Atividades do log de auditoria

As tabelas deste artigo descrevem as atividades auditadas no Microsoft 365. Você pode pesquisar essas atividades pesquisando o log de auditoria no portal de conformidade.

Essas tabelas agrupam atividades relacionadas ou as atividades de um serviço específico. As tabelas incluem o nome amigável exibido na lista suspensa Atividades (ou que estão disponíveis no PowerShell) e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV ao exportar os resultados da pesquisa. Para obter descrições das informações detalhadas, consulte Propriedades detalhadas do log de auditoria.

Dica

Selecione um dos links da lista Neste artigo na parte superior deste artigo para ir diretamente a uma tabela de produtos específica.

Atividades de administração de aplicativos

A tabela a seguir lista as atividades de administrador do aplicativo que são registradas quando um administrador adiciona ou altera um aplicativo registrado em Microsoft Entra ID. Qualquer aplicativo que dependa de Microsoft Entra ID para autenticação deve ser registrado no diretório.

Observação

Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.

Nome amigável Operação Descrição
Entrada da delegação adicionada Adicione entrada de delegação. Uma permissão de autenticação foi criada/concedida a um aplicativo em Microsoft Entra ID.
Entidade de serviço adicionada Adicione entidade de serviço. Um aplicativo foi registrado em Microsoft Entra ID. Um aplicativo é representado por uma entidade de serviço no diretório.
Credenciais adicionadas a uma entidade de serviço Adicione credenciais da entidade de serviço. As credenciais foram adicionadas a uma entidade de serviço no Microsoft Entra ID. Uma entidade de serviço representa um aplicativo no diretório.
Entrada de delegação removida Remova a entrada de delegação. Uma permissão de autenticação foi removida de um aplicativo no Microsoft Entra ID.
Entidade de serviço removida do diretório Remova a entidade de serviço. Um aplicativo foi excluído/não registrado de Microsoft Entra ID. Um aplicativo é representado por uma entidade de serviço no diretório.
Credenciais removidas de uma entidade de serviço Remova as credenciais da entidade de serviço. As credenciais foram removidas de uma entidade de serviço no Microsoft Entra ID. Uma entidade de serviço representa um aplicativo no diretório.
Definir entrada de delegação Defina a entrada de delegação. Uma permissão de autenticação foi atualizada para um aplicativo no Microsoft Entra ID.

Microsoft Entra atividades de administração de grupo

A tabela a seguir lista as atividades de administração de grupos que são registradas quando um administrador ou um usuário cria ou altera um grupo do Microsoft 365 ou quando um administrador cria um grupo de segurança usando o Centro de administração do Microsoft 365 ou o portal de gerenciamento do Azure. Para obter mais informações sobre grupos no Microsoft 365, confira Exibir, criar e excluir grupos no Centro de administração do Microsoft 365.

Observação

Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.

Nome amigável Operação Descrição
Grupo adicionado Adicione grupo. Um grupo foi criado.
Membro adicionado ao grupo Adicione membro ao grupo. Um membro foi adicionado a um grupo.
Grupo excluído Exclua o grupo. Um grupo foi excluído.
Membro removido do grupo Remova membro do grupo. Um membro foi removido de um grupo.
Grupo atualizado Atualize o grupo. Uma propriedade de um grupo foi alterada.

Atividades do email de resumo

A tabela a seguir lista as atividades no email do Briefing que estão registradas no log de auditoria do Microsoft 365. Para saber mais sobre o email de Resumo. confira:

Nome amigável Operação Descrição
Configurações de privacidade da organização atualizadas UpdatedOrganizationBriefingSettings O administrador atualiza as configurações de privacidade da organização para email de Resumo.
Configurações de privacidade do usuário atualizadas UpdatedUserBriefingSettings O administrador atualiza as configurações de privacidade do usuário para email de Resumo.

Atividades de conformidade de comunicações

A tabela a seguir lista as atividades de conformidade de comunicações registradas no log de auditoria do Microsoft 365. Para obter mais informações, consulte Saiba mais sobre Conformidade de Comunicações do Microsoft Purview.

Observação

Essas atividades estão disponíveis ao usar o cmdlet do PowerShell Search-UnifiedAuditLog . Essas atividades não estão disponíveis na lista suspensa Atividades .

Nome amigável Operação Descrição
Atualização de política SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Um administrador de conformidade de comunicações realizou uma atualização de política.
Correspondência de política SupervisionRuleMatch Um usuário enviou uma mensagem que corresponde à condição de uma política.
Marca aplicada a mensagens SupervisoryReviewTag As marcas são aplicadas às mensagens ou as mensagens são resolvidas.

Atividades do explorador de conteúdo

A tabela a seguir lista as atividades no explorador de conteúdo registradas no log de auditoria. Explorador de conteúdo, que é acessado na ferramenta Classificações de dados no portal de conformidade. Para obter mais informações, consulte Usar o conteúdo de classificação de dados do Explorer.

Atividades de copiloto

A tabela a seguir lista as atividades do Microsoft 365 Copilot que estão registradas no log de auditoria. O copilot pode ser acessado nos serviços do Microsoft 365. As atividades incluem como e quando os usuários interagem com Copilot. Isso inclui o serviço Microsoft 365 em que a atividade ocorreu e faz referência aos arquivos acessados durante a interação. Para obter mais informações sobre eventos de interação copiloto e um exemplo de esquema, consulte Visão geral dos eventos de interação copilot.

Para acessar o texto do prompt do usuário durante a interação, consulte Pesquisa de Conteúdo. Para obter mais informações sobre o Copilot, consulte Proteger e gerenciar o Microsoft 365 Copilot usando o Microsoft Purview.

Nome amigável Operação Descrição
Interagido com Copilot CopilotInteraction Um usuário, ou administrador ou sistema em nome de um usuário, inseriu prompts em Copilot.

Atividades de administração de diretórios

A tabela a seguir lista Microsoft Entra atividades relacionadas ao domínio e ao diretório que são registradas quando um administrador gerencia sua organização no Centro de administração do Microsoft 365 ou no portal de gerenciamento do Azure.

Observação

Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.

Nome amigável Operação Descrição
Domínio adicionado à empresa Adicione o domínio à empresa. Domínio adicionado à sua organização.
Parceiro adicionado ao diretório Adicione parceiro à empresa. Parceiro (administrador delegado) adicionado à sua organização.
Domínio removido da empresa Remova o domínio da empresa. Domínio removido da sua organização.
Parceiro removido do diretório Remova o parceiro da empresa. Parceiro (administrador delegado) removido da sua organização.
Definir informações da empresa Defina a informações da empresa. Informações da empresa atualizadas para a sua organização. Inclui endereços de email para email relacionados à assinatura enviados pelo Microsoft 365 e notificações técnicas sobre os serviços do Microsoft 365.
Definir autenticação de domínio Defina a autenticação de domínio. Configuração de autenticação de domínio alterada para a sua organização.
Configurações de federação atualizadas para um domínio Defina a configurações de federação no domínio. Configurações de federação (compartilhamento externo) alteradas para a sua organização.
Definir política de senha Defina a política de senha. Restrições de comprimento e caracteres alteradas para senhas de usuário na sua organização.
Ativado Azure AD Sync Defina o sinalizador DirSyncEnabled. Definir a propriedade que habilita um diretório para sincronização do Azure AD.
Domínio atualizado Atualize o domínio. Configurações de um domínio atualizadas na sua organização.
Domínio verificado Verifique o domínio. Foi verificado que a sua organização é a proprietária de um domínio.
Domínio confirmado de email verificado Verifique o domínio confirmado de email. Verificação de email usada para confirmar que a sua organização é proprietária de um domínio.

Atividades de revisão de disposição

A tabela a seguir lista as atividades que um revisor de disposição teve quando um item chegou ao final de seu período de retenção configurado ou um item foi movido automaticamente para o próximo estágio de disposição ou excluído permanentemente como resultado da aprovação automática.

Nome amigável Operação Descrição
Descarte aprovado ApproveDisposal Para aprovação manual: um revisor de disposição aprovou a disposição do item para movê-lo para o próximo estágio de disposição. Se o item estava no estágio único ou final de revisão da disposição, a aprovação da disposição marcou o item como elegível para exclusão permanente.

Para aprovação automática: nenhuma ação manual foi tomada dentro do período de tempo de aprovação automática configurado para que o item seja movido automaticamente para o próximo estágio de disposição. Se o item estiver na única ou última fase de revisão de disposição, o item automaticamente se tornou qualificado para exclusão permanente.
Período de retenção estendido ExtendRetention Um revisor de disposição estendeu o período de retenção do item.
Item com novo rótulo RelabelItem Um revisor de disposição etiquetou novamente o rótulo de retenção.
Revisores adicionados AddReviewer Um revisor de disposição adicionou um ou mais outros usuários ao estágio de revisão de disposição atual.

Atividades de Descoberta Eletrônica

Atividades relacionadas à pesquisa de conteúdo e descoberta eletrônica que são executadas no portal de segurança e conformidade ou executando os cmdlets correspondentes do PowerShell são registradas no log de auditoria. Inclui as seguintes atividades:

  • Criar e gerenciar casos de Descoberta Eletrônica
  • Criar, iniciar e editar pesquisas de conteúdo
  • Executar ações de pesquisa de conteúdo, como visualização, exportação e exclusão de resultados de pesquisa
  • Configurar a filtragem de permissões para pesquisa de conteúdo
  • Gerenciar a função de administrador de Descoberta Eletrônica

Para obter uma lista e uma descrição detalhada das atividades de Descoberta Eletrônica que são registradas, veja Procurar atividades de Descoberta Eletrônica no log de auditoria.

Observação

Leva até 30 minutos para que atividades resultantes das atividades listadas em atividades de descoberta eletrônica e atividades de descoberta eletrônica (Premium) na lista suspensa Atividades sejam exibidas nos resultados da pesquisa. Por outro lado, leva até 24 horas para que os eventos correspondentes das atividades de cmdlet de Descoberta Eletrônica apareçam nos resultados da pesquisa.

Atividades de Descoberta Eletrônica (Premium)

Você também pode pesquisar o log de auditoria para atividades na Descoberta Eletrônica do Microsoft Purview (Premium). Para obter uma descrição dessas atividades, consulte a seção "Atividades de Descoberta Eletrônica (Premium)" em Pesquisar atividades de Descoberta Eletrônica no log de auditoria.

Atividades do portal de mensagens criptografadas

Os logs de acesso estão disponíveis para mensagens criptografadas por meio do portal de mensagens criptografadas que permite que sua organização determine quando as mensagens são lidas e encaminhadas por seus destinatários externos. Para obter mais informações sobre como habilitar e usar logs de atividades do portal de mensagens criptografadas, consulte Log de atividades do portal de mensagens criptografadas.

Cada entrada de auditoria para uma mensagem rastreada contém os seguintes campos:

  • MessageID: contém a ID da mensagem que está sendo rastreada. O identificador de chave usado para seguir uma mensagem por meio do sistema.
  • Destinatário: Lista de todos os endereços de email do destinatário.
  • Remetente: o endereço de email de origem.
  • AuthenticationMethod: descreve o método de autenticação para acessar a mensagem, por exemplo, OTP, Yahoo, Gmail ou Microsoft.
  • AuthenticationStatus: contém um valor que indica que a autenticação foi bem-sucedida ou falhou.
  • OperationStatus: indica se a operação indicada foi bem-sucedida ou falhou.
  • AttachmentName: nome do anexo.
  • OperationProperties: uma lista de propriedades opcionais. Por exemplo, o número de senhas OTP enviadas ou o assunto de email.

Atividades de administradores do Exchange

Registro no log de auditoria do administrador do Exchange (que é habilitado por padrão no Microsoft 365) registra um evento no log de auditoria quando um administrador (ou um usuário que recebeu permissões administrativas) faz uma alteração em sua organização do Exchange Online. As alterações feitas usando o centro de administração do Exchange ou executando um cmdlet no PowerShell do Exchange Online são registradas no log de auditoria de administradores do Exchange. Os cmdlets que começam com os verbos Get-, Search-ouTest- não são registrados no log de auditoria. Para obter informações mais detalhadas sobre o log de auditoria de administradores do Exchange, confira Log de auditoria de administradores.

Importante

Alguns cmdlets do Exchange Online que não estão registrados no log de auditoria de administradores do Exchange (ou no log de auditoria). Muitos desses cmdlets estão relacionados à manutenção do serviço do Exchange Online e são executados pela equipe do datacenter da Microsoft ou por contas de serviços. Esses cmdlets não são registrados porque resultariam em um grande número de eventos de auditoria "ruidosa". Se houver um cmdlet do Exchange Online que não está sendo auditado, envie uma solicitação de alteração de design (DCR) para Suporte da Microsoft.

Aqui estão algumas dicas para pesquisar atividades de administração do Exchange ao pesquisar o log de auditoria:

  • Para retornar entradas do log de auditoria de administradores do Exchange, você precisa selecionar Mostrar resultados para todas as atividades na lista de Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa para cmdlets executados por um administrador específico do Exchange dentro de um intervalo de datas específico.

  • Para exibir eventos no log de auditoria de administrador do Exchange, selecione a coluna Atividade para classificar os nomes de cmdlet em ordem alfabética.

  • Para obter informações sobre qual cmdlet foi executado, quais parâmetros e valores de parâmetros foram usados e quais objetos foram afetados, você pode exportar os resultados da pesquisa selecionando a opção Baixar todos os resultados. Para saber mais, confira Exportar, configurar e exibir registros de log de auditoria.

  • Você também pode usar o comando Search-UnifiedAuditLog -RecordType ExchangeAdmin no PowerShell do Exchange Online para retornar somente registros de auditoria do log de auditoria de administradores do Exchange. Pode levar até 30 minutos após a execução de um cmdlet do Exchange para que a entrada do log de auditoria correspondente seja retornada nos resultados da pesquisa. Para saber mais, confira Search-UnifiedAuditLog. Para obter informações sobre como exportar os resultados da pesquisa retornados pelo cmdlet Search-UnifiedAuditLog para um arquivo CSV, confira a seção "Dicas para exportar e exibir o log de auditoria" em Exportar, configurar e exibir registros de log de auditoria.

  • Você também pode exibir os eventos no log de auditoria de administradores do Exchange usando o centro de administração do Exchange ou executando o Search-AdminAuditLog no PowerShell do Exchange Online. O log de auditoria é uma boa maneira de pesquisar especificamente as atividades executadas pelos administradores Exchange Online. Para obter instruções, veja:

    Lembre-se de que as mesmas atividades do administrador do Exchange estão registradas no log de auditoria do administrador do Exchange e no log de auditoria.

Atividades de caixa de correio do Exchange

A tabela a seguir lista as atividades que podem ser registradas pelo log de auditoria da caixa de correio. As atividades da caixa de correio executadas pelo proprietário da caixa de correio, um usuário delegado ou um administrador são automaticamente registradas no log de auditoria por até 180 dias. É possível que um administrador desabilite o registro em log de auditoria da caixa de correio para todos os usuários em sua organização. Nesse caso, nenhuma ação da caixa de correio do usuário será registrada. Para saber mais, consulte Gerenciar a auditoria da caixa de correio.

Importante

O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

Você também pode pesquisar atividades de caixa de correio utilizando o cmdlet Search-MailboxAuditLog no PowerShell do Exchange Online.

Nome amigável Operação Descrição
Itens de caixa de correio acessados MailItemsAccessed As mensagens foram lidas ou acessadas na caixa de correio. Os registros de auditoria dessa atividade são disparados de duas maneiras: quando um cliente de e-mail (como o Outlook) executa uma operação de vinculação em mensagens ou quando os protocolos de e-mail (como o Exchange ActiveSync ou IMAP) sincronizam em uma pasta de e-mail. Essa atividade é registrada apenas aos usuários com uma licença do Office 365 ou do Microsoft 365 E5. A análise de registros de auditoria dessa atividade é útil ao investigar uma conta de e-mail comprometida. Para obter mais informações, consulte Auditoria (Premium).
Permissões de caixa de correio delegada adicionadas Add-MailboxPermission Um administrador atribuiu a um usuário (conhecido como um representante) a permissão da caixa de correio FullAccess para a caixa de correio de outra pessoa. A permissão FullAccess permite que o representante abra a caixa de correio de outra pessoa e leia e gerencie o conteúdo da caixa de correio. O registro de auditoria desta atividade também é gerado quando uma conta do sistema no serviço do Microsoft 365 executa periodicamente tarefas de manutenção em nome da organização. Uma tarefa comum executada por uma conta do sistema é atualizar as permissões para caixas de correio do sistema. Para obter mais informações, confira Contas do sistema em registros de auditoria de caixa de correio do Exchange.
Adicionado ou removido usuário com acesso delegado à pasta de calendário UpdateCalendarDelegation Um usuário foi adicionado ou removido como um representante para o calendário da caixa de correio de outro usuário. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio.
Permissões adicionadas à pasta AddFolderPermissions Uma permissão da pasta foi adicionada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas.
Mensagens copiadas para outra pasta Copiar Uma mensagem foi copiada para outra pasta.
Criação de item de caixa de correio Criar Um item é criado nas pastas Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada.
Criada nova regra da caixa de entrada do Outlook Web App New-InboxRule Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio criou uma regra da caixa de entrada do Outlook Web App.
Mensagens excluídas da pasta Itens Excluídos SoftDelete Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Esses itens são movidos para a pasta Itens Recuperáveis. As mensagens também são movidas para a pasta Itens Recuperáveis quando um usuário as seleciona e pressiona Shift+Delete.
Mensagem rotulada como um registro ApplyRecordLabel Uma mensagem foi classificada como um registro. Ocorre quando um rótulo de retenção que classifica o conteúdo como um registro é aplicado manualmente ou automaticamente a uma mensagem.
Mensagens movidas para outra pasta Mover Uma mensagem foi movida para outra pasta.
Mensagens movidas para a pasta Itens Excluídos MoveToDeletedItems Uma mensagem foi excluída e movida para a pasta Itens Excluídos.
Permissão de pasta modificada UpdateFolderPermissions Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da organização podem acessar as pastas de uma caixa de correio e as mensagens incluídas nessas pastas.
Modificada regra de caixa de entrada do Outlook Web App Set-InboxRule Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada usando o Outlook Web App.
Mensagens limpas da caixa de correio HardDelete Uma mensagem foi limpa da pasta Itens Recuperáveis (permanentemente excluída da caixa de correio).
Permissões de caixa de correio do representante removidas Remove-MailboxPermission Um administrador removeu a permissão FullAccess (que foi atribuída a um representante) da caixa de correio de uma pessoa. Depois que a permissão FullAccess for removida, o representante não pode abrir a caixa de correio de outra pessoa ou acessar nenhum conteúdo dela.
Permissões removidas da pasta RemoveFolderPermissions Uma permissão da pasta foi removida. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas.
Mensagem enviada Enviar Uma mensagem foi enviada, respondida ou encaminhada. Essa atividade é registrada apenas aos usuários com uma licença do Office 365 ou do Microsoft 365 E5. Para obter mais informações, consulte Auditoria (Premium).
Mensagem enviada com permissões Enviar Como SendAs Uma mensagem foi enviada usando a permissão SendAs. Isto significa que outro usuário enviou a mensagem como se ela tivesse vindo do proprietário da caixa de correio.
Mensagem enviada com permissões Enviar em Nome de SendOnBehalf Uma mensagem foi enviada usando a permissão SendOnBehalf. Isto significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente enviou a mensagem.
Regras atualizadas da caixa de entrada do cliente do Outlook UpdateInboxRules Um proprietário da caixa de correio ou outro usuário com acesso à caixa de correio modificou uma regra da caixa de entrada no cliente do Outlook.
Mensagem atualizada Atualizar Uma mensagem ou suas propriedades foram alteradas.
Usuário entrou na caixa de correio MailboxLogin O usuário entrou em sua caixa de correio.
Etiquetar a mensagem como um registro Um usuário aplicou um rótulo de retenção a uma mensagem de e-mail, e essa etiqueta é configurada para marcar o item como um registro.

Contas do sistema em registros de auditoria de caixa de correio do Exchange

Em registros de auditoria para algumas atividades de caixa de correio (especialmente Add-MailboxPermissions), você pode notar que o usuário que realizou a atividade (e é identificado nos campos User e UserId) é NT AUTHORITY\SYSTEM ou NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Isso indica que o "usuário" que realizou a atividade era uma conta do sistema no serviço do Exchange na nuvem da Microsoft. Essa conta do sistema geralmente executa tarefas de manutenção agendadas em nome da organização. Por exemplo, uma atividade auditada comum executada pela conta NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) é para atualizar as permissões na DiscoverySearchMailbox, que é uma caixa de correio do sistema. O objetivo dessa atualização é verificar se a permissão FullAccess (que é o padrão) é atribuída ao grupo de função do Gerenciamento de Descoberta para o DiscoverySearchMailbox. Garante que os administradores de descoberta eletrônica possam executar tarefas necessárias em sua organização.

Outra conta de usuário do sistema que pode ser identificada em um registro de auditoria para Add-MailboxPermission é Administrator@apcprd03.prod.outlook.com. Essa conta de serviço também está incluída nos registros de auditoria de caixa de correio relacionados à verificação e atualização da permissão FullAccess que é atribuída ao grupo de função do Gerenciamento de Descoberta para a caixa de correio do sistema DiscoverySearchMailbox. Especificamente, os registros de auditoria que identificam a conta normalmente são disparados quando o Administrator@apcprd03.prod.outlook.com pessoal de suporte da Microsoft executa uma ferramenta de diagnóstico de controle de acesso baseada em função em nome da sua organização.

Atividades de arquivo e página

A tabela a seguir descreve as atividades de arquivo e página do SharePoint Online e do OneDrive for Business.

Nome amigável Operação Descrição
Arquivo acessado FileAccessed O usuário ou a conta do sistema acessa um arquivo. Depois que um usuário acessa um arquivo, o evento FileAccessed não é registrado novamente para o mesmo usuário para o mesmo arquivo pelos próximos cinco minutos.
(nenhuma) FileAccessedExtended Isso está relacionado à atividade "Arquivo acessado" (FileAccessed). Um evento FileAccessedExtended é registrado em log quando a mesma pessoa acessa continuamente um arquivo por um longo período (até 3 horas).

O propósito de registrar eventos FileAccessedExtended em log é reduzir o número de eventos FileAccessed registrados quando um arquivo é acessado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileAccessed para, basicamente, a mesma atividade do usuário e permite que você se concentre no evento FileAccessed inicial (e mais importante).
Mudança no rótulo de retenção de um arquivo ComplianceSettingChanged Um rótulo de retenção foi aplicado ou removido de um documento. Este evento é acionado quando uma etiqueta de retenção é aplicada manualmente ou automaticamente a uma mensagem.
Status de registro alterado para bloqueado LockRecord O status do registro de um rótulo de retenção que classifica um documento como um registro foi bloqueado. Isso significa que o documento não pode ser modificado ou excluído. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento.
Status de registro alterado para desbloqueado UnlockRecord O status do registro de um rótulo de retenção que classifica um documento como um registro foi debloqueado. Isso significa que o documento pode ser modificado ou excluído. Somente os usuários que possuem pelo menos a permissão de colaborador de um site podem alterar o status do registro de um documento.
Arquivo com check-in FileCheckedIn O usuário faz check-in de um documento que estava em check-out em uma biblioteca de documentos.
Arquivo em check-out FileCheckedOut O usuário faz check-out de um documento localizado em uma biblioteca de documentos. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles.
Arquivo copiado FileCopied O usuário copia um documento de um site. O arquivo copiado pode ser salvo em outra pasta no site.
Arquivo excluído FileDeleted O usuário exclui um documento de um site.
Arquivo excluído da Lixeira FileDeletedFirstStageRecycleBin O usuário exclui um arquivo da lixeira de um site.
Arquivo excluído da Lixeira de segundo estágio FileDeletedSecondStageRecycleBin O usuário exclui um arquivo da lixeira de segundo estágio de um site.
Arquivo excluído marcado como um registro RecordDelete Um documento marcado como um registro foi excluído. Um documento é considerado um registro quando o rótulo de retenção, que marca itens como um registro, é aplicado ao conteúdo.
Incompatibilidade de confidencialidade em documento detectada DocumentSensitivityMismatchDetected O usuário carrega um documento em um site protegido com um rótulo de sensibilidade e o documento possui um rótulo de sensibilidade de prioridade mais alta que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Confidencial é carregado em um site chamado Geral.

Esse evento não é acionado se o documento tiver um rótulo de sensibilidade de prioridade mais baixo que o rótulo de sensibilidade aplicado ao site. Por exemplo, um documento chamado Geral é carregado em um site chamado Confidencial. Para obter mais informações sobre a prioridade dos rótulos de sensibilidade, consulte Prioridade de rótulo (questões do pedido).
Malware detectado no arquivo FileMalwareDetected O mecanismo de antivírus do SharePoint detecta malwares em um arquivo.
Check-out de arquivo descartado FileCheckOutDiscarded O usuário descarta (ou desfaz) um arquivo verificado. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos.
Arquivo baixado FileDownloaded O usuário baixa um documento de um site.
Arquivo modificado FileModified O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento em um site. O sistema aguarda cinco minutos antes de registrar outro evento FileModified quando o mesmo usuário modifica o conteúdo ou as propriedades do mesmo documento.
(nenhum) FileModifiedExtended Isso está relacionado à atividade "Arquivo modificado" (FileModified). Um evento FileModifiedExtended é registrado em log quando a mesma pessoa modifica continuamente um arquivo por um longo período (até 3 horas).

O propósito de registrar eventos FileModifiedExtended em log é reduzir o número de eventos FileModified registrados quando um arquivo é modificado continuamente. Isso ajuda a reduzir o ruído de vários registros de FileModified para o que é essencialmente a mesma atividade do usuário e permite que você se concentre no evento FileModified inicial (e mais importante).
Arquivo movido FileMoved O usuário move um documento de sua localização atual em um site até uma nova localização.
(nenhum) FilePreviewed O usuário visualiza documentos em um site do SharePoint ou OneDrive for Business. Esses eventos geralmente ocorrem em grandes volumes com base em uma única atividade, como a exibição de uma galeria de imagens.
Consulta de pesquisa realizada SearchQueryPerformed O usuário ou a conta do sistema realiza uma pesquisa no SharePoint ou OneDrive for Business. Alguns cenários comuns em que uma conta de serviço executa uma consulta de pesquisa incluem a aplicação de retenção de Descoberta Eletrônica e uma política de retenção a sites e contas do OneDrive, bem como a aplicação automática de rótulos de retenção ou confidencialidade ao conteúdo do site.
Um arquivo reciclado FileRecycled O usuário move um arquivo para a Lixeira do SharePoint.
Uma pasta reciclada FolderRecycled O usuário move uma pasta para a Lixeira do SharePoint.
Todas as versões secundárias do arquivo foram recicladas FileVersionsAllMinorsRecycled O usuário exclui todas as versões secundárias do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site.
Todas as versões do arquivo foram recicladas FileVersionsAllRecycled O usuário exclui todas as versões do histórico de versões de um arquivo. As versões excluídas são movidas para a lixeira do site.
Versão do arquivo reciclada FileVersionRecycled O usuário exclui uma versão do histórico de versões de um arquivo. A versão excluída é movida para a lixeira do site.
Arquivo renomeado FileRenamed O usuário renomeia um documento.
Arquivo restaurado FileRestored O usuário restaura um documento da lixeira de um site.
Arquivo carregado FileUploaded O usuário carrega um documento em uma pasta em um site.
Página exibida PageViewed O usuário exibe uma página no site. Isso não inclui usar um navegador da Web para exibir arquivos localizados em uma biblioteca de documentos. Depois que um usuário visualiza uma página, o evento PageViewed não é registrado novamente para o mesmo usuário para a mesma página pelos próximos cinco minutos.
(nenhum) PageViewedExtended Isso está relacionado à atividade "Página exibida" (PageViewed). Um evento PageViewedExtended é registrado em log quando a mesma pessoa exibe continuamente uma página da Web por um longo período (até 3 horas).

O propósito de registrar eventos PageViewedExtended em log é reduzir o número de eventos PageViewed registrados quando uma página é exibida continuamente. Isso ajuda a reduzir o ruído de vários registros de PageViewed para o que é essencialmente a mesma atividade do usuário e permite que você se concentre no evento PageViewed inicial (e mais importante).
Exibição sinalizada pelo cliente ClientViewSignaled Um cliente do usuário (por exemplo, site ou aplicativo móvel) sinalizou que a página indicada foi exibida pelo usuário. Essa atividade geralmente é registrada após um evento PagePrefetched para uma página.

OBSERVAÇÃO: Como os eventos ClientViewSignaled são sinalizados pelo cliente, em vez do servidor, é possível que ele não seja registrado pelo servidor e, portanto, pode não aparecer no log de auditoria. Também é possível que as informações do registro de auditoria não sejam confiáveis. No entanto, como a identidade do usuário é validada por um token usado para criar o sinal, a identidade do usuário listada no registro de auditoria correspondente é precisa. O sistema aguarda cinco minutos antes de registrar o mesmo evento quando o cliente do mesmo usuário sinaliza que a página foi exibida novamente pelo usuário.
(nenhum) PagePrefetched O cliente do usuário (por exemplo, site ou aplicativo móvel) solicitou a página indicada para ajudar a melhorar o desempenho se o usuário navegar por ela. Este evento é registrado para indicar que o conteúdo da página foi servido ao cliente do usuário. Esse evento não é um indício definitivo de que o usuário navegou pela página.

Quando o conteúdo da página é renderizado pelo cliente (conforme a solicitação do usuário), um evento ClientViewSignaled deve ser gerado. Nem todos os clientes oferecem suporte para indicar uma pré-busca e, portanto, algumas atividades pré-buscadas podem ser registradas como eventos PageViewed.

Perguntas frequentes sobre eventos do FileAccessed e FilePreviewed

Alguma atividade de não usuário pode acionar registros de auditoria FilePreviewed que contêm um agente de usuário como "OneDriveMpc-Transform_Thumbnail"?

Não temos conhecimento de cenários em que ações de não usuários gerem eventos como esses. Ações do usuário, como abrir um perfil de usuário cartão (selecionando seu nome ou endereço de email em uma mensagem em Outlook na Web) gerariam eventos semelhantes.

As chamadas para o OneDriveMpc-Transform_Thumbnail são sempre acionadas intencionalmente pelo usuário?

Não. Mas eventos semelhantes podem ser registrados como resultado da pré-busca do navegador.

Se virmos um evento FilePreviewed vindo de um endereço IP registrado pela Microsoft, isso significa que a visualização foi exibida na tela do dispositivo do usuário?

Não. O evento pode ter sido registrado como resultado da pré-busca do navegador.

Existem cenários em que um usuário visualizando um documento gera eventos FileAccessed?

Ambos eventos FilePreviewed e FileAccessed indicam que a chamada de um usuário levou à leitura do arquivo (ou leitura de uma renderização em miniatura do arquivo). Embora esses eventos tenham a intenção de se alinhar com a intenção de visualização vs. intenção de acesso, a distinção do evento não é uma garantia da intenção do usuário.

O usuário app@sharepoint em registros de auditoria

Nos registros de auditoria para algumas atividades de arquivo (e outras atividades relacionadas ao SharePoint), você pode perceber que o usuário que executou a atividade (identificado nos campos Usuário e ID do usuário) é app@sharepoint. Isso indica que o "usuário" que executou a atividade é um aplicativo. Nesse caso, o aplicativo recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Esse processo de conceder permissões a um aplicativo é chamado de acesso Somente Aplicativo do SharePoint. Isso indica que a autenticação apresentada ao SharePoint para executar uma ação foi realizada por um aplicativo, em vez de um usuário. É por isso que o usuário app@sharepoint é identificado em determinados registros de auditoria. Para obter mais informações, confira Conceder acesso usando Somente Aplicativo do SharePoint.

Por exemplo, app@sharepoint é frequentemente identificado como o usuário dos eventos "Consulta de pesquisa realizada" e "Arquivo acessado". Isso ocorre porque um aplicativo com acesso Somente Aplicativo do SharePoint em sua organização realiza consultas de pesquisa e acessa arquivos ao aplicar políticas de retenção a sites e contas do OneDrive.

Aqui estão alguns outros cenários em que app@sharepoint pode ser identificado em um registro de auditoria como o usuário que executou uma atividade:

  • Grupos do Microsoft 365. Quando um usuário ou administrador cria um novo grupo, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint. Essas tarefas são executadas em nome do usuário que criou o grupo.
  • Microsoft Teams. Semelhante aos grupos do Microsoft 365, os registros de auditoria são gerados para criar um conjunto de sites, atualizar listas e adicionar membros a um grupo do SharePoint quando uma equipe é criada.
  • Recursos de conformidade. Quando um administrador implementa recursos de conformidade, como políticas de retenção, bloqueios de Descoberta Eletrônica e aplicação automática de rótulos de confidencialidade.

Neste e em outros cenários, você também notará que vários registros de auditoria com o usuário especificado como app@sharepoint foram criados dentro de um período de tempo muito curto, geralmente dentro de alguns segundos. Isso também indica que provavelmente eles foram disparados pela mesma tarefa iniciada pelo usuário. Além disso, os campos ApplicationDisplayName e EventData no registro de auditoria podem ajudar a identificar o cenário ou aplicativo que acionou o evento.

Atividades de pasta

A tabela a seguir descreve as atividades de pasta do SharePoint Online e do OneDrive for Business. Conforme explicado anteriormente, os registros de auditoria de algumas atividades do SharePoint indicam que o usuário app@sharepoint realizou a atividade de nome do usuário ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.

Nome amigável Operação Descrição
Pasta copiada FolderCopied O usuário copia uma pasta de um site para outro local do SharePoint ou do OneDrive for Business.
Pasta criada FolderCreated O usuário cria uma pasta no site.
Pasta excluída FolderDeleted O usuário exclui uma pasta do site.
Pasta excluída da Lixeira FolderDeletedFirstStageRecycleBin O usuário exclui uma pasta da Lixeira no site.
Pasta excluída da Lixeira de segundo estágio FolderDeletedSecondStageRecycleBin O usuário exclui uma pasta da Lixeira de segundo estágio no site.
Pasta modificada FolderModified O usuário modifica uma pasta no site. Isso inclui alterar os metadados da pasta, como propriedades e marcas.
Pasta movida FolderMoved O usuário move uma pasta para um local diferente no site.
Pasta renomeada FolderRenamed O usuário renomeia uma pasta no site.
Pasta restaurada FolderRestored O usuário restaura uma pasta da lixeira de um site.

Atividades das barreiras de informação

A tabela a seguir lista as atividades nas barreiras de informação registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre as barreiras de informação, consulte Saiba mais sobre as barreiras de informação no Microsoft 365.

Nome amigável Operação Descrição
Configuração do AppBypassInformationBarrier alterada para o locatário AppBypassInformationBarrier Um administrador do SharePoint ou global alterou o acesso de aplicativos para sites do SharePoint.
Modo de barreira de informações aplicadas ao site SiteIBModeSet Um administrador do SharePoint ou global aplicou um modo ao site.
Segmentos aplicados ao site SiteIBSegmentsSet Um administrador global, do SharePoint ou proprietário de site adicionou um ou mais segmentos de barreiras de informação a um site.
Modo de barreira de informações alterado do site SiteIBModeChanged Um administrador do SharePoint ou global atualizou o modo do site.
Segmentos alterados do site SiteIBSegmentsChanged Um administrador global ou do SharePoint alterou um ou mais segmentos de barreiras de informação para um site.
Barreiras de informações desabilitadas para SharePoint e OneDrive SPOIBIs Desabilitados Um administrador do SharePoint ou global desabilitou as barreiras de informações do SharePoint e do OneDrive na organização.
Barreiras de informações habilitadas para SharePoint e OneDrive SPOIBIsEnabled Um administrador do SharePoint ou global desabilitou as barreiras de informações do SharePoint e do OneDrive na organização.
Relatório de insights de barreiras de informações concluído InformationBarriersInsightsReportCompleted O sistema conclui o build do relatório de insights de barreiras de informações.
Informações barreiras insights relatório OneDrive seção consultado InformaçõesBarriersInsightsReportOneDriveSectionQueried Um administrador consulta o relatório de insights de barreiras de informações para contas do OneDrive.
Relatório de insights de barreiras de informações agendado InformationBarriersInsightsReportSchedule Um administrador agenda o relatório de insights de barreiras de informações.
Informações barreiras insights relatório SharePoint seção consultado InformaçõesBarriersInsightsReportSharePointSectionQueried Um administrador consulta o relatório de insights de barreiras de informações para sites do Sharepoint.
Segmento removido do site SiteIBSegmentsRemoved Um administrador global ou do SharePoint removeu um ou mais segmentos de barreiras de informação de um site.

Microsoft Defender para Ponto de Extremidade atividades de configurações gerais

A tabela a seguir lista as atividades para Microsoft Defender para Ponto de Extremidade configurações gerais que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre as configurações Microsoft Defender para Ponto de Extremidade, consulte Configurar configurações gerais do Defender para Ponto de Extremidade.

Para exibir Microsoft Defender para Ponto de Extremidade atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Pacote de offboarding baixado DownloadOffboardingPkg Baixei o pacote usado para remover dispositivos do Defender para Ponto de Extremidade.
Pacote de integração baixado DownloadOnboardingPkg Baixou o pacote usado para integrar dispositivos ao Defender para Ponto de Extremidade.
Retenção de dados alterada ChangeDataRetention Editou as configurações de retenção de dados para Defender para Ponto de Extremidade.
Definir recursos avançados SetAdvancedFeatures Recursos avançados alterados no Defender para Ponto de Extremidade, permitindo controles mais precisos durante um incidente. Somente as configurações para recursos avançados que geralmente estão disponíveis são registradas no log de auditoria do Microsoft 365.

Microsoft Defender para Ponto de Extremidade atividades de configurações de indicador

A tabela a seguir lista as atividades para Microsoft Defender para Ponto de Extremidade configurações de indicador que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade indicadores, consulte Gerenciar indicadores.

Para exibir Microsoft Defender para Ponto de Extremidade atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Indicador adicionado AddIndicator Criou um novo Indicador de comprometimento que você pode usar para rastrear ataques e eventos.
Indicador editado EditIndicator Editou um indicador de comprometimento.
Indicador excluído DeleteIndicator Removeu um indicador de comprometimento.

Microsoft Defender para Ponto de Extremidade atividades de ações de reponse

A tabela a seguir lista as atividades para Microsoft Defender para Ponto de Extremidade ações de resposta registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender para Ponto de Extremidade ações de repsonse, consulte Executar ações de resposta em um dispositivo.

Para exibir Microsoft Defender para Ponto de Extremidade atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Pacote de investigação coletado CollectInvestigationPackage Coletou informações sobre um dispositivo que é usado para entender ferramentas e técnicas de ataque.
Verificação antivírus executada RunAntiVirusScan Executou Microsoft Defender verificação antivírus em um dispositivo.
Execução restrita do aplicativo RestrictAppExecution Impedir que um aplicativo mal-intencionado seja executado.
Restrições de aplicativo removidas RemoveAppRestrictions Permitir que um aplicativo seja executado.
Dispositivo isolado IsolateDevice Isolou um dispositivo da rede, ajudando a evitar que ataques se espalhassem.
Liberado do isolamento ReleaseFromIsolation Adicionou um dispositivo isolado de volta à rede.
Arquivo parado e em quarentena StopAndQuarantineFile Colocou em quarentena um arquivo suspicous para análise posterior.
Arquivo baixado Downloadfile Baixei um arquivo suspeito para uma investigação mais aprofundada.
Dispositivo offboarded DeviceOffBoarding Removeu um dispositivo do Defender para Ponto de Extremidade.
API de resposta ao vivo executada RunLiveResponseApi Abriu uma sessão de resposta ao vivo por meio de uma chamada de API, abrindo um shell remoto em um dispositivo.
Logs coletados LogsCollection Informações de log coletadas sobre o Defender para Ponto de Extremidade.
Executar obter link de arquivo de resposta ao vivo LiveResponseGetFile Abriu uma sessão de resposta ao vivo, abrindo um shell remoto em um dispositivo.

Microsoft Defender para Ponto de Extremidade atividades de configurações de funções

A tabela a seguir lista as atividades para Microsoft Defender para Ponto de Extremidade configurações de função registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre funções em Microsoft Defender para Ponto de Extremidade, consulte Criar e gerenciar funções para controle de acesso baseado em função.

Para exibir Microsoft Defender para Ponto de Extremidade atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
AddRole Função adicionada Adicionamos novas permissões e função de segurança.
EditRole Função editada Funções e permissões de segurança editadas.
Deleterole Função excluída Removeu funções de segurança e permissões.

atividades do Microsoft Defender for Experts

A tabela a seguir lista as atividades no Microsoft Defender Experts que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender Experts, consulte Saiba mais sobre Microsoft Defender Experts para XDR e saiba mais sobre Especialistas do Microsoft Defender para Busca

Nome amigável Operação Descrição
Permissão de analista do Defender Experts criada DefenderExpertsAnalystPermissionCreated Um administrador concedeu uma ou mais permissões de função aos analistas do Defender Experts para investigar incidentes ou corrigir ameaças.
Permissão de analista do Defender Experts modificada DefenderExpertsAnalystPermissionModified Um administrador modificou as permissões de função para analistas do Defender Experts investigarem incidentes ou corrigirem ameaças.

Microsoft Defender XDR atividades de detecção personalizadas

A tabela a seguir lista as atividades de detecção personalizadas para Microsoft Defender XDR registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre Microsoft Defender XDR detecções personalizadas, consulte Criar e gerenciar regras de detecção personalizadas.

Para exibir Microsoft Defender XDR atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Regra de detecção personalizada criada CreateCustomDetection Uma nova regra de detecção personalizada foi criada.
Regra de detecção personalizada editada EditCustomDetection Uma regra de detecção personalizada foi modificada.
Regra de detecção personalizada alterada status ChangeCustomDetectionRuleStatus Uma regra de detecção personalizada foi desativada ou ativada.
Regra de detecção personalizada executada RunCustomDetection Uma regra de detecção personalizada foi executada manualmente.
Regra de detecção personalizada excluída DeleteCustomDetection Uma regra de detecção personalizada foi removida.

Microsoft Defender XDR atividades de incidente

A tabela a seguir lista as atividades de incidente para Microsoft Defender XDR que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre incidentes no Microsoft Defender XDR, consulte Visão geral de incidentes.

Para exibir Microsoft Defender XDR atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Comentário adicionado ao incidente AddCommentToIncident. Adição de comentário ao incidente.
Usuário atribuído ao incidente AssignUserToIncident Usuário atribuído ao incidente.
Usuário não assinado para incidente UnAssignUserFromIncident Usuário não atribuído ao incidente.
Incidentes atualizados status UpdateIncidentStatus Incidentes atualizados status.
Editar classificação de incidente EditIncidentClassification Editar classificação de incidente.
Tage adicionado ao incidente AddTagsToIncident Adição de tage ao incidente.
Marcas removidas do incidente RemoveTagsFromIncident Marcas removidas do incidente.

Microsoft Defender XDR atividades de regra de supressão

A tabela a seguir lista as atividades para regras de supressão para Microsoft Defender XDR registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre regras de supressão no Microsoft Defender XDR, consulte Gerenciar regras de supressão.

Para exibir Microsoft Defender XDR atividades, o log de auditoria unificado deve ser habilitado no portal Microsoft Defender XDR. Para obter mais informações, consulte Habilitar o log de auditoria unificado.

Nome amigável Operação Descrição
Regra de supressão criada CreateSuppressionRule Regra de supressão de alerta criada.
Regra de supressão editada EditSuppressionRule Regra de supressão de alerta excluída.
Regra de supressão habilitada EnableSuppressionRule Regra de supressão de alerta habilitada.
Regra de supressão desabilitada DisableSuppressionRule Regra de supressão de alerta desabilitada.
Regra de supressão excluída DeleteSuppressionRule Regra de supressão de alerta excluída.

Atividades do Microsoft Forms

A tabela a seguir lista as atividades de usuários e administradores no Microsoft Forms que estejam conectados ao log de auditoria. O Microsoft Forms é uma ferramenta de formulários/testes/pesquisa usada para coletar dados para análise. Onde indicado abaixo nas descrições, algumas operações contêm parâmetros adicionais de atividade.

Se uma atividade do Forms for executada por um coautor ou um respondente anônimo, ela será registrada de forma ligeiramente diferente. Para obter mais informações, confira a seção Atividades do Forms realizadas por coautores e respondentes anônimos.

Observação

Algumas atividades de auditoria do Forms estão disponíveis apenas na Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que essas atividades sejam registradas no log de auditoria. Para obter mais informações, consulte Auditoria (Premium). Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.

Na tabela a seguir, as atividades de Auditoria (Premium) são destacadas com um asterisco (*).

Nome amigável Operação Descrição
Comentário criado CreateComment O proprietário do formulário adiciona um comentário ou pontuação a um teste.
Formulário criado CreateForm O proprietário do formulário cria um novo formulário.

A propriedade DataMode: a cadeia de caracteres indica que o formulário atual está definido para sincronizar com uma pasta de trabalho do Excel nova ou existente se o valor da propriedade for igual a DataSync. A propriedade ExcelWorkbookLink: a cadeia de caracteres indica a ID da pasta de trabalho do Excel associada ao formulário atual.
Formulário editado EditForm O proprietário do formulário edita um formulário, criando, removendo ou editando uma pergunta. A propriedade EditOperation: cadeia de caracteres indica o nome da operação de edição. As operações possíveis são:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage inclui qualquer lugar dentro do Forms que o usuário pode carregar uma imagem, como em uma consulta ou como um tema de plano de fundo.
Formulário movido MoveForm O proprietário do formulário move um formulário.

A propriedade DestinationUserId:string indica a ID de usuário da pessoa que moveu o formulário. A propriedade NewFormId:string é a nova ID do formulário copiado recentemente. A propriedade IsDelegateAccess: booliano indica que a ação de movimentação do formulário atual é realizada por meio da página de delegado do administrador.
Formulário excluído DeleteForm O proprietário do formulário exclui um formulário. Isso inclui SoftDelete (opção de exclusão usada e o formulário é movido para a lixeira) e HardDelete (a lixeira é esvaziada).
Formulário exibido (tempo de design) ViewForm O proprietário do formulário abre um formulário existente para edição.

A propriedade AccessDenied: booliano indica que o acesso do formulário atual foi negado devido à verificação de permissão. A propriedade FromSummaryLink: booliano indica que a solicitação atual vem da página do link de resumo.
Formulário visualizado PreviewForm O proprietário do formulário visualiza um formulário usando a função Visualização.
Formulário exportado ExportForm O proprietário do formulário exporta os resultados para o Excel.

A propriedade ExportFormat:string indica se o arquivo do Excel foi baixado ou está online.
Formulário de compartilhamento permitido para cópia AllowShareFormForCopy O proprietário do formulário cria um link de modelo para compartilhar o formulário com outros usuários. Esse evento é registrado quando o proprietário do formulário seleciona para gerar a URL do modelo.
Formulário de compartilhamento não permitido para cópia DisallowShareFormForCopy O proprietário do formulário exclui o link do modelo.
Coautor do formulário adicionado AddFormCoauthor Um usuário usa um link de colaboração para criar e exibir respostas. Esse evento é registrado em log quando um usuário usa uma URL de colaboração (não quando a URL de colaboração é gerada primeiro).
Coautor do formulário removido RemoveFormCoauthor O proprietário do formulário exclui um link de colaboração.
Página de resposta exibida ViewRuntimeForm O usuário abriu uma página de resposta para exibição. Esse evento é registrado independentemente de o usuário enviar uma resposta ou não.
Resposta criada CreateResponse Semelhante a receber uma nova resposta. Um usuário enviou uma resposta a um formulário.

A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado.

Para um respondente anônimo, a propriedade ResponderId será nula.
Resposta atualizada UpdateResponse O proprietário do formulário atualizou um comentário ou uma pontuação em um teste.

A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado.

Para um respondente anônimo, a propriedade ResponderId é nula.
Todas as respostas excluídas DeleteAllResponses O proprietário exclui todos os dados de resposta.
Resposta excluída DeleteResponse O proprietário do formulário exclui uma resposta.

A propriedade ResponseId:string indica qual resposta está sendo excluída.
Respostas exibidas ViewResponses O proprietário do formulário exibe a lista agregada de respostas.

A propriedade ViewType:string indica se o proprietário do formulário está exibindo Detalhes ou Agregação
Resposta exibida ViewResponse O proprietário do formulário exibe uma resposta específica.

A propriedade ResponseId:string e a propriedade ResponderId:string indicam qual resultado está sendo visualizado.

Para um respondente anônimo, a propriedade ResponderId é nula.
Link de resumo criado GetSummaryLink O proprietário do formulário cria links de resumo para compartilhar resultados.
Link de resumo excluído DeleteSummaryLink O proprietário do formulário exclui o link de resultados de resumo.
Formulário de status de phishing atualizado UpdatePhishingStatus Este evento é registrado sempre que o valor detalhado para o status de segurança interna for alterado, independentemente de isso ter alterado o estado de segurança final (por exemplo, o formulário agora está Fechado ou Aberto). Isso significa que você pode ver eventos duplicados sem uma alteração final do estado de segurança. Os valores de status possíveis para este evento são:
- Derrubar
- Retirado por Administrador
- Administrador Desbloqueado
- Auto Bloqueado
- Auto Desbloqueado
- Relatado pelo Cliente
-Redefinir Cliente Relatado
Status de phishing do usuário atualizado UpdateUserPhishingStatus Este evento é registrado sempre que o valor do status de segurança do usuário é alterado. O valor do status do usuário no registro de auditoria é Confirmado como Phisher quando o usuário criou um formulário de phishing que foi removido pela equipe de segurança do Microsoft Online. Se um administrador desbloquear o usuário, o valor do status do usuário é definido como Redefinir como Usuário Normal.
Convite do Forms Pro enviado ProInvitation O usuário seleciona para ativar uma avaliação pro.
Configuração do formulário atualizada* UpdateFormSetting O proprietário do formulário atualiza uma ou várias configurações de formulário.

A propriedade FormSettingName: cadeia de caracteres indica o nome das configurações confidenciais atualizadas. A propriedade NewFormSettings: cadeia de caracteres indica o nome das configurações atualizadas e o novo valor. A propriedade thankYouMessageContainsLink:boolean indica que a mensagem de agradecimento atualizada contém um link de URL.
Configuração de usuário atualizada UpdateUserSetting O proprietário do formulário atualiza a configuração de um usuário.

A propriedade UserSettingName:string indica o nome e o novo valor da configuração
Formulários listados* ListForms O proprietário do formulário está exibindo uma lista de formulários.

A propriedade ViewType:string indica qual exibição o proprietário do formulário está olhando: Todos os Formulários, Compartilhado Comigo ou Formulários de Grupo
Resposta enviada SubmitResponse Um usuário envia uma resposta a um formulário.

A propriedade IsInternalForm:boolean indica se o respondente é da mesma organização que o proprietário do formulário.
Habilitado. Qualquer pessoa pode responder à configuração* AllowAnonymousResponse O proprietário do formulário ativa a configuração que permite que qualquer pessoa responda ao formulário.
Desabilitado. Qualquer pessoa pode responder à configuração* DisallowAnonymousResponse O proprietário do formulário desativa a configuração, permitindo que qualquer pessoa responda ao formulário.
Habilitado. Pessoas específicas podem responder à configuração* EnableSpecificResponse O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário.
Desabilitado. Pessoas específicas podem responder à configuração* DisableSpecificResponse O proprietário do formulário desativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual respondam ao formulário.
Respondente específico* adicionado AddSpecificResponder O proprietário do formulário adiciona um novo usuário ou grupo à lista de respondentes específica.
Respondente específico* removido RemoveSpecificResponder O proprietário do formulário remove um usuário ou grupo da lista de respondentes específica.
Colaboração * desabilitada DisableCollaboration O proprietário do formulário desativa a configuração de colaboração no formulário.
Habilitado. Colaboração de conta corporativa ou de estudante do Office 365* EnableWorkOrSchoolCollaboration O proprietário do formulário ativa a configuração que permite aos usuários com uma conta corporativa ou de estudante do Microsoft 365 exibir e editar o formulário.
Habilitado. Pessoas na colaboração * da minha organização EnableSameOrgCollaboration O proprietário do formulário ativa a configuração que permite aos usuários na organização atual exibir e editar o formulário.
Habilitado. Colaboração * de pessoas específicas EnableSpecificCollaboaration O proprietário do formulário ativa a configuração, permitindo que apenas pessoas ou grupos específicos na organização atual vejam e editem o formulário.
Conectado à pasta de trabalho do Excel * ConnectToExcelWorkbook Conectou o formulário a uma pasta de trabalho do Excel.

A propriedade ExcelWorkbookLink: a cadeia de caracteres indica a ID da pasta de trabalho do Excel associada ao formulário atual.
Criou uma coleção CollectionCreated O proprietário do formulário criou uma coleção.
Atualizou uma coleção CollectionUpdated O proprietário do formulário atualizou uma propriedade de coleção.
Excluiu a coleção da lixeira CollectionHardDeleted O proprietário do formulário excluiu uma coleção da Lixeira.
Coleção movida para a lixeira CollectionSoftDeleted O proprietário do formulário moveu uma coleção para a Lixeira.
Renomeou uma coleção CollectionRenamed O proprietário do formulário alterou o nome de uma coleção.
Moveu um formulário para a coleção MovedFormIntoCollection O proprietário do formulário moveu um formulário para uma coleção.
Moveu um formulário para fora da coleção MovedFormOutofCollection O proprietário do formulário moveu um formulário de uma coleção.

Atividades do Forms realizadas por coautores e respondentes anônimos

Os formulários oferecem suporte à colaboração quando os formulários são projetados e ao analisar as respostas. Um colaborador de formulário é conhecido como um coautor. Os coautores podem fazer tudo o que um proprietário de formulário pode fazer, exceto excluir ou mover um formulário. O Forms também permite criar um formulário que pode ser respondido anonimamente. Isso significa que o respondente não precisa estar conectado à sua organização para responder a um formulário.

A tabela a seguir descreve as atividades e informações de auditoria no registro de auditoria para atividades executadas por coautores e respondentes anônimos.

Tipo de atividade Usuário interno ou externo Identificação do usuário que está conectado Organização conectada a Tipo de usuário de formulários
Atividades de coautoria Interno UPN Organização do proprietário do formulário Coautor
Atividades de coautoria Externo UPN
Organização da coautoria
Coautor
Atividades de coautoria Externo urn:forms:coauthor#a0b1c2d3@forms.office.com
(A segunda parte do ID é um hash, que será diferente para cada usuários)
Organização do proprietário do formulário
Coautor
Atividades de resposta Externo UPN
Organização do respondente
Respondente
Atividades de resposta Externo urn:forms:external#a0b1c2d3@forms.office.com
(A segunda parte do ID do usuário é um hash, que será diferente para cada usuário)
Organização do proprietário do formulário Respondente
Atividades de resposta Anônimo urn:forms:anonymous#a0b1c2d3@forms.office.com
(A segunda parte do ID do usuário é um hash, que será diferente para cada usuário)
Organização do proprietário do formulário Respondente

Microsoft Graph Data Connect

A tabela a seguir lista as atividades de usuário e administrador no Microsoft Graph Data Connect que estão registradas para auditoria. A tabela inclui o nome amigável exibido na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV ao exportar os resultados da pesquisa.

Nome amigável Operação Descrição
Aprovado ou negado um aplicativo ConsentModificationRequest Um usuário realizou uma solicitação de modificação de consentimento.
Extração executada DataAccessRequestOperation Um usuário realizou uma extração. Conjuntos de dados de parceiros e execuções ISV são excluídos.

Microsoft Planner atividades

A tabela a seguir lista as atividades de usuário e administrador em Microsoft Planner que estão registradas para auditoria. A tabela inclui o nome amigável exibido na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV ao exportar os resultados da pesquisa.

Nome amigável Operação Descrição
Ler um plano PlanRead Um plano é lido por um usuário ou um aplicativo. Se a operação de leitura for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ContainerType indicará ContainerType.Invalid e ContainerId indicará nulo.
Criou um plano PlanCreated Um plano é criado por um usuário ou um aplicativo. Se a operação create for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indicará nulo, ContainerType indicará ContainerType.Invalid e ContainerId indicará nulo.
Modificou um plano PlanModified Um plano é modificado por um usuário ou um aplicativo.
Excluído um plano PlanDeleted Um plano é excluído por um usuário ou um aplicativo.
Copiou um plano PlanCopied Um plano é copiado por um usuário ou um aplicativo. Se a operação de cópia for um ResultStatus.Failure ou ResultStatus.Failure, newPlanId indicará null, newContainerType indica ContainerType.Invalid e newContainerId indica null.
Ler uma tarefa TaskRead Uma tarefa é lida por um usuário ou um aplicativo. Se a operação de leitura for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, PlanId indicará nulo.
Criou uma tarefa TaskCreated Uma tarefa é criada por um usuário ou um aplicativo. Se a operação create for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indicará nulo e PlanId indicará nulo.
Modificou uma tarefa TaskModified Uma tarefa é modificada por um usuário ou um aplicativo.
Excluiu uma tarefa TaskDeleted Uma tarefa é excluída por um usuário ou um aplicativo.
Atribuiu uma tarefa TaskAssigned O atribuídor de uma tarefa é modificado por um usuário ou um aplicativo. Essa pode ser uma tarefa não atribuída sendo atribuída ou uma tarefa atribuída tem um novo atribuídor.
Concluída uma tarefa TaskCompleted Uma tarefa é marcada como concluída por um usuário ou um aplicativo.
Criou uma lista RosterCreated Uma lista é criada por um usuário ou um aplicativo. Se a operação create for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indicará nulo, MemberIds indicará uma cadeia de caracteres vazia.
Excluído uma lista RosterDeleted Uma lista é excluída por um usuário ou um aplicativo.
Adicionado um membro a uma lista RosterMember Adicionado Um membro é adicionado a uma lista. Se a operação de adição for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indicará a lista de IDs de membros tentadas.
Removeu um membro para uma lista RosterMemberDeleted Um membro é removido de uma lista. Se a operação de remoção for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, MemberIds indicará a lista de IDs de membros tentadas.
Ler uma lista de planos PlanListRead Uma lista de planos é consultada por um usuário ou um aplicativo. Se a operação de consulta for resultStatus.failure ou ResultStatus.AuthorizationFailure, PlanList indicará uma cadeia de caracteres vazia.
Ler uma lista de tarefas TaskListRead Uma lista de tarefas é consultada por um usuário ou um aplicativo. Se a operação de consulta for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, TaskList indicará uma cadeia de caracteres vazia.
Configurações de locatário atualizadas TenantSettingsUpdated As configurações de locatário são atualizadas por um administrador de locatário. Se a operação de atualização for um ResultStatus.Failure ou ResultStatus.AuthorizationFailure, ObjectId indicará as configurações originais e TenantSettings indicará as configurações de locatário tentadas.
Atualizado o rótulo de confidencialidade de uma lista RosterSensitivityLabelUpdated Um usuário ou um aplicativo atualiza o rótulo de confidencialidade de uma lista.

Atividades do Microsoft Power Apps

Você pode pesquisar o log de auditoria de atividades relacionadas a aplicativos no Power Apps. Essas atividades incluem criar, iniciar e publicar um aplicativo. Atribuir permissões a aplicativos também é auditado. Para obter uma descrição de todas as atividades do Power Apps, confira Log de atividades do Power Apps.

Observação

Não há suporte para eventos de auditoria de Políticas de Alerta (Alerta de Proteção) (RecordType:45) no momento para o PowerApps.

Atividades do Microsoft Power Automate

Você pode pesquisar o log de auditoria para atividades no Power Automate (anteriormente chamado Microsoft Flow). Essas atividades incluem criar, editar e excluir fluxos, e alterar as permissões de fluxo. Para obter informações sobre auditoria para atividades do Power Automate, consulte o blog Eventos de auditoria do Power Automate agora disponíveis no portal de conformidade.

Atividades de governança do Microsoft Purview

A tabela a seguir lista as atividades de governança do Microsoft Purview registradas no log de auditoria do Microsoft 365. Para obter mais informações, confira Soluções de governança do Microsoft Purview.

Nome amigável Operação Descrição
Ativo ou entidade criada EntityCreated Um novo ativo ou entidade é criado ou adicionado a um ativo existente.
Classificação adicionada Classificação Adicionada Adicione classificações à entidade de ativos.
Definição de classificação criada ClassificationDefinitionCreated Crie um tipo de classificação.
Definição de classificação excluída ClassificationDefinitionDeleted Exclua um tipo de classificação.
Definição de classificação atualizada ClassificationDefinitionUpdated Atualize um tipo de classificação.
Classificação excluída ClassificationDeleted Excluir classificações da entidade de ativo.
Classificação atualizada ClassificationUpdated Atualize as classificações na entidade de ativos.
Entidade excluída EntityDeleted Um ativo ou entidade é excluído de um ativo existente.
Entidade atualizada EntityUpdated Inclui: atualização de atributo, atualização de atributo comercial, informações de coleção (incluem apenas ID da coleção), atualização de contatos, customAttributes, hierarquia, homeId, rótulos, sourceDetails
Termo glossário atribuído GlossaryTermAssigned Atribua termos à entidade de ativos.
Termo glossário criado GlossaryTermCreated Crie um termo.
Termo glossário excluído GlossaryTermDeleted Exclua um termo.
Termo glossário dissociado GlossaryTermDisassociated Desassociar termos da entidade de ativo.
Termo glossário atualizado GlossaryTermUpdated Atualize um termo.
Rótulo de confidencialidade alterado SensitivityLabelChanged O rótulo de confidencialidade é adicionado/atualizado/excluído.

Atividades do Microsoft Project para a Web

Você pode pesquisar no log de auditoria atividades no Microsoft Project para a Web. O Microsoft Project para a Web é criado no Microsoft Dataverse e tem um Project Power App associado. Para habilitar a auditoria para cenários em que o usuário está usando o Microsoft Dataverse ou o Project Power App, consulte a guia Auditoria de Configurações do Sistema . Para obter uma lista de entidades relacionadas a Project para a Web, consulte Exportar dados do usuário de Project para a Web diretrizes.

Para obter informações sobre o Microsoft Project para a Web, consulte Microsoft Project para a Web.

Observação

A auditoria de eventos para atividades do Microsoft Project para a Web requer uma licença de Project Plano 1 paga (ou superior) além da licença relevante do Microsoft 365 que inclui direitos à Auditoria (Premium).

Nome amigável Operação Descrição
Projeto criado ProjectCreated Um projeto é criado por um usuário ou aplicativo.
Roteiro criado RoadmapCreated Um roteiro é criado por um usuário ou aplicativo.
Item de roteiro criado RoadmapItemCreated Um item de roteiro é criado por um usuário ou aplicativo.
Tarefa criada TaskCreated Uma tarefa é criada por um usuário ou aplicativo.
Projeto excluído ProjectDeleted Um projeto é excluído por um usuário ou aplicativo.
Roteiro excluído RoteiroDeleted Um roteiro é excluído por um usuário ou aplicativo.
Item de roteiro excluído RoadmapItemDeleted Um item de roteiro é excluído por um usuário ou aplicativo.
Tarefa excluída TaskDeleted Uma tarefa é excluída por um usuário ou aplicativo.
Projeto acessado ProjectAccessed Um projeto é lido ou aplicativo.
Casa do projeto acessada ProjectListAccessed Uma lista de projetos e/ou roteiros é consultada por um usuário.
Roteiro acessado RoteiroAccessed Um roteiro é lido por um usuário ou aplicativo.
Item de roteiro acessado RoadmapItemAccessed Um item de roteiro é lido por um usuário ou aplicativo.
Tarefa acessada TaskAccessed Uma tarefa é lida por um usuário ou aplicativo.
Configurações de projeto atualizadas ProjectForTheWebProjectSettings As configurações do projeto são atualizadas por um administrador.
Roteiro atualizado RoadmapUpdated Um roteiro é modificado por um usuário ou aplicativo.
Item de roteiro atualizado RoadmapItemUpdated Um item de roteiro é modificado por um usuário ou aplicativo.
Configurações de roteiro atualizadas ProjectForTheWebRoadmaptSettings As configurações do roteiro são atualizadas por um administrador.
Tarefa atualizada TaskUpdated Uma tarefa é modificada por um usuário ou aplicativo.
Projeto atualizado ProjectUpdated Um projeto é modificado por um usuário ou aplicativo.

Atividades do Microsoft Stream

Você pode pesquisar o log de auditoria para atividades no Microsoft Stream. Essas atividades incluem atividades de vídeo executadas por usuários, atividades de canal de grupo e atividades de administração, como gerenciar usuários, gerenciar as configurações da organização e exportar relatórios. Para obter uma descrição dessas atividades, consulte a seção "Atividades registradas no Microsoft Stream em Logs de auditoria do Microsoft Stream.

Atividades do Microsoft Teams

A tabela a seguir lista as atividades do Microsoft Teams registradas no log de auditoria do Microsoft 365. Você pode pesquisar o log de auditoria das atividades de usuários e de administradores no Microsoft Teams. O Teams é um espaço de trabalho baseado em chat no Microsoft 365. Ele reúne as conversas, reuniões, arquivos e anotações da equipe em um único lugar. Para obter diretrizes de pesquisa mais detalhadas, consulte Pesquisar o log de auditoria em busca de eventos no Microsoft Teams.

Nome amigável Operação Descrição
Bot adicionado à equipe BotAddedToTeam Um usuário adiciona um bot a uma equipe.
Canal adicionado ChannelAdded Um usuário adiciona um canal a uma equipe.
Conector adicionado ConnectorAdded Um usuário adiciona um conector a um canal.
Detalhes adicionados sobre a reunião do Teams 2, 5 MeetingDetail O Teams adicionou informações sobre uma reunião, incluindo a hora de início, a hora de término e a URL para ingressar na reunião.
Informações adicionadas sobre os participantes da reunião 2, 5 MeetingParticipantDetail O Teams adicionou informações sobre os participantes de uma reunião, incluindo a ID do usuário de cada participante, a hora em que um participante ingressou na reunião e a hora em que um participante saiu da reunião.
Membros adicionados 5, 6 MemberAdded O proprietário de uma equipe adiciona membros a uma equipe, canal ou chat em grupo.
Guia adicionada TabAdded Um usuário adiciona uma guia a um canal.
Rótulo de confidencialidade aplicado SensitivityLabelApplied Um usuário ou organizador de reunião aplicou um rótulo de confidencialidade a uma reunião do Teams.
Configuração de canal alterada ChannelSettingChanged A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um membro da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada em parênteses é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o nome de um canal de equipe (nome do canal)
  • Altera a descrição de um canal de equipe (descrição do canal)
Configuração da organização alterada TeamsTenantSettingChanged A operação TeamsTenantSettingChanged é registrada quando as atividades a seguir são executadas por um administrador global no Centro de administração do Microsoft 365. Essas atividades afetam as configurações do Teams em toda a organização. Para saber mais, confira Gerenciar configurações do Teams para sua organização.
Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada em parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Habilita ou desabilita o Teams para a organização (Microsoft Teams).
  • Habilita ou desabilita a interoperabilidade entre o Microsoft Teams e Skype for Business para a organização (Skype for Business interoperabilidade).
  • Habilita ou desabilita a exibição do gráfico organizacional em clientes do Microsoft Teams (exibição do gráfico da organização).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões privadas (agendamento de reuniões privadas).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões de canal (Agendamento de reunião do canal).
  • Habilita ou desabilita a chamada de vídeo em reuniões do Teams (Vídeo para reuniões do Skype).
  • Habilita ou desabilita o compartilhamento de tela nos meetups do Microsoft Teams para a organização (compartilhamento de tela para reuniões do Skype).
  • Habilita ou desabilita essa capacidade de adicionar imagens animadas (chamadas Giphys) a conversas do Teams (imagens animadas).
  • Altera a configuração de classificação de conteúdo para a organização (Classificação de conteúdo). A classificação de conteúdo restringe o tipo de imagem animada que pode ser exibido em conversas.
  • Permite ou desabilita a capacidade dos membros da equipe de adicionar imagens personalizáveis (chamadas de memes personalizados) da Internet a conversas em equipe (imagens personalizáveis da Internet).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens editáveis (chamadas de adesivos) a conversas em equipe (imagens editáveis).
  • Habilita ou desabilita essa capacidade de os membros da equipe usarem bots em chats e canais do Microsoft Teams (bots em toda a organização).
  • Habilita bots específicos para o Microsoft Teams. Isso não inclui o T-Bot, que é o bot de ajuda do Teams, que está disponível quando os bots estão habilitados para a organização (Bots individuais).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar extensões ou guias (Extensões ou guias).
  • Habilita ou desabilita o carregamento lateral de bots proprietários para o Microsoft Teams (carregamento lateral de bots).
  • Habilita ou desabilita a capacidade dos usuários de enviar mensagens de email para um canal do Microsoft Teams (email do Canal).
Função de membros alterada na equipe MemberRoleChanged Um proprietário altera a função dos membros de uma equipe. Os valores a seguir indicam o tipo de função atribuído ao usuário.

1 – Indica a função Membro.
2 – Indica a função Proprietário.
3 – Indica a função de Convidado.

A propriedade Members também inclui o nome da sua organização e o endereço de email do membro.
Configuração da equipe alterada TeamSettingChanged A operação ChannelSettingChanged é registrada em log quando as seguintes atividades são realizadas por um proprietário da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada em parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o tipo de acesso de uma equipe. As equipes podem ser definidas como privadas ou públicas (tipo de acesso da equipe). Quando uma equipe é particular (a configuração padrão), os usuários podem acessá-la apenas por convite. Quando uma equipe é pública, ela fica visível para qualquer pessoa.
  • Altera a classificação de informações de uma equipe (classificação de equipe). Por exemplo, os dados da equipe podem ser classificados como alto impacto sobre os negócios, médio impacto sobre os negócios ou baixo impacto sobre os negócios.
  • Altera o nome de uma equipe (nome da equipe).
  • Altera a descrição da equipe (descrição da equipe).
  • Alterações feitas nas configurações da equipe. Para acessar essas configurações, o proprietário da equipe pode clicar com o botão direito do mouse em uma equipe, selecionar Gerenciar equipe e, em seguida, selecionar a guia Configurações . Para essas atividades, o nome da configuração que foi alterada é exibido na coluna Item nos resultados da pesquisa de log de auditoria.
Rótulo de confidencialidade alterado SensitivityLabelChanged Um usuário alterou um rótulo de confidencialidade em uma reunião do Teams.
Criou um chat 1, 2 ChatCreated Um chat do Teams foi criado.
Equipe criada TeamCreated O usuário cria uma equipe.
Excluído uma mensagem 2 MessageDeleted Uma mensagem em um chat ou canal foi excluída.
Excluídos todos os aplicativos da organização DeletedAllOrganizationApps Excluiu todos os aplicativos da organização do catálogo.
Aplicativo excluído AppDeletedFromCatalog Um aplicativo foi excluído do catálogo.
Canal excluído ChannelDeleted Um usuário exclui um canal de uma equipe.
Equipe excluída TeamDeleted Um proprietário de equipe exclui uma equipe.
Editou uma mensagem com um link de URL no Teams 5 MessageEditedHasLink Um usuário edita uma mensagem e adiciona um link de URL a ela no Teams.
Mensagens exportadas 1, 2 MessagesExported Mensagens de chat ou canal foram exportadas.
Gravações exportadas RecordingExported Gravações de chat foram exportadas.
Transcrições exportadas TranscriçõesExportadas As transcrições do chat foram exportadas.
Falha ao validar o convite para o canal compartilhado 3 FailedValidation Um usuário responde a um convite para um canal compartilhado, mas o convite falhou na validação.
Chat buscado 1, 2 ChatRetrieved Um chat do Microsoft Teams foi recuperado.
Buscar todo o conteúdo hospedado de uma mensagem1, 2 MessageHostedContentsListed Todo o conteúdo hospedado em uma mensagem, como imagens ou snippets de código, foi recuperado.
Aplicativo instalado AppInstalled Um aplicativo foi instalado.
Ação executada no cartão PerformedCardAction Um usuário tomou medidas em um cartão adaptável dentro de um chat. Cartões adaptáveis normalmente são usados por bots para permitir a exibição avançada de informações e interação em chats.

Nota: Somente ações de entrada embutidas em um cartão adaptável dentro de um chat estarão disponíveis no log de auditoria. Por exemplo, quando um usuário envia uma resposta de pesquisa em uma conversa de canal em uma cartão adaptável gerada por um bot poll. Ações do usuário, como "Exibir resultado", que abrirá uma caixa de diálogo ou ações do usuário dentro de caixas de diálogo não estarão disponíveis no log de auditoria.
Postou uma nova mensagem 1, 2, 5, 6 MessageSent Uma nova mensagem foi postada em um chat ou canal.
Aplicativo publicado AppPublishedToCatalog Um aplicativo foi adicionado ao catálogo.
Ler uma mensagem 1, 2 MessageRead Uma mensagem de um chat ou canal foi recuperada.
Ler o conteúdo hospedado de uma mensagem 1, 2 MessageHostedContentRead O conteúdo hospedado em uma mensagem, como uma imagem ou um snippet de código, foi recuperado.
Bot removido da equipe BotRemovedFromTeam Um usuário remove um bot de uma equipe.
Conector removido ConnectorRemoved Um usuário remove um conector de um canal.
Membros removidos MemberRemoved O proprietário de uma equipe remove membros de uma equipe, canal ou chat em grupo.
Rótulo de confidencialidade removido SensitivityLabelRemoved Um usuário removeu um rótulo de confidencialidade de uma reunião do Teams.
Compartilhamento removido do canal de equipe 3 Compartilhamento encerrado Uma equipe ou proprietário do canal desabilitou o compartilhamento para um canal compartilhado.
Compartilhamento restaurado do canal de equipe 3 SharingRestored Um compartilhamento reabilitado do proprietário de uma equipe ou do canal para um canal compartilhado.
Guia removida TabRemoved Um usuário remove uma guia de um canal.
Respondeu ao convite para o canal compartilhado 3 InviteeResponded Um usuário respondeu a um convite de canal compartilhado.
Respondeu à resposta de convite ao canal compartilhado 3 ChannelOwnerResponded Um proprietário do canal respondeu a uma resposta de um usuário que respondeu a um convite de canal compartilhado.
Mensagens recuperadas 1, 2 MessagesListed Mensagens de um chat ou canal foram recuperadas.
Enviou uma mensagem com um link de URL no Teams 5 MessageCreatedHasLink Um usuário envia uma mensagem contendo um link de URL no Teams.
Notificação de alteração enviada para criação de mensagem 1, 2 MessageCreatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma nova mensagem.
Notificação de alteração enviada para exclusão de mensagem 1, 2 MessageDeletedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem excluída.
Notificação de alteração enviada para a atualização da mensagem 1, 2 MessageUpdatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem atualizada.
Convite enviado para o canal compartilhado 3 InviteSent Um proprietário ou membro do canal envia um convite para um canal compartilhado. Convites para canais compartilhados podem ser enviados para pessoas fora de sua organização se a política de canal estiver configurada para compartilhar o canal com usuários externos.
Inscrito nas notificações de alteração de mensagem 1, 2 SubscribedToMessages Uma assinatura foi criada por um aplicativo ouvinte para receber notificações de alteração para mensagens.
Aplicativo desinstalado AppUninstalled Um aplicativo foi desinstalado.
Aplicativo atualizado AppUpdatedInCatalog Um aplicativo foi atualizado no catálogo.
Atualizado um chat 1, 2 ChatUpdated Um chat do Teams foi atualizado.
Atualizado uma mensagem 1, 2 MessageUpdated Uma mensagem de um chat ou canal foi atualizada.
Conector atualizado ConnectorUpdated Um usuário modificou um conector em um canal.
Guia atualizada TabUpdated Usuário modificou uma guia no canal.
Aplicativo atualizado AppUpgraded Um aplicativo foi atualizado para sua versão mais recente no catálogo.
Usuário entrou nas Equipes TeamsSessionStarted Um usuário entra em um cliente do Microsoft Teams. Este evento não captura as atividades de atualização de token.
Posted New Message 3, 4, 5, 6 MessageSent Uma nova mensagem foi postada em um chat ou em um canal. Este evento é um recurso premium com detalhes de licenciamento a serem definidos.

Observação

1 Um registro de auditoria para esse evento só é registrado quando a operação é executada chamando um microsoft API do Graph. Se a operação for executada no cliente do Teams, um registro de auditoria não será registrado
2 Este evento só está disponível em Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que esses eventos sejam registrados no log de auditoria. Para obter mais informações sobre as atividades disponíveis apenas em Auditoria (Premium), consulte Auditoria (Premium) no Microsoft Purview. Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.
3 Este evento está em versão prévia pública.
4Esse evento só será gerado para chat se houver usuários convidados, federados e/ou anônimos.
5 Este evento está atualmente indisponível em organizações do GCC (Government Community Cloud), Government Community Cloud High (GCC-High) e Departamento de Defesa (DoD).
6 Este evento está incluído em todos os locatários participantes para chats federados.
7 Este evento tem informações de domínio participantes para chats federados 1:1.

Atividades do Microsoft Teams Healthcare

Se a sua organização estiver usando o aplicativo Patients do Microsoft Teams, você poderá pesquisar o log de auditoria para atividades relacionadas ao uso do aplicativo Patients. Se o seu ambiente estiver configurado para oferecer suporte ao aplicativo Patients, um grupo de atividades adicionais para essas atividades estará disponível na lista seletoraAtividades.

Atividades do Microsoft Teams Healthcare na lista seletora Atividades.

Para obter uma descrição das atividades do aplicativos Patients, confira Logs de auditoria para aplicativo Patients.

Atividades de Turnos do Microsoft Teams

A tabela a seguir lista o aplicativo Shift nas atividades do Microsoft Teams que estão registradas no log de auditoria do Microsoft 365. Se sua organização estiver usando o aplicativo Turnos no Microsoft Teams, você poderá pesquisar o log de auditoria por atividades relacionadas ao uso do aplicativo Turnos. Se o seu ambiente estiver configurado para oferecer suporte ao aplicativo Turnos, um grupo de atividades adicionais para essas atividades estará disponível na lista de seleção Atividades.

Nome amigável Operação Descrição
Grupo de agendamento adicionado ScheduleGroupAdded Um usuário adiciona com êxito um novo grupo de agendamento à agenda.
Grupo de agendamento editado ScheduleGroupEdited Um usuário edita com êxito um grupo de agendamento.
Grupo de agendamento excluído ScheduleGroupDeleted Um usuário exclui com êxito um grupo de agendamento da agenda.
Agendamento retirado AgendaMentoComdrawn Um usuário retira com êxito uma agenda publicada.
Turno adicionado ShiftAdded Um usuário adiciona com êxito uma mudança.
Turno editado ShiftEdited Um usuário edita com êxito uma mudança.
Turno excluído ShiftDeleted Um usuário exclui com êxito uma mudança.
Tempo limite adicionado TimeOffAdded Um usuário adiciona uma folga com êxito na agenda.
Folga editada TimeOffEdited Um usuário edita com êxito a folga.
Tempo limite excluído TimeOffDeleted Um usuário exclui com êxito a folga.
Adicionado turno aberto OpenShift Adicionado Um usuário adiciona com êxito um turno aberto a um grupo de agendamento.
Turno aberto editado OpenShiftEdited Um usuário edita com êxito um turno aberto em um grupo de agendamento.
Turno aberto excluído OpenShiftDeleted Um usuário exclui com êxito um turno aberto de um grupo de agendamento.
Agenda compartilhada ScheduleShared Um usuário compartilhou com êxito uma agenda de equipe para um intervalo de datas.
Clocked in using Time clock ClockedIn Um usuário marca com êxito o uso do relógio De tempo.
Tempo limite usando o relógio de tempo ClockedOut Um usuário sai com êxito usando o relógio De tempo.
Iniciou o intervalo usando o relógio de tempo BreakStarted Um usuário inicia uma pausa com êxito durante uma sessão do relógio temporizado ativo.
Interrupção final usando o relógio de tempo BreakEnded Um usuário encerra com êxito uma interrupção durante uma sessão do relógio temporizado ativo.
Entrada de relógio de tempo adicionado TimeClockEntry Adicionado Um usuário adiciona com êxito uma nova entrada de relógio de tempo manual na Folha de Tempo.
Entrada de relógio de hora editada TimeClockEntryEdited Um usuário edita com êxito uma entrada de relógio de tempo na Folha de Tempo.
Entrada de relógio de hora excluída TimeClockEntryDeleted Um usuário exclui com êxito uma entrada de relógio de hora na Folha de Tempo.
Solicitação de turno adicionada Solicitação Adicionada Um usuário adicionou uma solicitação de turno.
Respondeu à solicitação de turno RequestRespondedTo Um usuário respondeu a uma solicitação de turno.
Solicitação de turno cancelada RequestCancelled Um usuário cancelou uma solicitação de turno.
Configuração de agendamento alterada ScheduleSettingChanged Um usuário altera uma configuração nas configurações shifts.
Integração da força de trabalho adicionada WorkforceIntegration Adicionado O aplicativo Shifts é integrado a um sistema de terceiros.
Mensagem de desativação aceita OffShiftDialogAccepted Um usuário reconhece a mensagem off-shift para acessar o Teams após o horário de turno.

Atividades de Atualizações do Microsoft Teams

A tabela a seguir lista Atualizações aplicativo nas atividades do Microsoft Teams que estão registradas no log de auditoria do Microsoft 365. Se sua organização estiver usando o aplicativo Atualizações no Microsoft Teams, você poderá pesquisar no log de auditoria atividades relacionadas ao uso do aplicativo Atualizações. Se o ambiente estiver configurado para dar suporte a aplicativos Atualizações, um grupo de atividades adicional para essas atividades estará disponível na lista de seletores de atividades.

Nome amigável Operação Descrição
Criar uma solicitação de atualização CreateUpdateRequest Um usuário cria com êxito uma solicitação de atualização.
Editar uma solicitação de atualização EditUpdateRequest Um usuário abre o assistente de edição de solicitação e seleciona Salvar para confirmar e salvar quaisquer alterações, ou habilita ou desabilita a solicitação de atualização diretamente.
Enviar uma atualização SubmitUpdate Um usuário envia com êxito uma atualização.
Exibir os detalhes de uma atualização ViewUpdate Um usuário exibe os detalhes da atualização.

Atividades do Microsoft To Do

A tabela a seguir lista as atividades no Microsoft To Do que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre o Microsoft To Do, consulte Suporte para Microsoft Fazer.

Observação

A auditoria de eventos para atividades do Microsoft To Do requer uma licença de Project Plano 1 paga (ou superior) além da licença relevante do Microsoft 365 que inclui direitos à Auditoria (Premium).

Nome amigável Operação Descrição
Link de compartilhamento aceito na pasta AcceptedSharingLinkOnFolder Link de compartilhamento aceito para uma pasta.
Anexo criado AnexoCriado Um anexo foi criado para uma tarefa.
Anexo atualizado AttachmentUpdated Um anexo foi atualizado.
Anexo excluído AttachmentDeleted Um anexo foi excluído.
Link de compartilhamento de pasta compartilhado FolderSharingLinkShared Criou um link de compartilhamento para uma pasta.
Entidade vinculada excluída LinkedEntityDeleted Uma entidade vinculada foi excluída.
Entidade vinculada atualizada LinkedEntityUpdated Uma entidade vinculada foi atualizada.
Entidade vinculada criada LinkedEntityCreated Uma entidade vinculada da tarefa foi criada.
SubTask criado SubTaskCreated Uma subtarefa foi criada.
SubTask excluído SubTaskDeleted Uma subtarefa foi excluída.
SubTask atualizado SubTaskUpdated Uma subtarefa foi atualizada.
Tarefa criada TaskCreated Uma tarefa foi criada.
Tarefa excluída TaskDeleted Uma tarefa foi excluída.
Leitura da tarefa TaskRead Uma tarefa foi lida.
Tarefa atualizada TaskUpdated Uma tarefa foi atualizada.
TaskList criado TaskListCriated Uma lista de tarefas foi criada.
Leitura da Lista de Tarefas TaskListRead Uma lista de tarefas foi lida.
TaskList atualizado TaskListUpdated Uma lista de tarefas foi atualizada.
Usuário convidado UserInvited Usuário convidado para uma pasta.

Microsoft Viva Insights atividades

Viva Insights fornece informações sobre como os grupos colaboram em toda a sua organização. A tabela a seguir lista as atividades executadas pelos usuários que recebem a função administrador ou as funções de Analista em Viva Insights. Os usuários que receberam a função de Analista têm acesso total a todos os recursos de serviço e usam o produto para fazer análise. Os usuários atribuídos à função Administrador podem configurar configurações de privacidade e padrões do sistema e podem preparar, carregar e verificar dados organizacionais em Viva Insights. Para obter mais informações, consulte Introdução Microsoft Viva Insights.

Nome amigável Operação Descrição
Link OData acessado AccessedOdataLink O analista acessou o link OData para uma consulta.
Consulta cancelada CanceledQuery O analista cancelou uma consulta em execução.
Exclusão de reunião criada MeetingExclusionCreated O analista criou uma regra de exclusão de reunião.
Resultado excluído DeletedResult O analista excluiu um resultado de consulta.
Relatório baixado DownloadedReport O analista baixou um arquivo de resultado da consulta.
Consulta executada ExecutedQuery O analista executou uma consulta.
Configuração do acesso a dados atualizada UpdatedDataAccessSetting O administrador atualizou as configurações de acesso a dados.
Configuração de privacidade atualizada UpdatedPrivacySetting Administração configurações de privacidade atualizadas; por exemplo, tamanho mínimo do grupo.
Dados da organização carregados UploadedOrgData O administrador carregou um arquivo de dados organizacional.
Usuário conectado* UserLoggedIn Um usuário conectado à conta de usuário do Microsoft 365.
Usuário desconectado* UserLoggedOff Um usuário desconectado da sua conta de usuário do Microsoft 365.
Exploração Exibida ViewedExplore O analista exibiu as visualizações em uma ou mais guias da página de Exploração.

Observação

*um evento de atividade de entrada e aprovação Microsoft Entra é criado quando um usuário entra. Essa atividade é registrada mesmo que você não tenha Viva Insights ativada em sua organização. Para obter mais informações sobre as atividades de entrada do usuário, confira Logs de entrada no Microsoft Entra ID.

Atividades de insights pessoais

A tabela a seguir lista as atividades em insights pessoais que estão registradas no log de auditoria do Microsoft 365. Para obter mais informações sobre insights pessoais, consulte Administração guia para obter informações pessoais.

Nome amigável Operação Descrição
Configurações atualizadas do MyAnalytics da organização UpdatedOrganizationMyAnalyticsSettings Administração atualiza as configurações no nível da organização para insights pessoais.
Configurações atualizadas do usuário do MyAnalytics UpdatedUserMyAnalyticsSettings Administração atualiza as configurações do usuário para insights pessoais.

Atividades do Power BI

Você pode pesquisar o log de auditoria das atividades do Power BI. Para saber mais sobre as atividades do Power bi, confira a seção "Atividades auditadas pelo Power bi" em Usando a auditoria dentro da sua organização.

O log de auditoria do Power BI não está habilitado por padrão. Para pesquisar as atividades do Power BI no log de auditoria, habilite o recurso de auditoria no Portal de Administração do Power BI. Para obter instruções, confira a seção "logs de auditoria" no portal de administração do Power bi.

Atividades de quarentena

A tabela a seguir lista as atividades de quarentena que podem ser pesquisadas no log de auditoria. Para obter mais informações sobre quarentena, confira Mensagens de email em quarentena.

Nome amigável Operação Descrição
Mensagem de quarentena excluída QuarantineDelete Um administrador ou usuário excluiu uma mensagem de email considerada prejudicial.
Solicitação de liberação de mensagem de quarentena negada QuarantineReleaseRequestDeny Uma negação de administrador para uma solicitação de liberação de um usuário para uma mensagem de email que foi considerada prejudicial.
Mensagem de quarentena exportada QuarantineExport Um administrador ou usuário exportou uma mensagem de email considerada prejudicial.
Mensagem de quarentena exibida QuarantinePreview Um administrador ou usuário visualizava uma mensagem de email considerada prejudicial.
Mensagem de quarentena liberada QuarantineRelease Um administrador ou usuário liberou uma mensagem de email da quarentena que foi considerada prejudicial.
Mensagem de quarentena de solicitação de versão QuarantineReleaseRequest Um usuário solicitou a liberação de uma mensagem de email que foi considerada prejudicial.
Cabeçalho de mensagem de quarentena exibida QuarantineViewHeader Um administrador ou usuário visualizou o cabeçalho de uma mensagem de email considerada prejudicial.

Atividades de relatório

A tabela a seguir lista as atividades para relatórios de uso registradas no log de auditoria do Microsoft 365.

Nome amigável Operação Descrição
Configurações de privacidade do relatório de uso atualizadas UpdateUsageReportsPrivacySetting Configurações de privacidade atualizadas pelo administrador para relatórios de uso.

Política de retenção e atividades do rótulo de retenção

A tabela a seguir descreve as atividades de configuração para políticas de retenção e rótulos de retenção quando foram criados, reconfigurados ou excluídos.

Nome amigável Operação Descrição
Associação de escopo adaptável alterada ApplicableAdaptiveScopeChange Usuários, sites ou grupos foram adicionados ou removidos do escopo adaptável. Essas alterações são os resultados da execução da consulta do escopo. Como as alterações são iniciadas pelo sistema, o usuário relatado é exibido como um GUID em vez de uma conta de usuário.
Configurações definidas para uma política de retenção NewRetentionComplianceRule As configurações de retenção para uma nova política de retenção foram definidas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet New-RetentionComplianceRule.
Escopo adaptável criado NewAdaptiveScope O administrador criou um escopo adaptável.
Criado o rótulo de retenção NewComplianceTag Um novo rótulo de retenção foi criado pelo administrador.
Criada a política de retenção NewRetentionCompliancePolicy Uma nova política de retenção foi criada pelo administrador.
Escopo adaptável excluído RemoveAdaptiveScope O administrador excluiu um escopo adaptável.
As configurações de uma política de retenção foram excluídas RemoveRetentionComplianceRule
As definições de configuração de uma política de retenção foram excluídas pelo administrador. Provavelmente, essa atividade é registrada quando um administrador exclui uma política de retenção ou executa o cmdlet Remove-RetentionComplianceRule.
Rótulo de retenção excluído RemoveComplianceTag Um rótulo de retenção foi excluído pelo administrador.
Excluída a política de retenção RemoveRetentionCompliancePolicy
Uma política de retenção foi excluída pelo administrador.
A opção de registro regulatório foi habilitada para etiquetas de retenção
SetRestrictiveRetentionUI O administrador executou o cmdlet Set-RegulatoryComplianceUI para que um administrador possa selecionar a opção de configuração da IU para que um rótulo de retenção marque o conteúdo como um registro regulamentar.
Escopo adaptável atualizado SetAdaptiveScope O administrador alterou a descrição ou a consulta para um escopo adaptável existente.
Configurações atualizadas para uma política de retenção SetRetentionComplianceRule As configurações de retenção para uma política de retenção existente foram alteradas pelo administrador. As configurações de retenção incluem por quanto tempo os itens são retidos e o que acontece com os itens quando o período de retenção expira (como excluir itens, reter itens ou retê-los e excluí-los). Essa atividade também corresponde à execução do cmdlet Set-RetentionComplianceRule.
Rótulo de retenção atualizado SetComplianceTag Um rótulo de retenção existente foi atualizado pelo administrador.
Política de retenção atualizada SetRetentionCompliancePolicy Uma política de retenção existente foi atualizada pelo administrador. As atualizações que acionam este evento incluem adicionar ou excluir locais de conteúdo aos quais a política de retenção é aplicada.

Atividades de administração de funções

A tabela a seguir lista Microsoft Entra atividades de administração de função que são registradas quando um administrador gerencia funções de administrador no Centro de administração do Microsoft 365 ou no portal de gerenciamento do Azure.

Observação

Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.

Nome amigável Operação Descrição
Adicionar membro à função Adicione o membro à função. Usuário adicionado a uma função de administração no Microsoft 365.
Usuário removido de uma função de diretório Remova membro da função. Usuário removido de uma função de administração no Microsoft 365.
Definir informações de contato da empresa Defina as informações de contato da empresa. Preferências de contato no nível da empresa atualizadas para a sua organização. Isso inclui endereços de email para emails relacionados a assinaturas enviados pelo Microsoft 365 e notificações técnicas sobre serviços.

Atividades de tipos de informações confidenciais

A tabela a seguir descreve os eventos de auditoria para atividades que envolvem a criação e atualização de tipos de informações confidenciais.

Nome amigável Operação Descrição
Criado um novo tipo de informações confidenciais CreateRulePackage / EditRulePackage* Um novo tipo de informação confidencial foi criado. Isso inclui todos os SITs criados copiando um SIT fora da caixa.

Observação: essa atividade aparece nas atividades de auditoria 'Pacote de regras criadas' ou 'Pacote de regras editadas'.

Editou um tipo de informação confidencial EditRulePackage Um tipo de informação confidencial existente foi editado. Isso pode incluir operações como adicionar/remover um padrão e editar o regex/palavra-chave associado ao tipo de informações confidenciais.

Nota: Essa atividade será exibida sob a atividade de auditoria "Pacote de regras editado".

Excluiu um tipo de informação confidencial EditRulePackage / RemoveRulePackage Um tipo de informação confidencial existente foi excluído.

Nota: Essa atividade será exibida sob a atividade de auditoria "Pacote de regras editadas" ou "Pacote de regra removido".

Atividades de rótulo de sensibilidade

A tabela a seguir lista eventos resultantes do uso de rótulos de confidencialidade com sites e itens gerenciados pelo Microsoft Purview. Os itens incluem documentos, emails e eventos de calendário. Para políticas de rotulagem automática, os itens também incluem arquivos e ativos de dados esquematizados em Mapa de Dados do Microsoft Purview.

Nome amigável Operação Descrição
Rótulo de sensibilidade aplicado ao site SiteSensitivityLabelApplied Um rótulo de confidencialidade foi aplicado a um site do SharePoint ou site do Teams que não está conectado a grupos.
Rótulo de sensibilidade removido do site SiteSensitivityLabelRemoved Um rótulo de confidencialidade foi removido de um site do SharePoint ou do site do Teams que não está conectado a grupos.
Rótulo de sensibilidade aplicado ao site FileSensitivityLabelApplied

SensitivityLabelApplied
Um rótulo de confidencialidade foi aplicado a um item usando aplicativos do Microsoft 365, Office na Web ou uma política de rotulagem automática.

As operações para essa atividade são diferentes dependendo de como o rótulo foi aplicado:
- Office na Web ou uma política de rotulagem automática (FileSensitivityLabelApplied)
- Aplicativos do Microsoft 365 (SensitivityLabelApplied)
Rótulo de sensibilidade alterado aplicado ao arquivo FileSensitivityLabelChanged

SensitivityLabelUpdated
Um rótulo de confidencialidade diferente foi aplicado a um item.

As operações para essa atividade são diferentes dependendo de como o rótulo foi alterado:
- Office na Web ou uma política de rotulagem automática (FileSensitivityLabelChanged)
- Microsoft 365 Apps (SensitivityLabelUpdated)
Rótulo de confidencialidade alterado em um site SiteSensitivityLabelChanged Um rótulo de confidencialidade diferente foi aplicado a um site do SharePoint ou site do Teams que não está conectado ao grupo.
Rótulo de sensibilidade removido do site FileSensitivityLabelRemoved

SensitivityLabelRemoved
Um rótulo de confidencialidade foi removido de um item usando aplicativos do Microsoft 365, Office na Web, uma política de rotulagem automática ou o cmdlet Unlock-SPOSensitivityLabelEncryptedFile.

As operações para essa atividade são diferentes dependendo de como o rótulo foi removido:
- Office na Web ou uma política de rotulagem automática (FileSensitivityLabelRemoved)
- Aplicativos do Microsoft 365 (SensitivityLabelRemoved)

Informações adicionais de auditoria para rótulos de confidencialidade:

Atividades de lista do SharePoint

A tabela a seguir descreve as atividades relacionadas quando os usuários interagem com listas e itens de lista do SharePoint Online. Registros de auditoria de algumas atividades do SharePoint indicam que o usuário app@sharepoint realizou a atividade de nome do usuário ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.

Nome amigável Operação Descrição
Lista criada ListCreated Um usuário criou uma lista do SharePoint.
Coluna de lista criada ListColumnCreated Um usuário criou uma coluna de lista do SharePoint. Uma coluna de lista é uma coluna anexada a uma ou mais listas do SharePoint.
Tipo de conteúdo de lista criado ListContentTypeCreated Um usuário criou um tipo de conteúdo de lista. Um tipo de conteúdo de lista é um tipo de conteúdo anexado a uma ou mais listas do SharePoint.
Item de lista criado ListItemCreated Um usuário criou um item em uma lista do SharePoint existente.
Coluna de site criada SiteColumnCreated Um usuário criou uma coluna de site do SharePoint. Uma coluna de site é uma coluna que não está anexada a uma lista. Uma coluna de site é também uma estrutura de metadados que pode ser usada por qualquer lista em uma determinada Web.
Tipo de conteúdo de site criado ContentType do site criado Um usuário criou um tipo de conteúdo de site. Um tipo de conteúdo de site é um tipo de conteúdo anexado ao site primário.
Lista excluída ListDeleted Um usuário excluiu uma lista do SharePoint.
Coluna de lista excluída Coluna de Lista Excluída Um usuário excluiu uma coluna de lista do SharePoint.
Tipo de conteúdo de lista excluído ListContentTypeDeleted Um usuário excluiu um tipo de conteúdo de lista.
Item de lista excluído Item de Lista Excluído Um usuário excluiu um item de lista do SharePoint.
Coluna de site excluída SiteColumnDeleted Um usuário excluiu uma coluna de site do SharePoint.
Tipo de conteúdo de site excluído SiteContentTypeDeleted Um usuário excluiu um tipo de conteúdo de site.
Item de lista reciclado ListItemRecycled Um usuário moveu um item de lista do SharePoint para a Lixeira.
Lista restaurada ListRestored Um usuário restaurou uma lista do SharePoint da Lixeira.
Item de lista restaurado ListItemRestored Um usuário restaurou um item de lista do SharePoint da Lixeira.
Lista atualizada ListUpdated Um usuário atualizou uma lista do SharePoint modificando uma ou mais propriedades.
Coluna da lista atualizada ListColumnUpdated Um usuário atualizou uma coluna de lista do SharePoint modificando uma ou mais propriedades.
Tipo de conteúdo de lista atualizado ListContentTypeUpdated Um usuário atualizou um tipo de conteúdo de lista modificando uma ou mais propriedades.
Item de lista atualizado ListItemUpdated Um usuário atualizou um item de lista do SharePoint modificando uma ou mais propriedades.
Coluna de site atualizada SiteColumnUpdated Um usuário atualizou uma coluna de site do SharePoint modificando uma ou mais propriedades.
Tipo de conteúdo de site atualizado SiteContentTypeUpdated Um usuário atualizou um tipo de conteúdo de site modificando uma ou mais propriedades.

Atividades de compartilhamento e solicitação de acesso

A tabela a seguir descreve as atividades de compartilhamento e solicitação de acesso do usuário no SharePoint Online e no OneDrive for Business. Para eventos de compartilhamento, a coluna Detalhes em Resultados identifica o nome do usuário ou do grupo com o qual o item foi compartilhado e se esse usuário ou grupo é um membro ou convidado na sua organização. Para saber mais, veja Usar a auditoria de compartilhamento no log de auditoria.

Observação

Os usuários podem ser membros ou convidados com base na propriedade UserType do objeto usuário. Um membro é geralmente um funcionário, enquanto um convidado é geralmente um colaborador fora da sua organização. Quando um usuário aceita um convite de compartilhamento (e ainda não faz parte da sua organização), uma conta de convidado é criada para ele no diretório da sua organização. Quando esse usuário convidado tem uma conta no seu diretório, recursos podem ser compartilhados diretamente com ele (sem a necessidade de um convite).

Nome amigável Operação Descrição
Nível de permissão adicionado ao conjunto de sites PermissionLevelAdded Um nível de permissão foi adicionado a um conjunto de sites.
Solicitação de acesso aceita AccessRequestAccepted Uma solicitação de acesso a um site, pasta ou documento foi aceita, e o usuário solicitante recebeu acesso.
Convite de compartilhamento aceito SharingInvitationAccepted O usuário (membro ou convidado) aceitou um convite de compartilhamento e recebeu acesso a um recurso. Esse evento inclui informações sobre o usuário que foi convidado e sobre o endereço de email que foi usado para aceitar o convite (eles podem ser diferentes). Com frequência, essa atividade é acompanhada por um segundo evento que descreve como o usuário obteve acesso ao recurso; por exemplo, a adição do usuário a um grupo com acesso ao recurso.
Convite de compartilhamento bloqueado SharingInvitationBlocked Um convite de compartilhamento enviado por um usuário em sua organização é bloqueado devido a uma política de compartilhamento externo que permite ou nega o compartilhamento externo com base no domínio do usuário de destino. Nesse caso, o convite de compartilhamento foi bloqueado porque:
O domínio do usuário de destino não está incluído na lista de domínios permitidos.
Ou
O domínio do usuário de destino está incluído na lista de domínios bloqueados.
Confira mais informações sobre como permitir ou bloquear o compartilhamento externo com base em domínios em Compartilhamento de domínios restritos no SharePoint Online e no OneDrive for Business.
Solicitação de acesso criada AccessRequestCreated O usuário solicita acesso a um site, pasta ou documento que ele não tem permissões para acessar.
Link compartilhável da empresa criado CompanyLinkCreated O usuário criou um link de toda a empresa para um recurso. os links de toda a empresa só podem ser usados pelos membros da sua organização. Eles não podem ser usados por convidados.
Um link anônimo criado AnonymousLinkCreated O usuário criou um link anônimo para um recurso. Qualquer pessoa com esse link pode acessar o recurso sem ter que se autenticar.
Link seguro criado SecureLinkCreated Um link de compartilhamento seguro foi criado para esse item.
Convite de compartilhamento criado SharingInvitationCreated O usuário compartilhou um recurso do SharePoint Online ou do OneDrive for Business com um usuário que não está no diretório da sua organização.
Link seguro excluído SecureLinkDeleted Um link de compartilhamento seguro foi excluído.
Solicitação de acesso negada AccessRequestDenied Uma solicitação de acesso a um site, pasta ou documento foi negada.
Link compartilhável da empresa removido CompanyLinkRemoved O usuário removeu um link de empresa para um recurso. O link não pode mais ser usado para acessar o recurso.
Link anônimo removido AnonymousLinkRemoved O usuário removeu um link anônimo para um recurso. O link não pode mais ser usado para acessar o recurso.
Arquivo, pasta ou site compartilhado SharingSet O usuário (membro ou convidado) compartilhou um arquivo, uma pasta ou um site no SharePoint ou no OneDrive for Business com um usuário no diretório da sua organização. O valor na coluna Detalhes dessa atividade identifica o nome do usuário com o qual o recurso foi compartilhado e se esse usuário é um membro ou convidado.

Geralmente, essa atividade é acompanhada por um segundo evento que descreve como o usuário recebeu o acesso ao recurso. Por exemplo, a adição do usuário a um grupo com acesso ao recurso.
Solicitação de acesso atualizado AccessRequestUpdated Uma solicitação de acesso a um item foi atualizada.
Link anônimo atualizado AnonymousLinkUpdated O usuário atualizou um link anônimo para um recurso. O campo atualizado é incluído na propriedade EventData quando você exporta os resultados da pesquisa.
Convite de compartilhamento atualizado SharingInvitationUpdated Um convite de compartilhamento externo foi atualizado.
Link anônimo usado AnonymousLinkUsed Um usuário anônimo acessou um recurso usando um link anônimo. A identidade do usuário pode ser desconhecida, mas você pode obter outros detalhes, como seu endereço IP.
Arquivo, pasta ou site não compartilhado SharingRevoked O usuário (membro ou convidado) cancelou o compartilhamento de um arquivo, pasta ou site que havia sido compartilhado com outro usuário.
Link compartilhável da empresa usado CompanyLinkUsed O usuário acessou um recurso usando um link de empresa.
Link seguro usado SecureLinkUsed Um usuário usou um link seguro.
Usuário adicionado a um link seguro AddedToSecureLink Um usuário foi adicionado à lista de entidades que podem usar um link de compartilhamento seguro.
Usuário removido do link seguro RemovedFromSecureLink Um usuário foi removido da lista de entidades que podem usar um link de compartilhamento seguro.
Convite de compartilhamento retirado SharingInvitationRevoked O usuário retirou um convite de compartilhamento para um recurso.

Atividades de administração do site

A tabela a seguir lista os eventos decorrentes de tarefas de administração de sites no SharePoint Online. Conforme explicado anteriormente, os registros de auditoria de algumas atividades do SharePoint indicam que o usuário app@sharepoint realizou a atividade de nome do usuário ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.

Nome amigável Operação Descrição
Local de dados permitido adicionado AllowedDataLocationAdded Um administrador global ou do SharePoint adicionou um local de dados permitido em um ambiente multigeográfico.
Agente de usuário isento adicionado ExemptUserAgentSet Um administrador global ou do SharePoint adicionou um agente de usuário à lista de agentes de usuário isentos no centro de administração do SharePoint.
Administrador de localização geográfica adicionado GeoAdminAdded Um administrador global ou do SharePoint adicionou um usuário como um administrador geográfico de um local.
Usuário com permissão para criar grupos AllowGroupCreationSet O proprietário ou administrador do site adiciona um nível de permissão a um site, que permite que um usuário com essa permissão crie um grupo para esse site.
Movimentação geográfica do site cancelada SiteGeoMoveCancelled Um administrador global ou do SharePoint cancela com êxito uma movimentação geográfica do site do SharePoint ou do OneDrive. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online.
Política de compartilhamento alterada SharingPolicyChanged Um administrador global ou do Microsoft Office SharePoint Online alterou uma política de compartilhamento do SharePoint usando o Centro de administração do Microsoft 365, o Centro de administração do SharePoint ou o Shell de Gerenciamento do Microsoft Office SharePoint Online. Qualquer alteração nas configurações da política de compartilhamento na sua organização será registrada. A política que foi alterada é identificada no campo ModifiedProperties nas propriedades detalhadas do registro de evento.
Política de acesso a dispositivo alterada DeviceAccessPolicyChanged Um administrador global ou do SharePoint alterou a política de dispositivos não gerenciados para sua organização. Esta política controla o acesso ao SharePoint, OneDrive e ao Microsoft 365 de dispositivos que não estão associados à sua organização. Configurar esta política requer uma assinatura do Enterprise Mobility + Security. Para obter informações, consulte Controlar o acesso de dispositivos gerenciados.
Agentes de usuário isentos alterados CustomizeExemptUsers Um administrador global ou do SharePoint personalizou a lista de agentes de usuário isentos no centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isso significa que quando um agente de usuário especificado como isento encontra um formulário InfoPath, o formulário é retornado como um arquivo XML, em vez de uma página da Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida.
Política de acesso à rede alterada NetworkAccessPolicyChanged Um administrador global do ou do SharePoint alterou a política de acesso baseado no local (também chamada de limite de rede confiável) no centro de administração do SharePoint ou usando o PowerShell do SharePoint Online. Esse tipo de política controla quem pode acessar os recursos do SharePoint e do OneDrive em sua organização com base em intervalos de endereços IP autorizados, especificados por você. Para saber mais, confira Controlar o acesso aos dados do SharePoint Online e do Onedrive com base no local de rede.
Trabalho de migração concluído MigrationJobCompleted Um trabalho de migração foi concluído com êxito.
Movimentação geográfica do site concluída SiteGeoMoveCompleted Uma movimentação geográfica do site que foi agendada por um administrador global em sua organização foi concluído com sucesso. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online.
Conexão Enviar Para criada SendToConnectionAdded Um administrador global ou do SharePoint cria uma nova conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada.
Conjunto de sites criado SiteCollectionCreated Um administrador global ou do SharePoint cria um conjunto de sites na sua organização do SharePoint Online ou um usuário provisiona seu site do OneDrive for Business.
Site do hub órfão excluído HubSiteOrphanHubDeleted Um administrador global ou do SharePoint excluiu um site do hub órfão, que é um site do hub que não tem sites associados a ele. Um hub órfão provavelmente é causado pela exclusão do site do hub original.
Conexão Enviar Para excluída SendToConnectionRemoved Um administrador global ou do SharePoint exclui uma conexão Enviar Para na página de gerenciamento de Registros no centro de administração do SharePoint.
Site excluído SiteDeleted O administrador do site exclui um arquivo.
Visualização de documentos habilitada PreviewModeEnabledSet O administrador do site habilita a visualização de documentos para um site.
Fluxo de trabalho legado habilitado LegacyWorkflowEnabledSet O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint 2013 ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint.
Office on Demand habilitado OfficeOnDemandSet O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Microsoft 365 que inclua aplicativos completos do Office instalados.
Fonte de resultados habilitada para Pesquisas de Pessoas PeopleResultsScopeSet O administrador do site cria a fonte de resultado para Pesquisas de Pessoas em um site.
RSS feeds habilitados NewsFeedEnabledSet O proprietário ou administrador do site habilita RSS feeds para um site. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint.
Site associado ao site do hub HubSiteJoined Um proprietário de site associa seus sites a um site do hub.
Cota do conjunto de sites modificado SiteCollectionQuotaModified O administrador do site modifica a cota para uma conjunto de sites.
Site do hub registrado HubSiteRegistered Um administrador global ou do SharePoint cria um site do hub. Os resultados são que o site é registrado para ser um site do hub.
Local de dados permitido removido AllowedDataLocationDeleted Um administrador global ou do SharePoint removeu um local de dados permitido em um ambiente multigeográfico.
Administrador de localização geográfica removido GeoAdminDeleted Um administrador global ou do SharePoint removeu um usuário como um administrador geográfico de um local.
Site renomeado SiteRenamed O proprietário ou administrador do site renomeia um site
Movimentação geográfica do site agendada SiteGeoMoveScheduled Um administrador global ou do SharePoint agenda com êxito uma movimentação geográfica do site do SharePoint ou do OneDrive. O recurso do Modelo Multigeográfico permite que uma organização abranja várias áreas geográficas do datacenter da Microsoft, chamadas geos. Para obter mais informações, confira Funcionalidades multigeográficas do Onedrive e do SharePoint Online.
Definir site do host HostSiteSet Um administrador global ou do SharePoint altera o site designado para hospedar sites pessoais ou do OneDrive for Business.
Definir a cota de armazenamento para uma localização geográfica GeoQuotaAllocated Um administrador global ou do SharePoint configurou a cota de armazenamento para uma localização geográfica em um ambiente multigeográfico.
Site desvinculado do site do hub HubSiteUnjoined Um proprietário de site dissocia o site de um site do hub.
Site do hub não registrado HubSiteUnregistered Um administrador global ou do SharePoint cancela registro de um site como um site do hub. Quando o registro de um site do hub é cancelado, ele não funciona mais como um site do hub.

Atividades de permissões de site

A tabela a seguir lista os eventos relacionados para atribuir permissões no SharePoint e usar grupos para conceder (e revogar) acesso aos sites. Conforme explicado anteriormente, os registros de auditoria de algumas atividades do SharePoint indicam que o usuário app@sharepoint realizou a atividade de nome do usuário ou administrador que iniciou a ação. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.

Nome amigável Operação Descrição
Administrador de conjunto de sites adicionado SiteCollectionAdminAdded O proprietário ou administrador do conjunto de sites adiciona uma pessoa como administrador de conjunto de sites para um site. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites. Essa atividade também será registrada quando um administrador conceder acesso a uma conta do usuário do Onedrive (editando o perfil do usuário no centro de administração do SharePoint ou usando o centro de administração do Microsoft 365).
Usuário ou grupo adicionado ao grupo do SharePoint AddedToGroup O usuário adicionou um membro ou convidado a um grupo do SharePoint. Esta pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de compartilhamento.
Herança de nível de permissão interrompida PermissionLevelsInheritanceBroken Um item foi alterado para que ele não mais herde os níveis de permissão de seu pai.
Compartilhamento de herança interrompido SharingInheritanceBroken Um item foi alterado para que não herde mais as permissões de compartilhamento de seu pai.
Grupo criado GroupAdded O proprietário ou administrador do site cria um grupo para um site ou realiza uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado.
Grupo excluído GroupRemoved O usuário exclui um grupo de um site.
Configuração da solicitação de acesso modificada WebRequestAccessModified As configurações de solicitação de acesso foram modificadas em um site.
Configuração “Membros Podem Compartilhar" modificado WebMembersCanShareModified A configuração Membros Podem Compartilhar foi modificada em um site.
Nível de permissão modificado em um conjunto de sites PermissionLevelModified Um nível de permissão foi alterado em um conjunto de sites.
Permissões de site modificadas SitePermissionsModified O proprietário ou administrador do site (ou a conta do sistema) altera o nível de permissão que é atribuído a um grupo em um site. Essa atividade também será registrada se todas as permissões forem removidas de um grupo.

OBSERVAÇÃO: Esta operação foi preterida no SharePoint Online. Para localizar os eventos relacionados, você pode procurar outras atividades relacionadas à permissão, como Administrador do conjunto de sites adicionado, Usuário ou grupo adicionado ao grupo do SharePoint, Usuário permitido para criar grupo, Grupo criado, e Grupo excluído.
Nível de permissão removido do conjunto de sites PermissionLevelRemoved Um nível de permissão foi removido de um conjunto de sites.
Administrador de conjunto de sites removido SiteCollectionAdminRemoved O proprietário ou administrador do conjunto de sites remove uma pessoa como administrador de conjunto de sites para um site. Essa atividade também será registrada quando um administrador remover a si mesmo da lista de administradores de conjunto de sites para a conta do usuário do OneDrive (editando o perfil de usuário no centro de administração do SharePoint). Para retornar essa atividade nos resultados de pesquisa do log de auditoria, é preciso procurar todas as atividades.
Usuário ou grupo removido do grupo do SharePoint RemovedFromGroup O usuário removeu um membro ou convidado de um grupo do SharePoint. Essa pode ter sido uma ação intencional ou o resultado de outra atividade, como um evento de cancelamento de compartilhamento.
Permissões de administrador de site solicitadas SiteAdminChangeRequest O usuário solicita ser adicionado como administrador do conjunto de sites para um conjunto de sites. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.
Herança de compartilhamento restaurada SharingInheritanceReset Uma alteração foi feita para que um item herde permissões de compartilhamento de seu pai.
Grupo atualizado GroupUpdated O proprietário ou administrador do site altera as configurações de um grupo para um site. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas.

Atividades de sincronização

A tabela a seguir lista as atividades de sincronização de arquivos no SharePoint Online e no OneDrive for Business.

Nome amigável Operação Descrição
Computador com permissão para sincronizar arquivos ManagedSyncClientAllowed O usuário estabelece com êxito uma relação de sincronização com um site. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de lista de lista de destinatários seguros) que podem acessar bibliotecas de documentos em sua organização.

Para obter mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.
Computador impedido de sincronizar arquivos UnmanagedSyncClientBlocked O usuário tenta estabelecer uma relação de sincronização com um site de um computador que não é membro do domínio da sua organização ou é membro de um domínio que não foi adicionado à lista de domínios (chamados de lista de destinatários seguros) que podem acessar bibliotecas de documentos em sua organização. A relação de sincronização não é permitida e o computador do usuário está impedido de sincronizar, baixar ou carregar arquivos em uma biblioteca de documentos.

Para mais informações sobre esse recurso, confira Usar cmdlets do PowerShell para habilitar a Sincronização do OneDrive para domínios que estão na lista de destinatários confiáveis.
Arquivos baixados no computador FileSyncDownloadedFull O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
Alterações de arquivo baixadas no computador FileSyncDownloadedPartial Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).
Arquivos carregados na biblioteca de documentos FileSyncUploadedFull O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
Alterações de arquivo carregadas na biblioteca de documentos FileSyncUploadedPartial Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).

Atividades do SystemSync

A tabela a seguir lista as atividades para SystemSync que estão registradas no log de auditoria do Microsoft 365.

Nome amigável Operação Descrição
Compartilhamento de dados criado DataShareCreated Quando a exportação de dados é criada pelo usuário.
Compartilhamento de dados excluído. DataShareDeleted Quando a exportação de dados é excluída pelo usuário.
Gerar cópia de dados do Lake GenerateCopyOfLakeData Quando a cópia do Lake Data é gerada.
Baixar cópia dos dados do Lake DownloadCopyOfLakeData Quando a cópia dos dados do Lake é baixada.

Atividades de administração de usuários

A tabela a seguir lista as atividades de administração de usuários que são registradas quando um administrador adiciona ou altera uma conta de usuário usando o Centro de administração do Microsoft 365 ou o portal de gerenciamento do Azure.

Observação

Os nomes de operação listados na coluna Operação na tabela a seguir contêm um ponto ( . ). Você deve incluir o período no nome da operação se especificar a operação em um comando do Windows PowerShell ao pesquisar o log de auditoria, criar políticas de retenção de auditoria, criar políticas de alerta ou criar alertas de atividade. Além disso, certifique-se de usar aspas duplas (" ") para conter o nome da operação.

Atividade Operação Descrição
Usuário adicionado Adicionar usuário. Uma conta de usuário foi criada.
Licença de usuário alterada Altere a licença do usuário. A licença atribuída a um usuário foi alterada. Para ver quais licenças foram alteradas, veja a atividade Usuário atualizado correspondente.
Senha do usuário alterada Altere a senha de usuário. Um usuário altera sua senha. A redefinição de senha de autoatendimento deve estar ativada (para todos ou usuários selecionados) na sua organização para permitir que os usuários redefinam suas senhas. Você também pode acompanhar a atividade de redefinição de senha de autoatendimento no Microsoft Entra ID. Para obter mais informações, consulte Opções de relatório para Microsoft Entra gerenciamento de senhas.
Usuário excluído Excluir usuário. Uma conta de usuário foi excluída.
Redefinir senha do usuário Redefina a senha do usuário. O administrador redefine a senha de um usuário.
Propriedade definida que força o usuário a alterar a senha Defina forçar a alteração da senha do usuário. O administrador define a propriedade que força um usuário a alterar sua senha na próxima vez que o usuário entrar no Microsoft 365.
Definir propriedades de licenças Defina as propriedades de licenças. O administrador modifica as propriedades de uma licença atribuída a um usuário.
Usuário atualizado Atualize o usuário. O administrador altera uma ou mais propriedades de uma conta de usuário. Para obter uma lista das propriedades do usuário que podem ser atualizadas, consulte a seção "Atualizar atributos do usuário" em Microsoft Entra auditar Eventos de Relatório.

Viva Goals atividades

A tabela a seguir lista as atividades de usuário e administrador em Viva Goals que estão registradas para auditoria. A tabela inclui o nome amigável exibido na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV ao exportar os resultados da pesquisa.

Pesquise o log de auditoria no portal de conformidade do Microsoft Purview detalhes de como você pode pesquisar os logs de auditoria no portal de conformidade. O usuário precisa ser um administrador global ou ter permissões de leitura de auditoria para acessar logs de auditoria. Você pode usar o filtro Atividades para pesquisar atividades específicas e listar todas as atividades Viva Goals que você pode escolher 'VivaGoals' no filtro Tipo de registro. Você também pode usar as caixas de intervalo de datas e a lista Usuários para restringir ainda mais os resultados da pesquisa.

Nome amigável Operação Descrição
Organização criada Organização criada Administração ou o usuário criou uma nova organização no Viva Goals.
Usuário adicionado Usuário adicionado Um novo usuário foi adicionado a uma organização no Viva Goals.
Usuário desativado Usuário desativado Um usuário foi desativado em uma organização.
Usuário excluído Usuário excluído Um usuário foi excluído de uma organização no Viva Goals.
Usuário conectado Usuário conectado O usuário entrou em Viva Goals.
Equipe adicionada Equipe adicionada Uma nova equipe foi criada dentro de uma organização em Viva Goals.
Equipe atualizada Equipe atualizada Uma equipe dentro de uma organização no Viva Goals foi modificada ou atualizada.
Equipe excluída Equipe excluída Uma equipe dentro de uma organização no Viva Goals foi excluída pelo usuário.
Dados exportados Dados exportados Um usuário exportou lista de OKRs ou lista de usuários em uma organização em Viva Goals.
Goals política atualizada Goals política atualizada O administrador global modificou a política ou as configurações no nível do locatário em Viva Goals. Por exemplo, o administrador global configurou quem pode criar organizações no Viva Goals.
Configurações da organização atualizadas Configurações da organização atualizadas O usuário (normalmente proprietários ou administradores da organização) atualizou as configurações específicas da organização em Viva Goals.
Integrações da organização atualizadas Integrações da organização atualizadas O usuário (normalmente proprietários ou administradores da organização) configurou uma integração de terceiros ou atualizou uma integração de terceiros existente para uma organização no Viva Goals.
OKR ou Project criado OKR ou Project criado O usuário criou um OKR ou Project no Viva Goals.
OKR ou Project atualizado OKR ou Project atualizado Um OKR/Project foi modificado ou um marcar foi feito pelo usuário ou uma integração no Viva Goals.
OKR ou Project excluído OKR ou Project excluído O usuário excluiu um OKR ou Project.
Painel criado Painel criado O usuário criou um novo dashboard no Viva Goals
Painel atualizado Painel atualizado O usuário atualizou um dashboard no Viva Goals
Painel excluído Painel excluído O usuário excluiu um dashboard no Viva Goals.

Viva Engage atividades

A tabela a seguir lista as atividades de usuário e administrador em Viva Engage que estão registradas no log de auditoria. Para retornar atividades relacionadas Viva Engage no log de auditoria, você precisa selecionar Mostrar resultados para todas as atividades na lista Atividades. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.

Observação

Algumas atividades de auditoria Viva Engage só estão disponíveis em Auditoria (Premium). Isso significa que os usuários devem receber a licença apropriada antes que essas atividades sejam registradas no log de auditoria. Para obter mais informações, consulte Auditoria (Premium). Para obter os requisitos de licenciamento de Auditoria (Premium), consulte Soluções de auditoria no Microsoft 365.

Na tabela a seguir, as atividades de Auditoria (Premium) são destacadas com um asterisco (*).

Nome amigável Operação Descrição
Política de retenção de dados alterada SoftDeleteSettingsUpdated O administrador verificado atualiza a configuração da política de retenção de dados da rede para Exclusão Irreversível ou Exclusão Temporária. Somente administradores verificados podem realizar essa operação.
Configuração de rede alterada NetworkConfigurationUpdated A rede ou o administrador verificado altera a configuração da rede Viva Engage. Isso inclui a definição do intervalo de exportação de dados e de habilitação do chat.
Configurações de perfil de rede alteradas ProcessProfileFields O administrador de rede ou verificado altera as informações que aparecem em perfis de membro para a rede de usuários da rede.
Modo de Conteúdo Particular modificado SupervisorAdminToggled O administrador verificado ativa ou desativa o Modo de Conteúdo Privado . Esse modo permite que um administrador visualize postagens em grupos particulares e visualize mensagens particulares entre usuários individuais (ou grupos de usuários). Somente administradores verificados podem realizar essa operação.
Configurações de segurança alteradas NetworkSecurityConfigurationUpdated O administrador verificado atualiza a configuração de segurança da Viva Engage rede. Isso inclui a definição de políticas de expiração de senha e restrições de endereços IP. Somente administradores verificados podem realizar essa operação.
Arquivo criado FileCreated O usuário carrega um arquivo.
Grupo criado GroupCreation O usuário cria um grupo.
Mensagem criada* MessageCreated O usuário cria uma mensagem.
Grupo excluído GroupDeletion Um grupo é excluído do Viva Engage.
Mensagem excluída MessageDeleted O usuário exclui uma mensagem.
Arquivo baixado FileDownloaded O usuário baixa um arquivo.
Dados exportados DataExport O administrador verificado exporta Viva Engage dados de rede. Somente administradores verificados podem realizar essa operação.
Falha ao acessar a comunidade* CommunityAccessFailure O usuário não pôde acessar uma comunidade.
Falha ao acessar o arquivo* FileAccessFailure O usuário não pôde acessar um arquivo.
Falha ao acessar a mensagem* MessageAccessFailure O usuário não pôde acessar uma mensagem.
Reagiu à mensagem MarkedMessageChanged O usuário reagiu a uma mensagem.
Arquivo compartilhado FileShared O usuário compartilha um arquivo com outros usuários.
Usuário de rede suspenso NetworkUserSuspended A rede ou o administrador verificado suspende (desativa) um usuário de Viva Engage.
Usuário suspenso UserSuspension A conta de usuário é suspensa ou desativada.
Descrição de arquivo atualizada FileUpdateDescription O usuário modifica a descrição de um arquivo.
Nome de arquivo atualizado FileUpdateName O usuário modifica o nome de um arquivo.
Mensagem atualizada* MessageUpdated O usuário atualiza uma mensagem.
Arquivo exibido FileVisited O usuário exibe um arquivo.
Mensagem visualizada* MessageViewed O usuário visualiza uma mensagem.

Windows 365 atividades da caixa de bloqueio do cliente

A tabela a seguir lista as atividades de usuário e administrador no Windows 365 Caixa de bloqueio do cliente que estão registradas no log de auditoria. Para retornar Windows 365 atividades relacionadas ao Customer Lockbox no log de auditoria, selecione Windows365CustomerLockbox em Tipos de registro. Use as caixas de intervalo de datas e a lista de Usuários para restringir os resultados da pesquisa.

Nome amigável Operação Descrição
Correção do dispositivo de gatilho Correção do dispositivo de gatilho Disparar correção do dispositivo.
Carregar pasta no blob Carregar pasta no blob Compacte e carregue a pasta do dispositivo do cliente para o blob.
Verificar a política de execução do PowerShell Verificar a política de execução do PowerShell Verifique a política de execução do PowerShell.
Instalar agente RD Instalar agente RD Instale o agente RD no dispositivo do usuário.
Executar extensão Híbrida do AADJ Executar extensão Híbrida do AADJ Execute a extensão Híbrida do AADJ no dispositivo do usuário.
Criar solicitação VmExtension Criar solicitação VmExtention Cria solicitações de extensão de VM para executar a extensão de VM para executar scripts personalizados no dispositivo do cliente.
Orquestrador de gatilho Orquestrador de gatilho Acionar o orquestrador para o usuário.
Disparar a ação genérica por SaaF Disparar a ação genérica por SaaF Disparar a ação do dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) para o usuário.
Disparar ação genérica Disparar ação genérica Disparar a ação do dispositivo para o usuário.
Disparar a ação genérica com opções Disparar a ação genérica com opções Disparar a ação do dispositivo com parâmetros de opção, mais poderoso do que o de ação genérica de gatilho.
Criar novos itens de trabalho (Agendador) Criar novos itens de trabalho (Agendador) Crie novos itens de trabalho, Por exemplo, Provisionamento, Deprovision, Reprovision etc.
Operação pós-ação remota Operação pós-ação remota Após a ação remota, pls sondando o resultado pela operação GetActions.
Comandos de execução do OCE na VM Comandos de execução do OCE na VM Execute comandos por tenantID, lista deviceID e script.
Criar Solicitação de LogCollection Criar Solicitação de LogCollection Crie uma solicitação de coleção de logs para o Cloud PC.
Disparar marcar canário do agente CMD. Disparar marcar canário do agente CMD. Disparar marcar canário do agente CMD em um dispositivo específico.
Executar AppHealthPlugin Executar AppHealthPlugin Execute AppHealthPlugin.
Agente CMD de backfill Operação AddDevicesToBackfill Agente CMD de backfill no CLOUD PC.
Reinstalar o AGENTE CMD Operação AddDevicesToReinstall Reinstale o AGENTE CMD sob demanda.
Agente CMD de reinstalação em massa Operação TriggerClientAgentCheckBulkAction Reinstalar em massa o agente CMD sob demanda.
Criar operação de ação remota no ActionModeratorService Criar operação de ação remota no ActionModeratorService Crie ação remota por tenantID, workspaceID, actionType, actionParameters.