Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As tabelas neste artigo descrevem as atividades registadas no registo de auditoria do Microsoft 365. Pode procurar estas atividades ao procurar no registo de auditoria no portal do Microsoft Purview.
O registo de auditoria está ativado por predefinição para as organizações do Microsoft 365. Se a auditoria não estiver ativada para a sua organização, é apresentada uma faixa que lhe pede para começar a gravar a atividade de utilizador e administrador. Para obter instruções, consulte Ativar a auditoria.
Essas tabelas agrupam atividades relacionadas ou as atividades de um serviço específico. As tabelas incluem o nome amigável apresentado na lista pendente Atividades (ou que estão disponíveis no PowerShell) e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa. Para obter descrições das informações detalhadas, veja Propriedades detalhadas do registo de auditoria.
Dica
Selecione uma das ligações na lista Neste artigo na parte superior deste artigo para aceder diretamente a uma tabela de produtos específica.
Atividades de administração de aplicativos
A tabela seguinte lista as atividades de administrador de aplicações que são registadas quando um administrador adiciona ou altera uma aplicação registada no Microsoft Entra ID. Tem de registar qualquer aplicação que dependa de Microsoft Entra ID para autenticação no diretório.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Credenciais adicionadas a uma entidade de serviço | Adicione credenciais da entidade de serviço. | As credenciais foram adicionadas a um principal de serviço no Microsoft Entra ID. Um principal de serviço representa uma aplicação no diretório. |
| Entrada da delegação adicionada | Adicione entrada de delegação. | Foi criada ou concedida uma permissão de autenticação a uma aplicação no Microsoft Entra ID. |
| Entidade de serviço adicionada | Adicione entidade de serviço. | Uma aplicação foi registada no Microsoft Entra ID. Um principal de serviço representa uma aplicação no diretório. |
| Entidade de serviço removida do diretório | Remova a entidade de serviço. | Uma aplicação foi eliminada ou não registou Microsoft Entra ID. Um principal de serviço representa uma aplicação no diretório. |
| Credenciais removidas de uma entidade de serviço | Remova as credenciais da entidade de serviço. | As credenciais foram removidas de um principal de serviço no Microsoft Entra ID. Um principal de serviço representa uma aplicação no diretório. |
| Entrada de delegação removida | Remova a entrada de delegação. | Uma permissão de autenticação foi removida de uma aplicação no Microsoft Entra ID. |
| Definir entrada de delegação | Defina a entrada de delegação. | Foi atualizada uma permissão de autenticação para uma aplicação no Microsoft Entra ID. |
Atividades do email de resumo
A tabela seguinte lista as atividades no e-mail de informação que o registo de auditoria do Microsoft 365 regista. Para saber mais sobre o email de Resumo. confira:
| Nome amigável | Operação | Descrição |
|---|---|---|
| Configurações de privacidade da organização atualizadas | UpdatedOrganizationBriefingSettings | O administrador atualiza as configurações de privacidade da organização para email de Resumo. |
| Configurações de privacidade do usuário atualizadas | UpdatedUserBriefingSettings | O administrador atualiza as configurações de privacidade do usuário para email de Resumo. |
Atividades de conformidade de comunicações
A tabela seguinte lista as atividades de conformidade de comunicação que o registo de auditoria do Microsoft 365 regista. Para obter mais informações, consulte Saiba mais sobre Conformidade de Comunicações do Microsoft Purview.
Observação
Pode ver estas atividades quando utiliza o cmdlet do PowerShell Search-UnifiedAuditLog . Não pode ver estas atividades na lista pendente Atividades .
| Nome amigável | Operação | Descrição |
|---|---|---|
| Correspondência de política | SupervisionRuleMatch | Um utilizador enviou uma mensagem que corresponde à condição de uma política. |
| Atualização de política | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Um administrador de conformidade de comunicações efetuou uma atualização de política. |
| Etiqueta aplicada a mensagens | SupervisoryReviewTag | As marcas são aplicadas às mensagens ou as mensagens são resolvidas. |
Atividades do Gestor de Conformidade
A tabela seguinte lista as operações e atividades que o registo de auditoria regista quando um administrador gere as definições no Gestor de Conformidade. Para obter mais informações, veja Saiba mais sobre o Gestor de Conformidade.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Alteração de funções | ComplianceManagerRolesChange | Um administrador alterou as funções dos utilizadores. |
| Alteração ao nível da automatização do inquilino | ComplianceManagerAutomationLevelChange | Um administrador alterou o nível de automatização da organização em todas as ações. |
| Testar a alteração da automatização de origem | ComplianceManagerAutomationChange | Um administrador alterou as definições de automatização de origem de teste. |
Atividades do explorador de conteúdo
A tabela seguinte lista as atividades no Explorador de conteúdos registadas no registo de auditoria do Microsoft 365. Pode aceder ao explorador de conteúdos na ferramenta Classificações de dados no portal do Microsoft Purview. Para obter mais informações, consulte Usar o conteúdo de classificação de dados do Explorer.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Item acessado | LabelContentExplorerAccessedItem | Um administrador (ou um usuário que seja membro do grupo de funções do Visualizador de conteúdo do explorador de conteúdo) usa o explorador de conteúdo para exibir uma mensagem de e-mail ou documento do SharePoint/OneDrive. |
Atividades de investigação de segurança de dados (pré-visualização)
Investigações de Segurança de Dados (pré-visualização) fornece ferramentas de investigação avançadas que podem exigir a capacidade de auditar atividades para garantir a utilização segura e aprovada da solução. Para cumprir estes requisitos, os registos de auditoria unificados registam atividades Investigações de Segurança de Dados (pré-visualização).
A tabela seguinte lista Investigações de Segurança de Dados atividades (pré-visualização) que o registo de auditoria do Microsoft 365 regista. Para obter mais informações, consulte Saiba mais sobre Investigações de Segurança de Dados do Microsoft Purview (pré-visualização).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Vista de exemplo de DSI cancelada | DSISampleViewCancelled | Um utilizador cancelou uma vista de exemplos. |
| Vista de estatísticas de DSI cancelada | DSIStatisticsViewCancelled | Um utilizador cancelou uma tarefa de estatística. |
| Investigação de DSI criada | CreatedDSIInvestigation | Um utilizador criou uma investigação. |
| Investigação de DSI eliminada | DeletedDSIInvestigation | Um utilizador eliminou uma investigação. |
| Comentários de IA de DSI fornecidos | DSIAIFeedbackProvided | Um utilizador forneceu feedback de IA. |
| Lista de investigação do DSI vista | DSIInvestigationListViewed | Um utilizador viu a lista de investigações. |
| Pesquisa DSI adicionada | DSIPurviewSearchAdded | Um utilizador adicionou uma pesquisa. |
| Pesquisa DSI atualizada | DSIPurviewSearchUpdated | Um utilizador atualizou uma pesquisa. |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | Um utilizador viu os resultados do exame. |
| Obter investigação de DSI | GetDSIInvestigation | Um utilizador viu uma investigação. |
| Obter pesquisa de DSI | GetSearchDSIInvestigation | Um utilizador viu uma pesquisa. |
| Investigação criada a partir de Defender XDR | DSIInvestigationCreatedFromXDR | Um utilizador criou uma investigação a partir de Defender XDR. |
| Investigação criada a partir da IRM do Purview | DSIInvestigationCreatedFromIRM | Um utilizador criou uma investigação a partir de Gerenciamento de Risco Interno do Microsoft Purview. |
| Item adicionado à mitigação | DSIItemAddedToMitigation | Um utilizador adicionou um item ao plano de mitigação de uma investigação. |
| Lista de planos de mitigação visualizada | DSIMitigationPlanListVIewed | Um utilizador viu a lista de planos de mitigação. |
| Tarefa de categorização iniciada | DSIInvestigationCategorizationJobSubmitted | Um utilizador iniciou uma tarefa de categorização. |
| Tarefa de pesquisa iniciada | DSIProbeJobSubmitted | Um utilizador iniciou uma tarefa de exame. |
| Tarefa de vetorização iniciada | DSIinvestigationVectorizationJobSubmitted | Um utilizador declarou uma tarefa de vetorização. |
| Pesquisa de DSI submetida adicionada à tarefa de conjunto de provas | DSIPurviewSearchAddToEvidenceSetJobSubmitted | Um utilizador adicionou dados pesquisados a um âmbito de investigação. |
| Tarefa de exemplo de pesquisa de DSI submetida | DSIPurviewSearchSampleJobSubmitted | Um utilizador iniciou uma tarefa de exemplos. |
| Tarefa de estatísticas de pesquisa de DSI submetida | DSIPurviewSearchStatisticsJobSubmitted | Um utilizador iniciou uma tarefa de estatística. |
| Investigação de DSI atualizada | UpdatedDSIInvestigation | Um utilizador atualizou uma investigação. |
| Membros atualizados da Investigação de DSI | DSIInvestigationMembersUpdated | Um utilizador atualizou os membros de uma investigação. |
| Atualização status no item a partir do plano de mitigação | DSIMitigationItemStatusUpdated | Um utilizador atualizou a status de um item no plano de mitigação de uma investigação. |
| Ficheiro carregado para pesquisa de DSI | DSIPurviewSearchUploadFile | Um utilizador carregou um ficheiro para procurar. |
| A pesquisa de vetores foi iniciada | DSIVectorSearchStarted | Um utilizador executou uma pesquisa de vetores. |
| Ver erros de processamento de dados para um conjunto de provas de DSI | DSIInvestigationSettingsUpdated | Um utilizador atualizou as definições de investigação. |
| Definições de investigação de DSI predefinidas visualizadas | DSIInvestigationSettingsDefaultViewed | Um utilizador viu as definições de investigação. |
| Documento do conjunto de provas de DSI visualizado | DSIEvidenceSetDocumentViewed | Um utilizador viu um documento numa investigação. |
| Definições de investigação de DSI visualizadas | DSIInvestigationSettingsViewed | Um utilizador viu as definições de investigação. |
| Resultados de exemplo de DSI visualizados | DSISampleResultsViewed | Um utilizador viu os resultados de exemplo. |
| Exemplo de DSI visualizado status | DSISampleStatusViewed | Um utilizador viu o status de uma tarefa de exemplos. |
| Resultados de estatísticas de DSI visualizados | DSIStatisticsResultsViewed | Um utilizador viu estatísticas de pesquisa. |
| Item visualizado do plano de mitigação | DSIItemViewedFromMitigation | Um utilizador viu um item do plano de mitigação de uma investigação. |
Atividades de administração de diretórios
A tabela seguinte lista Microsoft Entra diretório e atividades relacionadas com o domínio que são registadas quando um administrador gere a organização no Centro de administração do Microsoft 365 ou no portal de gestão do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Parceiro adicionado ao diretório | Adicione parceiro à empresa. | Parceiro (administrador delegado) adicionado à sua organização. |
| Domínio adicionado à empresa | Adicione o domínio à empresa. | Domínio adicionado à sua organização. |
| Parceiro removido do diretório | Remova o parceiro da empresa. | Parceiro (administrador delegado) removido da sua organização. |
| Domínio removido da empresa | Remova o domínio da empresa. | Domínio removido da sua organização. |
| Definir informações da empresa | Defina a informações da empresa. | Informações da empresa atualizadas para a sua organização. Inclui endereços de e-mail para e-mails relacionados com a subscrição enviados pelo Microsoft 365 e notificações técnicas sobre os serviços do Microsoft 365. |
| Definir autenticação de domínio | Defina a autenticação de domínio. | Configuração de autenticação de domínio alterada para a sua organização. |
| Definir política de senha | Defina a política de senha. | Restrições de comprimento e caracteres alteradas para senhas de usuário na sua organização. |
| Ativado Azure AD Sync | Defina o sinalizador DirSyncEnabled. | Definir a propriedade que habilita um diretório para sincronização do Azure AD. |
| Domínio atualizado | Atualize o domínio. | Configurações de um domínio atualizadas na sua organização. |
| Configurações de federação atualizadas para um domínio | Defina a configurações de federação no domínio. | Configurações de federação (compartilhamento externo) alteradas para a sua organização. |
| Domínio verificado | Verifique o domínio. | Confirmou que a sua organização era o proprietário de um domínio. |
| Domínio confirmado de email verificado | Verifique o domínio confirmado de email. | Verificação de email usada para confirmar que a sua organização é proprietária de um domínio. |
Atividades de revisão de disposição
A tabela seguinte lista as atividades que um revisor de eliminação demorou quando um item chegou ao fim do período de retenção configurado ou um item foi movido automaticamente para a fase de eliminação seguinte ou eliminado permanentemente como resultado da aprovação automática.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Revisores adicionados | AddReviewer | Um revisor de disposição adicionou um ou mais outros usuários ao estágio de revisão de disposição atual. |
| Descarte aprovado | ApproveDisposal | Para aprovação manual: um revisor de eliminação aprovou a disposição do item para movê-lo para a fase de disposição seguinte. Se o item estava no estágio único ou final de revisão da disposição, a aprovação da disposição marcou o item como elegível para exclusão permanente. Para a aprovação automática: não foi efetuada qualquer ação manual dentro do período de tempo de aprovação automática configurado, pelo que o item foi movido automaticamente para a fase de eliminação seguinte. Se o item estava na única ou última fase da revisão da eliminação, o item tornou-se automaticamente elegível para eliminação permanente. |
| Período de retenção estendido | ExtendRetention | Um revisor de disposição estendeu o período de retenção do item. |
| Item com novo rótulo | RelabelItem | Um revisor de disposição etiquetou novamente o rótulo de retenção. |
Atividades de Descoberta Eletrônica
O registo de auditoria regista as atividades de Deteção de Dados Eletrónicos que executa no portal do Microsoft Purview. Regista eventos quando os administradores ou gestores de Deteção de Dados Eletrónicos (ou quaisquer permissões de Deteção de Dados Eletrónicos atribuídas por qualquer utilizador) efetuam as seguintes tarefas no portal do Microsoft Purview:
- Criar e gerir casos de Deteção de Dados Eletrónicos.
- Criar e editar casos de Deteção de Dados Eletrónicos de pesquisas.
- Executar ações de pesquisa, como gerar estatísticas, exemplos e exportar a partir da pesquisa.
- Criar, editar e remover contém casos de Deteção de Dados Eletrónicos.
- Criar conjuntos de revisão e efetuar atividades de revisão em casos de Deteção de Dados Eletrónicos.
Para obter mais informações sobre a pesquisa no registo de auditoria, as permissões necessárias e a exportação dos resultados da pesquisa, consulte Pesquisar o registo de auditoria.
Como procurar e ver atividades de Deteção de Dados Eletrónicos
O registo de auditoria regista as atividades de Deteção de Dados Eletrónicos que executa no portal do Microsoft Purview ou no PowerShell. Para procurar atividades de Deteção de Dados Eletrónicos, veja Procurar atividades de Deteção de Dados Eletrónicos no registo de auditoria.
Atividades de Descoberta Eletrônica
A tabela seguinte descreve as atividades de Deteção de Dados Eletrónicos que são registadas quando um administrador ou gestor de Deteção de Dados Eletrónicos executa uma atividade relacionada com a Deteção de Dados Eletrónicos através do portal do Microsoft Purview. Algumas atividades realizadas na experiência de utilizador de Deteção de Dados Eletrónicos clássica podem ser devolvidas quando procura atividades nesta lista.
Observação
Implementámos o campo IP do cliente para todas as atividades realizadas na nova experiência de Deteção de Dados Eletrónicos. Para distinguir as atividades realizadas na nova experiência das da experiência clássica, marcar para a presença do campo IP do cliente na entrada de auditoria. (Na imagem seguinte, a primeira entrada é caso de Deteção de Dados Eletrónicos eliminado no novo ux moderno e as outras duas entradas sem endereços IP são o ux clássico).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Adicionado favorito | Conjunto Favorito | O utilizador definiu um caso como favorito. |
| Pesquisa do Purview adicionada | PurviewSearchAdded | Foi criada uma nova pesquisa. Esta atividade de auditoria inclui o nome do caso, o ID do caso e o nome da pesquisa que foi criado. |
| Conjunto de revisões adicionado | ReviewSetAdded | O usuário criou um conjunto de revisão. |
| Foi adicionada a pesquisa guardada para um conjunto de revisões | ReviewSetSavedSearchAdded | O utilizador criou filtros guardados num conjunto de revisão. A atividade de auditoria inclui o nome do conjunto de revisões, o nome dos filtros guardados e a consulta utilizada. |
| Modelo de etiqueta adicionado | TagTemplateAdded | O utilizador criou um modelo de etiqueta nas definições de Deteção de Dados Eletrónicos. |
| Vista de exemplo cancelada | SampleViewCancelled | Vista de exemplo cancelada pelo utilizador. A atividade de auditoria inclui o nome, o ID, a consulta e as definições associadas da pesquisa cancelada. |
| Vista de estatísticas canceladas | StatisticsViewCancelled | Vista de estatísticas canceladas pelo utilizador. A atividade de auditoria inclui o nome, o ID, a consulta e as definições associadas da pesquisa cancelada. |
| Caso de Deteção de Dados Eletrónicos alterado | Maiúsculas/Minúsculas | Foi atualizado um caso de Deteção de Dados Eletrónicos. |
| Suspensão alterada no caso de Deteção de Dados Eletrónicos | Suspondida | A suspensão foi modificada ou editada. Esta atividade de auditoria inclui o nome de suspensão, o ID e as origens de dados específicas e os valores de consulta que foram modificados. |
| Caso de Deteção de Dados Eletrónicos fechado | CaseClosed | Um caso de Deteção de Dados Eletrónicos foi encerrado. |
| Conjunto de revisão copiado | ReviewSetCopied | O utilizador aciona o processo "Adicionar a outro conjunto de revisões". |
| Caso de Deteção de Dados Eletrónicos criado | CaseAdded | Foi adicionado um novo caso de Deteção de Dados Eletrónicos. |
| Suspensão criada no caso de Deteção de Dados Eletrónicos | HoldCreated | Foi criada uma nova suspensão. Esta atividade de auditoria inclui o nome do caso, o ID do caso e o nome de suspensão que foi criado. |
| Caso de Deteção de Dados Eletrónicos eliminado | CaseRemoved | Foi eliminado um caso de Deteção de Dados Eletrónicos. Tem de remover qualquer suspensão associada ao caso antes de poder eliminar o caso. |
| Ficheiro eliminado para pesquisa do Purview | PurviewSearchDeleteFile | O utilizador eliminou um ficheiro de uma pesquisa. Esta atividade de auditoria inclui o nome do caso, o ID do caso, o nome da pesquisa, o ID de pesquisa e o ID do ficheiro que o utilizador eliminou. |
| Suspensão eliminada no caso de Deteção de Dados Eletrónicos | HoldRemoved | Foi eliminada uma suspensão associada a um caso de Deteção de Dados Eletrónicos. Eliminar uma suspensão liberta todas as localizações de conteúdo da suspensão. |
| Pesquisa do Purview eliminada | PurviewSearchDeleted | Uma pesquisa foi eliminada. Esta atividade inclui o nome do caso eliminado, o ID do caso e o nome da pesquisa. |
| Tarefa de exportação do Purview Search eliminada | PurviewSearchExportJobDeleted | Uma exportação da pesquisa foi eliminada. Esta atividade inclui o nome de exportação eliminado, as informações do caso em que a exportação está incluída, o utilizador e o carimbo de data/hora de eliminação. |
| Favorito removido | FavoritoRemoved | O utilizador removeu um caso dos favoritos. |
| Pesquisa guardada removida de um conjunto de revisões | ReviewSetSavedSearchRemoved | O utilizador eliminou filtros guardados num conjunto de revisão. |
| Modelo de etiqueta removido | TagTemplateRemoved | O utilizador removeu um modelo de etiqueta nas definições de Deteção de Dados Eletrónicos. A atividade de auditoria inclui o nome e o ID de objeto do modelo de etiqueta removido. |
| Incidente de Deteção de Dados Eletrónicos reaberto | CaseReopened | Um caso de Deteção de Dados Eletrónicos foi reaberto. |
| Sincronização de distribuição repetida para suspensão | HoldRetryDistributionSync | O utilizador acionou a "política de repetição" numa suspensão. |
| Ações obtidas para todos os conjuntos de revisão | GetActionsForAllReviewSets | O utilizador viu uma lista de ações associadas a todos os conjuntos de revisão num caso |
| Obtenção de toda a ação para suspensão | GetActionsForAllHolds | O utilizador viu uma lista de ações associadas a todas as suspensões num caso. A atividade de auditoria inclui o nome do caso, o ID, o nome da suspensão, o ID e o nome da lista de ações. |
| Obtenção de toda a ação para pesquisa | GetActionsForSearch | O utilizador viu uma lista de ações (como exportações) associadas a uma pesquisa. A atividade de auditoria inclui o nome do caso, o ID, o nome da pesquisa, o ID e o nome da lista de ações. |
| Obtenção de todas as ações para todas as exportações | GetActionsForAllExports | O utilizador viu uma lista de exportações num caso. A atividade de auditoria inclui o nome do caso, o ID, as definições de casos e a lista de nomes de exportação visualizados. |
| Obtenção de todas as ações para o caso | GetActionsForCase | O utilizador viu uma lista de ações (como exportações) associadas a um caso de Deteção de Dados Eletrónicos. |
| Obtenção de todas as ações para suspensão | GetActionsForHold | O utilizador viu uma lista de ações associadas a uma suspensão. |
| Obtenção de todas as ações para o conjunto de revisões | GetActionsForReviewSet | O utilizador viu uma lista de ações (como exportações) associadas a um conjunto de revisões. A atividade de auditoria inclui o nome do caso, o ID, o nome do conjunto de revisões, o ID e o nome da lista de ações. |
| Ação única obtida para o caso | GetSingleActionForCase | O utilizador viu uma única ação associada a um caso de Deteção de Dados Eletrónicos. Por exemplo, o utilizador viu o processo de exportação no gestor de processos. A atividade de auditoria inclui o nome do caso, o ID e as definições e o ID associados ao processo. |
| Ação única obtida para suspensão | GetSingleActionForHold | O utilizador viu uma única ação associada a uma suspensão. |
| Ação única obtida para o conjunto de revisão | GetSingleActionForReviewSet | O utilizador viu uma única ação associada a um conjunto de revisões. |
| Ação única obtida para pesquisa | GetSingleActionForSearch | O utilizador viu uma única ação associada a uma pesquisa. Por exemplo, o utilizador viu o processo de exportação no gestor de processos da pesquisa. A atividade de auditoria inclui o nome do caso, o ID e as definições e o ID associados ao processo. |
| Nova tarefa algo submetida | AlgoJobSubmitted | O utilizador executou análises nos documentos num conjunto de revisão. |
| Novo trabalho de gravação submetido | BurnJobSubmitted | O usuário converteu todos os documentos redigidos em uma revisão definida como arquivos PDF. |
| A pesquisa do Purview submetida é adicionada para rever a tarefa de conjunto | PurviewSearchAddToReviewSetJobSubmitted | O utilizador acionou um processo "adicionar ao conjunto de revisão" a partir de uma pesquisa. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta que foram associados à pesquisa. Também inclui a adição relevante para rever as definições do processo de conjunto utilizadas. |
| Tarefa de exportação de pesquisa do Purview submetida | PurviewSearchExportJobSubmitted | O utilizador acionou um processo de "exportação" a partir de uma pesquisa. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta que foram associados à pesquisa. Também inclui as definições relevantes do processo de exportação utilizadas e o nome da exportação. |
| Tarefa de exemplo de pesquisa do Purview submetida | PurviewSearchSampleJobSubmitted | O utilizador acionou um processo de "gerar exemplo" a partir de uma pesquisa. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta que foram associados à pesquisa. Também inclui definições de processo de exemplo relevantes utilizadas. |
| Tarefa de estatísticas de pesquisa do Purview submetida | PurviewSearchStatisticsJobSubmitted | O utilizador acionou um processo de "gerar estatísticas" a partir de uma pesquisa. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta que foram associados à pesquisa. Também inclui definições de processo de estatísticas relevantes utilizadas. |
| Tarefa de exportação do conjunto de revisão submetida | ReviewSetExportJobSubmitted | Documentos exportados do conjunto de revisão. Esta atividade de auditoria inclui o nome do conjunto de revisão, a lista de IDs de documentos que estão a ser exportados e as definições relevantes do processo de exportação. |
| Documentos etiquetados por ID para um conjunto de revisão | ReviewSetDocumentsTaggedById | O utilizador aplicou etiquetas a documentos específicos num conjunto de revisão. A atividade de auditoria inclui o nome do caso, o nome do conjunto de revisões e a lista de itens que estão a ser etiquetados. |
| Documentos etiquetados por consulta para um conjunto de revisão | ReviewSetDocumentsTaggedByQuery | O utilizador aplicou etiquetas a documentos específicos num conjunto de revisão após filtrar por consulta. A atividade de auditoria inclui o nome do caso, o nome do conjunto de revisões e a lista de itens que estão a ser etiquetados. |
| Membros do caso atualizados | CaseMembersUpdated | A associação a um caso foi atualizada. Como membro de um caso, um utilizador pode efetuar várias tarefas relacionadas com casos, consoante lhes sejam atribuídas as permissões necessárias. |
| Definições de casos atualizadas | CaseSettingsUpdated | O usuário modifica as configurações de uma ocorrência. As definições de casos incluem informações de casos, acesso a funcionalidades premium, permissões de casos e definições que controlam o comportamento da pesquisa e análise. |
| Notas atualizadas para um conjunto de revisão | ReviewSetNotesUpdated | Nota atualizada do utilizador para um documento do conjunto de revisões. |
| Pesquisa atualizada do Purview | PurviewSearchUpdated | A pesquisa foi modificada ou editada. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta que foram modificados. |
| Conjunto de revisões atualizado | ReviewSetUpdated | O utilizador atualizou o conjunto de revisões, como o nome e a descrição do conjunto de revisões. |
| Anotação atualizada do conjunto de revisões | ReviewSetAnnotationsUpdated | O usuário anota um documento em um conjunto de revisão. Esta atividade de auditoria inclui o nome do conjunto de revisão e outras informações, como o ID do documento anotado. |
| Pesquisa guardada atualizada para um conjunto de revisão | ReviewSetSavedSearchUpdated | O utilizador modificou os filtros guardados num conjunto de revisão. A atividade de auditoria inclui o nome do conjunto de revisões, o nome dos filtros guardados e a consulta utilizada. |
| Modelo de etiqueta atualizado | TagTemplateUpdated | O utilizador atualizou um modelo de etiqueta nas definições de Deteção de Dados Eletrónicos. A atividade de auditoria inclui o nome e o ID de objeto do modelo de etiqueta atualizado. |
| Etiquetas atualizadas | TagsUpdated | O utilizador atualizou as etiquetas do conjunto de revisões num caso. |
| Etiquetas atualizadas para um modelo de etiqueta | TagTemplateTagsUpdated | Etiquetas atualizadas pelo utilizador para um modelo de etiqueta. A atividade de auditoria inclui o nome e o ID das etiquetas de modelo de etiquetas atualizadas. |
| Definições de inquilino atualizadas | TenantSettingsUpdated | O utilizador atualizou as definições da organização da Deteção de Dados Eletrónicos. |
| Ficheiro carregado para pesquisa do Purview | PurviewSearchUploadFile | O utilizador carregou um ficheiro para pesquisa por ficheiro. Esta atividade de auditoria inclui o nome do caso, o ID do caso, o nome da pesquisa, o ID de pesquisa e o nome do ficheiro que o utilizador carregou. |
| Relatório de anexos de conjuntos de revisão de análise visualizada | AlgoGetReviewSetAttachmentsReport | Relatório de anexos de análise visualizado pelo utilizador. Esta atividade de auditoria inclui o nome e o ID do conjunto de casos e revisões. |
| Relatório de documentos do conjunto de revisão de análise visualizada | AlgoGetReviewSetDocumentsReport | Relatório de documento de análise visualizado pelo utilizador. |
| Relatório de e-mail do conjunto de revisão de análise visualizada | AlgoGetReviewSetEmailsReport | Relatório de e-mail de análise visualizado pelo utilizador. |
| Relatório do conjunto de revisões de análise visualizado | AlgoGetReviewSetReport | Relatório de análise visualizado pelo utilizador num conjunto de revisões. Esta atividade de auditoria inclui o nome e o ID do conjunto de casos e revisões, bem como o tipo de relatório. |
| Relatório do conjunto de revisão de análise visualizada por tipo de ficheiro | AlgoGetReviewSetReportByFileType | Gráfico de relatório de análise visualizado pelo utilizador por tipo de ficheiro. |
| Relatório do conjunto de análise de análise visualizada por origem | AlgoGetReviewSetReportBySource | Documento de análise visualizado pelo utilizador por origem. Esta atividade de auditoria inclui o nome e o ID do conjunto de casos e revisões. |
| Metadados de casos visualizados | CaseMetadataViewed | Foram visualizados metadados sobre um caso de Deteção de Dados Eletrónicos. |
| Definições de maiúsculas/minúsculas visualizadas | CaseSettingsViewed | O utilizador viu as definições de um caso. As definições de casos incluem informações de casos, acesso a funcionalidades premium, permissões de casos e definições que controlam o comportamento da pesquisa e análise. |
| Erros de processamento de dados visualizados para um conjunto de revisão | ReviewSetDataProcessingErrorViewed | O utilizador viu erros de processamento num conjunto de revisão. |
| Definições de maiúsculas/minúsculas predefinidas visualizadas | CaseSettingsDefaultViewed | Predefinição de maiúsculas/minúsculas visualizada. |
| Caso de Deteção de Dados Eletrónicos Visualizado | CaseViewed | Um utilizador viu um caso de Deteção de Dados Eletrónicos no portal do Microsoft Purview. O registo de auditoria deste evento inclui o nome, as definições de caso e o ID do caso que foi visualizado. |
| Lista de casos de Deteção de Dados Eletrónicos visualizada | CaseListViewed | Esta atividade é registada quando um utilizador visualiza uma lista de casos de Deteção de Dados Eletrónicos. O registo de auditoria inclui o nome e o ID dos casos que foram visualizados na lista de casos. |
| Lista de favoritos visualizada | Lista De FavoritosVered | O utilizador viu uma lista de casos favoritos. |
| Suspensão visualizada | HoldViewed | O utilizador viu uma suspensão dentro de um caso. Esta atividade de auditoria inclui o nome de suspensão e o ID que o utilizador viu. Também inclui as origens de dados específicas e os valores de consulta dentro da suspensão que foi visualizada pelo utilizador. |
| Lista de suspensão visualizada | HoldListViewed | O utilizador viu a lista de suspensões dentro de um caso. Esta atividade de auditoria inclui o nome do caso, o ID do caso e a lista de contém o nome e o ID que o utilizador viu. |
| Resultados de suspensão visualizados | HoldResultsViewed | O utilizador viu os resultados da suspensão. A atividade de auditoria inclui o nome do caso, o ID do caso, o nome da suspensão e o ID de retenção. |
| Status de suspensão visualizada | HoldStatusViewed | Status da suspensão visualizada pelo utilizador. A atividade de auditoria inclui o nome do caso, o ID do caso, o nome da suspensão e o ID de retenção. |
| Visualizado se as definições de análise forem alteradas | AlgoIsSettingChanged | Esta atividade de auditoria inclui o nome e o ID do conjunto de casos e revisões. |
| Contagem de carga visualizada no caso de | LoadCountInCaseViewed | O utilizador viu a contagem de conjuntos de carga num caso. |
| Lista de carga visualizada | LoadListViewed | O utilizador viu uma lista de conjuntos de carga no conjunto de revisão. |
| Pesquisa do Purview visualizada | PurviewSearchViewed | O utilizador viu uma pesquisa específica. Esta atividade de auditoria inclui o nome da pesquisa, o ID e as origens de dados específicas e os valores de consulta dentro da pesquisa que foi visualizada pelo utilizador. |
| Lista de pesquisa do Purview visualizada | PurviewSearchListViewed | O utilizador viu a lista de pesquisas dentro de um caso. Esta atividade de auditoria inclui o nome do caso, o ID do caso e a lista de nomes de pesquisas e ID que o utilizador viu. |
| Relatório de consulta visualizado para um conjunto de revisões | ReviewSetQueryReportViewed | Relatório de consulta visualizado pelo utilizador dentro de um conjunto de revisões. |
| Documento do conjunto de revisões visualizado | ReviewSetDocumentViewed | O utilizador viu um documento dentro de um conjunto de revisões. Esta atividade de auditoria inclui o nome do caso, o ID do caso, o nome do conjunto de revisões, o ID do conjunto de revisões e outras informações, como o ID do documento visualizado. |
| Lista de conjuntos de revisões visualizados | ReviewSetListViewed | O utilizador viu a lista de conjuntos de revisão num caso. |
| Resumo do conjunto de revisões visualizado | ReviewSetSummaryViewed | O utilizador viu a Descrição geral de um conjunto de Revisão. |
| Resultados de exemplo visualizados | SampleResultsViewed | Vista do utilizador da vista de resultados de exemplo de pesquisa. |
| Status de exemplo visualizado | SampleStatusViewed | Status da vista de exemplo de pesquisa visualizada pelo utilizador. A atividade de auditoria inclui o nome, o ID, a consulta e as definições associadas da pesquisa. |
| Lista de pesquisa guardada visualizada para um conjunto de revisões | ReviewSetSavedSearchListViewed | O utilizador viu uma lista de filtros guardados num conjunto de revisão. A atividade de auditoria inclui o nome do conjunto de revisões e o nome da lista de filtros guardados visualizados. |
| Contagem de pesquisa visualizada para um conjunto de revisões | ReviewSetSearchCountViewed | O utilizador executou uma pesquisa num conjunto de revisão e viu a contagem devolvida. A atividade de auditoria inclui o nome do caso, o nome do conjunto de revisões e a contagem de itens devolvidos nos resultados da pesquisa. |
| Opções de pesquisa visualizadas para um conjunto de revisões | ReviewSetSearchOptionsViewed | O utilizador viu as definições de um conjunto de revisões. A atividade de auditoria inclui o nome do caso e o nome do conjunto de revisão. |
| Resultados de pesquisa visualizados para um conjunto de revisão | ReviewSetSearchRun | O utilizador executou uma pesquisa num conjunto de revisão. A atividade de auditoria inclui o nome do caso, o nome do conjunto de revisões e a lista de itens devolvidos nos resultados da pesquisa. |
| Resultados das estatísticas visualizadas | StatisticsResultsViewed | Resultados das estatísticas de pesquisa visualizadas pelo utilizador. |
| Estatísticas visualizadas status | StatisticsStatusViewed | Status da vista estatística de pesquisa visualizada pelo utilizador. A atividade de auditoria inclui o nome, o ID, a consulta e as definições associadas da pesquisa. |
| Lista de modelos de etiquetas visualizadas | TagTemplateListViewed | O utilizador viu a lista de modelos de etiquetas nas definições de Deteção de Dados Eletrónicos. A atividade de auditoria inclui a lista de modelos de etiquetas visualizados. |
| Etiquetas visualizadas | TagsViewed | O utilizador viu etiquetas de conjunto de revisão num caso. |
| Etiquetas visualizadas para um modelo de etiqueta | TagTemplateTagsViewed | Etiquetas visualizadas pelo utilizador para um modelo de etiqueta. A atividade de auditoria inclui o nome e o ID das etiquetas de modelo de etiquetas visualizadas. |
| Definições de inquilino visualizadas | TenantSettingsViewed | O utilizador viu as definições da organização da Deteção de Dados Eletrónicos. A atividade de auditoria contém informações sobre os valores de definição. |
Propriedades detalhadas para atividades de Deteção de Dados Eletrónicos
A tabela seguinte descreve as propriedades que estão incluídas na página de lista de opções para uma atividade de Deteção de Dados Eletrónicos listada nos resultados da pesquisa. Estas propriedades também estão incluídas no ficheiro CSV quando exporta os resultados da pesquisa do registo de auditoria. Um registo de auditoria para uma atividade de Deteção de Dados Eletrónicos não inclui todas as propriedades detalhadas listadas na tabela seguinte.
Dica
Ao exportar os resultados da pesquisa, o ficheiro CSV contém uma coluna com o nome AudtiData, que contém as propriedades detalhadas descritas na tabela seguinte numa propriedade de valores múltiplos. Pode utilizar a funcionalidade Power Query no Excel para dividir esta coluna em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Esta configuração permite-lhe ordenar e filtrar uma ou mais destas propriedades. Para obter mais informações, veja Pesquisar o registo de auditoria.
| Propriedade | Descrição |
|---|---|
| CaseId | A identidade (GUID) do caso de Deteção de Dados Eletrónicos criado, alterado ou eliminado. |
| CaseName | O nome do caso de Deteção de Dados Eletrónicos criado, alterado ou eliminado. |
| ClientApplication | As atividades de cmdlets de Deteção de Dados Eletrónicos têm um valor de EMC para esta propriedade. Este valor indica que a atividade foi efetuada através da GUI do portal do Microsoft Purview ou da execução do cmdlet no PowerShell. |
| ClientIP | O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. |
| ClientRequestId | Para atividades de Deteção de Dados Eletrónicos, esta propriedade está normalmente em branco. |
| CmdletVersion | O número de compilação da versão do portal do Microsoft Purview em execução na sua organização. |
| CreationTime | A data e hora de criação na Hora Universal Coordenada (UTC) para a atividade. |
| DataSources | Uma lista do ID de origem, do nome de origem e dos detalhes de localização associados à atividade. |
| EffectiveOrganization | O nome da organização do Microsoft 365. |
| ExportName | Nome da exportação da Deteção de Dados Eletrónicos. |
| ExtendedProperties | Propriedades adicionais relacionadas com a atividade de Deteção de Dados Eletrónicos. Por exemplo, quando os membros do caso são atualizados, este campo contém as informações atualizadas do membro do caso; ou quando a descrição do conjunto de revisões é atualizada, este campo contém a descrição atualizada do conjunto de revisões atualizada pelo utilizador. |
| ID | O ID da entrada do relatório. O ID identifica exclusivamente a entrada do registo de auditoria. |
| Item | O nome do item associado à atividade. Por exemplo, este campo contém o nome do documento visualizado quando um utilizador vê um documento de conjunto de revisão. |
| JobId | O GUID do processo de Deteção de Dados Eletrónicos. |
| ObjectId | O GUID do objeto (por exemplo, um conjunto de pesquisa, suspensão ou revisão) criado, acedido ou alterado pela atividade listada na propriedade Operação . |
| ObjectName | O nome do objeto (por exemplo, um conjunto de pesquisa, suspensão ou revisão) criado, acedido ou alterado pela atividade listada na propriedade Operação. |
| ObjectType | O tipo de objeto de Deteção de Dados Eletrónicos criado, eliminado ou modificado. Por exemplo, uma ação de pesquisa (gerar resultados de exemplo ou acionar uma exportação da pesquisa) está listada como Pesquisa neste campo. |
| Operação | O nome da operação que corresponde à atividade de Deteção de Dados Eletrónicos que foi executada. |
| OrganizationId | O GUID da sua organização do Microsoft 365. |
| QueryFiles | O nome do ficheiro de entrada utilizado para gerar a consulta. Esta propriedade é específica para a pesquisa por gesto de ficheiro. |
| QueryId | O GUID da consulta associada à atividade. |
| QueryText | O texto de consulta associado à atividade, como um processo de estatística de pesquisa ou adicionar para rever o processo. |
| RecordType | O tipo de operação indicado pelo registro. |
| ResultStatus | Se a ação (especificada na propriedade Operação) tiver sido ou não bem-sucedida. |
| Configurações | Definições aplicadas à atividade de Deteção de Dados Eletrónicos. |
| StartTime | A data e hora na Hora Universal Coordenada (UTC) em que a atividade de Deteção de Dados Eletrónicos foi iniciada. |
| UserCancelled | Se a atividade específica foi cancelada pelo utilizador. |
| UserId | O utilizador que efetuou a atividade (especificada na propriedade Operação) que resultou na sessão do registo. |
| UserKey | Uma ID alternativa para o usuário identificado na propriedade UserId. Para atividades de Deteção de Dados Eletrónicos, o valor desta propriedade é normalmente o mesmo que a propriedade UserId. |
| UserServicePlan | A subscrição utilizada pela sua organização. Para atividades de Deteção de Dados Eletrónicos, esta propriedade está normalmente em branco. |
| UserType | O tipo de usuário que executou a operação. Os seguintes valores indicam o tipo de utilizador. 0 Um utilizador normal. 2 Um administrador na sua organização. 3 Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft. 4 Uma conta de sistema. 5 Uma aplicação. 6 Um principal de serviço. |
| Versão | O número da versão da atividade (identificado pela propriedade Operação) que é registada. |
| Workload | O serviço onde ocorreu a atividade. |
Atividades do portal de mensagens criptografadas
A sua organização pode aceder aos registos de mensagens encriptadas através do portal de mensagens encriptadas. Estes registos ajudam-no a determinar quando os destinatários externos leem e reencaminham mensagens. Para obter mais informações sobre como habilitar e usar logs de atividades do portal de mensagens criptografadas, consulte Log de atividades do portal de mensagens criptografadas.
Cada entrada de auditoria de uma mensagem controlada contém os seguintes campos:
- MessageID: contém o ID da mensagem que está a ser controlada. O identificador de chave utilizado para seguir uma mensagem através do sistema.
- Destinatário: lista de todos os endereços de e-mail de destinatários.
- Remetente: o endereço de e-mail de origem.
- AuthenticationMethod: descreve o método de autenticação para aceder à mensagem, como OTP, Yahoo, Gmail ou Microsoft.
- AuthenticationStatus: contém um valor que indica que a autenticação foi bem-sucedida ou falhou.
- OperationStatus: se a operação indicada foi bem-sucedida ou falhou.
- AttachmentName: nome do anexo.
- OperationProperties: uma lista de propriedades opcionais. Por exemplo, o número de códigos de acesso OTP enviados ou o assunto do e-mail.
Atividades de administradores do Exchange
O registo de auditoria do administrador do Exchange (que está ativado por predefinição no Microsoft 365) regista um evento no registo de auditoria quando um administrador (ou permissões administrativas atribuídas por um utilizador) faz uma alteração na sua organização Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet no PowerShell do Exchange Online são registradas no log de auditoria de administradores do Exchange. Os cmdlets que começam com os verbos Get-, Search-, ou Test- não são registados no registo de auditoria. Para obter informações mais detalhadas sobre o log de auditoria de administradores do Exchange, confira Log de auditoria de administradores.
Importante
Alguns cmdlets Exchange Online não são registados no registo de auditoria do administrador do Exchange (ou no registo de auditoria). Muitos destes cmdlets estão relacionados com a manutenção do serviço Exchange Online e são executados por contas de serviço ou pessoal do datacenter da Microsoft. Esses cmdlets não são registrados porque resultariam em um grande número de eventos de auditoria "ruidosa". Se existir um cmdlet Exchange Online que não está a ser auditado, submeta um pedido de alteração de design (DCR) para Suporte da Microsoft.
Aqui estão algumas dicas para pesquisar atividades de administração do Exchange ao pesquisar o log de auditoria:
- Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa para cmdlets executados por um administrador específico do Exchange dentro de um intervalo de datas específico.
- Para apresentar eventos do registo de auditoria de administrador do Exchange, selecione a coluna Atividade para ordenar os nomes dos cmdlets por ordem alfabética.
- Para obter informações sobre qual cmdlet foi executado, quais parâmetros e valores de parâmetros foram usados e quais objetos foram afetados, você pode exportar os resultados da pesquisa selecionando a opção Baixar todos os resultados. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.
- Você também pode usar o comando
Search-UnifiedAuditLog -RecordType ExchangeAdminno PowerShell do Exchange Online para retornar somente registros de auditoria do log de auditoria de administradores do Exchange. Pode demorar até 30 minutos após a execução de um cmdlet do Exchange para que a entrada de registo de auditoria correspondente seja devolvida nos resultados da pesquisa. Para saber mais, confira Search-UnifiedAuditLog. Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.
Atividades de caixa de correio do Exchange
A tabela seguinte lista as atividades registadas no registo de auditoria do Microsoft 365. O registo de auditoria da caixa de correio regista automaticamente as atividades da caixa de correio executadas pelo proprietário da caixa de correio, um utilizador delegado ou um administrador no registo de auditoria durante um máximo de 180 dias. Um administrador pode desativar o registo de auditoria de caixa de correio para todos os utilizadores na sua organização. Nesse caso, nenhuma ação da caixa de correio do usuário será registrada. Para saber mais, consulte Gerenciar a auditoria da caixa de correio.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Também pode procurar atividades de caixa de correio com o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Anexos de caixa de correio acedidos | AttachmentAccess | Foi acedido um anexo de mensagem. |
| Itens de caixa de correio acessados | MailItemsAccessed | As mensagens foram lidas ou acessadas na caixa de correio. Os registros de auditoria dessa atividade são disparados de duas maneiras: quando um cliente de e-mail (como o Outlook) executa uma operação de vinculação em mensagens ou quando os protocolos de e-mail (como o Exchange ActiveSync ou IMAP) sincronizam em uma pasta de e-mail. A análise de registros de auditoria dessa atividade é útil ao investigar uma conta de e-mail comprometida. |
| Mensagem acedida | MessageBind | Uma mensagem foi visualizada no painel de pré-visualização ou aberta por um administrador. Este valor só está disponível para utilizadores sem licenças E5/A5/G5. |
| Permissões de caixa de correio delegada adicionadas | Add-MailboxPermission | Um administrador atribuiu a um usuário (conhecido como um representante) a permissão da caixa de correio FullAccess para a caixa de correio de outra pessoa. A permissão FullAccess permite que o representante abra a caixa de correio de outra pessoa e leia e gerencie o conteúdo da caixa de correio. O registro de auditoria desta atividade também é gerado quando uma conta do sistema no serviço do Microsoft 365 executa periodicamente tarefas de manutenção em nome da organização. Uma tarefa comum executada por uma conta do sistema é atualizar as permissões para caixas de correio do sistema. Para obter mais informações, confira Contas do sistema em registros de auditoria de caixa de correio do Exchange. |
| Adicionado ou removido usuário com acesso delegado à pasta de calendário | UpdateCalendarDelegation | Um usuário foi adicionado ou removido como um representante para o calendário da caixa de correio de outro usuário. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio. |
| Permissões adicionadas à pasta | AddFolderPermissions | Uma permissão da pasta foi adicionada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. |
| Mensagens copiadas para outra pasta | Copiar | Uma mensagem foi copiada para outra pasta. |
| Criação de item de caixa de correio | Criar | Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada. |
| Criada nova regra da caixa de entrada do Outlook Web App | New-InboxRule | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio criou uma regra da caixa de entrada do Outlook Web App. |
| Eliminar item de etiqueta de limpeza de prioridade | PriorityCleanupDelete | O item com uma etiqueta do tipo Limpeza prioritária está a ser eliminado. |
| Mensagens excluídas da pasta Itens Excluídos | SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Esses itens são movidos para a pasta Itens Recuperáveis. As mensagens também são movidas para a pasta Itens Recuperáveis quando um usuário as seleciona e pressiona Shift+Delete. |
| Etiquetar a mensagem como um registro | Um usuário aplicou um rótulo de retenção a uma mensagem de e-mail, e essa etiqueta é configurada para marcar o item como um registro. | |
| Item etiquetado como um registo | AplicarRegisto | Um item é identificado como um registo. |
| Mensagem rotulada como um registro | ApplyRecordLabel | Uma mensagem foi classificada como um registro. Ocorre quando uma etiqueta de retenção que classifica o conteúdo como um registo é aplicada manual ou automaticamente a uma mensagem. |
| Permissão de pasta modificada | ModifyFolderPermissions | Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da organização podem acessar as pastas de uma caixa de correio e as mensagens incluídas nessas pastas. |
| Modificada regra de caixa de entrada do Outlook Web App | Set-InboxRule | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada usando o Outlook Web App. |
| Mensagens movidas para outra pasta | Mover | Uma mensagem foi movida para outra pasta. |
| Mensagens movidas para a pasta Itens Excluídos | MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. |
| Executar consulta de pesquisa | SharepointSearchQueryInitiated | O utilizador efetua uma pesquisa no SharePoint. |
| Preservar item da Caixa de Correio | PreservedMailItemProactively | O item de correio é preservado proativamente. A preservação proativa é uma funcionalidade de Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview (DLM), em que os e-mails eliminados por utilizadores de risco no inquilino são preservados no contentor de lixo. |
| Etiqueta de limpeza de prioridade aplicada | ApplyPriorityCleanup | A etiqueta Limpeza da Prioridade é aplicada a um item. |
| Mensagens limpas da caixa de correio | HardDelete | Uma mensagem foi limpa da pasta Itens Recuperáveis (permanentemente excluída da caixa de correio). |
| Permissões de caixa de correio do representante removidas | Remove-MailboxPermission | Um administrador removeu a permissão FullAccess (que foi atribuída a um representante) da caixa de correio de uma pessoa. Depois que a permissão FullAccess for removida, o representante não pode abrir a caixa de correio de outra pessoa ou acessar nenhum conteúdo dela. |
| Permissões removidas da pasta | RemoveFolderPermissions | Uma permissão da pasta foi removida. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. |
| Procurar itens numa caixa de correio | SearchQueryInitiated | Uma pessoa utiliza o Outlook (Windows, Mac, iOS, Android ou Outlook na Web) ou a aplicação Correio para Windows 10 para procurar itens numa caixa de correio. |
| Mensagem enviada | Enviar | Uma mensagem foi enviada, respondida ou reencaminhada. |
| Mensagem enviada com permissões Enviar Como | SendAs | Uma mensagem foi enviada usando a permissão SendAs. Isto significa que outro usuário enviou a mensagem como se ela tivesse vindo do proprietário da caixa de correio. |
| Mensagem enviada com permissões Enviar em Nome de | SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. Isto significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem para o destinatário a quem a mensagem foi enviada em nome de e quem realmente enviou a mensagem. |
| Atualizar etiqueta do item | UpdateComplianceTag | Quando a etiqueta é aplicada a um item. |
| Regras atualizadas da caixa de entrada do cliente do Outlook | UpdateInboxRules | Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada no cliente do Outlook. |
| Mensagem atualizada | Atualizar | Uma mensagem ou suas propriedades foram alteradas. |
| Usuário entrou na caixa de correio | MailboxLogin | O usuário entrou em sua caixa de correio. |
| Pasta caixa de correio acedida | PastaBind | Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio. Os registos de auditoria das ações de enlace de pastas executadas pelos delegados são consolidados. É gerado um registo de auditoria para acesso a pastas individuais num período de 24 horas. |
Contas do sistema em registros de auditoria de caixa de correio do Exchange
Nos registos de auditoria de algumas atividades da caixa de correio (especialmente Add-MailboxPermissions), poderá reparar que o utilizador que efetuou a atividade (e está identificado nos campos User e UserId) é NT AUTHORITY\SYSTEM ou NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Esta conta de sistema no serviço Exchange na cloud da Microsoft executa tarefas de manutenção agendadas em nome da sua organização. Por exemplo, uma atividade auditada comum realizada pela conta NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) está a atualizar as permissões na DiscoverySearchMailbox, que é uma caixa de correio do sistema. O objetivo dessa atualização é verificar se a permissão FullAccess (que é o padrão) é atribuída ao grupo de função do Gerenciamento de Descoberta para o DiscoverySearchMailbox. Esta atualização garante que os administradores de Deteção de Dados Eletrónicos podem realizar as tarefas necessárias na organização.
Outra conta de utilizador do sistema que pode ser identificada num registo de auditoria para Add-MailboxPermission é Administrator@apcprd03.prod.outlook.com. Esta conta de serviço também está incluída nos registos de auditoria da caixa de correio relacionados com a verificação e atualização da permissão FullAccess atribuída ao grupo de funções Gestão de Deteção da caixa de correio do sistema DiscoverySearchMailbox. Especificamente, os registos de auditoria que identificam a Administrator@apcprd03.prod.outlook.com conta são normalmente acionados quando o pessoal de suporte da Microsoft executa uma ferramenta de diagnóstico de controlo de acesso baseado em funções em nome da sua organização.
Atividades de arquivo e página
A tabela seguinte descreve as atividades de ficheiros e páginas no SharePoint e no OneDrive que o registo de auditoria do Microsoft 365 regista.
| Nome amigável | Operação | Descrição |
|---|---|---|
| (nenhuma) | FileAccessedExtended | Esta atividade está relacionada com a atividade "Ficheiro acedido" (FileAccessed). Um evento FileAccessedExtended é registado quando a mesma pessoa acede continuamente a um ficheiro durante um período prolongado (até três horas). O propósito de registrar eventos FileAccessedExtended em log é reduzir o número de eventos FileAccessed registrados quando um arquivo é acessado continuamente. Esta abordagem ajuda a reduzir o ruído de vários registos FileAccessed para o que é essencialmente a mesma atividade de utilizador e permite-lhe concentrar-se no evento FileAccessed inicial (e mais importante). |
| (nenhum) | FileModifiedExtended | Esta atividade está relacionada com a atividade "Ficheiro modificado" (FileModified). Um evento FileModifiedExtended é registado quando a mesma pessoa modifica continuamente um ficheiro durante um período prolongado (até três horas). O propósito de registrar eventos FileModifiedExtended em log é reduzir o número de eventos FileModified registrados quando um arquivo é modificado continuamente. Esta abordagem ajuda a reduzir o ruído de vários registos FileModified para aquilo que é essencialmente a mesma atividade de utilizador e permite-lhe concentrar-se no evento FileModified inicial (e mais importante). |
| (nenhum) | FilePreviewed | O utilizador pré-visualiza ficheiros num site do SharePoint ou do OneDrive. Esses eventos geralmente ocorrem em grandes volumes com base em uma única atividade, como a exibição de uma galeria de imagens. |
| (nenhum) | PagePrefetched | O cliente de um utilizador (como o site ou a aplicação móvel) solicita a página indicada para ajudar a melhorar o desempenho se o utilizador navegar para a mesma. Este evento é registado para indicar que o conteúdo da página é servido ao cliente do utilizador. Esse evento não é um indício definitivo de que o usuário navegou pela página. Quando o cliente compõe o conteúdo da página (de acordo com o pedido do utilizador), deverá gerar um evento ClientViewSignaled. Nem todos os clientes suportam a indicação de um pré-bloqueio e, por conseguinte, algumas atividades pré-selecionadas podem, em vez disso, ser registadas como eventos PageViewed. |
| (nenhum) | PageViewedExtended | Esta atividade está relacionada com a atividade "Página visualizada" (PageViewed). Um evento PageViewedExtended é registado quando a mesma pessoa vê continuamente uma página Web durante um período prolongado (até três horas). O propósito de registrar eventos PageViewedExtended em log é reduzir o número de eventos PageViewed registrados quando uma página é exibida continuamente. Esta abordagem ajuda a reduzir o ruído de vários registos PageViewed para o que é essencialmente a mesma atividade de utilizador e permite-lhe concentrar-se no evento PageViewed inicial (e mais importante). |
| Arquivo acessado | FileAccessed | O usuário ou a conta do sistema acessa um arquivo. Quando um utilizador acede a um ficheiro, o sistema não regista novamente o evento FileAccessed para o mesmo utilizador e ficheiro durante os próximos cinco minutos. |
| Status de registro alterado para bloqueado | LockRecord | O registo status de uma etiqueta de retenção que classifica um documento como um registo está bloqueado. Este status significa que o documento não foi modificado ou eliminado. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento. |
| Status de registro alterado para desbloqueado | UnlockRecord | O registo status de uma etiqueta de retenção que classifica um documento como um registo é desbloqueado. Este status significa que o documento pode ser modificado ou eliminado. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento. |
| Mudança no rótulo de retenção de um arquivo | ComplianceSettingChanged | Uma etiqueta de retenção é aplicada ou removida de um documento. Este evento é acionado quando uma etiqueta de retenção é aplicada manualmente ou automaticamente a uma mensagem. |
| Arquivo com check-in | FileCheckedIn | O usuário faz check-in de um documento que estava em check-out em uma biblioteca de documentos. |
| Arquivo em check-out | FileCheckedOut | O usuário faz check-out de um documento localizado em uma biblioteca de documentos. Os utilizadores podem marcar e efetuar alterações aos documentos que são partilhados com os mesmos. |
| Arquivo copiado | FileCopied | O usuário copia um documento de um site. O arquivo copiado pode ser salvo em outra pasta no site. |
| Arquivo excluído | FileDeleted | O usuário exclui um documento de um site. |
| Arquivo excluído da Lixeira | FileDeletedFirstStageRecycleBin | O usuário exclui um arquivo da lixeira de um site. |
| Arquivo excluído da Lixeira de segundo estágio | FileDeletedSecondStageRecycleBin | O usuário exclui um arquivo da lixeira de segundo estágio de um site. |
| Arquivo excluído marcado como um registro | RecordDelete | Um documento ou e-mail marcado como um registo é eliminado. Um documento é considerado um registro quando o rótulo de retenção, que marca itens como um registro, é aplicado ao conteúdo. |
| Incompatibilidade de confidencialidade em documento detectada | DocumentSensitivityMismatchDetected | O usuário carrega um documento em um site protegido com um rótulo de sensibilidade e o documento possui um rótulo de sensibilidade de prioridade mais alta que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Confidencial é carregado em um site chamado Geral. Esse evento não é acionado se o documento tiver um rótulo de sensibilidade de prioridade mais baixo que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Geral é carregado em um site chamado Confidencial. Para obter mais informações sobre a prioridade dos rótulos de sensibilidade, consulte Prioridade de rótulo (questões do pedido). |
| Malware detectado no arquivo | FileMalwareDetected | O mecanismo de antivírus do SharePoint detecta malwares em um arquivo. |
| Check-out de arquivo descartado | FileCheckOutDiscarded | O utilizador elimina (ou anula) um ficheiro com saída dada. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos. |
| Arquivo baixado | FileDownloaded | O usuário baixa um documento de um site. |
| Arquivo modificado | FileModified | O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento em um site. O sistema aguarda cinco minutos antes de registrar outro evento FileModified quando o mesmo usuário modifica o conteúdo ou as propriedades do mesmo documento. |
| Arquivo movido | FileMoved | O usuário move um documento de sua localização atual em um site até uma nova localização. |
| Consulta de pesquisa realizada | SearchQueryPerformed | A conta de utilizador ou de sistema efetua uma pesquisa no SharePoint ou no OneDrive. Alguns cenários comuns em que uma conta de serviço efetua uma consulta de pesquisa incluem a aplicação de uma deteção de dados eletrónicos e a política de retenção a sites e contas do OneDrive e a aplicação automática de etiquetas de retenção ou confidencialidade ao conteúdo do site. Para ativar o registo para esta atividade, veja Introdução às soluções de auditoria. |
| Um arquivo reciclado | FileRecycled | O usuário move um arquivo para a Lixeira do SharePoint. |
| Uma pasta reciclada | FolderRecycled | O usuário move uma pasta para a Lixeira do SharePoint. |
| Todas as versões secundárias do arquivo foram recicladas | FileVersionsAllMinorsRecycled | O usuário exclui todas as versões secundárias do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site. |
| Todas as versões do arquivo foram recicladas | FileVersionsAllRecycled | O usuário exclui todas as versões do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site. |
| Versão do arquivo reciclada | FileVersionRecycled | O usuário exclui uma versão do histórico de versões de um arquivo. A versão excluída é movida para a lixeira do site. |
| Arquivo renomeado | FileRenamed | O usuário renomeia um documento. |
| Arquivo restaurado | FileRestored | O usuário restaura um documento da lixeira de um site. |
| Arquivo carregado | FileUploaded | O usuário carrega um documento em uma pasta em um site. |
| Exibição sinalizada pelo cliente | ClientViewSignaled | O cliente de um utilizador (como o site ou a aplicação móvel) indica que a página indicada é visualizada pelo utilizador. Essa atividade geralmente é registrada após um evento PagePrefetched para uma página. NOTA: como os eventos ClientViewSignaled são sinalizados pelo cliente, em vez do servidor, é possível que o evento não seja registado pelo servidor e, por conseguinte, possa não aparecer no registo de auditoria. Também é possível que as informações no registo de auditoria não sejam fidedignas. No entanto, como a identidade do usuário é validada por um token usado para criar o sinal, a identidade do usuário listada no registro de auditoria correspondente é precisa. O sistema aguarda cinco minutos antes de registar o mesmo evento quando o cliente do mesmo utilizador sinalizar que a página é novamente visualizada pelo utilizador. |
| Página exibida | PageViewed | O usuário exibe uma página no site. Esta atividade não inclui a utilização de um browser para ver ficheiros localizados numa biblioteca de documentos. Quando um utilizador vê uma página, o sistema não regista novamente o evento PageViewed para o mesmo utilizador e página durante os próximos cinco minutos. |
Perguntas frequentes sobre eventos do FileAccessed e FilePreviewed
Alguma atividade de não usuário pode acionar registros de auditoria FilePreviewed que contêm um agente de usuário como "OneDriveMpc-Transform_Thumbnail"?
Não temos conhecimento de cenários em que as ações de nonuser geram eventos como estes. As ações do utilizador, como abrir um perfil de utilizador card (ao selecionar o respetivo nome ou endereço de e-mail numa mensagem no Outlook na Web) geram eventos semelhantes.
As chamadas para o OneDriveMpc-Transform_Thumbnail são sempre acionadas intencionalmente pelo utilizador?
Não. No entanto, a pré-obtenção do browser pode resultar em eventos semelhantes.
Se virmos um evento FilePreviewed vindo de um endereço IP registrado pela Microsoft, isso significa que a visualização foi exibida na tela do dispositivo do usuário?
Não. O pré-bloqueio do browser pode registar o evento.
Existem cenários em que um usuário visualizando um documento gera eventos FileAccessed?
Ambos eventos FilePreviewed e FileAccessed indicam que a chamada de um usuário levou à leitura do arquivo (ou leitura de uma renderização em miniatura do arquivo). Embora estes eventos se destinem a alinhar com a intenção de pré-visualização versus acesso, a distinção de eventos não é uma garantia da intenção do utilizador.
O utilizador app@sharepoint nos registos de auditoria
Nos registos de auditoria de algumas atividades de ficheiro (e outras atividades relacionadas com o SharePoint), poderá reparar que o utilizador que efetuou a atividade (identificado nos campos User e UserId) está app@sharepoint. Este utilizador significa que uma aplicação realizou a atividade. Neste caso, foi concedida permissão à aplicação no SharePoint para efetuar ações ao nível da organização (como pesquisar um site do SharePoint ou uma conta do OneDrive) em nome de um utilizador, administrador ou serviço. Esse processo de conceder permissões a um aplicativo é chamado de acesso Somente Aplicativo do SharePoint. Este utilizador significa que uma aplicação, em vez de um utilizador, apresentou a autenticação ao SharePoint para efetuar uma ação. É por isso que o usuário app@sharepoint é identificado em determinados registros de auditoria. Para obter mais informações, confira Conceder acesso usando Somente Aplicativo do SharePoint.
Por exemplo, app@sharepoint é frequentemente identificado como o usuário dos eventos "Consulta de pesquisa realizada" e "Arquivo acessado". Isso ocorre porque um aplicativo com acesso Somente Aplicativo do SharePoint em sua organização realiza consultas de pesquisa e acessa arquivos ao aplicar políticas de retenção a sites e contas do OneDrive.
Eis alguns outros cenários em que app@sharepoint podem ser identificados num registo de auditoria como o utilizador que realizou uma atividade:
- Grupos do Microsoft 365. Quando um usuário ou administrador cria um novo grupo, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint. Uma aplicação executa estas tarefas em nome do utilizador que criou o grupo.
- Microsoft Teams. Semelhante aos grupos do Microsoft 365, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint quando uma equipe é criada.
- Funcionalidades de conformidade. Quando um administrador implementa funcionalidades de conformidade, como políticas de retenção, deteção de dados eletrónicos e etiquetas de confidencialidade de aplicações automáticas.
Nestes e noutros cenários, também poderá reparar que vários registos de auditoria com app@sharepoint como o utilizador especificado foram criados num curto espaço de tempo, muitas vezes a poucos segundos um do outro. Este padrão também significa que foram provavelmente acionados pela mesma tarefa iniciada pelo utilizador. Além disso, os campos ApplicationDisplayName e EventData no registo de auditoria podem ajudá-lo a identificar o cenário ou a aplicação que acionou o evento.
Atividades de pasta
A tabela seguinte descreve as atividades de pastas no SharePoint e no OneDrive registadas no registo de auditoria do Microsoft 365. Os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Pasta copiada | FolderCopied | O utilizador copia uma pasta de um site para outra localização no SharePoint ou no OneDrive. |
| Pasta criada | FolderCreated | O usuário cria uma pasta no site. |
| Pasta excluída | FolderDeleted | O usuário exclui uma pasta do site. |
| Pasta excluída da Lixeira | FolderDeletedFirstStageRecycleBin | O usuário exclui uma pasta da Lixeira no site. |
| Pasta excluída da Lixeira de segundo estágio | FolderDeletedSecondStageRecycleBin | O usuário exclui uma pasta da Lixeira de segundo estágio no site. |
| Pasta modificada | FolderModified | O usuário modifica uma pasta no site. Esta ação inclui alterar os metadados da pasta, como alterar etiquetas e propriedades. |
| Pasta movida | FolderMoved | O usuário move uma pasta para um local diferente no site. |
| Pasta renomeada | FolderRenamed | O usuário renomeia uma pasta no site. |
| Pasta restaurada | FolderRestored | O usuário restaura uma pasta da lixeira de um site. |
Atividades das barreiras de informação
A tabela seguinte lista as atividades em Barreiras de Informação que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre barreiras de informação, consulte Saiba mais sobre as Barreiras de Informação no Microsoft 365.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Modo de barreira de informações aplicado ao site | SiteIBModeSet | Um administrador global ou do SharePoint aplicou um modo ao site. |
| Segmentos aplicados ao site | SiteIBSegmentsSet | Um administrador global, do SharePoint ou proprietário de site adicionou um ou mais segmentos de barreiras de informação a um site. |
| Definição AppBypassInformationBarrier alterada para o inquilino | AppBypassInformationBarrier | Um administrador global ou do SharePoint alterou o acesso de aplicações para sites do SharePoint. |
| Alteração do modo de barreira de informações do site | SiteIBModeChanged | Um administrador global ou do SharePoint atualizou o modo do site. |
| Segmentos alterados do site | SiteIBSegmentsChanged | Um administrador global ou do SharePoint alterou um ou mais segmentos de barreiras de informação para um site. |
| Barreiras de informações desativadas para o SharePoint e o OneDrive | SPOIBIsDisabled | Um administrador global ou do SharePoint desativou barreiras de informações para o SharePoint e o OneDrive na organização. |
| Barreiras de informações ativadas para o SharePoint e o OneDrive | SPOIBIsEnabled | Um administrador global ou do SharePoint desativou barreiras de informações para o SharePoint e o OneDrive na organização. |
| Relatório de informações sobre barreiras de informação concluído | InformationBarriersInsightsReportCompleted | O sistema conclui a compilação do relatório de informações sobre barreiras de informação. |
| Informações sobre barreiras de informações reportam a secção do OneDrive consultada | InformationBarriersInsightsReportOneDriveSectionQueried | Um administrador consulta o relatório de informações das barreiras de informações das contas do OneDrive. |
| Relatório de informações sobre barreiras de informação agendado | InformationBarriersInsightsReportSchedule | Um administrador agenda o relatório de informações das barreiras de informação. |
| Informações barreiras de informações reportam secção do SharePoint consultada | InformationBarriersInsightsReportSharePointSectionQueried | Um administrador consulta o relatório de informações das barreiras de informações dos sites do Sharepoint. |
| Segmento removido do site | SiteIBSegmentsRemoved | Um administrador global ou do SharePoint remove um ou mais segmentos de barreiras de informações de um site. |
atividades de Gestão de Agentes do Administração Microsoft 365 Center.
A tabela seguinte lista as atividades de Gestão de Agentes que o registo de auditoria do Microsoft 365 regista. Para obter mais informações, veja Manage Microsoft 365 Copilot agents in the Centro de administração do Microsoft 365 (Gerir agentes de Microsoft 365 Copilot no Centro de administração do Microsoft 365).
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Agente Bloqueado | BlockedAgent | Um administrador bloqueou um agente. Os utilizadores na organização são impedidos de utilizar o agente. |
| Unblocked Agent | UnblockedAgent | Um administrador desbloqueou um agente anteriormente bloqueado. |
| Agente Implementado | DeployedAgent | Um administrador implementou um agente. O agente torna-se ativo e utilizável para utilizadores, grupos ou toda a organização específicos. |
| Agente Removido | RemoveAgent | Um administrador removeu um agente instalado anteriormente para toda a organização ou para utilizadores e grupos específicos. |
| Agente Atualizado | UpdatedAgent | Um administrador atualizou um agente personalizado ao carregar o ficheiro de manifesto mais recente. |
Atividades de atualização da cloud dos Serviços Microsoft 365 Apps Administração
A tabela seguinte lista as atividades para alterações de configuração e ações acionadas no serviço Cloud Update que o registo de auditoria do Microsoft 365 regista.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Configuração do dispositivo atualizada | updateddeviceconfiguration | Foi acionada uma ação para um dispositivo gerido pelo Cloud Update. Esta ação inclui acionar uma reversão, retomar um dispositivo revertido ou alterar o canal de atualização. |
| Configuração do perfil atualizada | updatedprofileconfiguration | A configuração de um perfil do Cloud Update foi alterada. Esta alteração inclui atualizações ao estado do perfil, prazo definido, ativação da Validação de Atualizações e ondas configuradas e atraso de ondas. |
| Configuração do inquilino atualizada | updatedtenantconfiguration | A configuração em toda a organização do Cloud Update foi alterada. Esta alteração inclui atualizações para exclusões, janelas de exclusão e geração de uma nova Chave de Associação de Inquilinos (TAK). |
atividades de política de cloud dos Serviços Microsoft 365 Apps Administração
A tabela seguinte lista as atividades de alterações de configuração de políticas no serviço Política de Cloud que o registo de auditoria do Microsoft 365 regista.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Configuração de política criada | CreatedPolicyConfig | Foi criada uma nova configuração de política. |
| Configuração de política eliminada | DeletedPolicyConfig | Foi eliminada uma configuração de política. |
| Configuração de política atualizada | UpdatedPolicyConfig | Uma configuração de política existente foi atualizada, por exemplo, ao adicionar, alterar ou remover definições de política ou ao alterar o nome, a descrição ou o âmbito da configuração da política. |
| Prioridade de configuração da política atualizada | UpdatedPolicyConfigPriority | A prioridade de uma configuração de política foi alterada. |
atividades de Backup do Microsoft 365
A tabela seguinte lista as atividades no Backup do Microsoft 365 que o registo de auditoria do Microsoft 365 regista. Backup do Microsoft 365 foi concebido para garantir que os dados da sua organização estão sempre protegidos e facilmente recuperáveis. Para obter mais informações sobre Backup do Microsoft 365, consulte Descrição geral do Backup do Microsoft 365.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Ativado uma Política de Cópia de Segurança | BackupPolicyActivated | Uma política de Backup do Microsoft 365 é ativada a partir de um estado inativo. |
| Tarefa de Restauro de Rascunho Ativada | RestoreTaskActivated | É ativada uma tarefa de restauro de rascunho para Backup do Microsoft 365. Esta é uma operação de execução prolongada. |
| Item de Cópia de Segurança Criado | BackupItemAdded | Um ou mais itens de cópia de segurança são adicionados a uma política de Backup do Microsoft 365. |
| Item de Cópia de Segurança Removido | BackupItemRemoved | Um ou mais itens de cópia de segurança são removidos de uma política de Backup do Microsoft 365. |
| Cancelar Item de Cópia de Segurança Offboard | CancelOffboardBackupItem | Exclusão cancelada para um item de cópia de segurança. |
| Tarefa de Restauro Concluída | RestoreTaskCompleted | Uma tarefa de restauro é concluída no Backup do Microsoft 365. |
| Tarefa de Restauro de Rascunho Criada | DraftRestoreTaskCreated | É criada uma tarefa de restauro no Backup do Microsoft 365. Por predefinição, a tarefa de restauro é criada como rascunho. |
| Nova política de Cópia de Segurança criada | NewBackupPolicyCreated | Uma nova política de Backup do Microsoft 365 foi criada por um Administração Global. Por predefinição, é criada uma política de cópia de segurança num estado inativo. |
| Eliminou uma Política de Cópia de Segurança | BackupPolicyDeleted | Uma política de Backup do Microsoft 365 é eliminada. |
| Tarefa de Restauro de Rascunho Eliminada | DraftRestoreTaskDeleted | Uma tarefa de restauro de rascunho é eliminada no Backup do Microsoft 365. |
| Editou uma Política de Cópia de Segurança | BackupPolicyEdited | Foi atualizada uma política de Backup do Microsoft 365. Pode atualizar uma política de cópia de segurança efetuando qualquer uma das seguintes ações: 1. Mudar o nome da política. 2. Adicione uma ou mais unidades de proteção. 3. A remover uma ou mais unidades de proteção. |
| Tarefa de Restauro de Rascunho Editada | DraftRestoreTaskEdited | Uma tarefa de restauro de rascunho é editada no Backup do Microsoft 365. |
| Item de Cópia de Segurança Offboard | OffboardBackupItem | O item de cópia de segurança está a ser retirado. |
| Colocar uma Política de Cópia de Segurança em Pausa | BackupPolicyPaused | Uma política de Backup do Microsoft 365 é colocada em pausa a partir do estado ativo. |
| Item de Cópia de Segurança obtido programaticamente | GetBackupItem | O utilizador pede a cópia de segurança da unidade de proteção através de Backup do Microsoft 365 programaticamente. |
| Obteve programaticamente Detalhes da Política de Cópias de Segurança | ViewBackupPolicyDetails | Os detalhes de uma política de Backup do Microsoft 365 são acedidos programaticamente. |
| Programmaticamente obteve Detalhes da Tarefa de Restauro | GetRestoreTaskDetails | Um utilizador pede detalhes da tarefa de restauro pelo respetivo identificador no Backup do Microsoft 365. |
| Obteve programaticamente a lista de todas as Políticas de Cópia de Segurança | ListAllBackupPolicies | Um utilizador obtém programaticamente a lista de todas as políticas de cópia de segurança com Backup do Microsoft 365. |
| Obteve programaticamente a lista de Itens de Cópia de Segurança em Políticas de Cópia de Segurança | ListAllBackupItemsInPolicies | É pedida programaticamente uma lista de todas as unidades de proteção presentes numa política de cópia de segurança no Backup do Microsoft 365. |
| Foi apresentada programaticamente a lista de Itens de Cópia de Segurança no Inquilino | ListAllBackupItemsInTenant | Um utilizador obtém programaticamente a lista de todas as unidades de proteção na organização com Backup do Microsoft 365. |
| Obteve programaticamente a lista de Itens de Cópia de Segurança na Carga de Trabalho | ListAllBackupItemsInWorkload | Um utilizador obtém programaticamente a lista de todas as unidades de proteção na carga de trabalho (SharePoint, OneDrive ou Exchange) com Backup do Microsoft 365. |
| Foi apresentada programaticamente a lista de Itens de Restauro na Tarefa de Restauro | GetAllRestoreArtifactsInTask | Um utilizador obtém programaticamente todos os artefactos numa tarefa de restauro no Backup do Microsoft 365. |
| Lista de Pontos de Restauro obtidos programaticamente | ListAllRestorePoints | Um utilizador obtém programaticamente todos os pontos de restauro no Backup do Microsoft 365. Os Pontos de Restauro representam o carimbo de data/hora quando um artefacto está protegido (por Política de Proteção). Apenas os Administradores Globais têm acesso. |
| Foi apresentada programaticamente a lista de Tarefas de Restauro | ListAllRestoreTasks | Um utilizador obtém programaticamente a lista de sessões de restauro existentes no Backup do Microsoft 365. Esta lista inclui a sessão de restauro criada para cada tipo de serviço inscrito na organização. |
| Restauro do item de restauro concluído | BackupItemRestoreCompleted | O restauro de um item com cópia de segurança Backup do Microsoft 365 é concluído. |
| Restauro de itens de restauro acionado | BackupItemRestoreTriggered | O restauro é acionado para um item com cópia de segurança com Backup do Microsoft 365. |
atividades de administrador Microsoft 365 Copilot
A tabela seguinte lista as atividades de administrador relacionadas com Microsoft 365 Copilot e Microsoft 365 Copilot Chat que o registo de auditoria do Microsoft 365 regista. Pode aceder ao Copilot através dos serviços Microsoft. O registo de auditoria regista atividades que mostram como e quando os utilizadores interagem com o Copilot. Estas informações incluem o serviço Microsoft onde a atividade ocorreu e referências aos ficheiros acedidos durante a interação.
Para aceder ao texto a partir do pedido do utilizador durante a interação, veja Pesquisa de Conteúdos ou veja o evento de interação de IA do explorador de atividades no Gerenciamento da Postura de Segurança de Dados para IA.
Para obter mais informações sobre a auditoria e outras opções de gestão de conformidade para Microsoft 365 Copilot, consulte Utilizar o Microsoft Purview para gerir a segurança de dados & conformidade para Microsoft 365 Copilot & Microsoft 365 Copilot Chat.
Para obter mais informações sobre eventos relacionados com interações do utilizador com a IA, veja Registos de auditoria para atividades do Copilot e de IA.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Criou um novo plug-in Copilot | CriarPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo plug-in Copilot. |
| Criou um novo promptbook do Copilot | CreatePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo promptbook no Copilot. |
| Plug-in Copilot eliminado | EliminarPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um plug-in copilot. |
| Livro de instruções Copilot eliminado | DeletePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um promptbook do Copilot. |
| Plug-in Copilot desativado | DisableCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um plug-in copilot. |
| Desativado um promptbook copilot | DisablePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um promptbook do Copilot. |
| Ativou um plug-in Copilot | EnablePlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um plug-in copilot. |
| Ativado um promptbook copilot | EnablePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um promptbook copilot. |
| Interagiu com o Copilot | CopilotInteraction | Um utilizador (ou administrador ou sistema em nome de um utilizador) introduziu pedidos em Copilot. |
| Definição de plug-in Copilot atualizada | UpdatePlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição de plug-in Copilot. |
| Definição atualizada de um promptbook copilot | UpdatePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição do promptbook copilot. |
| Definição copilot atualizada | UpdateTenantSettings | Um administrador (ou sistema em nome de um administrador) atualizou uma definição copilot. |
Microsoft 365 Copilot atividades de pedidos agendados
O Copilot Scheduled Prompts permite que os utilizadores automatizem pedidos do Copilot para executar com base numa agenda definida no chat Microsoft 365 Copilot. A tabela seguinte lista as atividades registadas no registo de auditoria do Microsoft 365. Os administradores podem gerir esta funcionalidade na sua organização. Para obter mais informações, veja Gerir pedidos agendados para Microsoft 365 Copilot.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Foi criada uma linha de comandos agendada | ScheduledPromptCreated | Um utilizador agendou uma prompt do Copilot a partir de Microsoft 365 Copilot Chat (Office.com chat). |
| Foi eliminado um pedido agendado | ScheduledPromptDeleted | Um utilizador elimina um pedido agendado da janela de gestão. O pedido é removido da lista e já não é executado. |
| Executou uma linha de comandos agendada | ScheduledPromptExecute | Registado no início de cada execução agendada. Não confirma se o pedido foi concluído. |
Microsoft Defender para Ponto de Extremidade atividades de definições gerais
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições gerais registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre as definições Microsoft Defender para Ponto de Extremidade, veja Configurar as definições gerais do Defender para Ponto Final.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Retenção de dados alterada | ChangeDataRetention | Editou as definições de retenção de dados do Defender para Endpoint. |
| Pacote de exclusão transferido | DownloadOffboardingPkg | Transferiu o pacote utilizado para remover dispositivos do Defender para Endpoint. |
| Pacote de inclusão transferido | DownloadOnboardingPkg | Transferiu o pacote utilizado para integrar dispositivos no Defender para Endpoint. |
| Definir funcionalidades avançadas | SetAdvancedFeatures | As funcionalidades avançadas alteradas no Defender para Endpoint permitem controlos mais precisos durante um incidente. Apenas as definições de funcionalidades avançadas que estão disponíveis em geral são registadas no registo de auditoria do Microsoft 365. |
atividades de definições de indicador Microsoft Defender para Ponto de Extremidade
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições de indicador que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade indicadores, veja Gerir indicadores.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Indicador adicionado | AddIndicator | Criou um novo indicador de comprometimento utilizado para controlar ataques e eventos. |
| Indicador eliminado | DeleteIndicator | Foi removido um indicador de comprometimento. |
| Indicador editado | EditIndicator | Editou um indicador de comprometimento. |
Microsoft Defender para Ponto de Extremidade atividades de ações de resposta
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade ações de resposta, incluindo resposta em direto, que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade ações de resposta, veja Tomar medidas de resposta num dispositivo.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Pacote de investigação recolhido | CollectInvestigationPackage | Informações recolhidas sobre um dispositivo que é utilizado para compreender as ferramentas e técnicas de ataque. |
| Registos Recolhidos | LogsCollection | Informações de registo recolhidas sobre o Defender para Endpoint. |
| Arquivo baixado | DownloadFile | Transferiu um ficheiro suspeito para uma investigação mais aprofundada. |
| Dispositivo isolado | IsolateDevice | Isolou um dispositivo da rede, ajudando a impedir a propagação de ataques. |
| Dispositivo offboarded | DeviceOffBoarding | Foi removido um dispositivo do Defender para Endpoint. |
| Análise do Antivírus executada | RunAntiVirusScan | Foi executada Microsoft Defender análise do Antivírus num dispositivo. |
| Ligação do ficheiro de resposta Get Live executada | LiveResponseGetFile | Abriu uma sessão de resposta em direto, abrindo uma shell remota num dispositivo. |
| API de resposta em direto executada | RunLiveResponseApi | Abriu uma sessão de resposta em direto através de uma chamada à API, abrindo uma shell remota num dispositivo. |
| Sessão de resposta em direto executada | RunLiveResponseSession | Executou uma sessão de resposta em direto, abrindo uma shell remota num dispositivo. |
| Libertado do isolamento | ReleaseFromIsolation | Foi adicionado um dispositivo isolado novamente à rede. |
| Restrições de aplicações removidas | RemoveAppRestrictions | Permitir a execução de uma aplicação. |
| Execução restrita de aplicações | RestrictAppExecution | Impedir a execução de uma aplicação maliciosa. |
| Ficheiro parado e em quarentena | StopAndQuarantineFile | Colocou um ficheiro suspeito em quarentena para uma análise mais aprofundada. |
Microsoft Defender para Ponto de Extremidade atividades de definições de funções
A tabela seguinte lista as atividades para Microsoft Defender para Ponto de Extremidade definições de função que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre as funções no Microsoft Defender para Ponto de Extremidade, veja Criar e gerir funções para controlo de acesso baseado em funções.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Função adicionada | AdicionarRole | Foram adicionadas novas funções e permissões de segurança. |
| Função eliminada | EliminarRole | Funções e permissões de segurança removidas. |
| Função editada | EditArRole | Funções e permissões de segurança editadas. |
Microsoft Defender para atividades de Especialistas
A tabela seguinte lista as atividades no Microsoft Defender Experts que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre especialistas em Microsoft Defender, veja Saiba mais sobre Especialistas do Microsoft Defender para XDR e Saiba mais sobre Microsoft Defender Especialistas em Investigação.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Permissão de analista de Especialistas em Defender criada | DefenderExpertsAnalystPermissionCreated | Um administrador concedeu uma ou mais permissões de função aos analistas de Especialistas do Defender para investigar incidentes ou remediar ameaças. |
| Permissão de analista de Especialistas em Defender modificada | DefenderExpertsAnalystPermissionModified | Um administrador modificou as permissões de função para os analistas de Especialistas em Defender investigarem incidentes ou remediarem ameaças. |
atividades de Microsoft Defender para Identidade
A tabela seguinte lista as atividades de Microsoft Defender para Identidade que o registo de auditoria do Microsoft 365 regista.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Foi adicionado o destinatário da notificação de alerta | AlertNotificationsRecipientAdded | Foi adicionado um destinatário à configuração de notificação de alertas de segurança. |
| Configuração de exclusões adicionada | ExclusionConfigurationAdded | Foi adicionada uma exclusão global para um alerta ou para uma entidade. |
| Foi adicionado o destinatário da notificação de problemas de estado de funcionamento | MonitoringAlertNotificationRecipientAdded | Foi adicionado um destinatário à configuração de notificação de problemas de estado de funcionamento. |
| Ação de remediação adicionada | RemediationActionAdded | Foi adicionada uma ação de remediação à fila. |
| Sensor adicionado | SensorCriado | Foi adicionado um novo sensor. |
| Área de trabalho criada | Área de TrabalhoCriada | A área de trabalho foi criada. |
| Destinatário de notificação de alerta eliminado | AlertNotificationsRecipientDeleted | Um destinatário foi removido da configuração de notificação de alertas de segurança. |
| Configuração de exclusões eliminadas | ExclusionConfigurationDeleted | Uma exclusão global foi eliminada para um alerta ou para uma entidade. |
| Destinatário de notificação de problemas de estado de funcionamento eliminado | MonitoringAlertNotificationRecipientDeleted | Um destinatário foi removido da configuração de notificação de problemas de estado de funcionamento. |
| Área de trabalho eliminada | Área de TrabalhoDeletada | A área de trabalho foi eliminada. |
| Cobertura do Controlador de Domínio Transferido do Excel | DomainControllerCoverageExcelDownloaded | O ficheiro do Excel de cobertura do Controlador de Domínio foi transferido. |
| Relatório baixado | RelatórioTransferido | Foi transferido um relatório. |
| Alerta de segurança transferido do Excel | AlertExcelDownloaded | O ficheiro detalhado do Excel de um alerta foi transferido. |
| Chave de implementação do sensor regenerado | SensorDeploymentAccessKeyUpdated | A chave de acesso dos sensores foi regenerada. |
| Sensor removido | SensorDeleted | Um sensor foi eliminado. |
| Chave de implementação do sensor obtida | SensorDeploymentAccessKeyReceived | A chave de acesso dos sensores foi obtida. |
| Configuração atualizada do limiar de alerta | WorkspaceAlertThresholdLevelUpdated | A configuração dos limiares de alertas foi atualizada. |
| Configuração da conta de serviços de diretório atualizada | DirectoryServicesAccountConfigurationUpdated | O conjunto de contas de Serviços de diretório foi modificado. |
| Configuração de remediação de entidades atualizada | EntityRemediatorConfigurationUpdated | O modo Gerir contas de ação foi modificado. |
| Etiquetas de entidade atualizadas | TaggingConfigurationUpdated | Foi adicionada ou removida uma etiqueta de uma entidade. |
| Configuração de exclusões atualizada | ExclusionConfigurationUpdated | Foi atualizada uma exclusão global para um alerta ou para uma entidade. |
| Problema de estado de funcionamento atualizado | MonitoringAlertUpdated | Foi modificado um problema de estado de funcionamento. |
| Ação de remediação atualizada | RemediationActionUpdated | Foi concluída uma ação de remediação. |
| Configuração da ação de remediação atualizada | RemediationActionConfigurationUpdated | O conjunto Gerir contas de ação foi modificado. |
| Configuração atualizada do jornalista | ReporterConfigurationUpdated | O agendamento de um relatório foi modificado. |
| Configuração de notificação de segurança atualizada | NotificationConfigurationUpdated | A configuração de notificações de alertas de segurança ou problemas de estado de funcionamento foi modificada. |
| Configuração do sensor atualizada | SensorConfigurationUpdated | A configuração de um sensor foi atualizada. |
| Modo de ativação dos sensores atualizados | SensorActivationMethodConfigurationUpdated | O modo de ativação dos sensores foi modificado. |
| Configuração do reencaminhamento do syslog atualizada | SyslogServiceConfigurationUpdated | A configuração do reencaminhamento do syslog foi modificada. |
| Configuração do RBAC Unificada atualizada | URbacAuthorizationStatusChanged | A configuração do Controle de Acesso Baseado em Funções Unificada foi modificada. |
| Configuração de VPN atualizada | VpnConfigurationUpdated | A configuração da VPN (radius accounting) foi modificada. |
Microsoft Defender XDR atividades de deteção personalizadas
A tabela seguinte lista as atividades de deteção personalizadas para Microsoft Defender XDR registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender XDR deteções personalizadas, veja Criar e gerir regras de deteções personalizadas.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Regra de deteção personalizada alterada status | ChangeCustomDetectionRuleStatus | Uma regra de deteção personalizada foi desativada ou ativada. |
| Regra de deteção personalizada criada | CreateCustomDetection | Foi criada uma nova regra de deteção personalizada. |
| Regra de deteção personalizada eliminada | DeleteCustomDetection | Uma regra de deteção personalizada foi removida. |
| Regra de deteção personalizada editada | EditArCustomDetection | Foi modificada uma regra de deteção personalizada. |
| Regra de deteção personalizada executada | RunCustomDetection | Uma regra de deteção personalizada foi executada manualmente. |
atividades de incidentes de Microsoft Defender XDR
A tabela seguinte lista as atividades de incidentes para Microsoft Defender XDR registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre incidentes no Microsoft Defender XDR, veja Descrição geral dos incidentes.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Comentário adicionado ao incidente | AddCommentToIncident. | Foi adicionado um comentário ao incidente. |
| Foram adicionadas etiquetas ao incidente | AddTagsToIncident | Foram adicionadas etiquetas ao incidente. |
| Utilizador atribuído a incidente | AssignUserToIncident | Utilizador atribuído ao incidente. |
| Editar classificação de incidentes | EditIncidentClassification | Editar classificação de incidentes. |
| Etiquetas removidas do incidente | RemoveTagsFromIncident | As etiquetas foram removidas do incidente. |
| Incidente de utilizador não atribuído a | UnAssignUserFromIncident | Utilizador não atribuído ao incidente. |
| Incidentes atualizados status | UpdateIncidentStatus | Status de incidentes atualizados. |
atividades de regras de supressão de Microsoft Defender XDR
A tabela seguinte lista as atividades das regras de supressão para Microsoft Defender XDR registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre as regras de supressão no Microsoft Defender XDR, veja Gerir regras de supressão.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Regra de supressão criada | CreateSuppressionRule | Regra de supressão de alertas criada. |
| Regra de supressão eliminada | DeleteSuppressionRule | Regra de supressão de alerta eliminada. |
| Regra de supressão desativada | DisableSuppressionRule | Regra de supressão de alertas desativada. |
| Regra de supressão editada | EditSuppressionRule | Regra de supressão de alerta eliminada. |
| Regra de supressão ativada | EnableSuppressionRule | Regra de supressão de alerta ativada. |
Atividades de WebContentFiltering do Microsoft Edge
A tabela seguinte lista as atividades de navegação no Microsoft Edge registadas no registo de auditoria do Microsoft 365 para a funcionalidade WebContentFiltering. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro .csv quando exporta os resultados da pesquisa.
Procurar no registo de auditoria descreve como pode pesquisar os registos de auditoria a partir do portal do Microsoft Purview. Os utilizadores têm de ser administradores globais ou ter permissões de leitura de auditoria para aceder aos registos de auditoria. Utilize o filtro Atividades para procurar atividades específicas. Para listar todas as atividades webContentFiltering, selecione WebContentFiltering no filtro Tipo de registo. Utilize as caixas de intervalo de datas e a lista Utilizadores para analisar ainda mais os resultados da pesquisa, se necessário.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Navegação de URL Permitida no Microsoft Edge | URLNavigationAllowed | O utilizador navegue num URL. |
| Navegação de URL Bloqueado no Microsoft Edge | URLNavigationBlocked | O URL navegado está bloqueado pela política WebContentFiltering. |
atividades de administração de grupos de Microsoft Entra
A tabela seguinte lista as atividades de administração de grupos que o registo de auditoria do Microsoft 365 regista quando um administrador ou um utilizador cria ou altera um grupo do Microsoft 365 ou quando um administrador cria um grupo de segurança com o Centro de administração do Microsoft 365 ou o portal de gestão do Azure. Para obter mais informações sobre grupos no Microsoft 365, confira Exibir, criar e excluir grupos no Centro de administração do Microsoft 365.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Grupo adicionado | AddGroup | Um grupo foi criado. |
| Membro adicionado ao grupo | AddMemberToGroup. | Um membro foi adicionado a um grupo. |
| Grupo excluído | Exclua o grupo. | Um grupo foi excluído. |
| Membro removido do grupo | RemoveMemberFromGroup. | Um membro foi removido de um grupo. |
| Grupo atualizado | UpdateGroup. | Uma propriedade de um grupo foi alterada. |
Microsoft Entra atividades de deteção de risco
A tabela seguinte lista as atividades de deteção de risco registadas no registo de auditoria do Microsoft 365 ao utilizar o Microsoft Entra ID Protection. Para obter mais informações sobre a deteção de riscos, veja Saiba mais sobre deteções de risco..
| Nome amigável | Operação | Descrição |
|---|---|---|
| Deteção de início de sessão comprometida | CompromisedSignIn | As deteções de risco de início de sessão representam a probabilidade de um determinado pedido de autenticação não ser o proprietário autorizado da conta. |
| Deteção de utilizador comprometida | ComprometidoUtilificador | As deteções de risco do utilizador podem sinalizar uma conta de utilizador legítima como estando em risco, quando um potencial ator de ameaças obtém acesso a uma conta ao comprometer as suas credenciais ou ao detetar algum tipo de atividade anómalo do utilizador. |
Atividades do Microsoft Fabric
A tabela seguinte mostra as atividades do Microsoft Fabric no Power BI que o registo de auditoria do Microsoft 365 regista. Você pode pesquisar o log de auditoria das atividades do Power BI. Para obter informações sobre as definições de auditoria, veja Definições de inquilino de auditoria e utilização.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Criar o mapeamento de autenticação entre inquilinos | CreateCrossTenantAuthMapping | Crie um mapeamento de utilizador para a funcionalidade de autenticação entre inquilinos. |
| Listar todos os mapeamentos de autenticação entre inquilinos | ListCrossTenantAuthMappings | Listar mapeamentos de autenticação entre inquilinos num inquilino. |
Atividades do Microsoft Forms
A tabela seguinte mostra as atividades de utilizador e administrador no Microsoft Forms que o registo de auditoria do Microsoft 365 regista. Microsoft Forms é uma ferramenta de formulários, questionários e inquéritos que pode utilizar para recolher dados para análise. Algumas operações incluem parâmetros de atividade adicionais, conforme indicado nas descrições.
Se um cocriador ou um participante anónimo efetuar uma atividade do Forms, o registo de auditoria regista-a de forma ligeiramente diferente. Para obter mais informações, confira a seção Atividades do Forms realizadas por coautores e respondentes anônimos.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Coautor do formulário adicionado | AddFormCoauthor | Um utilizador utiliza uma ligação de colaboração para ajudar a estruturar o formulário ou ver respostas. Este evento é registado quando um utilizador utiliza um URL de colaboração (não quando o URL de colaboração é gerado pela primeira vez). |
| Respondente específico adicionado | AddSpecificResponder | O proprietário do formulário adiciona um novo usuário ou grupo à lista de respondentes específica. |
| Formulário de compartilhamento permitido para cópia | AllowShareFormForCopy | O proprietário do formulário cria um link de modelo para compartilhar o formulário com outros usuários. Este evento é registado quando o proprietário do formulário seleciona para gerar o URL do modelo. |
| Conectado à pasta de trabalho do Excel | ConnectToExcelWorkbook | Conectou o formulário a uma pasta de trabalho do Excel. Propriedade ExcelWorkbookLink:string é o ID do livro do Excel associado do formulário atual. |
| Criou uma coleção | CollectionCreated | O proprietário do formulário criou uma coleção. |
| Comentário criado | CreateComment | O proprietário do formulário adiciona um comentário ou pontuação a um teste. |
| Formulário criado | CreateForm | O proprietário do formulário cria um novo formulário. Property DataMode:string é o formulário atual definido para sincronizar com um livro do Excel novo ou existente se o valor da propriedade for igual a DataSync. Propriedade ExcelWorkbookLink:string é o ID do livro do Excel associado do formulário atual. |
| Resposta criada | CreateResponse | Semelhante a receber uma nova resposta. Um utilizador submeteu uma resposta a um formulário. Property ResponseId:string e Property ResponderId:string é o resultado que está a ser visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
| Link de resumo criado | GetSummaryLink | O proprietário do formulário cria links de resumo para compartilhar resultados. |
| Todas as respostas excluídas | DeleteAllResponses | O proprietário exclui todos os dados de resposta. |
| Excluiu a coleção da lixeira | CollectionHardDeleted | O proprietário do formulário excluiu uma coleção da Lixeira. |
| Formulário excluído | DeleteForm | O proprietário do formulário exclui um formulário. Esta ação inclui SoftDelete (opção de eliminação utilizada e formulário movido para a reciclagem) e HardDelete (a Reciclagem é esvaziada). |
| Resposta excluída | DeleteResponse | O proprietário do formulário exclui uma resposta. Property ResponseId:string é a resposta que está a ser eliminada. |
| Link de resumo excluído | DeleteSummaryLink | O proprietário do formulário exclui o link de resultados de resumo. |
| Qualquer pessoa desabilitada pode responder configuração | DisallowAnonymousResponse | O proprietário do formulário desativa a definição permitindo que qualquer pessoa responda ao formulário. |
| Colaboração com deficiência | DisableCollaboration | O proprietário do formulário desativa a configuração de colaboração no formulário. |
| Pessoas específicas com deficiência podem responder a configuração | DisableSpecificResponse | O proprietário do formulário desativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário. |
| Formulário de compartilhamento não permitido para cópia | DisallowShareFormForCopy | O proprietário do formulário exclui o link do modelo. |
| Formulário editado | EditForm | O proprietário do formulário edita um formulário, criando, removendo ou editando uma pergunta. A propriedade EditOperation:string é o nome da operação de edição. As operações possíveis são: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage inclui qualquer local em Formulários onde o utilizador possa carregar uma imagem, como numa consulta ou como um tema de fundo. |
| Habilitado, qualquer pessoa pode responder a configuração | AllowAnonymousResponse | O proprietário do formulário ativa a definição, permitindo que qualquer pessoa responda ao formulário. |
| Habilitou a colaboração de conta corporativa ou de estudante do Office 365 | EnableWorkOrSchoolCollaboration | O proprietário do formulário ativa a configuração que permite aos usuários com uma conta corporativa ou de estudante do Microsoft 365 exibir e editar o formulário. |
| Pessoas habilitadas na colaboração da minha organização | EnableSameOrgCollaboration | O proprietário do formulário ativa a configuração que permite aos usuários na organização atual exibir e editar o formulário. |
| Pessoas específicas habilitadas podem responder configuração | EnableSpecificResponse | O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário. |
| Habilitou a colaboração de pessoas específicas | EnableSpecificCollaboaration | O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual vejam e editem o formulário. |
| Formulário exportado | ExportForm | O proprietário do formulário exporta os resultados para o Excel. Property ExportFormat:string é se o ficheiro do Excel for Transferir ou Online. |
| Formulários listados | ListForms | O proprietário do formulário está exibindo uma lista de formulários. Property ViewType:string é a vista que o proprietário do formulário está a ver: Todos os Formulários, Partilhado comigo ou Formulários de Grupo |
| Moveu um formulário para a coleção | MovedFormIntoCollection | O proprietário do formulário moveu um formulário para uma coleção. |
| Moveu um formulário para fora da coleção | MovedFormOutofCollection | O proprietário do formulário moveu um formulário de uma coleção. |
| Coleção movida para a lixeira | CollectionSoftDeleted | O proprietário do formulário moveu uma coleção para a Lixeira. |
| Formulário movido | MoveForm | O proprietário do formulário move um formulário. Property DestinationUserId:string é o ID de utilizador da pessoa que moveu o formulário. A propriedade NewFormId:string é a nova ID do formulário copiado recentemente. Property IsDelegateAccess:boolean é a ação de movimentação do formulário atual que é executada através da página de delegado de administrador. |
| Formulário visualizado | PreviewForm | O proprietário do formulário pré-visualiza um formulário com a função Pré-visualizar. |
| Coautor do formulário removido | RemoveFormCoauthor | O proprietário do formulário exclui um link de colaboração. |
| Respondente específico removido | RemoveSpecificResponder | O proprietário do formulário remove um usuário ou grupo da lista de respondentes específica. |
| Renomeou uma coleção | CollectionRenamed | O proprietário do formulário alterou o nome de uma coleção. |
| Convite do Forms Pro enviado | ProInvitation | O utilizador seleciona para ativar uma versão de avaliação Pro. |
| Resposta enviada | SubmitResponse | Um usuário envia uma resposta a um formulário. A propriedade IsInternalForm:booleano é se o participante estiver na mesma organização que o proprietário do formulário. |
| Atualizou uma coleção | CollectionUpdated | O proprietário do formulário atualizou uma propriedade de coleção. |
| Formulário de status de phishing atualizado | UpdatePhishingStatus | Este evento é registado sempre que o valor detalhado da status de segurança interna foi alterado, independentemente de esta alteração afetar o estado de segurança final (por exemplo, o formulário é agora Fechado ou Aberto). Esta alteração pode resultar em eventos duplicados sem uma alteração final do estado de segurança. Os valores de status possíveis para este evento são: - Derrubar - Retirado por Administrador - Administrador Desbloqueado - Auto Bloqueado - Auto Desbloqueado - Relatado pelo Cliente -Redefinir Cliente Relatado |
| Configuração do formulário atualizado | UpdateFormSetting | O proprietário do formulário atualiza uma ou várias configurações de formulário. A propriedade FormSettingName:string é o nome das definições confidenciais atualizadas. Propriedade NewFormSettings:string é o nome e o novo valor das definições atualizados. Property thankYouMessageContainsLink:boolean is updated thank-you message contains a URL link. |
| Resposta atualizada | UpdateResponse | O proprietário do formulário atualizou um comentário ou pontuação num questionário. Property ResponseId:string e Property ResponderId:string é o resultado que está a ser visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
| Status de phishing do usuário atualizado | UpdateUserPhishingStatus | Este evento é registado sempre que o valor da segurança do utilizador status é alterado. O valor do utilizador status no registo de auditoria é Confirmado como Phisher quando o utilizador criou um formulário de phishing que a equipa de segurança do Microsoft Online retirou. Se um administrador desbloquear o usuário, o valor do status do usuário é definido como Redefinir como Usuário Normal. |
| Configuração de usuário atualizada | UpdateUserSetting | O proprietário do formulário atualiza a configuração de um usuário. Propriedade UserSettingName:string é o nome da definição e o novo valor |
| Formulário exibido (tempo de design) | ViewForm | O proprietário do formulário abre um formulário existente para edição. Propriedade AccessDenied:o acesso booleano do formulário atual é negado devido à permissão marcar. A propriedade FromSummaryLink:boolean é o pedido atual proveniente da página de ligação de resumo. |
| Resposta exibida | ViewResponse | O proprietário do formulário exibe uma resposta específica. Property ResponseId:string e Property ResponderId:string é o resultado que está a ser visualizado. Para um socorrista anónimo, a propriedade ResponderId é nula. |
| Página de resposta exibida | ViewRuntimeForm | O utilizador abriu uma página de resposta para ver. Esse evento é registrado independentemente de o usuário enviar uma resposta ou não. |
| Respostas exibidas | ViewResponses | O proprietário do formulário exibe a lista agregada de respostas. Property ViewType:string é se o proprietário do formulário está a ver Detalhe ou Agregar |
Atividades do Forms realizadas por coautores e respondentes anônimos
O Forms suporta a colaboração ao conceber formulários e analisar respostas. Um colaborador de formulário é conhecido como um coautor. Os coautores podem fazer tudo o que um proprietário de formulário pode fazer, exceto excluir ou mover um formulário. O Forms também permite criar um formulário que pode ser respondido anonimamente. Isso significa que o respondente não precisa estar conectado à sua organização para responder a um formulário.
A tabela seguinte descreve as atividades de auditoria e as informações registadas no registo de auditoria do Microsoft 365 para atividades realizadas por cocriadores e participantes anónimos.
| Tipo de atividade | Usuário interno ou externo | Identificação do usuário que está conectado | Organização conectada a | Tipo de usuário de formulários |
|---|---|---|---|---|
| Atividades de coautoria | Externo | urn:forms:coauthor#a0b1c2d3@forms.office.com(A segunda parte do ID é um hash, que difere para diferentes utilizadores) |
Organização do proprietário do formulário |
Coautor |
| Atividades de coautoria | Externo | UPN |
Organização da coautoria |
Coautor |
| Atividades de coautoria | Interno | UPN | Organização do proprietário do formulário | Coautor |
| Atividades de resposta | Anônimo | urn:forms:anonymous#a0b1c2d3@forms.office.com(A segunda parte do ID de Utilizador é um hash, que difere para diferentes utilizadores) |
Organização do proprietário do formulário | Respondente |
| Atividades de resposta | Externo | urn:forms:external#a0b1c2d3@forms.office.com(A segunda parte do ID de Utilizador é um hash, que difere para diferentes utilizadores) |
Organização do proprietário do formulário | Respondente |
| Atividades de resposta | Externo | UPN |
Organização do respondente |
Respondente |
Microsoft Graph Data Connect
A tabela seguinte lista as atividades de utilizador e administrador no Microsoft Graph Data Connect registadas no registo de auditoria do Microsoft 365. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Aprovou ou negou uma aplicação | ConsentModificationRequest | Um utilizador efetuou um pedido de modificação de consentimento. |
| Extração executada | DataAccessRequestOperation | Um utilizador efetuou uma extração. Os conjuntos de dados de parceiros e as execuções de ISV são excluídos. |
atividades do Diretório de Microsoft Places
A tabela seguinte lista as atividades de administrador no diretório Microsoft Places que o registo de auditoria do Microsoft 365 regista. A tabela inclui o nome amigável que é apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Criou um local | CreatedPlace | Um administrador efetuou uma operação para criar locais. |
| Eliminou um local | DeletedPlace | Um administrador efetuou uma operação para eliminar locais. |
| Foi atualizado um local | UpdatedPlace | Um administrador efetuou uma operação para atualizar locais. |
atividades de Microsoft Planner
A tabela seguinte lista as atividades de utilizador e administrador no Microsoft Planner que o registo de auditoria do Microsoft 365 regista. A tabela inclui o nome amigável que é apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Observação
A atividade de portefólio no Planner é registada com a atividade de mapa de objetivos do Microsoft Project para Web. Para obter detalhes, consulte a secção Atividades do Microsoft Project para a Web.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Foi adicionado um membro a uma lista | RosterMemberAdded | Um membro foi adicionado a uma lista. Se a operação de adição tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, os MemberIds são uma lista de IDs de membros tentados. |
| Atribuiu uma tarefa | Tarefa Atribuída | O destinatário de uma tarefa foi modificado por um utilizador ou uma aplicação. Esta pode ser uma tarefa não atribuída a ser atribuída ou uma tarefa atribuída com um novo detentor. |
| Concluída uma tarefa | TaskCompleted | Uma tarefa foi marcada como concluída por um utilizador ou uma aplicação. |
| Copiou um plano | PlanCopied | Um plano foi copiado por um utilizador ou uma aplicação. Se a operação de cópia for ResultStatus.Failure ou ResultStatus.Failure, newPlanId é nulo, o newContainerType é ContainerType.Invalid e newContainerId é nulo. |
| Criou um objetivo | ObjetivoCriado | Um objetivo foi criado por um utilizador ou uma aplicação. Se a operação de criação foi ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o ObjectId é nulo e PlanId é nulo. |
| Criou um plano | PlanCreated | Um plano foi criado por um utilizador ou uma aplicação. Se a operação de criação foi ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o ObjectId é nulo, ContainerType é ContainerType.Invalid e ContainerId é nulo. |
| Criou uma lista | ListaCriada | Uma lista foi criada por um utilizador ou uma aplicação. Se a operação de criação foi ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o ObjectId é nulo, MemberIds é uma cadeia vazia. |
| Criou uma tarefa | TarefaCriada | Uma tarefa foi criada por um utilizador ou uma aplicação. Se a operação de criação foi ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o ObjectId é nulo e PlanId é nulo. |
| Foi eliminado um objetivo | GoalDeleted | Um objetivo foi eliminado por um utilizador ou uma aplicação. |
| Eliminou um plano | PlanDeleted | Um plano foi eliminado por um utilizador ou uma aplicação. |
| Lista eliminada | ListaDeletada | Uma lista foi eliminada por um utilizador ou uma aplicação. |
| Eliminou uma tarefa | TaskDeleted | Uma tarefa foi eliminada por um utilizador ou uma aplicação. |
| Modificou um objetivo | GoalModified | Um objetivo foi modificado por um utilizador ou uma aplicação. |
| Modificou um plano | PlanModified | Um plano foi modificado por um utilizador ou uma aplicação. |
| Modificar uma tarefa | TarefaModificada | Uma tarefa foi modificada por um utilizador ou uma aplicação. |
| Ler um objetivo | GoalRead | Um objetivo foi lido por um utilizador ou uma aplicação. Se a operação de leitura tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o PlanId é nulo. |
| Ler uma lista de objetivos | GoalListRead | Uma lista de objetivos foi consultada por um utilizador ou uma aplicação. Se a operação de consulta tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, GoalList é uma cadeia vazia. |
| Ler uma lista de planos | PlanListRead | Uma lista de planos foi consultada por um utilizador ou uma aplicação. Se a operação de consulta tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanList é uma cadeia vazia. |
| Ler uma lista de tarefas | TaskListRead | Uma lista de tarefas foi consultada por um utilizador ou uma aplicação. Se a operação de consulta for ResultStatus.Failure ou ResultStatus.AuthorizationFailure, TaskList é uma cadeia vazia. |
| Ler um plano | PlanRead | Um plano foi lido por um utilizador ou uma aplicação. Se a operação de leitura tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ContainerType é ContainerType.Invalid e ContainerId é nulo. |
| Ler uma tarefa | TaskRead | Uma tarefa foi lida por um utilizador ou uma aplicação. Se a operação de leitura tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o PlanId é nulo. |
| Um membro foi removido para uma lista | RosterMemberDeleted | Um membro foi removido de uma lista. Se a operação de remoção foi ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds é a lista de IDs de membro tentados. |
| Etiqueta de confidencialidade de uma lista atualizada | RosterSensitivityLabelUpdated | Um utilizador ou uma aplicação atualiza a etiqueta de confidencialidade de uma lista. |
| Definições de inquilino atualizadas | TenantSettingsUpdated | As definições da organização são atualizadas por um administrador da organização. Se a operação de atualização tiver sido ResultStatus.Failure ou ResultStatus.AuthorizationFailure, o ObjectId é as definições originais e TenantSettings são as definições da organização tentada. |
Atividades do Microsoft Power Apps
Você pode pesquisar o log de auditoria de atividades relacionadas a aplicativos no Power Apps. Essas atividades incluem criar, iniciar e publicar um aplicativo. Atribuir permissões a aplicativos também é auditado. Para obter uma descrição de todas as atividades do Power Apps, confira Log de atividades do Power Apps.
Observação
Os eventos de auditoria de Políticas de Alerta (Alerta de Proteção) (RecordType:45) não são atualmente suportados para PowerApps.
Atividades do Microsoft Power Automate
Você pode pesquisar o log de auditoria para atividades no Power Automate (anteriormente chamado Microsoft Flow). Essas atividades incluem criar, editar e excluir fluxos, e alterar as permissões de fluxo.
Atividades do Microsoft Project para a Web
Pode procurar atividades no registo de auditoria no Microsoft Project para a Web. O Microsoft Project para a Web baseia-se no Microsoft Dataverse e tem um Project Power App associado. Para ativar a auditoria para cenários em que o utilizador está a utilizar o Microsoft Dataverse ou o Project Power App, veja a documentação de orientação do separador Auditoria de Definições do Sistema . Para obter uma lista de entidades relacionadas com Project para a Web, veja a documentação de orientação Exportar dados de utilizador de Project para a Web.
Para obter informações sobre o Microsoft Project para a Web, consulte Microsoft Project para a Web.
Observação
A auditoria de eventos para atividades do Microsoft Project para a Web requer uma licença de Project Plano 1 paga (ou superior).
A tabela seguinte lista o Microsoft Project para atividades Web registadas no registo de auditoria do Microsoft 365:
| Nome amigável | Operação | Descrição |
|---|---|---|
| Projeto criado | ProjectCreated | Um projeto foi criado por um utilizador ou aplicação. |
| Mapa de objetivos criado | Mapa de ObjetivosCriado | Um mapa de objetivos ou portefólio foi criado por um utilizador ou aplicação. |
| Item de mapa de objetivos criado | RoadmapItemCreated | Um mapa de objetivos ou item de portefólio foi criado por um utilizador ou aplicação. |
| Tarefa criada | TarefaCriada | Uma tarefa foi criada por um utilizador ou aplicação. |
| Projeto eliminado | ProjectDeleted | Um projeto foi eliminado por um utilizador ou aplicação. |
| Mapa de objetivos eliminado | Mapa de ObjetivosDeleted | Um mapa de objetivos ou portefólio foi eliminado por um utilizador ou aplicação. |
| Item de mapa de objetivos eliminado | Informações GeraisItemDeleted | Um mapa de objetivos ou item de portefólio foi eliminado por um utilizador ou aplicação. |
| Tarefa eliminada | TaskDeleted | Uma tarefa foi eliminada por um utilizador ou aplicação. |
| Projeto acedido | ProjectAccessed | Um projeto foi lido por um utilizador ou aplicação. |
| Home page do Project acedida | ProjectListAccessed | Um utilizador consultou uma lista de projetos e/ou mapas de objetivos. |
| Mapa de objetivos acedido | Mapa de ObjetivosAcesso | Um mapa de objetivos ou portefólio foi lido por um utilizador ou aplicação. |
| Item de mapa de objetivos acedido | Informações GeraisItemAccessed | Um mapa de objetivos ou item de portefólio foi lido por um utilizador ou aplicação. |
| Tarefa acedida | TarefaAccessed | Uma tarefa foi lida por um utilizador ou aplicação. |
| Projeto atualizado | ProjectUpdated | Um projeto foi modificado por um utilizador ou aplicação. |
| Definições de projeto atualizadas | ProjectForTheWebProjectSettings | Um administrador atualizou as definições do projeto. |
| Mapa de objetivos atualizado | Mapa de ObjetivosAtualizado | Um mapa de objetivos ou portefólio foi modificado por um utilizador ou aplicação. |
| Item de mapa de objetivos atualizado | Informações GeraisItemUpdated | Um mapa de objetivos ou item de portefólio foi modificado por um utilizador ou aplicação. |
| Definições de mapa de objetivos atualizadas | ProjectForTheWebRoadmaptSettings | Um mapa de objetivos ou definições de portefólio atualizados pelo administrador. |
| Tarefa atualizada | Tarefas Desatualizadas | Uma tarefa foi modificada por um utilizador ou aplicação. |
atividades de solução de Auditoria do Microsoft Purview
A tabela seguinte lista as atividades associadas às soluções de auditoria no portal do Microsoft Purview e no API do Graph pesquisa de auditoria. A carga de trabalho SecurityComplianceCenter audita estas atividades. Para obter mais informações, veja Pesquisar o registo de auditoria.
As atividades de pesquisa e exportação de auditoria que utilizam Search-UnifiedAuditLog não são auditadas.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Pesquisa de auditoria cancelada | AuditSearchCancelled | Uma tarefa de pesquisa de auditoria foi cancelada. |
| Pesquisa de auditoria concluída | AuditSearchCompleted | Foi concluída uma tarefa de pesquisa de auditoria. |
| Pesquisa de auditoria criada | AuditSearchCreated | Foi submetido um novo pedido de pesquisa de auditoria. |
| Pesquisa de auditoria eliminada | AuditSearchDeleted | Uma tarefa de pesquisa de auditoria foi eliminada. |
| Tarefa de exportação de pesquisa de auditoria concluída | AuditSearchExportJobCompleted | A tarefa de exportação para exportar os resultados da pesquisa de uma consulta de pesquisa de auditoria foi concluída. |
| Tarefa de exportação de pesquisa de auditoria criada | AuditSearchExportJobCreated | Foi criada uma tarefa de exportação para exportar os resultados da pesquisa de uma consulta de pesquisa de auditoria. |
| Auditar os resultados da exportação de pesquisa transferidos | AuditSearchExportResultsDownloaded | Os resultados da pesquisa de uma consulta de pesquisa de auditoria foram transferidos. |
Atividades de governação do Microsoft Purview
A tabela seguinte lista as atividades de governação do Microsoft Purview registadas no registo de auditoria do Microsoft 365. Para obter mais informações, veja Soluções de governação do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Recurso ou entidade criada | EntityCreated | Foi criado ou adicionado um novo recurso ou entidade a um recurso existente. |
| Classificação adicionada | ClassificationAdded | Foram adicionadas classificações à entidade de recursos. |
| Definição de classificação criada | ClassificationDefinitionCreated | Criou um tipo de classificação. |
| Definição de classificação eliminada | ClassificationDefinitionDeleted | Eliminou um tipo de classificação. |
| Definição de classificação atualizada | ClassificationDefinitionUpdated | Foi atualizado um tipo de classificação. |
| Classificação eliminada | ClassificationDeleted | Classificações eliminadas da entidade de recursos. |
| Classificação atualizada | ClassificationUpdated | Classificações atualizadas na entidade de recursos. |
| Entidade eliminada | EntityDeleted | Um recurso ou entidade foi eliminado de um recurso existente. |
| Entidade atualizada | EntityUpdated | Inclui: atualização de atributos, atualização de atributos empresariais, informações de coleção (apenas incluem ID de coleção), atualização de contactos, customAttributes, hierarquia, homeId, etiquetas, sourceDetails |
| Termo do glossário atribuído | GlossaryTermAssigned | Termos atribuídos à entidade de recurso. |
| Termo do glossário criado | GlossaryTermCreated | Criou um termo. |
| Termo do glossário eliminado | GlossaryTermDeleted | Eliminou um termo. |
| Termo glossário desassociado | GlossaryTermDisassociated | Termos desassociados da entidade do recurso. |
| Termo do glossário atualizado | GlossaryTermUpdated | Foi atualizado um termo. |
| Etiqueta de confidencialidade alterada | SensitivityLabelChanged | A etiqueta de confidencialidade foi adicionada, atualizada ou eliminada. |
Atividades de classificação a pedido do Microsoft Purview
A tabela seguinte lista as atividades da classificação a pedido do Microsoft Purview que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre a classificação a pedido, consulte Saiba mais sobre a classificação a pedido no Microsoft Purview.
Observação
Estas atividades de auditoria só estão disponíveis em Auditoria (Premium). Tem de lhe ser atribuída a licença adequada antes de estas atividades serem registadas no registo de auditoria. Para obter mais informações, veja Auditoria (Premium). Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Ficheiro classificado como parte de uma análise de classificação a pedido | DataScanClassification | O ficheiro foi avaliado relativamente a conteúdos confidenciais como parte de uma análise de classificação a pedido do SharePoint ou do OneDrive. |
| Ficheiro classificado no dispositivo como parte de uma análise de classificação a pedido | SensitiveInfoDiscovered | O ficheiro foi avaliado para conteúdo confidencial como parte de uma análise de classificação a pedido para dispositivos de Ponto Final. |
| Ficheiro desclassificado como parte de uma análise de classificação a pedido | DataScanDeClassification | O ficheiro já não corresponde aos tipos de informações confidenciais definidos na análise de classificação a pedido correspondente acionada para localizações do SharePoint ou do OneDrive. |
gestão de agentes do Microsoft Security Copilot
A tabela seguinte lista as operações de gestão do Agente no Security Copilot que o registo de auditoria do Microsoft 365 regista. Estas atividades caracterizam as atividades dos agentes e os componentes necessários para que funcionem, como acionadores. Para obter mais informações sobre Security Copilot gestão de agentes, veja Descrição geral dos agentes Microsoft Security Copilot.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Criou um novo agente de Security Copilot | CreateCopilotAgent | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo agente Security Copilot. |
| Criou um novo acionador do agente Security Copilot | CreateCopilotforSecurityAgentTrigger | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo promptbook no Copilot. |
| Eliminou um agente Security Copilot | DeleteCopilotAgent | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um agente Security Copilot. |
| Acionador de agente de Security Copilot eliminado | DeleteCopilotForSecurityAgentTrigger | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um Security Copilot acionador. |
| Atualização de uma definição do agente do Security Copilot | UpdateCopilotAgent | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição de agente Security Copilot. |
| Foi atualizado um acionador do agente Security Copilot | UpdateCopilotforSecurityAgentTrigger | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição de acionador do agente Security Copilot. |
interações de Microsoft Security Copilot
A tabela seguinte lista os tipos de interações do utilizador com componentes de IA no Security Copilot que o registo de auditoria do Microsoft 365 regista. Estas operações representam pedidos individuais, experiências incorporadas ou fluxos de trabalho agentes. Para obter mais informações sobre interações Security Copilot, veja Descrição geral de Security Copilot e Microsoft Security Copilot agentes.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Interagiu com o Copilot | CopilotInteraction | Um utilizador (ou administrador ou sistema em nome de um utilizador) introduziu pedidos no Copilot ou num agente. |
gestão de plataformas Microsoft Security Copilot
A tabela seguinte lista as operações de gestão de um Security Copilot e os respetivos componentes que o registo de auditoria do Microsoft 365 regista. Estas operações representam definições de inquilino ou área de trabalho ou componentes de IA, como plug-ins e promptbooks. Para obter mais informações sobre os elementos de gestão do Security Copilot, veja O que é Microsoft Security Copilot.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Criou um novo plug-in Copilot | CriarPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo plug-in Copilot. |
| Criou um novo promptbook do Copilot | CreatePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo promptbook no Copilot. |
| Plug-in Copilot eliminado | EliminarPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um plug-in copilot. |
| Livro de instruções Copilot eliminado | DeletePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um promptbook do Copilot. |
| Plug-in Copilot desativado | DisableCopilotPlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um plug-in copilot. |
| Desativado um promptbook copilot | DisablePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) desativou um promptbook do Copilot. |
| Ativou um plug-in Copilot | EnablePlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um plug-in copilot. |
| Ativado um promptbook copilot | EnablePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) ativou um promptbook copilot. |
| Definição de plug-in Copilot atualizada | UpdatePlugin | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição de plug-in Copilot. |
| Definição atualizada de um promptbook copilot | UpdatePromptBook | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou uma definição do promptbook copilot. |
| Definição copilot atualizada | UpdateTenantSettings | Um administrador (ou sistema em nome de um administrador) atualizou uma definição copilot. |
Microsoft Sentinel atividades da ferramenta de IA
A tabela seguinte lista as atividades relacionadas com a ferramenta de IA no Microsoft Sentinel data lake registados no registo de auditoria do Microsoft 365. Para obter mais informações sobre as ferramentas MCP no Microsoft Sentinel data lake, veja Coleção de ferramentas no servidor MCP Microsoft Sentinel.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Execução da ferramenta de IA concluída | SentinelAIToolRunCompleted | Microsoft Sentinel execução da ferramenta de IA concluída |
| Ferramenta de IA criada | SentinelAIToolCreated | O utilizador cria uma ferramenta de IA Microsoft Sentinel |
| Execução da ferramenta de IA iniciada | SentinelAIToolRunStarted | Microsoft Sentinel a execução da ferramenta de IA foi iniciada |
Microsoft Sentinel atividades do data lake notebook
A tabela seguinte lista as atividades do bloco de notas no Microsoft Sentinel Data lake registados no registo de auditoria do Microsoft 365. Para obter mais informações sobre blocos de notas no data lake Microsoft Sentinel, consulte Utilizar blocos de notas no data lake do Microsoft Sentinel.
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Tabela personalizada eliminada | CustomTableDelete | O utilizador eliminou uma tabela como parte da execução do bloco de notas. |
| Ler a partir da tabela | TableRead | O utilizador lê uma tabela como parte da execução do bloco de notas. |
| Sessão iniciada | SessionStarted | O utilizador iniciou uma sessão de bloco de notas. |
| Sessão parada | SessõesTopped | O utilizador parou uma sessão de bloco de notas. |
| Escrito numa tabela personalizada | CustomTableWrite | O utilizador escreveu a uma tabela como parte da execução do bloco de notas. |
Microsoft Sentinel atividades de tarefas do data lake
A tabela seguinte lista as atividades de trabalho no Microsoft Sentinel data lake que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre tarefas no data lake Microsoft Sentinel, consulte Criar e gerir tarefas de blocos de notas do Jupyter (pré-visualização) e Criar tarefas KQL no data lake do Microsoft Sentinel (pré-visualização).
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Concluiu uma execução de tarefa adhoc | JobRunAdhocCompleted | Execução da Tarefa ad hoc concluída. |
| Concluída uma execução de tarefa agendada | JobRunScheduledCompleted | A execução da Tarefa Agendada foi concluída. |
| Tarefa criada | TarefaCriada | É criada uma tarefa. |
| Tabela personalizada eliminada | CustomTableDelete | Como parte de uma execução de trabalho, a tabela personalizada foi eliminada. |
| Tarefa eliminada | JobDeleted | Uma tarefa é eliminada. |
| Tarefa desativada | JobDisabled | A tarefa está desativada. |
| Tarefa ativada | JobEnabled | É reativada uma tarefa desativada. |
| Executou um adhoc de trabalho | JobRunAdhoc | A tarefa é acionada manualmente e a execução é iniciada. |
| Executou uma tarefa dentro do prazo | JobRunScheduled | A execução da tarefa é acionada devido ao agendamento. |
| Ler a partir da tabela | TableRead | Como parte da execução da tarefa, é lida uma tabela. |
| Foi interrompida uma execução de tarefa | JobRunStopped | O utilizador cancela ou interrompe manualmente uma execução de trabalho em curso. |
| Tarefa atualizada | TarefasAtualizadas | A definição da tarefa e/ou os detalhes de configuração e agendamento da tarefa, se forem atualizados. |
| Escrito numa tabela personalizada | CustomTableWrite | Como parte da execução da tarefa, os dados foram escritos numa tabela personalizada. |
atividades KQL do data lake Microsoft Sentinel
A tabela seguinte lista as atividades KQL no Microsoft Sentinel data lake que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre o KQL no data lake Microsoft Sentinel, veja KQL and the Microsoft Sentinel data lake (preview).
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Consulta KQL concluída | KQLQueryCompleted | O utilizador executa consultas interativas através de KQL em dados nos respetivos Microsoft Sentinel data lake. |
Microsoft Sentinel atividades de inclusão do Data Lake
A tabela seguinte lista as atividades de inclusão do data lake Microsoft Sentinel registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre a integração no data lake Microsoft Sentinel, veja Inclusão no data lake Microsoft Sentinel (pré-visualização).
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Subscrição alterada do Sentinel lake | SentinelLakeSubscriptionChanged | O utilizador modificou o ID da subscrição de faturação ou o grupo de recursos associado ao data lake. |
| Dados integrados para Sentinel lake | SentinelLakeDefaultDataOnboarded | Durante a integração, a inclusão de dados predefinida é registada. |
| Configurar Sentinel lake | SentinelLakeSetup | No momento da integração, Microsoft Sentinel data lake é configurado e os detalhes são registados. |
atividades de gráficos de Microsoft Sentinel
A tabela seguinte lista as atividades do gráfico no Microsoft Sentinel registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Sentinel gráfico, consulte O que é Microsoft Sentinel Graph? (pré-visualização).
| Nome Amigável | Operação | Descrição |
|---|---|---|
| Cenário de gráfico criado | GraphScenarioCreated | O utilizador criou uma instância de gráfico para um cenário de gráfico predefinido. |
| Cenário de gráfico eliminado | GraphScenarioDeleted | O utilizador eliminou ou desativa uma instância de gráfico para um cenário de gráfico predefinido. |
| Executou uma consulta de grafo | GraphQueryRun | O utilizador executou uma consulta de grafo. |
Atividades do Microsoft Stream
Você pode pesquisar o log de auditoria para atividades no Microsoft Stream. Essas atividades incluem atividades de vídeo executadas por usuários, atividades de canal de grupo e atividades de administração, como gerenciar usuários, gerenciar as configurações da organização e exportar relatórios. Para obter uma descrição dessas atividades, consulte a seção "Atividades registradas no Microsoft Stream em Logs de auditoria do Microsoft Stream.
Atividades do Microsoft Teams
A tabela seguinte lista as atividades do Microsoft Teams registadas no registo de auditoria do Microsoft 365. Você pode pesquisar o log de auditoria das atividades de usuários e de administradores no Microsoft Teams. O Teams é um espaço de trabalho baseado em chat no Microsoft 365. Ele reúne as conversas, reuniões, arquivos e anotações da equipe em um único lugar. Para obter orientações de pesquisa mais detalhadas, consulte Procurar eventos no registo de auditoria no Microsoft Teams.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Aceitar mensagem | UserAccepted | Aceite uma nova mensagem de uma pessoa com quem nunca tenha estabelecido contacto. |
| Bot adicionado à equipe | BotAddedToTeam | Um usuário adiciona um bot a uma equipe. |
| Canal adicionado | ChannelAdded | Um usuário adiciona um canal a uma equipe. |
| Conector adicionado | ConnectorAdded | Um usuário adiciona um conector a um canal. |
| Detalhes adicionados sobre a reunião do Teams 9 | MeetingDetail | O Teams adicionou informações sobre uma reunião, incluindo a hora de início, a hora de fim, o URL para participar na reunião e a hora de início/paragem da gravação da reunião. |
| Foram adicionadas informações sobre os participantes da reunião 9 | MeetingParticipantDetail | O Teams adicionou informações sobre os participantes de uma reunião, incluindo o ID de utilizador de cada participante, a hora em que um participante entrou na reunião, a hora em que um participante saiu da reunião e a hora de início/paragem de uma gravação da reunião pelo utilizador. Também pode ver registos com carimbos de data/hora e informações sobre: - Quem entrou numa reunião - Onde ocorreu a partilha de ecrã - Quem iniciou a partilha de ecrã - Quando ocorreu a partilha de ecrã - Quando a partilha de ecrã parou - Quando o controlo de tomada, atribuição ou pedido foi ativado - Se estes pedidos de controlo foram aceites - Quem aceitou estes pedidos de controlo - Com quem o conteúdo foi partilhado |
| Membros adicionados 6, 8 | MemberAdded | O proprietário de uma equipe adiciona membros a uma equipe, canal ou chat em grupo. |
| Guia adicionada | TabAdded | Um usuário adiciona uma guia a um canal. |
| Etiqueta de confidencialidade aplicada | SensitivityLabelApplied | Um utilizador ou organizador da reunião aplicou uma etiqueta de confidencialidade a uma reunião do Teams. |
| Pedido aprovado | ApprovedRequest | Depois de o utilizador ver os detalhes do pedido de aprovação, aprovou-o. |
| Bloquear utilizador | UserBlocked | Impedir um utilizador de lhe enviar mensagens. |
| Pedido de aprovação cancelado | CanceledApprovalRequest | O utilizador cancelou um pedido de aprovação que efetuou. |
| Aprovação cancelada de forma assíncrona | CancelledApprovalAsync | O utilizador cancela um pedido de aprovação de forma assíncrona. |
| Configuração de canal alterada | ChannelSettingChanged | A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um membro da equipe. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
| Configuração da organização alterada | TeamsTenantSettingChanged | A operação TeamsTenantSettingChanged é registada quando as seguintes atividades são executadas por um administrador global no Centro de administração do Microsoft 365. Estas atividades afetam as definições do Teams em toda a organização. Para saber mais, consulte Gerir definições do Teams para a sua organização. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
| Função de membros alterada na equipe | MemberRoleChanged | Um proprietário altera a função dos membros de uma equipe. Os seguintes valores indicam o tipo de função atribuído ao utilizador. 1 - A função Membro. 2 - A função Proprietário. 3 - A função Convidado. A propriedade Membros também inclui o nome da sua organização e o endereço de e-mail do membro. |
| Etiqueta de confidencialidade alterada | SensitivityLabelChanged | Um utilizador alterou uma etiqueta de confidencialidade numa reunião do Teams. |
| Configuração da equipe alterada | TeamSettingChanged | A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um proprietário da equipe. Para cada uma destas atividades, é apresentada uma descrição da definição que foi alterada (apresentada entre parênteses) na coluna Item nos resultados da pesquisa do registo de auditoria.
|
| Criar instância de modelo com âmbito de organização | CreateOrgScopedTemplateInstance | O utilizador criou uma instância de modelo no âmbito da organização. |
| Criar uma instância de modelo com âmbito de equipa | CreateTeamScopedTemplateInstance | O utilizador criou uma instância de modelo com âmbito de equipa. |
| Criar pedido de atualização | CreateUpdateRequest | O utilizador criou um novo modelo de atualização. |
| Criou uma conversa 1, 6 | ChatCreated | Foi criada uma conversa do Teams. |
| Aprovação criada | CreatedApproval | O utilizador criou um novo pedido de aprovação. |
| Aprovação criada de forma assíncrona | CreatedApprovalAsync | O utilizador cria um novo pedido de aprovação de forma assíncrona. |
| Tarefa de exportação criada | CreatedExportJob | O utilizador criou uma tarefa de exportação. |
| Aprovisionamento criado | CreatedProvisioning | O utilizador criou o aprovisionamento da instância do CDS (Common Data Service). |
| Equipe criada | TeamCreated | O usuário cria uma equipe. |
| Eliminar pedido de atualização | DeleteUpdateRequest | O utilizador elimina um modelo de atualização. |
| Eliminou uma mensagem 2 | MessageDeleted | Uma mensagem numa conversa ou canal foi eliminada. |
| Todas as aplicações da organização eliminadas | DeletedAllOrganizationApps | Todas as aplicações da organização foram eliminadas do catálogo. |
| Aplicação eliminada | AppDeletedFromCatalog | Uma aplicação foi eliminada do catálogo. |
| Canal excluído | ChannelDeleted | Um usuário exclui um canal de uma equipe. |
| Equipe excluída | TeamDeleted | Um proprietário de equipe exclui uma equipe. |
| Tentativa de representação detetada | TeamsImpersonationDetected | É detetado que um remetente de mensagens externas tem uma potencial atividade de representação. |
| Arquivo baixado | DownloadedFile | O utilizador transferiu um ficheiro anexado a um pedido de aprovação. |
| Editar instância de modelo com âmbito de organização | EditOrgScopedTemplateInstance | O utilizador editou uma instância de modelo no âmbito da organização. |
| Editar instância de modelo com âmbito de equipa | EditTeamScopedTemplateInstance | O utilizador editou uma instância de modelo com âmbito de equipa. |
| Editar pedido de atualização | EditUpdateRequest | O utilizador abre o assistente de edição de modelos e seleciona o botão Guardar para confirmar qualquer atualização ou ativar/desativar modelos. |
| Editou uma mensagem com uma ligação de URL no Teams | MessageEditedHasLink | Um utilizador edita uma mensagem e adiciona uma ligação de URL à mesma no Teams. |
| Pedido de aprovação editado | EditedApprovalRequest | O utilizador tomou uma ação de edição num pedido de aprovação. |
| Mensagens exportadas 1,2 | MensagensExportadas | As mensagens de chat ou de canal foram exportadas. |
| Gravações exportadas 1 | RecordingExported | As gravações de chat foram exportadas. |
| Transcrições exportadas 1 | TranscriçõesExportadas | As transcrições de conversas foram exportadas. |
| Falha ao validar o convite para o canal partilhado 3 | FailedValidation | Um utilizador responde a um convite para um canal partilhado, mas o convite falhou na validação. |
| Foi obtido todo o conteúdo alojado de uma mensagem1 | MessageHostedContentsListed | Todos os conteúdos alojados numa mensagem, como imagens ou fragmentos de código, foram obtidos. |
| Conversa obtida 1 | ChatRetrieved | Foi obtida uma conversa do Microsoft Teams. |
| Obter a instância de modelo no âmbito da organização | GetOrgScopedTemplateInstance | O utilizador obteve uma instância de modelo no âmbito da organização. |
| Obter a instância de modelo no âmbito da equipa | GetTeamScopedTemplateInstance | O utilizador obteve uma instância de modelo no âmbito da equipa. |
| Foi efetuada uma operação assíncrona | GotAsyncOperation | O utilizador obteve a entidade de operação assíncrona. |
| Aplicativo instalado | AppInstalled | Foi instalada uma aplicação. |
| Ação executada no card | PerformedCardAction | Um utilizador tomou medidas numa card adaptável numa conversa. Normalmente, os cartões ajustáveis são utilizados por bots para permitir a apresentação avançada de informações e interação em conversas. Apenas as ações de entrada inline numa card adaptável dentro de um chat estão disponíveis no registo de auditoria. Por exemplo, quando um utilizador submete uma resposta de inquérito numa conversação de canal numa card adaptável gerada por um bot de Inquérito. As ações do utilizador, como "Ver resultado", que abre uma caixa de diálogo ou ações do utilizador dentro das caixas de diálogo, não estão disponíveis no registo de auditoria. |
| Preencher notas geradas por IA no chat | AINotesUpdate | As notas geradas por IA foram preenchidas para uma conversa de grupo. |
| Preencher notas geradas por IA em reuniões em direto | LiveNotesUpdate | As notas geradas por IA foram preenchidas para uma reunião em direto. |
| Mensagem nova publicada 3,4,6, 8 | MessageSent | Foi publicada uma nova mensagem numa conversa ou num canal. |
| Aplicação publicada | AppPublishedToCatalog | Foi adicionada uma aplicação ao catálogo. |
| Ler uma mensagem 1 | MessageRead | Foi obtida uma mensagem de uma conversa ou canal. |
| Ler o conteúdo alojado de uma mensagem 1 | MessageHostedContentRead | O conteúdo alojado numa mensagem, como uma imagem ou um fragmento de código, foi obtido. |
| Pedido de aprovação reatribuído | ReassignedApprovalRequest | O utilizador reatribuiu um pedido de aprovação a outro utilizador. |
| Pedido de aprovação rejeitado | RejectedApprovalRequest | Depois de o utilizador ver os detalhes do pedido de aprovação, rejeitou-o. |
| Bot removido da equipe | BotRemovedFromTeam | Um usuário remove um bot de uma equipe. |
| Conector removido | ConnectorRemoved | Um utilizador remove um conector de um canal. |
| Membros removidos 6, 8 | MemberRemoved | O proprietário de uma equipe remove membros de uma equipe, canal ou chat em grupo. |
| Etiqueta de confidencialidade removida | SensitivityLabelRemoved | Um utilizador removeu uma etiqueta de confidencialidade de uma reunião do Teams. |
| Partilha removida do canal de equipa 3 | TerminatedSharing | Um proprietário de equipa ou canal desativou a partilha de um canal partilhado. |
| Guia removida | TabRemoved | Um usuário remove uma guia de um canal. |
| Respondeu à aprovação | RespondedToApproval | O utilizador tomou medidas num pedido de aprovação. |
| Respondeu ao convite para o canal partilhado 3 | InviteeResponded | Um utilizador respondeu a um convite de canal partilhado. |
| Respondeu à resposta do convite para o canal partilhado 3 | ChannelOwnerResponded | Um proprietário do canal respondeu a uma resposta de um utilizador que respondeu a um convite de canal partilhado. |
| Respondeu com resposta personalizada | RespondedWithCustomResponse | O utilizador respondeu com um texto de resposta personalizado a um pedido de aprovação. |
| Partilha restaurada do canal de equipa 3 | PartilhaRestored | Um proprietário de equipa ou canal reativava a partilha para um canal partilhado. |
| Mensagens obtidas 1 | Mensagens Listadas | Foram obtidas mensagens de um chat ou canal. |
| Conteúdo confidencial partilhado | SensitiveContentShared | Registado quando a opção Detetar conteúdo confidencial durante a partilha de ecrã está ativada para uma reunião do Teams e nessa reunião existe conteúdo confidencial (por exemplo, números de card de crédito, números de contas bancárias, números de segurança social e números de identificação semelhantes) apresentados no ecrã durante uma sessão de partilha de ecrã. Para saber mais, consulte Gerir se as reuniões na sua organização podem detetar conteúdos confidenciais durante a partilha de ecrã |
| Enviou uma mensagem com uma ligação de URL no Teams | MessageCreatedHasLink | Um utilizador envia uma mensagem com uma ligação de URL no Teams. |
| Notificação de alteração enviada para a criação de mensagens 1 | MessageCreatedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma nova mensagem. |
| Notificação de alteração enviada para eliminação de mensagens 1 | MessageDeletedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma mensagem eliminada. |
| Notificação de alteração enviada para a atualização de mensagens 1 | MessageUpdatedNotification | Foi enviada uma notificação de alteração para notificar uma aplicação de serviço de escuta subscrita de uma mensagem atualizada. |
| Convite enviado para o canal partilhado 3 | InviteSent | Um proprietário ou membro do canal envia um convite para um canal partilhado. Os convites para canais partilhados podem ser enviados para pessoas fora da sua organização se a política de canal estiver configurada para partilhar o canal com utilizadores externos. |
| Submeter atualização | SubmitUpdate | O utilizador submeteu uma nova atualização. |
| Subscrito às notificações de alteração de mensagens 1 | SubscribedToMessages | Uma subscrição foi criada por uma aplicação de serviço de escuta para receber notificações de alteração de mensagens. |
| Ação de Administração do Teams | TeamsAdminAction | Registado quando um administrador do Teams executa ações como atualizar, adicionar ou eliminar definições ou configurações relacionadas com o Teams com ferramentas de administração como o PowerShell, o Administração Center, a API, etc. |
| Criação de threads sondada | CreateThreadProbe | Um utilizador sondou se pode criar uma conversa com utilizadores na sua organização. As seguintes propriedades são preenchidas para cada uma destas atividades: Atividade: o nome desta atividade, CreateThreadProbe. CorrelationId: identificador de pedido exclusivo para o registo de auditoria. CreationTime: a hora em que o registo de auditoria foi criado. ExtraProperties**: Contém um único par chave-valor que descreve o ambiente onde o pedido de pesquisa foi iniciado. ID: o ID da entrada do relatório. O ID identifica exclusivamente a entrada do registo de auditoria. OrganizationId: o GUID da sua organização do Microsoft 365. ParticipantInfo: contém uma lista de pares objectId e tenantId que descrevem o conjunto de utilizadores de destino no qual o utilizador iniciador (utilizador UserKey) iniciou a pesquisa. Por outras palavras, este é o conjunto de utilizadores com o qual o utilizador iniciador quer criar um thread. Contém apenas utilizadores da sua organização. RecordType: o tipo de operação indicado pelo registo. UserID: o nome principal de utilizador do utilizador que iniciou a sonda. UserKey: GUID do utilizador que iniciou a sonda. UserSIPDomain: o domínio SIP do utilizador que iniciou a pesquisa. UserTenantId: o inquilino do utilizador que iniciou a pesquisa. UserType: o tipo de utilizador que iniciou a sonda. Assume apenas o valor 0, que representa um utilizador normal do AAD. Versão: o número da versão da atividade (identificado pela propriedade Operação) que é registada. Carga de trabalho: o serviço onde ocorreu a atividade. |
| Desbloquear Utilizador | UserUnblocked | Desbloqueie um utilizador que tenha sido bloqueado anteriormente. |
| Aplicação desinstalada | AppUninstalled | Uma aplicação foi desinstalada. |
| Atualização de uma conversa 1 | ChatUpdated | Foi atualizada uma conversa do Teams. |
| Foi atualizada uma mensagem 1 | MessageUpdated | Foi atualizada uma mensagem de uma conversa ou canal. |
| Aplicação atualizada | AppUpdatedInCatalog | Uma aplicação foi atualizada no catálogo. |
| Pedido de aprovação atualizado de forma assíncrona | UpdatedApprovalRequestAsync | O utilizador tomou medidas num pedido de aprovação de forma assíncrona. |
| Conector atualizado | ConnectorUpdated | Um usuário modificou um conector em um canal. |
| Guia atualizada | TabUpdated | Usuário modificou uma guia no canal. |
| Aplicação atualizada | Atualizado | Uma aplicação foi atualizada para a versão mais recente no catálogo. |
| Usuário entrou nas Equipes | TeamsSessionStarted | Um usuário entra em um cliente do Microsoft Teams. Este evento não captura as atividades de atualização de token. |
| Ver pedido de aprovação | ViewApprovalRequest | O utilizador faz um pedido para ver um pedido de aprovação. |
| Ver atualização | ViewUpdate | O utilizador vê os detalhes da atualização. |
| Pedido de aprovação visualizado | ViewedApprovalRequest | O utilizador vê os detalhes do pedido de aprovação a partir da card adaptável ou da aplicação. |
| Aprovação visualizada com campo adicional | ViewedApprovalWithAdditionalField | O utilizador vê os detalhes do pedido de aprovação que contém, pelo menos, um campo de texto editável. |
| Aprovação visualizada com pedido de grupo | ViewedApprovalWithGroupRequest | O utilizador vê os detalhes do pedido de aprovação com um grupo incluído. |
Observação
1 Um registo de auditoria para este evento só é registado quando a operação é efetuada ao chamar um API do Graph da Microsoft. Se a operação for efetuada no cliente do Teams, não é registado um registo de auditoria.
2 Este evento só está disponível em Auditoria (Premium). Isto significa que tem de ser atribuída aos utilizadores a licença adequada antes de estes eventos serem registados no registo de auditoria. Para obter mais informações sobre as atividades apenas disponíveis na Auditoria (Premium), consulte Auditoria (Premium) no Microsoft Purview. Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
3 Este evento está em pré-visualização pública.
4Este evento é gerado para chat apenas se existirem convidados, utilizadores federados e/ou anónimos.
5 Este evento está atualmente indisponível nas organizações Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
6 Este evento está incluído em todos os inquilinos participantes para conversas federadas.
7 Este evento tem informações de domínio participantes para conversas federadas 1:1.
8 Este evento está incluído em todas as conversações de chat entre utilizadores externos do Teams geridos por uma organização e utilizadores externos do Teams não geridos por uma organização.
9 Este evento está atualmente indisponível na Cloud da Comunidade Governamental (GCC), mas está disponível nas organizações Government Community Cloud High (GCC-High) e Department of Defense (DoD).
Atividades do Microsoft Teams Healthcare
Se a sua organização utilizar a aplicação Pacientes no Microsoft Teams, pode procurar no registo de auditoria atividades relacionadas com a aplicação Pacientes. Se o seu ambiente estiver configurado para suportar a aplicação Pacientes, está disponível um grupo de atividade adicional para estas atividades na lista Seletor de atividades .
Para obter uma descrição das atividades do aplicativos Patients, confira Logs de auditoria para aplicativo Patients.
Atividades de Turnos do Microsoft Teams
A tabela seguinte lista a aplicação Shift nas atividades do Microsoft Teams registadas no registo de auditoria do Microsoft 365. Se a sua organização utilizar a aplicação Turnos no Microsoft Teams, pode procurar atividades relacionadas com a aplicação Turnos no registo de auditoria. Se o seu ambiente estiver configurado para suportar aplicações Shifts, a lista Seletor de atividades inclui um grupo de atividade adicional para estas atividades.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Mensagem aceite fora do turno | OffShiftDialogAccepted | Um utilizador reconheceu a mensagem off-shift para aceder ao Teams após o horário de turno. |
| Foi adicionado o turno aberto | OpenShiftAdded | Um utilizador adicionou um turno aberto a um grupo de agendamento. |
| Grupo de agendamento adicionado | ScheduleGroupAdded | Um utilizador adicionou um novo grupo de agendamento à agenda. |
| Turno adicionado | ShiftAdded | Um utilizador adicionou um turno. |
| Pedido de turno adicionado | RequestAdded | Um utilizador adicionou um pedido de turno. |
| Entrada de relógio de hora adicionada | TimeClockEntryAdded | Um utilizador adicionou uma nova entrada de relógio de hora manual na Folha de Horas. |
| Tempo de folga adicionado | TimeOffAdded | Um utilizador adicionou folgas na agenda. |
| Integração da força de trabalho adicionada | WorkforceIntegrationAdded | A aplicação Shifts está integrada num sistema de terceiros. |
| Pedido de turno cancelado | RequestCancelled | Um utilizador cancelou um pedido de turno. |
| Definição de agenda alterada | ScheduleSettingChanged | Um utilizador alterou uma definição nas definições de Turnos. |
| Cronometrado com o relógio de tempo | ClockedIn | Um utilizador acedeu através do Relógio de Tempo. |
| Tempo limite excedido através do Relógio | ClockedOut | Um utilizador excedeu o limite de tempo utilizando o relógio de tempo. |
| Turno aberto eliminado | OpenShiftDeleted | Um utilizador eliminou um turno aberto de um grupo de agendamento. |
| Grupo de agendamento eliminado | ScheduleGroupDeleted | Um utilizador eliminou um grupo de agendamento da agenda. |
| Turno eliminado | ShiftDeleted | Um utilizador eliminou um turno. |
| Entrada de relógio de hora eliminada | TimeClockEntryDeleted | Um utilizador eliminou uma entrada de relógio de hora na Folha de Horas. |
| Tempo de folga eliminado | TimeOffDeleted | Um utilizador eliminou folgas. |
| Turno aberto editado | OpenShiftEdited | Um utilizador editou um turno aberto num grupo de agendamento. |
| Grupo de agendamento editado | ScheduleGroupEdited | Um utilizador editou um grupo de agendamento. |
| Turno editado | ShiftEdited | Um utilizador editou um turno. |
| Entrada de relógio de hora editada | TimeClockEntryEdited | Um utilizador editou uma entrada de relógio de hora na Folha de Horas. |
| Tempo de folga editado | TimeOffEdited | Um utilizador editou folgas. |
| Interrupção terminada com o Relógio de Tempo | BreakEnded | Um utilizador terminou uma interrupção durante uma sessão ativa do Relógio. |
| Respondeu ao pedido de turno | RequestRespondedTo | Um utilizador respondeu a um pedido de turno. |
| Agenda partilhada | ScheduleShared | Um utilizador partilhou uma agenda de equipa para um intervalo de datas. |
| Interrupção iniciada com o Relógio de Tempo | BreakStarted | Um utilizador iniciou uma pausa durante uma sessão ativa do Relógio. |
| Agenda retirada | ScheduleWithdrawn | Um utilizador retirou uma agenda publicada. |
Atividades de Atualizações do Microsoft Teams
A tabela seguinte lista as atividades da aplicação Atualizações no Microsoft Teams registadas no registo de auditoria do Microsoft 365. Se a sua organização utilizar a aplicação Atualizações no Microsoft Teams, pode procurar atividades relacionadas com a aplicação Atualizações no registo de auditoria. Se o seu ambiente estiver configurado para suportar aplicações Atualizações, a lista Seletor de atividades inclui um grupo de atividades adicional para estas atividades.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Criar um pedido de atualização | CreateUpdateRequest | Um utilizador criou um pedido de atualização. |
| Editar um pedido de atualização | EditUpdateRequest | Um utilizador abre o fluxo de trabalho de edição de pedidos e seleciona Guardar para confirmar e guardar quaisquer alterações ou ativa ou desativa o pedido de atualização diretamente. |
| Submeter uma atualização | SubmitUpdate | Um utilizador submeteu uma atualização. |
| Ver os detalhes de uma atualização | ViewUpdate | Um utilizador vê os detalhes da atualização. |
Atividades do Microsoft To Do
A tabela seguinte lista as atividades no Microsoft To Do que o registo de auditoria do Microsoft 365 regista. Para obter mais informações sobre o Microsoft To Do, consulte Suporte para o Microsoft To Do.
Observação
Para auditar eventos para atividades do Microsoft To Do, precisa de uma licença de Project Plano 1 paga (ou superior) para além da licença do Microsoft 365 relevante que inclua direitos a Auditoria (Standard).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Ligação de partilha aceite na pasta | AcceptedSharingLinkOnFolder | Ligação de partilha aceite para uma pasta. |
| Anexo criado | AnexoCriado | Foi criado um anexo para uma tarefa. |
| Anexo eliminado | AttachmentDeleted | Um anexo foi eliminado. |
| Anexo atualizado | AnexoSatualizados | Um anexo foi atualizado. |
| Ligação de partilha de pastas partilhada | PastaSharingLinkShared | Criou uma ligação de partilha para uma pasta. |
| Entidade ligada criada | LinkedEntityCreated | Foi criada uma entidade ligada da tarefa. |
| Entidade ligada eliminada | LinkedEntityDeleted | Uma entidade ligada foi eliminada. |
| Entidade ligada atualizada | LinkedEntityUpdated | Uma entidade ligada foi atualizada. |
| SubTarefa criada | SubTarefaCriada | Foi criada uma subtarefa. |
| SubTarefa eliminada | SubTaskDeleted | Uma subtarefa foi eliminada. |
| SubTarefa atualizada | SubTaskUpdated | Foi atualizada uma subtarefa. |
| Tarefa criada | TarefaCriada | Foi criada uma tarefa. |
| Tarefa eliminada | TaskDeleted | Uma tarefa foi eliminada. |
| Leitura da tarefa | TaskRead | Uma tarefa foi lida. |
| Tarefa atualizada | Tarefas Desatualizadas | Uma tarefa foi atualizada. |
| Lista de Tarefas criada | TaskListCreated | Foi criada uma lista de tarefas. |
| Leitura da Lista de Tarefas | TaskListRead | Foi lida uma lista de tarefas. |
| Lista de Tarefas atualizada | TaskListUpdated | Foi atualizada uma lista de tarefas. |
| Utilizador convidado | UserInvited | Utilizador convidado para uma pasta. |
atividades de Microsoft Viva Insights
O Viva Insights fornece informações sobre como os grupos colaboram na sua organização. A tabela seguinte lista as atividades registadas no registo de auditoria do Microsoft 365 que os utilizadores atribuíram às funções de Administrador ou Analista no Viva Insights. Os usuários que receberam a função de Analista têm acesso total a todos os recursos de serviço e usam o produto para fazer análise. Os utilizadores atribuídos à função administrador podem configurar as predefinições de privacidade e do sistema e podem preparar, carregar e verificar dados organizacionais no Viva Insights. Para obter mais informações, consulte Introdução Microsoft Viva Insights.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Link OData acessado | AccessedOdataLink | O analista acessou o link OData para uma consulta. |
| Acesso delegado adicionado | AddDelegates | Um utilizador adicionou acesso delegado às informações da organização ou ao Copilot dashboard. |
| Consulta cancelada | CanceledQuery | O analista cancelou uma consulta em execução. |
| Exclusão de reunião criada | MeetingExclusionCreated | O analista criou uma regra de exclusão de reunião. |
| Resultado excluído | DeletedResult | O analista excluiu um resultado de consulta. |
| Relatório baixado | DownloadedReport | O analista baixou um arquivo de resultado da consulta. |
| Consulta executada | ExecutedQuery | O analista executou uma consulta. |
| Definições de CXO Modificadas | ModifiedCXOSettings | Este evento regista a atribuição ou remoção de utilizadores/grupos para aceder ao Dashboard do Microsoft 365 Copilot. |
| Lista de Exclusão Modificada com o Grupo Entra | ModifiedExclusionListUsingEntraGroup | Este evento regista as alterações à lista de exclusão com o grupo Entra no Dashboard do Copilot. |
| Tamanho Mínimo de Grupo Modificado | ModifiedMinimumGroupSize | Este evento regista modificações ao tamanho de grupo mínimo da organização para gerar informações no Dashboard do Copilot e na análise avançada do Viva Insights. |
| Acesso delegado removido | RemoverDelegates | Um utilizador removeu o acesso delegado para informações da organização ou copilot dashboard. |
| Configuração do acesso a dados atualizada | UpdatedDataAccessSetting | O administrador atualizou as configurações de acesso a dados. |
| Dados da organização carregados | UploadedOrgData | O administrador carregou um arquivo de dados organizacional. |
| Usuário conectado* | UserLoggedIn | Um usuário conectado à conta de usuário do Microsoft 365. |
| Exploração Exibida | ViewedExplore | O analista exibiu as visualizações em uma ou mais guias da página de Exploração. |
Observação
*É criado um Microsoft Entra evento de atividade de início de sessão quando um utilizador inicia sessão. Esta atividade é registada mesmo que não ative o Viva Insights na sua organização. Para obter mais informações sobre as atividades de início de sessão do utilizador, veja Registos de início de sessão no Microsoft Entra ID.
Atividades de informações pessoais
A tabela seguinte lista as atividades nas informações pessoais registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre informações pessoais, veja Administração guia para informações pessoais.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Configurações atualizadas do MyAnalytics da organização | UpdatedOrganizationMyAnalyticsSettings | Administração atualiza as definições ao nível da organização para informações pessoais. |
| Configurações atualizadas do usuário do MyAnalytics | UpdatedUserMyAnalyticsSettings | Administração atualiza as definições de utilizador para informações pessoais. |
Atividades de quarentena
A tabela seguinte lista as atividades de quarentena registadas no registo de auditoria do Microsoft 365. Para obter mais informações sobre quarentena, confira Mensagens de email em quarentena.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Mensagem de quarentena excluída | QuarantineDeleteMessage | Um administrador ou utilizador eliminou uma mensagem de e-mail prejudicial. |
| Pedido de versão de mensagem de quarentena negado | QuarantineReleaseRequestDeny | Uma negação do administrador para um pedido de versão de um utilizador para uma mensagem de e-mail prejudicial. |
| Mensagem de quarentena exportada | QuarantineExport | Um administrador ou utilizador exportou uma mensagem de e-mail prejudicial. |
| Mensagem de quarentena exibida | QuarantinePreview | Um administrador ou utilizador pré-visualizou uma mensagem de e-mail prejudicial. |
| Mensagem de quarentena do pedido de versão | QuarantineReleaseRequest | Um utilizador pediu a divulgação de uma mensagem de e-mail prejudicial. |
| Mensagem de quarentena liberada | QuarantineRelease | Um administrador ou utilizador divulgou uma mensagem de e-mail da quarentena que era prejudicial. |
| Cabeçalho de mensagem de quarentena exibida | QuarantineViewHeader | Um administrador ou utilizador viu o cabeçalho de uma mensagem de e-mail prejudicial. |
Atividades de relatório
A tabela seguinte lista as atividades dos relatórios de utilização registados no registo de auditoria do Microsoft 365.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Configurações de privacidade do relatório de uso atualizadas | UpdateUsageReportsPrivacySetting | Configurações de privacidade atualizadas pelo administrador para relatórios de uso. |
Política de retenção e atividades do rótulo de retenção
A tabela seguinte lista as atividades de configuração registadas no registo de auditoria do Microsoft 365 para políticas de retenção e etiquetas de retenção quando as cria, reconfigura ou elimina.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Associação de escopo adaptável alterada | ApplicableAdaptiveScopeChange | Usuários, sites ou grupos foram adicionados ou removidos do escopo adaptável. Estas alterações resultam da execução da consulta do âmbito. Como as alterações são iniciadas pelo sistema, o usuário relatado é exibido como um GUID em vez de uma conta de usuário. |
| Configurações definidas para uma política de retenção | NewRetentionComplianceRule | As configurações de retenção para uma nova política de retenção foram definidas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet New-RetentionComplianceRule. |
| Escopo adaptável criado | NewAdaptiveScope | O administrador criou um escopo adaptável. |
| Criado o rótulo de retenção | NewComplianceTag | Um novo rótulo de retenção foi criado pelo administrador. |
| Criada a política de retenção | NewRetentionCompliancePolicy | Uma nova política de retenção foi criada pelo administrador. |
| Escopo adaptável excluído | RemoveAdaptiveScope | O administrador excluiu um escopo adaptável. |
| Rótulo de retenção excluído | RemoveComplianceTag | Um rótulo de retenção foi excluído pelo administrador. |
| Excluída a política de retenção | RemoveRetentionCompliancePolicy |
Uma política de retenção foi excluída pelo administrador. |
| As configurações de uma política de retenção foram excluídas | RemoveRetentionComplianceRule |
As definições de configuração de uma política de retenção foram excluídas pelo administrador. Provavelmente, essa atividade é registrada quando um administrador exclui uma política de retenção ou executa o cmdlet Remove-RetentionComplianceRule. |
| A opção de registro regulatório foi habilitada para etiquetas de retenção |
SetRestrictiveRetentionUI | O administrador executou o cmdlet Set-RegulatoryComplianceUI para que um administrador possa selecionar a opção de configuração da IU para que um rótulo de retenção marque o conteúdo como um registro regulamentar. |
| Item de e-mail retido proativamente | ExchangeDataProactivelyPreserved | A proteção adaptável aplicou automaticamente uma etiqueta de retenção para reter um item no Exchange. |
| Ficheiro retido proativamente | SharePointDataProactivelyPreserved | A proteção adaptável aplicou automaticamente uma etiqueta de retenção para reter um item no SharePoint ou no OneDrive. |
| Escopo adaptável atualizado | SetAdaptiveScope | O administrador alterou a descrição ou a consulta para um escopo adaptável existente. |
| Rótulo de retenção atualizado | SetComplianceTag | Um rótulo de retenção existente foi atualizado pelo administrador. |
| Política de retenção atualizada | SetRetentionCompliancePolicy | Uma política de retenção existente foi atualizada pelo administrador. As atualizações que acionam este evento incluem adicionar ou excluir locais de conteúdo aos quais a política de retenção é aplicada. |
| Configurações atualizadas para uma política de retenção | SetRetentionComplianceRule | As configurações de retenção para uma política de retenção existente foram alteradas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet Set-RetentionComplianceRule. |
Atividades de administração de funções
A tabela seguinte lista Microsoft Entra atividades de administração de funções registadas no registo de auditoria do Microsoft 365 quando um administrador gere funções de administrador no Centro de administração do Microsoft 365 ou no portal de gestão do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Adicionar membro à função | Adicione o membro à função. | Usuário adicionado a uma função de administração no Microsoft 365. |
| Usuário removido de uma função de diretório | Remova membro da função. | Usuário removido de uma função de administração no Microsoft 365. |
| Definir informações de contato da empresa | Defina as informações de contato da empresa. | Preferências de contato no nível da empresa atualizadas para a sua organização. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Microsoft 365 e notificações técnicas sobre serviços. |
Atividades de tipos de informações confidenciais
A tabela seguinte lista os eventos de auditoria para atividades registadas no registo de auditoria do Microsoft 365 que envolvem a criação e atualização de tipos de informações confidenciais.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Novo tipo de informações confidenciais criado | CreateRulePackage/EditRulePackage* | Foi criado um novo tipo de informação confidencial. Estas informações incluem quaisquer SITs criados ao copiar um SIT fora da caixa. Nota: esta atividade é apresentada nas atividades de auditoria "Pacote de regra criado" ou "Pacote de regras editado". |
| Eliminou um tipo de informação confidencial | EditRulePackage/RemoveRulePackage | Foi eliminado um tipo de informação confidencial existente. Esta atividade é apresentada na atividade de auditoria "Pacote de regras editada" ou "Pacote de regras removido". |
| Editou um tipo de informação confidencial | EditRulePackage | Foi editado um tipo de informação confidencial existente. Estas informações podem incluir operações como adicionar ou remover um padrão e editar o regex ou palavra-chave associados ao tipo de informações confidenciais. Esta atividade é apresentada na atividade de auditoria "Pacote de regras editado". |
Atividades de rótulo de sensibilidade
A tabela seguinte lista os eventos registados no registo de auditoria do Microsoft 365 que resultam da utilização de etiquetas de confidencialidade com contentores e itens geridos pelo Microsoft Purview. Os contentores incluem sites do SharePoint, sites do Teams e Loop áreas de trabalho. Os itens incluem documentos, e-mails, eventos de calendário, Loop componentes e páginas e páginas Copilot. Para políticas de etiquetagem automática, os itens também incluem ficheiros e recursos de dados no Mapa de Dados do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Rótulo de sensibilidade aplicado ao site | FileSensitivityLabelApplied SensitivityLabelApplied |
Foi aplicada uma etiqueta de confidencialidade a um item através das aplicações do Microsoft 365, Office para a Web, do painel de detalhes numa biblioteca de documentos do SharePoint ou do separador Ficheiros no Teams ou de uma política de etiquetagem automática. As operações para esta atividade são diferentes consoante a forma como a etiqueta foi aplicada: - Office para a Web, painel de detalhes numa biblioteca de documentos do SharePoint ou no separador Ficheiros no Teams ou numa política de etiquetagem automática (FileSensitivityLabelApplied) - Aplicações do Microsoft 365 (SensitivityLabelApplied) |
| Rótulo de sensibilidade aplicado ao site | SiteSensitivityLabelApplied | Foi aplicada uma etiqueta de confidencialidade a um site do SharePoint, a um site do Teams que não está ligado a um grupo ou a uma área de trabalho Loop. |
| Rótulo de sensibilidade alterado aplicado ao arquivo | FileSensitivityLabelChanged SensitivityLabelUpdated |
Foi aplicada uma etiqueta de confidencialidade diferente a um item. As operações para essa atividade são diferentes dependendo de como o rótulo foi alterado: - Office para a Web, painel de detalhes numa biblioteca de documentos do SharePoint ou no separador Ficheiros no Teams ou numa política de etiquetagem automática (FileSensitivityLabelChanged) - Microsoft 365 Apps (SensitivityLabelUpdated) |
| Rótulo de confidencialidade alterado em um site | SiteSensitivityLabelChanged | Foi aplicada uma etiqueta de confidencialidade diferente a um site do SharePoint, a um site do Teams que não está ligado a um grupo ou a uma área de trabalho Loop. |
| Falha ao aplicar a etiqueta de confidencialidade do ficheiro | FileSensitivityLabelAppliedFailed | Não foi possível aplicar uma etiqueta de confidencialidade a um item através de Office para a Web, do painel de detalhes numa biblioteca de documentos do SharePoint ou do separador Ficheiros no Teams ou de uma política de etiquetagem automática. |
| Falha ao alterar a etiqueta de confidencialidade do ficheiro | FileSensitivityLabelChangedFailed | Não foi possível aplicar uma etiqueta de confidencialidade diferente a um item através de Office para a Web, do painel de detalhes numa biblioteca de documentos do SharePoint ou do separador Ficheiros no Teams ou de uma política de etiquetagem automática. |
| Falha ao remover a etiqueta de confidencialidade do ficheiro | FileSensitivityLabelRemovedFailed | Não foi possível remover uma etiqueta de confidencialidade de um item através de Office para a Web, do painel de detalhes numa biblioteca de documentos do SharePoint ou do separador Ficheiros no Teams ou de uma política de etiquetagem automática. |
| Rótulo de sensibilidade removido do site | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Uma etiqueta de confidencialidade foi removida de um item com aplicações do Microsoft 365, Office para a Web, o painel de detalhes numa biblioteca de documentos do SharePoint ou o separador Ficheiros no Teams, uma política de etiquetagem automática ou o cmdlet Unlock-SPOSensitivityLabelEncryptedFile. As operações para esta atividade são diferentes consoante a forma como a etiqueta foi removida: - Office para a Web, painel de detalhes numa biblioteca de documentos do SharePoint ou no separador Ficheiros no Teams ou numa política de etiquetagem automática (FileSensitivityLabelRemoved) - Aplicações do Microsoft 365 (SensitivityLabelRemoved) |
| Rótulo de sensibilidade removido do site | SiteSensitivityLabelRemoved | Uma etiqueta de confidencialidade foi removida de um site do SharePoint, site do Teams que não está ligado a um grupo ou uma área de trabalho Loop. |
A tabela seguinte lista as descrições dos valores registados no registo de auditoria do Microsoft 365 incluídos na propriedade FailureReason para atividades de auditoria que registam falhas de aplicação, alteração ou remoção de etiquetas de confidencialidade. Estas propriedades não estão disponíveis para outras atividades de etiquetas de confidencialidade:
| Propriedade FailureReason | Descrição da propriedade |
|---|---|
| CannotOverrideCurrentLabel | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque a etiqueta de confidencialidade atualmente aplicada tem uma prioridade mais alta. |
| DowngradeJustificationTextMissing | A etiqueta de confidencialidade não foi atribuída ao ficheiro porque é necessário texto de justificação para esta operação. |
| FileEncrypted | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque está encriptada. |
| FileExtensionNotSupported | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque o tipo de ficheiro não é suportado para esta operação. |
| FileLockedOrCheckedOut | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque está bloqueada ou com saída dada. |
| FileNotFound | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque não está disponível. |
| FicheiroNotSupported | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque não suporta esta operação. |
| FileTooLarge | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque é demasiado grande para suportar esta operação. |
| InvalidArgument | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque alguns parâmetros fornecidos para efetuar esta operação não são válidos. |
| LabelIdNotFound | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque a etiqueta de confidencialidade fornecida não está disponível ou não é válida. |
| LabelNotSupported | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque a etiqueta de confidencialidade fornecida não é suportada. |
| LabelOperationsDisabled | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque a operação de etiqueta de confidencialidade está desativada no ficheiro. |
| MinorVersionLimitExceeded | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque o limite de versões foi excedido. |
| UnauthorizedAccessException | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque o utilizador atual não está autorizado a executar esta operação. |
| Desconhecido | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro devido a um erro interno. |
| ZeroByteFileError | Não foi atribuída uma etiqueta de confidencialidade ao ficheiro porque a operação não pode ser efetuada num ficheiro de byte zero. |
Informações de auditoria adicionais para etiquetas de confidencialidade:
- Quando utiliza etiquetas de confidencialidade para Grupos do Microsoft 365 e, por conseguinte, sites do Teams ligados a grupos, as etiquetas são auditadas com a gestão de grupos no Microsoft Entra ID. Para obter mais informações, veja Registos de auditoria no Microsoft Entra ID.
- Quando utiliza etiquetas de confidencialidade para convites para reuniões do Teams e opções de reunião e chat do Teams, consulte Procurar eventos no registo de auditoria no Microsoft Teams.
- Quando utiliza etiquetas de confidencialidade com o Power BI, veja Auditar o esquema para etiquetas de confidencialidade no Power BI.
- Quando utiliza etiquetas de confidencialidade com Microsoft Defender para aplicações na cloud, veja Governing connected apps and the labeling information for file governance actions (Governar aplicações ligadas e informações de etiquetagem para ações de governação de ficheiros).
Atividades de lista do SharePoint
A tabela seguinte descreve as atividades registadas no registo de auditoria do Microsoft 365 relacionadas com quando os utilizadores interagem com listas e itens de lista no SharePoint. Os registos de auditoria de algumas atividades do SharePoint mostram que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Lista criada | ListCreated | Um usuário criou uma lista do SharePoint. |
| Coluna de lista criada | ListColumnCreated | Um usuário criou uma coluna de lista do SharePoint. Uma coluna de lista é uma coluna anexada a uma ou mais listas do SharePoint. |
| Tipo de conteúdo de lista criado | ListContentTypeCreated | Um usuário criou um tipo de conteúdo de lista. Um tipo de conteúdo de lista é um tipo de conteúdo anexado a uma ou mais listas do SharePoint. |
| Item de lista criado | ListItemCreated | Um usuário criou um item em uma lista do SharePoint existente. |
| Coluna de site criada | SiteColumnCreated | Um usuário criou uma coluna de site do SharePoint. Uma coluna de site é uma coluna que não está anexada a uma lista. Uma coluna de site é também uma estrutura de metadados que pode ser usada por qualquer lista em uma determinada Web. |
| Tipo de conteúdo de site criado | ContentType do site criado | Um usuário criou um tipo de conteúdo de site. Um tipo de conteúdo de site é um tipo de conteúdo anexado ao site primário. |
| Lista excluída | ListDeleted | Um usuário excluiu uma lista do SharePoint. |
| Coluna de lista excluída | Coluna de Lista Excluída | Um usuário excluiu uma coluna de lista do SharePoint. |
| Tipo de conteúdo de lista excluído | ListContentTypeDeleted | Um usuário excluiu um tipo de conteúdo de lista. |
| Item de lista excluído | Item de Lista Excluído | Um usuário excluiu um item de lista do SharePoint. |
| Coluna de site excluída | SiteColumnDeleted | Um usuário excluiu uma coluna de site do SharePoint. |
| Tipo de conteúdo de site excluído | SiteContentTypeDeleted | Um usuário excluiu um tipo de conteúdo de site. |
| Item de lista reciclado | ListItemRecycled | Um usuário moveu um item de lista do SharePoint para a Lixeira. |
| Lista restaurada | ListRestored | Um usuário restaurou uma lista do SharePoint da Lixeira. |
| Item de lista restaurado | ListItemRestored | Um usuário restaurou um item de lista do SharePoint da Lixeira. |
| Lista atualizada | ListUpdated | Um usuário atualizou uma lista do SharePoint modificando uma ou mais propriedades. |
| Coluna da lista atualizada | ListColumnUpdated | Um usuário atualizou uma coluna de lista do SharePoint modificando uma ou mais propriedades. |
| Tipo de conteúdo de lista atualizado | ListContentTypeUpdated | Um usuário atualizou um tipo de conteúdo de lista modificando uma ou mais propriedades. |
| Item de lista atualizado | ListItemUpdated | Um usuário atualizou um item de lista do SharePoint modificando uma ou mais propriedades. |
| Vista de lista atualizada | ListViewUpdated | Um utilizador atualizou uma vista de lista do SharePoint ao modificar uma ou mais propriedades. |
| Coluna de site atualizada | SiteColumnUpdated | Um usuário atualizou uma coluna de site do SharePoint modificando uma ou mais propriedades. |
| Tipo de conteúdo de site atualizado | SiteContentTypeUpdated | Um usuário atualizou um tipo de conteúdo de site modificando uma ou mais propriedades. |
Atividades de compartilhamento e solicitação de acesso
A tabela seguinte lista as atividades de partilha e pedido de acesso do utilizador no SharePoint e no OneDrive registadas no registo de auditoria do Microsoft 365. Para eventos de compartilhamento, a coluna Detalhes em Resultados identifica o nome do usuário ou do grupo com o qual o item foi compartilhado e se esse usuário ou grupo é um membro ou convidado na sua organização. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria.
Observação
Os utilizadores podem ser membros ou convidados com base na propriedade UserType do objeto de utilizador. Um membro é geralmente um funcionário, enquanto um convidado é geralmente um colaborador fora da sua organização. Quando um usuário aceita um convite de compartilhamento (e ainda não faz parte da sua organização), uma conta de convidado é criada para ele no diretório da sua organização. Assim que o utilizador convidado tiver uma conta no diretório, os recursos poderão ser partilhados diretamente com o mesmo (sem necessidade de um convite).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Solicitação de acesso aceita | AccessRequestAccepted | Foi aceite um pedido de acesso a um site, pasta ou documento e foi concedido acesso ao utilizador requerente. |
| Convite de compartilhamento aceito | SharingInvitationAccepted | O usuário (membro ou convidado) aceitou um convite de compartilhamento e recebeu acesso a um recurso. Esse evento inclui informações sobre o usuário que foi convidado e sobre o endereço de email que foi usado para aceitar o convite (eles podem ser diferentes). Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário obteve acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso. |
| Nível de permissão adicionado ao conjunto de sites | PermissionLevelAdded | Um nível de permissão foi adicionado a um conjunto de sites. |
| Convite de compartilhamento bloqueado | SharingInvitationBlocked | Um convite de compartilhamento enviado por um usuário em sua organização é bloqueado devido a uma política de compartilhamento externo que permite ou nega o compartilhamento externo com base no domínio do usuário de destino. Nesse caso, o convite de compartilhamento foi bloqueado porque: O domínio do usuário de destino não está incluído na lista de domínios permitidos. Ou O domínio do usuário de destino está incluído na lista de domínios bloqueados. Para obter mais informações sobre como permitir ou bloquear a partilha externa com base em domínios, consulte Partilha restrita de domínios no SharePoint e no OneDrive. |
| Link compartilhável da empresa criado | CompanyLinkCreated | O usuário criou um link de toda a empresa para um recurso. As ligações para toda a empresa só podem ser utilizadas por membros da sua organização. Eles não podem ser usados por convidados. |
| Solicitação de acesso criada | AccessRequestCreated | O usuário solicita acesso a um site, pasta ou documento que ele não tem permissões para acessar. |
| Um link anônimo criado | AnonymousLinkCreated | O usuário criou um link anônimo para um recurso. Qualquer pessoa com esse link pode acessar o recurso sem ter que se autenticar. |
| Link seguro criado | SecureLinkCreated | Um link de compartilhamento seguro foi criado para esse item. |
| Convite de compartilhamento criado | SharingInvitationCreated | O utilizador partilhou um recurso no SharePoint ou no OneDrive com um utilizador que não está no diretório da sua organização. |
| Link seguro excluído | SecureLinkDeleted | Um link de compartilhamento seguro foi excluído. |
| Solicitação de acesso negada | AccessRequestDenied | Uma solicitação de acesso a um site, pasta ou documento foi negada. |
| Link compartilhável da empresa removido | CompanyLinkRemoved | O usuário removeu um link de empresa para um recurso. O link não pode mais ser usado para acessar o recurso. |
| Link anônimo removido | AnonymousLinkRemoved | O usuário removeu um link anônimo para um recurso. O link não pode mais ser usado para acessar o recurso. |
| Arquivo, pasta ou site compartilhado | SharingSet | O utilizador (membro ou convidado) partilhou um ficheiro, pasta ou site no SharePoint ou oneDrive com um utilizador no diretório da sua organização. O valor na coluna Detalhes dessa atividade identifica o nome do usuário com o qual o recurso foi compartilhado e se esse usuário é um membro ou convidado. Geralmente, essa atividade é acompanhada por um segundo evento que descreve como o usuário recebeu o acesso ao recurso. Por exemplo, a adição do usuário a um grupo com acesso ao recurso. |
| Arquivo, pasta ou site não compartilhado | SharingRevoked | O usuário (membro ou convidado) cancelou o compartilhamento de um arquivo, pasta ou site que havia sido compartilhado com outro usuário. |
| Solicitação de acesso atualizado | AccessRequestUpdated | Uma solicitação de acesso a um item foi atualizada. |
| Link anônimo atualizado | AnonymousLinkUpdated | O usuário atualizou um link anônimo para um recurso. O campo atualizado é incluído na propriedade EventData quando você exporta os resultados da pesquisa. |
| Convite de compartilhamento atualizado | SharingInvitationUpdated | Um convite de compartilhamento externo foi atualizado. |
| Link compartilhável da empresa usado | CompanyLinkUsed | O usuário acessou um recurso usando um link de empresa. |
| Link anônimo usado | AnonymousLinkUsed | Um usuário anônimo acessou um recurso usando um link anônimo. A identidade do usuário pode ser desconhecida, mas você pode obter outros detalhes, como seu endereço IP. |
| Link seguro usado | SecureLinkUsed | Um usuário usou um link seguro. |
| Usuário adicionado a um link seguro | AddedToSecureLink | Um usuário foi adicionado à lista de entidades que podem usar um link de compartilhamento seguro. |
| Usuário removido do link seguro | RemovedFromSecureLink | Um usuário foi removido da lista de entidades que podem usar um link de compartilhamento seguro. |
| Convite de compartilhamento retirado | SharingInvitationRevoked | O usuário retirou um convite de compartilhamento para um recurso. |
Atividades de administração do site
A tabela seguinte lista os eventos resultantes de tarefas de administração de sites no SharePoint e são registados no registo de auditoria do Microsoft 365. Os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Local de dados permitido adicionado | AllowedDataLocationAdded | Um administrador global ou do SharePoint adicionou uma localização de dados permitida num ambiente multigeo. |
| Agente de usuário isento adicionado | ExemptUserAgentSet | Um administrador global ou do SharePoint adicionou um agente de usuário à lista de agentes de usuário isentos no centro de administração do SharePoint. |
| Administrador de localização geográfica adicionado | GeoAdminAdded | Um administrador global ou do SharePoint adicionou um usuário como um administrador geográfico de um local. |
| Usuário com permissão para criar grupos | AllowGroupCreationSet | O proprietário ou administrador do site adiciona um nível de permissão a um site, que permite que um usuário com essa permissão crie um grupo para esse site. |
| Aplicar tema a uma Web | WebThemeApplied | Um SharePoint, um administrador global ou um proprietário do site aplicaram um tema Web. |
| Movimentação geográfica do site cancelada | SiteGeoMoveCancelled | Um administrador global ou do SharePoint cancelou a movimentação geográfica de um site do SharePoint ou do OneDrive. A capacidade multigeo permite que uma organização abranja várias geografias de datacenter da Microsoft, que são denominadas geos. Para obter mais informações, veja Multi-Geo Capabilities in OneDrive and SharePoint (Capacidades Multigeográficos no OneDrive e no SharePoint). |
| Política de compartilhamento alterada | SharingPolicyChanged | Um administrador global ou do SharePoint alterou uma política de partilha do SharePoint com o Centro de administração do Microsoft 365, o centro de administração do SharePoint ou a Shell de Gestão do SharePoint. Todas as alterações às definições na política de partilha na sua organização são registadas. A política que foi alterada é identificada no campo ModifiedProperties nas propriedades detalhadas do registro de evento. |
| Política de acesso a dispositivo alterada | DeviceAccessPolicyChanged | Um administrador global ou do SharePoint alterou a política de dispositivos não gerenciados para sua organização. Esta política controla o acesso ao SharePoint, OneDrive e ao Microsoft 365 de dispositivos que não estão associados à sua organização. Configurar esta política requer uma assinatura do Enterprise Mobility + Security. Para obter informações, consulte Controlar o acesso de dispositivos gerenciados. |
| Agentes de usuário isentos alterados | CustomizeExemptUsers | Um administrador global ou do SharePoint personalizou a lista de agentes de usuário isentos no centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isto significa que quando um agente de utilizador que especificou como isento encontra um formulário do InfoPath, o formulário é devolvido como um ficheiro XML, em vez de uma página Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida. |
| Política de acesso à rede alterada | NetworkAccessPolicyChanged | Um administrador global ou do SharePoint alterou a política de acesso baseada na localização (também denominada limite de rede fidedigna) no centro de administração do SharePoint ou através do PowerShell do SharePoint. Esse tipo de política controla quem pode acessar os recursos do SharePoint e do OneDrive em sua organização com base em intervalos de endereços IP autorizados, especificados por você. Para obter mais informações, consulte Controlar o acesso aos dados do SharePoint e do OneDrive com base na localização da rede. |
| Tarefa de migração concluída | MigrationJobCompleted | Uma tarefa de migração concluída. |
| Movimentação geográfica do site concluída | SiteGeoMoveCompleted | Uma movimentação geográfica do site que um administrador global na sua organização agendou concluída. A capacidade multigeo permite que uma organização abranja várias geografias de datacenter da Microsoft, que são denominadas geos. Para obter mais informações, veja Multi-Geo Capabilities in OneDrive and SharePoint (Capacidades Multigeográficos no OneDrive e no SharePoint). |
| Criar tema ao nível do inquilino | TenantWideThemeCreated | Um administrador do SharePoint, administrador global ou gestor de marcas criou um tema personalizado aplicado em todos os sites do SharePoint na sua organização. |
| Conexão Enviar Para criada | SendToConnectionAdded | Um administrador global ou do SharePoint cria uma nova conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada. |
| Conjunto de sites criado | SiteCollectionCreated | Um administrador global ou do SharePoint cria uma coleção de sites na sua organização do SharePoint ou um utilizador aprovisiona o respetivo site do OneDrive. |
| Eliminar tema ao nível do inquilino | TenantWideThemeDeleted | Um administrador do SharePoint, administrador global ou gestor de marcas eliminou um tema personalizado aplicado em todos os sites do SharePoint na sua organização. |
| Site do hub órfão excluído | HubSiteOrphanHubDeleted | Um administrador global ou do SharePoint excluiu um site do hub órfão, que é um site do hub que não tem sites associados a ele. Um hub órfão provavelmente é causado pela exclusão do site do hub original. |
| Conexão Enviar Para excluída | SendToConnectionRemoved | Um administrador global ou do SharePoint exclui uma conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint. |
| Site excluído | SiteDeleted | O administrador do site exclui um arquivo. |
| Visualização de documentos habilitada | PreviewModeEnabledSet | O administrador do site habilita a visualização de documentos para um site. |
| Fluxo de trabalho legado habilitado | LegacyWorkflowEnabledSet | O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint 2013 ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint. |
| Office on Demand habilitado | OfficeOnDemandSet | O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Microsoft 365 que inclua aplicativos completos do Office instalados. |
| Fonte de resultados habilitada para Pesquisas de Pessoas | PeopleResultsScopeSet | O administrador do site cria a fonte de resultado para Pesquisas de Pessoas em um site. |
| RSS feeds habilitados | NewsFeedEnabledSet | O proprietário ou administrador do site habilita RSS feeds para um site. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint. |
| Site associado ao site do hub | HubSiteJoined | Um proprietário de site associa seus sites a um site do hub. |
| Cota do conjunto de sites modificado | SiteCollectionQuotaModified | O administrador do site modifica a cota para uma conjunto de sites. |
| Eliminar site permanentemente | SitePermanentlyDeleted | Um administrador global ou do SharePoint elimina permanentemente um site dos Sites Eliminados do Centro de Administração do SharePoint. |
| Site do hub registrado | HubSiteRegistered | Um administrador global ou do SharePoint cria um site do hub. Os resultados são que o site é registrado para ser um site do hub. |
| Local de dados permitido removido | AllowedDataLocationDeleted | Um administrador global ou do SharePoint removeu uma localização de dados permitida num ambiente multigeo. |
| Administrador de localização geográfica removido | GeoAdminDeleted | Um administrador global ou do SharePoint removeu um usuário como um administrador geográfico de um local. |
| Site renomeado | SiteRenamed | O proprietário ou administrador do site renomeia um site |
| Restaurar Site | SiteRestored | Um administrador global ou do SharePoint restaura um site a partir do SharePoint Administração Center Deleted Sites. |
| Movimentação geográfica do site agendada | SiteGeoMoveScheduled | Um administrador global ou do SharePoint agendou uma movimentação geográfica do site do SharePoint ou do OneDrive. A capacidade multigeo permite que uma organização abranja várias geografias de datacenter da Microsoft, que são denominadas geos. Para obter mais informações, veja Multi-Geo Capabilities in OneDrive and SharePoint (Capacidades Multigeográficos no OneDrive e no SharePoint). |
| Definir site do host | HostSiteSet | Um administrador global ou do SharePoint altera o site designado para alojar sites pessoais ou do OneDrive. |
| Definir a cota de armazenamento para uma localização geográfica | GeoQuotaAllocated | Um administrador global ou do SharePoint configurou a quota de armazenamento para uma localização geográfica num ambiente multigeo. |
| Site desvinculado do site do hub | HubSiteUnjoined | Um proprietário de site dissocia o site de um site do hub. |
| Site do hub não registrado | HubSiteUnregistered | Um administrador global ou do SharePoint cancela registro de um site como um site do hub. Quando o registro de um site do hub é cancelado, ele não funciona mais como um site do hub. |
| Atualizar Configuração de DisableSiteBranding | UpdateDisableSiteBranding | Um administrador global ou do SharePoint ativa ou desativa a imagem corporativa do site. |
| Atualizar tema ao nível do inquilino | TenantWideThemeUpdated | Um administrador do SharePoint, administrador global ou gestor de marcas atualizou um tema personalizado aplicado em todos os sites do SharePoint na sua organização. |
Atividades de permissões de site
A tabela seguinte lista eventos relacionados com a atribuição de permissões no SharePoint e a utilização de grupos para conceder (e revogar) acesso a sites registados no registo de auditoria do Microsoft 365. Os registos de auditoria de algumas atividades do SharePoint indicam que o utilizador app@sharepoint efetuou a atividade em nome do utilizador ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Administrador de conjunto de sites adicionado | SiteCollectionAdminAdded | O proprietário ou administrador do conjunto de sites adiciona uma pessoa como administrador de conjunto de sites para um site. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. Essa atividade também será registrada quando um administrador conceder acesso a uma conta do usuário do Onedrive (editando o perfil do usuário no centro de administração do SharePoint ou usando o centro de administração do Microsoft 365). |
| Usuário ou grupo adicionado ao grupo do SharePoint | AddedToGroup | O usuário adicionou um membro ou convidado a um grupo do SharePoint. Esta ação pode ser intencional ou o resultado de outra atividade, como um evento de partilha. |
| Herança de nível de permissão interrompida | PermissionLevelsInheritanceBroken | Um item foi alterado para que ele não mais herde os níveis de permissão de seu pai. |
| Compartilhamento de herança interrompido | SharingInheritanceBroken | Um item foi alterado para que não herde mais as permissões de compartilhamento de seu pai. |
| Grupo criado | GroupAdded | O proprietário ou administrador do site cria um grupo para um site ou realiza uma tarefa que resulta na criação de um grupo. Por exemplo, quando um utilizador cria uma ligação pela primeira vez para partilhar um ficheiro, é adicionado um grupo de sistema ao site do OneDrive do utilizador. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado. |
| Grupo excluído | GroupRemoved | O usuário exclui um grupo de um site. |
| Configuração “Membros Podem Compartilhar" modificado | WebMembersCanShareModified | A configuração Membros Podem Compartilhar foi modificada em um site. |
| Configuração da solicitação de acesso modificada | WebRequestAccessModified | As configurações de solicitação de acesso foram modificadas em um site. |
| Nível de permissão modificado em um conjunto de sites | PermissionLevelModified | Um nível de permissão foi alterado em um conjunto de sites. |
| Permissões de site modificadas | SitePermissionsModified | O proprietário ou administrador do site (ou a conta do sistema) altera o nível de permissão que é atribuído a um grupo em um site. Essa atividade também será registrada se todas as permissões forem removidas de um grupo. NOTA: esta operação foi preterida no SharePoint. Para localizar os eventos relacionados, você pode procurar outras atividades relacionadas à permissão, como Administrador do conjunto de sites adicionado, Usuário ou grupo adicionado ao grupo do SharePoint, Usuário permitido para criar grupo, Grupo criado, e Grupo excluído. |
| Nível de permissão removido do conjunto de sites | PermissionLevelRemoved | Um nível de permissão foi removido de um conjunto de sites. |
| Administrador de conjunto de sites removido | SiteCollectionAdminRemoved | O proprietário ou administrador do conjunto de sites remove uma pessoa como administrador de conjunto de sites para um site. Essa atividade também será registrada quando um administrador remover a si mesmo da lista de administradores de conjunto de sites para a conta do usuário do OneDrive (editando o perfil de usuário no centro de administração do SharePoint). Para retornar essa atividade nos resultados de pesquisa do log de auditoria, é preciso procurar todas as atividades. |
| Usuário ou grupo removido do grupo do SharePoint | RemovedFromGroup | O usuário removeu um membro ou convidado de um grupo do SharePoint. Esta ação pode ser intencional ou o resultado de outra atividade, como um evento de anulação da partilha. |
| Permissões de administrador de site solicitadas | SiteAdminChangeRequest | O usuário solicita ser adicionado como administrador do conjunto de sites para um conjunto de sites. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. |
| Herança de compartilhamento restaurada | SharingInheritanceReset | Uma alteração foi feita para que um item herde permissões de compartilhamento de seu pai. |
| Grupo atualizado | GroupUpdated | O proprietário ou administrador do site altera as configurações de um grupo para um site. Esta alteração pode incluir o nome do grupo, quem pode ver ou editar a associação ao grupo e como os pedidos de associação são processados. |
Atividades de sincronização
A tabela seguinte lista as atividades de sincronização de ficheiros registadas no registo de auditoria do Microsoft 365 para o SharePoint e o OneDrive.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Computador com permissão para sincronizar arquivos | ManagedSyncClientAllowed | O utilizador estabeleceu uma relação de sincronização com um site. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de lista de lista de destinatários seguros) que podem acessar bibliotecas de documentos em sua organização. Para obter mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis. |
| Computador impedido de sincronizar arquivos | UnmanagedSyncClientBlocked | O utilizador tenta estabelecer uma relação de sincronização com um site a partir de um computador que não é membro do domínio da sua organização ou é membro de um domínio que não foi adicionado à lista de domínios (denominada lista de destinatários seguros) que podem aceder a bibliotecas de documentos na sua organização. A relação de sincronização não é permitida e o computador do utilizador está impedido de sincronizar, transferir ou carregar ficheiros numa biblioteca de documentos. Para mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis. |
| Alterações de arquivo baixadas no computador | FileSyncDownloadedPartial | Este evento foi preterido juntamente com a aplicação Sincronização do OneDrive antiga (Groove.exe). |
| Arquivos baixados no computador | FileSyncDownloadedFull | O utilizador transferiu um ficheiro para o respetivo computador a partir de uma biblioteca de documentos do SharePoint ou do OneDrive com Sincronização do OneDrive aplicação (OneDrive.exe). |
| Alterações de arquivo carregadas na biblioteca de documentos | FileSyncUploadedPartial | Este evento foi preterido juntamente com a aplicação Sincronização do OneDrive antiga (Groove.exe). |
| Arquivos carregados na biblioteca de documentos | FileSyncUploadedFull | O utilizador carregou um novo ficheiro ou alterações a um ficheiro na biblioteca de documentos do SharePoint ou no OneDrive com Sincronização do OneDrive aplicação (OneDrive.exe). |
Atividades do SystemSync
A tabela seguinte lista as atividades do SystemSync registadas no registo de auditoria do Microsoft 365.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Compartilhamento de dados criado | DataShareCreated | Quando o utilizador criou a exportação de dados. |
| Compartilhamento de dados excluído. | DataShareDeleted | Quando o utilizador eliminou a exportação de dados. |
| Baixar cópia dos dados do Lake | DownloadCopyOfLakeData | Quando a cópia dos dados do Lake é baixada. |
| Gerar cópia de dados do Lake | GenerateCopyOfLakeData | Quando a cópia do Lake Data é gerada. |
Atividades do Classificador Treinável
A tabela seguinte lista as atividades dos classificadores treináveis registados no registo de auditoria do Microsoft 365.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Modelo de Classificação de Dados do Purview criado | ModeloCriar | Um utilizador (ou administrador ou sistema em nome de um utilizador) criou um novo modelo preparado na Classificação de Dados do Purview. |
| Modelo de Classificação de Dados do Purview eliminado | ModelUpdate | Um utilizador (ou administrador ou sistema em nome de um utilizador) atualizou um novo modelo preparado na Classificação de Dados do Purview. |
| Modelo de Classificação de Dados do Purview publicado | ModelPublish | Um utilizador (ou administrador ou sistema em nome de um utilizador) publicou um novo modelo preparado na Classificação de Dados do Purview. |
| Modelo de Classificação de Dados do Purview atualizado | ModelDelete | Um utilizador (ou administrador ou sistema em nome de um utilizador) eliminou um novo modelo preparado na Classificação de Dados do Purview. |
Atividades de administração de usuários
A tabela seguinte lista as atividades de administração de utilizadores registadas no registo de auditoria do Microsoft 365 quando um administrador adiciona ou altera uma conta de utilizador através do Centro de administração do Microsoft 365 ou do portal de gestão do Azure.
Observação
Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.
| Atividade | Operação | Descrição |
|---|---|---|
| Usuário adicionado | Adicionar usuário. | É criada uma conta de utilizador. |
| Licença de usuário alterada | Altere a licença do usuário. | A licença atribuída a um utilizador foi alterada. Para ver que licenças foram alteradas, veja a atividade de utilizador Atualizada correspondente. |
| Senha do usuário alterada | Altere a senha de usuário. | Um usuário altera sua senha. A redefinição de senha de autoatendimento deve estar ativada (para todos ou usuários selecionados) na sua organização para permitir que os usuários redefinam suas senhas. Também pode controlar a atividade de reposição personalizada de palavra-passe no Microsoft Entra ID. Para obter mais informações, veja Opções de relatórios para Microsoft Entra gestão de palavras-passe. |
| Usuário excluído | Excluir usuário. | Uma conta de usuário foi excluída. |
| Redefinir senha do usuário | Redefina a senha do usuário. | O administrador redefine a senha de um usuário. |
| Definir propriedades de licenças | Defina as propriedades de licenças. | O administrador modificou as propriedades de uma licença atribuída a um utilizador. |
| Propriedade definida que força o usuário a alterar a senha | Defina forçar a alteração da senha do usuário. | O administrador define a propriedade que força um usuário a alterar sua senha na próxima vez que o usuário entrar no Microsoft 365. |
| Usuário atualizado | Atualize o usuário. | O administrador altera uma ou mais propriedades de uma conta de usuário. Para obter uma lista das propriedades do utilizador que podem ser atualizadas, veja a secção "Atualizar atributos do utilizador" em Microsoft Entra auditar Eventos de Relatórios. |
Atividades Viva Glint
A tabela seguinte lista as atividades de utilizador e administrador no Viva Glint que o registo de auditoria do Microsoft 365 regista. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro .csv quando exporta os resultados da pesquisa.
Procurar no registo de auditoria explica como pode procurar registos de auditoria no portal do Microsoft Purview. Para aceder aos registos de auditoria, tem de ser um administrador global ou ter permissões de leitura de auditoria. Utilize o filtro Atividades para procurar atividades específicas e para listar todas as atividades Viva Glint ao selecionar VivaGlint no filtro Tipo de registo. Utilize as caixas de intervalo de datas e a lista Utilizadores para restringir ainda mais os resultados da pesquisa.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Adição de Administração da Empresa | AddCompanyAdmin | Foi adicionado um utilizador à função Administração da Empresa. |
| Utilizador de Suporte Adicionado | AddSupportUser | Foi adicionado um utilizador à função Utilizador de Suporte. |
| Função de Utilizador Atribuída | AssignRole | Um utilizador é atribuído a uma nova função. |
| Detalhes do Cliente Alterados | ClientDetailsChanged | Alterar a atividade em Definições Gerais Viva Glint ou Configuração Avançada: Detalhes. |
| Administração empresa com sessão iniciada | AdminLogin | Um utilizador Administração empresa iniciou sessão no Viva Glint. |
| Administração da Empresa com Sessão Iniciada | AdminLogout | Um utilizador Administração da Empresa com sessão iniciada no Viva Glint. |
| Função de Utilizador Criada | FunçãoCriada | Atividade de criação da Função de Utilizador Brilhante. |
| Acesso ao Suporte Eliminado | GlintSupportAccessDeleted | Um utilizador foi removido da função Utilizador de Suporte. |
| Sistema Eliminado | GlintSystemDeleted | O sistema Viva Glint foi eliminado. |
| Utilizador Eliminado | GlintUserDeleted | Atividade de eliminação do utilizador Viva Glint. |
| Acesso de Configuração Avançado Desativado | UserAdvConfigDisabled | Um utilizador Administração da Empresa desativou o acesso à Configuração Avançada no Viva Glint. |
| Acesso de Configuração Avançada Ativado | UserAdvConfigEnabled | Um utilizador Administração empresa ativou o acesso à Configuração Avançada no Viva Glint. |
| Tarefa de Aplicações de Dados Executadas | GlintDataAppsJobRun | Aplicação Viva Glint Advanced Configuration Data e Atividade de carregamento. |
| Comentários do Glint 360 Exportados | GlintFeedbackProgramExport | Atividade de exportação de dados do programa de comentários Viva Glint 360. |
| Listas de Distribuição Glint Exportadas | GlintUserGroupExport | Atividade de exportação da Lista de Distribuição. |
| Pessoas Glint Exportado | GlintUserExport | Glint Pessoas atividade de exportação de dados. |
| Taxa de Resposta do Programa Glint Pulse Exportada | GlintPulseProgramRespondentRateExport | Atividade de exportação da taxa de resposta do programa Glint Pulse. |
| Biblioteca de Perguntas Glint Exportada | GlintQuestionExport | Atividade de exportação da biblioteca de perguntas brilhantes. |
| Programa de Pesquisa Glint Exportado | GlintPulseProgramExport | Atividade de exportação de conteúdo do programa Glint Survey. |
| Função de Utilizador Glint Exportada | GlintRoleExport | Atividade de exportação de dados da Função de Utilizador Brilhante. |
| Dados de Inquérito Não Processado Exportados | RawSurveyReponseExport | Atividade de exportação de dados de resposta a inquéritos não processados. |
| Dados de Utilizador Exportados | UserDataExport | Atividade de exportação de dados dos funcionários. |
| Feedback Glint 360 Importado | GlintFeedbackProgramImport | Atividade de importação de dados do programa 360 Feedback. |
| SFTP Glint Importado | GlintRubiconImport | Atividade de importação SFTP de dados dos funcionários. |
| Dados do Utilizador Glint Importados | GlintUserImport | Atividade de importação de dados dos colaboradores. |
| Função de Utilizador Glint Importada | GlintRoleImport | Atividade de dados dos colaboradores da Função de Utilizador. |
| Administração da Empresa removida | RemoveCompanyAdmin | Um utilizador foi removido da função Administração da Empresa. |
| Inquérito Reaberto | SurveyReopen | Uma pesquisa viva glint fechada foi reaberta. |
| Definir Controlo DSR de Dados | DataDsrControlSet | Controlos de Dados de Utilizador para eliminação de dados de inquérito na atividade de atualização de Definições Gerais. |
| Definir Eliminar IDs de Funcionários | EliminarEmployeeIdsSet | Controlos de Dados de Utilizador para reutilização do ID do Funcionário na atividade de atualização de Definições Gerais. |
| Função de Utilizador Não Atribuída | UnassignRole | Um utilizador é removido de uma função. |
| Visto como | ViewAs | Outra atividade de utilizador é "Ver Como" dos administradores. |
atividades de Viva Goals
A tabela seguinte lista as atividades de utilizador e administrador no Viva Goals que o registo de auditoria do Microsoft 365 regista. A tabela inclui o nome amigável que é apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Procurar no registo de auditoria explica como pode procurar registos de auditoria no portal do Microsoft Purview. Para aceder aos registos de auditoria, tem de ser um administrador global ou ter permissões de leitura de auditoria. Pode utilizar o filtro Atividades para procurar atividades específicas. Para listar todas as atividades Viva Goals, selecione VivaGoals no filtro Tipo de registo. Também pode utilizar as caixas de intervalo de datas e a lista Utilizadores para restringir ainda mais os resultados da pesquisa.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Dashboard criado | Dashboard criado | O utilizador criou uma nova dashboard no Viva Goals |
| Dashboard eliminado | Dashboard eliminado | O utilizador eliminou uma dashboard no Viva Goals. |
| Dashboard atualizado | Dashboard atualizado | O utilizador atualizou uma dashboard no Viva Goals |
| Dados exportados | Dados exportados | Uma lista exportada pelo utilizador de OKRs ou lista de utilizadores numa organização no Viva Goals. |
| Política de objetivos atualizada | Política de objetivos atualizada | O administrador global modificou a política ou as definições ao nível da organização no Viva Goals. Por exemplo, o administrador global configurou quem pode criar organizações no Viva Goals. |
| OKR ou Project criado | OKR ou Project criado | O utilizador criou um OKR ou Um Projeto no Viva Goals. |
| OKR ou Project eliminados | OKR ou Project eliminados | O utilizador eliminou um OKR ou Um Projeto. |
| OKR ou Project atualizado | OKR ou Project atualizado | Um OKR/Project foi modificado ou foi efetuada uma marcar pelo utilizador ou uma integração no Viva Goals. |
| Organização criada | Organização criada | Administração ou o utilizador criou uma nova organização no Viva Goals. |
| Integrações da organização atualizadas | Integrações da organização atualizadas | O utilizador (normalmente Proprietários ou administradores da organização) configurou uma integração de terceiros ou atualizou uma integração de terceiros existente para uma organização no Viva Goals. |
| Definições da organização atualizadas | Definições da organização atualizadas | O utilizador (normalmente proprietários ou administradores da organização) atualizou as definições específicas da organização no Viva Goals. |
| Equipa adicionada | Equipa adicionada | Foi criada uma nova equipa numa organização no Viva Goals. |
| Equipe excluída | Equipe excluída | Uma equipa numa organização no Viva Goals foi eliminada pelo utilizador. |
| Equipa atualizada | Equipa atualizada | Uma equipa dentro de uma organização no Viva Goals foi modificada ou atualizada. |
| Utilizador adicionado | Utilizador adicionado | Um novo utilizador foi adicionado a uma organização no Viva Goals. |
| Utilizador desativado | Utilizador desativado | Um utilizador foi desativado numa organização. |
| Utilizador eliminado | Utilizador eliminado | Um utilizador foi eliminado de uma organização no Viva Goals. |
| Usuário conectado | Usuário conectado | O utilizador iniciou sessão no Viva Goals. |
atividades de Viva Engage
A tabela seguinte lista as atividades de utilizador e administrador no Viva Engage registadas no registo de auditoria do Microsoft 365. Para devolver Viva Engage atividades relacionadas com o registo de auditoria, selecione Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.
Observação
Algumas atividades de auditoria Viva Engage só estão disponíveis em Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que essas atividades sejam registradas no log de auditoria. Para obter mais informações, veja Auditoria (Premium). Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
Na tabela a seguir, as atividades de Auditoria (Premium) são destacadas com um asterisco (*).
| Nome amigável | Operação | Descrição |
|---|---|---|
| Comunicador empresarial adicionado | AddUserRole | Um utilizador é atribuído como um comunicador empresarial. |
| Política de utilização personalizada alterada | UsagePolicyUpdated | Um administrador de inquilinos atualiza uma política de utilização personalizada. |
| Política de retenção de dados alterada | SoftDeleteSettingsUpdated | O administrador verificado atualiza a configuração da política de retenção de dados da rede para Exclusão Irreversível ou Exclusão Temporária. Somente administradores verificados podem realizar essa operação. |
| Configuração de rede alterada | NetworkConfigurationUpdated | O administrador verificado ou de rede altera a configuração do Viva Engage rede. Esta alteração inclui definir o intervalo para exportar dados e ativar o chat. |
| Configurações de perfil de rede alteradas | ProcessProfileFields | O administrador de rede ou verificado altera as informações que aparecem em perfis de membro para a rede de usuários da rede. |
| Modo de Conteúdo Particular modificado | SupervisorAdminToggled | O administrador verificado ativa ou desativa o Modo de Conteúdo Privado . Esse modo permite que um administrador visualize postagens em grupos particulares e visualize mensagens particulares entre usuários individuais (ou grupos de usuários). Somente administradores verificados podem realizar essa operação. |
| Configurações de segurança alteradas | NetworkSecurityConfigurationUpdated | O administrador verificado atualiza a configuração de segurança do Viva Engage rede. Esta atualização inclui a definição de políticas de expiração de palavras-passe e restrições em endereços IP. Somente administradores verificados podem realizar essa operação. |
| Conversação fechada | CloseConversation | A Viva Engage thread foi fechada, impedindo os utilizadores de responderem ao mesmo. Esta ação está disponível para um administrador, um comunicador empresarial ou um delegado de utilizador. |
| Conversação aberta | OpenConversation | A Viva Engage conversação por tópicos foi aberta, o que permite que os utilizadores respondam ao tópico. Esta ação está disponível para um administrador, comunicações empresariais ou um delegado de utilizador. |
| Criar um segmento | SegmentoCriado | Administração cria uma segmentação. |
| Arquivo criado | FileCreated | O usuário carrega um arquivo. |
| Grupo criado | GroupCreation | O usuário cria um grupo. |
| Mensagem criada | MessageCreation | O usuário cria uma mensagem. |
| Eliminar um segmento | SegmentDeleted | Administração elimina uma segmentação. |
| Grupo excluído | GroupDeletion | Um grupo é eliminado do Viva Engage. |
| Mensagem excluída | MessageDeleted | O usuário exclui uma mensagem. |
| Transferir relatórios de administrador de segmentação | SegmentationReportDownloaded | Administração relatórios são transferidos |
| Arquivo baixado | FileDownloaded | O usuário baixa um arquivo. |
| Conteúdo do evento exportado | EventContentExported | O organizador do evento exporta perguntas, respostas, reações e contagem de votos a favor para um CSV. Esta ação está disponível apenas para o organizador do evento, apenas para os co-organizadores. O administrador de rede pode desativar esta funcionalidade para toda a rede nas definições de administrador Engage. |
| Dados exportados | DataExport | O administrador verificado exporta Viva Engage dados de rede. Somente administradores verificados podem realizar essa operação. |
| Falha ao acessar o arquivo | FileAccessFailure | O usuário não pôde acessar um arquivo. |
| Falha ao aceder ao grupo | GroupAccessFailure | O utilizador não conseguiu aceder a um grupo. |
| Falha ao aceder ao thread | ThreadAccessFailure | O utilizador não conseguiu aceder a um tópico de mensagem. |
| Gerar relatórios de administrador de segmentação | SegmentationReportGenerated | Administração utilizador aciona uma geração de relatórios. |
| Reagiu à mensagem | MarkedMessageChanged | O utilizador reagiu a uma mensagem. |
| Remover tópico organizado* | RemoveCuratedTopic | O utilizador remove um tópico organizado. |
| Comunicador Empresarial removido | RemoveUserRole | Um utilizador é removido da função Comunicador Empresarial. |
| Arquivo compartilhado | FileShared | O usuário compartilha um arquivo com outros usuários. |
| Usuário de rede suspenso | NetworkUserSuspended | O administrador verificado ou de rede suspende (desativa) um utilizador de Viva Engage. |
| Usuário suspenso | UserSuspension | A conta de usuário é suspensa ou desativada. |
| Aceitação da Política de Utilização do Inquilino | UsagePolicyAcceptance | Um utilizador aceita uma política de utilização específica da organização. |
| Thread Desativado | AdminThreadMuted | Um thread foi desativado pelo administrador ou alerta de monitorização (utilizador do sistema). Um alerta de monitorização ocorre quando um thread é sinalizado para um determinado tema (definido pelo administrador) e é automaticamente modificado pelo sistema. |
| Thread Não Ativado | AdminThreadUnmuted | Administração unmuted um thread. |
| Descrição de arquivo atualizada | FileUpdateDescription | O usuário modifica a descrição de um arquivo. |
| Nome de arquivo atualizado | FileUpdateName | O usuário modifica o nome de um arquivo. |
| Mensagem atualizada | MessageUpdated | O usuário atualiza uma mensagem. |
| Atribuição de função atualizada para Administração de Rede | NetworkAdminUpdated | Um utilizador é promovido ou despromovido para a função Administração rede. |
| Atribuição de função atualizada para Administração Verificados | NetworkVerifiedAdminUpdated | Um utilizador é promovido ou despromovido para a função de Administração Verificado. |
| Arquivo exibido | FileVisited | O usuário exibe um arquivo. |
| Thread visualizado | ThreadViewed | O utilizador vê um tópico de mensagem. |
Atividades do Viva Pulse
A tabela seguinte lista as atividades de utilizador e administrador no Viva Pulse registadas no registo de auditoria do Microsoft 365. A tabela inclui o nome amigável apresentado na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registo de auditoria e no ficheiro CSV quando exporta os resultados da pesquisa.
Procurar no registo de auditoria explica como pode procurar registos de auditoria no portal do Microsoft Purview. Para aceder aos registos de auditoria, tem de ser um administrador global ou ter permissões de leitura de auditoria. Pode utilizar o filtro Atividades para procurar atividades específicas. Para listar todas as atividades do Viva Pulse, selecione VivaPulse no filtro Tipo de registo. Também pode utilizar as caixas de intervalo de datas e a lista Utilizadores para restringir ainda mais os resultados da pesquisa.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Administração eliminou os dados de um utilizador | PulseDeleteUserData | Administração eliminou os dados de um utilizador. |
| Administração definições atualizadas do inquilino | PulseTenantSettingsUpdate | Administração atualizado uma definição de organização para o Viva Pulse. |
| Conversação confidencial iniciada | PulseConfidentialConversationStarted | O autor iniciou uma conversação confidencial. |
| Mensagem de conversação eliminada | PulseConfidentialConversationMessageDeleted | O utilizador eliminou uma mensagem de conversação. |
| Resposta de conversação adicionada | PulseConfidentialConversationResponded | O autor ou destinatário respondeu numa conversação. |
| O utilizador cancelou um inquérito do Pulse | PulseCancel | O utilizador cancelou um inquérito do Pulse. |
| O utilizador criou um rascunho do Pulse | PulseCreateDraft | O utilizador criou um rascunho do Pulse. |
| O utilizador criou um inquérito do Pulse | PulseCreate | É criado um novo pedido de feedback do Viva Pulse. |
| O utilizador eliminou um rascunho do Pulse | PulseDeleteDraft | O utilizador eliminou um rascunho do Pulse. |
| O utilizador eliminou uma pergunta para a Biblioteca | PulseQuestionDeleted | O utilizador removeu uma pergunta para a biblioteca de perguntas de pulso. |
| O utilizador alargou o prazo do inquérito de pulso | PulseExtendDeadline | O utilizador prolongou o prazo para o pedido de feedback do Viva Pulse existente. |
| Utilizador convidou utilizadores adicionais para o inquérito do Pulse | PulseInvite | O utilizador convidou utilizadores adicionais para um pedido de feedback do Viva Pulse existente. |
| Utilizador a pedir uma exportação de dados de impulso | PulseDataExport | Administração ou Autor pedir uma operação de exportação de impulsos. |
| O utilizador partilhou um relatório de pulso | PulseShareResults | O utilizador partilhou resultados de comentários do Viva Pulse com outros utilizadores. |
| O utilizador submeteu a resposta a um inquérito de pulso | PulseSubmit | Administração ou utilizador forneceu feedback para um pedido de feedback do Viva Pulse. |
Windows 365 atividades do Sistema de Proteção de Dados do Cliente
A tabela seguinte lista as atividades de utilizador e administrador no Windows 365 Sistema de Proteção de Dados do Cliente que o registo de auditoria do Microsoft 365 regista. Para devolver Windows 365 atividades relacionadas com o Sistema de Proteção de Dados do Cliente a partir do registo de auditoria, selecione Windows365CustomerLockbox em Tipos de registo. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.
| Nome amigável | Operação | Descrição |
|---|---|---|
| Agente CMD de Backfill | Operação AddDevicesToBackfill | Agente CMD de Backfill no PC na Cloud. |
| Reinstalar o Agente CMD em massa | Operação TriggerClientAgentCheckBulkAction | Reinstalar em massa o agente CMD a pedido. |
| Verificar a Política de Execução do PowerShell | Verificar a Política de Execução do PowerShell | Verifique a política de execução do PowerShell. |
| Criar Pedido LogCollection | Criar Pedido LogCollection | Crie um pedido de recolha de registos para o CLOUD PC. |
| Criar novos itens de trabalho (Scheduler) | Criar novos itens de trabalho (Scheduler) | Crie novos itens de trabalho, como Aprovisionar, Desaprovisionar, Aprovisionar, entre outros. |
| Criar Operação de Ação Remota em ActionModeratorService | Criar Operação de Ação Remota em ActionModeratorService | Crie a ação remota por tenantID, workspaceID, actionType, actionParameters. |
| Criar Pedido VmExtension | Criar Pedido VmExtention | Cria pedidos de extensão de VM para executar a extensão de VM para executar scripts personalizados no dispositivo do cliente. |
| Executar AppHealthPlugin | Executar AppHealthPlugin | Execute AppHealthPlugin. |
| Instalar o agente RD | Instalar o agente RD | Instale o agente RD no dispositivo do utilizador. |
| Executar Comandos do OCE na VM | Executar Comandos do OCE na VM | Execute comandos por tenantID, lista deviceID e script. |
| Pós-Operação de Ação Remota | Pós-Operação de Ação Remota | Publicar Ação Remota, além de consultar o resultado através da operação GetActions. |
| Reinstalar o Agente CMD | Operação AddDevicesToReinstall | Reinstale o Agente CMD a pedido. |
| Executar a extensão híbrida do AADJ | Executar a extensão híbrida do AADJ | Execute a extensão AADJ híbrida no dispositivo do utilizador. |
| Acionar marcar Canary do Agente CMD. | Acionar marcar Canary do Agente CMD. | Acionar marcar Canary do Agente CMD num dispositivo específico. |
| Acionar a remediação do dispositivo | Acionar a remediação do dispositivo | Acionar a remediação do dispositivo. |
| Acionar ação genérica | Acionar ação genérica | Acionar a ação do dispositivo para o utilizador. |
| Acionar a ação genérica por SaaF | Acionar a ação genérica por SaaF | Acionar a ação do dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para o utilizador. |
| Acionar ação genérica com opções | Acionar ação genérica com opções | Acione a ação do dispositivo com parâmetros de opção, mais potentes do que os da ação genérica do acionador. |
| Orquestrador de acionadores | Orquestrador de acionadores | Acionar orquestrador para o utilizador. |
| Carregar pasta para blob | Carregar pasta para blob | Comprima e carregue a pasta do dispositivo do cliente para o blob. |