Esquema da API da Atividade de Gerenciamento do Office 365
O esquema de API de Atividade de Gerenciamento Office 365 é fornecido como um serviço de dados em duas camadas:
Esquema comum. A interface para acessar os principais conceitos de auditoria do Office 365, como Tipo de registro, Hora de criação, Tipo de usuário e Ação, além de fornecer dimensões principais (como ID de usuário), especificações do local (como endereço IP do cliente) e propriedades específicas do serviço (como ID de objeto). Ele estabelece exibições uniformes e consistentes para os usuários extraírem todos os dados de auditoria do Office 365 em algumas exibições de nível superior com os parâmetros apropriados e fornece um esquema fixo para todas as fontes de dados, o que reduz significativamente o custo do aprendizado. O esquema Comum é originado de dados de produto que pertencem a cada equipe de produto, como o Exchange, o SharePoint, o Azure Active Directory, o Yammer e o OneDrive for Business. O campo ID de objeto pode ser estendido por equipes de produtos do Microsoft 365 para adicionar propriedades específicas do serviço.
Esquema específico do serviço. Criado sobre o esquema comum para fornecer um conjunto de atributos específicos do serviço do Microsoft 365; por exemplo, esquema do SharePoint, esquema do OneDrive for Business e esquema de administração do Exchange.
Esquemas da API de Gerenciamento do Office 365
Este artigo fornece detalhes sobre o esquema Common, bem como esquemas específicos do serviço. A tabela a seguir descreve os esquemas disponíveis.
| Nome do esquema | Descrição |
|---|---|
| Esquema Comum | O modo de exibição para extrair o Tipo de registro, ID de usuário, IP do cliente, Tipo de usuário e Ação junto com as dimensões principais, como propriedades do usuário (como UserID), propriedades do local (como IP do cliente) e propriedades específicas do serviço (como ID de objeto). |
| Esquema copilot | Os eventos incluem como e quando interagir com o Copilot, no qual o serviço do Microsoft 365 a atividade ocorreu e referências aos arquivos armazenados no Microsoft 365 que foram acessados durante a interação. |
| Esquema Base do SharePoint | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do SharePoint. |
| Operações de Arquivos do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do acesso e manipulação de arquivos no SharePoint. |
| Listar Operações do Sharepoint | Estende o esquema Base do SharePoint com as propriedades específicas para interações com listas e itens de lista no SharePoint Online. |
| Esquema de compartilhamento do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do compartilhamento de arquivos. |
| Esquema do SharePoint | Estende o esquema Base do SharePoint com as propriedades específicas do SharePoint, mas não está relacionado ao acesso e manipulação de arquivos. |
| Esquema do Project | Estende o esquema Base do SharePoint com as propriedades específicas do Project. |
| Esquema de administração do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do Exchange. |
| Esquema de caixa de correio do Exchange | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria da caixa de correio do Exchange. |
| esquema base Microsoft Entra ID | Estende o esquema Common com as propriedades específicas para todos os dados de auditoria Microsoft Entra. |
| Microsoft Entra esquema logon da conta | Estende o esquema base Microsoft Entra ID com as propriedades específicas para todos os eventos de logon Microsoft Entra. |
| Microsoft Entra ID esquema de logon sts seguro | Estende o esquema base Microsoft Entra ID com as propriedades específicas para todos os eventos de logon do STS (Serviço de Token Seguro) Microsoft Entra ID. |
| Microsoft Entra esquema | Estende o esquema Common com as propriedades específicas para todos os dados de auditoria Microsoft Entra. |
| Esquema DLP | Estende o esquema Comum com as propriedades específicas de Eventos de Prevenção Contra Perda de Dados. |
| Esquema do Centro de Conformidade e Segurança | Estende o esquema Comum com as propriedades específicas de todos os Eventos do Centro de Conformidade e Segurança. |
| Esquema de Alertas de Conformidade e Segurança | Estende o esquema Comum com as propriedades específicas de todos os alertas de conformidade e segurança do Office 365. |
| Esquema do Yammer | Estende o esquema Comum com as propriedades específicas de todos os eventos do Yammer. |
| Esquema Base de Segurança do Data Center | Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria de segurança do data center. |
| Esquema Cmdlet de Segurança do Data Center | Estende o esquema Base de Segurança do Data Center com as propriedades específicas de todos os dados de auditoria do cmdlet de segurança do datacenter. |
| Esquema do Microsoft Teams | Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Teams. |
| Microsoft Defender para Office 365 e esquema de Investigação e Resposta a Ameaças | Estende o esquema Comum com as propriedades específicas do Defender for Office 365 e investigação de ameaças e dados de resposta. |
| Esquema de envio | Estende o Esquema Comum com as propriedades específicas para envios de usuário e administrador no Microsoft Defender para Office 365. |
| Esquema de eventos de investigação e resposta automatizadas | Estende o esquema Comum com as propriedades específicas para os eventos de investigação e resposta (AIR) automatizados do Office 365. Para ver um exemplo, consulte o blog da Comunidade de Tecnologia: Melhore a eficácia do seu SOC com o Microsoft Defender para Office 365 e a API de gerenciamento do O365. |
| Esquema de eventos de higiene | Estende o esquema Comum com as propriedades específicas para eventos na Proteção do Exchange Online e no Microsoft Defender para Office 365. |
| Esquema do Power BI | Estende o esquema Comum com as propriedades específicas de todos os eventos do Power BI. |
| Esquema do Dynamics 365 | Estende o esquema Comum com as propriedades específicas dos eventos do Dynamics 365. |
| Esquema do Workplace Analytics | Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Workplace Analytics. |
| Esquema de quarentena | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
| Esquema do Microsoft Forms | Estende o esquema Comum com as propriedades específicas a todos os eventos do Microsoft Forms. |
| Esquema de rótulos MIP | Estende o esquema comum com as propriedades específicas a rótulos de sensibilidade aplicados manualmente ou automaticamente às mensagens de email. |
| Esquema de eventos do portal de mensagens criptografadas | Estende o esquema Comum com as propriedades específicas do portal de mensagens criptografadas acessadas por destinatários externos. |
| Esquema de conformidade de comunicações do Exchange | Estende o esquema comum com as propriedades específicas para o modelo de linguagem ofensiva de conformidade de comunicações. |
| Esquema de relatórios | Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena. |
| Esquema do conector de conformidade | Estende o esquema Comum com as propriedades específicas para importar dados que não são da Microsoft usando conectores de dados. |
| Esquema SystemSync | Estende o esquema Comum com as propriedades específicas dos dados ingeridos por meio do SystemSync. |
| Viva Goals esquema | Estende o esquema Common com as propriedades específicas para todos os eventos Viva Goals. |
| Microsoft Planner esquema | Estende o esquema Common com as propriedades específicas para eventos de Microsoft Planner. |
| Esquema do Microsoft Project para a Web | Estende o esquema Common com as propriedades específicas do Microsoft Project For The Web events. |
Esquema Comum
EntityType Name: AuditRecord
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | Sim | Identificador exclusivo de um registro de auditoria. |
| RecordType | Self.AuditLogRecordType | Sim | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. |
| CreationTime | Edm.Date | Sim | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário realizou a atividade. |
| Operation | Edm.String | Sim | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. Para eventos Dlp, as opções podem ser "DlpRuleMatch", "DlpRuleUndo" ou "DlpInfo", que são descritas em "Esquema DLP" abaixo. |
| OrganizationId | Edm.Guid | Sim | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
| UserType | Self.UserType | Sim | O tipo de usuário que executou a operação. Confira a tabela UserType para detalhes sobre os tipos de usuários. |
| UserKey | Edm.String | Sim | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
| Workload | Edm.String | Não | O serviço do Office 365 em que a atividade ocorreu. |
| ResultStatus | Edm.String | Não | Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. Os valores possíveis são Succeeded, PartiallySucceeded ou Failed. Para a atividade de administração do Exchange, o valor é Verdadeiro ou Falso. Importante: Cargas de trabalho diferentes podem substituir o valor da propriedade ResultStatus. Por exemplo, para Microsoft Entra ID eventos de logon STS, um valor de Succeeded for ResultStatus indica apenas que a operação HTTP foi bem-sucedida; isso não significa que o logon foi bem-sucedido. Para determinar se o logon real foi bem-sucedido ou não, consulte a propriedade LogonError no esquema de logon sts Microsoft Entra ID. Se o logon falhar, o valor dessa propriedade conterá o motivo da falha na tentativa de logon. |
| ObjectId | Edm.string | Não | Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet. |
| UserId | Edm.string | Sim | O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria. |
| ClientIP | Edm.String | Sim | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados a Microsoft Entra ID, o endereço IP não é registrado e o valor da propriedade ClientIP é null. |
| Escopo | Self.AuditLogScope | Não | Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente. |
| AppAccessContext | CollectionSelf.AppAccessContext | Não | O contexto do aplicativo para o usuário ou principal de serviço que executou a ação. |
Enumeração: AuditLogRecordType - Tipo: Edm.Int32
AuditLogRecordType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | ExchangeAdmin | Eventos do log de auditoria do administrador do Exchange. |
| 2 | ExchangeItem | Eventos de um log de auditoria de caixa de correio do Exchange para ações executadas em um único item, como criar ou receber uma mensagem de email. |
| 3 | ExchangeItemGroup | Eventos de um log de auditoria de caixa de correio do Exchange para ações que podem ser executadas em vários itens, como mover ou excluir uma ou mais mensagens de email. |
| 4 | SharePoint | Eventos do SharePoint. |
| 6 | SharePointFileOperation | Eventos de operação de arquivos do SharePoint. |
| 7 | OneDrive | Eventos do OneDrive for Business. |
| 8 | AzureActiveDirectory | Microsoft Entra ID eventos. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID eventos de logon OrgId (preteridos). |
| 10 | DataCenterSecurityCmdlet | Eventos de cmdlet de segurança do Data Center. |
| 11 | ComplianceDLPSharePoint | Eventos de proteção contra perda de dados (DLP) no SharePoint e no OneDrive for Business. |
| 13 | ComplianceDLPExchange | Eventos de Proteção contra a Perda de Dados (DLP), quando configurados via Política DLP Unificada. Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange. |
| 14 | SharePointSharingOperation | Eventos de compartilhamento do SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | Eventos de logon do STS (Serviço de Token Seguro) no Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Eventos da Rede Telefônica Pública Comutada (PSTN) do Skype for Business. |
| 17 | SkypeForBusinessUsersBlocked | Eventos de usuário bloqueados do Skype for Business. |
| 18 | SecurityComplianceCenterEOPCmdlet | Ações de administração do Centro de Conformidade e Segurança. |
| 19 | ExchangeAggregatedOperation | Eventos de auditoria de caixa de correio do Exchange agregado. |
| 20 | PowerBIAudit | Eventos do Power BI. |
| 21 | CRM | Eventos do Dynamics 365. |
| 22 | Yammer | Eventos do Yammer. |
| 23 | SkypeForBusinessCmdlets | Eventos do Skype for Business. |
| 24 | Descoberta | Eventos para atividades de Descoberta Eletrônica realizados executando pesquisas de conteúdo e gerenciando casos de Descoberta Eletrônica no Centro de Conformidade e Segurança. |
| 25 | MicrosoftTeams | Eventos do Microsoft Teams. |
| 28 | ThreatIntelligence | Eventos de phishing e malware da Proteção do Exchange Online e do Microsoft Defender para Office 365. |
| 29 | MailSubmission | Envio de eventos da Proteção do Exchange Online e do Microsoft Defender para Office 365. |
| 30 | MicrosoftFlow | Eventos do Microsoft Power Automate (anteriormente chamado de Microsoft Flow). |
| 31 | AeD | Eventos de Descoberta Eletrônica Avançada. |
| 32 | MicrosoftStream | Eventos do Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | Eventos relacionados à classificação DLP no SharePoint. |
| 34 | ThreatFinder | Eventos relacionados à campanha do Microsoft Defender para Office 365. |
| 35 | Project | Eventos do Microsoft Project. |
| 36 | SharePointListOperation | Eventos da Lista do SharePoint. |
| 37 | SharePointCommentOperation | Eventos de comentário do Microsoft Office SharePoint Online. |
| 38 | DataGovernance | Eventos relacionados às políticas de retenção e rótulos de retenção no Centro de Conformidade e Segurança |
| 39 | Kaizala | Eventos do Kaizala. |
| 40 | SecurityComplianceAlerts | Sinais de alerta de conformidade e segurança. |
| 41 | ThreatIntelligenceUrl | Eventos de anulação de bloqueios e de tempo de bloqueio de links seguros a partir do Microsoft Defender para Office 365 |
| 42 | SecurityComplianceInsights | Eventos relacionados à informações e relatórios no centro de segurança e conformidade do Office 365. |
| 43 | MIPLabel | Eventos relacionados à detecção no pipeline de transporte de mensagens de email que foram marcadas (manual ou automaticamente) com rótulos de confidencialidade. |
| 44 | WorkplaceAnalytics | Eventos do Workplace Analytics. |
| 45 | PowerAppsApp | Eventos dos Aplicativos de Energia. |
| 46 | PowerAppsPlan | Eventos de plano de assinatura para Power Apps. |
| 47 | ThreatIntelligenceAtpContent | Eventos de phishing e malware para arquivos no SharePoint, OneDrive for Business e Microsoft Teams do Microsoft Defender para Office 365. |
| 48 | LabelContentExplorer | Eventos relacionados ao explorador de conteúdo de classificação de dados. |
| 49 | TeamsHealthcare | Eventos relacionados ao Aplicativo dos pacientes no Microsoft Teams para Assistência Médica. |
| 50 | ExchangeItemAggregated | Eventos relacionados à ação de auditoria da caixa de correio MailItemsAccessed. |
| 51 | HygieneEvent | Eventos relacionados à proteção contra spam de saída. |
| 52 | DataInsightsRestApiAudit | Informações sobre os dados de eventos da API REST. |
| 53 | InformationBarrierPolicyApplication | Eventos relacionados à aplicação de políticas de barreira de informação. |
| 54 | SharePointListItemOperation | Eventos de item de lista do SharePoint. |
| 55 | SharePointContentTypeOperation | Eventos do tipo de conteúdo de lista do SharePoint. |
| 56 | SharePointFieldOperation | Eventos de campo de lista do SharePoint. |
| 57 | MicrosoftTeamsAdmin | Eventos de administração do Teams. |
| 58 | HRSignal | Eventos relacionados a sinais de dados de RH que dão suporte à solução de gerenciamento de risco interno. |
| 59 | MicrosoftTeamsDevice | Eventos de dispositivo do Teams. |
| 60 | MicrosoftTeamsAnalytics | Eventos de análise do Teams. |
| 61 | InformationWorkerProtection | Eventos relacionados a alertas de usuários comprometidos. |
| 62 | Campanha | Eventos de campanha por email do Microsoft Defender para Office 365. |
| 63 | DLPEndpoint | Eventos Endpoint DLP. |
| 64 | AirInvestigation | Eventos de resposta automática de incidente (AIR). |
| 65 | Quarentena | Eventos de quarentena. |
| 66 | MicrosoftForms | Eventos do Microsoft Forms. |
| 67 | ApplicationAudit | Eventos de auditoria de aplicativos. |
| 68 | ComplianceSupervisionExchange | Eventos controlados pelo modelo de linguagem ofensivo de conformidade de comunicações. |
| 69 | CustomerKeyServiceEncryption | Eventos relacionados ao serviço de criptografia de chave do cliente. |
| 70 | OfficeNative | Eventos relacionados a rótulos de confidencialidade aplicados a documentos do Office. |
| 71 | MipAutoLabelSharePointItem | Eventos de rotulagem automática no Microsoft Office SharePoint Online. |
| 72 | MipAutoLabelSharePointPolicyLocation | Eventos de política de rotulagem automática no Microsoft Office SharePoint Online. |
| 73 | MicrosoftTeamsShifts | Eventos de Turnos do Teams. |
| 75 | MipAutoLabelExchangeItem | Eventos de rotulagem automática no Exchange. |
| 76 | CortanaBriefing | Resumo dos eventos por email. |
| 78 | WDATPAlerts | Eventos relacionados a alertas gerados pelo Windows Defender para Endpoint. |
| 82 | SensitivityLabelPolicyMatch | Eventos gerados quando o arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
| 83 | SensitivityLabelAction | Evento gerado quando rótulos de sensibilidade são aplicados, atualizados ou removidos de um arquivo. |
| 84 | SensitivityLabeledFileAction | Eventos gerados quando um arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado. |
| 85 | AttackSim | Eventos relacionados às atividades do usuário no Treinamento de & de Simulação de Ataque no Microsoft Defender para Office 365. |
| 86 | AirManualInvestigation | Eventos relacionados a investigações manuais em investigação e resposta automatizada (AIR). |
| 87 | SecurityComplianceRBAC | Eventos do RBAC de segurança e conformidade. |
| 88 | UserTraining | Eventos relacionados ao treinamento do usuário no Treinamento de & de Simulação de Ataque no Microsoft Defender para Office 365. |
| 89 | AirAdminActionInvestigation | Eventos relacionados a ações de administrador no AIR (investigação e resposta automatizada). |
| 90 | MSTIC | Eventos de inteligência de ameaças no Microsoft Defender para Office 365. |
| 91 | PhysicalBadgingSignal | Eventos relacionados a sinais físicos de identificação que são compatíveis com a solução de gerenciamento de risco interno. |
| 93 | AipDiscover | Eventos de scanner de AIP |
| 94 | AipSensitivityLabelAction | Eventos de rótulo de confidencialidade do AIP |
| 95 | AipProtectionAction | Eventos de proteção AIP |
| 96 | AipFileDeleted | Eventos de exclusão de arquivo AIP |
| 97 | AipHeartBeat | Eventos de pulsação de AIP |
| 98 | MCASAlerts | Eventos correspondentes a alertas acionados pelo Microsoft Cloud App Security. |
| 99 | OnPremisesFileShareScannerDlp | Eventos relacionados à verificação de dados confidenciais em compartilhamentos de arquivos. |
| 100 | OnPremisesSharePointScannerDlp | Eventos relacionados à verificação de dados confidenciais no Microsoft Office SharePoint Online. |
| 101 | ExchangeSearch | Eventos relacionados ao uso do Outlook na Web (OWA) para pesquisar itens da caixa de correio. |
| 102 | SharePointSearch | Eventos relacionados à pesquisa no site inicial do Microsoft Office SharePoint Online de uma organização. |
| 103 | PrivacyInsights | Eventos de informações de privacidade. |
| 105 | MyAnalyticsSettings | Eventos do MyAnalytics. |
| 106 | SecurityComplianceUserChange | Eventos relacionados à modificação ou exclusão de um usuário. |
| 107 | ComplianceDLPExchangeClassification | Eventos de classificação do Exchange DLP. |
| 109 | MipExactDataMatch | Eventos de classificação Exact Data Match (EDM). |
| 113 | MS365DCustomDetection | Eventos relacionados a ações de detecção personalizadas no Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Relatórios de eventos de configurações. |
| 148 | ComplianceConnector | Eventos relacionados à importação de dados que não são da Microsoft usando conectores de dados no Centro de conformidade do Microsoft Purview. |
| 154 | OMEPortal | Logs de eventos do portal de mensagens criptografados gerados por destinatários externos. |
| 174 | DataShareOperation | Eventos relacionados ao compartilhamento de dados ingeridos por meio do SystemSync. |
| 181 | EduDataLakeDownloadOperation | Eventos relacionados à exportação de dados ingeridos do SystemSync do data lake. |
| 183 | MicrosoftGraphDataConnectOperation | Eventos relacionados a extrações feitas pelo Microsoft Graph Data Connect. |
| 186 | PowerPagesSite | Atividades relacionadas ao site do Power Pages. |
| 188 | PlannerPlan | Microsoft Planner planejar eventos. |
| 189 | PlannerCopyPlan | Microsoft Planner copiar eventos de plano. |
| 190 | PlannerTask | Microsoft Planner eventos de tarefa. |
| 191 | PlannerRoster | Microsoft Planner eventos de associação de lista e lista. |
| 192 | PlannerPlanList | Microsoft Planner planejar eventos de lista. |
| 193 | PlannerTaskList | Microsoft Planner eventos da lista de tarefas. |
| 194 | PlannerTenantSettings | Microsoft Planner eventos de configurações de locatário. |
| 195 | ProjectForThewebProject | Eventos de projeto do Microsoft Project para a Web. |
| 196 | ProjectForThewebTask | Eventos de tarefa do Microsoft Project para a Web. |
| 197 | ProjectForThewebRoadmap | A Microsoft Project para a Web eventos de roteiro. |
| 198 | ProjectForThewebRoadmapItem | Eventos de item de roteiro do Microsoft Project para a Web. |
| 199 | ProjectForThewebProjectSettings | A Microsoft Project para a Web eventos de configurações de locatário do projeto. |
| 200 | ProjectForThewebRoadmapSettings | A Microsoft Project para a Web eventos de configurações de locatário de roteiro. |
| 216 | Viva Goals | Viva Goals eventos. |
| 217 | MicrosoftGraphDataConnectConsent | Eventos para ações de consentimento executadas por administradores de locatários para aplicativos do Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | Eventos relacionados a atividades de administrador no Treinamento de & de Simulação de Ataque no Microsoft Defender para Office 365. |
| 230 | TeamsUpdates | O Teams Atualizações Eventos de Aplicativo. |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner eventos de rótulo de confidencialidade da lista. |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender eventos de ação do Administrador de Especialistas. |
| 251 | VfamCreatePolicy | Viva política de Gerenciamento de Acesso criar eventos. |
| 252 | VfamUpdatePolicy | Viva eventos de atualização de política do Access Management. |
| 253 | VfamDeletePolicy | Viva a política de Gerenciamento de Acesso excluir eventos. |
| 261 | CopilotInteraction | Eventos de interação de copiloto. |
Enumeração: User Type - Tipo: Edm.Int32
User Type
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Regular | Um usuário regular. |
| 1 | Reserved | Um usuário reservado. |
| 2 | Admin | Um administrador. |
| 3 | DcAdmin | Um operador de datacenter da Microsoft. |
| 4 | System | Uma conta do sistema. |
| 5 | Application | Um aplicativo. |
| 6 | ServicePrincipal | Uma entidade de serviço. |
| 7 | CustomPolicy | Uma política personalizada. |
| 8 | SystemPolicy | Uma política do sistema. |
Enumeração: AuditLogScope - Tipo: Edm.Int32
AuditLogScope
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Online | Este evento foi criado por um serviço hospedado no O365. |
| 1 | Onprem | Este evento foi criado por um servidor local. |
Tipo complexo AppAccessContext
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AADSessionId | Edm.String | Não | O Microsoft Entra SessionId da entrada Entra que foi executada pelo aplicativo em nome do usuário. |
| APIId | Edm.String | Não | O Id para o caminho da API que é usado para acessar o recurso; por exemplo, acesso por meio da API do Microsoft Graph. |
| ClientAppId | Edm.String | Não | A Id do aplicativo Microsoft Entra que realizou o acesso em nome do usuário. |
| ClientAppName | Edm.String | Não | O nome do aplicativo Microsoft Entra que realizou o acesso em nome do usuário. |
| CorrelationId | Edm.String | Não | Um identificador que pode ser usado para correlacionar as ações de um usuário específico entre Microsoft 365 serviços. |
| UniqueTokenId | Edm.String | Não | UniqueTokenId será definido se o token Microsoft Entra estiver disponível para a solicitação. É um identificador exclusivo por-token que diferencia maiúsculas de minúsculas. |
| IssuedAtTime | Edm.Date | Não | "Em Emitido" é definido se o token Microsoft Entra está disponível para a solicitação e indica quando ocorreu a autenticação desse token Microsoft Entra. |
Esquema base do SharePoint
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Site | Edm.Guid | Não | O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Não | O tipo de objeto que foi acessado ou modificado. Confira a tabela ItemType para obter detalhes sobre os tipos de objetos. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Não | Identifica que um evento ocorreu no SharePoint. Valores possíveis são SharePoint ou ObjectModel. |
| SourceName | Edm.String | Não | A entidade que acionou a operação auditada. Valores possíveis são SharePoint ou ObjectModel. |
| UserAgent | Edm.String | Não | Informações sobre o cliente ou navegador do usuário. Esta informação é fornecida pelo cliente ou navegador. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação. |
| ListItemUniqueId | Edm.Guid | Não | O GUID de um item de lista exclusivamente identificável. Esta informação está presente apenas se for aplicável. |
| ListId | Edm.Guid | Não | O GUID da lista. Esta informação está presente apenas se for aplicável. |
| ApplicationId | Edm.String | Não | O ID do aplicativo que está executando a operação. |
| ApplicationDisplayName | Edm.String | Não | O nome de exibição do aplicativo que está executando a operação. |
| IsWorkflow | Edm.Boolean | Não | Isso está definido como True se os Fluxos de Trabalho do SharePoint dispararem o evento auditado. |
Enumeração: ItemType - Tipo: Edm.Int32
ItemType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Invalid | O item não consiste em nenhum dos outros tipos de itens (listados nesta tabela). |
| 1 | File | O item é um arquivo. |
| 5 | Folder | O item é uma pasta. |
| 6 | web | O item é uma Web. |
| 7 | Site | O item é um site. |
| 8 | Tenant | O item é um locatário. |
| 9 | DocumentLibrary | O item é uma biblioteca de documentos. |
| 11 | Page | O item é uma página. |
Enumeração: EventSource - Tipo: Edm.Int32
EventSource
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | SharePoint | A origem do evento é o SharePoint. |
| 1 | ObjectModel | A origem do evento é o ObjectModel. |
Enumeração: SharePointAuditOperation - Tipo: Edm.Int32
| Nome do membro | Descrição |
|---|---|
| AccessInvitationAccepted | O destinatário de um convite para exibir ou editar um arquivo compartilhado (ou pasta) acessou o arquivo compartilhado clicando no link do convite. |
| AccessInvitationCreated | O usuário envia um convite a outra pessoa (dentro ou fora da organização) para exibir ou editar um arquivo ou pasta compartilhada em um site do SharePoint ou do OneDrive for Business. Os detalhes da entrada do evento identificam o nome do arquivo que foi compartilhado, o usuário ao qual o convite foi enviado e o tipo de permissão de compartilhamento selecionado pela pessoa que enviou o convite. |
| AccessInvitationExpired | Um convite enviado a um usuário externo expira. Por padrão, um convite enviado a um usuário fora de sua organização expira após sete dias se o convite não for aceito. |
| AccessInvitationRevoked | O administrador do site ou proprietário de um site ou documento no SharePoint ou OneDrive for Business retira um convite que foi enviado para um usuário fora da organização. Um convite pode ser retirado somente antes de ser aceito. |
| AccessInvitationUpdated | O usuário que criou e enviou um convite a outra pessoa para exibir ou editar um arquivo (ou pasta) compartilhado em um site do SharePoint ou do OneDrive for Business reenvia o convite. |
| AccessRequestApproved | O administrador do site ou proprietário de um site ou documento no SharePoint ou no OneDrive for Business aprova uma solicitação do usuário para acessar o site ou documento. |
| AccessRequestCreated | O usuário solicita acesso a um site ou documento no SharePoint ou no OneDrive for Business que ele não tem permissão para acessar. |
| AccessRequestRejected | O administrador do site ou proprietário de um site ou documento no SharePoint recusa uma solicitação do usuário para acessar o site ou documento. |
| ActivationEnabled | Os usuários podem habilitar modelos de formulário para navegador que não contenham código de formulário, exijam confiança total, permitam a renderização em um dispositivo móvel ou usem uma conexão de dados gerenciada por um administrador de servidor. |
| AdministratorAddedToTermStore | Administrador do repositório de termos adicionado. |
| AdministratorDeletedFromTermStore | Administrador do repositório de termos excluído. |
| AllowGroupCreationSet | O administrador ou proprietário do site adiciona um nível de permissão a um site do SharePoint ou do OneDrive for Business que permite ao usuário designado criar um grupo para esse site. |
| AppCatalogCreated | Catálogo de aplicativos criado para disponibilizar aplicativos de negócios personalizados para o seu ambiente do SharePoint. |
| AuditPolicyRemoved | Política de Ciclo de Vida do Documento removida para um conjunto de sites. |
| AuditPolicyUpdate | Política de Ciclo de Vida do Documento atualizada para um conjunto de sites. |
| AzureStreamingEnabledSet | Um proprietário de portal de vídeo permitiu o streaming de vídeo do Azure. |
| CollaborationTypeModified | O tipo de colaboração permitido em sites (por exemplo, intranet, extranet ou público) foi modificado. |
| ConnectedSiteSettingModified | O usuário criou, modificou ou excluiu o link entre um projeto e um site de projeto ou o usuário modifica a configuração de sincronização no link no aplicativo Web project. |
| CreateSSOApplication | Aplicativo de destino criado no Serviço de Repositório Seguro. |
| CustomFieldOrLookupTableCreated | O usuário criou um campo personalizado ou uma tabela/item de pesquisa no aplicativo Web do Project. |
| CustomFieldOrLookupTableDeleted | O usuário excluiu um campo personalizado ou uma tabela/item de pesquisa no aplicativo Web do Project. |
| CustomFieldOrLookupTableModified | O usuário modificou um campo personalizado ou uma tabela/item de pesquisa no aplicativo Web do Project. |
| CustomizeExemptUsers | O administrador global personalizou a lista de agentes do usuário isentos no Centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isso significa que quando um agente de usuário especificado como isento encontrar um formulário InfoPath, o formulário será retornado como um arquivo XML em vez de uma página da Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida. |
| DefaultLanguageChangedInTermStore* | Configuração de idioma alterada no repositório de terminologia. |
| DelegateModified | O usuário criou ou modificou um delegado de segurança no aplicativo Web do Project. |
| DelegateRemoved | O usuário excluiu um delegado de segurança no aplicativo Web project. |
| DeleteSSOApplication | Um aplicativo SSO foi excluído. |
| eDiscoveryHoldApplied | Um Bloqueio In-loco foi colocado em uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
| eDiscoveryHoldRemoved | Um Bloqueio In-loco foi removido de uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint. |
| eDiscoverySearchPerformed | Uma pesquisa de Descoberta Eletrônica foi realizada usando um conjunto de sites de Descoberta Eletrônica no SharePoint. |
| EngagementAccepted | O usuário aceita um envolvimento de recursos no Aplicativo Web do Project. |
| EngagementModified | O usuário modifica um envolvimento de recursos no aplicativo Web do Project. |
| EngagementRejected | O usuário rejeita um envolvimento de recursos no Aplicativo Web do Project. |
| EnterpriseCalendarModified | O usuário copia, modifica ou exclui um calendário empresarial no aplicativo Web do Project. |
| EntityDeleted | O usuário exclui uma folha de tempo no aplicativo Web do Project. |
| EntityForceCheckedIn | O usuário força um marcar em um calendário, campo personalizado ou tabela de pesquisa no aplicativo Web do Project. |
| ExemptUserAgentSet | O administrador global adiciona um agente do usuário à lista de agentes do usuário isentos no Centro de administração do SharePoint. |
| FileAccessed | O usuário ou a conta do sistema acessa um arquivo em um site do SharePoint ou OneDrive for Business. Contas do sistema também podem gerar eventos FileAccessed. |
| FileCheckOutDiscarded | O usuário descarta (ou desfaz) um arquivo que passou por check-out. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos. |
| FileCheckedIn | O usuário devolve um documento que retirou de uma biblioteca de documentos do SharePoint ou do OneDrive for Business. |
| FileCheckedOut | O usuário faz check-out de um documento localizado em uma biblioteca de documentos do SharePoint ou do OneDrive for Business. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles. |
| FileCopied | O usuário copia um documento de um site do SharePoint ou do OneDrive for Business. O arquivo copiado pode ser salvo em outra pasta no site. |
| FileDeleted | O usuário exclui um documento de um site do SharePoint ou do OneDrive for Business. |
| FileDeletedFirstStageRecycleBin | O usuário exclui um arquivo da lixeira em um site do SharePoint ou do OneDrive for Business. |
| FileDeletedSecondStageRecycleBin | O usuário exclui um arquivo da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business. |
| FileDownloaded | O usuário faz download de um documento de um site do SharePoint ou do OneDrive for Business. |
| FileFetched | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
| FileModified | O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site do SharePoint ou do OneDrive for Business. |
| FileMoved | O usuário move um documento de seu local atual em um site do SharePoint ou do OneDrive for Business para um novo local. |
| FilePreviewed | O usuário visualiza um documento em um site do SharePoint ou OneDrive for Business. |
| FileRecycled | O usuário move um documento para a Lixeira do SharePoint ou do OneDrive. |
| FileRenamed | O usuário renomeia um documento em um site do SharePoint ou OneDrive for Business. |
| FileRestored | O usuário restaura um documento da lixeira de um site do SharePoint ou OneDrive for Business. |
| FileSyncDownloadedFull | O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
| FileSyncDownloadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
| FileSyncUploadedFull | O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe). |
| FileSyncUploadedPartial | Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe). |
| FileUploaded | O usuário faz upload de um documento para uma pasta em um site do SharePoint ou do OneDrive for Business. |
| FileViewed | Este evento foi substituído pelo evento FileAccessed e foi descontinuado. |
| FolderCopied | O usuário copia uma pasta de um site do SharePoint ou do OneDrive for Business para outro local no SharePoint ou no OneDrive for Business. |
| FolderCreated | O usuário cria uma pasta em um site do SharePoint ou do OneDrive for Business. |
| FolderDeleted | O usuário exclui uma pasta de um site do SharePoint ou do OneDrive for Business. |
| FolderDeletedFirstStageRecycleBin | O usuário exclui uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business. |
| FolderDeletedSecondStageRecycleBin | O usuário exclui uma pasta da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business. |
| FolderModified | O usuário modifica uma pasta em um site do SharePoint ou do OneDrive for Business. Este evento inclui alterações de metadados da pasta, como tags e propriedades. |
| FolderMoved | O usuário move uma pasta de um site do SharePoint ou do OneDrive for Business. |
| FolderRecycled | O usuário move uma pasta para a Lixeira do SharePoint ou do OneDrive. |
| FolderRenamed | O usuário renomeia uma pasta de um site do SharePoint ou do OneDrive for Business. |
| FolderRestored | O usuário restaura uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business. |
| GroupAdded | O administrador ou proprietário do site cria um grupo para um site do SharePoint ou OneDrive for Business ou executa uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado. |
| GroupRemoved | O usuário exclui um grupo de um site do SharePoint ou do OneDrive for Business. |
| GroupUpdated | O administrador ou proprietário do site altera as configurações de um grupo para um site do SharePoint ou do OneDrive for Business. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas. |
| LanguageAddedToTermStore | Idioma adicionado ao repositório de terminologia. |
| LanguageRemovedFromTermStore | Idioma removido do repositório de terminologia. |
| LegacyWorkflowEnabledSet | O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint. |
| LookAndFeelModified | O usuário modifica um início rápido, formatos de gráfico de gantt ou formatos de grupo. Ou o usuário cria, modifica ou exclui uma exibição no Aplicativo Web do Project. |
| ManagedSyncClientAllowed | O usuário estabelece com êxito uma relação de sincronização com um site do SharePoint ou do OneDrive for Business. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que pode acessar bibliotecas de documentos em sua organização. Para obter mais informações, confira Usar o PowerShell do SharePoint Online para habilitar Sincronização do OneDrive para domínios que estão na lista de destinatários seguros. |
| MaxQuotaModified | A cota máxima de um site foi modificada. |
| MaxResourceUsageModified | O uso máximo permitido de recursos para um site foi modificado. |
| MySitePublicEnabledSet | O sinalizador que permite aos usuários ter MySites públicos foi definido pelo Administrador de serviços do SharePoint. |
| NewsFeedEnabledSet | O administrador ou proprietário do site habilita feeds RSS para um site do SharePoint ou do OneDrive for Business. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint. |
| ODBNextUXSettings | Uma nova interface do usuário do OneDrive for Business foi ativada. |
| OfficeOnDemandSet | O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Office 365 que inclua aplicativos completos do Office instalados. |
| PageViewed | O usuário visualiza uma página em um site do SharePoint ou no site do OneDrive for Business. Isso não inclui a exibição de arquivos da biblioteca de documentos de um site do SharePoint ou do site One Drive for Business em um navegador. |
| PeopleResultsScopeSet | O administrador do site cria ou altera a fonte de resultados para Pesquisas de Pessoas em um site do SharePoint. |
| PermissionSyncSettingModified | O usuário modifica as configurações de sincronização de permissão do projeto no aplicativo Web do Project. |
| PermissionTemplateModified | O usuário cria, modifica ou exclui um modelo de permissões no aplicativo Web project. |
| PortfolioDataAccessed | O usuário acessa o conteúdo do portfólio (biblioteca de driver, priorização do driver, análises de portfólio) no aplicativo Web project. |
| PortfolioDataModified | O usuário cria, modifica ou exclui dados de portfólio (biblioteca de driver, priorização do driver, análises de portfólio) no aplicativo Web project. |
| PreviewModeEnabledSet | O administrador do site habilita a visualização do documento para um site do SharePoint. |
| ProjectAccessed | O usuário acessa o conteúdo do projeto no aplicativo Web do Project. |
| ProjectCheckedIn | O usuário verifica em um projeto que ele saiu de um aplicativo Web do Project. |
| ProjectCheckedOut | O usuário verifica um projeto localizado em um aplicativo Web do Project. Os usuários podem fazer check-out e fazer alterações em projetos para os quais têm permissão para abrir. |
| ProjectCreated | O usuário cria um projeto no aplicativo Web do Project. |
| ProjectDeleted | O usuário exclui um projeto no aplicativo Web do Project. |
| ProjectForceCheckedIn | O usuário força um marcar em um projeto no aplicativo Web do Project. |
| ProjectModified | O usuário modifica um projeto no aplicativo Web do Project. |
| ProjectPublished | O usuário publica um projeto no aplicativo Web project. |
| ProjectWorkflowRestarted | O usuário reinicia um fluxo de trabalho no aplicativo Web do Project. |
| PWASettingsAccessed | O usuário acessa as configurações do aplicativo Web do Project por meio do CSOM. |
| PWASettingsModified | O usuário modifica a configuração de um aplicativo Web do Project. |
| QueueJobStateModified | O usuário cancela ou reinicia um trabalho de fila no aplicativo Web do Project. |
| QuotaWarningEnabledModified | Aviso de cota de armazenamento modificada. |
| RenderingEnabled | Modelos de formulário habilitados para navegador serão processados pelos serviços de formulários do InfoPath. |
| ReportingAccessed | O usuário acessou o ponto de extremidade de relatório no aplicativo Web do Project. |
| ReportingSettingModified | O usuário modifica a configuração de relatório no aplicativo Web project. |
| ResourceAccessed | O usuário acessa um conteúdo de recursos corporativos no aplicativo Web project. |
| ResourceCheckedIn | O usuário verifica em um recurso empresarial que ele saiu do aplicativo Web do Project. |
| ResourceCheckedOut | O usuário verifica um recurso empresarial localizado no aplicativo Web project. |
| ResourceCreated | O usuário cria um recurso empresarial no aplicativo Web do Project. |
| ResourceDeleted | O usuário exclui um recurso corporativo no Aplicativo Web do Project. |
| ResourceForceCheckedIn | O usuário força uma verificação de um recurso empresarial no aplicativo Web do Project. |
| ResourceModified | O usuário modifica um recurso empresarial no aplicativo Web do Project. |
| ResourcePlanCheckedInOrOut | O usuário faz check-in ou em um plano de recursos no aplicativo Web do Project. |
| ResourcePlanModified | O usuário modifica um plano de recursos no Aplicativo Web do Project. |
| ResourcePlanPublished | O usuário publica um plano de recursos no Aplicativo Web do Project. |
| ResourceRedacted | O usuário redigi um recurso corporativo removendo todas as informações pessoais no aplicativo Web do Project. |
| ResourceWarningEnabledModified | Aviso de cota de recursos modificada. |
| SSOGroupCredentialsSet | Credenciais de grupo definidas no Serviço de Repositório Seguro. |
| SSOUserCredentialsSet | Credenciais de usuário definidas no Serviço de Repositório Seguro. |
| SearchCenterUrlSet | Conjunto de URLs do Centro de Pesquisa. |
| SecondaryMySiteOwnerSet | Um usuário adicionou um proprietário secundário ao seu MySite. |
| SecurityCategoryModified | O usuário cria, modifica ou exclui uma categoria de segurança no aplicativo Web do Project. |
| SecurityGroupModified | O usuário cria, modifica ou exclui um grupo de segurança no aplicativo Web do Project. |
| SendToConnectionAdded | O administrador global cria uma nova conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada. |
| SendToConnectionRemoved | O administrador global exclui uma conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. |
| SharedLinkCreated | O usuário cria um link para um arquivo compartilhado no SharePoint ou no OneDrive for Business. Este link pode ser enviado para outras pessoas para dar acesso ao arquivo. Um usuário pode criar dois tipos de links: um link que permite ao usuário visualizar e editar o arquivo compartilhado, ou um link que permite ao usuário apenas visualizar o arquivo. |
| SharedLinkDisabled | O usuário desabilita (permanentemente) um link que foi criado para compartilhar um arquivo. |
| SharingInvitationAccepted * | O usuário aceita um convite para compartilhar um arquivo ou uma pasta. Esse evento é registrado quando um usuário compartilha um arquivo com outros usuários. |
| SharingRevoked | O usuário desassocia um arquivo ou pasta que foi compartilhado anteriormente com outros usuários. Esse evento é registrado quando um usuário deixa de compartilhar um arquivo com outros usuários. |
| SharingSet | O usuário compartilha um arquivo ou pasta localizado no SharePoint ou no OneDrive for Business com outro usuário dentro de sua organização. |
| SiteAdminChangeRequest | O usuário solicita ser adicionado como um administrador do conjunto de sites de um conjunto de sites do SharePoint. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
| SiteCollectionAdminAdded* | O administrador ou proprietário do conjunto de sites adiciona uma pessoa como administrador do conjunto de sites para um site do SharePoint ou do OneDrive for Business. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
| SiteCollectionCreated | O administrador global cria um novo conjunto de sites em sua organização do SharePoint. |
| SiteRenamed | O administrador ou proprietário do site renomeia um site do SharePoint ou do OneDrive for Business. |
| StatusReportModified | O usuário cria, modifica ou exclui um relatório status no aplicativo Web project. |
| SyncGetChanges | O usuário clica em Sincronizar na bandeja de ação no SharePoint ou no OneDrive for Business para sincronizar as alterações feitas no arquivo em uma biblioteca de documentos ao computador. |
| SyntexBillingSubscriptionSettingsChanged | As configurações de assinatura de cobrança do Syntex foram alteradas. Esse evento é disparado quando uma avaliação do Syntex expira. |
| TaskStatusAccessed | O usuário acessa o status de uma ou mais tarefas no aplicativo Web project. |
| TaskStatusApproved | O usuário aprova uma atualização status de uma ou mais tarefas no aplicativo Web project. |
| TaskStatusRejected | O usuário rejeita uma atualização status de uma ou mais tarefas no aplicativo Web do Project. |
| TaskStatusSaved | O usuário salva uma atualização status de uma ou mais tarefas no aplicativo Web do Project. |
| TaskStatusSubmitted | O usuário envia uma atualização status de uma ou mais tarefas no aplicativo Web project. |
| TimesheetAccessed | O usuário acessa uma folha de tempo no aplicativo Web do Project. |
| TimesheetApproved | O usuário aprova a folha de tempo no aplicativo Web do Project. |
| TimesheetRejected | O usuário rejeita uma folha de tempo no aplicativo Web do Project. |
| TimesheetSaved | O usuário salva uma folha de tempo no aplicativo Web do Project. |
| TimesheetSubmitted | O usuário envia uma folha de tempo status no aplicativo Web do Project. |
| UnmanagedSyncClientBlocked | O usuário tenta estabelecer uma relação de sincronização com um site do SharePoint ou do OneDrive for Business em um computador que não é membro do domínio de sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que podem acessar bibliotecas de documentos em sua organização. A relação de sincronização não é permitida e o computador do usuário é impedido de sincronizar, fazer download ou fazer upload de arquivos em uma biblioteca de documentos. Para obter informações sobre esse recurso, confira Usar os cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na Lista de Destinatários Confiáveis. |
| UpdateSSOApplication | Aplicativo de destino atualizado no Serviço de Repositório Seguro. |
| UserAddedToGroup | O administrador ou proprietário do site adiciona uma pessoa a um grupo em um site do SharePoint ou OneDrive for Business. Adicionar uma pessoa a um grupo concede ao usuário as permissões que foram atribuídas ao grupo. |
| UserRemovedFromGroup | O administrador ou proprietário do site remove uma pessoa de um grupo em um site do SharePoint ou OneDrive for Business. Depois que a pessoa é removida, ela não recebe mais as permissões que foram atribuídas ao grupo. |
| WorkflowModified | O usuário cria, modifica ou exclui um tipo de projeto empresarial ou fases ou estágios do fluxo de trabalho no aplicativo Web project. |
Operações de arquivos do SharePoint
Os eventos do SharePoint relacionados aos arquivos listados na seção “Atividades de arquivos e pastas” em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SiteUrl | Edm.String | Sim | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores para os parâmetros SiteURL, SourceRelativeURL e SourceFileName é a mesma que o valor da propriedade ObjectID , que é o nome de caminho completo para o arquivo acessado pelo usuário. |
| SourceFileName | Edm.String | Sim | O nome do arquivo ou pasta acessado pelo usuário. |
| SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
| DestinationRelativeUrl | Edm.String | Não | A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores para parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é a mesma que o valor da propriedade ObjectID , que é o nome completo do caminho para o arquivo copiado. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| DestinationFileName | Edm.String | Não | O nome do arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| DestinationFileExtension | Edm.String | Não | A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved. |
| UserSharedWith | Edm.String | Não | O usuário com o qual um recurso foi compartilhado. |
| SharingType | Edm.String | Não | O tipo de permissões de compartilhamento que foram designadas ao usuário com o qual o recurso foi compartilhado. Esse usuário é identificado pelo parâmetro UserSharedWith . |
| SourceLabel | Edm.String | Não | O rótulo original do arquivo antes de ser alterado por uma ação do usuário. |
| DestinationLabel | Edm.String | Não | O rótulo final do arquivo depois que ele é alterado por uma ação do usuário. |
| SensitivityLabelOwnerEmail | Edm.String | Não | O endereço de email do proprietário do rótulo de confidencialidade. |
| SensitivityLabelId | Edm.String | Não | A ID do rótulo de confidencialidade atual do arquivo. |
Listar Operações do SharePoint
As listas do SharePoint e os eventos relacionados a itens de lista listados na seção "Atividades de lista do SharePoint" em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ListTitle | Edm.String | Não | O título da lista de SharePoint. |
| ListName | Edm.String | Não | O nome da lista do SharePoint. |
| ListUrl | Edm.String | Não | O URL da lista em relação ao site que o contém. |
| ListBaseType | Edm.String | Não | Especifica o tipo base para uma lista. |
| ListBaseTemplateType | Edm.String | Não | O tipo de definição de lista no qual a lista se baseia. |
| IsHiddenList | Edm.Boolean | Não | Esse valor será definido para True se a lista do SharePoint estiver oculta. |
| IsDocLib | Edm.Boolean | Não | Este valor está definido como True se a lista do SharePoint for do tipo Biblioteca de Documentos. |
Esquema de compartilhamento do SharePoint
Os eventos do SharePoint relacionados ao compartilhamento de arquivos. Eles são diferentes dos eventos relacionados a arquivos e pastas em que um usuário está realizando uma ação que afeta outro usuário. Para obter informações sobre o esquema de compartilhamento do SharePoint, consulte Usar a auditoria de compartilhamento no log de auditoria .
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Não | Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado. |
| TargetUserOrGroupType | Edm.String | Não | Identifica se o usuário ou grupo de destino é um Membro, Convidado, Grupo ou Parceiro. |
| EventData | Código XML | Não | Transmite informações de acompanhamento sobre a ação de compartilhamento que ocorreu, como adicionar um usuário a um grupo ou conceder permissões de edição. |
| SiteUrl | Edm.String | Não | A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado. |
| SourceRelativeUrl | Edm.String | Não | O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores para os parâmetros SiteURL, SourceRelativeURL e SourceFileName é a mesma que o valor da propriedade ObjectID , que é o nome de caminho completo para o arquivo acessado pelo usuário. |
| SourceFileName | Edm.String | Não | O nome do arquivo ou pasta acessado pelo usuário. |
| SourceFileExtension | Edm.String | Não | A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta. |
| UniqueSharingId | Edm.String | Não | O ID de compartilhamento exclusivo associado à operação de compartilhamento. |
Esquema do SharePoint
Os eventos do SharePoint listados em Pesquisar o log de auditoria no centro de conformidade (excluindo os eventos de arquivo e pasta) usam esse esquema.
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| CustomEvent | Edm.String | Não | Cadeia de caracteres opcional para eventos personalizados. |
| EventData | Edm.String | Não | Carga opcional para eventos personalizados. |
| ModifiedProperties | Collection(ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador, como adicionar um usuário como membro de um site ou grupo de administradores de um conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site), o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site) e o valor anterior do objeto modificado. |
Esquema do Project
| Parâmetro | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Entity | Edm.String | Sim | ProjectEntity da auditoria. |
| Action | Edm.String | Sim | ProjectAction tomada. |
| OnBehalfOfResId | Edm.Guid | Não | A ID do recurso em nome da qual a ação foi tomada. |
Enumeração: Project Action - Tipo: Edm.Int32
Ação do projeto
| Nome do membro | Descrição |
|---|---|
| Accepted | O usuário aceitou um evento ou fluxo de trabalho. |
| Accessed | O usuário acessou uma entidade. |
| Activated | O usuário ativou uma entidade, evento ou fluxo de trabalho. |
| Cancelled | O usuário cancelou um evento ou fluxo de trabalho. |
| CheckedIn | O usuário fez check-in em uma entidade. |
| CheckedOut | O usuário fez check-out em uma entidade. |
| Copied | O usuário copiou uma entidade. |
| Created | O usuário criou uma entidade. |
| Deactivated | O usuário desativou uma entidade. |
| Deleted | O usuário excluiu uma entidade. |
| Exported | O usuário exportou uma entidade. |
| ForceCheckedIn | O usuário fez com que uma entidade fosse obrigada a fazer check-in. |
| Modified | O usuário modificou uma entidade. |
| Published | O usuário publicou uma entidade. |
| Redacted | O usuário redigiu uma entidade. |
| Rejected | O usuário rejeitou uma entidade. |
| Restarted | O usuário reiniciou um evento ou fluxo de trabalho. |
| Saved | O usuário salvou uma entidade. |
| Sent | O usuário enviou uma entidade. |
| Submitted | O usuário enviou uma entidade para revisão ou fluxo de trabalho. |
Enumeração: Project Entity - Tipo: Edm.Int32
Entidade do projeto.
| Nome do membro | Descrição |
|---|---|
| CustomField | Representa um campo personalizado da empresa. |
| Driver | Representa um indicador de portfólio. |
| DriverPrioritization | Representa uma priorização de portfólio. |
| Engagement | Representa um compromisso de recurso. |
| EnterpriseCalendar | Representa um calendário de recursos da empresa. |
| EnterpriseProjectType | Representa um tipo de projeto corporativo. |
| FiscalPeriod | Representa um período fiscal. |
| GanttChartFormat | Representa um formato de gráfico de Gantt. |
| GroupingFormat | Representa um formato de agrupamento de visualizações. |
| LineClassification | Representa uma classificação de linha de quadro de horários. |
| LookupTable | Representa uma tabela de pesquisa corporativa. |
| PermissionTemplate | Representa um modelo de permissão de segurança. |
| PortfolioAnalysis | Representa uma análise de portfólio. |
| Project | Representa um projeto. |
| QueueJob | Representa um trabalho em fila. |
| QuickLaunch | Representa um item de inicialização rápida. |
| Reporting | Representa o ponto de extremidade de relatório. |
| Resource | Representa um recurso da empresa. |
| ResourcePlan | Representa um plano de recursos associado a um projeto. |
| SecurityCategory | Representa uma categoria de segurança. |
| SecurityGroup | Representa um grupo de segurança. |
| Setting | Representa uma configuração de aplicativo Web do Project |
| Statusing | Representa uma atualização de status da tarefa. |
| StatusReport | Representa um relatório de status. |
| TimeReportingPeriod | Representa um período de tempo para um quadro de horários. |
| Timesheet | Representa uma entidade de quadro de horários. |
| TimesheetAuditLog | Representa um log de auditoria do quadro de horários. |
| TimesheetManager | Representa o gerente de um quadro de horários. |
| UserDelegate | Representa uma delegação de usuário para outro usuário. |
| View | Representa uma definição de exibição. |
| WorkflowPhase | Representa uma fase em um fluxo de trabalho. |
| WorkflowStage | Representa um estágio em um fluxo de trabalho. |
Esquema de administração do Exchange
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Não | Esse é o nome amigável do objeto que foi modificado pelo cmdlet. Ele é registrado somente se o cmdlet modificar o objeto. |
| Parâmetros | Collection(Common.NameValuePair) | Não | O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Não | A propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado. |
| ExternalAccess | Edm.Boolean | Sim | Especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe de datacenters da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado. |
| OriginatingServer | Edm.String | Não | O nome do servidor do qual o cmdlet foi executado. |
| OrganizationName | Edm.String | Não | O nome do locatário. |
Esquema de caixa de correio do Exchange
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| LogonType | Self.LogonType | Não | Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada. |
| InternalLogonType | Self.LogonType | Não | Reservado para uso interno. |
| MailboxGuid | Edm.String | Não | O GUID do Exchange da caixa de correio que foi acessada. |
| MailboxOwnerUPN | Edm.String | Não | O endereço de email da pessoa que possui a caixa de correio que foi acessada. |
| MailboxOwnerSid | Edm.String | Não | O SID do proprietário da caixa de correio. |
| MailboxOwnerMasterAccountSid | Edm.String | Não | SID da conta principal da conta do proprietário da caixa de correio. |
| LogonUserSid | Edm.String | Não | O SID do usuário que executou a operação. |
| LogonUserDisplayName | Edm.String | Não | O nome amigável do usuário que executou a operação. |
| ExternalAccess | Edm.Boolean | Sim | Isso se aplica se o domínio do usuário de logon for diferente do domínio do proprietário da caixa de correio. |
| OriginatingServer | Edm.String | Não | De onde a operação se originou. |
| OrganizationName | Edm.String | Não | O nome do locatário. |
| ClientInfoString | Edm.String | Não | Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações do dispositivo móvel. |
| ClientIPAddress | Edm.String | Não | O endereço IP do dispositivo que foi usado quando a operação foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| ClientMachineName | Edm.String | Não | O nome da computador que hospeda o cliente do Outlook. |
| ClientProcessName | Edm.String | Não | O cliente de email que foi usado para acessar a caixa de correio. |
| ClientVersion | Edm.String | Não | A versão do cliente de email. |
Enumeração: LogonType - Tipo: Edm.Int32
LogonType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Owner | O proprietário da caixa de correio. |
| 1 | Admin | Uma pessoa com privilégios administrativos para a caixa de correio de uma pessoa. |
| 2 | Delegated | Uma pessoa com privilégios de delegado para a caixa de correio de uma pessoa. |
| 3 | Transport | Um serviço de transporte no datacenter da Microsoft. |
| 4 | SystemService | Uma conta de serviço no datacenter da Microsoft. |
| 5 | BestAccess | Reservado para uso interno. |
| 6 | DelegatedAdmin | Um administrador delegado. |
Esquema ExchangeMailboxAuditGroupRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Folder | Self.ExchangeFolder | Não | A pasta onde um grupo de itens está localizado. |
| CrossMailboxOperations | Edm.Boolean | Não | Indica se a operação envolveu mais de uma caixa de correio. |
| DestMailboxId | Edm.Guid | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino. |
| DestMailboxOwnerUPN | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino. |
| DestMailboxOwnerSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Não | Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID do SID da conta principal do proprietário da caixa de correio de destino. |
| DestFolder | Self.ExchangeFolder | Não | A pasta de destino, para operações como Mover. |
| Folders | Collection(Self.ExchangeFolder) | Não | Informações sobre as pastas de origem envolvidas em uma operação; por exemplo, se as pastas forem selecionadas e excluídas. |
| AffectedItems | Collection(Self.ExchangeItem) | Não | Informações sobre cada item no grupo. |
Esquema ExchangeMailboxAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Item | Self.ExchangeItem | Não | Representa o item no qual a operação foi executada |
| ModifiedProperties | Collection(Edm.String) | Não | A definir |
| SendAsUserSmtp | Edm.String | Não | Endereço SMTP do usuário que está sendo representado. |
| SendAsUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar email. |
| SendOnBehalfOfUserSmtp | Edm.String | Não | O endereço SMTP do usuário em nome de quem o email é enviado. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Não | O GUID do Exchange da caixa de correio que foi acessada para enviar emails. |
Tipo complexo ExchangeItem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | A ID do repositório. |
| Subject | Edm.String | Não | A linha de assunto da mensagem que foi acessada. |
| ParentFolder | Edm.ExchangeFolder | Não | O nome da pasta onde o item está localizado. |
| Attachments | Edm.String | Não | Uma lista dos nomes e tamanho de arquivo de todos os itens anexados à mensagem. |
Tipo complexo ExchangeFolder
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | A ID do repositório do objeto da pasta. |
| Path | Edm.String | Não | O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada. |
Esquema Base do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Sim | O tipo de evento Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | Não | As propriedades estendidas do evento Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Não | Esta propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32
AzureActiveDirectoryEventType
| Nome do membro | Descrição |
|---|---|
| AccountLogon | O evento de logon da conta. |
| AzureApplicationAuditEvent | O evento de segurança do aplicativo do Azure. |
Esquema de Logon da Conta do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Application | Edm.String | Não | O aplicativo que dispara o evento de login da conta, como o Office 15. |
| Client | Edm.String | Não | Detalhes sobre o dispositivo cliente, o SO do dispositivo e o navegador do dispositivo que foi usado para o evento de logon da conta. |
| LoginStatus | Edm.Int32 | Sim | Esta propriedade é diretamente do OrgIdLogon.LoginStatus. O mapeamento de várias falhas interessantes de logon pode ser feito por meio do alerta de algoritmos. |
| UserDomain | Edm.String | Sim | Informações de Identidade do Locatário (TII, Tenant Identity Information). |
Enumeração: CredentialType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| -1 | Other | Outra autenticação. |
| 0 | Password | A credencial do usuário é o nome de usuário e a senha. |
| 1 | MobilePhone | A credencial do usuários é o telefone celular. |
| 2 | SecretQuestion | A credencial do usuário é a pergunta secreta. |
| 3 | SecurePin | A credencial do usuário é um PIN seguro. |
| 4 | SecurePinReset | A credencial do usuário é a redefinição do PIN seguro. |
| 11 | EasyID | A credencial do usuário é EasyID. |
| 14 | PasswordIndexCredentialType | A credencial do usuário é PasswordIndexCredentialType. |
| 16 | Device | A credencial do usuário é um dispositivo. |
| 17 | ForeignRealmIndex | A credencial do usuário é ForeignRealmIndex. |
Enumeração: LoginType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| -1 | Other | Outro tipo de i. |
| 1 | InitialAuth | Login com autenticação inicial. |
| 2 | CookieCopy | Login com cookies. |
| 3 | SilentReAuth | Logon com reautenticação silenciosa. |
Enumeração: AuthenticationMethod - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Min | O método de autenticação é um Min. |
| 1 | Password | O método de autenticação é uma senha. |
| 2 | Digest | O método de autenticação é um resumo. |
| 3 | ProxyAuth | O método de autenticação é um ProxyAuth. |
| 4 | InfoCard | O método de autenticação é um InfoCard. |
| 5 | DAToken | O método de autenticação é um DAToken. |
| 6 | Sha1RememberMyPassword | O método de autenticação é um Sha1RememberMyPassword. |
| 7 | LMPasswordHash | O método de autenticação é um LMPasswordHash. |
| 8 | ADFSFederatedToken | O método de autenticação é um ADFSFederatedToken. |
| 9 | EID | O método de autenticação é um EID. |
| 10 | DeviceID | O método de autenticação é um DeviceID. |
| 11 | MD5 | O método de autenticação é MD5. |
| 12 | EncProxyPasswordHash | O método de autenticação é um EncProxyPasswordHash. |
| 13 | LWAFederation | O método de autenticação é um LWAFederation. |
| 14 | Sha1HashedPassword | O método de autenticação é um Sha1HashedPassword. |
| 15 | SecurePin | O método de autenticação é um Pin seguro. |
| 16 | SecurePinReset | O método de autenticação é uma redefinição de um Pin seguro. |
| 17 | SAML20PostSimpleSign | O método de autenticação é um SAML20PostSimpleSign. |
| 18 | SAML20Post | O método de autenticação é um SAML20Post. |
| 19 | OneTimeCode | O método de autenticação é um código único. |
Esquema do Azure Active Directory
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | Não | O usuário ou a entidade de serviço que executou a ação. |
| ActorContextId | Edm.String | Não | O GUID da organização à qual o ator pertence. |
| ActorIpAddress | Edm.String | Não | O endereço IP do ator no formato de endereço IPV4 ou IPV6. |
| InterSystemsId | Edm.String | Não | O GUID que controla as ações entre componentes dentro do serviço do Office 365. |
| IntraSystemsId | Edm.String | Não | O GUID gerado pelo Azure Active Directory para acompanhar a ação. |
| SupportTicketId | Edm.String | Não | O ID do ticket de suporte ao cliente para a ação em situações de "agir em nome de". |
| Target | Collection(Self.IdentityTypeValuePair) | Não | O usuário em que a ação (identificada pela propriedade Operation) foi executada. |
| TargetContextId | Edm.String | Não | O GUID da organização à qual o usuário de destino pertence. |
Tipo complexo IdentityTypeValuePair
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ID | Edm.String | Sim | O valor da identidade de acordo com o tipo. |
| Type | Self.IdentityType | Sim | O tipo da identidade. |
Enumeração: IdentityType - Tipo: Edm.Int32
IdentityType
| Nome do membro | Descrição |
|---|---|
| Claim | A identidade é uma declaração para fins de autorização. |
| Name | O ator de ação de auditoria ou o nome de exibição da identidade de destino. |
| Other | A identidade do ator é outro tipo, como o ObjectId no GUID gerado pelo serviço do Office 365. |
| PUID | O ator da ação de auditoria ou a ID exclusiva do passaporte de destino (PUID). |
| SPN | A identidade de uma entidade de segurança de serviço, se a ação for executada pelo serviço do Office 365. |
| UPN | O nome da entidade de segurança do usuário. |
Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.String | Não | O GUID que representa o aplicativo que está solicitando o logon. O nome de exibição pode ser pesquisado por meio da API de gráfico do Azure Active Directory. |
| Client | Edm.String | Não | Informações do dispositivo cliente, fornecidas pelo navegador que executa o logon. |
| DeviceProperties | Collection(Common.NameValuePair) | Não | Esta propriedade inclui vários detalhes do dispositivo, incluindo Id, Nome do Display, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId e DeviceTrustType. A propriedade DeviceTrustType pode ter os seguintes valores: 0 – Microsoft Entra registrado 1 - Microsoft Entra ingressado 2 – Microsoft Entra híbrida ingressadas |
| ErrorCode | Edm.String | Não | Para logons com falha (em que o valor da propriedade Operation é UserLoginFailed), essa propriedade contém o código de erro STS do Azure Active Directory (AADSTS). Para obter descrições desses códigos de erro, confira Códigos de erro de autenticação e autorização. Um valor de 0 indica um logon bem-sucedido. |
| LogonError | Edm.String | Não | Para logons com falha, esta propriedade contém uma descrição legível pelo usuário do motivo do logon com falha. |
Esquema DLP
Os eventos DLP estão disponíveis para Exchange Online, Ponto de Extremidade(dispositivos) e SharePoint Online e OneDrive For Business. Observe que os eventos de DLP no Exchange só estão disponíveis para eventos com base na política DLP unificada (por exemplo, configurados por meio do Centro de Conformidade e Segurança). Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.
Os eventos de DLP (Prevenção contra Perda de Dados) sempre terão UserKey = "DlpAgent" no esquema Comum. Existem três tipos DlpEvents que estão armazenados como o valor da propriedade Operation do esquema comum:
DlpRuleMatch – indica que uma regra foi correspondida. Esses eventos existem em todos os exchanges, pontos de extremidade(dispositivos) e SharePoint Online e OneDrive for Business. Para o Exchange, inclui informações de falsos positivos e de substituição. Para o SharePoint Online e o OneDrive for Business, falsos positivos e as substituições geram eventos separados.
DlpRuleUndo – existem apenas no SharePoint Online e no OneDrive for Business e indicam que uma ação de política aplicada anteriormente foi "desfeita" – seja por causa de designação de falso positivo/substituição pelo usuário, ou porque o documento não está mais sujeito à política (seja devido a mudança de política ou alteração de conteúdo no documento).
DlpInfo – existem apenas no SharePoint Online e no OneDrive for Business e indicam uma designação de falso positivo, mas nenhuma ação foi "desfeita".
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Não | Descreve os metadados sobre o documento no SharePoint ou o OneDrive for Business que continham as informações confidenciais. |
| ExchangeMetaData | Self.ExchangeMetadata | Não | Descreve os metadados sobre a mensagem de email que continha as informações confidenciais. |
| Ponto de ExtremidadeMetaData | Auto. EndpointMetadata | Não | Descreve metadados sobre o documento no ponto de extremidade que continha as informações confidenciais |
| ExceptionInfo | Edm.String | Não | Identifica os motivos pelos quais uma política não se aplica mais e/ou qualquer informação sobre falso positivos e/ou substituição observada pelo usuário final. |
| PolicyDetails | Collection(Self.PolicyDetails) | Sim | Informações sobre uma ou mais políticas que dispararam o evento de DLP. |
| SensitiveInfoDetectionIsIncluded | Boolean | Sim | Indica se o evento contém o valor do tipo de dados confidenciais e o contexto adjacente do conteúdo de origem. O acesso a dados confidenciais exige a permissão "Ler eventos de política DLP, incluindo detalhes confidenciais" no Azure Active Directory. |
Tipo complexo SharePointMetadata
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| From | Edm.String | Sim | O usuário que disparou o evento. Será FileOwner, LastModifier ou LastSharer. |
| itemCreationTime | Edm.Date | Sim | Datetimestamp em UTC de quando o evento foi registrado. |
| SiteCollectionGuid | Edm.Guid | Sim | O GUID do conjunto de sites. |
| SiteCollectionUrl | Edm.String | Sim | Nome do site do SharePoint. |
| FileName | Edm.String | Sim | Nome do caminho. |
| FileOwner | Edm.String | Sim | O proprietário do documento. |
| FilePathUrl | Edm.String | Sim | A URL do documento. |
| DocumentLastModifier | Edm.String | Sim | O usuário que modificou o documento pela última vez. |
| DocumentSharer | Edm.String | Sim | O usuário que modificou pela última vez o compartilhamento do documento. |
| UniqueId | Edm.String | Sim | Uma GUID que identifica o arquivo. |
| LastModifiedTime | Edm.DateTime | Sim | Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez. |
| IsViewableByExternalUsers | Edm.Boolean | Sim | Determina se o arquivo é acessível para qualquer usuário externo. |
Tipo complexo ExchangeMetadata
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MessageID | Edm.String | Sim | A ID da mensagem do email que disparou o evento. |
| From | Edm.String | Sim | O usuário que enviou o email. |
| To | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha Para da mensagem. |
| CC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha CC da mensagem. |
| BCC | Collection(Edm.String) | Não | Uma coleção de endereços de email que estavam na linha BCC da mensagem. |
| Subject | Edm.String | Sim | Assunto da mensagem de email. |
| Sent | Edm.DateTime | Sim | O horário em UTC de quando o email foi enviado. |
| RecipientCount | Edm.Int32 | Sim | O número total de todos os destinatários nas linhas TO, CC e BCC da mensagem. |
Tipo complexo EndpointMetadata
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
| EnforcementMode | Edm.String | Sim | Indique se a Regra DLP foi definida como 1/2/3/4 representando auditoria/aviso(bloquear com substituição)/block/allow(audit sem alertas), respectivamente. |
| Fileextension | Edm.String | Não | A extensão de arquivo do documento que continha as informações confidenciais. |
| FileType | Edm.String | Não | O tipo de arquivo do documento que conatidou as informações confidenciais. |
| DeviceName | Edm.String | Não | O nome do dispositivo no qual a correspondência de regra DLP foi detectada. |
Tipo complexo PolicyDetails
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| PolicyId | Edm.Guid | Sim | O GUID da política DLP para este evento. |
| PolicyName | Edm.String | Sim | O nome amigável da política DLP para este evento. |
| Rules | Collection(Self.Rules) | Sim | As informações sobre as regras da política que foram atendidas para este evento. |
Tipo complexo Rules
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RuleId | Edm.Guid | Sim | O GUID da regra DLP para este evento. |
| RuleName | Edm.String | Sim | O nome amigável da regra DLP para este evento. |
| Actions | Collection(Edm.String) | Não | Uma lista de ações tomadas como resultado de um evento DLP RuleMatch. |
| OverriddenActions | Collection(Edm.String) | Não | Uma lista de ações realizadas anteriormente que foram desfeitas como resultado de um evento DLPRuleUndo. |
| Severity | Edm.String | Não | A gravidade (Baixa, Média e Alta) da conformidade com a regra. |
| RuleMode | Edm.String | Sim | Indique se a regra DLP foi definida como Enforce, Audit with Notify ou somente Audit. |
| ConditionsMatched | Self.ConditionsMatched | Não | Os detalhes sobre quais condições da regra foram atendidas para este evento. |
Tipo complexo ConditionsMatched
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Não | As informações sobre o tipo de informações confidenciais detectadas. |
| DocumentProperties | Collection(NameValuePair) | Não | As informações sobre as propriedades do documento que dispararam uma correspondência de regra. |
| OtherConditions | Collection(NameValuePair) | Não | Uma lista de pares de valores chave que descrevem quaisquer outras condições que foram correspondidas. |
Tipo complexo SensitiveInformation
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Confidence | Edm.Int | Sim | A confiança agregada de todos os padrões corresponde ao Tipo de Informação Confidencial. |
| Count | Edm.Int | Sim | O número total de instâncias confidenciais detectadas. |
| Local | Edm.String | Não | |
| SensitiveType | Edm.Guid | Sim | Um guid que identifica o tipo de dados confidenciais detectados. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Não | Uma matriz de objetos que contêm dados de informações confidenciais com os seguintes detalhes – valor correspondente e contexto do valor correspondente. |
| SensitiveInformationDetailedClassificationAttributes | Coleção(SensitiveInformationDetailedConfidenceLevelResult) | Sim | Informações sobre a contagem do tipo de informação confidencial detectada para cada um dos três níveis de confiança (Alto, Médio e Baixo) e se ela corresponde à regra DLP ou não |
| SensitiveInformationTypeName | Edm.String | Não | O nome do tipo de informação confidencial. |
| UniqueCount | Edm.Int32 | Sim | A contagem exclusiva de instâncias confidenciais detectadas. |
Tipo complexo SensitiveInformationDetailedClassificationAttributes
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Confidence | Edm.int32 | Sim | O nível de confiança do padrão que foi detectado. |
| Contar | Edm.Int32 | Sim | O número de instâncias confidenciais detectadas para um nível de particular de confiança. |
| IsMatch | Edm.Boolean | Sim | Indica se a contagem fornecida e o nível de confiança do tipo confidencial detectado resulta em uma correspondência de regra de DLP. |
Tipo complexo SensitiveInformationDetections
Os dados confidenciais de DLP só estão disponíveis na API do feed de atividades para usuários que receberam permissões para "Ler dados confidenciais de DLP".
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ValoresDetectados | Coleção(Common.NameValuePair) | Sim | Uma matriz de informações confidenciais que foram detectadas. As informações contêm pares de valor chave com Valor = valor correspondente (por exemplo. Valor do cartão de crédito) e Context = um trecho do conteúdo de origem que contém o valor correspondente. |
| ResultsTruncated | Edm.Boolean | Sim | Indica se os logs foram truncados devido ao grande número de resultados. |
Tipo complexo ExceptionInfo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Reason | Edm.String | Não | Para um evento DLPRuleUndo, isso indica por que a regra não se aplica mais, o que pode ocorrer devido a um dos três motivos: substituição, alteração de documento ou alteração de política |
| FalsePositive | Edm.Boolean | Não | Indica se o usuário designou esse evento como falso positivo. |
| Justification | Edm.String | Não | Se o usuário tiver optado por substituir a política, qualquer justificativa especificada pelo usuário será capturada aqui. |
| Rules | Collection(Edm.Guid) | Não | Uma coleção de guids para cada regra designada como falso positivo ou substituta, ou para a qual uma ação foi desfeita. |
Esquema do Centro de Conformidade e Segurança
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| StartTime | Edm.Date | Não | A data e hora em que o cmdlet foi executado. |
| ClientRequestId | Edm.String | Não | Um GUID que pode ser usado para correlacionar esse cmdlet com as operações de UX do Centro de Conformidade e Segurança. Essas informações são usadas apenas pelo suporte da Microsoft. |
| CmdletVersion | Edm.String | Não | A versão de build do cmdlet quando foi executado. |
| EffectiveOrganization | Edm.String | Não | O GUID da organização afetada pelo cmdlet. (Descontinuado: este parâmetro será retirado no futuro.) |
| UserServicePlan | Edm.String | Não | O plano de serviço Proteção do Exchange Online atribuído ao usuário que executou o cmdlet. |
| ClientApplication | Edm.String | Não | Se o cmdlet tiver sido executado por um aplicativo, ao contrário do PowerShell remoto, esse campo conterá o nome desse aplicativo. |
| Parâmetros | Edm.String | Não | O nome e o valor dos parâmetros que foram usados com o cmdlet que não incluem Informações de Identificação Pessoal. |
| NonPiiParameters | Edm.String | Não | O nome e o valor dos parâmetros que foram usados com o cmdlet que incluem Informações de Identificação Pessoal. (Preterido: esse campo será retirado no futuro e seu conteúdo mesclado com o campo de parâmetros.) |
Esquema de Alertas de Conformidade e Segurança
Os sinais de alerta incluem:
- Todos os alertas gerados baseados nas Políticas de alerta no Centro de Conformidade e Segurança.
- Alertas relacionados ao Office 365 gerados no Office 365 Cloud App Security e no Microsoft Cloud App Security.
O UserId e o UserKey desses eventos são sempre SecurityComplianceAlerts. Existem três tipos de alertas de eventos que estão armazenados como o valor da propriedade Operation do esquema comum:
AlertTriggered – um novo alerta é gerado devido a uma correspondência com a política.
AlertEntityGenerated – uma nova entidade é adicionada a um alerta. Este evento somente é aplicável aos alertas gerados com base nas Políticas de Alerta no Centro de Conformidade e Segurança. Cada alerta gerado pode ser associado a um ou vários desses eventos. Por exemplo, uma política de alerta é definida para disparar um alerta se um usuário exclui mais de 100 arquivos em cinco minutos. Se dois usuários ultrapassarem o limite ao mesmo tempo, haverá dois eventos AlertEntityGenerated, mas apenas um evento AlertTriggered.
AlertUpdated - uma atualização foi feita aos metadados de um alerta. Esse evento é registrado quando o status de um alerta é alterado (por exemplo, de "ativo" para "resolvido") e quando alguém adiciona um comentário ao alerta.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| AlertId | Edm.Guid | Sim | O GUID do alerta. |
| AlertType | Self.String | Sim | Tipo do alerta. Os tipos de alertas incluem:
|
| Name | Edm.String | Sim | Nome do alerta. |
| PolicyId | Edm.Guid | Não | O GUID da política que disparou o alerta. |
| Status | Edm.String | Não | Status do alerta. Os status incluem:
|
| Severity | Edm.String | Não | Gravidade do alerta. Os níveis de gravidade incluem:
|
| Categoria | Edm.String | Não | Categoria do alerta. As categorias incluem:
|
| Source | Edm.String | Não | Fonte do alerta. As fontes incluem:
|
| Comments | Edm.String | Não | Comentários realizados pelos usuários que visualizaram o alerta. Por padrão, é "Novo alerta". |
| Data | Edm.String | Não | O BLOB de dados de detalhes do alerta ou da entidade de alerta. |
| AlertEntityId | Edm.String | Não | O identificador da entidade de alerta. Esse parâmetro só é aplicável em eventos AlertEntityGenerated. |
| EntityType | Edm.String | Não | Tipo de entidade ou entidade de alerta. Os tipos de entidades incluem:
|
Esquema do Yammer
Os eventos do Yammer listados em Pesquisar no log de auditoria no Centro de Conformidade e Segurança usarão esse esquema.
| Parâmetros | Tipo | Obrigatório | Descrição |
|---|---|---|---|
| ActorUserId | Edm.String | Não | Email do usuário que executou a operação. |
| ActorYammerUserId | Edm.Int64 | Não | ID do usuário que executou a operação. |
| DataExportType | Edm.String | Não | Retorna "dados" se a exportação de dados incluir mensagens, notas, arquivos, tópicos, usuários e grupos; retorna "usuário" se a exportação de dados incluir apenas usuários. |
| FileId | Edm.Int64 | Não | ID do arquivo na operação. |
| FileName | Edm.String | Não | Nome do arquivo na operação. Será exibido em branco se não for relevante para a operação. |
| GroupName | Edm.String | Não | Nome do grupo na operação. Será exibido em branco se não for relevante para a operação. |
| IsSoftDelete | Edm.Boolean | Não | Retorna "true" se a política de retenção de dados da rede estiver definida como exclusão reversível; retorna "false" se a política de retenção de dados da rede estiver definida como Exclusão Irreversível. |
| MessageId | Edm.Int64 | Não | ID da mensagem na operação. |
| YammerNetworkId | Edm.Int64 | Não | ID da rede do usuário que executou a operação. |
| TargetUserId | Edm.String | Não | Email do usuário de destino na operação. Será exibido em branco se não for relevante para a operação. |
| TargetYammerUserId | Edm.Int64 | Não | ID do usuário de destino na operação. |
| VersionId | Edm.Int64 | Não | ID da versão do arquivo na operação. |
Esquema Base de Segurança do Data Center
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Sim | O tipo de evento cmdlet na caixa de bloqueio. |
Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32
DataCenterSecurityEventType
| Nome do membro | Descrição |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Esse é o valor de enumeração para o evento de tipo de auditoria de cmdlet. |
Esquema Cmdlet de Segurança do Data Center
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| StartTime | Edm.Date | Sim | O horário de início da execução do cmdlet. |
| EffectiveOrganization | Edm.String | Sim | O nome do locatário para o qual a elevação/cmdlet foi direcionado. |
| ElevationTime | Edm.Date | Sim | O horário de início da elevação. |
| ElevationApprover | Edm.String | Sim | O nome de um gerente da Microsoft. |
| ElevationApprovedTime | Edm.Date | Não | O carimbo de data/hora para quando a elevação foi aprovada. |
| ElevationRequestId | Edm.Guid | Sim | Um identificador exclusivo para a solicitação de elevação. |
| ElevationRole | Edm.String | Não | A função da elevação. |
| ElevationDuration | Edm.Int32 | Sim | A duração para a qual a elevação estava ativa. |
| GenericInfo | Edm.String | Não | Usada para comentários e outras informações genéricas. |
Esquema do Microsoft Teams
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Action | Edm.String | Não | Para eventos de canal compartilhado, a ação realizada pelo convidado ou pelo proprietário do canal para um compartilhamento com convite de equipe. |
| AddOnGuid | Edm.Guid | Não | O identificador exclusivo do complemento que gerou esse evento. |
| AddOnName | Edm.String | Não | O nome do complemento que gerou esse evento. |
| AddOnType | Self.AddOnType | Não | O tipo de complemento que gerou esse evento. |
| ChannelGuid | Edm.Guid | Não | Um identificador exclusivo para o canal que está sendo auditado. |
| ChannelName | Edm.String | Não | O nome do canal que está sendo auditado. |
| ChannelType | Edm.String | Não | O tipo de canal que está sendo auditado (padrão/particular). |
| ExtraProperties | Coleção (Self. KeyValuePair) | Não | Uma lista de propriedades adicionais. |
| HostedContents | Coleção (Self.HostedContent) | Não | Uma coleção de conteúdo hospedado por mensagem de chat ou canal. |
| Convidado | Edm.String | Não | Para eventos de canal compartilhado, o UPN do proprietário da equipe convidada que aceita ou recusa o convite para um compartilhamento com convite de equipe. |
| Members | Collection(Self.MicrosoftTeamsMember) | Não | Uma lista de usuários dentro de uma equipe. |
| MessageId | Edm.String | Não | Um identificador para uma mensagem de bate-papo ou canal. |
| MessageURLs | Edm.String | Não | Presente para qualquer URL enviado nas mensagens do Teams. |
| Mensagens | Coleção (Self.Message) | Não | Uma coleção de mensagens de chat ou canal. |
| MessageSizeInBytes | Edm.Int64 | Não | O tamanho de uma mensagem de chat ou canal em bytes com codificação UTF-16. |
| Nome | Edm.String | Não | Só apresenta para eventos de configurações. Nome da configuração que foi alterada. |
| NewValue | Edm.String | Não | Só apresenta para eventos de configurações. Novo valor da configuração. |
| OldValue | Edm.String | Não | Só apresenta para eventos de configurações. Valor antigo da configuração. |
| SubscriptionId | Edm.String | Não | Um identificador exclusivo de uma assinatura de notificação de alteração do Microsoft Graph. |
| TabType | Edm.String | Não | Só apresenta para eventos de tabulação. O tipo de guia que gerou esse evento. |
| TeamGuid | Edm.Guid | Não | Um identificador exclusivo para a equipe que está sendo auditada. |
| TeamName | Edm.String | Não | O nome da equipe que está sendo auditada. |
Tipo complexo MicrosoftTeamsMember
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| UPN | Edm.String | Não | O nome da entidade de segurança do usuário. |
| Role | Self.MemberRoleType | Não | A função de usuário dentro da equipe. |
| DisplayName | Edm.String | Não | O nome de exibição do usuário. |
Enumeração: MemberRoleType - Tipo: Edm.Int32
MemberRoleType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Member | Um usuário que é um membro da equipe. |
| 1 | Owner | Um usuário que é o proprietário da equipe. |
| 2 | Guest | Um usuário que não é um membro da equipe. |
KeyValuePair tipo complexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Chave | Edm.String | Não | A chave do par de valor-chave. |
| Valor | Edm.String | Não | O valor do par de valor-chave. |
Enumeração: AddOnType - Tipo: Edm.Int32
AddOnType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Bot | Um bot do Microsoft Teams. |
| 2 | Connector | Um conector do Microsoft Teams. |
| 3 | Tab | Uma guia do Microsoft Teams. |
Tipo complexo HostedContent
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Id | Edm.String | Sim | Um identificador exclusivo do conteúdo hospedado da mensagem. |
| Sizeinbytes | Edm.Int64 | Não | O tamanho do conteúdo hospedado da mensagem em bytes. |
Tipo complexo de mensagem
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AADGroupId | Edm.String | Não | Um identificador exclusivo do grupo no Azure Active Directory ao qual a mensagem pertence. |
| Id | Edm.String | Sim | Um identificador exclusivo da mensagem de chat ou canal. |
| ChannelGuid | Edm.String | Não | Um identificador exclusivo do canal ao qual a mensagem pertence. |
| ChannelName | Edm.String | Não | O nome do canal ao qual a mensagem pertence. |
| ChannelType | Edm.String | Não | O tipo do canal ao qual a mensagem pertence. |
| Nome do Chat | Edm.String | Não | O nome do chat ao qual a mensagem pertence. |
| ChatThreadId | Edm.String | Não | Um identificador exclusivo do chat ao qual a mensagem pertence. |
| ParentMessageId | Edm.String | Não | Um identificador exclusivo da mensagem do canal ou chat pai. |
| Sizeinbytes | Edm.Int64 | Não | O tamanho da mensagem em bytes com codificação UTF-16. |
| TeamGuid | Edm.String | Não | Um identificador exclusivo da equipe à qual a mensagem pertence. |
| TeamName | Edm.String | Não | O nome da equipe à qual a mensagem pertence. |
| Versão | Edm.String | Não | A versão do chat ou mensagem do canal. |
Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças
Microsoft Defender para Office 365 e eventos de Investigação e Resposta a Ameaças estão disponíveis para clientes do Office 365 que tenham um Plano 1 do Defender para Office 365, Plano 2 do Defender para Office 365 ou uma assinatura E5. Cada evento no feed do Defender para Office 365 corresponde aos seguintes eventos que foram determinados como contendo uma ameaça:
Detecção em mensagens de email enviadas ou recebidas por um usuário na organização no momento da entrega e na Limpeza automática zero hora.
URLs clicados por um usuário na organização que foram detectados como maliciosos no momento do clique com base na proteção Links Seguros no Defender para Office 365.
Um arquivo no SharePoint Online, OneDrive for Business ou Microsoft Teams que foi detectado como malicioso pela proteção do Microsoft Defender para Office 365.
Um alerta que é acionado e inicia uma investigação automática.
Observação
As capacidades do Microsoft Defender para Office 365 e da Investigação e Resposta a Ameaças do Office 365(anteriormente conhecidos como Inteligência contra Ameaças do Office 365) agora fazem parte do Plano 2 do Defender para Office 365, com recursos adicionais de proteção contra ameaças. Para saber mais, consulte Planos e preços do Microsoft Defender para Office 365 e a Descrição do serviço Defender para Office 365.
Eventos de mensagens de email
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Não | Os dados sobre anexos na mensagem de email que acionaram o evento. |
| Tipo de detecção | Edm.String | Sim | O tipo de detecção (por exemplo, Embutido – detectada na hora da entrega; Atrasado – detectada após a entrega; ZAP – mensagens removidas pela Limpeza Automática Zero Hora). Os eventos com o tipo de detecção ZAP normalmente são precedidos por uma mensagem com um tipo de detecção Atrasado. |
| DetectionMethod | Edm.String | Sim | O método ou tecnologia usada pelo Defender for Office 365 para a detecção. |
| InternetMessageId | Edm.String | Sim | A ID da mensagem da Internet. |
| NetworkMessageId | Edm.String | Sim | A ID da mensagem de rede do Exchange Online. |
| P1Sender | Edm.String | Sim | O caminho de retorno do remetente da mensagem de email. |
| P2Sender | Edm.String | Sim | O remetente da mensagem de email. |
| Política | Self.Policy | Sim | O tipo de política de filtragem (por exemplo, Anti-spam ou Anti-phishing) e o tipo de ação relacionada (por exemplo, Spam de Alta Confiança, Spam ou Phishing) relevante para a mensagem de email. |
| Política | Self.PolicyAction | Sim | A ação configurada na política de filtragem (por exemplo, Mover para a pasta Lixo Eletrônico ou Quarentena) relevante para a mensagem de email. |
| P2Sender | Edm.String | Sim | O Remetente: da mensagem de email. |
| Destinatários | Collection(Edm.String) | Sim | Uma matriz de destinatários da mensagem de email. |
| SenderIp | Edm.String | Sim | O endereço IP que enviou o email do Office 365. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| Subject | Edm.String | Sim | A linha de assunto da mensagem. |
| Verdict | Edm.String | Sim | A conclusão da mensagem. |
| MessageTime | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual a mensagem de email foi recebida ou enviada. |
| EventDeepLink | Edm.String | Sim | Link profundo para o evento de email no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança do Office 365. |
| Ação de Entrega | Edm.String | Sim | A ação de entrega original na mensagem. |
| Local de Entrega original | Edm.String | Sim | O local de entrega original da mensagem. |
| Local de Entrega mais recente | Edm.String | Sim | O local de entrega mais recente da mensagem no momento do evento. |
| Directionality | Edm.String | Sim | Identifica se uma mensagem foi de entrada, de saída ou de dentro da organização. |
| ThreatsAndDetectionTech | Edm.String | Sim | As ameaças e as tecnologias de detecção correspondentes. Este campo expõe todas as ameaças em uma mensagem, incluindo a adição mais recente no veredicto de spam. Por exemplo, ["Phishing: [falsificar DMARC]", "Spam: [URL de reputação maliciosa]"]. As diferentes ameaças de detecção e tecnologias de detecção são descritas a seguir. |
| AdditionalActionsAndResults | Collection(Edm.String) | Não | As ações adicionais realizadas no email, como ZAP ou Correção Manual. Também inclui os resultados correspondentes. |
| Conectores | Edm.String | Não | Os nomes e GUIDs dos conectores associados ao email. |
| AuthDetails | Collection(Self.AuthDetails) | Não | As verificações de autenticação feitas para o email. Também inclui os valores de SPF, DKIM, DMARC e CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Não | Substituições que são aplicáveis ao email. Estas podem ser anulações do sistema ou do usuário. |
| Nível de Confiança de Phishing | Edm.String | Não | Indica o nível de confiança associado ao veredicto de Phishing. Pode ser Normal ou Alto. |
Observação
Recomendamos o uso do novo campo ThreatsAndDetectionTech porque ele mostra vários veredictos e as tecnologias de detecção atualizadas. Esse campo também se alinha com os valores observados em outras experiências, como no Explorador de ameaças e na busca avançada de ameaças.
Tecnologias de detecção
| Nome | Descrição |
|---|---|
| Filtro avançado | Sinais de phishing com base no aprendizado de máquina. |
| Mecanismo antimalware | Detecção de mecanismos antimalware. |
| Campanha | Mensagens identificadas como parte de uma campanha. |
| Reputação do domínio | Análise baseada na reputação do domínio. |
| Detonação de arquivo | Anexos de arquivo considerados perigosos durante a análise de detonação. |
| Reputação da detonação de arquivo | Anexo de arquivo marcado como perigoso devido à reputação da detonação anterior. |
| Reputação de arquivos | Anexos de arquivo marcados como perigosos devido à má reputação. |
| Correspondência de impressão digital | A mensagem foi marcada como perigosa devido a mensagens anteriores. |
| Filtro geral | Sinais de phishing baseados em regras. |
| Marca de usurpação de identidade | O tipo de arquivo do anexo. |
| Domínio de usurpação de identidade | Usurpação de identidade de domínios que o cliente possui ou define. |
| Usuário de usurpação de identidade | Usurpação de identidade de usuários definida pelo administrador ou aprendida por meio da inteligência de caixa de correio. |
| Usurpação de identidade da inteligência de caixa de correio | Usurpação de identidade baseada na inteligência de caixa de correio. |
| Detecção de análise mista | Vários filtros contribuíram para o veredicto desta mensagem. |
| DMARC falso | Falha de autenticação DMARC para mensagens. |
| Domínio externo falso | O remetente está tentando falsificar algum outro domínio. |
| Falsificação dentro da organização | O remetente está tentando falsificar o domínio do destinatário. |
| Detonação de URL | A mensagem foi considerada perigosa devido a uma detonação de URL maliciosa anterior. |
| Reputação da detonação de URL | A mensagem foi considerada perigosa devido à detonação de URL mal-intencionada. |
| Reputação mal-intencionada de URL | A mensagem foi considerada perigosa devido a uma URL mal-intencionada. |
Tipo complexo AttachmentData
AttachmentData
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileName | Edm.String | Sim | O nome do arquivo do anexo. |
| FileType | Edm.String | Sim | O tipo de arquivo do anexo. |
| FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
| MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
| SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
Observação
Dentro da família Malware, você poderá ver o nome exato do MalwareFamily (por exemplo, HTML/Phish.VS! MSR) ou Carga Mal-intencionada como uma cadeia de caracteres estática. Uma carga maliciosa ainda deve ser tratada como email malicioso quando um nome específico não é identificado.
Tipo complexo SystemOverrides
SystemOverrides
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Detalhes | Edm.String | Não | Os detalhes sobre a substituição específica (como ETR ou Remetente seguro) que foi aplicada. |
| FinalOverride | Edm.String | Não | Indica a substituição que afetou a entrega no caso de várias substituições. |
| Resultado | Edm.String | Não | Indica se o email foi definido como permitido ou bloqueado com base na substituição. |
| Source | Edm.String | Não | Indica se a substituição foi configurada pelo usuário ou pelo locatário. |
Tipo complexo AuthDetails
AuthDetails
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Nome | Edm.String | Não | O nome da verificação de autenticação específica, como DKIM ou DMARC. |
| Valor | Edm.String | Não | O valor associado à verificação de autenticação específica, como Verdadeiro ou Falso. |
Enumeração: FileVerdict - Tipo: Edm.Int32
FileVerdict
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Good | Nenhuma ameaça detectada. |
| 1 | Bad | Malware encontrado no anexo. |
| -1 | Error | Erro de varredura/análise. |
| -2 | Timeout | Tempo limite de varredura/análise. |
| -3 | Pending | Varredura/análise não concluída. |
Enumeração: Policy - Tipo: Edm.Int32
Tipo de política e tipo de ação
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Anti-spam, HSPM | Ação de HSPM (Spam de Alta Confiança) na política anti-spam. |
| 2 | Anti-spam, SPM | Ação de Spam (SPM) na política anti-spam. |
| 3 | Anti-spam, em massa | Ação em massa na política anti-spam. |
| 4 | Anti-spam, PHSH | Ação de PHSH (phishing) na política anti-spam. |
| 5 | Anti-phishing, DIMP | Ação de Representação de Domínio (DIMP) na política anti-phishing. |
| 6 | Anti-phishing, UIMP | Ação de Representação de Usuários (UIMP) na política anti-phishing. |
| 7 | Anti-phishing, SPOOF | Ação falsa na política anti-phishing. |
| 8 | Anti-phishing, GIMP | Ação de inteligência da caixa de correio na política Antiphishing. |
| 9 | Antimalware, AMP | Ação de política de malware na política antimalware. |
| 10 | Anexo seguro, SAP | Ação da política nos anexos Seguros na política do Defender para Office 365. |
| 11 | Regra de transporte do Exchange, ETR | Ação de diretiva na Regra de Transporte do Exchange. |
| 12 | Antimalware, ZAPM | Ação de política de malware na política antimalware aplicada ao ZAP (zero-hour purge). |
| 13 | Anti-phishing, ZAPP | Ação de política de phishing na política anti-phishing aplicada ao ZAP. |
| 14 | Anti-phishing, ZAPS | Ação de política de spam na política antispam aplicada ao ZAP. |
| 15 | Antispam, email de phishing de alta confiança (HPHISH) | Ação de política de phishing de alta confiabilidade na política antispam. |
| 17 | Antispam, política de spam de saída (OSPM) | Ação de política na política de filtro de spam de saída em Antispam. |
Enumeração: PolicyAction - Tipo: Edm.Int32
Ação de política
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | MoveToJMF | A ação de política é mover para a pasta Lixo Eletrônico. |
| 1 | AddXHeader | A ação de política é adicionar o cabeçalho X à mensagem de email. |
| 2 | ModifySubject | A ação de política é modificar o assunto na mensagem de email com as informações especificadas pela política de filtragem. |
| 3 | Redirecionamento | A ação de política é redirecionar a mensagem de email para o endereço de email especificado pela política de filtragem. |
| 4 | Excluir | A ação de política é excluir (descartar) a mensagem de email. |
| 5 | Quarentena | A ação de política é colocar a mensagem de email em quarentena. |
| 6 | NoAction | A política está configurada para não executar nenhuma ação na mensagem de email. |
| 7 | BccMessage | A ação de política é Cco a mensagem de email para o endereço de email especificado pela política de filtragem. |
| 8 | ReplaceAttachment | A ação de política é substituir o anexo na mensagem de email com as informações especificadas pela política de filtragem. |
Eventos de momento do clique da URL
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| UserId | Edm.String | Sim | O identificador (por exemplo, endereço de email) do usuário que clicou na URL. |
| AppName | Edm.String | Sim | O serviço do Office 365 em que a URL foi clicada (por exemplo, o Email). |
| URLClickAction | Automaticamente. URLClickAction | Sim | Clique na ação para o URL com base nas políticas da organização para Links Seguros no Defender para Office 365. |
| SourceId | Edm.String | Sim | O identificador do serviço do Office 365 em que a URL foi clicada (por exemplo, para o Email, essa é a ID de Mensagens da Rede do Exchange Online). |
| TimeOfClick | Edm.Date | Sim | A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário clicou na URL. |
| URL | Edm.String | Sim | URL clicada pelo usuário. |
| UserIp | Edm.String | Sim | O endereço IP do usuário que clicou na URL. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
Enumeração: URLClickAction – Tipo: Edm.Int32
URLClickAction
| Valor | Nome do membro | Descrição |
|---|---|---|
| 2 | Blockpage | Usuário impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365. |
| 3 | PendingDetonationPage | É apresentado ao Usuário uma página de detonação pendente pelo serviço Links Seguros no Defender para o Office 365. |
| 4 | BlockPageOverride | O usuário é impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar para a URL |
| 5 | PendingDetonationPageOverride | É apresentado ao Usuário uma página de detonação pelo serviço Links Seguros no Defender para o Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar até o URL. |
Eventos de arquivo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileData | Self.FileData | Sim | Dados sobre o arquivo que disparou o evento. |
| SourceWorkload | Self.SourceWorkload | Sim | Carga de trabalho ou serviço em que o arquivo foi encontrado (por exemplo, SharePoint Online, OneDrive for Business ou Microsoft Teams) |
| DetectionMethod | Edm.String | Sim | O método ou tecnologia usada pelo Microsoft Defender para Office 365 para a detecção. |
| LastModifiedDate | Edm.Date | Sim | Data e hora em UTC (Tempo Universal Coordenado), na qual o arquivo foi criado ou modificado pela última vez. |
| LastModifiedBy | Edm.String | Sim | O identificador (por exemplo, um endereço de email) do usuário que criou ou modificou pela última vez o arquivo. |
| EventDeepLink | Edm.String | Sim | Link profundo para o evento de arquivo no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança. |
Tipo complexo FileData
FileData
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DocumentId | Edm.String | Sim | O identificador exclusivo do arquivo nas plataformas SharePoint, OneDrive ou Microsoft Teams. |
| FileName | Edm.String | Sim | Nome do arquivo que disparou o evento. |
| FilePath | Edm.String | Sim | Caminho (local) do arquivo no SharePoint, OneDrive ou Microsoft Teams. |
| FileVerdict | Self.FileVerdict | Sim | O veredicto de malware do arquivo. |
| MalwareFamily | Edm.String | Não | A família de malware do arquivo. |
| SHA256 | Edm.String | Sim | O hash SHA256 do arquivo. |
| FileSize | Edm.String | Sim | Tamanho do arquivo em bytes. |
Enumeração: SourceWorkload – Tipo: Edm.Int32
SourceWorkload
| Valor | Nome do membro |
|---|---|
| 0 | SharePoint Online |
| 1 | OneDrive for Business |
| 2 | Microsoft Teams |
Esquema de envio
Os eventos de envio estão disponíveis para todos os clientes do Office 365, pois vêm com segurança. Isso inclui organizações que usam a Proteção do Exchange Online e o Microsoft Defender para Office 365. Cada evento no feed de envio corresponde a falsos positivos ou falsos negativos que foram enviados como:
- Envio do administrador. Mensagens, arquivos ou URLs enviados à Microsoft para análise.
- Item relatádo pelo usuário. Mensagens relatadas pelos usuários finais ao administrador ou à Microsoft para análise.
Eventos de envio
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Não | O envio do administrador está registrado e está pendente para processamento. |
| AdminSubmissionDeliveryCheck | Edm.String | Não | O sistema de envio do administrador verificou a política do email. |
| AdminSubmissionSubmitting | Edm.String | Não | O sistema de envio do administrador está enviando o email. |
| AdminSubmissionSubmitted | Edm.String | Não | O sistema de envio do administrador enviou o email. |
| AdminSubmissionTriage | Edm.String | Não | O envio do administrador é classificado pelo avaliador. |
| AdminSubmissionTimeout | Edm.String | Não | O envio do administrador atingiu o tempo limite sem nenhum resultado. |
| UserSubmission | Edm.String | Não | O envio foi relatado pela primeira vez por um usuário final. |
| UserSubmissionTriage | Edm.String | Não | O envio do usuário é classificado pelo avaliador. |
| CustomSubmission | Edm.String | Não | A mensagem relatada por um usuário foi enviada à caixa de correio personalizada da organização, conforme definido nas configurações de mensagens de relatório do usuário. |
| AttackSimUserSubmission | Edm.String | Não | A mensagem relatada pelo usuário era, na verdade, uma mensagem de treinamento de simulação de phishing. |
| AdminSubmissionTablAllow | Edm.String | Não | Uma permissão foi criada no momento do envio para executar a ação imediatamente em mensagens semelhantes enquanto ela está sendo verificada novamente. |
| SubmissionNotification | Edm.String | Não | Os comentários da administração são enviados para o usuário final. |
Eventos de investigação e resposta automatizadas no Office 365
Os eventos de investigação e resposta automatizada do Office 365 (AIR) estão disponíveis para clientes do Office 365 que possuem uma assinatura que inclui o Plano 2 do Microsoft Defender para Office 365 ou Office 365 E5. Os eventos de investigação são registrados com base em uma alteração no status de investigação. Por exemplo, quando um administrador realiza uma ação que altera o status de uma investigação de Ações Pendentes para Concluídas, um evento é registrado.
No momento, somente investigações automatizadas são registradas. (Eventos de investigações geradas manualmente serão disponibilizados em breve.) Os seguintes valores de status são registrados:
- Investigação Iniciada
- Nenhuma ameaça encontrada
- Encerrado pelo sistema
- Ação Pendente
- Ameaça Encontrada
- Remediado
- Falhou
- Encerrado pela limitação
- Encerrado Pelo Usuário
- Em execução
Esquema de investigação principal
| Nome | Tipo | Descrição |
|---|---|---|
| InvestigationId | Edm.String | Investigação ID/GUID |
| InvestigationName | Edm.String | Nome da investigação |
| InvestigationType | Edm.String | Tipo da investigação. Pode ter um dos seguintes valores: - Mensagens relatadas pelo usuário - Malware com Limpeza Automática Zero Hora - Phishing com Limpeza Automática Zero Hora - Alteração de Veredito de URL (Investigações manuais não estão disponíveis no momento. Serão disponibilizadas em breve.) |
| LastUpdateTimeUtc | Edm.Date | Hora UTC da última atualização para uma investigação |
| StartTimeUtc | Edm.Date | Hora de início para uma investigação |
| Status | Edm.String | Estado de investigação, Execução, Ações Pendentes, etc. |
| DeeplinkURL | Edm.String | URL do link profundo para uma investigação no Centro de Conformidade & Segurança do Office 365 |
| Ações | Coleção (Edm.String) | Conjunto de ações recomendadas por uma investigação |
| Dados | Edm.String | Cadeia de dados que contém mais detalhes sobre entidades de investigação e informações sobre alertas relacionados à investigação. As entidades estão disponíveis em um nó separado no blob de dados. |
Ações
| Campo | Tipo | Descrição |
|---|---|---|
| ID | Edm.String | ID da ação |
| ActionType | Edm.String | O tipo de ação, como a correção de email |
| ActionStatus | Edm.String | Os valores incluem: - Pendente - Executando - Aguardando o recurso - Concluído - Falhou |
| ApprovedBy | Edm.String | Nulo se for aprovado automaticamente; caso contrário, o nome de usuário/ID (isso será lançado em breve) |
| TimestampUtc | Edm.DateTime | O carimbo de data/hora da alteração do status da ação |
| ActionId | Edm.String | Identificador exclusivo da ação. |
| InvestigationId | Edm.String | Identificador exclusivo da investigação. |
| RelatedAlertIds | Collection(Edm.String) | Alertas relacionados a uma investigação |
| StartTimeUtc | Edm.DateTime | Carimbo de data/hora da criação da ação |
| EndTimeUtc | Edm.DateTime | Carimbo de data/hora de atualização do status final da ação |
| Identificadores de recursos | Edm.String | Consiste na ID de locatário do Azure Active Directory. |
| Entidades | Collection(Edm.String) | Lista de uma ou mais entidades afetadas por ação |
| IDs de Alertas Relacionados | Edm.String | Alerta relacionado a uma investigação |
Entidades
MailMessage
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "mail-message" |
| Arquivos | Coleção (Self.File) | Detalhes dos arquivos dos anexos da mensagem |
| Destinatário | Edm.String | O destinatário da mensagem de email |
| URLs | Collection(Self.URL) | Os URLs contidos na mensagem de email |
| Remetente | Edm.String | O endereço de email do remetente. |
| SenderIp | Edm.String | O endereço de IP do remetente. |
| ReceivedDate | Edm.DateTime | A data de recebimento da mensagem |
| NetworkMessageId | Edm.Guid | A ID de mensagem da rede da mensagem de email |
| InternetMessageId | Edm.String | A ID de mensagem da internet da mensagem de email |
| Assunto | Edm.String | O assunto da mensagem de email |
IP
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "ip" |
| Endereço | Edm.String | O endereço IP como uma cadeia de caracteres, como, por exemplo, 127.0.0.1 |
URL
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "url" |
| Url | Edm.String | A URL completa para a qual uma entidade aponta |
Caixa de correio (também equivalente ao usuário)
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | “Caixa de correio” |
| MailboxPrimaryAddress | Edm.String | O endereço principal da caixa de correio |
| DisplayName | Edm.String | O nome de exibição da caixa de correio. |
| UPN | Edm.String | UPN da caixa de correio |
Arquivo
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | “Arquivo” |
| Nome | Edm.String | O nome do arquivo sem caminho |
| FileHashes | Coleção (Edm.String) | Os hashes de arquivo estão associado ao arquivo. |
FileHash
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "filehash" |
| Algoritmo | Edm.String | O tipo de algoritmo hash, que pode ser um destes valores: - Desconhecido - MD5 - SHA1 - SHA256 - SHA256AC |
| Valor | Edm.String | O valor do hash |
MailCluster
| Campo | Tipo | Descrição |
|---|---|---|
| Tipo | Edm.String | "MailCluster" Determina o tipo de entidade discutida |
| NetworkMessageIds | Coleção (Edm.String) | Lista das IDs de mensagem de email que fazem parte do cluster de emails |
| CountByDeliveryStatus | Coleções (Edm.String) | Contagem de mensagens de email por cadeia de caracteres DeliveryStatus |
| CountByThreatType | Coleções (Edm.String) | Contagem de mensagens de email por cadeia de caracteres ThreatType |
| Ameaças | Coleções (Edm.String) | As ameaças de mensagens de email que fazem parte do cluster de emails. As ameaças incluem valores como Phish e Malware. |
| Consulta | Edm.String | A consulta usada para identificar as mensagens do cluster de emails |
| QueryTime | Edm.DateTime | O tempo de consulta |
| MailCount | Edm.int | O número de mensagens de email que fazem parte do cluster de emails |
| Origem | Cadeia de Caracteres | A origem do cluster de email; o valor da origem do cluster. |
Esquema de eventos de higiene
Os eventos de higiene estão relacionados à proteção contra spam de saída. Esses eventos estão relacionados a usuários impedidos de enviar email. Para saber mais, confira:
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Auditoria | Edm.String | Não | Informações do sistema relacionadas ao evento de higiene. |
| Evento | Edm.String | Não | O tipo de evento de higiene. Os valores para este parâmetro são Listado ou Removido. |
| EventId | Edm.Int64 | Não | O ID do tipo de evento de higiene. |
| EventValue | Edm.String | Não | O usuário que foi impactado. |
| Reason | Edm.String | Não | Detalhes sobre o evento de higiene. |
Esquema do Power BI
Os eventos do Power BI listados em Pesquisar o log de auditoria no Centro de Proteção do Office 365 usarão este esquema.
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do aplicativo em que o evento ocorreu. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do painel onde o evento ocorreu. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | As classificação dos dados, se houver, do painel onde o evento ocorreu. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do conjunto de dados onde o evento ocorreu. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações de associação sobre o grupo. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Lista de permissões de um aplicativo organizacional (toda a organização, usuários específicos ou grupos específicos). |
| NomeDoRelatório | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do relatório em que o evento ocorreu. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre a pessoa para quem é enviado um convite de compartilhamento. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Informações sobre o estado das várias opções de nível do locatário. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do espaço de trabalho em que o evento ocorreu. |
Tipo de complexo MembershipInformationType
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do grupo. |
| Status | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | Não está preenchido no momento. |
SharingInformationType tipo complexo
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O endereço de email do destinatário de um convite de compartilhamento. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | O nome do destinatário de um convite de compartilhamento. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Não | A permissão sendo concedida ao destinatário. |
Esquema do Dynamics 365
Os registros de auditoria para eventos relacionados aos aplicativos controlados por modelos no Dynamics 365 usam um esquema de operações de entidade e base. Para obter mais informações, consulte Ativar e usar o Log de Atividade.
Esquema base do Dynamics 365
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Sim | O nome exclusivo da organização. |
| InstanceUrl | Edm.String | Sim | A URL da instância. |
| ItemUrl | Edm.String | Não | A URL do registro que emite o log. |
| ItemType | Edm.String | Não | O nome da entidade. |
| UserAgent | Edm.String | Não | O identificador exclusivo da GUID de usuário na organização. |
| Campos | Collection(Common.NameValuePair) | Não | Um objeto JSON que contém os pares da propriedade chave-valor criados ou atualizados. |
Esquema de operações de entidade do Dynamics 365
Eventos de entidade de aplicativos controlados por modelos no Dynamics 365 use este esquema para criar o esquema base do Dynamics 365. Esse esquema inclui informações sobre a operação de entidade que disparou o evento auditado.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EntityId | Edm.Guid | Não | Identificador exclusivo da entidade. |
| EntityName | Edm.String | Sim | O nome da entidade na organização. Exemplos de entidades incluem contact ou authentication. |
| Mensagem | Edm.String | Sim | Esse parâmetro contém a operação que foi realizada em relação à entidade. Por exemplo, se um novo contato foi criado, o valor da propriedade Message será Create e o valor correspondente da propriedade EntityName for contact. |
| Consulta | Edm.String | Não | Os parâmetros da consulta de filtro que foi usada durante a execução da operação FetchXML. |
| PrimaryFieldValue | Edm.String | Não | Indica o valor do atributo que é o campo principal da entidade. |
Esquema do Workplace Analytics
Os eventos do WorkPlace Analytics listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| WpaUserRole | Edm.String | Não | A função do Workplace Analytics do usuário que executou a ação. |
| ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
| OperationDetails | Coleção (Common.NameValuePair) | Não | Uma lista de propriedades estendidas para a configuração que foi alterada. Cada propriedade terá um Nome e Valor. |
Esquema de quarentena
Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema. Para saber mais sobre a quarentena, confira Mensagens de email em quarentena no Office 365.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RequestType | Self.RequestType | Não | O tipo de solicitação de quarentena executada por um usuário. |
| RequestSource | Self.RequestSource | Não | A origem de uma solicitação de quarentena pode vir do Centro de Conformidade e Segurança (SCC), de um cmdlet ou de um URLlink. |
| NetworkMessageId | Edm.String | Não | A ID da mensagem de rede da mensagem de email em quarentena. |
| ReleaseTo | Edm.String | Não | O destinatário da mensagem de email. |
Enum: RequestType - Type: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Visualização | Esta é uma solicitação de um usuário para visualizar uma mensagem de email considerada prejudicial. |
| 1 | Excluir | Esta é uma solicitação de um usuário para excluir uma mensagem de email considerada prejudicial. |
| 2 | Liberar | Esta é uma solicitação de um usuário para liberar uma mensagem de email considerada prejudicial. |
| 3 | Exportar | Esta é uma solicitação de um usuário para exportar uma mensagem de email considerada prejudicial. |
| 4 | ViewHeader | Esta é uma solicitação de um usuário para exibir o cabeçalho de uma mensagem de email considerada prejudicial. |
| 5 | Solicitação de liberação | Esta é uma solicitação de liberação de um usuário para liberar uma mensagem de email considerada prejudicial. |
Enum: RequestSource - Type: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | SCC | O Centro de Conformidade e Segurança (SCC) é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
| 1 | Cmdlet | Um cmdlet é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
| 2 | URLlink | Essa é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial. |
Esquema do Microsoft Forms
Os eventos do Microrosft Forms listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FormsUserTypes | Coleção (Self.FormsUserTypes) | Sim | O papel do usuário que executou a ação. Os valores desse parâmetro são Administrador, Proprietário, Responder ou Coautoria. |
| SourceApp | Edm.String | Sim | Indica se a ação é do site do Forms ou de outro aplicativo. |
| FormName | Edm.String | Não | Nome do formulário atual. |
| FormId | Edm.String | Não | A ID do formulário de destino. |
| FormTypes | Coleção (Self.FormTypes) | Não | Indica se isso é um Formulário, Quiz ou Pesquisa. |
| ActivityParameters | Edm.String | Não | Cadeia de caracteres JSON contendo parâmetros de atividade. Confira Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365 para saber mais. |
Enum: FormsUserTypes - Tipo: Edm.Int32
FormsUserTypes
| Valor | Tipo de Usuário do Formulário | Descrição |
|---|---|---|
| 0 | Administrador | Um administrador que tem acesso ao formulário. |
| 1 | Proprietário | Um usuário que é o proprietário do formulário. |
| 2 | Respondente | Um usuário que enviou uma resposta a um formulário. |
| 3 | Co-autor | Um usuário que usou um link de colaboração fornecido pelo proprietário do formulário para fazer logon e editar um formulário. |
Enum: FormTypes - Tipo: Edm.Int32
FormTypes
| Valor | Tipos de Formulário | Descrição |
|---|---|---|
| 0 | Formulário | Formulários criados com a opção Novo Formulário. |
| 1 | Quiz | Quizzes criados com a Nova Opção de Quiz. Um quiz é um tipo especial de formulário que inclui recursos adicionais como valores de ponto, classificações automáticas e manuais e comentários. |
| 2 | Pesquisa | Pesquisas criadas com a opção Nova Pesquisa. Uma pesquisa é um tipo especial de formulário que inclui recursos adicionais como a integração e o suporte a CMS para regras de Fluxo. |
Esquema de rótulos MIP
Os eventos no esquema de rótulo da Proteção de Informações do Microsoft Purview são disparados quando o Microsoft 365 detecta uma mensagem de email processada por agentes no pipeline de Transporte que tem um rótulo de confidencialidade aplicado a ele. O rótulo de confidencialidade pode ter sido aplicado manual ou automaticamente e pode ter sido aplicado dentro ou fora do pipeline de Transporte. Os rótulos de confidencialidade podem ser aplicados automaticamente às mensagens de email por meio da aplicação automática de políticas de rótulo.
O propósito desse esquema de auditoria é representar a soma de toda a atividade de email que envolve rótulos de confidencialidade. Em outras palavras, deve haver uma atividade de auditoria redirecionada para cada mensagem de email que será enviada para ou a partir de usuários na organização que tenha um rótulo de confidencialidade aplicado a ele, independentemente de quando ou como o rótulo de sensibilidade tenha sido aplicado. Para obter mais informações sobre rótulos de confidencialidade, confira:
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Remetente | Edm.String | Não | O endereço de email no campo De da mensagem de email. |
| Receptores | Collection(Edm.String) | Não | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
| ItemName | Edm.String | Não | A cadeia de caracteres no campo Assunto da mensagem de email. |
| LabelID | Edm.Guid | Não | O GUID do rótulo de confidenciallidade aplicado à mensagem de email. |
| LabelName | Edm.String | Não | O nome do rótulo de sensibilidade aplicado à mensagem de email. |
| Labelaction | Edm.String | Não | As ações especificadas pelo rótulo de confidencialidade que foram aplicados à mensagem de email antes da mensagem entrar no pipeline de transporte de email. |
| LabelAppliedDateTime | Edm.Date | Não | A data em que o rótulo de confidencialidade foi aplicado à mensagem de email. |
| Applicationmode | Edm.String | Não | Especifica como o rótulo de confidencialidade foi aplicado à mensagem de email. O valor Privilegiado indica que o rótulo foi aplicado manualmente por um usuário. O valor Padrão indica que o rótulo foi aplicado automaticamente por um processo de rotulagem do lado do cliente ou do serviço. |
Esquema de eventos do portal de mensagens criptografadas
Os eventos para o esquema do portal de mensagens criptografadas são disparados quando a Criptografia de Mensagens do Purview detecta que uma mensagem de email criptografada é acessada no portal por um destinatário externo. O email pode ter sido criptografado manualmente com um rótulo de confidencialidade ou um modelo RMS, ou automaticamente por uma regra de transporte, uma política de Prevenção contra Perda de Dados ou uma política de rotulagem automática.
A intenção desse esquema de auditoria é representar a soma de todas as atividades do portal que envolvem o acesso ao email criptografado por destinatários externos. Em outras palavras, deve haver uma atividade de auditoria registrada para um destinatário que tente entrar no portal e para as atividades relacionadas ao acesso ao email criptografado. Isso inclui emails enviados para ou de usuários na organização quando tem criptografia aplicada a ele, independentemente de quando ou como a criptografia foi aplicada. Para obter mais informações, confira Saiba mais sobre os logs do portal de mensagens criptografadas.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| MessageId | Edm.String | Não | A ID da mensagem. |
| Destinatário | Edm.String | Não | Endereço de e-mail do destinatário. |
| Remetente | Edm.String | Não | Endereço de e-mail do remetente. |
| AuthenticationMethod | Self.AuthenticationMethod | Não | Método de autenticação ao acessar a mensagem, ou seja, OTP, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | Não | 0 – Êxito, 1 – Falha. |
| OperationStatus | Self.OperationStatus | Não | 0 – Êxito, 1 – Falha. |
| AttachmentName | Edm.String | Não | Nome do anexo. |
| OperationProperties | Collection(Common.NameValuePair) | Não | Propriedades adicionais, ou seja, número de senha OTP enviada, assunto do email etc. |
Esquema de conformidade de comunicações do Exchange
Os eventos de conformidade de comunicação listados no log de auditoria do Office 365 usam esse esquema. Isso inclui registros de auditoria para a operação SupervisoryReviewOLAudit gerados quando o conteúdo da mensagem de email contém uma linguagem ofensiva identificada por modelos antispam com uma precisão de correspondência de >= 99,5%.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Não | Propriedades da mensagem de email que disparou o evento SupervisoryReviewOLAudit. |
Enum: ExchangeDetails - Type: ExchangeDetails
ExchangeDetails
| Nome do membro | Tipo | Descrição |
|---|---|---|
| NetworkMessageId | Edm.Guid | A ID de mensagem da rede da mensagem de email. |
| InternetMessageId | Edm.String | A ID de mensagem da internet da mensagem de email. |
| AttachmentData | Collection(AttachmentDetails) | Informações sobre arquivos anexados à mensagem de emails. |
| Destinatários | Collection(Edm.String) | Todos os endereços de email nos campos Para, CC e Cco da mensagem de email. |
| Assunto | Edm.String | O texto no campo Assunto da mensagem de email. |
| MessageTime | Edm.Date | A data e a hora em que a mensagem foi enviada. |
| De | Edm.String | O endereço de email no campo De da mensagem de email. |
| Directionality | Edm.String | O status da origem da mensagem de email. |
Enum: AttachmentDetails - Type: Edm.Int32
AttachmentDetails
| Nome do membro | Tipo | Descrição |
|---|---|---|
| FileName | Edm.String | O nome do arquivo anexado à mensagem de email. |
| FileType | Edm.String | A extensão de arquivo do arquivo anexado à mensagem de email. |
| SHA256 | Edm.String | O hash SHA-256 do arquivo anexado à mensagem de email. |
Esquema de relatórios
Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ModifiedProperties | Coleção (Common.ModifiedProperty) | Não | Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada. |
Esquema do conector de conformidade
Os eventos no esquema do conector de conformidade são disparados quando itens importados por um conector de dados são ignorados ou não podem ser importados para caixas de correio do usuário. Para obter mais informações sobre conectores de dados, consulte Saiba mais sobre os conectores de dados de terceiros.
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| JobId | Edm.String | Não | Esse é um identificador exclusivo do conector de dados. |
| TaskId | Edm.String | Não | Identificador exclusivo da instância periódica do conector de dados. Os conectores de dados importam dados em intervalos periódicos. |
| JobType | Edm.String | Não | O nome do conector de dados. |
| ItemId | Edm.String | Não | Identificador exclusivo do item (por exemplo, uma mensagem de email) que está sendo importado. |
| ItemSize | Edm.Int64 | Não | O tamanho do item que está sendo importado. |
| SourceUserId | Edm.String | Não | O identificador exclusivo do usuário da fonte de dados de terceiros. Por exemplo, para um conector de dados do Slack, essa propriedade especifica a ID de usuário no espaço de trabalho do Slack. |
| FailureType | Self.FailureType | Não | Indica o tipo de falha de importação de dados. Por exemplo, o valor incorrectusermapping indica que o item não foi importado porque não foi encontrado nenhum mapeamento de usuário entre a fonte de dados de terceiros e o Microsoft 365. |
| ResultMessage | Edm.String | Não | Indica o tipo de falha, como Mensagem duplicada. |
| IsRetry | Edm.Boolean | Não | Indica se o conector de dados repetiu a importação do item. |
| Anexos | Coleção.Anexo | Não | Uma lista de anexos recebidos da fonte de dados de terceiros. |
Enumeração: FailureType - Tipo: Edm.Int32
| Valor | Nome do membro |
|---|---|
| 0 | Padrão |
| 1 | MailboxWrite |
Tipo complexo de anexo
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| FileName | Edm.String | Não | O nome do anexo. |
| Detalhes | Edm.String | Não | Outros detalhes sobre o anexo. |
Esquema SystemSync
Os eventos no esquema SystemSync são disparados quando os dados ingeridos do SystemSync são exportados por meio do Data Lake ou compartilhados por meio de outros serviços.
DataLakeExportOperationAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DataStoreType | DataStoreType | Sim | Indica de qual repositório os dados foram baixados. Consulte DataStoreType para obter todos os valores possíveis. |
| UserAction | DataLakeUserAction | Sim | Indica qual ação o usuário executou no repositório de dados. Consulte DataLakeUserAction para obter todos os valores possíveis. |
| ExportTriggeredAt | Edm.DateTimeOffset | Sim | Indica quando a exportação de dados foi disparada. |
| NameOfDownloadedZipFile | Edm.String | Não | O nome do arquivo compactado que o administrador baixou do Data Lake. |
DataShareOperationAuditRecord
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Convite | DataShareInvitationType | Não | Detalhes do convite enviado ao destinatário do Data Share. |
Tipo complexo DataShareInvitationType
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ShareId | Edm.Guid | Sim | Identificador atribuído pelo sistema para o Data Share. |
| Convidados | Collection(Edm.Guid) | Sim | Lista de usuários administradores para os quais o convite foi enviado. |
| InviteeTenantId | Edm.Guid | Sim | O locatário de destino ao qual o convite se destina. |
| ShareName | Edm.String | Sim | Nome atribuído pelo sistema para o Data Share. |
| SyncFrequency | Self.SyncFrequency | Sim | Frequência na qual os dados são sincronizados com a conta de armazenamento de destino depois que o compartilhamento é estabelecido. Consulte SyncFrequency para obter os valores possíveis. |
| SyncStartTime | Edm.DateTimeOffset | Sim | Data e hora da primeira sincronização. |
Enum: SyncFrequency - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | A cada hora | Indica que os dados serão sincronizados a cada hora. |
| 1 | Diariamente | Indica que os dados serão sincronizados uma vez por dia. |
Enum: DataStoreType - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | CanonicalStore | Indica que os dados serão baixados do repositório canônico. |
| 1 | StagingStore | Indica que os dados serão baixados do repositório de preparo. |
Enum: DataLakeUserAction - Tipo: Edm.Int32
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | TriggerExport | O usuário administrador disparou a exportação do Data Lake. |
| 1 | DownloadZipFile | O usuário administrador baixou os dados exportados. |
Tipo complexo MicrosoftGraphDataConnectOperation
| Parâmetros | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
| ApplicationName | Edm.String | Sim | O nome do aplicativo. |
| PipelineName | Edm.String | Sim | Nome do pipeline dinâmico. |
| PipelineRunId | Edm.Guid | Não | A identificação dessa execução de pipeline. |
| CopyActivityRunId | Edm.Guid | Não | A identificação da atividade de cópia do ADF. |
| RunStartTime | Edm.Date | Sim | Data e hora da extração. |
| RunEndTime | Edm.Date | Sim | Data e hora da extração. |
| DatasetName | Edm.String | Sim | O nome do conjunto de dados que está sendo extraído. |
| DatasetColumns | Edm.String | Sim | O conjunto de colunas selecionadas que estão sendo extraídas. |
| Lista de Escopos | Edm.String | Sim | O escopo da extração. |
| ScopeCountRequested | Edm.Int64 | Não | A contagem de escopos solicitada para esta extração. |
| ScopeCountDelivered | Edm.Int64 | Não | A contagem de escopo entregue para esta extração. |
| UndeliveredScope | Edm.String | Não | O escopo não entregue da extração. |
| RowCount | Edm.Int64 | Não | O número de linhas extraídas. |
| Status | Edm.String | Sim | O status de extração. |
| Reason | Edm.String | Não | A mensagem de erro em caso de falha. |
AipDiscover
A tabela a seguir contém informações relacionadas aos eventos de scanner do Azure Proteção de Informações (AIP).
| Evento | Descrição |
|---|---|
| ApplicationId | O ID do aplicativo que está executando a operação. |
| ApplicationName | Nome amigável do aplicativo que executa a operação. Outlook (para email), OWA (para email), Word (para arquivo), Excel (para arquivo), PowerPoint (para arquivo). |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados ao Azure Active Directory, o endereço IP não é registrado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| CreationTime | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| DataState | Descreve o estado dos dados. |
| DeviceName | O dispositivo no qual a atividade aconteceu. |
| Id | GUID do registro atual. |
| Isprotected | Se protegido: True/False |
| Local | A localização do documento em relação ao dispositivo do usuário. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e nuvem. |
| ObjectId | URL (caminho completo do arquivo). Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. |
| Operação | Descreve o tipo de acesso. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS) |
| ProcessName | O nome do processo relevante, por exemplo. Outlook, msip.app, WinWord. |
| ProductVersion | Versão do cliente AIP. |
| ProtectionOwner | Proprietário do Rights Management no formato UPN. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. Para obter uma lista atualizada completa e uma descrição completa do Log RecordType, consulte as atividades de log de auditoria de conformidade do Microsoft 365 por meio da postagem no blog da API de Gerenciamento do O365. Aqui, listamos apenas os tipos de registro MIP relevantes. |
| Escopo | Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente. |
| SensitiveInfoTypeData | Armazena o tipo de dados dos dados do tipo Informações Confidenciais. |
| SensitivityLabelId | O guid de rótulo de confidencialidade MIP atual. Use o cmdlt Get-Label para obter os valores completos do GUID. |
| Templateid | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O UPN (Nome da Entidade de Usuário) do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint nos registros de auditoria. |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Versão | ID da versão do arquivo na operação. |
| Workload | Armazena o serviço Office 365 em que a atividade ocorreu. |
AipSensitivityLabelAction
A tabela a seguir contém informações relacionadas a eventos de rótulo de confidencialidade do AIP.
| Evento | Descrição |
|---|---|
| ApplicationId | Corresponde à ID do aplicativo Microsoft Entra. |
| ApplicationName | Nome amigável do aplicativo que executa a operação. |
| CreationDate | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| DataState | Especifica o estado dos dados. |
| DeviceName | O nome do dispositivo do usuário. |
| Identidade | A identidade do usuário ou do serviço a ser autenticado. |
| Isprotected | Se protegido: True/False |
| IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: True/False |
| IsValid | Booliano |
| Local | A localização do documento em relação ao dispositivo do usuário. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e nuvem. |
| ObjectState | Especifica o estado do objeto. |
| Operação | O tipo de operação para o log de auditoria. O nome da atividade de usuário ou administrador. Para obter uma descrição das operações/atividades mais comuns: SensibilidadeLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do usuário ou do serviço a ser autenticado. |
| PSComputerName | Nome do Computador |
| PSShowComputerName | O valor é False para editado documentado em Office 365. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS). |
| ProcessName | Processo que hospeda o SDK do MIP. |
| ProductVersion | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Para obter mais informações, confira a lista completa de tipos de registro. |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, provedores, variáveis, funções e elementos de linguagem que estão disponíveis para o usuário da linha de comando. |
| SensitiveInfoTypeData | Armazena o tipo de dados dos Dados de Tipo de Informações Confidenciais |
| Templateid | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O UPN (Nome da Entidade de Usuário) do usuário que executou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. |
AipProtectionAction
| Evento | Descrição |
|---|---|
| PSComputerName | Nome do computador |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, provedores, variáveis, funções e elementos de linguagem que estão disponíveis para o usuário da linha de comando. |
| PSShowComputerName | O valor é falso para uma edição documentada em Office 365. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Aqui estamos listando apenas os tipos de registro MIP relevantes. Para obter mais informações, confira a lista completa de tipos de registro. |
| CreationTime | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| UserId | O UPN (Nome da Entidade de Usuário) do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint em registros de auditoria. |
| Operação | O tipo de operação para o log de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do usuário ou do serviço a ser autenticado. |
| ObjectState | Estado do Objeto após o evento atual. |
| ApplicationId | O aplicativo em que a atividade aconteceu e exibida no GUID. |
| ApplicationName | Nome amigável do aplicativo que executa a operação. Outlook (para email), OWA (para email), Word (para arquivo), Excel (para arquivo), PowerPoint (para arquivo). |
| ProcessName | Nome do processo do aplicativo do Office. |
| Plataforma | A plataforma na qual a atividade aconteceu. Por exemplo, Windows. |
| DeviceName | Dispositivo em que o evento foi gravado. |
| ProductVersion | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria. |
| UserId | O UPN do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint em registros de auditoria. |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados ao Azure Active Directory, o endereço IP não é registrado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| Id | GUID do registro atual. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Aqui estamos listando apenas os tipos de registro MIP relevantes. |
| CreationTime | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
| Workload | Armazena o serviço Office 365 em que a atividade ocorreu. |
| Versão | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria |
| Escopo | Especifica o escopo. |
AipFileDeleted
| Evento | Descrição |
|---|---|
| PSComputerName | Nome do computador |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, provedores, variáveis, funções e elementos de linguagem que estão disponíveis para o usuário da linha de comando. |
| PSShowComputerName | O valor é falso para uma edição documentada em Office 365. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Aqui estamos listando apenas os tipos de registro MIP relevantes. Para obter mais informações, confira a lista completa de tipos de registro. |
| CreationTime | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| UserId | O UPN (Nome da Entidade de Usuário) do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint em registros de auditoria. |
| Operação | O tipo de operação para o log de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identidade | A identidade do usuário ou do serviço a ser autenticado. |
| ObjectState | Estado do Objeto após o evento atual. |
| ApplicationId | O aplicativo em que a atividade aconteceu e exibida no GUID. |
| ApplicationName | Nome amigável do aplicativo que executa a operação. Outlook (para email), OWA (para email), Word (para arquivo), Excel (para arquivo), PowerPoint (para arquivo). |
| ProcessName | Nome do processo do aplicativo do Office. |
| Plataforma | A plataforma na qual a atividade aconteceu. Por exemplo, Windows. |
| DeviceName | Dispositivo em que o evento foi gravado. |
| ProductVersion | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria. |
| UserId | O UPN do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint em registros de auditoria. |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados ao Azure Active Directory, o endereço IP não é registrado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| Id | GUID do registro atual. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Aqui estamos listando apenas os tipos de registro MIP relevantes. |
| CreationTime | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| Operação | O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. |
| OrganizationId | O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
| Workload | Armazena o serviço Office 365 em que a atividade ocorreu. |
| Versão | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria |
| Escopo | Especifica o escopo. |
AipHeartBeat
A tabela a seguir contém informações relacionadas a eventos de pulsação de AIP.
| Evento | Descrição |
|---|---|
| ApplicationId | Corresponde à ID do aplicativo Microsoft Entra. |
| ApplicationName | Nome amigável do aplicativo que executa a operação. |
| CreationDate | A data e a hora em UTC (Horário Universal Coordenado) no formato ISO8601 quando o usuário executou a atividade. |
| DataState | Especifica o estado dos dados. |
| DeviceName | O nome do dispositivo do usuário. |
| Identidade | A identidade do usuário ou do serviço a ser autenticado. |
| Isprotected | Se protegido: True/False |
| IsProtectedBefore | Se o conteúdo foi protegido antes da alteração: True/False |
| IsValid | Booliano |
| Local | A localização do documento em relação ao dispositivo do usuário. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e nuvem. |
| ObjectState | Especifica o estado do objeto. |
| Operação | O tipo de operação para o log de auditoria. O nome da atividade de usuário ou administrador. Para obter uma descrição das operações/atividades mais comuns: |
| PSComputerName | Nome do Computador |
| PSShowComputerName | O valor é False para editado documentado em Office 365. |
| Plataforma | Plataforma de dispositivo (Win, OSX, Android, iOS). |
| ProcessName | Processo que hospeda o SDK do MIP. |
| ProductVersion | Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria. |
| ProtectionType | O tipo de proteção pode ser modelo ou ad-hoc. |
| RecordType | Mostra o valor de Ação de Rótulo. O tipo de operação indicado pelo registro. Para obter mais informações, confira a lista completa de tipos de registro. |
| RunspaceId | O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, provedores, variáveis, funções e elementos de linguagem que estão disponíveis para o usuário da linha de comando. |
| SensitiveInfoTypeData | Armazena o tipo de dados dos Dados de Tipo de Informações Confidenciais |
| Templateid | Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações. |
| UserId | O UPN do usuário que realizou a ação (especificada na propriedade Operation) que resultou no registro sendo registrado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, consulte o usuário app@sharepoint nos registros de auditoria. |
| UserType | O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de usuários. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange. |
Tipo complexo MicrosoftGraphDataConnectConsent
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ApplicationId | Edm.Guid | Sim | A identificação do aplicativo. |
| ApplicationVersion | Edm.String | Sim | A versão do aplicativo. |
| AppRegistrationTenantId | Edm.Guid | Sim | A ID do locatário de registro de aplicativo. |
| Aprovador | Edm.String | Sim | O nome da entidade de usuário do aprovador. |
| ApprovalUpdatedDateInUTC | Edm.Date | Sim | A hora da data de atualização em UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Sim | A hora da data de validade em UTC. |
| ApprovalValidDays | Edm.Int32 | Sim | O número de dias da atualização para a qual a aprovação será válida. |
| DestinationSinks | Edm.String | Sim | O destino é coletor. |
| DestinationTenantId | Edm.Guid | Sim | A ID do locatário de destino. |
| Reason | Edm.String | Não | O motivo fornecido pelo administrador que realizou a operação. |
| Estado | Edm.String | Sim | O estado de consentimento. |
| Conjuntos de dados | CollectionSelf. MGDCDataset | Sim | Detalhes sobre os conjuntos de dados que foram consentidos como parte dessa operação. |
Tipo complexo MGDCDataset
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| DatasetName | Edm.String | Sim | O nome do conjunto de dados na operação de consentimento. |
| DatasetColumns | Edm.String | Sim | A lista de colunas para o conjunto de dados na operação de consentimento. |
| DenyGroups | Edm.String | Não | A lista de grupos de negação para o conjunto de dados na operação de consentimento. |
| Escopo | Edm.String | Sim | Os tipos de escopo do conjunto de dados na operação de consentimento. Os valores possíveis são All, List e FilterUri. |
| ScopeFiltersUris | Edm.String | Não | O URI do filtro de escopo para o conjunto de dados na operação de consentimento. |
| Lista de Escopos | Edm.String | Não | A lista de grupos de escopo do conjunto de dados na operação de consentimento. |
| PrivacyPolicyType | Edm.String | Sim | Os tipos de política de privacidade para o conjunto de dados na operação de consentimento. Os valores possíveis são None e DenyList. |
Viva Goals esquema
Os registros de auditoria de eventos relacionados a Viva Goals usam esse esquema (além do esquema Common). Para obter detalhes de como você pode pesquisar os logs de auditoria no portal de conformidade, consulte Pesquisa log de auditoria na Central de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionadas a Viva Goals, confira Atividades de log de auditoria.
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| Detalhe | Edm.String | Não | Uma descrição do evento ou da atividade que ocorreu em Viva Goals. |
| Nome de usuário | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome do usuário que desempedeou o evento. |
| Userrole | Edm.String | Não | A função do usuário que esmouou esse evento em Viva Goals. Isso menção se o usuário for um administrador da organização ou um proprietário. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O nome da organização no Viva Goals em que o evento foi disparado. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O proprietário da organização em Viva Goals onde o evento ocorreu. |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | Os administradores da organização em Viva Goals onde o evento ocorreu. Pode haver um ou mais administradores na organização. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
Não | O agente de usuário (detalhes do navegador) do usuário que executou o evento. UserAgent pode não estar presente no caso de um evento gerado pelo sistema. |
| ModifiedFields | Collection(Common.NameValuePair) | Não | Uma lista de atributos que foram modificados junto com sua saída de valores novos e antigos como JSON. |
| ItemDetails | Collection(Common.NameValuePair) | Não | Propriedades adicionais sobre o objeto que foi modificado. |
Microsoft Planner esquema
Microsoft Planner substitui a definição de ObjectId e ResultStatus no esquema Common. A definição ObjectId de Microsoft Planner está associada ao tipo de registro de cada Microsoft Planner e será ilustrada individualmente.
O ResultStatus do Microsoft Planner é definido como o seguinte.
Enum: ResultStatus – Tipo: Edm.Int32
ResultStatus
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | Êxito | A solicitação de usuário foi bem-sucedida. |
| 2 | Falha | A solicitação de usuário falhou devido a motivos diferentes da autorização. |
| 3 | AuthorizationFailure | O usuário solicitado falhou devido à autorização com falha. |
Microsoft Planner estende o esquema Common com os seguintes tipos de registro.
Tipo de registro PlannerPlan
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Id do plano solicitado. |
| ContainerType | Auto. Containertype | Tipo do contêiner associado ao plano. |
| ContainerId | Edm.String | Id do contêiner associado ao plano. |
| SharedWithContainerId | Edm.String | Id do contêiner com acesso compartilhado ao plano. |
| SharedWithContainerType | Auto. Containertype | Tipo do contêiner com acesso compartilhado ao plano. |
| SharedWithContainerAccessLevel | Auto. PlanAccessLevel | Nível de acesso dado ao contêiner com acesso compartilhado ao plano. |
Enum: ContainerType – Type Edm.Int32
ContainerType
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Invalid | Usado quando o plano solicitado não é encontrado. |
| 2 | Agrupar | O plano está associado a um Grupo M365. |
| 3 | TeamsConversation | O plano está associado a uma conversa do Teams. |
| 4 | OfficeDocument | O plano está associado a um documento do Office. |
| 5 | Lista | O plano está associado a um grupo de listas. |
| 6 | Project | O plano é originário do Microsoft Project. |
Enum: PlanAccessLevel – Type Edm.Int32
PlanAccessLevel
| Valor | Nome do membro | Descrição |
|---|---|---|
| 1 | ReadAccess | Acesso ao plano de leitura |
| 2 | ReadWriteAccess | Acesso à leitura e gravação no Plan |
| 3 | Fullaccess | Acesso à leitura, gravação e configuração do Plano |
Tipo de registro PlannerCopyPlan
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Id do plano que está sendo copiado. |
| OriginalPlanId | Edm.String | Id do plano que está sendo copiado. O mesmo que ObjectId. |
| OriginalContainerType | Auto. Containertype | Tipo do contêiner associado ao plano original. |
| OriginalContainerId | Edm.String | Id do contêiner associado ao plano original. |
| NewPlanId | Edm.String | Id do novo plano. Nulo quando a operação falhou. |
| NewContainerType | Auto. Containertype | Tipo do contêiner associado ao novo plano. |
| NewContainerId | Edm.String | Id do contêiner associado ao novo plano. |
Tipo de registro PlannerTask
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Id da tarefa solicitada. |
| PlanId | Edm.String | Id do plano que contém a tarefa. |
Tipo de registro PlannerRoster
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Id da lista solicitada. |
| MemberIds | Edm.String | Uma cadeia de caracteres separada por vírgulas de IDs de membro foi alterada para a lista. |
Tipo de registro PlannerPlanList
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta de exibição para uma lista de planos. |
| PlanList | Edm.String | Uma cadeia de caracteres separada por vírgulas de IDs de plano consultadas. |
Tipo de registro PlannerTaskList
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Uma representação da consulta de exibição para uma lista de tarefas. |
| PlanList | Edm.String | Uma cadeia de caracteres separada por vírgulas de IDs de tarefa consultadas. |
Tipo de registro PlannerTenantSettings
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Configurações de locatário originais no JSON. |
| TenantSettings | Edm.String | Novas configurações de locatário no JSON. |
Tipo de registro PlannerRosterSensitivityLabel
| Properties | Tipo | Descrição |
|---|---|---|
| ObjectId | Edm.String | Id do rótulo de confidencialidade. Nulo quando o rótulo de confidencialidade é removido. |
| Lista | Edm.String | Id da lista para a qual o rótulo de confidencialidade é alterado. |
| AssignmentMethod | Auto. SensitivityLabelAssignmentMethod | O método de atribuição do rótulo de confidencialidade. |
Enum: SensitivityLabelAssignmentMethod – Type Edm.Int32
SensitivityLabelAssignmentMethod
| Valor | Nome do membro | Descrição |
|---|---|---|
| 0 | Standard | O rótulo de confidencialidade é aplicado automaticamente, mas não é permitido substituir uma atribuição de rótulo privilegiado. |
| 1 | Privilegiada | O rótulo de confidencialidade é aplicado manualmente por um usuário ou por um administrador. |
| 2 | Auto | O rótulo de confidencialidade é aplicado automaticamente e tem permissão para substituir uma atribuição de rótulo privilegiado. |
Esquema do Microsoft Project para a Web
O Microsoft Project For The Web estende o esquema Common com os seguintes tipos de registro.
Tipo de registro ProjectForThewebProject
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectId | Edm.Guid | Não | Id do Projeto que está sendo auditado. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Não | Informações adicionais. |
Tipo de registro ProjectForThewebTask
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectId | Edm.Guid | Sim | Id do Projeto que está sendo auditado. |
| TaskId | Edm.Guid | Sim | Id da Tarefa que está sendo auditada. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Não | Informações adicionais. |
Tipo de registro ProjectForThewebRoadmap
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RoadmapId | Edm.Guid | Sim | Id do Roteiro que está sendo auditado. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Não | Informações adicionais. |
Tipo de registro ProjectForThewebRoadmapItem
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Sim | Id do Item roadmap que está sendo auditado. |
| AdditionalInfo | CollectionSelf. AdditionalInfo | Não | Informações adicionais. |
Tipo complexo AdditionalInfo
| Parameters | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| EnvironmentName | Edm.String | Não | Id do ambiente em que a ação foi executada. |
Tipo de registro ProjectForThewebProjectSetting
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Sim | O valor definido para Project para a Web (1= habilitado, 0 desabilitado). |
Tipo de registro ProjectForThewebRoadampSetting
| Properties | Tipo | Obrigatório? | Descrição |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | Sim | O valor definido para Roteiro (1= habilitado, 0 desabilitado). |