Esquema da API da Atividade de Gerenciamento do Office 365

Artigo
05/27/2024

O esquema da API de Atividade de Gestão de Office 365 é fornecido como um serviço de dados em duas camadas:

Esquema comum. A interface para acessar os principais conceitos de auditoria do Office 365, como Tipo de registro, Hora de criação, Tipo de usuário e Ação, além de fornecer dimensões principais (como ID de usuário), especificações do local (como endereço IP do cliente) e propriedades específicas do serviço (como ID de objeto). Ele estabelece exibições uniformes e consistentes para os usuários extraírem todos os dados de auditoria do Office 365 em algumas exibições de nível superior com os parâmetros apropriados e fornece um esquema fixo para todas as fontes de dados, o que reduz significativamente o custo do aprendizado. O esquema Comum é originado de dados de produto que pertencem a cada equipe de produto, como o Exchange, o SharePoint, o Azure Active Directory, o Yammer e o OneDrive for Business. O campo ID de objeto pode ser estendido por equipes de produtos do Microsoft 365 para adicionar propriedades específicas do serviço.
Esquema específico do serviço. Criado sobre o esquema comum para fornecer um conjunto de atributos específicos do serviço do Microsoft 365; por exemplo, esquema do SharePoint, esquema do OneDrive for Business e esquema de administração do Exchange.

Esquemas da API de Gerenciamento do Office 365

Este artigo fornece detalhes sobre o esquema Comum, bem como esquemas específicos do serviço. A tabela a seguir descreve os esquemas disponíveis.

Nome do esquema	Descrição
Esquema Comum	O modo de exibição para extrair o Tipo de registro, ID de usuário, IP do cliente, Tipo de usuário e Ação junto com as dimensões principais, como propriedades do usuário (como UserID), propriedades do local (como IP do cliente) e propriedades específicas do serviço (como ID de objeto).
Esquema copilot	Os eventos incluem como e quando interagir com o Copilot, no qual o serviço do Microsoft 365 ocorreu, e referências aos ficheiros armazenados no Microsoft 365 que foram acedidos durante a interação.
Esquema Base do SharePoint	Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do SharePoint.
Operações de Arquivos do SharePoint	Estende o esquema Base do SharePoint com as propriedades específicas do acesso e manipulação de arquivos no SharePoint.
Listar Operações do Sharepoint	Estende o esquema Base do SharePoint com as propriedades específicas para interações com listas e itens de lista no SharePoint Online.
Esquema de compartilhamento do SharePoint	Estende o esquema Base do SharePoint com as propriedades específicas do compartilhamento de arquivos.
Esquema do SharePoint	Estende o esquema Base do SharePoint com as propriedades específicas do SharePoint, mas não está relacionado ao acesso e manipulação de arquivos.
Esquema do Project	Estende o esquema Base do SharePoint com as propriedades específicas do Project.
Esquema de administração do Exchange	Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria do Exchange.
Esquema de caixa de correio do Exchange	Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria da caixa de correio do Exchange.
Esquema de Autenticação OWA	Expande o esquema Comum com as propriedades específicas dos dados da Autenticação OWA.
esquema base do Microsoft Entra ID	Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra.
Microsoft Entra esquema de início de sessão da conta	Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão Microsoft Entra.
Microsoft Entra ID esquema de Início de Sessão STS Seguro	Expande o esquema base Microsoft Entra ID com as propriedades específicas de todos os eventos de início de sessão do Serviço de Token Seguro (STS) Microsoft Entra ID.
Microsoft Entra esquema	Expande o esquema Comum com as propriedades específicas de todos os dados de auditoria Microsoft Entra.
Esquema DLP	Estende o esquema Comum com as propriedades específicas de Eventos de Prevenção Contra Perda de Dados.
Esquema do Centro de Conformidade e Segurança	Estende o esquema Comum com as propriedades específicas de todos os Eventos do Centro de Conformidade e Segurança.
Esquema de Alertas de Conformidade e Segurança	Estende o esquema Comum com as propriedades específicas de todos os alertas de conformidade e segurança do Office 365.
Esquema do Yammer	Estende o esquema Comum com as propriedades específicas de todos os eventos do Yammer.
Esquema Base de Segurança do Data Center	Estende o esquema Comum com as propriedades específicas de todos os dados de auditoria de segurança do data center.
Esquema Cmdlet de Segurança do Data Center	Estende o esquema Base de Segurança do Data Center com as propriedades específicas de todos os dados de auditoria do cmdlet de segurança do datacenter.
Esquema do Microsoft Teams	Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Teams.
Microsoft Defender para Office 365 e esquema de Investigação e Resposta a Ameaças	Estende o esquema Comum com as propriedades específicas do Defender for Office 365 e investigação de ameaças e dados de resposta.
Esquema de envio	Estende o Esquema Comum com as propriedades específicas para envios de usuário e administrador no Microsoft Defender para Office 365.
Esquema de eventos de investigação e resposta automatizadas	Estende o esquema Comum com as propriedades específicas para os eventos de investigação e resposta (AIR) automatizados do Office 365. Para ver um exemplo, consulte o blog da Comunidade de Tecnologia: Melhore a eficácia do seu SOC com o Microsoft Defender para Office 365 e a API de gerenciamento do O365.
Esquema de eventos de higiene	Estende o esquema Comum com as propriedades específicas para eventos na Proteção do Exchange Online e no Microsoft Defender para Office 365.
Esquema do Power BI	Estende o esquema Comum com as propriedades específicas de todos os eventos do Power BI.
Esquema do Dynamics 365	Estende o esquema Comum com as propriedades específicas dos eventos do Dynamics 365.
Esquema do Workplace Analytics	Estende o esquema Comum com as propriedades específicas de todos os eventos do Microsoft Workplace Analytics.
Esquema de quarentena	Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena.
Esquema do Microsoft Forms	Estende o esquema Comum com as propriedades específicas a todos os eventos do Microsoft Forms.
Esquema de rótulos MIP	Estende o esquema comum com as propriedades específicas a rótulos de sensibilidade aplicados manualmente ou automaticamente às mensagens de email.
Esquema de eventos do portal de mensagens criptografadas	Estende o esquema Comum com as propriedades específicas do portal de mensagens criptografadas acessadas por destinatários externos.
Esquema de conformidade de comunicações do Exchange	Estende o esquema comum com as propriedades específicas para o modelo de linguagem ofensiva de conformidade de comunicações.
Esquema de relatórios	Estende o esquema Comum com as propriedades específicas de todos os eventos de quarentena.
Esquema do conector de conformidade	Estende o esquema Comum com as propriedades específicas para importar dados que não são da Microsoft usando conectores de dados.
Esquema SystemSync	Estende o esquema Comum com as propriedades específicas dos dados ingeridos por meio do SystemSync.
Viva Goals esquema	Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Goals.
Microsoft Planner esquema	Expande o esquema Comum com as propriedades específicas para Microsoft Planner eventos.
Esquema do Microsoft Project para a Web	Expande o esquema Comum com as propriedades específicas dos eventos Web do Microsoft Project For The.
esquema Viva Pulse	Expande o esquema Comum com as propriedades específicas de todos os eventos Viva Pulse.
Esquema do Gestor de Conformidade	Expande o esquema comum com as propriedades específicas dos eventos do Gestor de Conformidade.
Esquema de Política de Cópia de Segurança	Expande o esquema Comum com as propriedades específicas para políticas de Backup do Microsoft 365.
Restaurar Esquema de tarefas	Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 Tarefas de Restauro.
Esquema de Item de Cópia de Segurança	Expande o esquema Comum com as propriedades específicas para Backup do Microsoft 365 artefactos.
Restaurar esquema de Item	Expande o esquema comum com as propriedades específicas para Backup do Microsoft 365 Restaurar Itens.

Esquema Comum

EntityType Name: AuditRecord

Parâmetro	Tipo	Obrigatório?	Descrição
Id	Combination GUIDEdm.Guid	Sim	Identificador exclusivo de um registro de auditoria.
RecordType	Self.AuditLogRecordType	Sim	O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria.
CreationTime	Edm.Date	Sim	A data e hora na Hora Universal Coordenada (UTC) em que o registo de auditoria foi gerado.
Operation	Edm.String	Sim	O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365. Para a atividade de administração do Exchange, essa propriedade identifica o nome do cmdlet que foi executado. Para eventos Dlp, as opções podem ser "DlpRuleMatch", "DlpRuleUndo" ou "DlpInfo", que são descritas em "Esquema DLP" abaixo.
OrganizationId	Edm.Guid	Sim	O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType	Self.UserType	Sim	O tipo de usuário que executou a operação. Confira a tabela UserType para detalhes sobre os tipos de usuários.
UserKey	Edm.String	Sim	Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload	Edm.String	Sim	O serviço do Office 365 em que a atividade ocorreu.
ResultStatus	Edm.String	Não	Indica se a ação (especificada na propriedade Operation) foi bem-sucedida ou não. Os valores possíveis são Succeeded, PartiallySucceeded ou Failed. Para a atividade de administração do Exchange, o valor é Verdadeiro ou Falso. Importante: Cargas de trabalho diferentes podem substituir o valor da propriedade ResultStatus. Por exemplo, para Microsoft Entra ID eventos de início de sessão STS, um valor com Êxito para ResultStatus indica apenas que a operação HTTP foi bem-sucedida; não significa que o início de sessão foi bem-sucedido. Para determinar se o início de sessão real foi ou não bem-sucedido, veja a propriedade LogonError no Microsoft Entra ID esquema de Início de Sessão STS. Se o logon falhar, o valor dessa propriedade conterá o motivo da falha na tentativa de logon.
ObjectId	Edm.string	Não	Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário. Para o log de auditoria do administrador do Exchange, o nome do objeto que foi modificado pelo cmdlet.
UserId	Edm.string	Sim	O UPN (User Principal Name) do usuário que executou a ação (especificado na propriedade Operation) que resultou no registro sendo registrado; por exemplo, `my_name@my_domain_name`. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para saber mais, confira o app@sharepoint usuário nos registros de auditoria.
ClientIP	Edm.String	Sim	O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para Microsoft Entra ID eventos relacionados, o endereço IP não é registado e o valor da propriedade ClientIP é `null`.
Escopo	Self.AuditLogScope	Não	Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente.
AppAccessContext	CollectionSelf.AppAccessContext	Não	O contexto do aplicativo para o usuário ou principal de serviço que executou a ação.

Enumeração: AuditLogRecordType - Tipo: Edm.Int32

AuditLogRecordType

Valor	Nome do membro	Descrição
1	ExchangeAdmin	Eventos do log de auditoria do administrador do Exchange.
2	ExchangeItem	Eventos de um log de auditoria de caixa de correio do Exchange para ações executadas em um único item, como criar ou receber uma mensagem de email.
3	ExchangeItemGroup	Eventos de um log de auditoria de caixa de correio do Exchange para ações que podem ser executadas em vários itens, como mover ou excluir uma ou mais mensagens de email.
4	SharePoint	Eventos do SharePoint.
6	SharePointFileOperation	Eventos de operação de arquivos do SharePoint.
7	OneDrive	Eventos do OneDrive for Business.
8	AzureActiveDirectory	Microsoft Entra ID eventos.
9	AzureActiveDirectoryAccountLogon	Microsoft Entra ID eventos de início de sessão OrgId (preterido).
10	DataCenterSecurityCmdlet	Eventos de cmdlet de segurança do Data Center.
11	ComplianceDLPSharePoint	Eventos de proteção contra perda de dados (DLP) no SharePoint e no OneDrive for Business.
13	ComplianceDLPExchange	Eventos de Proteção contra a Perda de Dados (DLP), quando configurados via Política DLP Unificada. Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.
14	SharePointSharingOperation	Eventos de compartilhamento do SharePoint.
15	AzureActiveDirectoryStsLogon	Eventos de início de sessão do Serviço de Tokens Seguros (STS) no Microsoft Entra ID.
16	SkypeForBusinessPSTNUsage	Eventos da Rede Telefônica Pública Comutada (PSTN) do Skype for Business.
17	SkypeForBusinessUsersBlocked	Eventos de usuário bloqueados do Skype for Business.
18	SecurityComplianceCenterEOPCmdlet	Ações de administração do Centro de Conformidade e Segurança.
19	ExchangeAggregatedOperation	Eventos de auditoria de caixa de correio do Exchange agregado.
20	PowerBIAudit	Eventos do Power BI.
21	CRM	Eventos do Dynamics 365.
22	Yammer	Eventos do Yammer.
23	SkypeForBusinessCmdlets	Eventos do Skype for Business.
24	Descoberta	Eventos para atividades de Descoberta Eletrônica realizados executando pesquisas de conteúdo e gerenciando casos de Descoberta Eletrônica no Centro de Conformidade e Segurança.
25	MicrosoftTeams	Eventos do Microsoft Teams.
28	ThreatIntelligence	Eventos de phishing e malware da Proteção do Exchange Online e do Microsoft Defender para Office 365.
29	MailSubmission	Envio de eventos da Proteção do Exchange Online e do Microsoft Defender para Office 365.
30	MicrosoftFlow	Eventos do Microsoft Power Automate (anteriormente chamado de Microsoft Flow).
31	AeD	Eventos de Descoberta Eletrônica Avançada.
32	MicrosoftStream	Eventos do Microsoft Stream.
33	ComplianceDLPSharePointClassification	Eventos relacionados à classificação DLP no SharePoint.
34	ThreatFinder	Eventos relacionados à campanha do Microsoft Defender para Office 365.
35	Project	Eventos do Microsoft Project.
36	SharePointListOperation	Eventos da Lista do SharePoint.
37	SharePointCommentOperation	Eventos de comentário do Microsoft Office SharePoint Online.
38	DataGovernance	Eventos relacionados às políticas de retenção e rótulos de retenção no Centro de Conformidade e Segurança
39	Kaizala	Eventos do Kaizala.
40	SecurityComplianceAlerts	Sinais de alerta de conformidade e segurança.
41	ThreatIntelligenceUrl	Eventos de anulação de bloqueios e de tempo de bloqueio de links seguros a partir do Microsoft Defender para Office 365
42	SecurityComplianceInsights	Eventos relacionados à informações e relatórios no centro de segurança e conformidade do Office 365.
43	MIPLabel	Eventos relacionados à detecção no pipeline de transporte de mensagens de email que foram marcadas (manual ou automaticamente) com rótulos de confidencialidade.
44	WorkplaceAnalytics	Eventos do Workplace Analytics.
45	PowerAppsApp	Eventos dos Aplicativos de Energia.
46	PowerAppsPlan	Eventos de plano de assinatura para Power Apps.
47	ThreatIntelligenceAtpContent	Eventos de phishing e malware para arquivos no SharePoint, OneDrive for Business e Microsoft Teams do Microsoft Defender para Office 365.
48	LabelContentExplorer	Eventos relacionados ao explorador de conteúdo de classificação de dados.
49	TeamsHealthcare	Eventos relacionados ao Aplicativo dos pacientes no Microsoft Teams para Assistência Médica.
50	ExchangeItemAggregated	Eventos relacionados à ação de auditoria da caixa de correio MailItemsAccessed.
51	HygieneEvent	Eventos relacionados à proteção contra spam de saída.
52	DataInsightsRestApiAudit	Informações sobre os dados de eventos da API REST.
53	InformationBarrierPolicyApplication	Eventos relacionados à aplicação de políticas de barreira de informação.
54	SharePointListItemOperation	Eventos de item de lista do SharePoint.
55	SharePointContentTypeOperation	Eventos do tipo de conteúdo de lista do SharePoint.
56	SharePointFieldOperation	Eventos de campo de lista do SharePoint.
57	MicrosoftTeamsAdmin	Eventos de administração do Teams.
58	HRSignal	Eventos relacionados a sinais de dados de RH que dão suporte à solução de gerenciamento de risco interno.
59	MicrosoftTeamsDevice	Eventos de dispositivo do Teams.
60	MicrosoftTeamsAnalytics	Eventos de análise do Teams.
61	InformationWorkerProtection	Eventos relacionados a alertas de usuários comprometidos.
62	Campanha	Eventos de campanha por email do Microsoft Defender para Office 365.
63	DLPEndpoint	Eventos Endpoint DLP.
64	AirInvestigation	Eventos de resposta automática de incidente (AIR).
65	Quarentena	Eventos de quarentena.
66	MicrosoftForms	Eventos do Microsoft Forms.
67	ApplicationAudit	Eventos de auditoria de aplicativos.
68	ComplianceSupervisionExchange	Eventos controlados pelo modelo de linguagem ofensivo de conformidade de comunicações.
69	CustomerKeyServiceEncryption	Eventos relacionados ao serviço de criptografia de chave do cliente.
70	OfficeNative	Eventos relacionados a rótulos de confidencialidade aplicados a documentos do Office.
71	MipAutoLabelSharePointItem	Eventos de rotulagem automática no Microsoft Office SharePoint Online.
72	MipAutoLabelSharePointPolicyLocation	Eventos de política de rotulagem automática no Microsoft Office SharePoint Online.
73	MicrosoftTeamsShifts	Eventos de Turnos do Teams.
75	MipAutoLabelExchangeItem	Eventos de rotulagem automática no Exchange.
76	CortanaBriefing	Resumo dos eventos por email.
78	WDATPAlerts	Eventos relacionados a alertas gerados pelo Windows Defender para Endpoint.
79	PowerAppsResource	Eventos relacionados com Conectores do Microsoft Power Platform (Pré-visualização).
82	SensitivityLabelPolicyMatch	Eventos gerados quando o arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado.
83	SensitivityLabelAction	Evento gerado quando rótulos de sensibilidade são aplicados, atualizados ou removidos de um arquivo.
84	SensitivityLabeledFileAction	Eventos gerados quando um arquivo rotulado com um rótulo de confidencialidade é aberto ou renomeado.
85	AttackSim	Eventos relacionados com atividades de utilizadores na Formação do & de Simulação de Ataques no Microsoft Defender para Office 365.
86	AirManualInvestigation	Eventos relacionados a investigações manuais em investigação e resposta automatizada (AIR).
87	SecurityComplianceRBAC	Eventos do RBAC de segurança e conformidade.
88	UserTraining	Eventos relacionados com a formação de utilizadores na Formação & de Simulação de Ataques no Microsoft Defender para Office 365.
89	AirAdminActionInvestigation	Eventos relacionados com ações de administrador na investigação e resposta automatizadas (AIR).
90	MSTIC	Eventos de inteligência de ameaças no Microsoft Defender para Office 365.
91	PhysicalBadgingSignal	Eventos relacionados a sinais físicos de identificação que são compatíveis com a solução de gerenciamento de risco interno.
93	AipDiscover	Eventos do scanner do AIP
94	AipSensitivityLabelAction	Eventos de etiqueta de confidencialidade do AIP
95	AipProtectionAction	Eventos de proteção do AIP
96	AipFileDeleted	Eventos de eliminação de ficheiros do AIP
97	AipHeartBeat	Eventos de heartbeat do AIP
98	MCASAlerts	Eventos correspondentes a alertas acionados pelo Microsoft Cloud App Security.
99	OnPremisesFileShareScannerDlp	Eventos relacionados à verificação de dados confidenciais em compartilhamentos de arquivos.
100	OnPremisesSharePointScannerDlp	Eventos relacionados à verificação de dados confidenciais no Microsoft Office SharePoint Online.
101	ExchangeSearch	Eventos relacionados ao uso do Outlook na Web (OWA) para pesquisar itens da caixa de correio.
102	SharePointSearch	Eventos relacionados à pesquisa no site inicial do Microsoft Office SharePoint Online de uma organização.
103	PrivacyInsights	Eventos de informações de privacidade.
105	MyAnalyticsSettings	Eventos do MyAnalytics.
106	SecurityComplianceUserChange	Eventos relacionados à modificação ou exclusão de um usuário.
107	ComplianceDLPExchangeClassification	Eventos de classificação do Exchange DLP.
109	MipExactDataMatch	Eventos de classificação Exact Data Match (EDM).
113	MS365DCustomDetection	Eventos relacionados a ações de detecção personalizadas no Microsoft 365 Defender.
147	CoreReportingSettings	Relatórios de eventos de configurações.
148	ComplianceConnector	Eventos relacionados à importação de dados que não são da Microsoft usando conectores de dados no Centro de conformidade do Microsoft Purview.
154	OMEPortal	Logs de eventos do portal de mensagens criptografados gerados por destinatários externos.
164	ScorePlatformGenericAuditRecord	Registo de Auditoria Genérico utilizado para Conectores de Dados.
174	DataShareOperation	Eventos relacionados ao compartilhamento de dados ingeridos por meio do SystemSync.
181	EduDataLakeDownloadOperation	Eventos relacionados à exportação de dados ingeridos do SystemSync do data lake.
183	MicrosoftGraphDataConnectOperation	Eventos relacionados a extrações feitas pelo Microsoft Graph Data Connect.
186	PowerPagesSite	Atividades relacionadas com o site do Power Pages.
187	PowerPlatformAdminDlp	Eventos relacionados com o DLP do Microsoft Power Platform (Pré-visualização).
188	PlannerPlan	Microsoft Planner planear eventos.
189	PlannerCopyPlan	Microsoft Planner copiar eventos do plano.
190	PlannerTask	Microsoft Planner eventos de tarefas.
191	PlannerRoster	Microsoft Planner eventos de lista e de associação à lista.
192	PlannerPlanList	Microsoft Planner listar eventos.
193	PlannerTaskList	Microsoft Planner eventos de lista de tarefas.
194	PlannerTenantSettings	Microsoft Planner eventos de definições de inquilino.
195	ProjectForThewebProject	Eventos de projeto do Microsoft Project para a Web.
196	ProjectForThewebTask	Eventos de tarefas do Microsoft Project para a Web.
197	ProjectForThewebRoadmap	Eventos de mapa de objetivos do Microsoft Project para a Web.
198	ProjectForThewebRoadmapItem	Eventos de itens de mapa de objetivos do Microsoft Project para a Web.
199	ProjectForThewebProjectSettings	Eventos de definições de inquilino do projeto do Microsoft Project para a Web.
200	ProjectForThewebRoadmapSettings	Eventos de definições de inquilino do mapa de objetivos do Microsoft Project para a Web.
216	Viva Goals	Viva Goals eventos.
217	MicrosoftGraphDataConnectConsent	Eventos para ações de consentimento realizadas por administradores de inquilinos para aplicações do Microsoft Graph Data Connect.
218	AttackSimAdmin	Eventos relacionados com atividades de administrador na Formação de & de Simulação de Ataques no Microsoft Defender para Office 365.
230	TeamsUpdates	Eventos de Aplicações do Teams Atualizações.
231	PlannerRosterSensitivityLabel	Microsoft Planner eventos de etiqueta de confidencialidade da lista.
237	DefenderExpertsforXDRAdmin	Microsoft Defender Eventos de ação de Administrador de Especialistas.
251	VfamCreatePolicy	Viva a política de Gestão de Acesso criar eventos.
252	VfamUpdatePolicy	Viva eventos de atualização da política de Gestão de Acesso.
253	VfamDeletePolicy	Viva eventos de eliminação da política de Gestão de Acesso.
261	CopilotInteraction	Eventos de interação copilot.
275	OWAAuth	Token de Acesso para Eventos emitidos com êxito pelo Recurso.
280	VivaPulseResponse	Viva eventos de resposta do inquérito pulse.
281	VivaPulseOrganizador	Viva eventos do organizador do inquérito pulse.
282	VivaPulseAdmin	Viva eventos de administração do Pulse.
283	VivaPulseReport	Viva Pulse reporta eventos relacionados.
287	ProjectForThewebAssignedToMeSettings	O Microsoft Project para a Web atribuído a eventos de definições de inquilino.
298	BackupPolicy	Eventos relacionados com políticas de Backup do Microsoft 365.
299	RestoreTask	Eventos relacionados com Backup do Microsoft 365 Tarefas de Restauro.
300	RestoreItem	Eventos relacionados com artefactos com cópia de segurança com Backup do Microsoft 365.
301	BackupItem	Eventos relacionados com itens que estão a ser restaurados com Backup do Microsoft 365.
332	ComplianceSettingsChange	As definições de Conformidade do Microsoft Purview alteram os eventos.

Enumeração: User Type - Tipo: Edm.Int32

User Type

Valor	Nome do membro	Descrição
0	Regular	Um utilizador normal sem permissões de administrador.
1	Reserved	Um valor reservado, não para utilização.
2	Admin	Um administrador na sua organização do Microsoft 365. **
3	DCAdmin	Uma conta de sistema de datacenter ou administrador de datacenter da Microsoft.
4	System	Um evento de auditoria acionado pela lógica do lado do servidor. Por exemplo, serviços do Windows ou processos em segundo plano.
5	Application	Um evento de auditoria acionado por uma aplicação Microsoft Entra.
6	ServicePrincipal	Uma entidade de serviço.
7	CustomPolicy	Um cliente criou ou geriu uma política.
8	SystemPolicy	Uma política de sistema ou gerida pela Microsoft.
9	PartnerTechnician	O utilizador de um inquilino parceiro a trabalhar em nome do inquilino do cliente (em cenários GDAP ).
10	Guest	Um utilizador convidado ou anónimo.

Observação

** Para Microsoft Entra eventos relacionados, o valor de um administrador não é utilizado num registo de auditoria. Os registos de auditoria das atividades realizadas pelos administradores indicarão que um utilizador normal (por exemplo, UserType: 0) realizou a atividade. A propriedade UserID identificará a pessoa (utilizador ou administrador normal) que realizou esta atividade.

Enumeração: AuditLogScope - Tipo: Edm.Int32

AuditLogScope

Valor	Nome do membro	Descrição
0	Online	Este evento foi criado por um serviço hospedado no O365.
1	Onprem	Este evento foi criado por um servidor local.

Tipo complexo AppAccessContext

Parameters	Tipo	Obrigatório?	Descrição
AADSessionId	Edm.String	Não	O Microsoft Entra SessionId do início de sessão entra que foi realizado pela aplicação em nome do utilizador.
APIId	Edm.String	Não	O Id para o caminho da API que é usado para acessar o recurso; por exemplo, acesso por meio da API do Microsoft Graph.
ClientAppId	Edm.String	Não	O ID da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador.
ClientAppName	Edm.String	Não	O nome da aplicação Microsoft Entra que efetuou o acesso em nome do utilizador.
CorrelationId	Edm.String	Não	Um identificador que pode ser usado para correlacionar as ações de um usuário específico entre Microsoft 365 serviços.
UniqueTokenId	Edm.String	Não	UniqueTokenId é definido se o token de Microsoft Entra estiver disponível para o pedido. É um identificador exclusivo por-token que diferencia maiúsculas de minúsculas.
IssuedAtTime	Edm.Date	Não	"Emitido Em" é definido se o token de Microsoft Entra estiver disponível para o pedido e indicar quando ocorreu a autenticação para este token de Microsoft Entra.

Esquema base do SharePoint

Parâmetro	Tipo	Obrigatório?	Descrição
Site	Edm.Guid	Não	O GUID do site onde o arquivo ou pasta acessado pelo usuário está localizado.
ItemType	Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType"	Não	O tipo de objeto que foi acessado ou modificado. Confira a tabela ItemType para obter detalhes sobre os tipos de objetos.
EventSource	Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource"	Não	Identifica que um evento ocorreu no SharePoint. Valores possíveis são SharePoint ou ObjectModel.
SourceName	Edm.String	Não	A entidade que acionou a operação auditada. Valores possíveis são SharePoint ou ObjectModel.
UserAgent	Edm.String	Não	Informações sobre o cliente ou navegador do usuário. Esta informação é fornecida pelo cliente ou navegador.
MachineDomainInfo	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação.
MachineId	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Informações sobre as operações de sincronização do dispositivo. Essas informações são relatadas somente se estiverem presentes na solicitação.
ListItemUniqueId	Edm.Guid	Não	O GUID de um item de lista exclusivamente identificável. Esta informação está presente apenas se for aplicável.
ListId	Edm.Guid	Não	O GUID da lista. Esta informação está presente apenas se for aplicável.
ApplicationId	Edm.String	Não	O ID do aplicativo que está executando a operação.
ApplicationDisplayName	Edm.String	Não	O nome de exibição do aplicativo que está executando a operação.
IsWorkflow	Edm.Boolean	Não	Isso está definido como `True` se os Fluxos de Trabalho do SharePoint dispararem o evento auditado.

Enumeração: ItemType - Tipo: Edm.Int32

ItemType

Valor	Nome do membro	Descrição
0	Invalid	O item não consiste em nenhum dos outros tipos de itens (listados nesta tabela).
1	File	O item é um arquivo.
5	Folder	O item é uma pasta.
6	web	O item é uma Web.
7	Site	O item é um site.
8	Tenant	O item é um locatário.
9	DocumentLibrary	O item é uma biblioteca de documentos.
11	Page	O item é uma página.

Enumeração: EventSource - Tipo: Edm.Int32

EventSource

Valor	Nome do membro	Descrição
0	SharePoint	A origem do evento é o SharePoint.
1	ObjectModel	A origem do evento é o ObjectModel.

Enumeração: SharePointAuditOperation - Tipo: Edm.Int32

Nome do membro	Descrição
AccessInvitationAccepted	O destinatário de um convite para exibir ou editar um arquivo compartilhado (ou pasta) acessou o arquivo compartilhado clicando no link do convite.
AccessInvitationCreated	O usuário envia um convite a outra pessoa (dentro ou fora da organização) para exibir ou editar um arquivo ou pasta compartilhada em um site do SharePoint ou do OneDrive for Business. Os detalhes da entrada do evento identificam o nome do arquivo que foi compartilhado, o usuário ao qual o convite foi enviado e o tipo de permissão de compartilhamento selecionado pela pessoa que enviou o convite.
AccessInvitationExpired	Um convite enviado a um usuário externo expira. Por padrão, um convite enviado a um usuário fora de sua organização expira após sete dias se o convite não for aceito.
AccessInvitationRevoked	O administrador do site ou proprietário de um site ou documento no SharePoint ou OneDrive for Business retira um convite que foi enviado para um usuário fora da organização. Um convite pode ser retirado somente antes de ser aceito.
AccessInvitationUpdated	O usuário que criou e enviou um convite a outra pessoa para exibir ou editar um arquivo (ou pasta) compartilhado em um site do SharePoint ou do OneDrive for Business reenvia o convite.
AccessRequestApproved	O administrador do site ou proprietário de um site ou documento no SharePoint ou no OneDrive for Business aprova uma solicitação do usuário para acessar o site ou documento.
AccessRequestCreated	O usuário solicita acesso a um site ou documento no SharePoint ou no OneDrive for Business que ele não tem permissão para acessar.
AccessRequestRejected	O administrador do site ou proprietário de um site ou documento no SharePoint recusa uma solicitação do usuário para acessar o site ou documento.
ActivationEnabled	Os usuários podem habilitar modelos de formulário para navegador que não contenham código de formulário, exijam confiança total, permitam a renderização em um dispositivo móvel ou usem uma conexão de dados gerenciada por um administrador de servidor.
AdministratorAddedToTermStore	Administrador do repositório de termos adicionado.
AdministratorDeletedFromTermStore	Administrador do repositório de termos excluído.
AllowGroupCreationSet	O administrador ou proprietário do site adiciona um nível de permissão a um site do SharePoint ou do OneDrive for Business que permite ao usuário designado criar um grupo para esse site.
AppCatalogCreated	Catálogo de aplicativos criado para disponibilizar aplicativos de negócios personalizados para o seu ambiente do SharePoint.
AuditPolicyRemoved	Política de Ciclo de Vida do Documento removida para um conjunto de sites.
AuditPolicyUpdate	Política de Ciclo de Vida do Documento atualizada para um conjunto de sites.
AzureStreamingEnabledSet	Um proprietário de portal de vídeo permitiu o streaming de vídeo do Azure.
CollaborationTypeModified	O tipo de colaboração permitido em sites (por exemplo, intranet, extranet ou público) foi modificado.
ConnectedSiteSettingModified	O utilizador criou, modificou ou eliminou a ligação entre um projeto e um site de projeto ou o utilizador modifica a definição de sincronização na ligação no Project Web App.
CreateSSOApplication	Aplicativo de destino criado no Serviço de Repositório Seguro.
CustomFieldOrLookupTableCreated	O utilizador criou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomFieldOrLookupTableDeleted	O utilizador eliminou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomFieldOrLookupTableModified	O utilizador modificou um campo personalizado ou uma tabela/item de referência no Project Web App.
CustomizeExemptUsers	O administrador global personalizou a lista de agentes do usuário isentos no Centro de administração do SharePoint. Você pode especificar quais agentes de usuário devem ficar isentos de receber uma página da Web inteira para indexar. Isto significa que, quando um agente de utilizador que especificou como isento encontrar um formulário do InfoPath, o formulário será devolvido como um ficheiro XML em vez de uma página Web inteira. Isso torna a indexação de formulários do InfoPath mais rápida.
DefaultLanguageChangedInTermStore*	Configuração de idioma alterada no repositório de terminologia.
DelegateModified	O utilizador criou ou modificou um delegado de segurança no Project Web App.
DelegateRemoved	O utilizador eliminou um delegado de segurança no Project Web App.
DeleteSSOApplication	Um aplicativo SSO foi excluído.
eDiscoveryHoldApplied	Um Bloqueio In-loco foi colocado em uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint.
eDiscoveryHoldRemoved	Um Bloqueio In-loco foi removido de uma fonte de conteúdo. Os Bloqueios In-loco são gerenciados usando um conjunto de sites de Descoberta Eletrônica (como o Centro de Descoberta Eletrônica) no SharePoint.
eDiscoverySearchPerformed	Uma pesquisa de Descoberta Eletrônica foi realizada usando um conjunto de sites de Descoberta Eletrônica no SharePoint.
EngagementAccepted	O utilizador aceita uma atribuição de recursos no Project Web App.
EngagementModified	O utilizador modifica uma atribuição de recursos no Project Web App.
EngagementRejected	O utilizador rejeita uma atribuição de recursos no Project Web App.
EnterpriseCalendarModified	O utilizador copia, modifica ou elimina um calendário empresarial no Project Web App.
EntityDeleted	O utilizador elimina uma folha de horas no Project Web App.
EntityForceCheckedIn	O utilizador força uma marcar num calendário, campo personalizado ou tabela de referência no Project Web App.
ExemptUserAgentSet	O administrador global adiciona um agente do usuário à lista de agentes do usuário isentos no Centro de administração do SharePoint.
FileAccessed	O usuário ou a conta do sistema acessa um arquivo em um site do SharePoint ou OneDrive for Business. Contas do sistema também podem gerar eventos FileAccessed.
FileCheckOutDiscarded	O usuário descarta (ou desfaz) um arquivo que passou por check-out. Isso significa que quaisquer alterações feitas no arquivo quando ele passou por check-out serão descartadas e não serão salvas na versão do documento na biblioteca de documentos.
FileCheckedIn	O usuário devolve um documento que retirou de uma biblioteca de documentos do SharePoint ou do OneDrive for Business.
FileCheckedOut	O usuário faz check-out de um documento localizado em uma biblioteca de documentos do SharePoint ou do OneDrive for Business. Os usuários podem fazer check-out e alterações nos documentos que foram compartilhados com eles.
FileCopied	O usuário copia um documento de um site do SharePoint ou do OneDrive for Business. O arquivo copiado pode ser salvo em outra pasta no site.
FileDeleted	O usuário exclui um documento de um site do SharePoint ou do OneDrive for Business.
FileDeletedFirstStageRecycleBin	O usuário exclui um arquivo da lixeira em um site do SharePoint ou do OneDrive for Business.
FileDeletedSecondStageRecycleBin	O usuário exclui um arquivo da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business.
FileDownloaded	O usuário faz download de um documento de um site do SharePoint ou do OneDrive for Business.
FileFetched	Este evento foi substituído pelo evento FileAccessed e foi descontinuado.
FileModified	O usuário ou a conta do sistema modifica o conteúdo ou as propriedades de um documento localizado em um site do SharePoint ou do OneDrive for Business.
FileMoved	O usuário move um documento de seu local atual em um site do SharePoint ou do OneDrive for Business para um novo local.
FilePreviewed	O usuário visualiza um documento em um site do SharePoint ou OneDrive for Business.
FileRecycled	O utilizador move um documento para a Reciclagem do SharePoint ou do OneDrive.
FileRenamed	O usuário renomeia um documento em um site do SharePoint ou OneDrive for Business.
FileRestored	O usuário restaura um documento da lixeira de um site do SharePoint ou OneDrive for Business.
FileSyncDownloadedFull	O usuário baixa um arquivo em seu computador de uma biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
FileSyncDownloadedPartial	Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).
FileSyncUploadedFull	O usuário carrega um novo arquivo ou alterações em um arquivo na biblioteca de documentos do SharePoint ou do OneDrive for Business usando o aplicativo de sincronização do OneDrive (OneDrive.exe).
FileSyncUploadedPartial	Esse evento foi preterido juntamente com o aplicativo de sincronização do OneDrive for Business antigo (Groove.exe).
FileUploaded	O usuário faz upload de um documento para uma pasta em um site do SharePoint ou do OneDrive for Business.
FileViewed	Este evento foi substituído pelo evento FileAccessed e foi descontinuado.
FolderCopied	O usuário copia uma pasta de um site do SharePoint ou do OneDrive for Business para outro local no SharePoint ou no OneDrive for Business.
FolderCreated	O usuário cria uma pasta em um site do SharePoint ou do OneDrive for Business.
FolderDeleted	O usuário exclui uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderDeletedFirstStageRecycleBin	O usuário exclui uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business.
FolderDeletedSecondStageRecycleBin	O usuário exclui uma pasta da lixeira de segundo estágio em um site do SharePoint ou do OneDrive for Business.
FolderModified	O usuário modifica uma pasta em um site do SharePoint ou do OneDrive for Business. Este evento inclui alterações de metadados da pasta, como tags e propriedades.
FolderMoved	O usuário move uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderRecycled	O utilizador move uma pasta para a Reciclagem do SharePoint ou do OneDrive.
FolderRenamed	O usuário renomeia uma pasta de um site do SharePoint ou do OneDrive for Business.
FolderRestored	O usuário restaura uma pasta da lixeira em um site do SharePoint ou do OneDrive for Business.
GroupAdded	O administrador ou proprietário do site cria um grupo para um site do SharePoint ou OneDrive for Business ou executa uma tarefa que resulta na criação de um grupo. Por exemplo, na primeira vez que um usuário cria um link para compartilhar um arquivo, um grupo de sistemas é adicionado ao site do OneDrive for Business do usuário. Esse evento também pode ser o resultado de um usuário ter criado um link com permissões de edição para um arquivo compartilhado.
GroupRemoved	O usuário exclui um grupo de um site do SharePoint ou do OneDrive for Business.
GroupUpdated	O administrador ou proprietário do site altera as configurações de um grupo para um site do SharePoint ou do OneDrive for Business. Isso pode incluir a alteração do nome do grupo, quem pode visualizar ou editar os membros do grupo e como as solicitações de associação são tratadas.
LanguageAddedToTermStore	Idioma adicionado ao repositório de terminologia.
LanguageRemovedFromTermStore	Idioma removido do repositório de terminologia.
LegacyWorkflowEnabledSet	O proprietário ou administrador do site adiciona o tipo de conteúdo da Tarefa de Fluxo de Trabalho do SharePoint ao site. Os administradores globais também podem ativar fluxos de trabalho para toda a organização no centro de administração do SharePoint.
LookAndFeelModified	O usuário modifica um início rápido, formatos de gráfico de gantt ou formatos de grupo. Ou o utilizador cria, modifica ou elimina uma vista no Project Web App.
ManagedSyncClientAllowed	O usuário estabelece com êxito uma relação de sincronização com um site do SharePoint ou do OneDrive for Business. A relação de sincronização é bem-sucedida porque o computador do usuário é membro de um domínio que foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que pode acessar bibliotecas de documentos em sua organização. Para obter mais informações, consulte Utilizar o PowerShell do SharePoint Online para ativar Sincronização do OneDrive para domínios que estão na lista de destinatários seguros.
MaxQuotaModified	A cota máxima de um site foi modificada.
MaxResourceUsageModified	O uso máximo permitido de recursos para um site foi modificado.
MySitePublicEnabledSet	O sinalizador que permite aos usuários ter MySites públicos foi definido pelo Administrador de serviços do SharePoint.
NewsFeedEnabledSet	O administrador ou proprietário do site habilita feeds RSS para um site do SharePoint ou do OneDrive for Business. Os administradores globais podem ativar RSS feeds para toda a organização no centro de administração do SharePoint.
ODBNextUXSettings	Uma nova interface do usuário do OneDrive for Business foi ativada.
OfficeOnDemandSet	O administrador do site habilita o Office on Demand, que permite aos usuários acessar a versão mais recente dos aplicativos da área de trabalho do Office. O Office on Demand está habilitado no Centro de administração do SharePoint e exige uma assinatura do Office 365 que inclua aplicativos completos do Office instalados.
PageViewed	O usuário visualiza uma página em um site do SharePoint ou no site do OneDrive for Business. Isso não inclui a exibição de arquivos da biblioteca de documentos de um site do SharePoint ou do site One Drive for Business em um navegador.
PeopleResultsScopeSet	O administrador do site cria ou altera a fonte de resultados para Pesquisas de Pessoas em um site do SharePoint.
PermissionSyncSettingModified	O utilizador modifica as definições de sincronização de permissões do projeto no Project Web App.
PermissionTemplateModified	O utilizador cria, modifica ou elimina um modelo de permissões no Project Web App.
PortfolioDataAccessed	O utilizador acede a conteúdos de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App.
PortfolioDataModified	O utilizador cria, modifica ou elimina dados de portefólio (biblioteca de controladores, atribuição de prioridades de fatores, análises de portefólio) no Project Web App.
PreviewModeEnabledSet	O administrador do site habilita a visualização do documento para um site do SharePoint.
ProjectAccessed	O utilizador acede ao conteúdo do projeto no Project Web App.
ProjectCheckedIn	O utilizador verifica num projeto que deu saída a partir de uma aplicação Web do Project.
ProjectCheckedOut	O utilizador dá saída de um projeto localizado numa aplicação Web do Project. Os usuários podem fazer check-out e fazer alterações em projetos para os quais têm permissão para abrir.
ProjectCreated	O utilizador cria um projeto no Project Web App.
ProjectDeleted	O utilizador elimina um projeto no Project Web App.
ProjectForceCheckedIn	O utilizador força uma marcar num projeto no Project Web App.
ProjectModified	O utilizador modifica um projeto no Project Web App.
ProjectPublished	O utilizador publica um projeto no Project Web App.
ProjectWorkflowRestarted	O utilizador reinicia um fluxo de trabalho no Project Web App.
PWASettingsAccessed	O utilizador acede às definições do Project Web App através do CSOM.
PWASettingsModified	O utilizador modifica a configuração de uma aplicação Web do Project.
QueueJobStateModified	O utilizador cancela ou reinicia uma tarefa de fila no Project Web App.
QuotaWarningEnabledModified	Aviso de cota de armazenamento modificada.
RenderingEnabled	Modelos de formulário habilitados para navegador serão processados pelos serviços de formulários do InfoPath.
ReportingAccessed	O utilizador acedeu ao ponto final de relatórios no Project Web App.
ReportingSettingModified	O utilizador modifica a configuração de relatórios no Project Web App.
ResourceAccessed	O utilizador acede a um conteúdo de recurso empresarial no Project Web App.
ResourceCheckedIn	O utilizador verifica num recurso empresarial que deu saída do Project Web App.
ResourceCheckedOut	O utilizador dá saída de um recurso empresarial localizado no Project Web App.
ResourceCreated	O utilizador cria um recurso empresarial no Project Web App.
ResourceDeleted	O utilizador elimina um recurso empresarial no Project Web App.
ResourceForceCheckedIn	O utilizador força uma entrada de um recurso empresarial no Project Web App.
ResourceModified	O utilizador modifica um recurso empresarial no Project Web App.
ResourcePlanCheckedInOrOut	O utilizador dá entrada ou saída de um plano de recursos no Project Web App.
ResourcePlanModified	O utilizador modifica um plano de recursos no Project Web App.
ResourcePlanPublished	O utilizador publica um plano de recursos no Project Web App.
ResourceRedacted	O utilizador redigi um recurso empresarial ao remover todas as informações pessoais no Project Web App.
ResourceWarningEnabledModified	Aviso de cota de recursos modificada.
SSOGroupCredentialsSet	Credenciais de grupo definidas no Serviço de Repositório Seguro.
SSOUserCredentialsSet	Credenciais de usuário definidas no Serviço de Repositório Seguro.
SearchCenterUrlSet	Conjunto de URLs do Centro de Pesquisa.
SecondaryMySiteOwnerSet	Um usuário adicionou um proprietário secundário ao seu MySite.
SecurityCategoryModified	O utilizador cria, modifica ou elimina uma categoria de segurança no Project Web App.
SecurityGroupModified	O utilizador cria, modifica ou elimina um grupo de segurança no Project Web App.
SendToConnectionAdded	O administrador global cria uma nova conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint. Uma conexão Enviar para especifica configurações para um repositório de documentos ou um centro de registros. Quando você cria uma conexão Enviar para, um Organizador de Conteúdo pode enviar documentos à localização especificada.
SendToConnectionRemoved	O administrador global exclui uma conexão Enviar para na página Gerenciamento de registros no Centro de administração do SharePoint.
SharedLinkCreated	O usuário cria um link para um arquivo compartilhado no SharePoint ou no OneDrive for Business. Este link pode ser enviado para outras pessoas para dar acesso ao arquivo. Um usuário pode criar dois tipos de links: um link que permite ao usuário visualizar e editar o arquivo compartilhado, ou um link que permite ao usuário apenas visualizar o arquivo.
SharedLinkDisabled	O usuário desabilita (permanentemente) um link que foi criado para compartilhar um arquivo.
SharingInvitationAccepted *	O usuário aceita um convite para compartilhar um arquivo ou uma pasta. Esse evento é registrado quando um usuário compartilha um arquivo com outros usuários.
SharingRevoked	O usuário desassocia um arquivo ou pasta que foi compartilhado anteriormente com outros usuários. Esse evento é registrado quando um usuário deixa de compartilhar um arquivo com outros usuários.
SharingSet	O usuário compartilha um arquivo ou pasta localizado no SharePoint ou no OneDrive for Business com outro usuário dentro de sua organização.
SiteAdminChangeRequest	O usuário solicita ser adicionado como um administrador do conjunto de sites de um conjunto de sites do SharePoint. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.
SiteCollectionAdminAdded*	O administrador ou proprietário do conjunto de sites adiciona uma pessoa como administrador do conjunto de sites para um site do SharePoint ou do OneDrive for Business. Os administradores do conjunto de sites têm permissões de controle total para o conjunto de sites e todos os subsites.
SiteCollectionCreated	O administrador global cria um novo conjunto de sites em sua organização do SharePoint.
SiteRenamed	O administrador ou proprietário do site renomeia um site do SharePoint ou do OneDrive for Business.
StatusReportModified	O utilizador cria, modifica ou elimina um relatório de status no Project Web App.
SyncGetChanges	O usuário clica em Sincronizar na bandeja de ação no SharePoint ou no OneDrive for Business para sincronizar as alterações feitas no arquivo em uma biblioteca de documentos ao computador.
SyntexBillingSubscriptionSettingsChanged	As definições da subscrição de Faturação do Syntex foram alteradas. Este evento é acionado quando uma versão de avaliação do Syntex expira.
TaskStatusAccessed	O utilizador acede ao status de uma ou mais tarefas no Project Web App.
TaskStatusApproved	O utilizador aprova uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusRejected	O utilizador rejeita uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusSaved	O utilizador guarda uma atualização status de uma ou mais tarefas no Project Web App.
TaskStatusSubmitted	O utilizador submete uma atualização status de uma ou mais tarefas no Project Web App.
TimesheetAccessed	O utilizador acede a uma folha de horas no Project Web App.
TimesheetApproved	O utilizador aprova a folha de horas no Project Web App.
TimesheetRejected	O utilizador rejeita uma folha de horas no Project Web App.
TimesheetSaved	O utilizador guarda uma folha de horas no Project Web App.
TimesheetSubmitted	O utilizador submete uma folha de horas status no Project Web App.
UnmanagedSyncClientBlocked	O usuário tenta estabelecer uma relação de sincronização com um site do SharePoint ou do OneDrive for Business em um computador que não é membro do domínio de sua organização ou que é membro de um domínio que não foi adicionado à lista de domínios (chamada de Lista de Destinatários Confiáveis) que podem acessar bibliotecas de documentos em sua organização. A relação de sincronização não é permitida e o computador do usuário é impedido de sincronizar, fazer download ou fazer upload de arquivos em uma biblioteca de documentos. Para obter informações sobre esse recurso, confira Usar os cmdlets do Windows PowerShell para habilitar a sincronização do OneDrive para domínios que estão na Lista de Destinatários Confiáveis.
UpdateSSOApplication	Aplicativo de destino atualizado no Serviço de Repositório Seguro.
UserAddedToGroup	O administrador ou proprietário do site adiciona uma pessoa a um grupo em um site do SharePoint ou OneDrive for Business. Adicionar uma pessoa a um grupo concede ao usuário as permissões que foram atribuídas ao grupo.
UserRemovedFromGroup	O administrador ou proprietário do site remove uma pessoa de um grupo em um site do SharePoint ou OneDrive for Business. Depois que a pessoa é removida, ela não recebe mais as permissões que foram atribuídas ao grupo.
WorkflowModified	O utilizador cria, modifica ou elimina fases ou fases de Tipo de Projeto Empresarial ou Fluxo de Trabalho no Project Web App.

Operações de arquivos do SharePoint

Os eventos do SharePoint relacionados aos arquivos listados na seção “Atividades de arquivos e pastas” em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.

Parâmetro	Tipo	Obrigatório?	Descrição
SiteUrl	Edm.String	Sim	A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado.
SourceRelativeUrl	Edm.String	Não	O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador.
SourceFileName	Edm.String	Sim	O nome do arquivo ou pasta acessado pelo usuário.
SourceFileExtension	Edm.String	Não	A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta.
DestinationRelativeUrl	Edm.String	Não	A URL da pasta de destino em que um arquivo é copiado ou movido. A combinação dos valores dos parâmetros SiteURL, DestinationRelativeURL e DestinationFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro que foi copiado. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
DestinationFileName	Edm.String	Não	O nome do arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
DestinationFileExtension	Edm.String	Não	A extensão de um arquivo que foi copiado ou movido. Essa propriedade é exibida apenas para eventos FileCopied e FileMoved.
UserSharedWith	Edm.String	Não	O usuário com o qual um recurso foi compartilhado.
SharingType	Edm.String	Não	O tipo de permissões de compartilhamento que foram designadas ao usuário com o qual o recurso foi compartilhado. Este utilizador é identificado pelo parâmetro UserSharedWith .
SourceLabel	Edm.String	Não	O rótulo original do arquivo antes de ser alterado por uma ação do usuário.
DestinationLabel	Edm.String	Não	O rótulo final do arquivo depois que ele é alterado por uma ação do usuário.
SensitivityLabelOwnerEmail	Edm.String	Não	O endereço de email do proprietário do rótulo de confidencialidade.
SensitivityLabelId	Edm.String	Não	A ID do rótulo de confidencialidade atual do arquivo.

Listar Operações do SharePoint

As listas do SharePoint e os eventos relacionados a itens de lista listados na seção "Atividades de lista do SharePoint" em Pesquisar o log de auditoria no centro de conformidade usam esse esquema.

Parâmetro	Tipo	Obrigatório?	Descrição
ListTitle	Edm.String	Não	O título da lista de SharePoint.
ListName	Edm.String	Não	O nome da lista do SharePoint.
ListUrl	Edm.String	Não	O URL da lista em relação ao site que o contém.
ListBaseType	Edm.String	Não	Especifica o tipo base para uma lista.
ListBaseTemplateType	Edm.String	Não	O tipo de definição de lista no qual a lista se baseia.
IsHiddenList	Edm.Boolean	Não	Esse valor será definido para `True` se a lista do SharePoint estiver oculta.
IsDocLib	Edm.Boolean	Não	Este valor está definido como `True` se a lista do SharePoint for do tipo Biblioteca de Documentos.

Os eventos do SharePoint relacionados ao compartilhamento de arquivos. Eles são diferentes dos eventos relacionados a arquivos e pastas em que um usuário está realizando uma ação que afeta outro usuário. Para obter informações sobre o esquema de compartilhamento do SharePoint, consulte Usar a auditoria de compartilhamento no log de auditoria .

Parâmetro	Tipo	Obrigatório?	Descrição
TargetUserOrGroupName	Edm.String	Não	Armazena o UPN ou o nome do usuário ou grupo de destino com o qual um recurso foi compartilhado.
TargetUserOrGroupType	Edm.String	Não	Identifica se o usuário ou grupo de destino é um Membro, Convidado, Grupo ou Parceiro.
EventData	Código XML	Não	Transmite informações de acompanhamento sobre a ação de compartilhamento que ocorreu, como adicionar um usuário a um grupo ou conceder permissões de edição.
SiteUrl	Edm.String	Não	A URL do site onde o arquivo ou pasta acessado pelo usuário está localizado.
SourceRelativeUrl	Edm.String	Não	O URL da pasta que contém o arquivo acessado pelo usuário. A combinação dos valores dos parâmetros SiteURL, SourceRelativeURL e SourceFileName é igual ao valor da propriedade ObjectID , que é o nome do caminho completo para o ficheiro acedido pelo utilizador.
SourceFileName	Edm.String	Não	O nome do arquivo ou pasta acessado pelo usuário.
SourceFileExtension	Edm.String	Não	A extensão do arquivo que foi acessado pelo usuário. Esta propriedade fica em branco se o objeto que foi acessado for uma pasta.
UniqueSharingId	Edm.String	Não	O ID de compartilhamento exclusivo associado à operação de compartilhamento.

Esquema do SharePoint

Os eventos do SharePoint listados em Pesquisar o log de auditoria no centro de conformidade (excluindo os eventos de arquivo e pasta) usam esse esquema.

Parâmetro	Tipo	Obrigatório?	Descrição
CustomEvent	Edm.String	Não	Cadeia de caracteres opcional para eventos personalizados.
EventData	Edm.String	Não	Carga opcional para eventos personalizados.
ModifiedProperties	Collection(ModifiedProperty)	Não	A propriedade está incluída para eventos de administrador, como adicionar um usuário como membro de um site ou grupo de administradores de um conjunto de sites. A propriedade inclui o nome da propriedade que foi modificada (por exemplo, o grupo Administrador do Site), o novo valor da propriedade modificada (como o usuário que foi adicionado como administrador do site) e o valor anterior do objeto modificado.

Esquema do Project

Parâmetro	Tipo	Obrigatório?	Descrição
Entity	Edm.String	Sim	ProjectEntity da auditoria.
Action	Edm.String	Sim	ProjectAction tomada.
OnBehalfOfResId	Edm.Guid	Não	A ID do recurso em nome da qual a ação foi tomada.

Enumeração: Project Action - Tipo: Edm.Int32

Ação do projeto

Nome do membro	Descrição
Accepted	O usuário aceitou um evento ou fluxo de trabalho.
Accessed	O usuário acessou uma entidade.
Activated	O usuário ativou uma entidade, evento ou fluxo de trabalho.
Cancelled	O usuário cancelou um evento ou fluxo de trabalho.
CheckedIn	O usuário fez check-in em uma entidade.
CheckedOut	O usuário fez check-out em uma entidade.
Copied	O usuário copiou uma entidade.
Created	O usuário criou uma entidade.
Deactivated	O usuário desativou uma entidade.
Deleted	O usuário excluiu uma entidade.
Exported	O usuário exportou uma entidade.
ForceCheckedIn	O usuário fez com que uma entidade fosse obrigada a fazer check-in.
Modified	O usuário modificou uma entidade.
Published	O usuário publicou uma entidade.
Redacted	O usuário redigiu uma entidade.
Rejected	O usuário rejeitou uma entidade.
Restarted	O usuário reiniciou um evento ou fluxo de trabalho.
Saved	O usuário salvou uma entidade.
Sent	O usuário enviou uma entidade.
Submitted	O usuário enviou uma entidade para revisão ou fluxo de trabalho.

Enumeração: Project Entity - Tipo: Edm.Int32

Entidade do projeto.

Nome do membro	Descrição
CustomField	Representa um campo personalizado da empresa.
Driver	Representa um indicador de portfólio.
DriverPrioritization	Representa uma priorização de portfólio.
Engagement	Representa um compromisso de recurso.
EnterpriseCalendar	Representa um calendário de recursos empresariais.
EnterpriseProjectType	Representa um tipo de projeto corporativo.
FiscalPeriod	Representa um período fiscal.
GanttChartFormat	Representa um formato de gráfico de Gantt.
GroupingFormat	Representa um formato de agrupamento de visualizações.
LineClassification	Representa uma classificação de linha de quadro de horários.
LookupTable	Representa uma tabela de pesquisa corporativa.
PermissionTemplate	Representa um modelo de permissão de segurança.
PortfolioAnalysis	Representa uma análise de portfólio.
Project	Representa um projeto.
QueueJob	Representa um trabalho em fila.
QuickLaunch	Representa um item de inicialização rápida.
Reporting	Representa o ponto de extremidade de relatório.
Resource	Representa um recurso da empresa.
ResourcePlan	Representa um plano de recursos associado a um projeto.
SecurityCategory	Representa uma categoria de segurança.
SecurityGroup	Representa um grupo de segurança.
Setting	Representa uma definição do Project Web App
Statusing	Representa uma atualização de status da tarefa.
StatusReport	Representa um relatório de status.
TimeReportingPeriod	Representa um período de tempo para um quadro de horários.
Timesheet	Representa uma entidade de quadro de horários.
TimesheetAuditLog	Representa um log de auditoria do quadro de horários.
TimesheetManager	Representa o gerente de um quadro de horários.
UserDelegate	Representa uma delegação de usuário para outro usuário.
View	Representa uma definição de exibição.
WorkflowPhase	Representa uma fase em um fluxo de trabalho.
WorkflowStage	Representa um estágio em um fluxo de trabalho.

Esquema de administração do Exchange

Parâmetros	Tipo	Obrigatório	Descrição
ModifiedObjectResolvedName	Edm.String	Não	Esse é o nome amigável do objeto que foi modificado pelo cmdlet. Ele é registrado somente se o cmdlet modificar o objeto.
Parâmetros	Collection(Common.NameValuePair)	Não	O nome e o valor de todos os parâmetros que foram usados com o cmdlet identificado na propriedade Operations.
ModifiedProperties	Collection(Common.ModifiedProperty)	Não	A propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior do objeto modificado.
ExternalAccess	Edm.Boolean	Sim	Especifica se o cmdlet foi executado por um usuário em sua organização, pela equipe de datacenters da Microsoft ou por uma conta de serviço do datacenter ou por um administrador delegado. O valor Falso indica que o cmdlet foi executado por alguém em sua organização. O valor Verdadeiro indica que o cmdlet foi executado pela equipe do datacenter, por uma conta de serviço do datacenter ou por um administrador delegado.
OriginatingServer	Edm.String	Não	O nome do servidor do qual o cmdlet foi executado.
OrganizationName	Edm.String	Não	O nome do locatário.

Esquema de caixa de correio do Exchange

Parâmetros	Tipo	Obrigatório	Descrição
LogonType	Self.LogonType	Não	Indica o tipo de usuário que acessou a caixa de correio e executou a operação que foi registrada.
InternalLogonType	Self.LogonType	Não	Reservado para uso interno.
MailboxGuid	Edm.String	Não	O GUID do Exchange da caixa de correio que foi acessada.
MailboxOwnerUPN	Edm.String	Não	O endereço de email da pessoa que possui a caixa de correio que foi acessada.
MailboxOwnerSid	Edm.String	Não	O SID do proprietário da caixa de correio.
MailboxOwnerMasterAccountSid	Edm.String	Não	SID da conta principal da conta do proprietário da caixa de correio.
LogonUserSid	Edm.String	Não	O SID do usuário que executou a operação.
LogonUserDisplayName	Edm.String	Não	O nome amigável do usuário que executou a operação.
ExternalAccess	Edm.Boolean	Sim	Isso se aplica se o domínio do usuário de logon for diferente do domínio do proprietário da caixa de correio.
OriginatingServer	Edm.String	Não	De onde a operação se originou.
OrganizationName	Edm.String	Não	O nome do locatário.
ClientInfoString	Edm.String	Não	Informações sobre o cliente de email que foi usado para executar a operação, como uma versão do navegador, versão do Outlook e informações do dispositivo móvel.
ClientIPAddress	Edm.String	Não	O endereço IP do dispositivo que foi usado quando a operação foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
ClientMachineName	Edm.String	Não	O nome da computador que hospeda o cliente do Outlook.
ClientProcessName	Edm.String	Não	O cliente de email que foi usado para acessar a caixa de correio.
ClientVersion	Edm.String	Não	A versão do cliente de email.

Enumeração: LogonType - Tipo: Edm.Int32

LogonType

Valor	Nome do membro	Descrição
0	Owner	O proprietário da caixa de correio.
1	Admin	Uma pessoa com privilégios administrativos para a caixa de correio de uma pessoa.
2	Delegated	Uma pessoa com privilégios de delegado para a caixa de correio de uma pessoa.
3	Transport	Um serviço de transporte no datacenter da Microsoft.
4	SystemService	Uma conta de serviço no datacenter da Microsoft.
5	BestAccess	Reservado para uso interno.
6	DelegatedAdmin	Um administrador delegado.

Esquema ExchangeMailboxAuditGroupRecord

Parâmetros	Tipo	Obrigatório?	Descrição
Folder	Self.ExchangeFolder	Não	A pasta onde um grupo de itens está localizado.
CrossMailboxOperations	Edm.Boolean	Não	Indica se a operação envolveu mais de uma caixa de correio.
DestMailboxId	Edm.Guid	Não	Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o GUID da caixa de correio de destino.
DestMailboxOwnerUPN	Edm.String	Não	Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o UPN do proprietário da caixa de correio de destino.
DestMailboxOwnerSid	Edm.String	Não	Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID da caixa de correio de destino.
DestMailboxOwnerMasterAccountSid	Edm.String	Não	Definido somente se o parâmetro CrossMailboxOperations for True. Especifica o SID do SID da conta principal do proprietário da caixa de correio de destino.
DestFolder	Self.ExchangeFolder	Não	A pasta de destino, para operações como Mover.
Folders	Collection(Self.ExchangeFolder)	Não	Informações sobre as pastas de origem envolvidas em uma operação; por exemplo, se as pastas forem selecionadas e excluídas.
AffectedItems	Collection(Self.ExchangeItem)	Não	Informações sobre cada item no grupo.

Esquema ExchangeMailboxAuditRecord

Parâmetros	Tipo	Obrigatório?	Descrição
Item	Self.ExchangeItem	Não	Representa o item no qual a operação foi executada
ModifiedProperties	Collection(Edm.String)	Não	A definir
SendAsUserSmtp	Edm.String	Não	Endereço SMTP do usuário que está sendo representado.
SendAsUserMailboxGuid	Edm.Guid	Não	O GUID do Exchange da caixa de correio que foi acessada para enviar email.
SendOnBehalfOfUserSmtp	Edm.String	Não	O endereço SMTP do usuário em nome de quem o email é enviado.
SendOnBehalfOfUserMailboxGuid	Edm.Guid	Não	O GUID do Exchange da caixa de correio que foi acessada para enviar emails.

Tipo complexo ExchangeItem

Parâmetros	Tipo	Obrigatório?	Descrição
Id	Edm.String	Sim	A ID do repositório.
Subject	Edm.String	Não	A linha de assunto da mensagem que foi acessada.
ParentFolder	Edm.ExchangeFolder	Não	O nome da pasta onde o item está localizado.
Attachments	Edm.String	Não	Uma lista dos nomes e tamanho de arquivo de todos os itens anexados à mensagem.

Tipo complexo ExchangeFolder

Parâmetros	Tipo	Obrigatório?	Descrição
Id	Edm.String	Sim	A ID do repositório do objeto da pasta.
Path	Edm.String	Não	O nome da pasta da caixa de correio em que a mensagem que foi acessada está localizada.

Esquema de Autenticação OWA

Parâmetros	Tipo	Obrigatório?	Descrição
UniqueTokenIdentifier	Edm.String	Não	Um identificador exclusivo para o recurso.
ResourceURL	Edm.String	Não	O URL do recurso.

Esquema Base do Azure Active Directory

Parâmetros	Tipo	Obrigatório?	Descrição
AzureActiveDirectoryEventType	Self.AzureActiveDirectoryEventType	Sim	O tipo de evento Microsoft Entra.
ExtendedProperties	Collection(Common.NameValuePair)	Não	As propriedades expandidas do evento Microsoft Entra.
ModifiedProperties	Collection(Common.ModifiedProperty)	Não	Esta propriedade está incluída para eventos de administrador. A propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.

Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32

AzureActiveDirectoryEventType

Nome do membro	Descrição
AccountLogon	O evento de logon da conta.
AzureApplicationAuditEvent	O evento de segurança do aplicativo do Azure.

Esquema de Logon da Conta do Azure Active Directory

Parâmetros	Tipo	Obrigatório?	Descrição
Application	Edm.String	Não	O aplicativo que dispara o evento de login da conta, como o Office 15.
Client	Edm.String	Não	Detalhes sobre o dispositivo cliente, o SO do dispositivo e o navegador do dispositivo que foi usado para o evento de logon da conta.
LoginStatus	Edm.Int32	Sim	Esta propriedade é diretamente do OrgIdLogon.LoginStatus. O mapeamento de várias falhas interessantes de logon pode ser feito por meio do alerta de algoritmos.
UserDomain	Edm.String	Sim	Informações de Identidade do Locatário (TII, Tenant Identity Information).

Enumeração: CredentialType - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
-1	Other	Outra autenticação.
0	Password	A credencial do usuário é o nome de usuário e a senha.
1	MobilePhone	A credencial do usuários é o telefone celular.
2	SecretQuestion	A credencial do usuário é a pergunta secreta.
3	SecurePin	A credencial do usuário é um PIN seguro.
4	SecurePinReset	A credencial do usuário é a redefinição do PIN seguro.
11	EasyID	A credencial do usuário é EasyID.
14	PasswordIndexCredentialType	A credencial do usuário é PasswordIndexCredentialType.
16	Device	A credencial do usuário é um dispositivo.
17	ForeignRealmIndex	A credencial do usuário é ForeignRealmIndex.

Enumeração: LoginType - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
-1	Other	Outro tipo de i.
1	InitialAuth	Login com autenticação inicial.
2	CookieCopy	Login com cookies.
3	SilentReAuth	Logon com reautenticação silenciosa.

Enumeração: AuthenticationMethod - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
0	Min	O método de autenticação é um Min.
1	Password	O método de autenticação é uma senha.
2	Digest	O método de autenticação é um resumo.
3	ProxyAuth	O método de autenticação é um ProxyAuth.
4	InfoCard	O método de autenticação é um InfoCard.
5	DAToken	O método de autenticação é um DAToken.
6	Sha1RememberMyPassword	O método de autenticação é um Sha1RememberMyPassword.
7	LMPasswordHash	O método de autenticação é um LMPasswordHash.
8	ADFSFederatedToken	O método de autenticação é um ADFSFederatedToken.
9	EID	O método de autenticação é um EID.
10	DeviceID	O método de autenticação é um DeviceID.
11	MD5	O método de autenticação é MD5.
12	EncProxyPasswordHash	O método de autenticação é um EncProxyPasswordHash.
13	LWAFederation	O método de autenticação é um LWAFederation.
14	Sha1HashedPassword	O método de autenticação é um Sha1HashedPassword.
15	SecurePin	O método de autenticação é um Pin seguro.
16	SecurePinReset	O método de autenticação é uma redefinição de um Pin seguro.
17	SAML20PostSimpleSign	O método de autenticação é um SAML20PostSimpleSign.
18	SAML20Post	O método de autenticação é um SAML20Post.
19	OneTimeCode	O método de autenticação é um código único.

Esquema do Azure Active Directory

Parâmetros	Tipo	Obrigatório?	Descrição
Actor	Collection(Self.IdentityTypeValuePair)	Não	O usuário ou a entidade de serviço que executou a ação.
ActorContextId	Edm.String	Não	O GUID da organização à qual o ator pertence.
ActorIpAddress	Edm.String	Não	O endereço IP do ator no formato de endereço IPV4 ou IPV6.
InterSystemsId	Edm.String	Não	O GUID que controla as ações entre componentes dentro do serviço do Office 365.
IntraSystemsId	Edm.String	Não	O GUID gerado pelo Azure Active Directory para acompanhar a ação.
SupportTicketId	Edm.String	Não	O ID do ticket de suporte ao cliente para a ação em situações de "agir em nome de".
Target	Collection(Self.IdentityTypeValuePair)	Não	O usuário em que a ação (identificada pela propriedade Operation) foi executada.
TargetContextId	Edm.String	Não	O GUID da organização à qual o usuário de destino pertence.

Tipo complexo IdentityTypeValuePair

Parâmetros	Tipo	Obrigatório?	Descrição
ID	Edm.String	Sim	O valor da identidade de acordo com o tipo.
Type	Self.IdentityType	Sim	O tipo da identidade.

Enumeração: IdentityType - Tipo: Edm.Int32

IdentityType

Nome do membro	Descrição
Claim	A identidade é uma declaração para fins de autorização.
Name	O ator de ação de auditoria ou o nome de exibição da identidade de destino.
Other	A identidade do ator é outro tipo, como o ObjectId no GUID gerado pelo serviço do Office 365.
PUID	O ator da ação de auditoria ou a ID exclusiva do passaporte de destino (PUID).
SPN	A identidade de uma entidade de segurança de serviço, se a ação for executada pelo serviço do Office 365.
UPN	O nome da entidade de segurança do usuário.

Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure

Parâmetros	Tipo	Obrigatório?	Descrição
ApplicationId	Edm.String	Não	O GUID que representa o aplicativo que está solicitando o logon. O nome de exibição pode ser pesquisado por meio da API de gráfico do Azure Active Directory.
Client	Edm.String	Não	Informações do dispositivo cliente, fornecidas pelo navegador que executa o logon.
DeviceProperties	Collection(Common.NameValuePair)	Não	Esta propriedade inclui vários detalhes do dispositivo, incluindo Id, Nome do Display, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId e DeviceTrustType. A propriedade DeviceTrustType pode ter os seguintes valores: 0 - Microsoft Entra registado 1 - Microsoft Entra aderido 2 - Associação a Microsoft Entra híbrida
ErrorCode	Edm.String	Não	Para logons com falha (em que o valor da propriedade Operation é UserLoginFailed), essa propriedade contém o código de erro STS do Azure Active Directory (AADSTS). Para obter descrições desses códigos de erro, confira Códigos de erro de autenticação e autorização. Um valor de `0` indica um logon bem-sucedido.
LogonError	Edm.String	Não	Para logons com falha, esta propriedade contém uma descrição legível pelo usuário do motivo do logon com falha.

Esquema DLP

Os eventos DLP estão disponíveis para Exchange Online, Ponto Final (dispositivos) e SharePoint Online e OneDrive para Empresas. Observe que os eventos de DLP no Exchange só estão disponíveis para eventos com base na política DLP unificada (por exemplo, configurados por meio do Centro de Conformidade e Segurança). Não há suporte para eventos de DLP com base em Regras de Transporte do Exchange.

Os eventos de DLP (Prevenção contra Perda de Dados) sempre terão UserKey = "DlpAgent" no esquema Comum. Existem três tipos DlpEvents que estão armazenados como o valor da propriedade Operation do esquema comum:

DlpRuleMatch – indica que uma regra foi correspondida. Estes eventos existem em todos os OneDrive for Business e Exchange, Endpoint(dispositivos) e SharePoint Online. Para o Exchange, inclui informações de falsos positivos e de substituição. Para o SharePoint Online e o OneDrive for Business, falsos positivos e as substituições geram eventos separados.
DlpRuleUndo – existem apenas no SharePoint Online e no OneDrive for Business e indicam que uma ação de política aplicada anteriormente foi "desfeita" – seja por causa de designação de falso positivo/substituição pelo usuário, ou porque o documento não está mais sujeito à política (seja devido a mudança de política ou alteração de conteúdo no documento).
DlpInfo – existem apenas no SharePoint Online e no OneDrive for Business e indicam uma designação de falso positivo, mas nenhuma ação foi "desfeita".

Parâmetros	Tipo	Obrigatório	Descrição
SharePointMetaData	Self.SharePointMetadata	Não	Descreve os metadados sobre o documento no SharePoint ou o OneDrive for Business que continham as informações confidenciais.
ExchangeMetaData	Self.ExchangeMetadata	Não	Descreve os metadados sobre a mensagem de email que continha as informações confidenciais.
EndpointMetaData	Eu próprio. EndpointMetadata	Não	Descreve metadados sobre o documento no ponto final que continha as informações confidenciais
ExceptionInfo	Edm.String	Não	Identifica os motivos pelos quais uma política não se aplica mais e/ou qualquer informação sobre falso positivos e/ou substituição observada pelo usuário final.
PolicyDetails	Collection(Self.PolicyDetails)	Sim	Informações sobre uma ou mais políticas que dispararam o evento de DLP.
SensitiveInfoDetectionIsIncluded	Boolean	Sim	Indica se o evento contém o valor do tipo de dados confidenciais e o contexto adjacente do conteúdo de origem. O acesso a dados confidenciais exige a permissão "Ler eventos de política DLP, incluindo detalhes confidenciais" no Azure Active Directory.

Tipo complexo SharePointMetadata

Parâmetros	Tipo	Obrigatório?	Descrição
From	Edm.String	Sim	O usuário que disparou o evento. Será FileOwner, LastModifier ou LastSharer.
itemCreationTime	Edm.Date	Sim	Datetimestamp em UTC de quando o evento foi registrado.
SiteCollectionGuid	Edm.Guid	Sim	O GUID do conjunto de sites.
SiteCollectionUrl	Edm.String	Sim	Nome do site do SharePoint.
FileName	Edm.String	Sim	Nome do caminho.
FileOwner	Edm.String	Sim	O proprietário do documento.
FilePathUrl	Edm.String	Sim	A URL do documento.
DocumentLastModifier	Edm.String	Sim	O usuário que modificou o documento pela última vez.
DocumentSharer	Edm.String	Sim	O usuário que modificou pela última vez o compartilhamento do documento.
UniqueId	Edm.String	Sim	Uma GUID que identifica o arquivo.
LastModifiedTime	Edm.DateTime	Sim	Carimbo de data/hora em UTC de quando o documento foi modificado pela última vez.
IsViewableByExternalUsers	Edm.Boolean	Sim	Determina se o arquivo é acessível para qualquer usuário externo.

Tipo complexo ExchangeMetadata

Parâmetros	Tipo	Obrigatório?	Descrição
MessageID	Edm.String	Sim	A ID da mensagem do email que disparou o evento.
From	Edm.String	Sim	O usuário que enviou o email.
To	Collection(Edm.String)	Não	Uma coleção de endereços de email que estavam na linha Para da mensagem.
CC	Collection(Edm.String)	Não	Uma coleção de endereços de email que estavam na linha CC da mensagem.
BCC	Collection(Edm.String)	Não	Uma coleção de endereços de email que estavam na linha BCC da mensagem.
Subject	Edm.String	Sim	Assunto da mensagem de email.
Sent	Edm.DateTime	Sim	O horário em UTC de quando o email foi enviado.
RecipientCount	Edm.Int32	Sim	O número total de todos os destinatários nas linhas TO, CC e BCC da mensagem.

Tipo complexo EndpointMetadata

Parâmetros	Tipo	Obrigatório?	Descrição
SensitiveInformation	Collection(Self.SensitiveInformation)	Não	As informações sobre o tipo de informações confidenciais detectadas.
EnforcementMode	Edm.String	Sim	Indique se a Regra DLP está definida como 03/01/2/4/5 que ilustra auditoria/aviso(bloco com substituição)/avisar e ignorar/bloquear/permitir(auditoria sem alertas), respetivamente.
FileExtension	Edm.String	Não	A extensão de ficheiro do documento que continha as informações confidenciais.
FileType	Edm.String	Não	O tipo de ficheiro do documento que satisfaciou as informações confidenciais.
DeviceName	Edm.String	Não	O nome do dispositivo no qual a correspondência da regra DLP foi detetada.

Tipo complexo PolicyDetails

Parâmetros	Tipo	Obrigatório?	Descrição
PolicyId	Edm.Guid	Sim	O GUID da política DLP para este evento.
PolicyName	Edm.String	Sim	O nome amigável da política DLP para este evento.
Rules	Collection(Self.Rules)	Sim	As informações sobre as regras da política que foram atendidas para este evento.

Tipo complexo Rules

Parâmetros	Tipo	Obrigatório?	Descrição
RuleId	Edm.Guid	Sim	O GUID da regra DLP para este evento.
RuleName	Edm.String	Sim	O nome amigável da regra DLP para este evento.
Actions	Collection(Edm.String)	Não	Uma lista de ações tomadas como resultado de um evento DLP RuleMatch.
OverriddenActions	Collection(Edm.String)	Não	Uma lista de ações realizadas anteriormente que foram desfeitas como resultado de um evento DLPRuleUndo.
Severity	Edm.String	Não	A gravidade (Baixa, Média e Alta) da conformidade com a regra.
RuleMode	Edm.String	Sim	Indique se a regra DLP foi definida como Enforce, Audit with Notify ou somente Audit.
ConditionsMatched	Self.ConditionsMatched	Não	Os detalhes sobre quais condições da regra foram atendidas para este evento.

Tipo complexo ConditionsMatched

Parâmetros	Tipo	Obrigatório?	Descrição
SensitiveInformation	Collection(Self.SensitiveInformation)	Não	As informações sobre o tipo de informações confidenciais detectadas.
DocumentProperties	Collection(NameValuePair)	Não	As informações sobre as propriedades do documento que dispararam uma correspondência de regra.
OtherConditions	Collection(NameValuePair)	Não	Uma lista de pares de valores chave que descrevem quaisquer outras condições que foram correspondidas.

Tipo complexo SensitiveInformation

Parâmetros	Tipo	Obrigatório?	Descrição
Confidence	Edm.Int	Sim	A confiança agregada de todos os padrões corresponde ao Tipo de Informação Confidencial.
Count	Edm.Int	Sim	O número total de instâncias confidenciais detectadas.
Local	Edm.String	Não
SensitiveType	Edm.Guid	Sim	Um guid que identifica o tipo de dados confidenciais detectados.
SensitiveInformationDetections	Self.SensitiveInformationDetections	Não	Uma matriz de objetos que contêm dados de informações confidenciais com os seguintes detalhes – valor correspondente e contexto do valor correspondente.
SensitiveInformationDetailedClassificationAttributes	Coleção(SensitiveInformationDetailedConfidenceLevelResult)	Sim	Informações sobre a contagem do tipo de informação confidencial detectada para cada um dos três níveis de confiança (Alto, Médio e Baixo) e se ela corresponde à regra DLP ou não
SensitiveInformationTypeName	Edm.String	Não	O nome do tipo de informação confidencial.
UniqueCount	Edm.Int32	Sim	A contagem exclusiva de instâncias confidenciais detectadas.

Tipo complexo SensitiveInformationDetailedClassificationAttributes

Parâmetros	Tipo	Obrigatório?	Descrição
Confidence	Edm.int32	Sim	O nível de confiança do padrão que foi detectado.
Contar	Edm.Int32	Sim	O número de instâncias confidenciais detectadas para um nível de particular de confiança.
IsMatch	Edm.Boolean	Sim	Indica se a contagem fornecida e o nível de confiança do tipo confidencial detectado resulta em uma correspondência de regra de DLP.

Tipo complexo SensitiveInformationDetections

Os dados confidenciais de DLP só estão disponíveis na API do feed de atividades para usuários que receberam permissões para "Ler dados confidenciais de DLP".

Parâmetros	Tipo	Obrigatório?	Descrição
ValoresDetectados	Coleção(Common.NameValuePair)	Sim	Uma matriz de informações confidenciais que foram detectadas. As informações contêm pares chave-valor com Valor = valor correspondente (por exemplo, Valor de card de crédito) e Context = um excerto do conteúdo de origem que contém o valor correspondente.
ResultsTruncated	Edm.Boolean	Sim	Indica se os logs foram truncados devido ao grande número de resultados.

Tipo complexo ExceptionInfo

Parâmetros	Tipo	Obrigatório?	Descrição
Reason	Edm.String	Não	Para um evento DLPRuleUndo, isso indica por que a regra não se aplica mais, o que pode ocorrer devido a um dos três motivos: substituição, alteração de documento ou alteração de política
FalsePositive	Edm.Boolean	Não	Indica se o usuário designou esse evento como falso positivo.
Justification	Edm.String	Não	Se o usuário tiver optado por substituir a política, qualquer justificativa especificada pelo usuário será capturada aqui.
Rules	Collection(Edm.Guid)	Não	Uma coleção de guids para cada regra designada como falso positivo ou substituta, ou para a qual uma ação foi desfeita.

Esquema do Centro de Conformidade e Segurança

Parâmetros	Tipo	Obrigatório	Descrição
StartTime	Edm.Date	Não	A data e hora em que o cmdlet foi executado.
ClientRequestId	Edm.String	Não	Um GUID que pode ser usado para correlacionar esse cmdlet com as operações de UX do Centro de Conformidade e Segurança. Essas informações são usadas apenas pelo suporte da Microsoft.
CmdletVersion	Edm.String	Não	A versão de build do cmdlet quando foi executado.
EffectiveOrganization	Edm.String	Não	O GUID da organização afetada pelo cmdlet. (Descontinuado: este parâmetro será retirado no futuro.)
UserServicePlan	Edm.String	Não	O plano de serviço Proteção do Exchange Online atribuído ao usuário que executou o cmdlet.
ClientApplication	Edm.String	Não	Se o cmdlet tiver sido executado por um aplicativo, ao contrário do PowerShell remoto, esse campo conterá o nome desse aplicativo.
Parâmetros	Edm.String	Não	O nome e o valor dos parâmetros que foram usados com o cmdlet que não incluem Informações de Identificação Pessoal.
NonPiiParameters	Edm.String	Não	O nome e o valor dos parâmetros que foram usados com o cmdlet que incluem Informações de Identificação Pessoal. (Preterido: esse campo será retirado no futuro e seu conteúdo mesclado com o campo de parâmetros.)

Esquema de Alertas de Conformidade e Segurança

Os sinais de alerta incluem:

Todos os alertas gerados baseados nas Políticas de alerta no Centro de Conformidade e Segurança.
Alertas relacionados ao Office 365 gerados no Office 365 Cloud App Security e no Microsoft Cloud App Security.

O UserId e o UserKey desses eventos são sempre SecurityComplianceAlerts. Existem três tipos de alertas de eventos que estão armazenados como o valor da propriedade Operation do esquema comum:

AlertTriggered – um novo alerta é gerado devido a uma correspondência com a política.
AlertEntityGenerated – uma nova entidade é adicionada a um alerta. Este evento somente é aplicável aos alertas gerados com base nas Políticas de Alerta no Centro de Conformidade e Segurança. Cada alerta gerado pode ser associado a um ou vários desses eventos. Por exemplo, uma política de alerta é definida para disparar um alerta se um usuário exclui mais de 100 arquivos em cinco minutos. Se dois usuários ultrapassarem o limite ao mesmo tempo, haverá dois eventos AlertEntityGenerated, mas apenas um evento AlertTriggered.
AlertUpdated - uma atualização foi feita aos metadados de um alerta. Esse evento é registrado quando o status de um alerta é alterado (por exemplo, de "ativo" para "resolvido") e quando alguém adiciona um comentário ao alerta.

Parâmetros	Tipo	Obrigatório	Descrição
AlertId	Edm.Guid	Sim	O GUID do alerta.
AlertType	Self.String	Sim	Tipo do alerta. Os tipos de alertas incluem: Sistema Personalizado
Name	Edm.String	Sim	Nome do alerta.
PolicyId	Edm.Guid	Não	O GUID da política que disparou o alerta.
Status	Edm.String	Não	Status do alerta. Os status incluem: Ativo Investigando Resolvido Descartado
Severity	Edm.String	Não	Gravidade do alerta. Os níveis de gravidade incluem: Baixo Médio Alto
Categoria	Edm.String	Não	Categoria do alerta. As categorias incluem: AccessGovernance DataGovernance DataLossPrevention InsiderRiskManagement MailFlow ThreatManagement Outros
Source	Edm.String	Não	Fonte do alerta. As fontes incluem: Conformidade e Segurança do Office 365 Segurança no Aplicativo na Nuvem
Comments	Edm.String	Não	Comentários realizados pelos usuários que visualizaram o alerta. Por padrão, é "Novo alerta".
Data	Edm.String	Não	O BLOB de dados de detalhes do alerta ou da entidade de alerta.
AlertEntityId	Edm.String	Não	O identificador da entidade de alerta. Esse parâmetro só é aplicável em eventos AlertEntityGenerated.
EntityType	Edm.String	Não	Tipo de entidade ou entidade de alerta. Os tipos de entidades incluem: User Recipients Sender MalwareFamily Esse parâmetro só é aplicável em eventos AlertEntityGenerated.

Esquema do Yammer

Os eventos do Yammer listados em Pesquisar no log de auditoria no Centro de Conformidade e Segurança usarão esse esquema.

Parâmetros	Tipo	Obrigatório	Descrição
ActorUserId	Edm.String	Não	Email do usuário que executou a operação.
ActorYammerUserId	Edm.Int64	Não	ID do usuário que executou a operação.
DataExportType	Edm.String	Não	Retorna "dados" se a exportação de dados incluir mensagens, notas, arquivos, tópicos, usuários e grupos; retorna "usuário" se a exportação de dados incluir apenas usuários.
FileId	Edm.Int64	Não	ID do arquivo na operação.
FileName	Edm.String	Não	Nome do arquivo na operação. Será exibido em branco se não for relevante para a operação.
GroupName	Edm.String	Não	Nome do grupo na operação. Será exibido em branco se não for relevante para a operação.
IsSoftDelete	Edm.Boolean	Não	Retorna "true" se a política de retenção de dados da rede estiver definida como exclusão reversível; retorna "false" se a política de retenção de dados da rede estiver definida como Exclusão Irreversível.
MessageId	Edm.Int64	Não	ID da mensagem na operação.
YammerNetworkId	Edm.Int64	Não	ID da rede do usuário que executou a operação.
TargetUserId	Edm.String	Não	Email do usuário de destino na operação. Será exibido em branco se não for relevante para a operação.
TargetYammerUserId	Edm.Int64	Não	ID do usuário de destino na operação.
VersionId	Edm.Int64	Não	ID da versão do arquivo na operação.

Esquema Base de Segurança do Data Center

Parâmetros	Tipo	Obrigatório?	Descrição
DataCenterSecurityEventType	Self.DataCenterSecurityEventType	Sim	O tipo de evento cmdlet na caixa de bloqueio.

Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32

DataCenterSecurityEventType

Nome do membro	Descrição
DataCenterSecurityCmdletAuditEvent	Esse é o valor de enumeração para o evento de tipo de auditoria de cmdlet.

Esquema Cmdlet de Segurança do Data Center

Parâmetros	Tipo	Obrigatório?	Descrição
StartTime	Edm.Date	Sim	O horário de início da execução do cmdlet.
EffectiveOrganization	Edm.String	Sim	O nome do locatário para o qual a elevação/cmdlet foi direcionado.
ElevationTime	Edm.Date	Sim	O horário de início da elevação.
ElevationApprover	Edm.String	Sim	O nome de um gerente da Microsoft.
ElevationApprovedTime	Edm.Date	Não	O carimbo de data/hora para quando a elevação foi aprovada.
ElevationRequestId	Edm.Guid	Sim	Um identificador exclusivo para a solicitação de elevação.
ElevationRole	Edm.String	Não	A função da elevação.
ElevationDuration	Edm.Int32	Sim	A duração para a qual a elevação estava ativa.
GenericInfo	Edm.String	Não	Usada para comentários e outras informações genéricas.

Esquema do Microsoft Teams

Parâmetros	Tipo	Obrigatório?	Descrição
Action	Edm.String	Não	Para eventos de canal compartilhado, a ação realizada pelo convidado ou pelo proprietário do canal para um compartilhamento com convite de equipe.
AddOnGuid	Edm.Guid	Não	O identificador exclusivo do complemento que gerou esse evento.
AddOnName	Edm.String	Não	O nome do complemento que gerou esse evento.
AddOnType	Self.AddOnType	Não	O tipo de complemento que gerou esse evento.
ChannelGuid	Edm.Guid	Não	Um identificador exclusivo para o canal que está sendo auditado.
ChannelName	Edm.String	Não	O nome do canal que está sendo auditado.
ChannelType	Edm.String	Não	O tipo de canal que está sendo auditado (padrão/particular).
ExtraProperties	Coleção (Self. KeyValuePair)	Não	Uma lista de propriedades adicionais.
HostedContents	Coleção (Self.HostedContent)	Não	Uma coleção de conteúdo hospedado por mensagem de chat ou canal.
Convidado	Edm.String	Não	Para eventos de canal compartilhado, o UPN do proprietário da equipe convidada que aceita ou recusa o convite para um compartilhamento com convite de equipe.
Members	Collection(Self.MicrosoftTeamsMember)	Não	Uma lista de usuários dentro de uma equipe.
MessageId	Edm.String	Não	Um identificador para uma mensagem de bate-papo ou canal.
MessageURLs	Edm.String	Não	Presente para qualquer URL enviado nas mensagens do Teams.
Mensagens	Coleção (Self.Message)	Não	Uma coleção de mensagens de chat ou canal.
MessageSizeInBytes	Edm.Int64	Não	O tamanho de uma mensagem de chat ou canal em bytes com codificação UTF-16.
Nome	Edm.String	Não	Só apresenta para eventos de configurações. Nome da configuração que foi alterada.
NewValue	Edm.String	Não	Só apresenta para eventos de configurações. Novo valor da configuração.
OldValue	Edm.String	Não	Só apresenta para eventos de configurações. Valor antigo da configuração.
SubscriptionId	Edm.String	Não	Um identificador exclusivo de uma assinatura de notificação de alteração do Microsoft Graph.
TabType	Edm.String	Não	Só apresenta para eventos de tabulação. O tipo de guia que gerou esse evento.
TeamGuid	Edm.Guid	Não	Um identificador exclusivo para a equipe que está sendo auditada.
TeamName	Edm.String	Não	O nome da equipe que está sendo auditada.

Tipo complexo MicrosoftTeamsMember

Parâmetros	Tipo	Obrigatório?	Descrição
UPN	Edm.String	Não	O nome da entidade de segurança do usuário.
Role	Self.MemberRoleType	Não	A função de usuário dentro da equipe.
DisplayName	Edm.String	Não	O nome de exibição do usuário.

Enumeração: MemberRoleType - Tipo: Edm.Int32

MemberRoleType

Valor	Nome do membro	Descrição
0	Member	Um usuário que é um membro da equipe.
1	Owner	Um usuário que é o proprietário da equipe.
2	Guest	Um usuário que não é um membro da equipe.

KeyValuePair tipo complexo

Parâmetros	Tipo	Obrigatório?	Descrição
Chave	Edm.String	Não	A chave do par de valor-chave.
Valor	Edm.String	Não	O valor do par de valor-chave.

Enumeração: AddOnType - Tipo: Edm.Int32

AddOnType

Valor	Nome do membro	Descrição
1	Bot	Um bot do Microsoft Teams.
2	Connector	Um conector do Microsoft Teams.
3	Tab	Uma guia do Microsoft Teams.

Tipo complexo HostedContent

Parâmetros	Tipo	Obrigatório?	Descrição
Id	Edm.String	Sim	Um identificador exclusivo do conteúdo hospedado da mensagem.
Sizeinbytes	Edm.Int64	Não	O tamanho do conteúdo hospedado da mensagem em bytes.

Tipo complexo de mensagem

Parâmetros	Tipo	Obrigatório?	Descrição
AADGroupId	Edm.String	Não	Um identificador exclusivo do grupo no Azure Active Directory ao qual a mensagem pertence.
Id	Edm.String	Sim	Um identificador exclusivo da mensagem de chat ou canal.
ChannelGuid	Edm.String	Não	Um identificador exclusivo do canal a que pertence a mensagem.
ChannelName	Edm.String	Não	O nome do canal ao qual a mensagem pertence.
ChannelType	Edm.String	Não	O tipo do canal ao qual a mensagem pertence.
Nome do Chat	Edm.String	Não	O nome do chat ao qual a mensagem pertence.
ChatThreadId	Edm.String	Não	Um identificador exclusivo do chat ao qual a mensagem pertence.
ParentMessageId	Edm.String	Não	Um identificador exclusivo da mensagem do canal ou chat pai.
Sizeinbytes	Edm.Int64	Não	O tamanho da mensagem em bytes com codificação UTF-16.
TeamGuid	Edm.String	Não	Um identificador exclusivo da equipe à qual a mensagem pertence.
TeamName	Edm.String	Não	O nome da equipe à qual a mensagem pertence.
Versão	Edm.String	Não	A versão do chat ou mensagem do canal.

Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças

Microsoft Defender para Office 365 e eventos de Investigação e Resposta a Ameaças estão disponíveis para clientes do Office 365 que tenham um Plano 1 do Defender para Office 365, Plano 2 do Defender para Office 365 ou uma assinatura E5. Cada evento no feed do Defender para Office 365 corresponde aos seguintes eventos que foram determinados como contendo uma ameaça:

Detecção em mensagens de email enviadas ou recebidas por um usuário na organização no momento da entrega e na Limpeza automática zero hora.
URLs clicados por um usuário na organização que foram detectados como maliciosos no momento do clique com base na proteção Links Seguros no Defender para Office 365.
Um arquivo no SharePoint Online, OneDrive for Business ou Microsoft Teams que foi detectado como malicioso pela proteção do Microsoft Defender para Office 365.
Um alerta que é acionado e inicia uma investigação automática.

Observação

As capacidades do Microsoft Defender para Office 365 e da Investigação e Resposta a Ameaças do Office 365(anteriormente conhecidos como Inteligência contra Ameaças do Office 365) agora fazem parte do Plano 2 do Defender para Office 365, com recursos adicionais de proteção contra ameaças. Para saber mais, consulte Planos e preços do Microsoft Defender para Office 365 e a Descrição do serviço Defender para Office 365.

Eventos de mensagens de email

Parâmetros	Tipo	Obrigatório?	Descrição
AttachmentData	Collection(Self.AttachmentData)	Não	Os dados sobre anexos na mensagem de email que acionaram o evento.
Tipo de detecção	Edm.String	Sim	O tipo de detecção (por exemplo, Embutido – detectada na hora da entrega; Atrasado – detectada após a entrega; ZAP – mensagens removidas pela Limpeza Automática Zero Hora). Os eventos com o tipo de detecção ZAP normalmente são precedidos por uma mensagem com um tipo de detecção Atrasado.
DetectionMethod	Edm.String	Sim	O método ou tecnologia usada pelo Defender for Office 365 para a detecção.
InternetMessageId	Edm.String	Sim	A ID da mensagem da Internet.
NetworkMessageId	Edm.String	Sim	A ID da mensagem de rede do Exchange Online.
P1Sender	Edm.String	Sim	O caminho de retorno do remetente da mensagem de email.
P2Sender	Edm.String	Sim	O remetente da mensagem de email.
Política	Self.Policy	Sim	O tipo de política de filtragem (por exemplo, Anti-spam ou Anti-phishing) e o tipo de ação relacionada (por exemplo, Spam de Alta Confiança, Spam ou Phishing) relevante para a mensagem de email.
Política	Self.PolicyAction	Sim	A ação configurada na política de filtragem (por exemplo, Mover para a pasta Lixo Eletrônico ou Quarentena) relevante para a mensagem de email.
P2Sender	Edm.String	Sim	O Remetente: da mensagem de email.
Destinatários	Collection(Edm.String)	Sim	Uma matriz de destinatários da mensagem de email.
SenderIp	Edm.String	Sim	O endereço IP que enviou o email do Office 365. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Subject	Edm.String	Sim	A linha de assunto da mensagem.
Verdict	Edm.String	Sim	A conclusão da mensagem.
MessageTime	Edm.Date	Sim	Data e hora em UTC (Tempo Universal Coordenado), na qual a mensagem de email foi recebida ou enviada.
EventDeepLink	Edm.String	Sim	Link profundo para o evento de email no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança do Office 365.
Ação de Entrega	Edm.String	Sim	A ação de entrega original na mensagem.
Local de Entrega original	Edm.String	Sim	O local de entrega original da mensagem.
Local de Entrega mais recente	Edm.String	Sim	O local de entrega mais recente da mensagem no momento do evento.
Directionality	Edm.String	Sim	Identifica se uma mensagem foi de entrada, de saída ou de dentro da organização.
ThreatsAndDetectionTech	Edm.String	Sim	As ameaças e as tecnologias de detecção correspondentes. Este campo expõe todas as ameaças em uma mensagem, incluindo a adição mais recente no veredicto de spam. Por exemplo, ["Phishing: [falsificar DMARC]", "Spam: [URL de reputação maliciosa]"]. As diferentes ameaças de detecção e tecnologias de detecção são descritas a seguir.
AdditionalActionsAndResults	Collection(Edm.String)	Não	As ações adicionais realizadas no email, como ZAP ou Correção Manual. Também inclui os resultados correspondentes.
Conectores	Edm.String	Não	Os nomes e GUIDs dos conectores associados ao email.
AuthDetails	Collection(Self.AuthDetails)	Não	As verificações de autenticação feitas para o email. Também inclui os valores de SPF, DKIM, DMARC e CompAuth.
SystemOverrides	Collection(Self.SystemOverrides)	Não	Substituições que são aplicáveis ao email. Estas podem ser anulações do sistema ou do usuário.
Nível de Confiança de Phishing	Edm.String	Não	Indica o nível de confiança associado ao veredicto de Phishing. Pode ser Normal ou Alto.

Observação

Recomendamos o uso do novo campo ThreatsAndDetectionTech porque ele mostra vários veredictos e as tecnologias de detecção atualizadas. Esse campo também se alinha com os valores observados em outras experiências, como no Explorador de ameaças e na busca avançada de ameaças.

Tecnologias de detecção

Nome	Descrição
Filtro avançado	Sinais de phishing com base no aprendizado de máquina.
Mecanismo antimalware	Detecção de mecanismos antimalware.
Campanha	Mensagens identificadas como parte de uma campanha.
Reputação do domínio	Análise baseada na reputação do domínio.
Detonação de arquivo	Anexos de arquivo considerados perigosos durante a análise de detonação.
Reputação da detonação de arquivo	Anexo de arquivo marcado como perigoso devido à reputação da detonação anterior.
Reputação de arquivos	Anexos de arquivo marcados como perigosos devido à má reputação.
Correspondência de impressão digital	A mensagem foi marcada como perigosa devido a mensagens anteriores.
Filtro geral	Sinais de phishing baseados em regras.
Marca de usurpação de identidade	O tipo de arquivo do anexo.
Domínio de usurpação de identidade	Usurpação de identidade de domínios que o cliente possui ou define.
Usuário de usurpação de identidade	Usurpação de identidade de usuários definida pelo administrador ou aprendida por meio da inteligência de caixa de correio.
Usurpação de identidade da inteligência de caixa de correio	Usurpação de identidade baseada na inteligência de caixa de correio.
Detecção de análise mista	Vários filtros contribuíram para o veredicto desta mensagem.
DMARC falso	Falha de autenticação DMARC para mensagens.
Domínio externo falso	O remetente está tentando falsificar algum outro domínio.
Falsificação dentro da organização	O remetente está tentando falsificar o domínio do destinatário.
Detonação de URL	A mensagem foi considerada perigosa devido a uma detonação de URL maliciosa anterior.
Reputação da detonação de URL	A mensagem foi considerada perigosa devido à detonação de URL mal-intencionada.
Reputação mal-intencionada de URL	A mensagem foi considerada perigosa devido a uma URL mal-intencionada.

Tipo complexo AttachmentData

AttachmentData

Parâmetros	Tipo	Obrigatório?	Descrição
FileName	Edm.String	Sim	O nome do arquivo do anexo.
FileType	Edm.String	Sim	O tipo de arquivo do anexo.
FileVerdict	Self.FileVerdict	Sim	O veredicto de malware do arquivo.
MalwareFamily	Edm.String	Não	A família de malware do arquivo.
SHA256	Edm.String	Sim	O hash SHA256 do arquivo.

Observação

Na família Malware, poderá ver o nome exato MalwareFamily (por exemplo, HTML/Phish.VS! MSR) ou Payload Malicioso como uma cadeia estática. Uma carga maliciosa ainda deve ser tratada como email malicioso quando um nome específico não é identificado.

Tipo complexo SystemOverrides

SystemOverrides

Parâmetros	Tipo	Obrigatório?	Descrição
Detalhes	Edm.String	Não	Os detalhes sobre a substituição específica (como ETR ou Remetente seguro) que foi aplicada.
FinalOverride	Edm.String	Não	Indica a substituição que afetou a entrega no caso de várias substituições.
Resultado	Edm.String	Não	Indica se o email foi definido como permitido ou bloqueado com base na substituição.
Source	Edm.String	Não	Indica se a substituição foi configurada pelo usuário ou pelo locatário.

Tipo complexo AuthDetails

AuthDetails

Parâmetros	Tipo	Obrigatório?	Descrição
Nome	Edm.String	Não	O nome da verificação de autenticação específica, como DKIM ou DMARC.
Valor	Edm.String	Não	O valor associado à verificação de autenticação específica, como Verdadeiro ou Falso.

Enumeração: FileVerdict - Tipo: Edm.Int32

FileVerdict

Valor	Nome do membro	Descrição
0	Good	Nenhuma ameaça detectada.
1	Bad	Malware encontrado no anexo.
-1	Error	Erro de varredura/análise.
-2	Timeout	Tempo limite de varredura/análise.
-3	Pending	Varredura/análise não concluída.

Enumeração: Policy - Tipo: Edm.Int32

Tipo de política e tipo de ação

Valor	Nome do membro	Descrição
1	Anti-spam, HSPM	Ação de HSPM (Spam de Alta Confiança) na política anti-spam.
2	Anti-spam, SPM	Ação de Spam (SPM) na política anti-spam.
3	Anti-spam, em massa	Ação em massa na política anti-spam.
4	Anti-spam, PHSH	Ação de PHSH (phishing) na política anti-spam.
5	Anti-phishing, DIMP	Ação de Representação de Domínio (DIMP) na política anti-phishing.
6	Anti-phishing, UIMP	Ação de Representação de Usuários (UIMP) na política anti-phishing.
7	Anti-phishing, SPOOF	Ação falsa na política anti-phishing.
8	Anti-phishing, GIMP	Ação de inteligência da caixa de correio na política Antiphishing.
9	Antimalware, AMP	Ação de política de malware na política antimalware.
10	Anexo seguro, SAP	Ação da política nos anexos Seguros na política do Defender para Office 365.
11	Regra de transporte do Exchange, ETR	Ação de diretiva na Regra de Transporte do Exchange.
12	Antimalware, ZAPM	Ação de política de malware na política antimalware aplicada ao ZAP (zero-hour purge).
13	Anti-phishing, ZAPP	Ação de política de phishing na política anti-phishing aplicada ao ZAP.
14	Anti-phishing, ZAPS	Ação de política de spam na política antispam aplicada ao ZAP.
15	Antispam, email de phishing de alta confiança (HPHISH)	Ação de política de phishing de alta confiabilidade na política antispam.
17	Antispam, política de spam de saída (OSPM)	Ação de política na política de filtro de spam de saída em Antispam.

Enumeração: PolicyAction - Tipo: Edm.Int32

Ação de política

Valor	Nome do membro	Descrição
0	MoveToJMF	A ação de política é mover para a pasta Lixo Eletrônico.
1	AddXHeader	A ação de política é adicionar o cabeçalho X à mensagem de email.
2	ModifySubject	A ação de política é modificar o assunto na mensagem de email com as informações especificadas pela política de filtragem.
3	Redirecionamento	A ação de política é redirecionar a mensagem de email para o endereço de email especificado pela política de filtragem.
4	Excluir	A ação de política é excluir (descartar) a mensagem de email.
5	Quarentena	A ação de política é colocar a mensagem de email em quarentena.
6	NoAction	A política está configurada para não executar nenhuma ação na mensagem de email.
7	BccMessage	A ação de política é Cco a mensagem de email para o endereço de email especificado pela política de filtragem.
8	ReplaceAttachment	A ação de política é substituir o anexo na mensagem de email com as informações especificadas pela política de filtragem.

Eventos de momento do clique da URL

Parâmetros	Tipo	Obrigatório?	Descrição
UserId	Edm.String	Sim	O identificador (por exemplo, endereço de email) do usuário que clicou na URL.
AppName	Edm.String	Sim	O serviço do Office 365 em que a URL foi clicada (por exemplo, o Email).
URLClickAction	Automaticamente. URLClickAction	Sim	Clique na ação para o URL com base nas políticas da organização para Links Seguros no Defender para Office 365.
SourceId	Edm.String	Sim	O identificador do serviço do Office 365 em que a URL foi clicada (por exemplo, para o Email, essa é a ID de Mensagens da Rede do Exchange Online).
TimeOfClick	Edm.Date	Sim	A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário clicou na URL.
URL	Edm.String	Sim	URL clicada pelo usuário.
UserIp	Edm.String	Sim	O endereço IP do usuário que clicou na URL. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.

Enumeração: URLClickAction – Tipo: Edm.Int32

URLClickAction

Valor	Nome do membro	Descrição
2	Blockpage	Usuário impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365.
3	PendingDetonationPage	É apresentado ao Usuário uma página de detonação pendente pelo serviço Links Seguros no Defender para o Office 365.
4	BlockPageOverride	O usuário é impedido de navegar para o URL pelo serviço Links Seguros no Defender para Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar para a URL
5	PendingDetonationPageOverride	É apresentado ao Usuário uma página de detonação pelo serviço Links Seguros no Defender para o Office 365; entretanto, o usuário ultrapassa o bloqueio para navegar até o URL.

Eventos de arquivo

Parâmetros	Tipo	Obrigatório?	Descrição
FileData	Self.FileData	Sim	Dados sobre o arquivo que disparou o evento.
SourceWorkload	Self.SourceWorkload	Sim	Carga de trabalho ou serviço em que o arquivo foi encontrado (por exemplo, SharePoint Online, OneDrive for Business ou Microsoft Teams)
DetectionMethod	Edm.String	Sim	O método ou tecnologia usada pelo Microsoft Defender para Office 365 para a detecção.
LastModifiedDate	Edm.Date	Sim	Data e hora em UTC (Tempo Universal Coordenado), na qual o arquivo foi criado ou modificado pela última vez.
LastModifiedBy	Edm.String	Sim	O identificador (por exemplo, um endereço de email) do usuário que criou ou modificou pela última vez o arquivo.
EventDeepLink	Edm.String	Sim	Link profundo para o evento de arquivo no Explorador ou para relatórios em tempo real no Centro de Conformidade e Segurança.

Tipo complexo FileData

FileData

Parâmetros	Tipo	Obrigatório?	Descrição
DocumentId	Edm.String	Sim	O identificador exclusivo do arquivo nas plataformas SharePoint, OneDrive ou Microsoft Teams.
FileName	Edm.String	Sim	Nome do arquivo que disparou o evento.
FilePath	Edm.String	Sim	Caminho (local) do arquivo no SharePoint, OneDrive ou Microsoft Teams.
FileVerdict	Self.FileVerdict	Sim	O veredicto de malware do arquivo.
MalwareFamily	Edm.String	Não	A família de malware do arquivo.
SHA256	Edm.String	Sim	O hash SHA256 do arquivo.
FileSize	Edm.String	Sim	Tamanho do arquivo em bytes.

Enumeração: SourceWorkload – Tipo: Edm.Int32

SourceWorkload

Valor	Nome do membro
0	SharePoint Online
1	OneDrive for Business
2	Microsoft Teams

Esquema de envio

Os eventos de envio estão disponíveis para todos os clientes do Office 365, pois vêm com segurança. Isso inclui organizações que usam a Proteção do Exchange Online e o Microsoft Defender para Office 365. Cada evento no feed de envio corresponde a falsos positivos ou falsos negativos que foram enviados como:

Envio do administrador. Mensagens, arquivos ou URLs enviados à Microsoft para análise.
Item relatádo pelo usuário. Mensagens relatadas pelos usuários finais ao administrador ou à Microsoft para análise.

Eventos de envio

Parâmetros	Tipo	Obrigatório?	Descrição
AdminSubmissionRegistered	Edm.String	Não	O envio do administrador está registrado e está pendente para processamento.
AdminSubmissionDeliveryCheck	Edm.String	Não	O sistema de envio do administrador verificou a política do email.
AdminSubmissionSubmitting	Edm.String	Não	O sistema de envio do administrador está enviando o email.
AdminSubmissionSubmitted	Edm.String	Não	O sistema de envio do administrador enviou o email.
AdminSubmissionTriage	Edm.String	Não	O envio do administrador é classificado pelo avaliador.
AdminSubmissionTimeout	Edm.String	Não	O envio do administrador atingiu o tempo limite sem nenhum resultado.
UserSubmission	Edm.String	Não	O envio foi relatado pela primeira vez por um usuário final.
UserSubmissionTriage	Edm.String	Não	O envio do usuário é classificado pelo avaliador.
CustomSubmission	Edm.String	Não	A mensagem relatada por um usuário foi enviada à caixa de correio personalizada da organização, conforme definido nas configurações de mensagens de relatório do usuário.
AttackSimUserSubmission	Edm.String	Não	A mensagem relatada pelo usuário era, na verdade, uma mensagem de treinamento de simulação de phishing.
AdminSubmissionTablAllow	Edm.String	Não	Uma permissão foi criada no momento do envio para executar a ação imediatamente em mensagens semelhantes enquanto ela está sendo verificada novamente.
SubmissionNotification	Edm.String	Não	Os comentários da administração são enviados para o usuário final.

Eventos de investigação e resposta automatizadas no Office 365

Os eventos de investigação e resposta automatizada do Office 365 (AIR) estão disponíveis para clientes do Office 365 que possuem uma assinatura que inclui o Plano 2 do Microsoft Defender para Office 365 ou Office 365 E5. Os eventos de investigação são registrados com base em uma alteração no status de investigação. Por exemplo, quando um administrador realiza uma ação que altera o status de uma investigação de Ações Pendentes para Concluídas, um evento é registrado.

No momento, somente investigações automatizadas são registradas. (Eventos de investigações geradas manualmente serão disponibilizados em breve.) Os seguintes valores de status são registrados:

Investigação Iniciada
Nenhuma ameaça encontrada
Encerrado pelo sistema
Ação Pendente
Ameaça Encontrada
Remediado
Falhou
Encerrado pela limitação
Encerrado Pelo Usuário
Em execução

Esquema de investigação principal

Nome	Tipo	Descrição
InvestigationId	Edm.String	Investigação ID/GUID
InvestigationName	Edm.String	Nome da investigação
InvestigationType	Edm.String	Tipo da investigação. Pode ter um dos seguintes valores: - Mensagens relatadas pelo usuário - Malware com Limpeza Automática Zero Hora - Phishing com Limpeza Automática Zero Hora - Alteração de Veredito de URL (Investigações manuais não estão disponíveis no momento. Serão disponibilizadas em breve.)
LastUpdateTimeUtc	Edm.Date	Hora UTC da última atualização para uma investigação
StartTimeUtc	Edm.Date	Hora de início para uma investigação
Status	Edm.String	Estado de investigação, Execução, Ações Pendentes, etc.
DeeplinkURL	Edm.String	URL do link profundo para uma investigação no Centro de Conformidade & Segurança do Office 365
Ações	Coleção (Edm.String)	Conjunto de ações recomendadas por uma investigação
Dados	Edm.String	Cadeia de dados que contém mais detalhes sobre entidades de investigação e informações sobre alertas relacionados à investigação. As entidades estão disponíveis em um nó separado no blob de dados.

Ações

Campo	Tipo	Descrição
ID	Edm.String	ID da ação
ActionType	Edm.String	O tipo de ação, como a correção de email
ActionStatus	Edm.String	Os valores incluem: - Pendente - Executando - Aguardando o recurso - Concluído - Falhou
ApprovedBy	Edm.String	Nulo se for aprovado automaticamente; caso contrário, o nome de usuário/ID (isso será lançado em breve)
TimestampUtc	Edm.DateTime	O carimbo de data/hora da alteração do status da ação
ActionId	Edm.String	Identificador exclusivo da ação.
InvestigationId	Edm.String	Identificador exclusivo da investigação.
RelatedAlertIds	Collection(Edm.String)	Alertas relacionados a uma investigação
StartTimeUtc	Edm.DateTime	Carimbo de data/hora da criação da ação
EndTimeUtc	Edm.DateTime	Carimbo de data/hora de atualização do status final da ação
Identificadores de recursos	Edm.String	Consiste na ID de locatário do Azure Active Directory.
Entidades	Collection(Edm.String)	Lista de uma ou mais entidades afetadas por ação
IDs de Alertas Relacionados	Edm.String	Alerta relacionado a uma investigação

Entidades

MailMessage

Campo	Tipo	Descrição
Tipo	Edm.String	"mail-message"
Arquivos	Coleção (Self.File)	Detalhes dos arquivos dos anexos da mensagem
Destinatário	Edm.String	O destinatário da mensagem de email
URLs	Collection(Self.URL)	Os URLs contidos na mensagem de email
Remetente	Edm.String	O endereço de email do remetente.
SenderIp	Edm.String	O endereço de IP do remetente.
ReceivedDate	Edm.DateTime	A data de recebimento da mensagem
NetworkMessageId	Edm.Guid	A ID de mensagem da rede da mensagem de email
InternetMessageId	Edm.String	A ID de mensagem da internet da mensagem de email
Assunto	Edm.String	O assunto da mensagem de email

IP

Campo	Tipo	Descrição
Tipo	Edm.String	"ip"
Endereço	Edm.String	O endereço IP como uma cadeia de caracteres, como, por exemplo, `127.0.0.1`

URL

Campo	Tipo	Descrição
Tipo	Edm.String	"url"
Url	Edm.String	A URL completa para a qual uma entidade aponta

Caixa de correio (também equivalente ao usuário)

Campo	Tipo	Descrição
Tipo	Edm.String	“Caixa de correio”
MailboxPrimaryAddress	Edm.String	O endereço principal da caixa de correio
DisplayName	Edm.String	O nome de exibição da caixa de correio.
UPN	Edm.String	UPN da caixa de correio

Arquivo

Campo	Tipo	Descrição
Tipo	Edm.String	“Arquivo”
Nome	Edm.String	O nome do arquivo sem caminho
FileHashes	Coleção (Edm.String)	Os hashes de arquivo estão associado ao arquivo.

FileHash

Campo	Tipo	Descrição
Tipo	Edm.String	"filehash"
Algoritmo	Edm.String	O tipo de algoritmo hash, que pode ser um destes valores: - Desconhecido - MD5 - SHA1 - SHA256 - SHA256AC
Valor	Edm.String	O valor do hash

MailCluster

Campo	Tipo	Descrição
Tipo	Edm.String	"MailCluster" Determina o tipo de entidade discutida
NetworkMessageIds	Coleção (Edm.String)	Lista das IDs de mensagem de email que fazem parte do cluster de emails
CountByDeliveryStatus	Coleções (Edm.String)	Contagem de mensagens de email por cadeia de caracteres DeliveryStatus
CountByThreatType	Coleções (Edm.String)	Contagem de mensagens de email por cadeia de caracteres ThreatType
Ameaças	Coleções (Edm.String)	As ameaças de mensagens de email que fazem parte do cluster de emails. As ameaças incluem valores como Phish e Malware.
Consulta	Edm.String	A consulta usada para identificar as mensagens do cluster de emails
QueryTime	Edm.DateTime	O tempo de consulta
MailCount	Edm.int	O número de mensagens de email que fazem parte do cluster de emails
Origem	Cadeia de Caracteres	A origem do cluster de email; o valor da origem do cluster.

Esquema de eventos de higiene

Os eventos de higiene estão relacionados à proteção contra spam de saída. Esses eventos estão relacionados a usuários impedidos de enviar email. Para saber mais, confira:

Parâmetros	Tipo	Obrigatório?	Descrição
Auditoria	Edm.String	Não	Informações do sistema relacionadas ao evento de higiene.
Evento	Edm.String	Não	O tipo de evento de higiene. Os valores para este parâmetro são Listado ou Removido.
EventId	Edm.Int64	Não	O ID do tipo de evento de higiene.
EventValue	Edm.String	Não	O usuário que foi impactado.
Reason	Edm.String	Não	Detalhes sobre o evento de higiene.

Esquema do Power BI

Os eventos do Power BI listados em Pesquisar o log de auditoria no Centro de Proteção do Office 365 usarão este esquema.

Parameters	Tipo	Obrigatório?	Descrição
AppName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do aplicativo em que o evento ocorreu.
DashboardName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do painel onde o evento ocorreu.
DataClassification	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	As classificação dos dados, se houver, do painel onde o evento ocorreu.
DatasetName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do conjunto de dados onde o evento ocorreu.
MembershipInformation	Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Informações de associação sobre o grupo.
OrgAppPermission	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Lista de permissões de um aplicativo organizacional (toda a organização, usuários específicos ou grupos específicos).
NomeDoRelatório	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do relatório em que o evento ocorreu.
SharingInformation	Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Informações sobre a pessoa para quem é enviado um convite de compartilhamento.
SwitchState	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Informações sobre o estado das várias opções de nível do locatário.
WorkSpaceName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do espaço de trabalho em que o evento ocorreu.

Tipo de complexo MembershipInformationType

Parameters	Tipo	Obrigatório?	Descrição
MemberEmail	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O endereço de email do grupo.
Status	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Não está preenchido no momento.

SharingInformationType tipo complexo

Parameters	Tipo	Obrigatório?	Descrição
RecipientEmail	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O endereço de email do destinatário de um convite de compartilhamento.
RecipientName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do destinatário de um convite de compartilhamento.
ResharePermission	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	A permissão sendo concedida ao destinatário.

Esquema do Dynamics 365

Os registros de auditoria para eventos relacionados aos aplicativos controlados por modelos no Dynamics 365 usam um esquema de operações de entidade e base. Para obter mais informações, consulte Ativar e usar o Log de Atividade.

Esquema base do Dynamics 365

Parâmetros	Tipo	Obrigatório?	Descrição
CrmOrganizationUniqueName	Edm.String	Sim	O nome exclusivo da organização.
InstanceUrl	Edm.String	Sim	A URL da instância.
ItemUrl	Edm.String	Não	A URL do registro que emite o log.
ItemType	Edm.String	Não	O nome da entidade.
UserAgent	Edm.String	Não	O identificador exclusivo da GUID de usuário na organização.
Campos	Collection(Common.NameValuePair)	Não	Um objeto JSON que contém os pares da propriedade chave-valor criados ou atualizados.

Esquema de operações de entidade do Dynamics 365

Eventos de entidade de aplicativos controlados por modelos no Dynamics 365 use este esquema para criar o esquema base do Dynamics 365. Esse esquema inclui informações sobre a operação de entidade que disparou o evento auditado.

Parâmetros	Tipo	Obrigatório?	Descrição
EntityId	Edm.Guid	Não	Identificador exclusivo da entidade.
EntityName	Edm.String	Sim	O nome da entidade na organização. Exemplos de entidades incluem `contact` ou `authentication`.
Mensagem	Edm.String	Sim	Esse parâmetro contém a operação que foi realizada em relação à entidade. Por exemplo, se tiver sido criado um novo contacto, o valor da propriedade Mensagem é `Create` e o valor correspondente da propriedade EntityName é `contact`.
Consulta	Edm.String	Não	Os parâmetros da consulta de filtro que foi usada durante a execução da operação FetchXML.
PrimaryFieldValue	Edm.String	Não	Indica o valor do atributo que é o campo principal da entidade.

Esquema do Workplace Analytics

Os eventos do WorkPlace Analytics listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema.

Parâmetros	Tipo	Obrigatório?	Descrição
WpaUserRole	Edm.String	Não	A função do Workplace Analytics do usuário que executou a ação.
ModifiedProperties	Coleção (Common.ModifiedProperty)	Não	Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.
OperationDetails	Coleção (Common.NameValuePair)	Não	Uma lista de propriedades estendidas para a configuração que foi alterada. Cada propriedade terá um Nome e Valor.

Esquema de quarentena

Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 usarão este esquema. Para saber mais sobre a quarentena, confira Mensagens de email em quarentena no Office 365.

Parâmetros	Tipo	Obrigatório?	Descrição
RequestType	Self.RequestType	Não	O tipo de solicitação de quarentena executada por um usuário.
RequestSource	Self.RequestSource	Não	A origem de uma solicitação de quarentena pode vir do Centro de Conformidade e Segurança (SCC), de um cmdlet ou de um URLlink.
NetworkMessageId	Edm.String	Não	A ID da mensagem de rede da mensagem de email em quarentena.
ReleaseTo	Edm.String	Não	O destinatário da mensagem de email.

Enum: RequestType - Type: Edm.Int32

Valor	Nome do membro	Descrição
0	Visualização	Esta é uma solicitação de um usuário para visualizar uma mensagem de email considerada prejudicial.
1	Excluir	Esta é uma solicitação de um usuário para excluir uma mensagem de email considerada prejudicial.
2	Liberar	Esta é uma solicitação de um usuário para liberar uma mensagem de email considerada prejudicial.
3	Exportar	Esta é uma solicitação de um usuário para exportar uma mensagem de email considerada prejudicial.
4	ViewHeader	Esta é uma solicitação de um usuário para exibir o cabeçalho de uma mensagem de email considerada prejudicial.
5	Solicitação de liberação	Esta é uma solicitação de liberação de um usuário para liberar uma mensagem de email considerada prejudicial.

Enum: RequestSource - Type: Edm.Int32

Valor	Nome do membro	Descrição
0	SCC	O Centro de Conformidade e Segurança (SCC) é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.
1	Cmdlet	Um cmdlet é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.
2	URLlink	Essa é a fonte da qual pode originar a solicitação de um usuário para visualizar, excluir, liberar, exportar ou exibir o cabeçalho de uma mensagem de email potencialmente prejudicial.

Esquema do Microsoft Forms

Os eventos do Microrosft Forms listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.

Parâmetros	Tipo	Obrigatório?	Descrição
FormsUserTypes	Coleção (Self.FormsUserTypes)	Sim	O papel do usuário que executou a ação. Os valores desse parâmetro são Administrador, Proprietário, Responder ou Coautoria.
SourceApp	Edm.String	Sim	Indica se a ação é do site do Forms ou de outro aplicativo.
FormName	Edm.String	Não	Nome do formulário atual.
FormId	Edm.String	Não	A ID do formulário de destino.
FormTypes	Coleção (Self.FormTypes)	Não	Indica se isso é um Formulário, Quiz ou Pesquisa.
ActivityParameters	Edm.String	Não	Cadeia de caracteres JSON contendo parâmetros de atividade. Confira Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365 para saber mais.

Enum: FormsUserTypes - Tipo: Edm.Int32

FormsUserTypes

Valor	Tipo de Usuário do Formulário	Descrição
0	Administrador	Um administrador que tem acesso ao formulário.
1	Proprietário	Um usuário que é o proprietário do formulário.
2	Respondente	Um usuário que enviou uma resposta a um formulário.
3	Co-autor	Um usuário que usou um link de colaboração fornecido pelo proprietário do formulário para fazer logon e editar um formulário.

Enum: FormTypes - Tipo: Edm.Int32

FormTypes

Valor	Tipos de Formulário	Descrição
0	Formulário	Formulários criados com a opção Novo Formulário.
1	Quiz	Quizzes criados com a Nova Opção de Quiz. Um quiz é um tipo especial de formulário que inclui recursos adicionais como valores de ponto, classificações automáticas e manuais e comentários.
2	Pesquisa	Pesquisas criadas com a opção Nova Pesquisa. Uma pesquisa é um tipo especial de formulário que inclui recursos adicionais como a integração e o suporte a CMS para regras de Fluxo.

Esquema de rótulos MIP

Os eventos no esquema de rótulo da Proteção de Informações do Microsoft Purview são disparados quando o Microsoft 365 detecta uma mensagem de email processada por agentes no pipeline de Transporte que tem um rótulo de confidencialidade aplicado a ele. O rótulo de confidencialidade pode ter sido aplicado manual ou automaticamente e pode ter sido aplicado dentro ou fora do pipeline de Transporte. Os rótulos de confidencialidade podem ser aplicados automaticamente às mensagens de email por meio da aplicação automática de políticas de rótulo.

O propósito desse esquema de auditoria é representar a soma de toda a atividade de email que envolve rótulos de confidencialidade. Em outras palavras, deve haver uma atividade de auditoria redirecionada para cada mensagem de email que será enviada para ou a partir de usuários na organização que tenha um rótulo de confidencialidade aplicado a ele, independentemente de quando ou como o rótulo de sensibilidade tenha sido aplicado. Para obter mais informações sobre rótulos de confidencialidade, confira:

Parâmetros	Tipo	Obrigatório?	Descrição
Remetente	Edm.String	Não	O endereço de email no campo De da mensagem de email.
Receptores	Collection(Edm.String)	Não	Todos os endereços de email nos campos Para, CC e Cco da mensagem de email.
ItemName	Edm.String	Não	A cadeia de caracteres no campo Assunto da mensagem de email.
LabelID	Edm.Guid	Não	O GUID do rótulo de confidenciallidade aplicado à mensagem de email.
LabelName	Edm.String	Não	O nome do rótulo de sensibilidade aplicado à mensagem de email.
Labelaction	Edm.String	Não	As ações especificadas pelo rótulo de confidencialidade que foram aplicados à mensagem de email antes da mensagem entrar no pipeline de transporte de email.
LabelAppliedDateTime	Edm.Date	Não	A data em que o rótulo de confidencialidade foi aplicado à mensagem de email.
Applicationmode	Edm.String	Não	Especifica como o rótulo de confidencialidade foi aplicado à mensagem de email. O valor Privilegiado indica que o rótulo foi aplicado manualmente por um usuário. O valor Padrão indica que o rótulo foi aplicado automaticamente por um processo de rotulagem do lado do cliente ou do serviço.

Esquema de eventos do portal de mensagens criptografadas

Os eventos para o esquema do portal de mensagens criptografadas são disparados quando a Criptografia de Mensagens do Purview detecta que uma mensagem de email criptografada é acessada no portal por um destinatário externo. O email pode ter sido criptografado manualmente com um rótulo de confidencialidade ou um modelo RMS, ou automaticamente por uma regra de transporte, uma política de Prevenção contra Perda de Dados ou uma política de rotulagem automática.

A intenção desse esquema de auditoria é representar a soma de todas as atividades do portal que envolvem o acesso ao email criptografado por destinatários externos. Em outras palavras, deve haver uma atividade de auditoria registrada para um destinatário que tente entrar no portal e para as atividades relacionadas ao acesso ao email criptografado. Isso inclui emails enviados para ou de usuários na organização quando tem criptografia aplicada a ele, independentemente de quando ou como a criptografia foi aplicada. Para obter mais informações, confira Saiba mais sobre os logs do portal de mensagens criptografadas.

Parâmetros	Tipo	Obrigatório?	Descrição
MessageId	Edm.String	Não	A ID da mensagem.
Destinatário	Edm.String	Não	Endereço de e-mail do destinatário.
Remetente	Edm.String	Não	Endereço de e-mail do remetente.
AuthenticationMethod	Self.AuthenticationMethod	Não	Método de autenticação ao acessar a mensagem, ou seja, OTP, Yahoo, Gmail, Microsoft.
AuthenticationStatus	Self.AuthenticationStatus	Não	0 – Êxito, 1 – Falha.
OperationStatus	Self.OperationStatus	Não	0 – Êxito, 1 – Falha.
AttachmentName	Edm.String	Não	Nome do anexo.
OperationProperties	Collection(Common.NameValuePair)	Não	Propriedades adicionais, ou seja, número de senha OTP enviada, assunto do email etc.

Esquema de conformidade de comunicações do Exchange

Os eventos de conformidade de comunicação listados no log de auditoria do Office 365 usam esse esquema. Isso inclui registros de auditoria para a operação SupervisoryReviewOLAudit gerados quando o conteúdo da mensagem de email contém uma linguagem ofensiva identificada por modelos antispam com uma precisão de correspondência de >= 99,5%.

Parâmetros	Tipo	Obrigatório?	Descrição
ExchangeDetails	ExchangeDetails	Não	Propriedades da mensagem de email que disparou o evento SupervisoryReviewOLAudit.

Enum: ExchangeDetails - Type: ExchangeDetails

ExchangeDetails

Nome do membro	Tipo	Descrição
NetworkMessageId	Edm.Guid	A ID de mensagem da rede da mensagem de email.
InternetMessageId	Edm.String	A ID de mensagem da internet da mensagem de email.
AttachmentData	Collection(AttachmentDetails)	Informações sobre arquivos anexados à mensagem de emails.
Destinatários	Collection(Edm.String)	Todos os endereços de email nos campos Para, CC e Cco da mensagem de email.
Assunto	Edm.String	O texto no campo Assunto da mensagem de email.
MessageTime	Edm.Date	A data e a hora em que a mensagem foi enviada.
De	Edm.String	O endereço de email no campo De da mensagem de email.
Directionality	Edm.String	O status da origem da mensagem de email.

Enum: AttachmentDetails - Type: Edm.Int32

AttachmentDetails

Nome do membro	Tipo	Descrição
FileName	Edm.String	O nome do arquivo anexado à mensagem de email.
FileType	Edm.String	A extensão de arquivo do arquivo anexado à mensagem de email.
SHA256	Edm.String	O hash SHA-256 do arquivo anexado à mensagem de email.

Esquema de relatórios

Os eventos de quarentena listados em Pesquisar o log de auditoria no Centro de Segurança e Conformidade do Office 365 usarão este esquema.

Parameters	Tipo	Obrigatório?	Descrição
ModifiedProperties	Coleção (Common.ModifiedProperty)	Não	Essa propriedade inclui o nome da propriedade que foi modificada, o novo valor da propriedade modificada e o valor anterior da propriedade modificada.

Esquema do conector de conformidade

Os eventos no esquema do conector de conformidade são disparados quando itens importados por um conector de dados são ignorados ou não podem ser importados para caixas de correio do usuário. Para obter mais informações sobre conectores de dados, consulte Saiba mais sobre os conectores de dados de terceiros.

Parâmetros	Tipo	Obrigatório?	Descrição
JobId	Edm.String	Não	Esse é um identificador exclusivo do conector de dados.
TaskId	Edm.String	Não	Identificador exclusivo da instância periódica do conector de dados. Os conectores de dados importam dados em intervalos periódicos.
JobType	Edm.String	Não	O nome do conector de dados.
ItemId	Edm.String	Não	Identificador exclusivo do item (por exemplo, uma mensagem de email) que está sendo importado.
ItemSize	Edm.Int64	Não	O tamanho do item que está sendo importado.
SourceUserId	Edm.String	Não	O identificador exclusivo do usuário da fonte de dados de terceiros. Por exemplo, para um conector de dados do Slack, essa propriedade especifica a ID de usuário no espaço de trabalho do Slack.
FailureType	Self.FailureType	Não	Indica o tipo de falha de importação de dados. Por exemplo, o valor incorrectusermapping indica que o item não foi importado porque não foi encontrado nenhum mapeamento de usuário entre a fonte de dados de terceiros e o Microsoft 365.
ResultMessage	Edm.String	Não	Indica o tipo de falha, como Mensagem duplicada.
IsRetry	Edm.Boolean	Não	Indica se o conector de dados repetiu a importação do item.
Anexos	Coleção.Anexo	Não	Uma lista de anexos recebidos da fonte de dados de terceiros.

Enumeração: FailureType - Tipo: Edm.Int32

Valor	Nome do membro
0	Padrão
1	MailboxWrite

Tipo complexo de anexo

Parâmetros	Tipo	Obrigatório?	Descrição
FileName	Edm.String	Não	O nome do anexo.
Detalhes	Edm.String	Não	Outros detalhes sobre o anexo.

Esquema SystemSync

Os eventos no esquema SystemSync são disparados quando os dados ingeridos do SystemSync são exportados por meio do Data Lake ou compartilhados por meio de outros serviços.

DataLakeExportOperationAuditRecord

Parâmetros	Tipo	Obrigatório?	Descrição
DataStoreType	DataStoreType	Sim	Indica de qual repositório os dados foram baixados. Consulte DataStoreType para obter todos os valores possíveis.
UserAction	DataLakeUserAction	Sim	Indica qual ação o usuário executou no repositório de dados. Consulte DataLakeUserAction para obter todos os valores possíveis.
ExportTriggeredAt	Edm.DateTimeOffset	Sim	Indica quando a exportação de dados foi disparada.
NameOfDownloadedZipFile	Edm.String	Não	O nome do arquivo compactado que o administrador baixou do Data Lake.

DataShareOperationAuditRecord

Parâmetros	Tipo	Obrigatório?	Descrição
Convite	DataShareInvitationType	Não	Detalhes do convite enviado ao destinatário do Data Share.

Tipo complexo DataShareInvitationType

Parâmetros	Tipo	Obrigatório?	Descrição
ShareId	Edm.Guid	Sim	Identificador atribuído pelo sistema para o Data Share.
Convidados	Collection(Edm.Guid)	Sim	Lista de usuários administradores para os quais o convite foi enviado.
InviteeTenantId	Edm.Guid	Sim	O locatário de destino ao qual o convite se destina.
ShareName	Edm.String	Sim	Nome atribuído pelo sistema para o Data Share.
SyncFrequency	Self.SyncFrequency	Sim	Frequência na qual os dados são sincronizados com a conta de armazenamento de destino depois que o compartilhamento é estabelecido. Consulte SyncFrequency para obter os valores possíveis.
SyncStartTime	Edm.DateTimeOffset	Sim	Data e hora da primeira sincronização.

Enum: SyncFrequency - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
0	A cada hora	Indica que os dados serão sincronizados a cada hora.
1	Diariamente	Indica que os dados serão sincronizados uma vez por dia.

Enum: DataStoreType - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
0	CanonicalStore	Indica que os dados serão baixados do repositório canônico.
1	StagingStore	Indica que os dados serão baixados do repositório de preparo.

Enum: DataLakeUserAction - Tipo: Edm.Int32

Valor	Nome do membro	Descrição
0	TriggerExport	O usuário administrador disparou a exportação do Data Lake.
1	DownloadZipFile	O usuário administrador baixou os dados exportados.

Tipo complexo MicrosoftGraphDataConnectOperation

Parâmetros	Tipo	Obrigatório?	Descrição
ApplicationId	Edm.Guid	Sim	A identificação do aplicativo.
ApplicationName	Edm.String	Sim	O nome do aplicativo.
PipelineName	Edm.String	Sim	Nome do pipeline dinâmico.
PipelineRunId	Edm.Guid	Não	A identificação dessa execução de pipeline.
CopyActivityRunId	Edm.Guid	Não	A identificação da atividade de cópia do ADF.
RunStartTime	Edm.Date	Sim	Data e hora da extração.
RunEndTime	Edm.Date	Sim	Data e hora da extração.
DatasetName	Edm.String	Sim	O nome do conjunto de dados que está sendo extraído.
DatasetColumns	Edm.String	Sim	O conjunto de colunas selecionadas que estão sendo extraídas.
Lista de Escopos	Edm.String	Sim	O escopo da extração.
ScopeCountRequested	Edm.Int64	Não	A contagem de escopos solicitada para esta extração.
ScopeCountDelivered	Edm.Int64	Não	A contagem de escopo entregue para esta extração.
UndeliveredScope	Edm.String	Não	O escopo não entregue da extração.
RowCount	Edm.Int64	Não	O número de linhas extraídas.
Status	Edm.String	Sim	O status de extração.
Reason	Edm.String	Não	A mensagem de erro em caso de falha.

AipDiscover

A tabela seguinte contém informações relacionadas com eventos de scanner do Azure Proteção de Informações (AIP).

Evento	Descrição
ApplicationId	O ID do aplicativo que está executando a operação.
ApplicationName	Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ClientIP	O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
CreationTime	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
DataState	Descreve o estado dos dados.
DeviceName	O dispositivo no qual a atividade ocorreu.
Id	GUID do registo atual.
IsProtected	Se protegido: Verdadeiro/Falso
Local	A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, removableMedia, fileshare e cloud.
ObjectId	Caminho completo do ficheiro (URL). Para atividades do SharePoint e do OneDrive for Business, o nome do caminho completo do arquivo ou pasta acessado pelo usuário.
Operação	Descreve o tipo de acesso.
OrganizationId	O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
Plataforma	Plataforma de dispositivos (Win, OSX, Android, iOS)
ProcessName	O nome do processo relevante, por exemplo. Outlook, msip.app, WinWord.
ProductVersion	Versão do cliente AIP.
ProtectionOwner	Proprietário do Rights Management no formato UPN.
ProtectionType	O tipo de proteção pode ser modelo ou ad-hoc.
RecordType	O tipo de operação indicado pelo registro. Confira a tabela AuditLogRecordType para obter detalhes sobre os tipos de registros de log de auditoria. Para obter uma lista atualizada completa e uma descrição completa do Log RecordType, consulte a mensagem de blogue Atividades de registo de auditoria de Conformidade do Microsoft 365 através da API de Gestão do O365. Aqui, listamos apenas os tipos de Registo MIP relevantes.
Escopo	Esse evento foi criado por um serviço hospedado do O365 ou por um servidor local? Os valores possíveis são online e onprem. Observe que o SharePoint é a única carga de trabalho enviando eventos do local para o O365 atualmente.
SensitiveInfoTypeData	Armazena o tipo de dados dos dados do tipo Informações Confidenciais.
SensitivityLabelId	O GUID da etiqueta de confidencialidade MIP atual. Utilize cmdlt Get-Label para obter os valores completos do GUID.
TemplateId	Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId	O UPN (Nome Principal de Utilizador) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou no registo ser registado; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
UserKey	Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
UserType	O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
Versão	ID da versão do arquivo na operação.
Workload	Armazena o serviço Office 365 onde ocorreu a atividade.

AipSensitivityLabelAction

A tabela seguinte contém informações relacionadas com eventos de etiqueta de confidencialidade do AIP.

Evento	Descrição
ApplicationId	Corresponde ao ID da Aplicação Microsoft Entra.
ApplicationName	Nome amigável da aplicação que executa a operação.
CreationDate	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade.
DataState	Especifica o estado dos dados.
DeviceName	O nome do dispositivo do utilizador.
Identidade	A identidade do utilizador ou serviço a autenticar.
IsProtected	Se protegido: Verdadeiro/Falso
IsProtectedBefore	Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso
IsValid	Booliano
Local	A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud.
ObjectState	Especifica o estado do objeto.
Operação	O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Identidade	A identidade do utilizador ou serviço a autenticar.
PSComputerName	Nome do Computador
PSShowComputerName	O valor é Falso para documentos editados no Office 365.
Plataforma	Plataforma de dispositivos (Win, OSX, Android, iOS).
ProcessName	Processo que aloja o SDK MIP.
ProductVersion	Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
ProtectionType	O tipo de proteção pode ser modelo ou ad-hoc.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo.
RunspaceId	O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
SensitiveInfoTypeData	Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais
TemplateId	Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId	O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço.

AipProtectionAction

Evento	Descrição
PSComputerName	Nome do computador
RunspaceId	O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
PSShowComputerName	O valor é falso para um documento editado no Office 365.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo.
CreationTime	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
UserId	O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
Operação	O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Identidade	A identidade do utilizador ou serviço a autenticar.
ObjectState	Estado do Objeto após o evento atual.
ApplicationId	A aplicação onde a atividade ocorreu e foi apresentada no GUID.
ApplicationName	Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ProcessName	Nome do processo da aplicação do Office.
Plataforma	A plataforma na qual a atividade ocorreu. Por exemplo, Windows.
DeviceName	Dispositivo em que o evento foi gravado.
ProductVersion	Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
UserId	O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
ClientIP	O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Id	GUID do registo atual.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes.
CreationTime	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
Operação	O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365.
OrganizationId	O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType	O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey	Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload	Armazena o serviço Office 365 onde ocorreu a atividade.
Versão	Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria
Escopo	Especifica o âmbito.

AipFileDeleted

Evento	Descrição
PSComputerName	Nome do computador
RunspaceId	O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
PSShowComputerName	O valor é falso para um documento editado no Office 365.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes. Para obter mais informações, veja a lista completa de tipos de registo.
CreationTime	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
UserId	O Nome Principal de Utilizador (UPN) do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo. Por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
Operação	O tipo de operação para o registo de auditoria. O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Identidade	A identidade do utilizador ou serviço a autenticar.
ObjectState	Estado do Objeto após o evento atual.
ApplicationId	A aplicação onde a atividade ocorreu e foi apresentada no GUID.
ApplicationName	Nome amigável da aplicação que executa a operação. Outlook (para e-mail), OWA (para e-mail), Word (para ficheiro), Excel (para ficheiro), PowerPoint (para ficheiro).
ProcessName	Nome do processo da aplicação do Office.
Plataforma	A plataforma na qual a atividade ocorreu. Por exemplo, Windows.
DeviceName	Dispositivo em que o evento foi gravado.
ProductVersion	Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
UserId	O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
ClientIP	O endereço IP do dispositivo que foi usado quando a atividade foi registrada. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6. Para alguns serviços, o valor exibido nessa propriedade pode ser o endereço IP de um aplicativo confiável (por exemplo, Office em aplicativos Web) chamando o serviço em nome de um usuário e não o endereço IP do dispositivo usado por quem realizou a atividade. Além disso, para eventos relacionados com o Azure Active Directory, o endereço IP não é registado e o valor da propriedade ClientIP é nulo. O endereço IP é exibido em um formato de endereço IPv4 ou IPv6.
Id	GUID do registo atual.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Aqui, estamos apenas a listar os tipos de Registo MIP relevantes.
CreationTime	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o registo de auditoria foi gerado.
Operação	O nome do usuário ou atividade administrativa. Para obter uma descrição das operações/atividades mais comuns, veja Pesquisar o log de auditoria no Centro de Proteção do Office 365.
OrganizationId	O GUID do locatário do Office 365 da sua organização. Este valor será sempre o mesmo para a sua organização, independentemente do serviço do Office 365 em que ocorre.
UserType	O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey	Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.
Workload	Armazena o serviço Office 365 onde ocorreu a atividade.
Versão	Versão do cliente Proteção de Informações do Azure que realizou a ação de auditoria
Escopo	Especifica o âmbito.

AipHeartBeat

A tabela seguinte contém informações relacionadas com eventos de heartbeat do AIP.

Evento	Descrição
ApplicationId	Corresponde ao ID da Aplicação Microsoft Entra.
ApplicationName	Nome amigável da aplicação que executa a operação.
CreationDate	A data e hora na Hora Universal Coordenada (UTC) no formato ISO8601 quando o utilizador efetuou a atividade.
DataState	Especifica o estado dos dados.
DeviceName	O nome do dispositivo do utilizador.
Identidade	A identidade do utilizador ou serviço a autenticar.
IsProtected	Se protegido: Verdadeiro/Falso
IsProtectedBefore	Se o conteúdo foi protegido antes da alteração: Verdadeiro/Falso
IsValid	Booliano
Local	A localização do documento relativamente ao dispositivo do utilizador. Os valores possíveis são desconhecidos, localMedia, amovívelMedia, fileshare e cloud.
ObjectState	Especifica o estado do objeto.
Operação	O tipo de operação para o registo de auditoria. O nome da atividade de utilizador ou administrador. Para obter uma descrição das operações/atividades mais comuns:
PSComputerName	Nome do Computador
PSShowComputerName	O valor é Falso para documentos editados no Office 365.
Plataforma	Plataforma de dispositivos (Win, OSX, Android, iOS).
ProcessName	Processo que aloja o SDK MIP.
ProductVersion	Versão do cliente Proteção de Informações do Azure que efetuou a ação de auditoria.
ProtectionType	O tipo de proteção pode ser modelo ou ad-hoc.
RecordType	Mostra o valor de Ação de Etiqueta. O tipo de operação indicado pelo registo. Para obter mais informações, veja a lista completa de tipos de registo.
RunspaceId	O Runspace é uma instância específica do PowerShell que contém coleções modificáveis de comandos, fornecedores, variáveis, funções e elementos de linguagem que estão disponíveis para o utilizador da linha de comandos.
SensitiveInfoTypeData	Armazena o tipo de dados dos Dados do Tipo de Informações Confidenciais
TemplateId	Parâmetro TemplateID para obter um modelo específico. O cmdlet Get-AipServiceTemplate obtém todos os modelos de proteção existentes ou selecionados do Azure Proteção de Informações.
UserId	O UPN do utilizador que efetuou a ação (especificada na propriedade Operação) que resultou na sessão do registo; por exemplo, my_name@my_domain_name. Observe que os registros da atividade executada pelas contas do sistema (como SHAREPOINT\system ou NT AUTHORITY\SYSTEM) também são incluídos. No SharePoint, outro valor exibido na propriedade UserId é app@sharepoint. Isso indica que o "usuário" recebeu permissões no SharePoint para executar ações em toda a organização (como pesquisar em um site do SharePoint ou em uma conta do OneDrive) em nome de um usuário, administrador ou serviço. Para obter mais informações, veja o utilizador app@sharepoint nos registos de auditoria.
UserType	O tipo de usuário que executou a operação. Consulte a tabela UserType para obter detalhes sobre os tipos de utilizadores. 0 = Regular 1 = Reservado 2 = Administração 3 = DcAdmin 4 = Systeml 5 = Aplicação 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey	Uma ID alternativa para o usuário identificado na propriedade UserId. Por exemplo, essa propriedade é preenchida com a ID exclusiva do passaporte (PUID) para eventos executados por usuários no SharePoint, no OneDrive for Business e no Exchange.

Tipo complexo MicrosoftGraphDataConnectConsent

Parâmetros	Tipo	Obrigatório?	Descrição
ApplicationId	Edm.Guid	Sim	A identificação do aplicativo.
ApplicationVersion	Edm.String	Sim	A versão da aplicação.
AppRegistrationTenantId	Edm.Guid	Sim	O ID do inquilino do registo de aplicações.
Aprovador	Edm.String	Sim	O nome principal de utilizador do aprovador.
ApprovalUpdatedDateInUTC	Edm.Date	Sim	A data e hora da atualização em UTC.
ApprovalExpiryDateInUTC	Edm.Date	Sim	A data de expiração em UTC.
ApprovalValidDays	Edm.Int32	Sim	O número de dias a contar da atualização para a qual a aprovação será válida.
DestinationSinks	Edm.String	Sim	O destino afunda.
DestinationTenantId	Edm.Guid	Sim	O ID do inquilino de destino.
Reason	Edm.String	Não	O motivo fornecido pelo administrador que efetuou a operação.
Estado	Edm.String	Sim	O estado de consentimento.
Conjuntos de dados	Coleção Própria. MGDCDataset	Sim	Detalhes sobre os conjuntos de dados que foram consentidos como parte desta operação.

Tipo Complexo MGDCDataset

Parâmetros	Tipo	Obrigatório?	Descrição
DatasetName	Edm.String	Sim	O nome do conjunto de dados na operação de consentimento.
DatasetColumns	Edm.String	Sim	A lista de colunas do conjunto de dados na operação de consentimento.
DenyGroups	Edm.String	Não	A lista de grupos de negação do conjunto de dados na operação de consentimento.
Escopo	Edm.String	Sim	Os tipos de âmbito do conjunto de dados na operação de consentimento. Os valores possíveis são Todos, List e FilterUri.
ScopeFiltersUris	Edm.String	Não	O URI do filtro de âmbito para o conjunto de dados na operação de consentimento.
Lista de Escopos	Edm.String	Não	A lista de grupos de âmbito do conjunto de dados na operação de consentimento.
PrivacyPolicyType	Edm.String	Sim	Os tipos de política de privacidade para o conjunto de dados na operação de consentimento. Os valores possíveis são None e DenyList.

Viva Goals esquema

Os registos de auditoria de eventos relacionados com Viva Goals utilizar este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre a captura de eventos e atividades relacionadas com Viva Goals, veja Atividades de registo de auditoria.

Parameters	Tipo	Obrigatório?	Descrição
Detalhe	Edm.String	Não	Uma descrição do evento ou da atividade que ocorreu no Viva Goals.
Nome de usuário	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome do utilizador que acionou o evento.
UserRole	Edm.String	Não	A função do utilizador que acionou este evento no Viva Goals. Isto menção se o utilizador for um administrador da organização ou um proprietário.
OrganizationName	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O nome da organização no Viva Goals onde o evento foi acionado.
OrganizationOwner	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O proprietário da organização no Viva Goals onde ocorreu o evento.
OrganizationAdmins	Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	Os administradores da organização no Viva Goals onde ocorreu o evento. Pode haver um ou mais administradores na organização.
UserAgent	Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"	Não	O agente do utilizador (detalhes do browser) do utilizador que acionou o evento. O UserAgent pode não estar presente no caso de um evento gerado pelo sistema.
Campos Modificados	Collection(Common.NameValuePair)	Não	Uma lista de atributos que foram modificados juntamente com os respetivos valores novos e antigos são apresentados como JSON.
ItemDetails	Collection(Common.NameValuePair)	Não	Propriedades adicionais sobre o objeto que foi modificado.

Microsoft Planner esquema

Microsoft Planner substitui a definição de ObjectId e ResultStatus no esquema Comum. A definição objectId de Microsoft Planner está vinculada ao tipo de registo de cada Microsoft Planner e será ilustrada individualmente.

Microsoft Planner's ResultStatus é definido como o seguinte.

Enumeração: ResultStatus - Tipo: Edm.Int32

ResultStatus

Valor	Nome do membro	Descrição
1	Êxito	O pedido do utilizador foi efetuada com êxito.
2	Falha	O pedido do utilizador falhou devido a motivos que não a autorização.
3	AuthorizationFailure	O utilizador pedido falhou devido a uma falha na autorização.

Microsoft Planner expande o esquema Comum com os seguintes tipos de registo.

Tipo de registo do PlannerPlan

Properties	Tipo	Descrição
ObjectId	Edm.String	ID do plano pedido.
ContainerType	Eu próprio. ContainerType	Tipo do contentor associado ao plano.
ContainerId	Edm.String	ID do contentor associado ao plano.
SharedWithContainerId	Edm.String	ID do contentor com acesso partilhado ao plano.
SharedWithContainerType	Eu próprio. ContainerType	Tipo de contentor com acesso partilhado ao plano.
SharedWithContainerAccessLevel	Eu próprio. PlanAccessLevel	Nível de acesso concedido ao contentor com acesso partilhado ao plano.

Enumeração: ContainerType - Tipo Edm.Int32

ContainerType

Valor	Nome do membro	Descrição
0	Invalid	Utilizado quando o plano pedido não é encontrado.
2	Group	O plano está associado a um Grupo M365.
3	TeamsConversation	O plano está associado a uma conversação do Teams.
4	OfficeDocument	O plano está associado a um documento do Office.
5	Lista	O plano está associado a um grupo de listas.
6	Project	O plano tem origem no Microsoft Project.

Enumeração: PlanAccessLevel - Tipo Edm.Int32

PlanAccessLevel

Valor	Nome do membro	Descrição
1	ReadAccess	Acesso ao Plano de leitura
2	ReadWriteAccess	Acesso para ler e escrever no Plano
3	FullAccess	Acesso ao Plano de leitura, escrita e configuração

Tipo de registo PlannerCopyPlan

Properties	Tipo	Descrição
ObjectId	Edm.String	ID do plano a ser copiado.
OriginalPlanId	Edm.String	ID do plano a ser copiado. O mesmo que ObjectId.
OriginalContainerType	Eu próprio. ContainerType	Tipo do contentor associado ao plano original.
OriginalContainerId	Edm.String	ID do contentor associado ao plano original.
NewPlanId	Edm.String	ID do novo plano. Nulo quando a operação falhou.
NewContainerType	Eu próprio. ContainerType	Tipo do contentor associado ao novo plano.
NewContainerId	Edm.String	ID do contentor associado ao novo plano.

Tipo de registo plannerTask

Properties	Tipo	Descrição
ObjectId	Edm.String	ID da tarefa pedida.
PlanId	Edm.String	ID do plano que contém a tarefa.

Tipo de registo plannerRoster

Properties	Tipo	Descrição
ObjectId	Edm.String	ID da lista pedida.
MemberIds	Edm.String	Uma cadeia separada por vírgulas de IDs de membro mudou para a lista.

Tipo de registo PlannerPlanList

Properties	Tipo	Descrição
ObjectId	Edm.String	Uma representação da consulta de vista de uma lista de planos.
Lista de Planos	Edm.String	Uma cadeia separada por vírgulas de IDs de plano consultados.

Tipo de registo PlannerTaskList

Properties	Tipo	Descrição
ObjectId	Edm.String	Uma representação da consulta ver de uma lista de tarefas.
Lista de Planos	Edm.String	Uma cadeia separada por vírgulas de IDs de tarefas consultadas.

Tipo de registo PlannerTenantSettings

Properties	Tipo	Descrição
ObjectId	Edm.String	Definições de inquilino originais no JSON.
TenantSettings	Edm.String	Novas definições de inquilino no JSON.

PlannerRosterSensitivityLabel record type (Tipo de registo PlannerRosterSensitivityLabel)

Properties	Tipo	Descrição
ObjectId	Edm.String	ID da etiqueta de confidencialidade. Nulo quando a etiqueta de confidencialidade é removida.
Lista	Edm.String	ID da lista para a qual a etiqueta de confidencialidade é alterada.
AssignmentMethod	Eu próprio. SensitivityLabelAssignmentMethod	O método de atribuição da etiqueta de confidencialidade.

Enumeração: SensitivityLabelAssignmentMethod - Tipo Edm.Int32

SensitivityLabelAssignmentMethod

Valor	Nome do membro	Descrição
0	Padrão	A etiqueta de confidencialidade é aplicada automaticamente, mas não pode substituir uma atribuição de etiqueta com privilégios.
1	Com privilégios	A etiqueta de confidencialidade é aplicada manualmente por um utilizador ou por um administrador.
2	Auto	A etiqueta de confidencialidade é aplicada automaticamente e tem permissão para substituir uma atribuição de etiqueta com privilégios.

Esquema do Microsoft Project para a Web

O Microsoft Project For The Web expande o esquema Comum com os seguintes tipos de registo.

Tipo de registo ProjectForThewebProject

Properties	Tipo	Obrigatório?	Descrição
ProjectId	Edm.Guid	Não	ID do Projeto a ser auditado.
AdditionalInfo	Coleção Própria. AdditionalInfo	Não	Informações adicionais.

Tipo de registo ProjectForThewebTask

Properties	Tipo	Obrigatório?	Descrição
ProjectId	Edm.Guid	Sim	ID do Projeto a ser auditado.
TaskId	Edm.Guid	Sim	ID da Tarefa a ser auditada.
AdditionalInfo	Coleção Própria. AdditionalInfo	Não	Informações adicionais.

Tipo de registo ProjectForThewebRoadmap

Properties	Tipo	Obrigatório?	Descrição
RoadmapId	Edm.Guid	Sim	ID do Mapa de Objetivos a ser auditado.
AdditionalInfo	Coleção Própria. AdditionalInfo	Não	Informações adicionais.

Tipo de registo ProjectForThewebRoadmapItem

Properties	Tipo	Obrigatório?	Descrição
RoadmapItemId	Edm.Guid	Sim	ID do Item de Mapa de Objetivos a ser auditado.
AdditionalInfo	Coleção Própria. AdditionalInfo	Não	Informações adicionais.

Tipo Complexo AdditionalInfo

Parameters	Tipo	Obrigatório?	Descrição
EnvironmentName	Edm.String	Não	ID do ambiente onde a ação foi executada.

Tipo de registo ProjectForThewebProjectSetting

Properties	Tipo	Obrigatório?	Descrição
ProjectEnabled	Edm.Boolean	Sim	O valor que foi definido para Project para a Web (1= ativado, 0 desativado).

ProjectForThewebRoadampSetting record type (Tipo de registo ProjectForThewebRoadampSetting)

Properties	Tipo	Obrigatório?	Descrição
Mapa de ObjetivosEnabled	Edm.Boolean	Sim	O valor que foi definido para Mapa de Objetivos (1= ativado, 0 desativado).

Tipo de registo ProjectForThewebAssignedToMeSetting

Properties	Tipo	Obrigatório?	Descrição
AssignedToMeEnabled	Edm.Boolean	Sim	O valor que foi definido para AssignedToMe (1= ativado, 0 desativado).

esquema Viva Pulse

Os registos de auditoria de eventos relacionados com Viva Pulse utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Viva Pulse, veja Atividades de registo de auditoria.

Parameters	Tipo	Obrigatório?	Descrição
EventName	Edm.String	Não	Uma descrição do evento ou da atividade que ocorreu no Viva Pulse.
PulseId	Edm.String	Não	ID da pesquisa de pulso.
EventDetails	Collection(Common.NameValuePair)	Não	Propriedades adicionais sobre o evento.

Alguns dos eventos VivaPulse registam propriedades diferentes em EventDetails. Cada propriedade registada em EventDetail é descrita na tabela.

EventName	PropertName	Descrição
PulseReportShare	Destinatários	Lista de IDs de destinatários com os quais o inquérito de pulso é partilhado.
PulseCreate	Destinatários	Lista de IDs de utilizador que são participantes do inquérito de pulso spcified.
PulseInvite	Destinatários	Lista de IDs de utilizador que são convidados adicionalmente para o pulso.
PulseTenantSettingsUpdate	TenantSettingName	Nome das definições alterado.
PulseSubmit	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.
PulseExtendDeadline	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.
PulseCancel	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.
PulseCreateDraft	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.
PulseDeleteDraft	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.
PulseDeleteUserData	Não aplicável	Este evento não regista nenhuma propriedade em EventDetails.

Esquema do Gestor de Conformidade

Os registos de auditoria de eventos relacionados com o Gestor de Conformidade do Microsoft Purview utilizam este esquema (além do esquema Comum). Para obter detalhes sobre como pode procurar os registos de auditoria no portal de conformidade, consulte Pesquisar o registo de auditoria no Centro de Conformidade do & de Segurança. Para obter detalhes sobre como capturar eventos e atividades relacionados com o Gestor de Conformidade, veja Atividades de registo de auditoria.

Parâmetros	Tipo	Obrigatório?	Descrição
Detalhes	Collection(SettingsChange)	Não	Uma descrição do evento que ocorreu para um Gestor de Conformidade do Microsoft Purview.

Os valores tomados por DefiniçõesAlterar propriedades em Detalhes para operações diferentes são descritos na tabela abaixo.

Operação	PropertyName	Descrição
Todas as Operações	Nome	Nome da definição envolvida na operação do Gestor de Conformidade
Todas as Operações	NewValue	Novo valor para as novas definições.
Todas as Operações	OriginalValue	Valor original da nova definição.

Tenha em atenção -

Para alterações de função, o nome seria o tipo de função
O registo de auditoria refletiria a alteração no evento, como a atribuição de uma função ou a função revogada ao utilizador
O valor original e novo teria os e-mails do utilizador para os quais a função foi alterada
Caso não haja nenhuma alteração na função, esse tipo de função não estaria presente no registo de auditoria.

Esquema de Política de Cópia de Segurança

Parameters	Tipo	Obrigatório?	Descrição
PolicyID	Edm.String	Sim	O ID da política.
EditMethodology	Edm.String	Não	Como a política foi criada/editada.
CountOfArtifactsBeingAdded	Edm.Int32	Não	Número de artefactos a serem adicionados.
CountOfArtifactsBeingRemoved	Edm.Int32	Não	Número de artefactos a serem removidos.
ServiceType	Edm.String	Não	Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Restaurar Esquema de tarefas

Parameters	Tipo	Obrigatório?	Descrição
TaskID	Edm.String	Sim	O ID da Tarefa de Restauro.
CreationMethodology	Edm.String	Não	Como a Tarefa de Restauro foi criada/editada.
CountOfArtifactsBeingAdded	Edm.Int32	Não	Número de artefactos a serem adicionados.
CountOfArtifactsBeingRemoved	Edm.Int32	Não	Número de artefactos a serem removidos.
ServiceType	Edm.String	Não	Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Restaurar esquema de Item

Parâmetros	Tipo	Obrigatório?	Descrição
RestoreTime	Edm.DateTime	Sim	Hora para a qual o item está a ser restaurado.
RestoreLocationType	Edm.String	Sim	Tipo de localização para o qual o item está a ser restaurado.
RestoreLocation	Edm.String	Não	Localização para a qual o item está a ser restaurado.
TaskID	Edm.String	Sim	O ID da tarefa Restaurar.
BackupItemID	Edm.String	Sim	ID do Item de Cópia de Segurança a ser restaurado.
ProtectionUnitID	Edm.String	Sim	ID da Unidade de Proteção do item a ser restaurado.
SuccessStatus	Edm.String	Não	Se a operação de restauro foi efetuada com êxito.
BackupItemType	Edm.String	Sim	Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio.
ServiceType	Edm.String	Não	Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Esquema de Item de Cópia de Segurança

Parameters	Tipo	Obrigatório?	Descrição
PolicyID	Edm.String	Sim	ID da Política à quais o item está a ser adicionado.
ItemID	Edm.String	Sim	ID do Item de Cópia de Segurança.
ProtectionUnitID	Edm.String	Sim	ID da Unidade de Proteção do item em cópia de segurança.
ResultStatus	Edm.String	Não	Se a operação de restauro foi efetuada com êxito.
BackupItemType	Edm.String	Sim	Se o Item de Cópia de Segurança é um Site/Conta/Caixa de Correio.
EditMethodology	Edm.String	Não	Como é que o item de cópia de segurança deve ser adicionado.
ServiceType	Edm.String	Não	Quer se trate de uma política do SharePoint, Exchange ou OneDriveForBusiness.

Partilhar via

Esquema da API da Atividade de Gerenciamento do Office 365

Esquemas da API de Gerenciamento do Office 365

Esquema Comum

Enumeração: AuditLogRecordType - Tipo: Edm.Int32

AuditLogRecordType

Enumeração: User Type - Tipo: Edm.Int32

User Type

Enumeração: AuditLogScope - Tipo: Edm.Int32

AuditLogScope

Tipo complexo AppAccessContext

Esquema base do SharePoint

Enumeração: ItemType - Tipo: Edm.Int32

ItemType

Enumeração: EventSource - Tipo: Edm.Int32

EventSource

Enumeração: SharePointAuditOperation - Tipo: Edm.Int32

Operações de arquivos do SharePoint

Listar Operações do SharePoint

Esquema de compartilhamento do SharePoint

Esquema do SharePoint

Esquema do Project

Enumeração: Project Action - Tipo: Edm.Int32

Ação do projeto

Enumeração: Project Entity - Tipo: Edm.Int32

Entidade do projeto.

Esquema de administração do Exchange

Esquema de caixa de correio do Exchange

Enumeração: LogonType - Tipo: Edm.Int32

LogonType

Esquema ExchangeMailboxAuditGroupRecord

Esquema ExchangeMailboxAuditRecord

Tipo complexo ExchangeItem

Tipo complexo ExchangeFolder

Esquema de Autenticação OWA

Esquema Base do Azure Active Directory

Enumeração: AzureActiveDirectoryEventType - Tipo: Edm.Int32

AzureActiveDirectoryEventType

Esquema de Logon da Conta do Azure Active Directory

Enumeração: CredentialType - Tipo: Edm.Int32

Enumeração: LoginType - Tipo: Edm.Int32

Enumeração: AuthenticationMethod - Tipo: Edm.Int32

Esquema do Azure Active Directory

Tipo complexo IdentityTypeValuePair

Enumeração: IdentityType - Tipo: Edm.Int32

IdentityType

Esquema de logon do Serviço de Token Seguro (STS) do Active Directory do Azure

Esquema DLP

Tipo complexo SharePointMetadata

Tipo complexo ExchangeMetadata

Tipo complexo EndpointMetadata

Tipo complexo PolicyDetails

Tipo complexo Rules

Tipo complexo ConditionsMatched

Tipo complexo SensitiveInformation

Tipo complexo SensitiveInformationDetailedClassificationAttributes

Tipo complexo SensitiveInformationDetections

Tipo complexo ExceptionInfo

Esquema do Centro de Conformidade e Segurança

Esquema de Alertas de Conformidade e Segurança

Esquema do Yammer

Esquema Base de Segurança do Data Center

Enumeração: DataCenterSecurityEventType: - Tipo: Edm.Int32

DataCenterSecurityEventType

Esquema Cmdlet de Segurança do Data Center

Esquema do Microsoft Teams

Tipo complexo MicrosoftTeamsMember

Enumeração: MemberRoleType - Tipo: Edm.Int32

MemberRoleType

KeyValuePair tipo complexo

Enumeração: AddOnType - Tipo: Edm.Int32

AddOnType

Tipo complexo HostedContent

Tipo complexo de mensagem

Microsoft Defender para Office 365 e esquema de investigação e resposta de ameaças

Eventos de mensagens de email

Tecnologias de detecção

Tipo complexo AttachmentData

AttachmentData

Tipo complexo SystemOverrides