudit Eventos de auditoria de aplicativos.
68 ComplianceSupervisionExchange Eventos controlados pelo modelo de linguagem ofensivo de conformidade de comunicações.
69 CustomerKeyServiceEncryption Eventos relacionados ao serviço de criptografia de chave do cliente.
70 OfficeNative Eventos relacionados a rótulos de confidencialidade aplicados a documentos do Office.
71 MipAutoLabelSharePointItem Eventos de rotulagem automática no Microsoft Office SharePoint Online.
72 MipAutoLabelSharePointPolicyLocation Eventos de política de rotulagem automática no Microsoft Office SharePoint Online.
73 MicrosoftTeamsShifts Eventos de Turnos do Teams.
75 MipAutoLabelExchangeItem Eventos de rotulagem automática no Exchange.
76 CortanaBriefing Resumo dos eventos por email.
78 WDATPAlerts Eventos relacionados a alertas gerados pelo Windows Defender para Endpoint.
79 PowerAppsResource Eventos relacionados com Conectores do Microsoft Power Platform (Pré-visualização).
82 SensitivityLabelPolicyMatch Eventos gerados quando o arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado.
83 SensitivityLabelAction Evento gerado quando rótulos de sensibilidade são aplicados, atualizados ou removidos de um arquivo.
84 SensitivityLabeledFileAction Eventos gerados quando um arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado.
85 AttackSim Eventos relacionados com atividades de utilizadores na Formação do & de Simulação de Ataques no Microsoft Defender para Office 365.
86 AirManualInvestigation Eventos relacionados a investigações manuais em investigação e resposta automatizada (AIR).
87 SecurityComplianceRBAC Eventos do RBAC de segurança e conformidade.
88 UserTraining Eventos relacionados com a formação de utilizadores na Formação & de Simulação de Ataques no Microsoft Defender para Office 365.
89 AirAdminActionInvestigation Eventos relacionados com ações de administrador na investigação e resposta automatizadas (AIR).
90 MSTIC Eventos de inteligência de ameaças no Microsoft Defender para Office 365.
91 PhysicalBadgingSignal Eventos relacionados a sinais físicos de identificação que são compatíveis com a solução de gerenciamento de risco interno.
93 AipDiscover Eventos do scanner do AIP
94 AipSensitivityLabelAction Eventos de etiqueta de confidencialidade do AIP
95 AipProtectionAction Eventos de proteção do AIP
96 AipFileDeleted Eventos de eliminação de ficheiros do AIP
97 AipHeartBeat Eventos de heartbeat do AIP
98 MCASAlerts Eventos correspondentes a alertas acionados pelo Microsoft Cloud App Security.
99 OnPremisesFileShareScannerDlp Eventos relacionados à verificação de dados confidenciais em compartilhamentos de arquivos.
100 OnPremisesSharePointScannerDlp Eventos relacionados à verificação de dados confidenciais no Microsoft Office SharePoint Online.
101 ExchangeSearch Eventos relacionados ao uso do Outlook na Web (OWA) para pesquisar itens da caixa de correio.
102 SharePointSearch Eventos relacionados à pesquisa no site inicial do Microsoft Office SharePoint Online de uma organização.
103 PrivacyInsights Eventos de informações de privacidade.
105 MyAnalyticsSettings Eventos do MyAnalytics.
106 SecurityComplianceUserChange Eventos relacionados à modificação ou exclusão de um usuário.
107 ComplianceDLPExchangeClassification Eventos de classificação do Exchange DLP.
109 MipExactDataMatch Eventos de classificação Exact Data Match (EDM).
113 MS365DCustomDetection Eventos relacionados a ações de detecção personalizadas no Microsoft 365 Defender.
147 CoreReportingSettings Relatórios de eventos de configurações.
148 ComplianceConnector Eventos relacionados à importação de dados que não são da Microsoft usando conectores de dados no Centro de conformidade do Microsoft Purview.
154 OMEPortal Logs de eventos do portal de mensagens criptografados gerados por destinatários externos.
164 ScorePlatformGenericAuditRecord Registo de Auditoria Genérico utilizado para Conectores de Dados.
174 DataShareOperation Eventos relacionados ao compartilhamento de dados ingeridos por meio do SystemSync.
181 EduDataLakeDownloadOperation Eventos relacionados à exportação de dados ingeridos do SystemSync do data lake.
183 MicrosoftGraphDataConnectOperation Eventos relacionados a extrações feitas pelo Microsoft Graph Data Connect.
186 PowerPagesSite Atividades relacionadas com o site do Power Pages.
187 PowerPlatformAdminDlp Eventos relacionados com o DLP do Microsoft Power Platform (Pré-visualização).
188 PlannerPlan Microsoft Planner planear eventos.
189 PlannerCopyPlan Microsoft Planner copiar eventos do plano.
190 PlannerTask Microsoft Planner eventos de tarefas.
191 PlannerRoster Microsoft Planner eventos de lista e de associação à lista.
192 PlannerPlanList Microsoft Planner listar eventos.
193 PlannerTaskList Microsoft Planner eventos de lista de tarefas.
194 PlannerTenantSettings Microsoft Planner eventos de definições de inquilino.
195 ProjectForThewebProject Eventos de projeto do Microsoft Project para a Web.
196 ProjectForThewebTask Eventos de tarefas do Microsoft Project para a Web.
197 ProjectForThewebRoadmap Eventos de mapa de objetivos do Microsoft Project para a Web.
198 ProjectForThewebRoadmapItem Eventos de itens de mapa de objetivos do Microsoft Project para a Web.
199 ProjectForThewebProjectSettings Eventos de definições de inquilino do projeto do Microsoft Project para a Web.
200 ProjectForThewebRoadmapSettings Eventos de definições de inquilino do mapa de objetivos do Microsoft Project para a Web.
216 Viva Goals Viva Goals eventos.
217 MicrosoftGraphDataConnectConsent Eventos para ações de consentimento realizadas por administradores de inquilinos para aplicações do Microsoft Graph Data Connect.
218 AttackSimAdmin Eventos relacionados com atividades de administrador na Formação de & de Simulação de Ataques no Microsoft Defender para Office 365.
230 TeamsUpdates Eventos de Aplicações do Teams Atualizações.
231 PlannerRosterSensitivityLabel Microsoft Planner eventos de etiqueta de confidencialidade da lista.
237 DefenderExpertsforXDRAdmin Microsoft Defender Eventos de ação de Administrador de Especialistas.
251 VfamCreatePolicy Viva a política de Gestão de Acesso criar eventos.
252 VfamUpdatePolicy Viva eventos de atualização da política de Gestão de Acesso.
253 VfamDeletePolicy Viva eventos de eliminação da política de Gestão de Acesso.
261 CopilotInteraction Eventos de interação copilot.
275 OWAAuth Token de Acesso para Eventos emitidos com êxito pelo Recurso.
280 VivaPulseResponse Viva eventos de resposta do inquérito pulse.
281 VivaPulseOrganizador Viva eventos do organizador do inquérito pulse.
282 VivaPulseAdmin Viva eventos de administração do Pulse.
283 VivaPulseReport Viva Pulse reporta eventos relacionados.
287 ProjectForThewebAssignedToMeSettings O Microsoft Project para a Web atribuído a eventos de definições de inquilino.
298 BackupPolicy Eventos relacionados com políticas de Backup do Microsoft 365.
299 RestoreTask Eventos relacionados com Backup do Microsoft 365 Tarefas de Restauro.
300 RestoreItem Eventos relacionados com artefactos com cópia de segurança com Backup do Microsoft 365.
301 BackupItem Eventos relacionados com itens que estão a ser restaurados com Backup do Microsoft 365.
332 ComplianceSettingsChange As definições de Conformidade do Microsoft Purview alteram os eventos.

Enumeração: User Type - Tipo: Edm.Int32

User Type

Valor Nome do membro Descrição
0 Regular Um utilizador normal sem permissões de administrador.
1 Reserved Um valor reservado, não para utilização.
2 Admin Um administrador na sua organização do Microsoft 365. **
3 DCAdmin Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft.
4 System Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano.
5 Application Um evento de auditoria acionado por uma aplicação Microsoft Entra.
6 ServicePrincipal Uma entidade de serviço.
7 CustomPolicy Um cliente criou ou geriu uma política.
8 SystemPolicy Uma política de sistema ou gerida pela Microsoft.
9 PartnerTechnician O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP ).
10 Guest Um utilizador convidado ou anónimo.

Observação

** Para Microsoft Entra eventos relacionados, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicarão que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identificará a pessoa (utilizador ou administrador normal) que realizou esta atividade.

Enumeração: AuditLogScope - Tipo: Edm.Int32

AuditLogScope

Valor Nome do membro Descrição
0 Online Este evento foi criado por um serviço hospedado no O365.
1 Onprem Este evento foi criado por um servidor local.

Tipo complexo AppAccessContext

Parameters Tipo Obrigatório? Descrição
AADSessionId Edm.String Não O Microsoft Entra SessionId do início de sessão entra que foi realizado pela aplicação em nome do utilizador.
APIId Edm.String Não O Id para o caminho da API que é usado para acessar o recurso; por exemplo, acesso por meio da API do Microsoft Graph.
ClientAppId Edm.String Não O ID da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador.
ClientAppName Edm.String Não O nome da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador.
CorrelationId Edm.String Não Um identificador que pode ser usado para correlacionar as ações de um usuário específico entre Microsoft 365 serviços.
UniqueTokenId Edm.String Não UniqueTokenId é definido se o token de Microsoft Entra estiver disponível para o pedido. É um identificador exclusivo por-token que diferencia maiúsculas de minúsculas.
IssuedAtTime Edm.Date Não "Emitido Em" é definido se o token de Microsoft Entra estiver disponível para o pedido e indicar quando ocorreu a autenticação para este token de Microsoft Entra.

Esquema base do SharePoint

Parâmetro Tipo Obrigatório? Descrição
Site Edm.Guid Não O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado.
ItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" Não O tipo de objeto que foi acessado ou modificado. Confira a tabela ItemType para obter detalhes sobre os tipos de objetos.
EventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" Não Identifica que um evento ocorreu no SharePoint. Valores possíveis são SharePoint ou ObjectModel.
SourceName Edm.String Não A entidade que acionou a operação auditada. Valores possíveis são SharePoint ou ObjectModel.
UserAgent Edm.String Não Informações sobre o cliente ou navegador do usuário. Esta informação é fornecida pelo cliente ou navegador.
MachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação.
MachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação.
ListItemUniqueId Edm.Guid Não O GUID de um item de lista exclusivamente identificável. Esta informação está presente apenas se for aplicável.
ListId Edm.Guid Não O GUID da lista. Esta informação está presente apenas se for aplicável.
ApplicationId Edm.String Não O ID do aplicativo que está executando a operação.
ApplicationDisplayName Edm.String Não O nome de exibição do aplicativo que está executando a operação.
IsWorkflow Edm.Boolean Não Isso está definido como True se os Fluxos de Trabalho do SharePoint dispararem o evento auditado.

Enumeração: ItemType - Tipo: Edm.Int32

ItemType

Valor Nome do membro Descrição
0 Invalid O item não consiste em nenhum dos outros tipos de itens (listados nesta tabela).
1 File O item é um arquivo.
5 Folder O item é uma pasta.
6 web O item é uma Web.
7 Site O item é um site.
8 Tenant O item é um locatário.
9 DocumentLibrary O item é uma biblioteca de documentos.
11 Page O item é uma página.

Enumeração: EventSource - Tipo: Edm.Int32

EventSource

Valor Nome do membro Descrição
0 SharePoint A origem do evento é o SharePoint.
1 ObjectModel A origem do evento é o ObjectModel.

Enumeração: SharePointAuditOperation - Tipo: Edm.Int32

Nome do membro Descrição
AccessInvitationAccepted O destinatário de um convite para exibir ou editar um arquivo compartilhado (ou pasta) acessou o arquivo compartilhado clicando no link do convite.
AccessInvitationCreated O usuário envia um convite a outra pessoa (dentro ou fora da organização) para exibir ou editar um arquivo ou pasta compartilhada em um site do SharePoint ou do OneDrive for Business. Os detalhes da entrada do evento identificam o nome do arquivo que foi compartilhado, o usuário ao qual o convite foi enviado e o tipo de permissão de compartilhamento selecionado pela pessoa que enviou o convite.
AccessInvitationExpired Um convite enviado a um usuário externo expira. Por padrão, um convite enviado a um usuário fora de sua organização expira após sete dias se o convite não for aceito.
AccessInvitationRevoked O administrador do site ou proprietário de um site ou documento no SharePoint ou OneDrive for Business retira um convite que foi enviado para um usuário fora da organização. Um convite pode ser retirado somente antes de ser aceito.
AccessInvitationUpdated O usuário que criou e enviou um convite a outra pessoa para exibir ou editar um arquivo (ou pasta) compartilhado em um site do SharePoint ou do OneDrive for Business reenvia o convite.
AccessRequestApproved O administrador do site ou proprietário de um site ou documento no SharePoint ou no OneDrive for Business aprova uma solicitação do usuário para acessar o site ou documento.
AccessRequestCreated O usuário solicita acesso a um site ou documento no SharePoint ou no OneDrive for Business que ele não tem permissão para acessar.
AccessRequestRejected O administrador do site ou proprietário de um site ou documento no SharePoint recusa uma solicitação do usuário para acessar o site ou documento.
ActivationEnabled Os usuários podem habilitar modelos de formulário para navegador que não contenham código de formulário, exijam confiança total, permitam a renderização em um dispositivo móvel ou usem uma conexão de dados gerenciada por um administrador de servidor.
AdministratorAddedToTermStore Administrador do repositório de termos adicionado.
AdministratorDeletedFromTermStore Administrador do repositório de termos excluído.
AllowGroupCreationSet O administrador ou proprietário do site adiciona um nível de permissão a um site do SharePoint ou do OneDrive for Business que permite ao usuário designado criar um grupo para esse site.
AppCatalogCreated Catálogo de aplicativos criado para disponibilizar aplicativos de negócios personalizados para o seu ambiente do SharePoint.
AuditPolicyRemoved Política de Ciclo de Vida do Documento removida para um conjunto de sites.
AuditPolicyUpdate Política de Ciclo de Vida do Documento atualizada para um conjunto de sites.
AzureStreamingEnabledSet Um proprietário de portal de vídeo permitiu o streaming de vídeo do Azure.
CollaborationTypeModified O tipo de colaboração permitido em sites (por exemplo, intranet, extranet ou público) foi modificado.
ConnectedSiteSettingModified O utilizador criou, modificou ou eliminou a ligação entre um projeto e um site de projeto ou o utilizador modifica a definição de sincronização na ligação no Project Web App.
CreateSSOApplication Aplicativo de destino criado no Serviço de Repositório Seguro.
CustomFieldOrLookupTableCreated O utilizador criou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomFieldOrLookupTableDeleted O utilizador eliminou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomFieldOrLookupTableModified O utilizador modificou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomizeExemptUsers O administrador global personalizou a lista de agentes do usuário isentos no Centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isto significa que, quando um agente de utilizador que especificou como isento encontrar um formulário do InfoPath, o formulário será devolvido como um ficheiro XML em vez de uma página Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida.
DefaultLanguageChangedInTermStore* Configuração de idioma alterada no repositório de terminologia.
DelegateModified O utilizador criou ou modificou um delegado de segurança no Project Web App.
DelegateRemoved O utilizador eliminou um delegado de segurança no Project Web App.
DeleteSSOApplication Um aplicativo SSO foi excluído.
eDiscoveryHoldApplied Um Bloqueio In-loco foi colocado em uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint.
eDiscoveryHoldRemoved Um Bloqueio In-loco foi removido de uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint.
eDiscoverySearchPerformed Uma pesquisa de Descoberta Eletrônica foi realizada usando um conjunto de sites de Descoberta Eletrônica no SharePoint.
EngagementAccepted O utilizador aceita uma atribuição de recursos no Project Web App.
EngagementModified O utilizador modifica uma atribuição de recursos no Project Web App.
EngagementRejected O utilizador rejeita uma atribuição de recursos no Project Web App.
EnterpriseCalendarModified O utilizador copia, modifica ou elimina um calendário empresarial no Project Web App.
EntityDeleted O utilizador elimina uma folha de horas no Project Web App.
EntityForceCheckedIn O utilizador força uma marcar num calendário, campo personalizado ou tabela de referência no Project Web App.
ExemptUserAgentSet O administrador global adiciona um agente do usuário à lista de agentes do usuário isentos no Centro de administração do SharePoint.
FileAccessed O usuário ou a conta do sistema acessa um arquivo em um site do SharePoint ou OneDrive for Business. Contas do sistema também podem gerar eventos FileAccessed.
FileCheckOutDiscarded O usuário descarta (ou desfaz) um arquivo que passou por check-out. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos.
FileCheckedIn O usuário devolve um documento que retirou de uma biblioteca de documentos do SharePoint ou do OneDrive for Business.
FileCheckedOut O usuário faz check-out de um documento localizado em uma biblioteca de documentos do SharePoint ou do OneDrive for Business. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles.
FileCopied O usuário copia um documento de um site do SharePoint ou do OneDrive for Business. O arquivo copiado pode ser salvo em outra pasta no site.
FileDeleted O usuário exclui um documento de um site do SharePoint ou do OneDrive for Business.
FileDeletedFirstStageRecycleBin O usuário exclui um arquivo da lixeira em um site do SharePoint ou do OneDrive for Business.
FileDeletedSecondStageRecycleBin O usuário exclui um arquivo da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business.
FileDownloaded O usuário faz download de um documento de um site do SharePoint ou do OneDrive for Business.
FileFetched Este evento foi substituído pelo evento FileAccessed e foi descontinuado.
FileModified O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site do SharePoint ou do OneDrive for Business.
FileMoved O usuário move um documento de seu local atual em um site do SharePoint ou do OneDrive for Business para um novo local.
FilePreviewed O usuário visualiza um documento em um site do SharePoint ou OneDrive for Business.
FileRecycled O utilizador move um documento para a Reciclagem do SharePoint ou do OneDrive.
FileRenamed O usuário renomeia um documento em um site do SharePoint ou OneDrive for Business.
FileRestored O usuário restaura um documento da lixeira de um site do SharePoint ou OneDrive for Business.
FileSyncDownloadedFull O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
FileSyncDownloadedPartial Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).
FileSyncUploadedFull O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
FileSyncUploadedPartial Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).
FileUploaded O usuário faz upload de um documento para uma pasta em um site do SharePoint ou do OneDrive for Business.
FileViewed Este evento foi substituído pelo evento FileAccessed e foi descontinuado.
FolderCopied O usuário copia uma pasta de um site do SharePoint ou do OneDrive for Business para outro local no SharePoint ou no OneDrive for Business.
FolderCreated O usuário cria uma pasta em um site do SharePoint ou do OneDrive for Business.
FolderDeleted O usuário exclui uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderDeletedFirstStageRecycleBin O usuário exclui uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business.
FolderDeletedSecondStageRecycleBin O usuário exclui uma pasta da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business.
FolderModified O usuário modifica uma pasta em um site do SharePoint ou do OneDrive for Business. Este evento inclui alterações de metadados da pasta, como tags e propriedades.
FolderMoved O usuário move uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderRecycled O utilizador move uma pasta para a Reciclagem do SharePoint ou do OneDrive.
FolderRenamed O usuário renomeia uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderRestored O usuário restaura uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business.
GroupAdded O administrador ou proprietário do site cria um grupo para um site do SharePoint ou OneDrive for Business ou executa uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado.
GroupRemoved O usuário exclui um grupo de um site do SharePoint ou do OneDrive for Business.
GroupUpdated O administrador ou proprietário do site altera as configurações de um grupo para um site do SharePoint ou do OneDrive for Business. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas.
LanguageAddedToTermStore Idioma adicionado ao repositório de terminologia.
LanguageRemovedFromTermStore Idioma removido do repositório de terminologia.
LegacyWorkflowEnabledSet O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint.
LookAndFeelModified O usuário modifica um início rápido, formatos de gráfico de gantt ou formatos de grupo.  Ou o utilizador cria, modifica ou elimina uma vista no Project Web App.
ManagedSyncClientAllowed O usuário estabelece com êxito uma relação de sincronização com um site do SharePoint ou do OneDrive for Business. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que pode acessar bibliotecas de documentos em sua organização. Para obter mais informações, consulte Utilizar o PowerShell do SharePoint Online para ativar Sincronização do OneDrive para domínios que estão na lista de destinatários seguros.
MaxQuotaModified A cota máxima de um site foi modificada.
MaxResourceUsageModified O uso máximo permitido de recursos para um site foi modificado.
MySitePublicEnabledSet O sinalizador que permite aos usuários ter MySites públicos foi definido pelo Administrador de serviços do SharePoint.
NewsFeedEnabledSet O administrador ou proprietário do site habilita feeds RSS para um site do SharePoint ou do OneDrive for Business. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint.
ODBNextUXSettings Uma nova interface do usuário do OneDrive for Business foi ativada.
OfficeOnDemandSet O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Office 365 que inclua aplicativos completos do Office instalados.
PageViewed O usuário visualiza uma página em um site do SharePoint ou no site do OneDrive for Business. Isso não inclui a exibição de arquivos da biblioteca de documentos de um site do SharePoint ou do site One Drive for Business em um navegador.
PeopleResultsScopeSet O administrador do site cria ou altera a fonte de resultados para Pesquisas de Pessoas em um site do SharePoint.
PermissionSyncSettingModified O utilizador modifica as definições de sincronização de permissões do projeto no Project Web App.
PermissionTemplateModified O utilizador cria, modifica ou elimina um modelo de permissões no Project Web App.
PortfolioDataAccessed O utilizador acede a conteúdos de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App.
PortfolioDataModified O utilizador cria, modifica ou elimina dados de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App.
PreviewModeEnabledSet O administrador do site habilita a visualização do documento para um site do SharePoint.
ProjectAccessed O utilizador acede ao conteúdo do projeto no Project Web App.
ProjectCheckedIn O utilizador verifica num projeto que deu saída a partir de uma aplicação Web do Project.
ProjectCheckedOut O utilizador dá saída de um projeto localizado numa aplicação Web do Project. Os usuários podem fazer check-out e fazer alterações em projetos para os quais têm permissão para abrir.
ProjectCreated O utilizador cria um projeto no Project Web App.
ProjectDeleted O utilizador elimina um projeto no Project Web App.
ProjectForceCheckedIn O utilizador força uma marcar num projeto no Project Web App.
ProjectModified O utilizador modifica um projeto no Project Web App.
ProjectPublished O utilizador publica um projeto no Project Web App.
ProjectWorkflowRestarted O utilizador reinicia um fluxo de trabalho no Project Web App.
PWASettingsAccessed O utilizador acede às definições do Project Web App através do CSOM.
PWASettingsModified O utilizador modifica a configuração de uma aplicação Web do Project.
QueueJobStateModified O utilizador cancela ou reinicia uma tarefa de fila no Project Web App.
QuotaWarningEnabledModified Aviso de cota de armazenamento modificada.
RenderingEnabled Modelos de formulário habilitados para navegador serão processados ​​pelos serviços de formulários do InfoPath.
ReportingAccessed O utilizador acedeu ao ponto final de relatórios no Project Web App.
ReportingSettingModified O utilizador modifica a configuração de relatórios no Project Web App.
ResourceAccessed O utilizador acede a um conteúdo de recurso empresarial no Project Web App.
ResourceCheckedIn O utilizador verifica num recurso empresarial que deu saída do Project Web App.
ResourceCheckedOut O utilizador dá saída de um recurso empresarial localizado no Project Web App.
ResourceCreated O utilizador cria um recurso empresarial no Project Web App.
ResourceDeleted O utilizador elimina um recurso empresarial no Project Web App.
ResourceForceCheckedIn O utilizador força uma entrada de um recurso empresarial no Project Web App.
ResourceModified O utilizador modifica um recurso empresarial no Project Web App.
ResourcePlanCheckedInOrOut O utilizador dá entrada ou saída de um plano de recursos no Project Web App.
ResourcePlanModified O utilizador modifica um plano de recursos no Project Web App.
ResourcePlanPublished O utilizador publica um plano de recursos no Project Web App.
ResourceRedacted O utilizador redigi um recurso empresarial ao remover todas as informações pessoais no Project Web App.
ResourceWarningEnabledModified Aviso de cota de recursos modificada.
SSOGroupCredentialsSet Credenciais de grupo definidas no Serviço de Repositório Seguro.
SSOUserCredentialsSet Credenciais de usuário definidas no Serviço de Repositório Seguro.
SearchCenterUrlSet Conjunto de URLs do Centro de Pesquisa.
SecondaryMySiteOwnerSet Um usuário adicionou um proprietário secundário ao seu MySite.
SecurityCategoryModified O utilizador cria, modifica ou elimina uma categoria de segurança no Project Web App.
SecurityGroupModified O utilizador cria, modifica ou elimina um grupo de segurança no Project Web App.
SendToConnectionAdded O administrador global cria uma nova conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada.
SendToConnectionRemoved O administrador global exclui uma conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint.
SharedLinkCreated O usuário cria um link para um arquivo compartilhado no SharePoint ou no OneDrive for Business. Este link pode ser enviado para outras pessoas para dar acesso ao arquivo. Um usuário pode criar dois tipos de links: um link que permite ao usuário visualizar e editar o arquivo compartilhado, ou um link que permite ao usuário apenas visualizar o arquivo.
SharedLinkDisabled O usuário desabilita (permanentemente) um link que foi criado para compartilhar um arquivo.
SharingInvitationAccepted * O usuário aceita um convite para compartilhar um arquivo ou uma pasta. Esse evento é registrado quando um usuário compartilha um arquivo com outros usuários.
SharingRevoked O usuário desassocia um arquivo ou pasta que foi compartilhado anteriormente com outros usuários. Esse evento é registrado quando um usuário deixa de compartilhar um arquivo com outros usuários.
SharingSet O usuário compartilha um arquivo ou pasta localizado no SharePoint ou no OneDrive for Business com outro usuário dentro de sua organização.
SiteAdminChangeRequest O usuário solicita ser adicionado como um administrador do conjunto de sites de um conjunto de sites do SharePoint. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.
SiteCollectionAdminAdded* O administrador ou proprietário do conjunto de sites adiciona uma pessoa como administrador do conjunto de sites para um site do SharePoint ou do OneDrive for Business. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.
SiteCollectionCreated O administrador global cria um novo conjunto de sites em sua organização do SharePoint.
SiteRenamed O administrador ou proprietário do site renomeia um site do SharePoint ou do OneDrive for Business.
StatusReportModified O utilizador cria, modifica ou elimina um relatório de status no Project Web App.
SyncGetChanges O usuário clica em Sincronizar na bandeja de ação no SharePoint ou no OneDrive for Business para sincronizar as alterações feitas no arquivo em uma biblioteca de documentos ao computador.
SyntexBillingSubscriptionSettingsChanged As definições da subscrição de Faturação do Syntex foram alteradas. Este evento é acionado quando uma versão de avaliação do Syntex expira.
TaskStatusAccessed O utilizador acede ao status de uma ou mais tarefas no Project Web App.
TaskStatusApproved O utilizador aprova uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusRejected O utilizador rejeita uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusSaved O utilizador guarda uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusSubmitted O utilizador submete uma atualização status de uma ou mais tarefas no Project Web App.
TimesheetAccessed O utilizador acede a uma folha de horas no Project Web App.
TimesheetApproved O utilizador aprova a folha de horas no Project Web App.
TimesheetRejected O utilizador rejeita uma folha de horas no Project Web App.
TimesheetSaved O utilizador guarda uma folha de horas no Project Web App.
TimesheetSubmitted O utilizador submete uma folha de horas status no Project Web App.
UnmanagedSyncClientBlocked O usuário tenta estabelecer uma relação de sincronização com um site do SharePoint ou do OneDrive for Business em um computador que não é membro do domínio de sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que podem acessar bibliotecas de documentos em sua organização. A relação de sincronização não é permitida e o computador do usuário é impedido de sincronizar, fazer download ou fazer upload de arquivos em uma biblioteca de documentos. Para obter informações sobre esse recurso, confira Usar os cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na Lista de Destinatários Confiáveis.
UpdateSSOApplication Aplicativo de destino atualizado no Serviço de Repositório Seguro.
UserAddedToGroup O administrador ou proprietário do site adiciona uma pessoa a um grupo em um site do SharePoint ou OneDrive for Business. Adicionar uma pessoa a um grupo concede ao usuário as permissões que foram atribuídas ao grupo.
UserRemovedFromGroup O administrador ou proprietário do site remove uma pessoa de um grupo em um site do SharePoint ou OneDrive for Business. Depois que a pessoa é removida, ela não recebe mais as permissões que foram atribuídas ao grupo.
WorkflowModified O utilizador cria, modifica ou elimina fases ou fases de Tipo de Projeto Empresarial ou Fluxo de Trabalho no Project Web App.

Operações de arquivos do SharePoint

Os eventos do SharePoint relacionados aos arquivos listados na seção “Atividades de arquivos e pastas” em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.

Parâmetro Tipo Obrigatório? Descrição
SiteUrl Edm.String Sim A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado.
SourceRelativeUrl Edm.String Não O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador.
SourceFileName Edm.String Sim O nome do arquivo ou pasta acessado pelo usuário.
SourceFileExtension Edm.String Não A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta.
DestinationRelativeUrl Edm.String Não A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores dos parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro que foi copiado. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
DestinationFileName Edm.String Não O nome do arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
DestinationFileExtension Edm.String Não A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
UserSharedWith Edm.String Não O usuário com o qual um recurso foi compartilhado.
SharingType Edm.String Não O tipo de permissões de compartilhamento que foram designadas ao usuário com o qual o recurso foi compartilhado. Este utilizador é identificado pelo parâmetro UserSharedWith .
SourceLabel Edm.String Não O rótulo original do arquivo antes de ser alterado por uma ação do usuário.
DestinationLabel Edm.String Não O rótulo final do arquivo depois que ele é alterado por uma ação do usuário.
SensitivityLabelOwnerEmail Edm.String Não O endereço de email do proprietário do rótulo de confidencialidade.
SensitivityLabelId Edm.String Não A ID do rótulo de confidencialidade atual do arquivo.

Listar Operações do SharePoint

As listas do SharePoint e os eventos relacionados a itens de lista listados na seção "Atividades de lista do SharePoint" em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.

Parâmetro Tipo Obrigatório? Descrição
ListTitle Edm.String Não O título da lista de SharePoint.
ListName Edm.String Não O nome da lista do SharePoint.
ListUrl Edm.String Não O URL da lista em relação ao site que o contém.
ListBaseType Edm.String Não Especifica o tipo base para uma lista.
ListBaseTemplateType Edm.String Não O tipo de definição de lista no qual a lista se baseia.
IsHiddenList Edm.Boolean Não Esse valor será definido para True se a lista do SharePoint estiver oculta.
IsDocLib Edm.Boolean Não Este valor está definido como True se a lista do SharePoint for do tipo Biblioteca de Documentos.

Esquema de compartilhamento do SharePoint

Os eventos do SharePoint relacionados ao compartilhamento de arquivos. Eles são diferentes dos eventos relacionados a arquivos e pastas em que um usuário está realizando uma ação que afeta outro usuário. Para obter informações sobre o esquema de compartilhamento do SharePoint, consulte Usar a auditoria de compartilhamento no log de auditoria .

Parâmetro Tipo Obrigatório? Descrição
TargetUserOrGroupName Edm.String Não Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado.
TargetUserOrGroupType Edm.String Não Identifica se o usuário ou grupo de destino é um Membro, Convidado, Grupo ou Parceiro.
EventData Código XML Não Transmite informações de acompanhamento sobre a ação de compartilhamento que ocorreu, como adicionar um usuário a um grupo ou conceder permissões de edição.
SiteUrl Edm.String Não A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado.
SourceRelativeUrl Edm.String Não O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador.
SourceFileName Edm.String Não O nome do arquivo ou pasta acessado pelo usuário.
SourceFileExtension Edm.String Não A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta.
UniqueSharingId Edm.String Não O ID de compartilhamento exclusivo associado à operação de compartilhamento.

Esquema do SharePoint

Os eventos do SharePoint listados em Pesquisar o log de auditoria no centro de conformidade (excluindo os eventos de arquivo e pasta) usam esse esquema.

Parâmetro Tipo Obrigatório? Descrição
CustomEvent Edm.String Não Cadeia de caracteres opcional para eventos personalizados.
EventData Edm.String Não Carga opcional para eventos personalizados.
ModifiedProperties Collection(ModifiedProperty) Não A propriedade está incluída para eventos de administrador, como adicionar um usuário como membro de um site ou grupo de administradores de um conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site), o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site) e o valor anterior do objeto modificado.

Esquema do Project

Parâmetro Tipo Obrigatório? Descrição
Entity Edm.String Sim ProjectEntity da auditoria.
Action Edm.String Sim ProjectAction tomada.
OnBehalfOfResId Edm.Guid Não A ID do recurso em nome da qual a ação foi tomada.

Enumeração: Project Action - Tipo: Edm.Int32

Ação do projeto

Nome do membro Descrição
Accepted O usuário aceitou um evento ou fluxo de trabalho.
Accessed O usuário acessou uma entidade.
Activated O usuário ativou uma entidade, evento ou fluxo de trabalho.
Cancelled O usuário cancelou um evento ou fluxo de trabalho.
CheckedIn O usuário fez check-in em uma entidade.
CheckedOut O usuário fez check-out em uma entidade.
Copied O usuário copiou uma entidade.
Created O usuário criou uma entidade.
Deactivated O usuário desativou uma entidade.
Deleted O usuário excluiu uma entidade.
Exported O usuário exportou uma entidade.
ForceCheckedIn O usuário fez com que uma entidade fosse obrigada a fazer check-in.
Modified O usuário modificou uma entidade.
Published O usuário publicou uma entidade.
Redacted O usuário redigiu uma entidade.
Rejected O usuário rejeitou uma entidade.
Restarted O usuário reiniciou um evento ou fluxo de trabalho.
Saved O usuário salvou uma entidade.
Sent O usuário enviou uma entidade.
Submitted O usuário enviou uma entidade para revisão ou fluxo de trabalho.

Enumeração: Project Entity - Tipo: Edm.Int32

Entidade do projeto.

Nome do membro Descrição
CustomField Representa um campo personalizado da empresa.
Driver Representa um indicador de portfólio.
DriverPrioritization Representa uma priorização de portfólio.
Engagement Representa um compromisso de recurso.
EnterpriseCalendar Representa um calendário de recursos empresariais.
EnterpriseProjectType Representa um tipo de projeto corporativo.
FiscalPeriod Representa um período fiscal.
GanttChartFormat Representa um formato de gráfico de Gantt.
GroupingFormat Representa um formato de agrupamento de visualizações.
LineClassification Representa uma classificação de linha de quadro de horários.
LookupTable Representa uma tabela de pesquisa corporativa.
PermissionTemplate Representa um modelo de permissão de segurança.
PortfolioAnalysis Representa uma análise de portfólio.
Project Representa um projeto.
QueueJob Representa um trabalho em fila.
QuickLaunch Representa um item de inicialização rápida.
Reporting Representa o ponto de extremidade de relatório.
Resource Representa um recurso da empresa.
ResourcePlan Representa um plano de recursos associado a um projeto.
SecurityCategory Representa uma categoria de segurança.
SecurityGroup Representa um grupo de segurança.
Setting Representa uma definição do Project Web App
Statusing Representa uma atualização de status da tarefa.
StatusReport Representa um relatório de status.
TimeReportingPeriod Representa um período de tempo para um quadro de horários.
Timesheet Representa uma entidade de quadro de horários.
TimesheetAuditLog Representa um log de auditoria do quadro de horários.
TimesheetManager Representa o gerente de um quadro de horários.
UserDelegate Representa uma delegação de usuário para outro usuário.
View Representa uma definição de exibição.
WorkflowPhase Representa uma fase em um fluxo de trabalho.
WorkflowStage Representa um estágio em um fluxo de trabalho.

Esquema de administração do Exchange

Parâmetros Tipo Obrigatório Descrição
ModifiedObjectResolvedName Edm.String Não Esse é o nome amigável do objeto que foi modificado pelo cmdlet. Ele é registrado somente se o cmdlet modificar o objeto.
Parâmetros Collection(Common.NameValuePair) Não O nome e o valor de todos os parâmetros que foram usados ​​com o cmdlet identificado na propriedade Operations.
ModifiedProperties Collection(Common.ModifiedProperty) Não A propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado.
ExternalAccess Edm.Boolean Sim Especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe de datacenters da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado.
OriginatingServer Edm.String Não O nome do servidor do qual o cmdlet foi executado.
OrganizationName Edm.String Não O nome do locatário.

Esquema de caixa de correio do Exchange

Parâmetros Tipo Obrigatório Descrição
LogonType Self.LogonType Não Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada.
InternalLogonType Self.LogonType Não Reservado para uso interno.
MailboxGuid Edm.String Não O GUID do Exchange da caixa de correio que foi acessada.
MailboxOwnerUPN Edm.String Não O endereço de email da pessoa que possui a caixa de correio que foi acessada.
MailboxOwnerSid Edm.String Não O SID do proprietário da caixa de correio.
MailboxOwnerMasterAccountSid Edm.String Não SID da conta principal da conta do proprietário da caixa de correio.
LogonUserSid Edm.String Não O SID do usuário que executou a operação.
LogonUserDisplayName Edm.String Não O nome amigável do usuário que executou a operação.
ExternalAccess Edm.Boolean Sim Isso se aplica se o domínio do usuário de logon for diferente do domínio do proprietário da caixa de correio.
OriginatingServer Edm.String Não De onde a operação se originou.
OrganizationName Edm.String Não O nome do locatário.
ClientInfoString Edm.String Não Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações do dispositivo móvel.
ClientIPAddress Edm.String Não O endereço IP do dispositivo que foi usado quando a operação foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
ClientMachineName Edm.String Não O nome da computador que hospeda o cliente do Outlook.
ClientProcessName Edm.String Não O cliente de email que foi usado para acessar a caixa de correio.
ClientVersion Edm.String Não A versão do cliente de email.

Enumeração: LogonType - Tipo: Edm.Int32

LogonType

Valor Nome do membro Descrição
0 Owner O proprietário da caixa de correio.
1 Admin Uma pessoa com privilégios administrativos para a caixa de correio de uma pessoa.
2 Delegated Uma pessoa com privilégios de delegado para a caixa de correio de uma pessoa.
3 Transport Um serviço de transporte no datacenter da Microsoft.
4 SystemService Uma conta de serviço no datacenter da Microsoft.
5 BestAccess Reservado para uso interno.
6 DelegatedAdmin Um administrador delegado.

Esquema ExchangeMailboxAuditGroupRecord

Parâmetros Tipo Obrigatório? Descrição
Folder Self.ExchangeFolder Não A pasta onde um grupo de itens está localizado.
CrossMailboxOperations Edm.Boolean Não Indica se a operação envolveu mais de uma caixa de correio.
DestMailboxId Edm.Guid Não Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino.
DestMailboxOwnerUPN Edm.String Não Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino.
DestMailboxOwnerSid Edm.String Não Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino.
DestMailboxOwnerMasterAccountSid Edm.String Não Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID do SID da conta principal do proprietário da caixa de correio de destino.
DestFolder Self.ExchangeFolder Não A pasta de destino, para operações como Mover.
Folders Collection(Self.ExchangeFolder) Não Informações sobre as pastas de origem envolvidas em uma operação; por exemplo, se as pastas forem selecionadas e excluídas.
AffectedItems Collection(Self.ExchangeItem) Não Informações sobre cada item no grupo.

Esquema ExchangeMailboxAuditRecord

Parâmetros Tipo Obrigatório? Descrição
Item Self.ExchangeItem Não Representa o item no qual a operação foi executada
ModifiedProperties Collection(Edm.String) Não A definir
SendAsUserSmtp Edm.String Não Endereço SMTP do usuário que está sendo representado.
SendAsUserMailboxGuid Edm.Guid Não O GUID do Exchange da caixa de correio que foi acessada para enviar email.
SendOnBehalfOfUserSmtp Edm.String Não O endereço SMTP do usuário em nome de quem o email é enviado.
SendOnBehalfOfUserMailboxGuid Edm.Guid Não O GUID do Exchange da caixa de correio que foi acessada para enviar emails.

Tipo complexo ExchangeItem

Parâmetros Tipo Obrigatório? Descrição
Id Edm.String Sim A ID do repositório.
Subject Edm.String Não A linha de assunto da mensagem que foi acessada.
ParentFolder Edm.ExchangeFolder Não O nome da pasta onde o item está localizado.
Attachments Edm.String Não Uma lista dos nomes e tamanho de arquivo de todos os itens anexados à mensagem.

Tipo complexo ExchangeFolder

Parâmetros Tipo Obrigatório? Descrição
Id Edm.String Sim A ID do repositório do objeto da pasta.
Path Edm.String Não O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada.

Esquema de Autenticação OWA

Parâmetros Tipo Obrigatório? Descrição
UniqueTokenIdentifier Edm.String Não Um identificador exclusivo para o recurso.
ResourceURL Edm.String Não O URL do recurso.

Esquema Base do Azure Active Directory

Parâmetros Tipo Obrigatório? Descrição
AzureActiveDirectoryEventType Self.AzureActiveDirectoryEventType Sim O tipo de evento Microsoft Entra.
ExtendedProperties Collection(Common.NameValuePair) Não As propriedades expandidas do evento Microsoft Entra.
ModifiedProperties Collection(Common.ModifiedProperty) Não Esta propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.

Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32

AzureActiveDirectoryEventType

Nome do membro Descrição
AccountLogon O evento de logon da conta.
AzureApplicationAuditEvent O evento de segurança do aplicativo do Azure.

Esquema de Logon da Conta do Azure Active Directory

Parâmetros Tipo Obrigatório? Descrição
Application Edm.String Não O aplicativo que dispara o evento de login da conta, como o Office 15.
Client Edm.String Não Detalhes sobre o dispositivo cliente, o SO do dispositivo e o navegador do dispositivo que foi usado para o evento de logon da conta.
LoginStatus Edm.Int32 Sim Esta propriedade é diretamente do OrgIdLogon.LoginStatus. O mapeamento de várias falhas interessantes de logon pode ser feito por meio do alerta de algoritmos.
UserDomain Edm.String Sim Informações de Identidade do Locatário (TII, Tenant Identity Information).

Enumeração: CredentialType - Tipo: Edm.Int32

Valor Nome do membro Descrição
-1 Other Outra autenticação.
0 Password A credencial do usuário é o nome de usuário e a senha.
1 MobilePhone A credencial do usuários é o telefone celular.
2 SecretQuestion A credencial do usuário é a pergunta secreta.
3 SecurePin A credencial do usuário é um PIN seguro.
4 SecurePinReset A credencial do usuário é a redefinição do PIN seguro.
11 EasyID A credencial do usuário é EasyID.
14 PasswordIndexCredentialType A credencial do usuário é PasswordIndexCredentialType.
16 Device A credencial do usuário é um dispositivo.
17 ForeignRealmIndex A credencial do usuário é ForeignRealmIndex.

Enumeração: LoginType - Tipo: Edm.Int32

Valor Nome do membro Descrição
-1 Other Outro tipo de i.
1 InitialAuth Login com autenticação inicial.
2 CookieCopy Login com cookies.
3 SilentReAuth Logon com reautenticação silenciosa.

Enumeração: AuthenticationMethod - Tipo: Edm.Int32

Valor Nome do membro Descrição
0 Min O método de autenticação é um Min.
1 Password O método de autenticação é uma senha.
2 Digest O método de autenticação é um resumo.
3 ProxyAuth O método de autenticação é um ProxyAuth.
4 InfoCard O método de autenticação é um InfoCard.
5 DAToken O método de autenticação é um DAToken.
6 Sha1RememberMyPassword O método de autenticação é um Sha1RememberMyPassword.
7 LMPasswordHash O método de autenticação é um LMPasswordHash.
8 ADFSFederatedToken O método de autenticação é um ADFSFederatedToken.
9 EID O método de autenticação é um EID.
10 DeviceID O método de autenticação é um DeviceID.
11 MD5 O método de autenticação é MD5.
12 EncProxyPasswordHash O método de autenticação é um EncProxyPasswordHash.
13 LWAFederation O método de autenticação é um LWAFederation.
14 Sha1HashedPassword O método de autenticação é um Sha1HashedPassword.
15 SecurePin O método de autenticação é um Pin seguro.
16 SecurePinReset O método de autenticação é uma redefinição de um Pin seguro.
17 SAML20PostSimpleSign O método de autenticação é um SAML20PostSimpleSign.
18 SAML20Post O método de autenticação é um SAML20Post.
19 OneTimeCode O método de autenticação é um código único.

Esquema do Azure Active Directory

Parâmetros Tipo Obrigatório? Descrição
Actor Collection(Self.IdentityTypeValuePair) Não O usuário ou a entidade de serviço que executou a ação.
ActorContextId Edm.String Não O GUID da organização à qual o ator pertence.
ActorIpAddress Edm.String Não O endereço IP do ator no formato de endereço IPV4 ou IPV6.
InterSystemsId Edm.String Não O GUID que controla as ações entre componentes dentro do serviço do Office 365.
IntraSystemsId Edm.String Não O GUID gerado pelo Azure Active Directory para acompanhar a ação.
SupportTicketId Edm.String Não O ID do ticket de suporte ao cliente para a ação em situações de "agir em nome de".
Target Collection(Self.IdentityTypeValuePair) Não O usuário em que a ação (identificada pela propriedade Operation) foi executada.
TargetContextId Edm.String Não O GUID da organização à qual o usuário de destino pertence.

Tipo complexo IdentityTypeValuePair

Parâmetros Tipo Obrigatório? Descrição
ID Edm.String Sim O valor da identidade de acordo com o tipo.
Type Self.IdentityType Sim O tipo da identidade.

Enumeração: IdentityType - Tipo: Edm.Int32

IdentityType

Nome do membro Descrição
Claim A identidade é uma declaração para fins de autorização.
Name O ator de ação de auditoria ou o nome de exibição da identidade de destino.
Other A identidade do ator é outro tipo, como o ObjectId no GUID gerado pelo serviço do Office 365.
PUID O ator da ação de auditoria ou a ID exclusiva do passaporte de destino (PUID).
SPN A identidade de uma entidade de segurança de serviço, se a ação for executada pelo serviço do Office 365.
UPN O nome da entidade de segurança do usuário.

Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure

Parâmetros Tipo Obrigatório? Descrição
ApplicationId Edm.String Não O GUID que representa o aplicativo que está solicitando o logon. O nome de exibição pode ser pesquisado por meio da API de gráfico do Azure Active Directory.
Client Edm.String Não Informações do dispositivo cliente, fornecidas pelo navegador que executa o logon.
DeviceProperties Collection(Common.NameValuePair) Não Esta propriedade inclui vários detalhes do dispositivo, incluindo Id, Nome do Display, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId e DeviceTrustType. A propriedade DeviceTrustType pode ter os seguintes valores:

0 - Microsoft Entra registado
1 - Microsoft Entra aderido
2 - Associação a Microsoft Entra híbrida
ErrorCode Edm.String Não Para logons com falha (em que o valor da propriedade Operation é UserLoginFailed), essa propriedade contém o código de erro STS do Azure Active Directory (AADSTS). Para obter descrições desses códigos de erro, confira Códigos de erro de autenticação e autorização. Um valor de 0 indica um logon bem-sucedido.
LogonError Edm.String Não Para logons com falha, esta propriedade contém uma descrição legível pelo usuário do motivo do logon com falha.

Esquema DLP

Os eventos DLP estão disponíveis para Exchange Online, Ponto Final (dispositivos) e SharePoint Online e OneDrive para Empresas. Observe que os eventos de DLP no Exchange só estão disponíveis para eventos com base na política DLP unificada (por exemplo, configurados por meio do Centro de Conformidade e Segurança). Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.

Os eventos de DLP (Prevenção contra Perda de Dados) sempre terão UserKey = "DlpAgent" no esquema Comum. Existem três tipos DlpEvents que estão armazenados como o valor da propriedade Operation do esquema comum:

  • DlpRuleMatch – indica que uma regra foi correspondida. Estes eventos existem em todos os OneDrive for Business e Exchange, Endpoint(dispositivos) e SharePoint Online. Para o Exchange, inclui informações de falsos positivos e de substituição. Para o SharePoint Online e o OneDrive for Business, falsos positivos e as substituições geram eventos separados.

  • DlpRuleUndo – existem apenas no SharePoint Online e no OneDrive for Business e indicam que uma ação de política aplicada anteriormente foi "desfeita" – seja por causa de designação de falso positivo/substituição pelo usuário, ou porque o documento não está mais sujeito à política (seja devido a mudança de política ou alteração de conteúdo no documento).

  • DlpInfo – existem apenas no SharePoint Online e no OneDrive for Business e indicam uma designação de falso positivo, mas nenhuma ação foi "desfeita".

Parâmetros Tipo Obrigatório Descrição
SharePointMetaData Self.SharePointMetadata Não Descreve os metadados sobre o documento no SharePoint ou o OneDrive for Business que continham as informações confidenciais.
ExchangeMetaData Self.ExchangeMetadata Não Descreve os metadados sobre a mensagem de email que continha as informações confidenciais.
EndpointMetaData Eu próprio. EndpointMetadata Não Descreve metadados sobre o documento no ponto final que continha as informações confidenciais
ExceptionInfo Edm.String Não Identifica os motivos pelos quais uma política não se aplica mais e/ou qualquer informação sobre falso positivos e/ou substituição observada pelo usuário final.
PolicyDetails Collection(Self.PolicyDetails) Sim Informações sobre uma ou mais políticas que dispararam o evento de DLP.
SensitiveInfoDetectionIsIncluded Boolean Sim Indica se o evento contém o valor do tipo de dados confidenciais e o contexto adjacente do conteúdo de origem. O acesso a dados confidenciais exige a permissão "Ler eventos de política DLP, incluindo detalhes confidenciais" no Azure Active Directory.

Tipo complexo SharePointMetadata

Parâmetros Tipo Obrigatório? Descrição
From Edm.String Sim O usuário que disparou o evento. Será FileOwner, LastModifier ou LastSharer.
itemCreationTime Edm.Date Sim Datetimestamp em UTC de quando o evento foi registrado.
SiteCollectionGuid Edm.Guid Sim O GUID do conjunto de sites.
SiteCollectionUrl Edm.String Sim Nome do site do SharePoint.
FileName Edm.String Sim Nome do caminho.
FileOwner Edm.String Sim O proprietário do documento.
FilePathUrl Edm.String Sim A URL do documento.
DocumentLastModifier Edm.String Sim O usuário que modificou o documento pela última vez.
DocumentSharer Edm.String Sim O usuário que modificou pela última vez o compartilhamento do documento.
UniqueId Edm.String Sim Uma GUID que identifica o arquivo.
LastModifiedTime Edm.DateTime Sim Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez.
IsViewableByExternalUsers Edm.Boolean Sim Determina se o arquivo é acessível para qualquer usuário externo.

Tipo complexo ExchangeMetadata

Parâmetros Tipo Obrigatório? Descrição
MessageID Edm.String Sim A ID da mensagem do email que disparou o evento.
From Edm.String Sim O usuário que enviou o email.
To Collection(Edm.String) Não Uma coleção de endereços de email que estavam na linha Para da mensagem.
CC Collection(Edm.String) Não Uma coleção de endereços de email que estavam na linha CC da mensagem.
BCC Collection(Edm.String) Não Uma coleção de endereços de email que estavam na linha BCC da mensagem.
Subject Edm.String Sim Assunto da mensagem de email.
Sent Edm.DateTime Sim O horário em UTC de quando o email foi enviado.
RecipientCount Edm.Int32 Sim O número total de todos os destinatários nas linhas TO, CC e BCC da mensagem.

Tipo complexo EndpointMetadata

Parâmetros Tipo Obrigatório? Descrição
SensitiveInformation Collection(Self.SensitiveInformation) Não As informações sobre o tipo de informações confidenciais detectadas.
EnforcementMode Edm.String Sim Indique se a Regra DLP está definida como 03/01/2/4/5 que ilustra auditoria/aviso(bloco com substituição)/avisar e ignorar/bloquear/permitir(auditoria sem alertas), respetivamente.
FileExtension Edm.String Não A extensão de ficheiro do documento que continha as informações confidenciais.
FileType Edm.String Não O tipo de ficheiro do documento que satisfaciou as informações confidenciais.
DeviceName Edm.String Não O nome do dispositivo no qual a correspondência da regra DLP foi detetada.

Tipo complexo PolicyDetails

Parâmetros Tipo Obrigatório? Descrição
PolicyId Edm.Guid Sim O GUID da política DLP para este evento.
PolicyName Edm.String Sim O nome amigável da política DLP para este evento.
Rules Collection(Self.Rules) Sim As informações sobre as regras da política que foram atendidas para este evento.

Tipo complexo Rules

Parâmetros Tipo Obrigatório? Descrição
RuleId Edm.Guid Sim O GUID da regra DLP para este evento.
RuleName Edm.String Sim O nome amigável da regra DLP para este evento.
Actions Collection(Edm.String) Não Uma lista de ações tomadas como resultado de um evento DLP RuleMatch.
OverriddenActions Collection(Edm.String) Não Uma lista de ações realizadas anteriormente que foram desfeitas como resultado de um evento DLPRuleUndo.
Severity Edm.String Não A gravidade (Baixa, Média e Alta) da conformidade com a regra.
RuleMode Edm.String Sim Indique se a regra DLP foi definida como Enforce, Audit with Notify ou somente Audit.
ConditionsMatched Self.ConditionsMatched Não Os detalhes sobre quais condições da regra foram atendidas para este evento.

Tipo complexo ConditionsMatched

Parâmetros Tipo Obrigatório? Descrição
SensitiveInformation Collection(Self.SensitiveInformation) Não As informações sobre o tipo de informações confidenciais detectadas.
DocumentProperties Collection(NameValuePair) Não As informações sobre as propriedades do documento que dispararam uma correspondência de regra.
OtherConditions Collection(NameValuePair) Não Uma lista de pares de valores chave que descrevem quaisquer outras condições que foram correspondidas.

Tipo complexo SensitiveInformation

Parâmetros Tipo Obrigatório? Descrição
Confidence Edm.Int Sim A confiança agregada de todos os padrões corresponde ao Tipo de Informação Confidencial.
Count Edm.Int Sim O número total de instâncias confidenciais detectadas.
Local Edm.String Não
SensitiveType Edm.Guid Sim Um guid que identifica o tipo de dados confidenciais detectados.
SensitiveInformationDetections Self.SensitiveInformationDetections Não Uma matriz de objetos que contêm dados de informações confidenciais com os seguintes detalhes – valor correspondente e contexto do valor correspondente.
SensitiveInformationDetailedClassificationAttributes Coleção(SensitiveInformationDetailedConfidenceLevelResult) Sim Informações sobre a contagem do tipo de informação confidencial detectada para cada um dos três níveis de confiança (Alto, Médio e Baixo) e se ela corresponde à regra DLP ou não
SensitiveInformationTypeName Edm.String Não O nome do tipo de informação confidencial.
UniqueCount Edm.Int32 Sim A contagem exclusiva de instâncias confidenciais detectadas.

Tipo complexo SensitiveInformationDetailedClassificationAttributes

Parâmetros Tipo Obrigatório? Descrição
Confidence Edm.int32 Sim O nível de confiança do padrão que foi detectado.
Contar Edm.Int32 Sim O número de instâncias confidenciais detectadas para um nível de particular de confiança.
IsMatch Edm.Boolean Sim Indica se a contagem fornecida e o nível de confiança do tipo confidencial detectado resulta em uma correspondência de regra de DLP.

Tipo complexo SensitiveInformationDetections

Os dados confidenciais de DLP só estão disponíveis na API do feed de atividades para usuários que receberam permissões para "Ler dados confidenciais de DLP".

Parâmetros Tipo Obrigatório? Descrição
ValoresDetectados Coleção(Common.NameValuePair) Sim Uma matriz de informações confidenciais que foram detectadas. As informações contêm pares chave-valor com Valor = valor correspondente (por exemplo, Valor de card de crédito) e Context = um excerto do conteúdo de origem que contém o valor correspondente.
ResultsTruncated Edm.Boolean Sim Indica se os logs foram truncados devido ao grande número de resultados.

Tipo complexo ExceptionInfo

Parâmetros Tipo Obrigatório? Descrição
Reason Edm.String Não Para um evento DLPRuleUndo, isso indica por que a regra não se aplica mais, o que pode ocorrer devido a um dos três motivos: substituição, alteração de documento ou alteração de política
FalsePositive Edm.Boolean Não Indica se o usuário designou esse evento como falso positivo.
Justification Edm.String Não Se o usuário tiver optado por substituir a política, qualquer justificativa especificada pelo usuário será capturada aqui.
Rules Collection(Edm.Guid) Não Uma coleção de guids para cada regra designada como falso positivo ou substituta, ou para a qual uma ação foi desfeita.

Esquema do Centro de Conformidade e Segurança

Parâmetros Tipo Obrigatório Descrição
StartTime Edm.Date Não A data e hora em que o cmdlet foi executado.
ClientRequestId Edm.String Não Um GUID que pode ser usado para correlacionar esse cmdlet com as operações de UX do Centro de Conformidade e Segurança. Essas informações são usadas apenas pelo suporte da Microsoft.
CmdletVersion Edm.String Não A versão de build do cmdlet quando foi executado.
EffectiveOrganization Edm.String Não O GUID da organização afetada pelo cmdlet. (Descontinuado: este parâmetro será retirado no futuro.)
UserServicePlan Edm.String Não O plano de serviço Proteção do Exchange Online atribuído ao usuário que executou o cmdlet.
ClientApplication Edm.String Não Se o cmdlet tiver sido executado por um aplicativo, ao contrário do PowerShell remoto, esse campo conterá o nome desse aplicativo.
Parâmetros Edm.String Não O nome e o valor dos parâmetros que foram usados ​​com o cmdlet que não incluem Informações de Identificação Pessoal.
NonPiiParameters Edm.String Não O nome e o valor dos parâmetros que foram usados ​​com o cmdlet que incluem Informações de Identificação Pessoal. (Preterido: esse campo será retirado no futuro e seu conteúdo mesclado com o campo de parâmetros.)

Esquema de Alertas de Conformidade e Segurança

Os sinais de alerta incluem:

O UserId e o UserKey desses eventos são sempre SecurityComplianceAlerts. Existem três tipos de alertas de eventos que estão armazenados como o valor da propriedade Operation do esquema comum:

  • AlertTriggered – um novo alerta é gerado devido a uma correspondência com a política.

  • AlertEntityGenerated – uma nova entidade é adicionada a um alerta. Este evento somente é aplicável aos alertas gerados com base nas Políticas de Alerta no Centro de Conformidade e Segurança. Cada alerta gerado pode ser associado a um ou vários desses eventos. Por exemplo, uma política de alerta é definida para disparar um alerta se um usuário exclui mais de 100 arquivos em cinco minutos. Se dois usuários ultrapassarem o limite ao mesmo tempo, haverá dois eventos AlertEntityGenerated, mas apenas um evento AlertTriggered.

  • AlertUpdated - uma atualização foi feita aos metadados de um alerta. Esse evento é registrado quando o status de um alerta é alterado (por exemplo, de "ativo" para "resolvido") e quando alguém adiciona um comentário ao alerta.

Parâmetros Tipo Obrigatório Descrição
AlertId Edm.Guid Sim O GUID do alerta.
AlertType Self.String Sim Tipo do alerta. Os tipos de alertas incluem:
  • Sistema
  • Personalizado
Name Edm.String Sim Nome do alerta.
PolicyId Edm.Guid Não O GUID da política que disparou o alerta.
Status Edm.String Não Status do alerta. Os status incluem:
  • Ativo

  • Investigando
  • Resolvido
  • Descartado
Severity Edm.String Não Gravidade do alerta. Os níveis de gravidade incluem:
  • Baixo
  • Médio
  • Alto
Categoria Edm.String Não Categoria do alerta. As categorias incluem:
  • AccessGovernance
  • DataGovernance
  • DataLossPrevention
  • InsiderRiskManagement
  • MailFlow
  • ThreatManagement
  • Outros
Source Edm.String Não Fonte do alerta. As fontes incluem:
  • Conformidade e Segurança do Office 365
  • Segurança no Aplicativo na Nuvem
Comments Edm.String Não Comentários realizados pelos usuários que visualizaram o alerta. Por padrão, é "Novo alerta".
Data Edm.String Não O BLOB de dados de detalhes do alerta ou da entidade de alerta.
AlertEntityId Edm.String Não O identificador da entidade de alerta. Esse parâmetro só é aplicável em eventos AlertEntityGenerated.
EntityType Edm.String Não Tipo de entidade ou entidade de alerta. Os tipos de entidades incluem:
  • User
  • Recipients
  • Sender
  • MalwareFamily
Esse parâmetro só é aplicável em eventos AlertEntityGenerated.

Esquema do Yammer

Os eventos do Yammer listados em Pesquisar no log de auditoria no Centro de Conformidade e Segurança usarão esse esquema.

Parâmetros Tipo Obrigatório Descrição
ActorUserId Edm.String Não Email do usuário que executou a operação.
ActorYammerUserId Edm.Int64 Não ID do usuário que executou a operação.
DataExportType Edm.String Não Retorna "dados" se a exportação de dados incluir mensagens, notas, arquivos, tópicos, usuários e grupos; retorna "usuário" se a exportação de dados incluir apenas usuários.
FileId Edm.Int64 Não ID do arquivo na operação.
FileName Edm.String Não Nome do arquivo na operação. Será exibido em branco se não for relevante para a operação.
GroupName Edm.String Não Nome do grupo na operação. Será exibido em branco se não for relevante para a operação.
IsSoftDelete Edm.Boolean Não Retorna "true" se a política de retenção de dados da rede estiver definida como exclusão reversível; retorna "false" se a política de retenção de dados da rede estiver definida como Exclusão Irreversível.
MessageId Edm.Int64 Não ID da mensagem na operação.
YammerNetworkId Edm.Int64 Não ID da rede do usuário que executou a operação.
TargetUserId Edm.String Não Email do usuário de destino na operação. Será exibido em branco se não for relevante para a operação.
TargetYammerUserId Edm.Int64 Não ID do usuário de destino na operação.
VersionId Edm.Int64 Não ID da versão do arquivo na operação.

Esquema Base de Segurança do Data Center

Parâmetros Tipo Obrigatório? Descrição
DataCenterSecurityEventType Self.DataCenterSecurityEventType Sim O tipo de evento cmdlet na caixa de bloqueio.

Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32

DataCenterSecurityEventType

Nome do membro Descrição
DataCenterSecurityCmdletAuditEvent Esse é o valor de enumeração para o evento de tipo de auditoria de cmdlet.

Esquema Cmdlet de Segurança do Data Center

Parâmetros Tipo Obrigatório? Descrição
StartTime Edm.Date Sim O horário de início da execução do cmdlet.
EffectiveOrganization Edm.String Sim O nome do locatário para o qual a elevação/cmdlet foi direcionado.
ElevationTime Edm.Date Sim O horário de início da elevação.
ElevationApprover Edm.String Sim O nome de um gerente da Microsoft.
ElevationApprovedTime Edm.Date Não O carimbo de data/hora para quando a elevação foi aprovada.
ElevationRequestId Edm.Guid Sim Um identificador exclusivo para a solicitação de elevação.
ElevationRole Edm.String Não A função da elevação.
ElevationDuration Edm.Int32 Sim A duração para a qual a elevação estava ativa.
GenericInfo Edm.String Não Usada para comentários e outras informações genéricas.

Esquema do Microsoft Teams

Parâmetros Tipo Obrigatório? Descrição
Action Edm.String Não Para eventos de canal compartilhado, a ação realizada pelo convidado ou pelo proprietário do canal para um compartilhamento com convite de equipe.
AddOnGuid Edm.Guid Não O identificador exclusivo do complemento que gerou esse evento.
AddOnName Edm.String Não O nome do complemento que gerou esse evento.
AddOnType Self.AddOnType Não O tipo de complemento que gerou esse evento.
ChannelGuid Edm.Guid Não Um identificador exclusivo para o canal que está sendo auditado.
ChannelName Edm.String Não O nome do canal que está sendo auditado.
ChannelType Edm.String Não O tipo de canal que está sendo auditado (padrão/particular).
ExtraProperties Coleção (Self. KeyValuePair) Não Uma lista de propriedades adicionais.
HostedContents Coleção (Self.HostedContent) Não Uma coleção de conteúdo hospedado por mensagem de chat ou canal.
Convidado Edm.String Não Para eventos de canal compartilhado, o UPN do proprietário da equipe convidada que aceita ou recusa o convite para um compartilhamento com convite de equipe.
Members Collection(Self.MicrosoftTeamsMember) Não Uma lista de usuários dentro de uma equipe.
MessageId Edm.String Não Um identificador para uma mensagem de bate-papo ou canal.
MessageURLs Edm.String Não Presente para qualquer URL enviado nas mensagens do Teams.
Mensagens Coleção (Self.Message) Não Uma coleção de mensagens de chat ou canal.
MessageSizeInBytes Edm.Int64 Não O tamanho de uma mensagem de chat ou canal em bytes com codificação UTF-16.
Nome Edm.String Não Só apresenta para eventos de configurações. Nome da configuração que foi alterada.
NewValue Edm.String Não Só apresenta para eventos de configurações. Novo valor da configuração.
OldValue Edm.String Não Só apresenta para eventos de configurações. Valor antigo da configuração.
SubscriptionId Edm.String Não Um identificador exclusivo de uma assinatura de notificação de alteração do Microsoft Graph.
TabType Edm.String Não Só apresenta para eventos de tabulação. O tipo de guia que gerou esse evento.
TeamGuid Edm.Guid Não Um identificador exclusivo para a equipe que está sendo auditada.
TeamName Edm.String Não O nome da equipe que está sendo auditada.

Tipo complexo MicrosoftTeamsMember

Parâmetros Tipo Obrigatório? Descrição
UPN Edm.String Não O nome da entidade de segurança do usuário.
Role Self.MemberRoleType Não A função de usuário dentro da equipe.
DisplayName Edm.String Não O nome de exibição do usuário.

Enumeração: MemberRoleType - Tipo: Edm.Int32

MemberRoleType

Valor Nome do membro Descrição
0 Member Um usuário que é um membro da equipe.
1 Owner Um usuário que é o proprietário da equipe.
2 Guest Um usuário que não é um membro da equipe.

KeyValuePair tipo complexo

Parâmetros Tipo Obrigatório? Descrição
Chave Edm.String Não A chave do par de valor-chave.
Valor Edm.String Não O valor do par de valor-chave.

Enumeração: AddOnType - Tipo: Edm.Int32

AddOnType

Valor Nome do membro Descrição
1 Bot Um bot do Microsoft Teams.
2 Connector Um conector do Microsoft Teams.
3 Tab Uma guia do Microsoft Teams.

Tipo complexo HostedContent

Parâmetros Tipo Obrigatório? Descrição
Id Edm.String Sim Um identificador exclusivo do conteúdo hospedado da mensagem.
Sizeinbytes Edm.Int64 Não O tamanho do conteúdo hospedado da mensagem em bytes.

Tipo complexo de mensagem

Parâmetros Tipo Obrigatório? Descrição
AADGroupId Edm.String Não Um identificador exclusivo do grupo no Azure Active Directory ao qual a mensagem pertence.
Id Edm.String Sim Um identificador exclusivo da mensagem de chat ou canal.
ChannelGuid Edm.String Não Um identificador exclusivo do canal a que pertence a mensagem.
ChannelName Edm.String Não O nome do canal ao qual a mensagem pertence.
ChannelType Edm.String Não O tipo do canal ao qual a mensagem pertence.
Nome do Chat Edm.String Não O nome do chat ao qual a mensagem pertence.
ChatThreadId Edm.String Não Um identificador exclusivo do chat ao qual a mensagem pertence.
ParentMessageId Edm.String Não Um identificador exclusivo da mensagem do canal ou chat pai.
Sizeinbytes Edm.Int64 Não O tamanho da mensagem em bytes com codificação UTF-16.
TeamGuid Edm.String Não Um identificador exclusivo da equipe à qual a mensagem pertence.
TeamName Edm.String Não O nome da equipe à qual a mensagem pertence.
Versão Edm.String Não A versão do chat ou mensagem do canal.

Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças

Microsoft Defender para Office 365 e eventos de Investigação e Resposta a Ameaças estão disponíveis para clientes do Office 365 que tenham um Plano 1 do Defender para Office 365, Plano 2 do Defender para Office 365 ou uma assinatura E5. Cada evento no feed do Defender para Office 365 corresponde aos seguintes eventos que foram determinados como contendo uma ameaça:

Observação

As capacidades do Microsoft Defender para Office 365 e da Investigação e Resposta a Ameaças do Office 365(anteriormente conhecidos como Inteligência contra Ameaças do Office 365) agora fazem parte do Plano 2 do Defender para Office 365, com recursos adicionais de proteção contra ameaças. Para saber mais, consulte Planos e preços do Microsoft Defender para Office 365 e a Descrição do serviço Defender para Office 365.

Eventos de mensagens de email

Parâmetros Tipo Obrigatório? Descrição
AttachmentData Collection(Self.AttachmentData) Não Os dados sobre anexos na mensagem de email que acionaram o evento.
Tipo de detecção Edm.String Sim O tipo de detecção (por exemplo, Embutido – detectada na hora da entrega; Atrasado – detectada após a entrega; ZAP – mensagens removidas pela Limpeza Automática Zero Hora). Os eventos com o tipo de detecção ZAP normalmente são precedidos por uma mensagem com um tipo de detecção Atrasado.
DetectionMethod Edm.String Sim O método ou tecnologia usada pelo Defender for Office 365 para a detecção.
InternetMessageId Edm.String Sim A ID da mensagem da Internet.
NetworkMessageId Edm.String Sim A ID da mensagem de rede do Exchange Online.
P1Sender Edm.String Sim O caminho de retorno do remetente da mensagem de email.
P2Sender Edm.String Sim O remetente da mensagem de email.
Política Self.Policy Sim O tipo de política de filtragem (por exemplo, Anti-spam ou Anti-phishing) e o tipo de ação relacionada (por exemplo, Spam de Alta Confiança, Spam ou Phishing) relevante para a mensagem de email.
Política Self.PolicyAction Sim A ação configurada na política de filtragem (por exemplo, Mover para a pasta Lixo Eletrônico ou Quarentena) relevante para a mensagem de email.
P2Sender Edm.String Sim O Remetente: da mensagem de email.
Destinatários Collection(Edm.String) Sim Uma matriz de destinatários da mensagem de email.
SenderIp Edm.String Sim O endereço IP que enviou o email do Office 365. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Subject Edm.String Sim A linha de assunto da mensagem.
Verdict Edm.String Sim A conclusão da mensagem.
MessageTime Edm.Date Sim Data e hora em UTC (Tempo Universal Coordenado), na qual a mensagem de email foi recebida ou enviada.
EventDeepLink Edm.String Sim Link profundo para o evento de email no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança do Office 365.
Ação de Entrega Edm.String Sim A ação de entrega original na mensagem.
Local de Entrega original Edm.String Sim O local de entrega original da mensagem.
Local de Entrega mais recente Edm.String Sim O local de entrega mais recente da mensagem no momento do evento.
Directionality Edm.String Sim Identifica se uma mensagem foi de entrada, de saída ou de dentro da organização.
ThreatsAndDetectionTech Edm.String Sim As ameaças e as tecnologias de detecção correspondentes. Este campo expõe todas as ameaças em uma mensagem, incluindo a adição mais recente no veredicto de spam.  Por exemplo, ["Phishing: [falsificar DMARC]", "Spam: [URL de reputação maliciosa]"]. As diferentes ameaças de detecção e tecnologias de detecção são descritas a seguir.
AdditionalActionsAndResults Collection(Edm.String) Não As ações adicionais realizadas no email, como ZAP ou Correção Manual. Também inclui os resultados correspondentes.
Conectores Edm.String Não Os nomes e GUIDs dos conectores associados ao email.
AuthDetails Collection(Self.AuthDetails) Não As verificações de autenticação feitas para o email. Também inclui os valores de SPF, DKIM, DMARC e CompAuth.
SystemOverrides Collection(Self.SystemOverrides) Não Substituições que são aplicáveis ao email. Estas podem ser anulações do sistema ou do usuário.
Nível de Confiança de Phishing Edm.String Não Indica o nível de confiança associado ao veredicto de Phishing. Pode ser Normal ou Alto.

Observação

Recomendamos o uso do novo campo ThreatsAndDetectionTech porque ele mostra vários veredictos e as tecnologias de detecção atualizadas. Esse campo também se alinha com os valores observados em outras experiências, como no Explorador de ameaças e na busca avançada de ameaças.

Tecnologias de detecção

Nome Descrição
Filtro avançado Sinais de phishing com base no aprendizado de máquina.
Mecanismo antimalware Detecção de mecanismos antimalware.
Campanha Mensagens identificadas como parte de uma campanha.
Reputação do domínio Análise baseada na reputação do domínio.
Detonação de arquivo Anexos de arquivo considerados perigosos durante a análise de detonação.
Reputação da detonação de arquivo Anexo de arquivo marcado como perigoso devido à reputação da detonação anterior.
Reputação de arquivos Anexos de arquivo marcados como perigosos devido à má reputação.
Correspondência de impressão digital A mensagem foi marcada como perigosa devido a mensagens anteriores.
Filtro geral Sinais de phishing baseados em regras.
Marca de usurpação de identidade O tipo de arquivo do anexo.
Domínio de usurpação de identidade Usurpação de identidade de domínios que o cliente possui ou define.
Usuário de usurpação de identidade Usurpação de identidade de usuários definida pelo administrador ou aprendida por meio da inteligência de caixa de correio.
Usurpação de identidade da inteligência de caixa de correio Usurpação de identidade baseada na inteligência de caixa de correio.
Detecção de análise mista Vários filtros contribuíram para o veredicto desta mensagem.
DMARC falso Falha de autenticação DMARC para mensagens.
Domínio externo falso O remetente está tentando falsificar algum outro domínio.
Falsificação dentro da organização O remetente está tentando falsificar o domínio do destinatário.
Detonação de URL A mensagem foi considerada perigosa devido a uma detonação de URL maliciosa anterior.
Reputação da detonação de URL A mensagem foi considerada perigosa devido à detonação de URL mal-intencionada.
Reputação mal-intencionada de URL A mensagem foi considerada perigosa devido a uma URL mal-intencionada.

Tipo complexo AttachmentData

AttachmentData

Parâmetros Tipo Obrigatório? Descrição
FileName Edm.String Sim O nome do arquivo do anexo.
FileType Edm.String Sim O tipo de arquivo do anexo.
FileVerdict Self.FileVerdict Sim O veredicto de malware do arquivo.
MalwareFamily Edm.String Não A família de malware do arquivo.
SHA256 Edm.String Sim O hash SHA256 do arquivo.

Observação

Na família Malware, poderá ver o nome exato MalwareFamily (por exemplo, HTML/Phish.VS! MSR) ou Payload Malicioso como uma cadeia estática. Uma carga maliciosa ainda deve ser tratada como email malicioso quando um nome específico não é identificado.

Tipo complexo SystemOverrides

SystemOverrides

Parâmetros Tipo Obrigatório? Descrição
Detalhes Edm.String Não Os detalhes sobre a substituição específica (como ETR ou Remetente seguro) que foi aplicada.
FinalOverride Edm.String Não Indica a substituição que afetou a entrega no caso de várias substituições.
Resultado Edm.String Não Indica se o email foi definido como permitido ou bloqueado com base na substituição.
Source Edm.String Não Indica se a substituição foi configurada pelo usuário ou pelo locatário.

Tipo complexo AuthDetails

AuthDetails

Parâmetros Tipo Obrigatório? Descrição
Nome Edm.String Não O nome da verificação de autenticação específica, como DKIM ou DMARC.
Valor Edm.String Não O valor associado à verificação de autenticação específica, como Verdadeiro ou Falso.

Enumeração: FileVerdict - Tipo: Edm.Int32

FileVerdict

Valor Nome do membro Descrição
0 Good Nenhuma ameaça detectada.
1 Bad Malware encontrado no anexo.
-1 Error Erro de varredura/análise.
-2 Timeout Tempo limite de varredura/análise.
-3 Pending Varredura/análise não concluída.

Enumeração: Policy - Tipo: Edm.Int32

Tipo de política e tipo de ação

Valor Nome do membro Descrição
1 Anti-spam, HSPM Ação de HSPM (Spam de Alta Confiança) na política anti-spam.
2 Anti-spam, SPM Ação de Spam (SPM) na política anti-spam.
3 Anti-spam, em massa Ação em massa na política anti-spam.
4 Anti-spam, PHSH Ação de PHSH (phishing) na política anti-spam.
5 Anti-phishing, DIMP Ação de Representação de Domínio (DIMP) na política anti-phishing.
6 Anti-phishing, UIMP Ação de Representação de Usuários (UIMP) na política anti-phishing.
7 Anti-phishing, SPOOF Ação falsa na política anti-phishing.
8 Anti-phishing, GIMP Ação de inteligência da caixa de correio na política Antiphishing.
9 Antimalware, AMP Ação de política de malware na política antimalware.
10 Anexo seguro, SAP Ação da política nos anexos Seguros na política do Defender para Office 365.
11 Regra de transporte do Exchange, ETR Ação de diretiva na Regra de Transporte do Exchange.
12 Antimalware, ZAPM Ação de política de malware na política antimalware aplicada ao ZAP (zero-hour purge).
13 Anti-phishing, ZAPP Ação de política de phishing na política anti-phishing aplicada ao ZAP.
14 Anti-phishing, ZAPS Ação de política de spam na política antispam aplicada ao ZAP.
15 Antispam, email de phishing de alta confiança (HPHISH) Ação de política de phishing de alta confiabilidade na política antispam.
17 Antispam, política de spam de saída (OSPM) Ação de política na política de filtro de spam de saída em Antispam.

Enumeração: PolicyAction - Tipo: Edm.Int32

Ação de política

Valor Nome do membro Descrição
0 MoveToJMF A ação de política é mover para a pasta Lixo Eletrônico.
1 AddXHeader A ação de política é adicionar o cabeçalho X à mensagem de email.
2 ModifySubject A ação de política é modificar o assunto na mensagem de email com as informações especificadas pela política de filtragem.
3 Redirecionamento A ação de política é redirecionar a mensagem de email para o endereço de email especificado pela política de filtragem.
4 Excluir A ação de política é excluir (descartar) a mensagem de email.
5 Quarentena A ação de política é colocar a mensagem de email em quarentena.
6 NoAction A política está configurada para não executar nenhuma ação na mensagem de email.
7 BccMessage A ação de política é Cco a mensagem de email para o endereço de email especificado pela política de filtragem.
8 ReplaceAttachment A ação de política é substituir o anexo na mensagem de email com as informações especificadas pela política de filtragem.

Eventos de momento do clique da URL

Parâmetros Tipo Obrigatório? Descrição
UserId Edm.String Sim O identificador (por exemplo, endereço de email) do usuário que clicou na URL.
AppName Edm.String Sim O serviço do Office 365 em que a URL foi clicada (por exemplo, o Email).
URLClickAction Automaticamente. URLClickAction Sim Clique na ação para o URL com base nas políticas da organização para Links Seguros no Defender para Office 365.
SourceId Edm.String Sim O identificador do serviço do Office 365 em que a URL foi clicada (por exemplo, para o Email, essa é a ID de Mensagens da Rede do Exchange Online).
TimeOfClick Edm.Date Sim A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário clicou na URL.
URL Edm.String Sim URL clicada pelo usuário.
UserIp Edm.String Sim O endereço IP do usuário que clicou na URL. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.

Enumeração: URLClickAction – Tipo: Edm.Int32

URLClickAction

Valor Nome do membro Descrição
2 Blockpage Usuário impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365.
3 PendingDetonationPage É apresentado ao Usuário uma página de detonação pendente pelo serviço Links Seguros no Defender para o Office 365.
4 BlockPageOverride O usuário é impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar para a URL
5 PendingDetonationPageOverride É apresentado ao Usuário uma página de detonação pelo serviço Links Seguros no Defender para o Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar até o URL.

Eventos de arquivo

Parâmetros Tipo Obrigatório? Descrição
FileData Self.FileData Sim Dados sobre o arquivo que disparou o evento.
SourceWorkload Self.SourceWorkload Sim Carga de trabalho ou serviço em que o arquivo foi encontrado (por exemplo, SharePoint Online, OneDrive for Business ou Microsoft Teams)
DetectionMethod Edm.String Sim O método ou tecnologia usada pelo Microsoft Defender para Office 365 para a detecção.
LastModifiedDate Edm.Date Sim Data e hora em UTC (Tempo Universal Coordenado), na qual o arquivo foi criado ou modificado pela última vez.
LastModifiedBy Edm.String Sim O identificador (por exemplo, um endereço de email) do usuário que criou ou modificou pela última vez o arquivo.
EventDeepLink Edm.String Sim Link profundo para o evento de arquivo no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança.

Tipo complexo FileData

FileData

Parâmetros Tipo Obrigatório? Descrição
DocumentId Edm.String Sim O identificador exclusivo do arquivo nas plataformas SharePoint, OneDrive ou Microsoft Teams.
FileName Edm.String Sim Nome do arquivo que disparou o evento.
FilePath Edm.String Sim Caminho (local) do arquivo no SharePoint, OneDrive ou Microsoft Teams.
FileVerdict Self.FileVerdict Sim O veredicto de malware do arquivo.
MalwareFamily Edm.String Não A família de malware do arquivo.
SHA256 Edm.String Sim O hash SHA256 do arquivo.
FileSize Edm.String Sim Tamanho do arquivo em bytes.

Enumeração: SourceWorkload – Tipo: Edm.Int32

SourceWorkload

Valor Nome do membro
0 SharePoint Online
1 OneDrive for Business
2 Microsoft Teams

Esquema de envio

Os eventos de envio estão disponíveis para todos os clientes do Office 365, pois vêm com segurança. Isso inclui organizações que usam a Proteção do Exchange Online e o Microsoft Defender para Office 365. Cada evento no feed de envio corresponde a falsos positivos ou falsos negativos que foram enviados como:

  • Envio do administrador. Mensagens, arquivos ou URLs enviados à Microsoft para análise.
  • Item relatádo pelo usuário. Mensagens relatadas pelos usuários finais ao administrador ou à Microsoft para análise.

Eventos de envio

Parâmetros Tipo Obrigatório? Descrição
AdminSubmissionRegistered Edm.String Não O envio do administrador está registrado e está pendente para processamento.
AdminSubmissionDeliveryCheck Edm.String Não O sistema de envio do administrador verificou a política do email.
AdminSubmissionSubmitting Edm.String Não O sistema de envio do administrador está enviando o email.
AdminSubmissionSubmitted Edm.String Não O sistema de envio do administrador enviou o email.
AdminSubmissionTriage Edm.String Não O envio do administrador é classificado pelo avaliador.
AdminSubmissionTimeout Edm.String Não O envio do administrador atingiu o tempo limite sem nenhum resultado.
UserSubmission Edm.String Não O envio foi relatado pela primeira vez por um usuário final.
UserSubmissionTriage Edm.String Não O envio do usuário é classificado pelo avaliador.
CustomSubmission Edm.String Não A mensagem relatada por um usuário foi enviada à caixa de correio personalizada da organização, conforme definido nas configurações de mensagens de relatório do usuário.
AttackSimUserSubmission Edm.String Não A mensagem relatada pelo usuário era, na verdade, uma mensagem de treinamento de simulação de phishing.
AdminSubmissionTablAllow Edm.String Não Uma permissão foi criada no momento do envio para executar a ação imediatamente em mensagens semelhantes enquanto ela está sendo verificada novamente.
SubmissionNotification Edm.String Não Os comentários da administração são enviados para o usuário final.

Eventos de investigação e resposta automatizadas no Office 365

Os eventos de investigação e resposta automatizada do Office 365 (AIR) estão disponíveis para clientes do Office 365 que possuem uma assinatura que inclui o Plano 2 do Microsoft Defender para Office 365 ou Office 365 E5. Os eventos de investigação são registrados com base em uma alteração no status de investigação. Por exemplo, quando um administrador realiza uma ação que altera o status de uma investigação de Ações Pendentes para Concluídas, um evento é registrado.

No momento, somente investigações automatizadas são registradas. (Eventos de investigações geradas manualmente serão disponibilizados em breve.) Os seguintes valores de status são registrados:

  • Investigação Iniciada
  • Nenhuma ameaça encontrada
  • Encerrado pelo sistema
  • Ação Pendente
  • Ameaça Encontrada
  • Remediado
  • Falhou
  • Encerrado pela limitação
  • Encerrado Pelo Usuário
  • Em execução

Esquema de investigação principal

Nome Tipo Descrição
InvestigationId Edm.String Investigação ID/GUID
InvestigationName Edm.String Nome da investigação
InvestigationType Edm.String Tipo da investigação. Pode ter um dos seguintes valores:
- Mensagens relatadas pelo usuário
- Malware com Limpeza Automática Zero Hora
- Phishing com Limpeza Automática Zero Hora
- Alteração de Veredito de URL

(Investigações manuais não estão disponíveis no momento. Serão disponibilizadas em breve.)

LastUpdateTimeUtc Edm.Date Hora UTC da última atualização para uma investigação
StartTimeUtc Edm.Date Hora de início para uma investigação
Status Edm.String Estado de investigação, Execução, Ações Pendentes, etc.
DeeplinkURL Edm.String URL do link profundo para uma investigação no Centro de Conformidade & Segurança do Office 365
Ações Coleção (Edm.String) Conjunto de ações recomendadas por uma investigação
Dados Edm.String Cadeia de dados que contém mais detalhes sobre entidades de investigação e informações sobre alertas relacionados à investigação. As entidades estão disponíveis em um nó separado no blob de dados.

Ações

Campo Tipo Descrição
ID Edm.String ID da ação
ActionType Edm.String O tipo de ação, como a correção de email
ActionStatus Edm.String Os valores incluem:
- Pendente
- Executando
- Aguardando o recurso
- Concluído
- Falhou
ApprovedBy Edm.String Nulo se for aprovado automaticamente; caso contrário, o nome de usuário/ID (isso será lançado em breve)
TimestampUtc Edm.DateTime O carimbo de data/hora da alteração do status da ação
ActionId Edm.String Identificador exclusivo da ação.
InvestigationId Edm.String Identificador exclusivo da investigação.
RelatedAlertIds Collection(Edm.String) Alertas relacionados a uma investigação
StartTimeUtc Edm.DateTime Carimbo de data/hora da criação da ação
EndTimeUtc Edm.DateTime Carimbo de data/hora de atualização do status final da ação
Identificadores de recursos Edm.String Consiste na ID de locatário do Azure Active Directory.
Entidades Collection(Edm.String) Lista de uma ou mais entidades afetadas por ação
IDs de Alertas Relacionados Edm.String Alerta relacionado a uma investigação

Entidades

MailMessage

Campo Tipo Descrição
Tipo Edm.String "mail-message"
Arquivos Coleção (Self.File) Detalhes dos arquivos dos anexos da mensagem
Destinatário Edm.String O destinatário da mensagem de email
URLs Collection(Self.URL) Os URLs contidos na mensagem de email
Remetente Edm.String O endereço de email do remetente.
SenderIp Edm.String O endereço de IP do remetente.
ReceivedDate Edm.DateTime A data de recebimento da mensagem
NetworkMessageId Edm.Guid A ID de mensagem da rede da mensagem de email
InternetMessageId Edm.String A ID de mensagem da internet da mensagem de email
Assunto Edm.String O assunto da mensagem de email

IP

Campo Tipo Descrição
Tipo Edm.String "ip"
Endereço Edm.String O endereço IP como uma cadeia de caracteres, como, por exemplo, 127.0.0.1

URL

Campo Tipo Descrição
Tipo Edm.String "url"
Url Edm.String A URL completa para a qual uma entidade aponta

Caixa de correio (também equivalente ao usuário)

Campo Tipo Descrição
Tipo Edm.String “Caixa de correio”
MailboxPrimaryAddress Edm.String O endereço principal da caixa de correio
DisplayName Edm.String O nome de exibição da caixa de correio.
UPN Edm.String UPN da caixa de correio

Arquivo

Campo Tipo Descrição
Tipo Edm.String “Arquivo”
Nome Edm.String O nome do arquivo sem caminho
FileHashes Coleção (Edm.String) Os hashes de arquivo estão associado ao arquivo.

FileHash

Campo Tipo Descrição
Tipo Edm.String "filehash"
Algoritmo Edm.String O tipo de algoritmo hash, que pode ser um destes valores:
- Desconhecido
- MD5
- SHA1
- SHA256
- SHA256AC
Valor Edm.String O valor do hash

MailCluster

Campo Tipo Descrição
Tipo Edm.String "MailCluster"
Determina o tipo de entidade discutida
NetworkMessageIds Coleção (Edm.String) Lista das IDs de mensagem de email que fazem parte do cluster de emails
CountByDeliveryStatus Coleções (Edm.String) Contagem de mensagens de email por cadeia de caracteres DeliveryStatus
CountByThreatType Coleções (Edm.String) Contagem de mensagens de email por cadeia de caracteres ThreatType
Ameaças Coleções (Edm.String) As ameaças de mensagens de email que fazem parte do cluster de emails. As ameaças incluem valores como Phish e Malware.
Consulta Edm.String A consulta usada para identificar as mensagens do cluster de emails
QueryTime Edm.DateTime O tempo de consulta
MailCount Edm.int O número de mensagens de email que fazem parte do cluster de emails
Origem Cadeia de Caracteres A origem do cluster de email; o valor da origem do cluster.

Esquema de eventos de higiene

Os eventos de higiene estão relacionados à proteção contra spam de saída. Esses eventos estão relacionados a usuários impedidos de enviar email. Para saber mais, confira:

Parâmetros Tipo Obrigatório? Descrição
Auditoria Edm.String Não Informações do sistema relacionadas ao evento de higiene.
Evento Edm.String Não O tipo de evento de higiene. Os valores para este parâmetro são Listado ou Removido.
EventId Edm.Int64 Não O ID do tipo de evento de higiene.
EventValue Edm.String Não O usuário que foi impactado.
Reason Edm.String Não Detalhes sobre o evento de higiene.

Esquema do Power BI

Os eventos do Power BI listados em Pesquisar o log de auditoria no Centro de Proteção do Office 365 usarão este esquema.

Parameters Tipo Obrigatório? Descrição
AppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do aplicativo em que o evento ocorreu.
DashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do painel onde o evento ocorreu.
DataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não As classificação dos dados, se houver, do painel onde o evento ocorreu.
DatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do conjunto de dados onde o evento ocorreu.
MembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Informações de associação sobre o grupo.
OrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Lista de permissões de um aplicativo organizacional (toda a organização, usuários específicos ou grupos específicos).
NomeDoRelatório Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do relatório em que o evento ocorreu.
SharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Informações sobre a pessoa para quem é enviado um convite de compartilhamento.
SwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Informações sobre o estado das várias opções de nível do locatário.
WorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do espaço de trabalho em que o evento ocorreu.

Tipo de complexo MembershipInformationType

Parameters Tipo Obrigatório? Descrição
MemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O endereço de email do grupo.
Status Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não Não está preenchido no momento.

SharingInformationType tipo complexo

Parameters Tipo Obrigatório? Descrição
RecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O endereço de email do destinatário de um convite de compartilhamento.
RecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não O nome do destinatário de um convite de compartilhamento.
ResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Não A permissão sendo concedida ao destinatário.

Esquema do Dynamics 365

Os registros de auditoria para eventos relacionados aos aplicativos controlados por modelos no Dynamics 365 usam um esquema de operações de entidade e base. Para obter mais informações, consulte Ativar e usar o Log de Atividade.

Esquema base do Dynamics 365

Parâmetros Tipo Obrigatório? Descrição
CrmOrganizationUniqueName Edm.String Sim O nome exclusivo da organização.
InstanceUrl Edm.String Sim A URL da instância.
ItemUrl Edm.String Não A URL do registro que emite o log.
ItemType Edm.String Não O nome da entidade.
UserAgent Edm.String Não O identificador exclusivo da GUID de usuário na organização.
Campos Collection(Common.NameValuePair) Não Um objeto JSON que contém os pares da propriedade chave-valor criados ou atualizados.

Esquema de operações de entidade do Dynamics 365

Eventos de entidade de aplicativos controlados por modelos no Dynamics 365 use este esquema para criar o esquema base do Dynamics 365. Esse esquema inclui informações sobre a operação de entidade que disparou o evento auditado.

Parâmetros Tipo Obrigatório? Descrição
EntityId Edm.Guid Não Identificador exclusivo da entidade.
EntityName Edm.String Sim O nome da entidade na organização. Exemplos de entidades incluem contact ou authentication.
Mensagem Edm.String Sim Esse parâmetro contém a operação que foi realizada em relação à entidade. Por exemplo, se tiver sido criado um novo contacto, o valor da propriedade Mensagem é Create e o valor correspondente da propriedade EntityName é contact.
Consulta Edm.String Não Os parâmetros da consulta de filtro que foi usada durante a execução da operação FetchXML.
PrimaryFieldValue Edm.String Não Indica o valor do atributo que é o campo principal da entidade.

Esquema do Workplace Analytics

Os eventos do WorkPlace Analytics listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema.

Parâmetros Tipo Obrigatório? Descrição
WpaUserRole Edm.String Não A função do Workplace Analytics do usuário que executou a ação.
ModifiedProperties Coleção (Common.ModifiedProperty) Não Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.
OperationDetails Coleção (Common.NameValuePair) Não Uma lista de propriedades estendidas para a configuração que foi alterada. Cada propriedade terá um Nome e Valor.

Esquema de quarentena

Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema. Para saber mais sobre a quarentena, confira Mensagens de email em quarentena no Office 365.

Parâmetros Tipo Obrigatório? Descrição
RequestType Self.RequestType Não O tipo de solicitação de quarentena executada por um usuário.
RequestSource Self.RequestSource Não A origem de uma solicitação de quarentena pode vir do Centro de Conformidade e Segurança (SCC), de um cmdlet ou de um URLlink.
NetworkMessageId Edm.String Não A ID da mensagem de rede da mensagem de email em quarentena.
ReleaseTo Edm.String Não O destinatário da mensagem de email.

Enum: RequestType - Type: Edm.Int32

Valor Nome do membro Descrição
0 Visualização Esta é uma solicitação de um usuário para visualizar uma mensagem de email considerada prejudicial.
1 Excluir Esta é uma solicitação de um usuário para excluir uma mensagem de email considerada prejudicial.
2 Liberar Esta é uma solicitação de um usuário para liberar uma mensagem de email considerada prejudicial.
3 Exportar Esta é uma solicitação de um usuário para exportar uma mensagem de email considerada prejudicial.
4 ViewHeader Esta é uma solicitação de um usuário para exibir o cabeçalho de uma mensagem de email considerada prejudicial.
5 Solicitação de liberação Esta é uma solicitação de liberação de um usuário para liberar uma mensagem de email considerada prejudicial.

Enum: RequestSource - Type: Edm.Int32

Valor Nome do membro Descrição
0 SCC O Centro de Conformidade e Segurança (SCC) é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.
1 Cmdlet Um cmdlet é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.
2 URLlink Essa é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.

Esquema do Microsoft Forms

Os eventos do Microrosft Forms listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.

Parâmetros Tipo Obrigatório? Descrição
FormsUserTypes Coleção (Self.FormsUserTypes) Sim O papel do usuário que executou a ação. Os valores desse parâmetro são Administrador, Proprietário, Responder ou Coautoria.
SourceApp Edm.String Sim Indica se a ação é do site do Forms ou de outro aplicativo.
FormName Edm.String Não Nome do formulário atual.
FormId Edm.String Não A ID do formulário de destino.
FormTypes Coleção (Self.FormTypes) Não Indica se isso é um Formulário, Quiz ou Pesquisa.
ActivityParameters Edm.String Não Cadeia de caracteres JSON contendo parâmetros de atividade. Confira Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365 para saber mais.

Enum: FormsUserTypes - Tipo: Edm.Int32

FormsUserTypes

Valor Tipo de Usuário do Formulário Descrição
0 Administrador Um administrador que tem acesso ao formulário.
1 Proprietário Um usuário que é o proprietário do formulário.
2 Respondente Um usuário que enviou uma resposta a um formulário.
3 Co-autor Um usuário que usou um link de colaboração fornecido pelo proprietário do formulário para fazer logon e editar um formulário.

Enum: FormTypes - Tipo: Edm.Int32

FormTypes

Valor Tipos de Formulário Descrição
0 Formulário Formulários criados com a opção Novo Formulário.
1 Quiz Quizzes criados com a Nova Opção de Quiz. Um quiz é um tipo especial de formulário que inclui recursos adicionais como valores de ponto, classificações automáticas e manuais e comentários.
2 Pesquisa Pesquisas criadas com a opção Nova Pesquisa. Uma pesquisa é um tipo especial de formulário que inclui recursos adicionais como a integração e o suporte a CMS para regras de Fluxo.

Esquema de rótulos MIP

Os eventos no esquema de rótulo da Proteção de Informações do Microsoft Purview são disparados quando o Microsoft 365 detecta uma mensagem de email processada por agentes no pipeline de Transporte que tem um rótulo de confidencialidade aplicado a ele. O rótulo de confidencialidade pode ter sido aplicado manual ou automaticamente e pode ter sido aplicado dentro ou fora do pipeline de Transporte. Os rótulos de confidencialidade podem ser aplicados automaticamente às mensagens de email por meio da aplicação automática de políticas de rótulo.

O propósito desse esquema de auditoria é representar a soma de toda a atividade de email que envolve rótulos de confidencialidade. Em outras palavras, deve haver uma atividade de auditoria redirecionada para cada mensagem de email que será enviada para ou a partir de usuários na organização que tenha um rótulo de confidencialidade aplicado a ele, independentemente de quando ou como o rótulo de sensibilidade tenha sido aplicado. Para obter mais informações sobre rótulos de confidencialidade, confira:

Parâmetros Tipo Obrigatório? Descrição
Remetente Edm.String Não O endereço de email no campo De da mensagem de email.
Receptores Collection(Edm.String) Não Todos os endereços de email nos campos Para, CC e Cco da mensagem de email.
ItemName Edm.String Não A cadeia de caracteres no campo Assunto da mensagem de email.
LabelID Edm.Guid Não O GUID do rótulo de confidenciallidade aplicado à mensagem de email.
LabelName Edm.String Não O nome do rótulo de sensibilidade aplicado à mensagem de email.
Labelaction Edm.String Não As ações especificadas pelo rótulo de confidencialidade que foram aplicados à mensagem de email antes da mensagem entrar no pipeline de transporte de email.
LabelAppliedDateTime Edm.Date Não A data em que o rótulo de confidencialidade foi aplicado à mensagem de email.
Applicationmode Edm.String Não Especifica como o rótulo de confidencialidade foi aplicado à mensagem de email. O valor Privilegiado indica que o rótulo foi aplicado manualmente por um usuário. O valor Padrão indica que o rótulo foi aplicado automaticamente por um processo de rotulagem do lado do cliente ou do serviço.

Esquema de eventos do portal de mensagens criptografadas

Os eventos para o esquema do portal de mensagens criptografadas são disparados quando a Criptografia de Mensagens do Purview detecta que uma mensagem de email criptografada é acessada no portal por um destinatário externo. O email pode ter sido criptografado manualmente com um rótulo de confidencialidade ou um modelo RMS, ou automaticamente por uma regra de transporte, uma política de Prevenção contra Perda de Dados ou uma política de rotulagem automática.

A intenção desse esquema de auditoria é representar a soma de todas as atividades do portal que envolvem o acesso ao email criptografado por destinatários externos. Em outras palavras, deve haver uma atividade de auditoria registrada para um destinatário que tente entrar no portal e para as atividades relacionadas ao acesso ao email criptografado. Isso inclui emails enviados para ou de usuários na organização quando tem criptografia aplicada a ele, independentemente de quando ou como a criptografia foi aplicada. Para obter mais informações, confira Saiba mais sobre os logs do portal de mensagens criptografadas.

Parâmetros Tipo Obrigatório? Descrição
MessageId Edm.String Não A ID da mensagem.
Destinatário Edm.String Não Endereço de e-mail do destinatário.
Remetente Edm.String Não Endereço de e-mail do remetente.
AuthenticationMethod Self.AuthenticationMethod Não Método de autenticação ao acessar a mensagem, ou seja, OTP, Yahoo, Gmail, Microsoft.
AuthenticationStatus Self.AuthenticationStatus Não 0 – Êxito, 1 – Falha.
OperationStatus Self.OperationStatus Não 0 – Êxito, 1 – Falha.
AttachmentName Edm.String Não Nome do anexo.
OperationProperties Collection(Common.NameValuePair) Não Propriedades adicionais, ou seja, número de senha OTP enviada, assunto do email etc.

Esquema de conformidade de comunicações do Exchange

Os eventos de conformidade de comunicação listados no log de auditoria do Office 365 usam esse esquema. Isso inclui registros de auditoria para a operação SupervisoryReviewOLAudit gerados quando o conteúdo da mensagem de email contém uma linguagem ofensiva identificada por modelos antispam com uma precisão de correspondência de >= 99,5%.

Parâmetros Tipo Obrigatório? Descrição
ExchangeDetails ExchangeDetails Não Propriedades da mensagem de email que disparou o evento SupervisoryReviewOLAudit.

Enum: ExchangeDetails - Type: ExchangeDetails

ExchangeDetails

Nome do membro Tipo Descrição
NetworkMessageId Edm.Guid A ID de mensagem da rede da mensagem de email.
InternetMessageId Edm.String A ID de mensagem da internet da mensagem de email.
AttachmentData Collection(AttachmentDetails) Informações sobre arquivos anexados à mensagem de emails.
Destinatários Collection(Edm.String) Todos os endereços de email nos campos Para, CC e Cco da mensagem de email.
Assunto Edm.String O texto no campo Assunto da mensagem de email.
MessageTime Edm.Date A data e a hora em que a mensagem foi enviada.
De Edm.String O endereço de email no campo De da mensagem de email.
Directionality Edm.String O status da origem da mensagem de email.

Enum: AttachmentDetails - Type: Edm.Int32

AttachmentDetails

Nome do membro Tipo Descrição
FileName Edm.String O nome do arquivo anexado à mensagem de email.
FileType Edm.String A extensão de arquivo do arquivo anexado à mensagem de email.
SHA256 Edm.String O hash SHA-256 do arquivo anexado à mensagem de email.

Esquema de relatórios

Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.

Parameters Tipo Obrigatório? Descrição
ModifiedProperties Coleção (Common.ModifiedProperty) Não Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.

Esquema do conector de conformidade

Os eventos no esquema do conector de conformidade são disparados quando itens importados por um conector de dados são ignorados ou não podem ser importados para caixas de correio do usuário. Para obter mais informações sobre conectores de dados, consulte Saiba mais sobre os conectores de dados de terceiros.

Parâmetros Tipo Obrigatório? Descrição
JobId Edm.String Não Esse é um identificador exclusivo do conector de dados.
TaskId Edm.String Não Identificador exclusivo da instância periódica do conector de dados. Os conectores de dados importam dados em intervalos periódicos.
JobType Edm.String Não O nome do conector de dados.
ItemId Edm.String Não Identificador exclusivo do item (por exemplo, uma mensagem de email) que está sendo importado.
ItemSize Edm.Int64 Não O tamanho do item que está sendo importado.
SourceUserId Edm.String Não O identificador exclusivo do usuário da fonte de dados de terceiros. Por exemplo, para um conector de dados do Slack, essa propriedade especifica a ID de usuário no espaço de trabalho do Slack.
FailureType Self.FailureType Não Indica o tipo de falha de importação de dados. Por exemplo, o valor incorrectusermapping indica que o item não foi importado porque não foi encontrado nenhum mapeamento de usuário entre a fonte de dados de terceiros e o Microsoft 365.
ResultMessage Edm.String Não Indica o tipo de falha, como Mensagem duplicada.
IsRetry Edm.Boolean Não Indica se o conector de dados repetiu a importação do item.
Anexos Coleção.Anexo Não Uma lista de anexos recebidos da fonte de dados de terceiros.

Enumeração: FailureType - Tipo: Edm.Int32

Valor Nome do membro
0 Padrão
1 MailboxWrite

Tipo complexo de anexo

Parâmetros Tipo Obrigatório? Descrição
FileName Edm.String Não O nome do anexo.
Detalhes Edm.String Não Outros detalhes sobre o anexo.

Esquema SystemSync

Os eventos no esquema SystemSync são disparados quando os dados ingeridos do SystemSync são exportados por meio do Data Lake ou compartilhados por meio de outros serviços.

DataLakeExportOperationAuditRecord

Parâmetros Tipo Obrigatório? Descrição
DataStoreType DataStoreType Sim Indica de qual repositório os dados foram baixados. Consulte DataStoreType para obter todos os valores possíveis.
UserAction DataLakeUserAction Sim Indica qual ação o usuário executou no repositório de dados. Consulte DataLakeUserAction para obter todos os valores possíveis.
ExportTriggeredAt Edm.DateTimeOffset Sim Indica quando a exportação de dados foi disparada.
NameOfDownloadedZipFile Edm.String Não O nome do arquivo compactado que o administrador baixou do Data Lake.

DataShareOperationAuditRecord

Parâmetros Tipo Obrigatório? Descrição
Convite DataShareInvitationType Não Detalhes do convite enviado ao destinatário do Data Share.

Tipo complexo DataShareInvitationType

Parâmetros Tipo Obrigatório? Descrição
ShareId Edm.Guid Sim Identificador atribuído pelo sistema para o Data Share.
Convidados Collection(Edm.Guid) Sim Lista de usuários administradores para os quais o convite foi enviado.
InviteeTenantId Edm.Guid Sim O locatário de destino ao qual o convite se destina.
ShareName Edm.String Sim Nome atribuído pelo sistema para o Data Share.
SyncFrequency Self.SyncFrequency Sim Frequência na qual os dados são sincronizados com a conta de armazenamento de destino depois que o compartilhamento é estabelecido. Consulte SyncFrequency para obter os valores possíveis.
SyncStartTime Edm.DateTimeOffset Sim Data e hora da primeira sincronização.

Enum: SyncFrequency - Tipo: Edm.Int32

Valor Nome do membro Descrição
0 A cada hora Indica que os dados serão sincronizados a cada hora.
1 Diariamente Indica que os dados serão sincronizados uma vez por dia.

Enum: DataStoreType - Tipo: Edm.Int32

Valor Nome do membro Descrição
0 CanonicalStore Indica que os dados serão baixados do repositório canônico.
1 StagingStore Indica que os dados serão baixados do repositório de preparo.

Enum: DataLakeUserAction - Tipo: Edm.Int32

Valor Nome do membro Descrição
0 TriggerExport O usuário administrador disparou a exportação do Data Lake.
1 DownloadZipFile O usuário administrador baixou os dados exportados.

Tipo complexo MicrosoftGraphDataConnectOperation

Parâmetros Tipo Obrigatório? Descrição
ApplicationId Edm.Guid Sim A identificação do aplicativo.
ApplicationName Edm.String Sim O nome do aplicativo.
PipelineName Edm.String Sim Nome do pipeline dinâmico.
PipelineRunId Edm.Guid Não A identificação dessa execução de pipeline.
CopyActivityRunId Edm.Guid Não A identificação da atividade de cópia do ADF.
RunStartTime Edm.Date Sim Data e hora da extração.
RunEndTime Edm.Date Sim Data e hora da extração.
DatasetName Edm.String Sim O nome do conjunto de dados que está sendo extraído.
DatasetColumns Edm.String Sim O conjunto de colunas selecionadas que estão sendo extraídas.
Lista de Escopos Edm.String Sim O escopo da extração.
ScopeCountRequested Edm.Int64 Não A contagem de escopos solicitada para esta extração.
ScopeCountDelivered Edm.Int64 Não A contagem de escopo entregue para esta extração.
UndeliveredScope Edm.String Não O escopo não entregue da extração.
RowCount Edm.Int64 Não O número de linhas extraídas.
Status Edm.String Sim O status de extração.
Reason Edm.String Não A mensagem de erro em caso de falha.

AipDiscover

A tabela seguinte contém informações relacionadas com eventos de scanner do Azure Proteção de Informações (AIP).

Evento Descrição
ApplicationId O ID do aplicativo que está executando a operação.
ApplicationName Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ClientIP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
CreationTime A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
DataState Descreve o estado dos dados.
DeviceName O dispositivo no qual a atividade ocorreu.
Id GUID do registo atual.
IsProtected Se protegido: Verdadeiro/Falso
Local A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e cloud.
ObjectId Caminho completo do ficheiro (URL). Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário.
Operação Descreve o tipo de acesso.
OrganizationId O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
Plataforma Plataforma de dispositivos (Win, OSX, Android, iOS)
ProcessName O nome do processo relevante, por exemplo. Outlook, msip.app, WinWord.
ProductVersion Versão do cliente AIP.
ProtectionOwner Proprietário do Rights Management no formato UPN.
ProtectionType O tipo de proteção pode ser modelo ou ad-hoc.
RecordType O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. Para obter uma lista atualizada completa e uma descrição completa do Log RecordType, consulte a mensagem de blogue Atividades de registo de auditoria de Conformidade do Microsoft 365 através da API de Gestão do O365. Aqui, listamos apenas os tipos de Registo MIP relevantes.
Escopo Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente.
SensitiveInfoTypeData Armazena o tipo de dados dos dados do tipo Informações Confidenciais.
SensitivityLabelId O GUID da etiqueta de confidencialidade MIP atual. Utilize cmdlt Get-Label para obter os valores completos do GUID.
TemplateId Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou no registo ser registado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
UserKey Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
UserType O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores.
0 = Regular
1 = Reservado
2 = Administração
3 = DcAdmin
4 = Systeml
5 = Aplicação
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
Versão ID da versão do arquivo na operação.
Workload Armazena o serviço Office 365 onde ocorreu a atividade.

AipSensitivityLabelAction

A tabela seguinte contém informações relacionadas com eventos de etiqueta de confidencialidade do AIP.

Evento Descrição
ApplicationId Corresponde ao ID da Aplicação Microsoft Entra.
ApplicationName Nome amigável da aplicação que executa a operação.
CreationDate A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade.
DataState Especifica o estado dos dados.
DeviceName O nome do dispositivo do utilizador.
Identidade A identidade do utilizador ou serviço a autenticar.
IsProtected Se protegido: Verdadeiro/Falso
IsProtectedBefore Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso
IsValid Booliano
Local A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud.
ObjectState Especifica o estado do objeto.
Operação O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns:
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidade A identidade do utilizador ou serviço a autenticar.
PSComputerName Nome do Computador
PSShowComputerName O valor é Falso para documentos editados no Office 365.
Plataforma Plataforma de dispositivos (Win, OSX, Android, iOS). 
ProcessName Processo que aloja o SDK MIP.
ProductVersion Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
ProtectionType O tipo de proteção pode ser modelo ou ad-hoc.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo.
RunspaceId O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
SensitiveInfoTypeData Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais
TemplateId Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name.

Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço.

AipProtectionAction

Evento Descrição
PSComputerName Nome do computador
RunspaceId O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
PSShowComputerName O valor é falso para um documento editado no Office 365.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo.
CreationTime A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
UserId O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name.

Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
Operação O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidade A identidade do utilizador ou serviço a autenticar.
ObjectState Estado do Objeto após o evento atual.
ApplicationId A aplicação onde a atividade ocorreu e foi apresentada no GUID.
ApplicationName Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ProcessName Nome do processo da aplicação do Office.
Plataforma A plataforma na qual a atividade ocorreu. Por exemplo, Windows.
DeviceName Dispositivo em que o evento foi gravado.
ProductVersion Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
UserId O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name.

Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
ClientIP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Id GUID do registo atual.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes.
CreationTime A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
Operação O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365.
OrganizationId O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores.
0 = Regular
1 = Reservado
2 = Administração
3 = DcAdmin
4 = Systeml
5 = Aplicação
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload Armazena o serviço Office 365 onde ocorreu a atividade.
Versão Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria
Escopo Especifica o âmbito.

AipFileDeleted

Evento Descrição
PSComputerName Nome do computador
RunspaceId O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
PSShowComputerName O valor é falso para um documento editado no Office 365.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo.
CreationTime A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
UserId O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name.

Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
Operação O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidade A identidade do utilizador ou serviço a autenticar.
ObjectState Estado do Objeto após o evento atual.
ApplicationId A aplicação onde a atividade ocorreu e foi apresentada no GUID.
ApplicationName Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ProcessName Nome do processo da aplicação do Office.
Plataforma A plataforma na qual a atividade ocorreu. Por exemplo, Windows.
DeviceName Dispositivo em que o evento foi gravado.
ProductVersion Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
UserId O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name.

Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
ClientIP O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Id GUID do registo atual.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes.
CreationTime A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
Operação O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365.
OrganizationId O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores.
0 = Regular
1 = Reservado
2 = Administração
3 = DcAdmin
4 = Systeml
5 = Aplicação
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload Armazena o serviço Office 365 onde ocorreu a atividade.
Versão Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria
Escopo Especifica o âmbito.

AipHeartBeat

A tabela seguinte contém informações relacionadas com eventos de heartbeat do AIP.

Evento Descrição
ApplicationId Corresponde ao ID da Aplicação Microsoft Entra.
ApplicationName Nome amigável da aplicação que executa a operação.
CreationDate A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade.
DataState Especifica o estado dos dados.
DeviceName O nome do dispositivo do utilizador.
Identidade A identidade do utilizador ou serviço a autenticar.
IsProtected Se protegido: Verdadeiro/Falso
IsProtectedBefore Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso
IsValid Booliano
Local A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud.
ObjectState Especifica o estado do objeto.
Operação O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns:
PSComputerName Nome do Computador
PSShowComputerName O valor é Falso para documentos editados no Office 365.
Plataforma Plataforma de dispositivos (Win, OSX, Android, iOS). 
ProcessName Processo que aloja o SDK MIP.
ProductVersion Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
ProtectionType O tipo de proteção pode ser modelo ou ad-hoc.
RecordType Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo.
RunspaceId O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
SensitiveInfoTypeData Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais
TemplateId Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
UserType O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores.
0 = Regular
1 = Reservado
2 = Administração
3 = DcAdmin
4 = Systeml
5 = Aplicação
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.

Tipo complexo MicrosoftGraphDataConnectConsent

Parâmetros Tipo Obrigatório? Descrição
ApplicationId Edm.Guid Sim A identificação do aplicativo.
ApplicationVersion Edm.String Sim A versão da aplicação.
AppRegistrationTenantId Edm.Guid Sim O ID do inquilino do registo de aplicações.
Aprovador Edm.String Sim O nome principal de utilizador do aprovador.
ApprovalUpdatedDateInUTC Edm.Date Sim A data e hora da atualização em UTC.
ApprovalExpiryDateInUTC Edm.Date Sim A data de expiração em UTC.
ApprovalValidDays Edm.Int32 Sim O número de dias a contar da atualização para a qual a aprovação será válida.
DestinationSinks Edm.String Sim O destino afunda.
DestinationTenantId Edm.Guid Sim O ID do inquilino de destino.
Reason Edm.String Não O motivo fornecido pelo administrador que efetuou a operação.
Estado Edm.String Sim O estado de consentimento.
Conjuntos de dados Coleção Própria. MGDCDataset Sim Detalhes sobre os conjuntos de dados que foram consentidos como parte desta operação.

Tipo Complexo MGDCDataset

Parâmetros Tipo Obrigatório? Descrição
DatasetName Edm.String Sim O nome do conjunto de dados na operação de consentimento.
DatasetColumns Edm.String Sim A lista de colunas do conjunto de dados na operação de consentimento.
DenyGroups Edm.String Não A lista de grupos de negação do conjunto de dados na operação de consentimento.
Escopo Edm.String Sim Os tipos de âmbito do conjunto de dados na operação de consentimento. Os valores possíveis são Todos, List e FilterUri.
ScopeFiltersUris Edm.String Não O URI do filtro de âmbito para o conjunto de dados na operação de consentimento.
Lista de Escopos Edm.String Não A lista de grupos de âmbito do conjunto de dados na operação de consentimento.
PrivacyPolicyType Edm.String Sim Os tipos de política de privacidade para o conjunto de dados na operação de consentimento. Os valores possíveis são None e DenyList.

Viva Goals esquema

Os registos de auditoria de eventos relacionados com Viva Goals utilizar este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre a captura de eventos e atividades relacionadas com Viva Goals, veja Atividades de registo de auditoria.

Parameters Tipo Obrigatório? Descrição
Detalhe Edm.String Não Uma descrição do evento ou da atividade que ocorreu no Viva Goals.
Nome de usuário Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Não O nome do utilizador que acionou o evento.
UserRole Edm.String Não A função do utilizador que acionou este evento no Viva Goals. Isto menção se o utilizador for um administrador da organização ou um proprietário.
OrganizationName Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Não O nome da organização no Viva Goals onde o evento foi acionado.
OrganizationOwner Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Não O proprietário da organização no Viva Goals onde ocorreu o evento.
OrganizationAdmins Collection(Edm.String)
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Não Os administradores da organização no Viva Goals onde ocorreu o evento. Pode haver um ou mais administradores na organização.
UserAgent Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Não O agente do utilizador (detalhes do browser) do utilizador que acionou o evento. O UserAgent pode não estar presente no caso de um evento gerado pelo sistema.
Campos Modificados Collection(Common.NameValuePair) Não Uma lista de atributos que foram modificados juntamente com os respetivos valores novos e antigos são apresentados como JSON.
ItemDetails Collection(Common.NameValuePair) Não Propriedades adicionais sobre o objeto que foi modificado.

Microsoft Planner esquema

Microsoft Planner substitui a definição de ObjectId e ResultStatus no esquema Comum. A definição objectId de Microsoft Planner está vinculada ao tipo de registo de cada Microsoft Planner e será ilustrada individualmente.

Microsoft Planner's ResultStatus é definido como o seguinte.

Enumeração: ResultStatus - Tipo: Edm.Int32

ResultStatus

Valor Nome do membro Descrição
1 Êxito O pedido do utilizador foi efetuada com êxito.
2 Falha O pedido do utilizador falhou devido a motivos que não a autorização.
3 AuthorizationFailure O utilizador pedido falhou devido a uma falha na autorização.

Microsoft Planner expande o esquema Comum com os seguintes tipos de registo.

Tipo de registo do PlannerPlan

Properties Tipo Descrição
ObjectId Edm.String ID do plano pedido.
ContainerType Eu próprio. ContainerType Tipo do contentor associado ao plano.
ContainerId Edm.String ID do contentor associado ao plano.
SharedWithContainerId Edm.String ID do contentor com acesso partilhado ao plano.
SharedWithContainerType Eu próprio. ContainerType Tipo de contentor com acesso partilhado ao plano.
SharedWithContainerAccessLevel Eu próprio. PlanAccessLevel Nível de acesso concedido ao contentor com acesso partilhado ao plano.

Enumeração: ContainerType - Tipo Edm.Int32

ContainerType

Valor Nome do membro Descrição
0 Invalid Utilizado quando o plano pedido não é encontrado.
2 Group O plano está associado a um Grupo M365.
3 TeamsConversation O plano está associado a uma conversação do Teams.
4 OfficeDocument O plano está associado a um documento do Office.
5 Lista O plano está associado a um grupo de listas.
6 Project O plano tem origem no Microsoft Project.

Enumeração: PlanAccessLevel - Tipo Edm.Int32

PlanAccessLevel

Valor Nome do membro Descrição
1 ReadAccess Acesso ao Plano de leitura
2 ReadWriteAccess Acesso para ler e escrever no Plano
3 FullAccess Acesso ao Plano de leitura, escrita e configuração

Tipo de registo PlannerCopyPlan

Properties Tipo Descrição
ObjectId Edm.String ID do plano a ser copiado.
OriginalPlanId Edm.String ID do plano a ser copiado. O mesmo que ObjectId.
OriginalContainerType Eu próprio. ContainerType Tipo do contentor associado ao plano original.
OriginalContainerId Edm.String ID do contentor associado ao plano original.
NewPlanId Edm.String ID do novo plano. Nulo quando a operação falhou.
NewContainerType Eu próprio. ContainerType Tipo do contentor associado ao novo plano.
NewContainerId Edm.String ID do contentor associado ao novo plano.

Tipo de registo plannerTask

Properties Tipo Descrição
ObjectId Edm.String ID da tarefa pedida.
PlanId Edm.String ID do plano que contém a tarefa.

Tipo de registo plannerRoster

Properties Tipo Descrição
ObjectId Edm.String ID da lista pedida.
MemberIds Edm.String Uma cadeia separada por vírgulas de IDs de membro mudou para a lista.

Tipo de registo PlannerPlanList

Properties Tipo Descrição
ObjectId Edm.String Uma representação da consulta de vista de uma lista de planos.
Lista de Planos Edm.String Uma cadeia separada por vírgulas de IDs de plano consultados.

Tipo de registo PlannerTaskList

Properties Tipo Descrição
ObjectId Edm.String Uma representação da consulta ver de uma lista de tarefas.
Lista de Planos Edm.String Uma cadeia separada por vírgulas de IDs de tarefas consultadas.

Tipo de registo PlannerTenantSettings

Properties Tipo Descrição
ObjectId Edm.String Definições de inquilino originais no JSON.
TenantSettings Edm.String Novas definições de inquilino no JSON.

PlannerRosterSensitivityLabel record type (Tipo de registo PlannerRosterSensitivityLabel)

Properties Tipo Descrição
ObjectId Edm.String ID da etiqueta de confidencialidade. Nulo quando a etiqueta de confidencialidade é removida.
Lista Edm.String ID da lista para a qual a etiqueta de confidencialidade é alterada.
AssignmentMethod Eu próprio. SensitivityLabelAssignmentMethod O método de atribuição da etiqueta de confidencialidade.

Enumeração: SensitivityLabelAssignmentMethod - Tipo Edm.Int32

SensitivityLabelAssignmentMethod

Valor Nome do membro Descrição
0 Padrão A etiqueta de confidencialidade é aplicada automaticamente, mas não pode substituir uma atribuição de etiqueta com privilégios.
1 Com privilégios A etiqueta de confidencialidade é aplicada manualmente por um utilizador ou por um administrador.
2 Auto A etiqueta de confidencialidade é aplicada automaticamente e tem permissão para substituir uma atribuição de etiqueta com privilégios.

Esquema do Microsoft Project para a Web

O Microsoft Project For The Web expande o esquema Comum com os seguintes tipos de registo.

Tipo de registo ProjectForThewebProject

Properties Tipo Obrigatório? Descrição
ProjectId Edm.Guid Não ID do Projeto a ser auditado.
AdditionalInfo Coleção Própria. AdditionalInfo Não Informações adicionais.

Tipo de registo ProjectForThewebTask

Properties Tipo Obrigatório? Descrição
ProjectId Edm.Guid Sim ID do Projeto a ser auditado.
TaskId Edm.Guid Sim ID da Tarefa a ser auditada.
AdditionalInfo Coleção Própria. AdditionalInfo Não Informações adicionais.

Tipo de registo ProjectForThewebRoadmap

Properties Tipo Obrigatório? Descrição
RoadmapId Edm.Guid Sim ID do Mapa de Objetivos a ser auditado.
AdditionalInfo Coleção Própria. AdditionalInfo Não Informações adicionais.

Tipo de registo ProjectForThewebRoadmapItem

Properties Tipo Obrigatório? Descrição
RoadmapItemId Edm.Guid Sim ID do Item de Mapa de Objetivos a ser auditado.
AdditionalInfo Coleção Própria. AdditionalInfo Não Informações adicionais.

Tipo Complexo AdditionalInfo

Parameters Tipo Obrigatório? Descrição
EnvironmentName Edm.String Não ID do ambiente onde a ação foi executada.

Tipo de registo ProjectForThewebProjectSetting

Properties Tipo Obrigatório? Descrição
ProjectEnabled Edm.Boolean Sim O valor que foi definido para Project para a Web (1= ativado, 0 desativado).

ProjectForThewebRoadampSetting record type (Tipo de registo ProjectForThewebRoadampSetting)

Properties Tipo Obrigatório? Descrição
Mapa de ObjetivosEnabled Edm.Boolean Sim O valor que foi definido para Mapa de Objetivos (1= ativado, 0 desativado).

Tipo de registo ProjectForThewebAssignedToMeSetting

Properties Tipo Obrigatório? Descrição
AssignedToMeEnabled Edm.Boolean Sim O valor que foi definido para AssignedToMe (1= ativado, 0 desativado).

esquema Viva Pulse

Os registos de auditoria de eventos relacionados com Viva Pulse utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Viva Pulse, veja Atividades de registo de auditoria.

Parameters Tipo Obrigatório? Descrição
EventName Edm.String Não Uma descrição do evento ou da atividade que ocorreu no Viva Pulse.
PulseId Edm.String Não ID da pesquisa de pulso.
EventDetails Collection(Common.NameValuePair) Não Propriedades adicionais sobre o evento.

Alguns dos eventos VivaPulse registam propriedades diferentes em EventDetails. Cada propriedade registada em EventDetail é descrita na tabela.

EventName PropertName Descrição
PulseReportShare Destinatários Lista de IDs de destinatários com os quais o inquérito de pulso é partilhado.
PulseCreate Destinatários Lista de IDs de utilizador que são participantes do inquérito de pulso spcified.
PulseInvite Destinatários Lista de IDs de utilizador que são convidados adicionalmente para o pulso.
PulseTenantSettingsUpdate TenantSettingName Nome das definições alterado.
PulseSubmit Não aplicável Este evento não regista nenhuma propriedade em EventDetails.
PulseExtendDeadline Não aplicável Este evento não regista nenhuma propriedade em EventDetails.
PulseCancel Não aplicável Este evento não regista nenhuma propriedade em EventDetails.
PulseCreateDraft Não aplicável Este evento não regista nenhuma propriedade em EventDetails.
PulseDeleteDraft Não aplicável Este evento não regista nenhuma propriedade em EventDetails.
PulseDeleteUserData Não aplicável Este evento não regista nenhuma propriedade em EventDetails.

Esquema do Gestor de Conformidade

Os registos de auditoria de eventos relacionados com o Gestor de Conformidade do Microsoft Purview utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Gestor de Conformidade, veja Atividades de registo de auditoria.

Parâmetros Tipo Obrigatório? Descrição
Detalhes Collection(SettingsChange) Não Uma descrição do evento que ocorreu para um Gestor de Conformidade do Microsoft Purview.

Os valores tomados por DefiniçõesAlterar propriedades em Detalhes para operações diferentes são descritos na tabela abaixo.

Operação PropertyName Descrição
Todas as Operações Nome Nome da definição envolvida na operação do Gestor de Conformidade
Todas as Operações NewValue Novo valor para as novas definições.
Todas as Operações OriginalValue Valor original da nova definição.

Tenha em atenção -

  1. Para alterações de função, o nome seria o tipo de função
  2. O registo de auditoria refletiria a alteração no evento, como a atribuição de uma função ou a função revogada ao utilizador
  3. O valor original e novo teria os e-mails do utilizador para os quais a função foi alterada
  4. Caso não haja nenhuma alteração na função, esse tipo de função não estaria presente no registo de auditoria.

Esquema de Política de Cópia de Segurança

Parameters Tipo Obrigatório? Descrição
PolicyID Edm.String Sim O ID da política.
EditMethodology Edm.String Não Como a política foi criada/editada.
CountOfArtifactsBeingAdded Edm.Int32 Não Número de artefactos a serem adicionados.
CountOfArtifactsBeingRemoved Edm.Int32 Não Número de artefactos a serem removidos.
ServiceType Edm.String Não Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Restaurar Esquema de tarefas

Parameters Tipo Obrigatório? Descrição
TaskID Edm.String Sim O ID da Tarefa de Restauro.
CreationMethodology Edm.String Não Como a Tarefa de Restauro foi criada/editada.
CountOfArtifactsBeingAdded Edm.Int32 Não Número de artefactos a serem adicionados.
CountOfArtifactsBeingRemoved Edm.Int32 Não Número de artefactos a serem removidos.
ServiceType Edm.String Não Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Restaurar esquema de Item

Parâmetros Tipo Obrigatório? Descrição
RestoreTime Edm.DateTime Sim Hora para a qual o item está a ser restaurado.
RestoreLocationType Edm.String Sim Tipo de localização para o qual o item está a ser restaurado.
RestoreLocation Edm.String Não Localização para a qual o item está a ser restaurado.
TaskID Edm.String Sim O ID da tarefa Restaurar.
BackupItemID Edm.String Sim ID do Item de Cópia de Segurança a ser restaurado.
ProtectionUnitID Edm.String Sim ID da Unidade de Proteção do item a ser restaurado.
SuccessStatus Edm.String Não Se a operação de restauro foi efetuada com êxito.
BackupItemType Edm.String Sim Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio.
ServiceType Edm.String Não Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Esquema de Item de Cópia de Segurança

Parameters Tipo Obrigatório? Descrição
PolicyID Edm.String Sim ID da Política à quais o item está a ser adicionado.
ItemID Edm.String Sim ID do Item de Cópia de Segurança.
ProtectionUnitID Edm.String Sim ID da Unidade de Proteção do item em cópia de segurança.
ResultStatus Edm.String Não Se a operação de restauro foi efetuada com êxito.
BackupItemType Edm.String Sim Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio.
EditMethodology Edm.String Não Como é que o item de cópia de segurança deve ser adicionado.
ServiceType Edm.String Não Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.