Действия в журнале аудита

Статья
04/11/2024

В таблицах этой статьи описаны действия, которые проверяются в Microsoft 365. Эти действия можно найти в журнале аудита на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

В этих таблицах группируются связанные действия или действия определенной службы. Таблицы содержат понятное имя, которое отображается в раскрывающемся списке Действия (или доступно в PowerShell), а также имя соответствующей операции, которая отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска. Подробные сведения см. в разделе Подробные свойства журнала аудита.

Совет

Выберите одну из ссылок в списке В этой статье в верхней части этой статьи, чтобы перейти непосредственно к определенной таблице продуктов.

Действия, связанные с администрированием приложений

В следующей таблице перечислены действия администратора приложений, которые регистрируются при добавлении или изменении приложения, зарегистрированного в Microsoft Entra ID. Любое приложение, использующее Microsoft Entra ID для проверки подлинности, должно быть зарегистрировано в каталоге.

Примечание.

Имена операций, перечисленные в столбце Операция следующей таблицы, содержат точку ( . ). Точка должна включаться в имя операции, если операция указывается в команде PowerShell при выполнении поиска в журнале аудита, создании политик хранения данных аудита, создании политики оповещений или создании оповещений о действиях. Кроме того, убедитесь, что имя операции заключено в двойные кавычки (" ").

Понятное имя	Операция	Описание
Добавлена запись делегирования	Добавление записи делегирования.	Разрешение на проверку подлинности было создано или предоставлено приложению в Microsoft Entra ID.
Добавлен субъект-служба	Добавление субъекта-службы.	Приложение зарегистрировано в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Добавлены учетные данные для субъекта-службы	Добавление учетных данных субъекта-службы.	Учетные данные были добавлены в субъект-службу в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Удалена запись делегирования	Удаление записи делегирования.	Разрешение на проверку подлинности было удалено из приложения в Microsoft Entra ID.
Из каталога удален субъект-служба	Удаление субъекта-службы.	Приложение было удалено или отменено из Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Учетные данные удалены из субъекта-службы	Удаление учетных данных субъекта-службы.	Учетные данные были удалены из субъекта-службы в Microsoft Entra ID. Приложение представлено в каталоге субъектом-службой.
Задана запись делегирования	Настройка записи делегирования.	Для приложения в Microsoft Entra ID обновлено разрешение на проверку подлинности.

действия Microsoft Entra администрирования группы

В следующей таблице перечислены действия по администрированию группы, которые регистрируются, когда администратор или пользователь создает или изменяет группу Microsoft 365 или когда администратор создает группу безопасности с помощью Центра администрирования Microsoft 365 или портала управления Azure. Дополнительные сведения о группах в Microsoft 365 см. в статье Просмотр, создание и удаление групп в Центре администрирования Microsoft 365.

Примечание.

Понятное имя	Операция	Описание
Добавлена группа	Добавление группы.	Создана группа.
В группу добавлен участник	Добавление участника в группу.	В группу был добавлен участник.
Удалена группа	Удаление группы.	Группа была удалена.
Участник удален из группы	Удаление участника из группы.	Из группы удален участник.
Обновлена группа	Обновление группы.	Свойство группы изменилось.

Действия с письмом сводки дел

В следующей таблице перечислены действия в сообщении о брифинге, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о письме со сводкой дел см. в перечисленных ниже статьях.

Понятное имя	Операция	Описание
Обновлены параметры конфиденциальности организации	UpdatedOrganizationBriefingSettings	Администратор обновляет параметры конфиденциальности организации для письма со сводкой дел.
Обновлены параметры конфиденциальности пользователей	UpdatedUserBriefingSettings	Администратор обновляет параметры конфиденциальности пользователей для письма со сводкой дел.

Действия по обеспечению соответствия требованиям к обмену данными

В таблице ниже перечислены действия по обеспечению соответствия требованиям к обмену данными, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Сведения о Соответствие требованиям к обмену данными Microsoft Purview.

Примечание.

Эти действия доступны при использовании командлета PowerShell Поиск-UnifiedAuditLog. Эти действия недоступны в раскрывающемся списке Действия .

Понятное имя	Операция	Описание
Обновление политики	SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted	Администратор соответствия требованиям к обмену данными обновил политику.
Соответствие политике	SupervisionRuleMatch	Пользователь отправил сообщение, которое соответствует условию политики.
Применен тег к сообщениям	SupervisoryReviewTag	К сообщениям применены теги или сообщения разрешены.

Действия, связанные с обозревателем содержимого

В следующей таблице перечислены действия в проводнике контента, которые зарегистрированы в журнале аудита. Обозреватель содержимого, доступ к которому осуществляется с помощью средства классификации данных на портале Microsoft Purview и на портале соответствия требованиям. Дополнительные сведения см. в статье Использование обозревателя содержимого с классификацией данных

Мероприятия Copilot

В следующей таблице перечислены действия Microsoft 365 Copilot, зарегистрированные в журнале аудита. Доступ к Copilot можно получить в службах Microsoft 365. Действия включают, как и когда пользователи взаимодействуют с Copilot. Сюда входит служба Microsoft 365, в которой произошло действие, и ссылки на файлы, доступ к которому осуществляется во время взаимодействия. Дополнительные сведения о событиях взаимодействия Copilot и примере схемы см. в статье Обзор событий взаимодействия с Copilot.

Сведения о доступе к тексту из запроса пользователя во время взаимодействия см. в разделе Содержимое Поиск. Дополнительные сведения о Copilot см. в статье Защита Microsoft 365 Copilot и управление ими с помощью Microsoft Purview.

Понятное имя	Операция	Описание
Взаимодействие с Copilot	CopilotInteraction	Пользователь, администратор или система от имени пользователя ввел запросы в Copilot.

Действия, связанные с администрированием каталогов

В следующей таблице перечислены Microsoft Entra действия, связанные с каталогом и доменом, которые регистрируются, когда администратор управляет своей организацией в Центр администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Понятное имя	Операция	Описание
В компанию добавлен домен	Добавление домена в компанию.	Добавлен домен в вашу организацию.
В каталог добавлен партнер	Добавление партнера компании.	Добавил партнера (делегированного администратора) в вашу организацию.
Домен удален из компании	Удаление домена из компании.	Удален домен из вашей организации.
Партнер удален из каталога	Удаление партнера из компании.	Удален партнер (делегированный администратор) из вашей организации.
Настройка сведений о компании	Настройка сведений о компании.	Обновлена информация о компании для вашей организации. Включает адреса электронной почты, связанные с подпиской, отправляемые Microsoft 365, и технические уведомления о службах Microsoft 365.
Установка проверки подлинности домена	Установка проверки подлинности домена.	Изменены настройки проверки подлинности домена для вашей организации.
Обновлены параметры федерации для домена	Настройка параметров федерации для домена.	Изменены параметры федерации (внешнего обмена) для вашей организации.
Настройка политики паролей	Настройка политики паролей.	Изменены ограничения длины и символов для пользовательских паролей в вашей организации.
Включена Azure AD Sync	Настройка флага DirSyncEnabled для компании.	Настроено свойство, включающее синхронизацию Azure AD для каталога.
Обновлен домен	Обновление домена.	Обновлены настройки домена в вашей организации.
Проверен домен	Проверка домена.	Выполнена проверка того, является ли ваша организация владельцем домена.
Проверены почта и домен	Проверка домена, проверенного по электронной почте.	Выполнена проверка по электронной почте, чтобы выяснить, является ли ваша организация владельцем домена.

Действия по проверке перед ликвидацией

В следующей таблице перечислены действия, которые рецензент ликвидации выполнял , когда элемент достиг окончания настроенного срока хранения, или элемент был автоматически перемещен на следующий этап ликвидации или окончательно удален в результате автоматического утверждения.

Понятное имя	Операция	Описание
Одобренная ликвидация	ApproveDisposal	Для утверждения вручную. Рецензент ликвидации утвердил ликвидацию элемента, чтобы переместить его на следующий этап ликвидации. Если элемент находился в единственной или последней стадии проверки перед ликвидацией, утверждение ликвидации помечает элемент как подходящий для окончательного удаления. Для автоматического утверждения: в течение настроенного периода времени автоматического утверждения не было предпринят никаких действий вручную, чтобы элемент автоматически переместился на следующий этап ликвидации. Если элемент находился на единственном или заключительном этапе проверки ликвидации, он автоматически становился право на окончательное удаление.
Продленный период хранения	ExtendRetention	Проверяющий ликвидации продлил период хранения элемента.
Элемент с переназначенной меткой	RelabelItem	Проверяющий ликвидации переназначил метку хранения.
Добавленные проверяющие	AddReviewer	Проверяющий ликвидации добавил одного или несколько других пользователей в текущую стадию проверки перед ликвидацией.

Действия, связанные с обнаружением электронных данных

Содержимое Поиск действий, связанных с обнаружением электронных данных, которые выполняются на портале Microsoft Purview и на портале соответствия требованиям или путем выполнения соответствующих командлетов PowerShell, регистрируются в журнале аудита. Включает следующие действия:

создание дел обнаружения электронных данных и управление ими;
создание, запуск и редактирование операций поиска контента;
выполнение действий поиска контента, таких как предварительный просмотр, экспорт и удаление результатов поиска;
настройка фильтрации разрешений для поиска контента;
управление ролью администратора обнаружения электронных данных.

Список и подробное описание зарегистрированных операций eDiscovery см. в разделе Поиск действий eDiscovery в журнале аудита.

Примечание.

Действия, которые отображаются в результатах поиска в разделе Действия обнаружения электронных данных и Действия eDiscovery (премиум) в раскрывающемся списке Действия , занимает до 30 минут. В то же время для отображения в результатах поиска соответствующих событий из действий командлета eDiscovery требуется 24 часа.

Действия обнаружения электронных данных (премиум)

В журнале аудита также можно искать действия обнаружения электронных данных Microsoft Purview (премиум). Описание этих действий см. в разделе "Действия, связанные с обнаружением электронных данных (премиум)" в статье Поиск действий по обнаружению электронных данных в журнале аудита.

Действия на портале зашифрованных сообщений

Журналы доступа доступны для зашифрованных сообщений через портал зашифрованных сообщений, который позволяет вашей организации определять, когда следует читать и перенаправлять сообщения внешними получателями. Дополнительные сведения о включении и использовании журналов действий портала зашифрованных сообщений см. в статье Журнал действий портала зашифрованных сообщений.

Каждая запись аудита для отслеживаемого сообщения содержит следующие поля:

MessageID: содержит идентификатор отслеживаемого сообщения. Идентификатор ключа, используемый для следовать за сообщением через систему.
Получатель: список всех адресов электронной почты получателей.
Отправитель: исходный адрес электронной почты.
AuthenticationMethod. Описывает метод проверки подлинности для доступа к сообщению, например OTP, Yahoo, Gmail или Майкрософт.
AuthenticationStatus: содержит значение, указывающее, что проверка подлинности выполнена успешно или неудачно.
OperationStatus: указывает, была ли указанная операция успешной или неудачной.
AttachmentName: имя вложения.
OperationProperties: список необязательных свойств. Например, количество отправленных секретных кодов OTP или тема сообщения электронной почты.

Действия администратора Exchange

Журнал аудита администратора Exchange (который по умолчанию включен в Microsoft 365) регистрирует событие в журнале аудита, когда администратор (или пользователь, которому были назначены административные разрешения) вносит изменения в организацию Exchange Online. Изменения, вносимые с помощью Центра администрирования Exchange или командлета в Exchange Online PowerShell, записываются в журнал аудита действий администратора Exchange. Командлеты, начинающиеся с команд Get-, Поиск или Test-, не регистрируются в журнале аудита. Более подробную информацию о ведении журнала аудита действий администратора в Exchange см. в статье Ведение журнала аудита действий администратора.

Важно!

Некоторые командлеты Exchange Online, которые не зарегистрированы в журнале аудита администратора Exchange (или в журнале аудита). Многие из этих командлетов связаны с работой службы Exchange Online и выполняются сотрудниками центра обработки данных Майкрософт или учетными записями служб. Эти командлеты не регистрируются в журнале, потому что это привело бы к большому числу "шумных" событий аудита. Если существует командлет Exchange Online, не подвергающийся аудиту, отправьте запрос на изменение дизайна (DCR) в службу поддержки Microsoft.

Вот несколько советов по поиску действий администратора Exchange при поиске в журнале аудита:

Используйте поля дат и список Пользователи, чтобы ограничить результаты поиска командлетами, выполнявшимися определенным администратором Exchange в указанный период времени.
Чтобы отобразить события из журнала аудита администратора Exchange, выберите столбец Действие , чтобы отсортировать имена командлетов в алфавитном порядке.
Чтобы узнать, какой командлет был выполнен, какие параметры и значения параметров использовались и какие объекты были затронуты, вы можете экспортировать результаты поиска, выбрав вариант Скачать все результаты. Дополнительные сведения см. в статье Экспорт, настройка и просмотр записей журнала аудита.
Кроме того, вы можете использовать команду Search-UnifiedAuditLog -RecordType ExchangeAdmin в Exchange Online PowerShell, чтобы вернуть только записи аудита из журнала аудита действий администратора Exchange. После выполнения командлета Exchange может потребоваться до 30 минут, чтобы соответствующая запись журнала аудита возвращалась в результатах поиска. Дополнительные сведения см. в статье Search-UnifiedAuditLog. Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.
Вы также можете просматривать события в журнале аудита действий администратора Exchange с помощью Центра администрирования Exchange или командлета Search-AdminAuditLog в Exchange Online PowerShell. Журнал аудита — это хороший способ специального поиска действий, выполняемых администраторами Exchange Online. Инструкции см. в следующих статьях:
- Просмотр журнала аудита действий администратора
- Search-AdminAuditLog
Помните, что одни и те же действия администратора Exchange регистрируются как в журнале аудита администратора Exchange, так и в журнале аудита.

Действия, связанные с почтовыми ящиками Exchange

В приведенной ниже таблице перечислены действия, которые могут записываться в журнал аудита почтовых ящиков. Действия почтового ящика, выполняемые владельцем почтового ящика, делегированным пользователем или администратором, автоматически регистрируются в журнале аудита на срок до 180 дней. Администратор может отключить ведение журнала аудита почтовых ящиков для всех пользователей в организации. В этом случае в журнал не записываются никакие действия с почтовыми ящиками пользователей. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.

Важно!

Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Вы также можете искать действия с почтовыми ящиками с помощью командлета Search-MailboxAuditLog в PowerShell в Exchange Online.

Понятное имя	Операция	Описание
Получен доступ к элементам почтового ящика	MailItemsAccessed	Прочитаны или открыты сообщения в почтовом ящике. Записи аудита для этого действия инициируются одним из двух способов: когда почтовый клиент (например, Outlook) выполняет привязку к сообщениям или когда почтовые протоколы (например, Exchange ActiveSync или IMAP) синхронизируют элементы в почтовой папке. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5. Анализ записей аудита для этого действия полезен при исследовании скомпрометированных учетных записей электронной почты. Дополнительные сведения см. в разделе Аудит (премиум).
Добавлены разрешения почтового ящика-делегата	Add-MailboxPermission	Администратор назначил пользователю (называемому представителем) разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя. Разрешение на полный доступ позволяет представителю открывать почтовый ящик другого пользователя, а также читать его содержимое и управлять им. Запись аудита для этого действия также создается, когда системная учетная запись в службе Microsoft 365 периодически выполняет задачи обслуживания от имени организации. Обычной задачей, выполняемой системной учетной записью, является обновление разрешений для системных почтовых ящиков. Дополнительные сведения см. в разделе Системные учетные записи в записях аудита почтовых ящиков Exchange.
Добавлен или удален пользователь с делегированным доступом к папке календаря.	UpdateCalendarDelegation	Пользователь был добавлен или удален в качестве представителя для календаря почтового ящика другого пользователя. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика.
Добавлены разрешения для папки	AddFolderPermissions	Были добавлены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Сообщения скопированы в другую папку	Copy	Сообщение было скопировано в другую папку.
Создан элемент почтового ящика	Create	В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент. Например, создано новое приглашение на собрание. Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит.
Создано новое правило для папки "Входящие" в Outlook Web App	New-InboxRule	Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал правило для папки "Входящие" в Outlook Web App.
Сообщения удалены из папки "Удаленные"	SoftDelete	Сообщение было удалено окончательно или из папки "Удаленные". Такие элементы перемещаются в папку "Элементы с возможностью восстановления". Сообщение также перемещается в папку "Элементы с возможностью восстановления", когда пользователь выбирает его и нажимает клавиши SHIFT+DELETE.
Сообщение помечено как запись	ApplyRecordLabel	Сообщение было классифицировано как запись. Происходит, когда метка хранения, которая классифицирует содержимое как запись, вручную или автоматически применяется к сообщению.
Сообщения перемещены в другую папку	Move	Сообщение было перемещено в другую папку.
Сообщения перемещены в папку "Удаленные"	MoveToDeletedItems	Сообщение было удалено и перемещено в папку "Удаленные".
Изменены разрешения для папки	UpdateFolderPermissions	Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Изменено правило для папки "Входящие" из Outlook Web App	Set-InboxRule	Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, изменил правило для папки "Входящие" с помощью Outlook Web App.
Сообщения удалены из почтового ящика	HardDelete	Сообщение было очищено из папки "Элементы с возможностью восстановления" (удалено из почтового ящика безвозвратно).
Удалены разрешения почтового ящика с делегированным доступом	Remove-MailboxPermission	Администратор удалил разрешение на полный доступ (FullAccess) к почтовому ящику другого пользователя (которое было назначено представителю). После удаления разрешения на полный доступ представитель не может открыть почтовый ящик другого пользователя или получить доступ к его содержимому.
Удалены разрешения для папки	RemoveFolderPermissions	Были удалены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.
Отправленное сообщение	Send	Сообщение отправлено, переадресовано или на него получен ответ. Это действие регистрируется только для пользователей с лицензией на Office 365 или Microsoft 365 E5. Дополнительные сведения см. в разделе Аудит (премиум).
Отправить сообщение с использованием разрешений "Отправить как"	SendAs	Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика.
Отправлено сообщение с разрешениями "Отправить от имени"	SendOnBehalf	Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.
Обновлены правила для папки "Входящие" из клиента Outlook	UpdateInboxRules	Владелец почтового ящика или другой пользователь, имеющий доступ к почтовому ящику, создал, изменил или удалил правило для папки "Входящие" при помощи клиента Outlook.
Обновлено сообщение	Update	Сообщение или его свойства были изменены.
Пользователь вошел в почтовый ящик	MailboxLogin	Пользователь выполнил вход в свой почтовый ящик.
Пометка сообщения как записи		Пользователь применил к сообщению электронной почты метку хранения, которая настроена, чтобы пометить элемент как запись.

Системные учетные записи в записях аудита почтовых ящиков Exchange

В записях аудита для некоторых действий почтовых ящиков (особенно Add-MailboxPermissions) можно заметить, что пользователем, выполнившим действие (и идентифицированным в полях User и UserId), является NT AUTHORITY\SYSTEM или NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Это указывает на то, что "пользователем", выполнившим действие, была системная учетная запись в службе Exchange облака Майкрософт. Эта системная учетная запись часто выполняет запланированные задачи обслуживания от имени организации. Например, распространенным проверяемым действием, выполняемым учетной записью NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost), является обновление разрешений в объекте DiscoverySearchMailbox, который является системным почтовым ящиком. Целью этого обновления является проверка того, что разрешение FullAccess (предоставляемое по умолчанию) назначено группе ролей управления обнаружением для DiscoverySearchMailbox. Гарантирует, что администраторы обнаружения электронных данных могут выполнять необходимые задачи в своей организации.

Другая системная учетная запись пользователя, которая может быть определена в записи аудита для Add-MailboxPermission, — .Administrator@apcprd03.prod.outlook.com Эта учетная запись службы также включается в записи аудита почтовых ящиков, связанные с проверкой и обновлением разрешения FullAccess, назначенного группе ролей управления обнаружением для системного почтового ящика DiscoverySearchMailbox. В частности, записи аудита, которые идентифицируют Administrator@apcprd03.prod.outlook.com учетную запись, обычно активируются, когда сотрудники службы поддержки Майкрософт запускают средство диагностики управления доступом на основе ролей от имени вашей организации.

Действия, связанные с файлами и страницами

В таблице ниже описаны действия, связанные с файлами и страницами в SharePoint Online и OneDrive для бизнеса.

Понятное имя	Операция	Описание
Получен доступ к файлу	FileAccessed	Учетная запись пользователя или системы обращается к файлу. Когда пользователь обращается к файлу, событие FileAccessed больше не регистрируется для того же пользователя для того же файла в течение следующих пяти минут.
(нет)	FileAccessedExtended	Эта операция связана с действием "Получен доступ к файлу" (FileAccessed). Событие FileAccessedExtended регистрируется, когда один и тот же пользователь постоянно обращается к файлу в течение длительного периода (до 3 часов). События FileAccessedExtended позволяют уменьшить число событий FileAccessed, регистрируемых при постоянном обращении к файлу. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileAccessed, и обратить внимание на исходное (более важное) событие FileAccessed.
Изменена метка хранения файла	ComplianceSettingChanged	Метка хранения была применена к документу или удалена из него. Это событие инициируется, когда метка хранения вручную или автоматически применяется к сообщению.
Для записи установлено новое состояние: "заблокирована"	LockRecord	Состояние записи для метки хранения, классифицирующей документ как запись, было заблокировано. Это означает, что документ невозможно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Для записи установлено новое состояние: "разблокирована"	UnlockRecord	Состояние записи для метки хранения, классифицирующей документ как запись, было разблокировано. Это означает, что документ можно изменить или удалить. Только пользователи, которым назначено разрешение участника (как минимум) для сайта, могут изменять состояние записи документа.
Файл записан после изменения	FileCheckedIn	Пользователь записывает после изменения документ, извлеченный из библиотеки документов.
Извлечен файл	FileCheckedOut	Пользователь получает для изменения документ, находящийся в библиотеке документов. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения.
Скопирован файл	FileCopied	Пользователь копирует файл с сайта. Скопированный файл можно сохранить в другой папке на сайте.
Удален файл	FileDeleted	Пользователь удаляет документ с сайта.
Файл удален из корзины	FileDeletedFirstStageRecycleBin	Пользователь удаляет файл из корзины сайта.
Файл удален из корзины второго уровня	FileDeletedSecondStageRecycleBin	Пользователь удаляет файл из корзины второго уровня на сайте.
Удаленный файл, помеченный как запись	RecordDelete	Документ или электронное сообщение, помеченное как запись, было удалено. Элемент считается записью, если к содержимому применяется метка хранения, которая помечает элементы как запись.
Обнаружено несоответствие конфиденциальности документа	DocumentSensitivityMismatchDetected	Пользователь отправляет документ на сайт, защищенный с помощью метки конфиденциальности, и метка конфиденциальности документа имеет более высокий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Конфиденциально" отправляется на сайт с меткой "Общее". Это событие не инициируется, если метка конфиденциальности документа имеет более низкий приоритет, чем метка конфиденциальности, примененная к сайту. Например, документ с меткой "Общее" отправляется на сайт с меткой "Конфиденциально". Дополнительные сведения о приоритете меток конфиденциальности см. в разделе Приоритет метки (важен порядок).
Обнаружена вредоносная программа в файле	FileMalwareDetected	Антивирусная подсистема SharePoint обнаружила вредоносную программу в файле.
Отменено извлечение файла	FileCheckOutDiscarded	Пользователь удаляет или отменяет файл, полученный для изменения. Это означает, что все изменения, внесенные в полученный файл, отменяются и не сохраняются в версии документа в библиотеке документов.
Скачан файл	FileDownloaded	Пользователь скачивает документ с сайта.
Изменен файл	FileModified	Учетная запись пользователя или системы изменяет содержимое или свойства документа на сайте. Система ждет пять минут, прежде чем зарегистрировать другое событие FileModified, когда тот же пользователь изменяет содержимое или свойства того же документа.
(нет)	FileModifiedExtended	Эта операция связана с действием "Изменен файл" (FileModified). Событие FileModifiedExtended регистрируется, когда один и тот же пользователь постоянно изменяет файл в течение длительного периода (до 3 часов). События FileModifiedExtended позволяют уменьшить число событий FileModified, регистрируемых при постоянном изменении файла. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей FileModified, и обратить внимание на исходное (более важное) событие FileModified.
Перемещен файл	FileMoved	Пользователь перемещает документ из текущего места на сайте в новое.
(нет)	FilePreviewed	Пользователь предварительно просматривает файл на сайте SharePoint или OneDrive для бизнеса. Такие события обычно происходят в больших количествах в на основе одного действия, например при просмотре коллекции изображений.
Выполнен поисковый запрос	SearchQueryPerformed	Пользователь или системная учетная запись выполняет поиск в SharePoint или OneDrive для бизнеса. К распространенным сценариям выполнения поискового запроса учетной записью службы относится применение удержания электронных данных и политики хранения к сайтам и учетным записям OneDrive, а также автоматическое применение меток хранения и конфиденциальности к содержимому сайта.
Помещен в корзину файл	FileRecycled	Пользователь перемещает файл в корзину SharePoint.
Помещена в корзину папка	FolderRecycled	Пользователь перемещает папку в корзину SharePoint.
Помещены в корзину все промежуточные версии файла	FileVersionsAllMinorsRecycled	Пользователь удаляет все промежуточные версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещены в корзину все версии файла	FileVersionsAllRecycled	Пользователь удаляет все версии файла из журнала версий. Удаленные версии перемещаются в корзину сайта.
Помещена в корзину версия файла	FileVersionRecycled	Пользователь удаляет версию файла из журнала версий. Удаленная версия перемещается в корзину сайта.
Переименован файл	FileRenamed	Пользователь переименовывает документ.
Восстановлен файл	FileRestored	Пользователь восстанавливает документ из корзины на сайте.
Выложен файл	FileUploaded	Пользователь отправляет документ в папку на сайте.
Просмотрена страница	PageViewed	Пользователь просматривает страницу на сайте. К этому не относится использование веб-браузера для просмотра файлов, размещенных в библиотеке документов. Когда пользователь просматривает страницу, событие PageViewed не регистрируется повторно для того же пользователя для той же страницы в течение следующих пяти минут.
(нет)	PageViewedExtended	Эта операция связана с действием "Просмотрена страница" (PageViewed). Событие PageViewedExtended регистрируется, когда один и тот же пользователь постоянно просматривает веб-страницу в течение длительного периода (до 3 часов). События PageViewedExtended позволяют уменьшить число событий PageViewed, регистрируемых при постоянном просмотре страницы. Это помогает избавиться от эффекта, при котором одному фактическому действию пользователя соответствует множество записей PageViewed, и обратить внимание на исходное (более важное) событие PageViewed.
Клиент просигнализировал о просмотре	ClientViewSignaled	Клиент пользователя (например, веб-сайт или мобильное приложение) просигнализировал, что указанная страница была просмотрена пользователем. Это действие часто записывается в журнал после события PagePrefetched для страницы. ПРИМЕЧАНИЕ. Так как события ClientViewSignaled сигнализируются клиентом, а не сервером, событие может не регистрироваться сервером, поэтому оно может не отображаться в журнале аудита. Также возможно, что информация в записи аудита недостоверна. Но так как удостоверение пользователя проверяется с помощью маркера, использованного для создания сигнала, удостоверение пользователя, указанное в соответствующей записи аудита, является правильным. Система ждет пять минут, прежде чем зарегистрировать то же событие, когда клиент того же пользователя сообщает о том, что пользователь снова просмотрел страницу.
(нет)	PagePrefetched	Клиент пользователя (например, веб-сайт или мобильное приложение) запросил указанную страницу, чтобы повысить производительность на случай ее просмотра пользователем. Это событие записывается в журнал, чтобы указать, что содержимое страницы было предоставлено клиенту пользователя. Это событие не является точным индикатором, что пользователь переходил на страницу. Когда содержимое страницы отображается клиентом (по запросу пользователя), должно создаваться событие ClientViewSignaled. Не все клиенты поддерживают указание предварительного извлечения, поэтому некоторые действия предварительного извлечения могут быть занесены в журнал в виде событий PageViewed.

Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed

Могут ли какие-либо действия, не связанные с пользователем, запустить записи аудита FilePreviewed, содержащие агент пользователя типа "OneDriveMpc-Transform_Thumbnail"?

Нам не известны сценарии, в которых действия, не связанные с пользователем, вызывают такие события. Действия пользователей, такие как открытие карта профиля пользователя (путем выбора имени или адреса электронной почты в сообщении в Outlook в Интернете), будут создавать аналогичные события.

Всегда ли вызовы OneDriveMpc-Transform_Thumbnail намеренно выполняются пользователем?

Нет. Но похожие события могут фиксироваться в журнале в результате предварительной загрузки браузера.

Если событие FilePreviewed исходит из IP-адреса, зарегистрированного корпорацией Майкрософт, означает ли это, что предварительная версия отображалась на экране устройства пользователя?

Нет. Это событие могло быть записано в журнал в результате предварительной загрузки браузера.

Существуют ли сценарии, в которых пользователь предварительно просматривающий документ, вызывает события FileAccessed?

События FilePreviewed и FileAccessed указывают, что вызов пользователя привел к чтению файла (или чтению эскиза, воспроизводящего файл). Хотя эти события должны соответствовать намерению предварительного просмотра и намерению доступа, отличие событий не гарантирует намерение пользователя.

Пользователь app@sharepoint в записях аудита

В записях аудита для некоторых действий с файлами (и других действий, связанных с SharePoint) вы можете заметить, что пользователем, выполнившим действие (указывается в полях User и UserId), является app@sharepoint. Это означает, что "пользователем", выполнившим действие, было приложение. В этом случае приложению были предоставлены разрешения в SharePoint для выполнения действий на уровне организации (например, поиск сайта SharePoint или учетной записи OneDrive) от имени пользователя, администратора или службы. Этот процесс предоставления разрешений для приложения называется доступом с помощью контекста приложения SharePoint. Это означает, что проверка подлинности, представленная для SharePoint с целью выполнения действия, была осуществлена приложением, а не пользователем. Поэтому пользователь app@sharepoint указывается в определенных записях аудита. Дополнительные сведения см. в статье Предоставление доступа с помощью контекста приложения SharePoint.

Например, app@sharepoint часто указывается в качестве пользователя для событий "Выполнен поисковый запрос" и "Получен доступ к файлу". Это связано с тем, что приложение с доступом только в контексте приложения SharePoint в вашей организации выполняет поисковые запросы и обращается к файлам при применении политик хранения к сайтам и учетным записям OneDrive.

Ниже представлено несколько других сценариев, в которых app@sharepoint может быть идентифицирован в записи аудита в качестве пользователя, выполнившего действие:

Группы Microsoft 365. Когда пользователь или администратор создает группу, создаются записи аудита для создания семейства веб-сайтов, обновления списков и добавления участников в группу SharePoint. Эти задачи выполняются в приложении от имени пользователя, создавшего группу.
Microsoft Teams. Подобно группам Microsoft 365, записи аудита создаются для создания семейства сайтов, обновления списков и добавления участников в группу SharePoint при создании группы.
Функции соответствия требованиям. Когда администратор реализует функции обеспечения соответствия требованиям, такие как политики хранения, удержания электронных данных и автоматическое применение меток конфиденциальности.

В этих и других сценариях вы также заметите, что в течение короткого промежутка времени (часто с промежутком в несколько секунд) создается несколько записей аудита с указанием app@sharepoint в качестве пользователя. Это также означает, что они, вероятно, были инициированы той же задачей, выполненной пользователем. Кроме того, поля ApplicationDisplayName и EventData в записи аудита могут помочь определить сценарий или приложение, запустившее событие.

Действия, связанные с папками

В таблице ниже описаны действия, связанные с папками в SharePoint Online и OneDrive для бизнеса. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя	Операция	Описание
Скопирована папка	FolderCopied	Пользователь копирует папку из сайта в другое расположение в SharePoint или OneDrive для бизнеса.
Создана папка	FolderCreated	Пользователь создает папку на сайте.
Удалена папка	FolderDeleted	Пользователь удаляет папку с сайта.
Папка удалена из корзины	FolderDeletedFirstStageRecycleBin	Пользователь удаляет папку из корзины на сайте.
Папка удалена из корзины второго уровня	FolderDeletedSecondStageRecycleBin	Пользователь удаляет папку из корзины второго уровня на сайте.
Изменена папка	FolderModified	Пользователь изменяет папку на сайте. Это включает изменение метаданных папки, например тегов и свойств.
Перемещена папка	FolderMoved	Пользователь перемещает папку в другое расположение на сайте.
Переименована папка	FolderRenamed	Пользователь переименовывает папку на сайте.
Восстановлена папка	FolderRestored	Пользователь восстанавливает удаленную папку из корзины на сайте.

Действия с информационными барьерами

В таблице ниже перечислены действия, связанные с информационными барьерами, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения об информационных барьерах см. в статье Сведения об информационных барьерах в Microsoft 365.

Понятное имя	Операция	Описание
Изменен параметр AppBypassInformationBarrier для клиента	AppBypassInformationBarrier	SharePoint или глобальный администратор изменил доступ к приложениям для сайтов SharePoint.
Режим примененного информационного барьера к сайту	SiteIBModeSet	SharePoint или глобальный администратор применил режим к сайту.
Примененные сегменты к сайту	SiteIBSegmentsSet	Администратор SharePoint, глобальный администратор или владелец сайта добавил один или несколько сегментов информационных барьеров на сайт.
Изменен режим информационного барьера сайта	SiteIBModeChanged	SharePoint или глобальный администратор обновил режим сайта.
Измененные сегменты сайта	SiteIBSegmentsChanged	Администратор SharePoint или глобальный администратор изменил один или несколько сегментов информационных барьеров для сайта.
Отключенные информационные барьеры для SharePoint и OneDrive	SPOIBIsDisabled	SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации.
Включенные информационные барьеры для SharePoint и OneDrive	SPOIBIsEnabled	SharePoint или глобальный администратор отключил информационные барьеры для SharePoint и OneDrive в организации.
Отчет аналитики информационных барьеров завершен	InformationBarriersInsightsReportCompleted	Система завершает создание отчета аналитики информационных барьеров.
Аналитические сведения о информационных барьерах, запросил раздел OneDrive	InformationBarriersInsightsReportOneDriveSectionQueried	Администратор запрашивает отчет аналитики информационных барьеров для учетных записей OneDrive.
Отчет аналитики информационных барьеров запланирован	InformationBarriersInsightsReportSchedule	Администратор запланирует отчет аналитики информационных барьеров.
Запрос отчета аналитики информационных барьеров SharePoint	InformationBarriersInsightsReportSharePointSectionQueried	Администратор запрашивает отчет аналитики информационных барьеров для сайтов SharePoint.
Удален сегмент с сайта	SiteIBSegmentsRemoved	Администратор SharePoint или глобальный администратор удалил один или несколько сегментов информационных барьеров с сайта.

действия общих параметров Microsoft Defender для конечной точки

В следующей таблице перечислены действия для Microsoft Defender для конечной точки общих параметров, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения о параметрах Microsoft Defender для конечной точки см. в разделе Настройка общих параметров Defender для конечной точки.

Чтобы просмотреть действия Microsoft Defender для конечной точки, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя	Операция	Описание
Скачанный пакет отключения	DownloadOffboardingPkg	Скачан пакет, используемый для удаления устройств из Defender для конечной точки.
Скачанный пакет подключения	DownloadOnboardingPkg	Скачан пакет, используемый для подключения устройств к Defender для конечной точки.
Изменено хранение данных	ChangeDataRetention	Изменены параметры хранения данных для Defender для конечной точки.
Настройка дополнительных функций	SetAdvancedFeatures	Изменены расширенные функции в Defender для конечной точки, что позволяет более точно управлять инцидентом. В журнале аудита Microsoft 365 регистрируются только параметры для расширенных функций, которые являются общедоступными.

действия параметров индикатора Microsoft Defender для конечной точки

В следующей таблице перечислены действия для Microsoft Defender для конечной точки параметров индикатора, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о индикаторах Microsoft Defender для конечной точки см. в разделе Управление индикаторами.

Понятное имя	Операция	Описание
Добавлен индикатор	AddIndicator	Создан новый индикатор компрометации, который можно использовать для отслеживания атак и событий.
Измененный индикатор	EditIndicator	Изменен индикатор компрометации.
Удаленный индикатор	DeleteIndicator	Удален индикатор компрометации.

действия Microsoft Defender для конечной точки повторного выполнения действий

В следующей таблице перечислены действия для Microsoft Defender для конечной точки действий реагирования, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о действиях Microsoft Defender для конечной точки repsonse см. в разделе Действия ответа на устройстве.

Понятное имя	Операция	Описание
Собранный пакет исследования	CollectInvestigationPackage	Собранные сведения об устройстве, используемом для понимания средств и методов атак.
Запущена антивирусная проверка	RunAntiVirusScan	Выполнена Microsoft Defender антивирусная проверка на устройстве.
Выполнение ограниченного приложения	RestrictAppExecution	Предотвращение запуска вредоносного приложения.
Удалены ограничения приложений	RemoveAppRestrictions	Разрешить запуск приложения.
Изолированное устройство	IsolateDevice	Изолировано устройство от сети, что помогает предотвратить распространение атак.
Освобождено от изоляции	ReleaseFromIsolation	Добавлено изолированное устройство обратно в сеть.
Файл остановлен и помещен в карантин	StopAndQuarantineFile	Помещенный в карантин файл для дальнейшего анализа.
Скачан файл	Downloadfile	Скачан подозрительный файл для дальнейшего изучения.
Отключенное устройство	DeviceOffBoarding	Удалено устройство из Defender для конечной точки.
ЗАПУЩЕН API динамического отклика	RunLiveResponseApi	Открыл сеанс динамического ответа с помощью вызова API, открыв удаленную оболочку на устройстве.
Собранные журналы	LogsCollection	Собранные сведения журнала о Defender для конечной точки.
Запуск получения динамического файла ответа	LiveResponseGetFile	Открытие сеанса динамического ответа, открытие удаленной оболочки на устройстве.

действия параметров ролей Microsoft Defender для конечной точки

В следующей таблице перечислены действия для параметров роли Microsoft Defender для конечной точки, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о ролях в Microsoft Defender для конечной точки см. в разделе Create ролей и управление ролями для управления доступом на основе ролей.

Понятное имя	Операция	Описание
AddRole	Добавленная роль	Добавлены новая роль безопасности и разрешения.
EditRole	Измененная роль	Измененные роли безопасности и разрешения.
DeleteRole	Удаленная роль	Удалены роли безопасности и разрешения.

Microsoft Defender для деятельности экспертов

В следующей таблице перечислены действия экспертов Microsoft Defender, которые вошли в журнал аудита Microsoft 365. Дополнительные сведения об экспертах по Microsoft Defender см. в разделах Сведения об экспертах по Microsoft Defender для XDR и Сведения о Эксперты Microsoft Defender по охоте на угрозы

Понятное имя	Операция	Описание
Создано разрешение аналитика Defender Experts	DefenderExpertsAnalystPermissionCreated	Администратор предоставил аналитикам экспертов Defender одно или несколько разрешений на роль для расследования инцидентов или устранения угроз.
Изменено разрешение аналитика Defender Experts	DefenderExpertsAnalystPermissionModified	Администратор изменил разрешения роли для аналитиков экспертов Defender для расследования инцидентов или устранения угроз.

действия Microsoft Defender для удостоверений

В следующей таблице перечислены действия для Microsoft Defender для удостоверений, которые регистрируются в журнале аудита Microsoft 365.

Чтобы просмотреть действия Microsoft Defender для удостоверений, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя	Операция	Описание
Обновленные теги сущностей	TaggingConfigurationUpdated	Тег был добавлен или удален из сущности.
Добавлена конфигурация исключений	ExclusionConfigurationAdded	Для оповещения или сущности было добавлено глобальное исключение.
Обновленная конфигурация исключений	ExclusionConfigurationUpdated	Глобальное исключение было обновлено для оповещения или для сущности.
Конфигурация удаленных исключений	ExclusionConfigurationDeleted	Глобальное исключение было удалено для оповещения или для сущности.
Обновлена конфигурация порога оповещений	WorkspaceAlertThresholdLevelUpdated	Обновлена конфигурация пороговых значений оповещений.
Скачанные оповещения системы безопасности Excel	AlertExcelDownloaded	Скачан подробный файл оповещений Excel.
Добавлено действие по исправлению	RemediationActionAdded	В очередь добавлено действие исправления.
Обновлено действие по исправлению	ИсправлениеActionUpdated	Выполнено действие по исправлению.
Обновленная конфигурация датчика	SensorConfigurationUpdated	Обновлена конфигурация датчика.
Добавлен датчик	SensorCreated	Добавлен новый датчик.
Удален датчик	SensorDeleted	Датчик был удален.
Получен ключ развертывания датчика	SensorDeploymentAccessKeyReceived	Получен ключ доступа датчиков.
Ключ развертывания повторного датчика	SensorDeploymentAccessKeyUpdated	Ключ доступа датчиков был повторно создан.
Скачанный excel для покрытия контроллера домена	DomainControllerCoverageExcelDownloaded	Скачан файл Excel для покрытия контроллера домена.
Обновлена конфигурация учетной записи служб каталогов	DirectoryServicesAccountConfigurationUpdated	Набор учетных записей служб каталогов был изменен.
Обновлена конфигурация действий по исправлению	RemediationActionConfigurationUpdated	Набор учетных записей действий "Управление действиями" был изменен.
Обновлена конфигурация исправления сущностей	EntityRemediatorConfigurationUpdated	Изменен режим управления учетными записями действий.
Обновлена проблема работоспособности	MonitoringAlertUpdated	Проблема работоспособности была изменена.
Скачан отчет	ОтчетСкачать	Был скачан отчет.
Обновленная конфигурация репортера	ReporterConfigurationUpdated	Расписание отчета было изменено.
Обновлена конфигурация переадресации системного журнала	SyslogServiceConfigurationUpdated	Конфигурация переадресации системного журнала была изменена.
Обновленная конфигурация уведомлений системы безопасности	NotificationConfigurationUpdated	Изменена конфигурация уведомлений об оповещениях системы безопасности или проблемах работоспособности.
Добавлен получатель уведомления об оповещении	AlertNotificationsRecipientAdded	Получатель был добавлен в конфигурацию уведомлений об оповещениях системы безопасности.
Удаленный получатель уведомления об оповещении	AlertNotificationsRecipientDeleted	Получатель был удален из конфигурации уведомлений об оповещениях системы безопасности.
Добавлен получатель уведомления о проблемах работоспособности	MonitoringAlertNotificationRecipientAdded	Получатель был добавлен в конфигурацию уведомлений о проблемах работоспособности.
Получатель уведомления об удаленных проблемах работоспособности	MonitoringAlertNotificationRecipientDeleted	Получатель был удален из конфигурации уведомлений о проблемах.
Обновленная конфигурация VPN	VpnConfigurationUpdated	Конфигурация VPN (учет радиуса) была изменена.
Обновлена унифицированная конфигурация RBAC	URbacAuthorizationStatusChanged	Конфигурация единой контроль доступа на основе ролей была изменена.
Созданная рабочая область	WorkspaceCreated	Рабочая область создана.
Удаленная рабочая область	WorkspaceDeleted	Рабочая область удалена.

Microsoft Defender XDR настраиваемые действия обнаружения

В следующей таблице перечислены настраиваемые действия обнаружения для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft Defender XDR пользовательских обнаружениях см. в статье Create и управление настраиваемыми правилами обнаружения.

Чтобы просмотреть действия Microsoft Defender XDR, на портале Microsoft Defender XDR должен быть включен единый журнал аудита. Дополнительные сведения см. в разделе Включение единого журнала аудита.

Понятное имя	Операция	Описание
Созданное пользовательское правило обнаружения	CreateCustomDetection	Создано новое пользовательское правило обнаружения.
Измененное пользовательское правило обнаружения	EditCustomDetection	Пользовательское правило обнаружения было изменено.
Изменено состояние настраиваемого правила обнаружения	ChangeCustomDetectionRuleStatus	Пользовательское правило обнаружения было отключено или включено.
Выполнено настраиваемое правило обнаружения	RunCustomDetection	Пользовательское правило обнаружения было выполнено вручную.
Удаленное пользовательское правило обнаружения	DeleteCustomDetection	Пользовательское правило обнаружения удалено.

действия Microsoft Defender XDR инцидентов

В следующей таблице перечислены действия по инцидентам для Microsoft Defender XDR, зарегистрированных в журнале аудита Microsoft 365. Дополнительные сведения об инцидентах в Microsoft Defender XDR см. в статье Общие сведения об инцидентах.

Понятное имя	Операция	Описание
Добавлен комментарий к инциденту	AddCommentToIncident.	Добавлен комментарий к инциденту.
Назначенный пользователь инциденту	AssignUserToIncident	Назначен пользователь инциденту.
Неназначаемый пользователь в инцидент	UnAssignUserFromIncident	Неназначаемый пользователь к инциденту.
Обновлено состояние инцидентов	UpdateIncidentStatus	Обновлено состояние инцидентов.
Изменение классификации инцидентов	EditIncidentClassification	Изменение классификации инцидентов.
Добавлена tage к инциденту	AddTagsToIncident	Добавлена tage к инциденту.
Удалены теги из инцидента	RemoveTagsFromIncident	Удалены теги из инцидента.

действия правил подавления Microsoft Defender XDR

В следующей таблице перечислены действия для правил подавления для Microsoft Defender XDR, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о правилах подавления в Microsoft Defender XDR см. в разделе Управление правилами подавления.

Понятное имя	Операция	Описание
Созданное правило подавления	CreateSuppressionRule	Создано правило супрессии оповещений.
Измененное правило подавления	EditSuppressionRule	Правило удаления оповещений.
Включено правило подавления	EnableSuppressionRule	Включено правило супрессии оповещений.
Отключенное правило подавления	DisableSuppressionRule	Отключено правило супрессии оповещений.
Удаленное правило подавления	DeleteSuppressionRule	Правило удаления оповещений.

Действия Microsoft Fabric

В журнале аудита можно искать действия, выполненные в Power BI. Сведения о параметрах аудита см. в разделе Параметры клиента аудита и использования.

Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Если аудит не включен для вашей организации, появится баннер с предложением начать запись действий пользователей и администраторов. Инструкции см . в разделе Включение аудита.

Действия Microsoft Forms

В таблицах этого раздела перечислены действия пользователя и администратора в Microsoft Forms, которые зарегистрированы в журнале аудита. Microsoft Forms — это средство для работы с формами, тестами и опросами, используемое для сбора данных с целью анализа. Некоторые операции содержат дополнительные параметры действий, если это указано в описаниях ниже.

Если действие Forms выполняется соавтором или анонимным респондентом, оно регистрируется немного иначе. Дополнительные сведения см. в разделе Действия в Forms, выполняемые соавторами и анонимными респондентами.

Примечание.

Некоторые действия аудита в Forms доступны только в функции "Аудит" (премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.

В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).

Понятное имя	Операция	Описание
Создан комментарий	CreateComment	Владелец формы добавляет к тесту комментарий или оценку.
Создана форма	CreateForm	Владелец формы создает форму. Свойство DataMode:string указывает, что текущая форма настроена на синхронизацию с новой или существующей книгой Excel, если значение свойства равно DataSync. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Изменена форма	EditForm	Владелец формы изменяет форму, например создает, удаляет или редактирует вопрос. Свойство EditOperation:string указывает название операции изменения. Возможны следующие операции: - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice -DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage включает любое место в Forms, куда пользователь может добавить изображение, например в запрос или в качестве фона.
Перемещена форма	MoveForm	Владелец формы перемещает форму. Свойство DestinationUserId:string указывает идентификатор пользователя, переместившего форму. Свойство NewFormId:string — это новый идентификатор скопированной формы. Свойство IsDelegateAccess:boolean указывает, что текущее действие перемещения формы выполняется через страницу делегирования администратора.
Удалена форма	DeleteForm	Владелец формы удаляет ее. Включает операцию SoftDelete (использован параметр удаления, и форма перемещена в корзину) и HardDelete (корзина очищена).
Просмотрена форма (время разработки)	ViewForm	Владелец формы открывает существующую форму для изменения. Свойство AccessDenied:boolean указывает, что доступ к текущей форме запрещен из-за проверки разрешений. Свойство FromSummaryLink:boolean указывает, что текущий запрос поступает со страницы ссылки сводки.
Выполнен предварительный просмотр формы	PreviewForm	Владелец формы предварительно просматривает форму с помощью функции предварительного просмотра.
Экспортирована форма	ExportForm	Владелец формы экспортирует результаты в Excel. Свойство ExportFormat:string указывает, скачивается ли файл Excel или располагается в Интернете.
Разрешен общий доступ к форме для копирования	AllowShareFormForCopy	Владелец формы создает ссылку на шаблон, чтобы поделиться формой с другими пользователями. Это событие регистрируется, когда владелец формы выбирает для создания URL-адреса шаблона.
Запрещен общий доступ к форме для копирования	DisallowShareFormForCopy	Владелец формы удаляет ссылку на шаблон.
Добавлен соавтор формы	AddFormCoauthor	Пользователь использует ссылку для совместной работы, чтобы помочь в создании или просмотре ответов. Это событие записывается в журнал, когда пользователь использует URL-адрес для совместной работы (а не при первом создании URL-адреса для совместной работы).
Удален соавтор формы	RemoveFormCoauthor	Владелец формы удаляет ссылку для совместной работы.
Просмотрена страница ответов	ViewRuntimeForm	Пользователь открыл страницу ответов для просмотра. Это событие записывается в журнал независимо от того, отправляет ли пользователь ответ или нет.
Создан ответ	CreateResponse	Аналогично получению нового ответа. Пользователь отправил ответ в форму. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного отвечающего свойство ResponderId будет иметь значение NULL.
Обновлен ответ	UpdateResponse	Владелец формы обновил комментарий или оценку в тесте. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного респондента свойство ResponderId имеет значение NULL.
Удалены все ответы	DeleteAllResponses	Владелец формы удаляет все данные ответов.
Удален ответ	DeleteResponse	Владелец формы удаляет один ответ. Свойство ResponseId:string указывает удаляемый ответ.
Просмотрены ответы	ViewResponses	Владелец формы просматривает обобщенный список ответов. Свойство ViewType:string указывает, какое представление просматривает владелец формы: подробное или обобщенное
Просмотрен ответ	ViewResponse	Владелец формы просматривает определенный ответ. Свойство ResponseId:string и ResponderId:string указывает, какой результат просматривается. Для анонимного респондента свойство ResponderId имеет значение NULL.
Создана ссылка на сводку	GetSummaryLink	Владелец формы создает ссылку на сводку результатов для предоставления к ним общего доступа.
Удалена ссылка на сводку	DeleteSummaryLink	Владелец формы удаляет ссылку на сводку результатов.
Обновлено состояние фишинга формы	UpdatePhishingStatus	Это событие записывается в журнал при каждом изменении подробного значения состояния внутренней безопасности, независимо от того, изменяется ли итоговое состояние защиты (например, форма стала закрытой или открытой). Это означает, что могут отображаться дубликаты событий без изменения итогового состояния защиты. Возможные значения состояния для этого события: - Зафиксировать - Зафиксировать администратором - Администратор разблокировал - Заблокировано автоматически - Разблокировано автоматически - Сообщено клиентом - Сброс сообщений клиента
Обновлено состояние фишинга пользователя	UpdateUserPhishingStatus	Это событие записывается в журнал при каждом изменении значения состояния безопасности пользователя. Значение состояния пользователя в записи аудита назначается как Подтвержден как фишер, когда пользователь создал форму фишинга, которая была зафиксирована группой безопасности в Интернете корпорации Майкрософт. Если администратор разблокирует пользователя, то пользователю присваивается значение состояния Восстановить в качестве обычного пользователя.
Отправлено приглашение в Forms Pro	ProInvitation	Пользователь выбирает активацию пробной версии Pro.
Обновлен параметр формы^*	UpdateFormSetting	Владелец формы обновляет один или несколько параметров формы. Свойство FormSettingName:string указывает на обновленное имя конфиденциальных параметров. Свойство NewFormSettings:string указывает на имя и новое значение обновленных параметров. Свойство thankYouMessageContainsLink:boolean указывает, что обновленное сообщение с благодарностью содержит URL-ссылку.
Обновлен параметр пользователя	UpdateUserSetting	Владелец формы обновляет параметр пользователя. Свойство UserSettingName:string указывает название и новое значение параметра
Получен список форм^*	ListForms	Владелец формы просматривает список форм. Свойство ViewType:string указывает, какое представление просматривает владелец формы: "Все формы", "Мне представлен доступ" или "Формы группы"
Отправлен ответ	SubmitResponse	Пользователь отправляет ответ в форму. Свойство IsInternalForm:boolean указывает, находится ли отвечающий в той же организации, что и владелец формы.
Включен параметр "Любой пользователь может ответить"^*	AllowAnonymousResponse	Владелец формы включает параметр, позволяющий любому пользователю отвечать на форму.
Отключен параметр "Любой пользователь может ответить"^*	DisallowAnonymousResponse	Владелец формы отключает параметр, позволяющий любому пользователю отвечать на форму.
Включен параметр "Определенные пользователи могут ответить"^*	EnableSpecificResponse	Владелец формы включает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Отключен параметр "Определенные пользователи могут ответить"^*	DisableSpecificResponse	Владелец формы отключает параметр, позволяющий отвечать на форму только определенным пользователям или группам в текущей организации.
Добавлен определенный респондент^*	AddSpecificResponder	Владелец формы добавляет нового пользователя или группу в список определенных ответчиков.
Удален определенный респондент^*	RemoveSpecificResponder	Владелец формы удаляет нового пользователя или группу из списка определенных ответчиков.
Отключена совместная работа^*	DisableCollaboration	Владелец формы отключает параметр совместной работы над формой.
Включена совместная работа для рабочей или учебной учетной записи Office 365^*	EnableWorkOrSchoolCollaboration	Владелец формы включает параметр, позволяющий пользователям с рабочей или учебной учетной записью Microsoft 365 просматривать и редактировать форму.
Включена совместная работа для пользователей в моей организации^*	EnableSameOrgCollaboration	Владелец формы включает параметр, позволяющий пользователям в текущей организации просматривать и редактировать форму.
Включена совместная работа для определенных пользователей^*	EnableSpecificCollaboaration	Владелец формы включает параметр, позволяющий просматривать и редактировать форму только определенным пользователям или группам в текущей организации.
Подключено к книге Excel^*	ConnectToExcelWorkbook	Форма подключена к книге Excel. Свойство ExcelWorkbookLink:string указывает на связанный ИД книги Excel текущей формы.
Коллекция создана	CollectionCreated	Владелец формы создал коллекцию.
Коллекция обновлена	CollectionUpdated	Владелец формы обновил свойство коллекции.
Коллекция удалена из корзины	CollectionHardDeleted	Владелец формы безвозвратно удалил коллекцию из корзины.
Коллекция перемещена в корзину	CollectionSoftDeleted	Владелец формы переместил коллекцию в корзину.
Коллекция переименована	CollectionRenamed	Владелец формы изменил имя коллекции.
Форма перемещена в коллекцию	MovedFormIntoCollection	Владелец формы переместил форму в коллекцию.
Форма перемещена из коллекции	MovedFormOutofCollection	Владелец формы переместил форму из коллекции.

Действия в Forms, выполняемые соавторами и анонимными респондентами

Forms поддерживает совместную работу при создании форм и анализе откликов. Участник совместной работы по созданию форм называется соавтором. Соавторы могут выполнять такие же действия, что и владелец формы, за исключением удаления и перемещения формы. Кроме того, Forms позволяет создать форму, на которую можно ответить анонимно. Это означает, что респонденту не нужно входить в организацию, чтобы ответить на форму.

В таблице ниже описаны действия по аудиту и сведения в записи аудита в отношении действий, выполняемых соавторами и анонимными респондентами.

Тип действия	Внутренний или внешний пользователь	ИД пользователя, который выполнил вход	Организация, в которую выполнен вход	Тип пользователя Forms
Совместное редактирование	Внутренний	Имя участника-пользователя	Организация владельца формы	Соавтор
Совместное редактирование	Внешний	Имя участника-пользователя	Организация соавтора	Соавтор
Совместное редактирование	Внешний	`urn:forms:coauthor#a0b1c2d3@forms.office.com` (Вторая часть идентификатора — это хэш-код, уникальный для каждого пользователя)	Организация владельца формы	Соавтор
Действия ответа	Внешний	Имя участника-пользователя	Организация респондента	Респондент
Действия ответа	Внешний	`urn:forms:external#a0b1c2d3@forms.office.com` (Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)	Организация владельца формы	Респондент
Действия ответа	Анонимный	`urn:forms:anonymous#a0b1c2d3@forms.office.com` (Вторая часть ИД пользователя — это хэш-код, уникальный для каждого пользователя)	Организация владельца формы	Респондент

Microsoft Graph Data Connect

В следующей таблице перечислены действия пользователей и администраторов в Microsoft Graph Data Connect , зарегистрированные для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Понятное имя	Операция	Описание
Приложение утверждено или запрещено	ConsentModificationRequest	Пользователь выполнил запрос на изменение согласия.
Извлечение выполнено	DataAccessRequestOperation	Пользователь выполнил извлечение. Наборы данных партнеров и запуски независимого поставщика программного обеспечения исключаются.

действия Планировщик (Майкрософт)

В следующей таблице перечислены действия пользователей и администраторов в Планировщик (Майкрософт), которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия , и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Понятное имя	Операция	Описание
Чтение плана	PlanRead	План считывается пользователем или приложением. Если операция чтения является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ContainerType указывает ContainerType.Invalid, а ContainerId — null.
Создан план	PlanCreated	План создается пользователем или приложением. Если операция создания имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, ContainerType — ContainerType.Invalid, а ContainerId — null.
Изменение плана	PlanModified	План изменяется пользователем или приложением.
Удален план	PlanDeleted	План удаляется пользователем или приложением.
Скопирован план	PlanCopied	План копируется пользователем или приложением. Если операция копирования — ResultStatus.Failure или ResultStatus.Failure, newPlanId указывает null, newContainerType — ContainerType.Invalid, а newContainerId — null.
Чтение задачи	TaskRead	Задача считывается пользователем или приложением. Если операция чтения имеет значение ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanId указывает null.
Создание задачи	TaskCreated	Задача создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, а PlanId — null.
Изменение задачи	TaskModified	Задача изменяется пользователем или приложением.
Удалена задача	TaskDeleted	Задача удаляется пользователем или приложением.
Назначена задача	TaskAssigned	Назначение задачи изменяется пользователем или приложением. Это может быть неназначаемая задача, назначаемая или назначенная задача имеет нового назначенного.
Выполнена задача	TaskCompleted	Задача помечается выполненной пользователем или приложением.
Создан список	РеестрСоздать	Список создается пользователем или приложением. Если операция создания является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает null, MemberId — пустую строку.
Удален список	RosterDeleted	Список удаляется пользователем или приложением.
Добавлены члены в реестр	RosterMemberAdded	Члены добавляются в реестр. Если операция добавления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает на список пытаемых идентификаторов элементов.
Удалены члены списка	RosterMemberDeleted	Член (члены) удаляется из списка. Если операция удаления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, MemberIds указывает список идентификаторов участников, которые пытались выполнить.
Чтение списка планов	PlanListRead	Список планов запрашивается пользователем или приложением. Если операция запроса — ResultStatus.Failure или ResultStatus.AuthorizationFailure, PlanList указывает пустую строку.
Чтение списка задач	TaskListRead	Список задач запрашивается пользователем или приложением. Если операция запроса является ResultStatus.Failure или ResultStatus.AuthorizationFailure, TaskList указывает пустую строку.
Обновлены параметры клиента	TenantSettingsUpdated	Параметры клиента обновляются администратором клиента. Если операция обновления является ResultStatus.Failure или ResultStatus.AuthorizationFailure, ObjectId указывает исходные параметры, а TenantSettings — на выполненную попытку параметров клиента.
Обновлена метка конфиденциальности списка	РеестрSensitivityLabelUpdated	Пользователь или приложение обновляет метку конфиденциальности реестра.

Действия, связанные с Microsoft Power Apps

В журнале аудита можно искать связанные с приложениями действия, выполненные в Power Apps. К таким действиям относятся создание, запуск и публикация приложений. Назначение разрешений для приложений также подлежит аудиту. Описание всех действий в Power Apps см. в статье Ведение журнала действий для Power Apps.

Примечание.

События аудита политик оповещений (Оповещение защиты) (RecordType:45) в настоящее время не поддерживаются для PowerApps.

Действия, связанные с Microsoft Power Automate

В журнале аудита можно искать действия, выполненные в Power Automate (прежнее название — Microsoft Flow). К таким действиям относятся создание, изменение и удаление потоков, а также изменение разрешений потока. Сведения об аудите действий Power Automate см. в блоге События аудита Power Automate, доступные на портале соответствия требованиям.

Действия по управлению Microsoft Purview

В следующей таблице перечислены действия системы управления Microsoft Purview, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения см. в статье Решения для управления Microsoft Purview.

Понятное имя	Операция	Описание
Созданный ресурс или сущность	EntityCreated	Новый ресурс или сущность создается или добавляется в существующий ресурс.
Добавлена классификация	КлассификацияДобавлено	Добавление классификаций в сущность актива.
Создано определение классификации	ClassificationDefinitionCreated	Create тип классификации.
Определение классификации удалено	ClassificationDefinitionDeleted	Удаление типа классификации.
Обновлено определение классификации	ClassificationDefinitionUpdated	Обновление типа классификации.
Удалена классификация	ClassificationDeleted	Удаление классификаций из сущности актива.
Классификация обновлена	ClassificationUpdated	Обновление классификаций для сущности актива.
Сущность удалена	EntityDeleted	Ресурс или сущность удаляются из существующего ресурса.
Сущность обновлена	EntityUpdated	Включает: обновление атрибута, обновление бизнес-атрибута, сведения о коллекции (включая только идентификатор коллекции), обновление контактов, customAttributes, иерархия, homeId, метки, sourceDetails
Назначенный термин глоссария	GlossaryTermAssigned	Назначьте термины сущности актива.
Созданный термин глоссария	GlossaryTermCreated	Create термин.
Термин глоссария удален	GlossaryTermDeleted	Удаление термина.
Термин глоссария не связан	GlossaryTermDisassociated	Отмена связи терминов с сущностью актива.
Термин глоссария обновлен	GlossaryTermUpdated	Обновление термина.
Метка конфиденциальности изменена	SensitivityLabelChanged	Метка конфиденциальности добавляется, обновляется или удаляется.

Действия Microsoft Project в Интернете

Вы можете искать действия в журнале аудита в Microsoft Project в Интернете. Microsoft Project в Интернете основана на Microsoft Dataverse и связана с Project Power App. Сведения о включении аудита для сценариев, в которых пользователь использует Microsoft Dataverse или Project Power App, см. в руководстве по аудиту параметров системы . Список сущностей, связанных с Project в Интернете, см. в руководстве по экспорту данных пользователей из Project в Интернете.

Сведения о microsoft Project в Интернете см. в разделе Microsoft Project в Интернете.

Примечание.

Для аудита событий для действий Microsoft Project в Интернете требуется платная лицензия на Project, план 1 (или выше) в дополнение к соответствующей лицензии Microsoft 365, которая включает права на аудит (премиум).

Понятное имя	Операция	Описание
Созданный проект	ProjectCreated	Проект создается пользователем или приложением.
Созданная дорожная карта	Дорожная картаСоздать	Дорожная карта создается пользователем или приложением.
Созданный элемент дорожной карты	RoadmapItemCreated	Элемент стратегии создается пользователем или приложением.
Созданная задача	TaskCreated	Задача создается пользователем или приложением.
Удаленный проект	ProjectDeleted	Проект удаляется пользователем или приложением.
Удаленная дорожная карта	Дорожная картаDeleted	Стратегия удаляется пользователем или приложением.
Удаленный элемент дорожной карты	RoadmapItemDeleted	Элемент дорожной карты удаляется пользователем или приложением.
Удаленная задача	TaskDeleted	Задача удаляется пользователем или приложением.
Доступ к проекту	ProjectAccessed	Проект считывается или приложение.
Доступ к домашней странице проекта	ProjectListAccessed	Пользователь запрашивает список проектов и (или) дорожных карт.
Доступ к дорожной карте	Дорожная картаДоступ	Стратегия считывается пользователем или приложением.
Доступ к элементу дорожной карты	RoadmapItemAccessed	Элемент стратегии считывается пользователем или приложением.
Задача, доступ к ней	TaskAccessed	Задача считывается пользователем или приложением.
Обновлены параметры проекта	ProjectForTheWebProjectSettings	Параметры проекта обновляются администратором.
Обновленная дорожная карта	Дорожная картаОбдуется	Дорожная карта изменяется пользователем или приложением.
Обновленный элемент дорожной карты	RoadmapItemUpdated	Элемент дорожной карты изменяется пользователем или приложением.
Обновленные параметры дорожной карты	ProjectForTheWebRoadmaptSettings	Параметры дорожной карты обновляются администратором.
Обновленная задача	TaskUpdated	Задача изменяется пользователем или приложением.
Обновленный проект	ProjectUpdated	Проект изменяется пользователем или приложением.

Действия, связанные с Microsoft Stream

В журнале аудита можно искать действия, выполненные в Microsoft Stream. К этим действиям относятся связанные с видео действия, выполняемые пользователями, действия в канале группы и действия администраторов, такие как управление пользователями, управление параметрами организации и экспорт отчетов. Описание этих действий см. в разделе "Действия, регистрируемые в Microsoft Stream" статьи Журналы аудита в Microsoft Stream.

Действия, связанные с Microsoft Teams

В следующей таблице перечислены действия Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. В журнале аудита можно искать действия пользователей и администраторов, выполненные в Microsoft Teams. Teams — это рабочее пространство на основе чата в Microsoft 365. Это место, в котором собраны все беседы, собрания, файлы и заметки команды. Более подробное руководство по поиску см. в разделе Поиск журнал аудита для событий в Microsoft Teams.

Понятное имя	Операция	Описание
Бот добавлен в группу	BotAddedToTeam	Пользователь добавляет бот в группу.
Добавлен канал	ChannelAdded	Пользователь добавляет канал в группу.
Соединитель добавлен	ConnectorAdded	Пользователь добавляет соединитель в канал.
Добавлены сведения о собрании Teams ^2,⁵	MeetingDetail	Teams добавила сведения о собрании, включая время начала, время окончания и URL-адрес для присоединения к собранию.
Добавлены сведения об участниках собрания ^2,⁵	MeetingParticipantDetail	Teams добавили сведения об участниках собрания, включая идентификатор пользователя каждого участника, время присоединения участника к собранию и время, когда участник покинул собрание.
Добавлены члены ^5,⁶	MemberAdded	Владелец команды добавляет участников в команду, канал или групповой чат.
Вкладка добавлена	TabAdded	Пользователь добавляет вкладку в канал.
Примененная метка конфиденциальности	SensitivityLabelApplied	Пользователь или организатор собрания применил метку конфиденциальности к собранию Teams.
Изменен параметр канала	ChannelSettingChanged	Операция ChannelSettingChanged записывается в журнал при выполнении участником команды следующих действий. Для каждого из этих действий в результатах поиска в журнале аудита отображается описание измененного параметра (отображается в скобках). Изменение имени канала команды (название канала) Описание изменений канала группы (описание канала)
Изменен параметр организации	TeamsTenantSettingChanged	Операция TeamsTenantSettingChanged регистрируется, когда глобальный администратор в Центр администрирования Microsoft 365 выполняет следующие действия. Эти действия влияют на параметры Teams для всей организации. Дополнительные сведения см. в статье Управление параметрами Teams для вашей организации. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках). Включает или отключает Teams для организации (Microsoft Teams). Включает или отключает взаимодействие между Microsoft Teams и Skype для бизнеса для организации (Skype для бизнеса взаимодействие). Включает или отключает представление организационной диаграммы в клиентах Microsoft Teams (представление организационной диаграммы). Включает или отключает возможность для участников команды планировать частные собрания (планирование частных собраний). Включает или отключает возможность для участников команды планировать собрания каналов (планирование собраний канала). Включает или отключает видеозвонки в собраниях Teams (видео для собраний Skype). Включает или отключает общий доступ к экрану в собраниях Microsoft Teams для организации (демонстрация экрана для собраний Skype). Включает или отключает эту возможность добавления анимированных изображений (под названием Giphys) в беседы Teams (анимированные изображения). Изменяет параметр оценки содержимого для организации (оценка содержимого). Оценка содержимого ограничивает типы анимированных изображений, которые могут отображаться в беседах. Включает или отключает возможность добавления настраиваемых изображений (называемых пользовательскими мемами) из Интернета в беседы группы (настраиваемые изображения из Интернета). Включает или отключает возможность добавления участниками команды редактируемых изображений (называемых наклейками) в беседы группы (редактируемые изображения). Включает или отключает эту возможность для участников команды использовать ботов в чатах и каналах Microsoft Teams (боты на уровне организации). Включает определенных ботов для Microsoft Teams. К этим программам не относится T-Bot — программа-робот для предоставления справки по Teams, которая доступна, когда для организации включена возможность использования программ-роботов (Отдельные программы-роботы). Включает или отключает возможность добавления расширений или вкладок участниками команды (расширения или вкладки). Включает или отключает загрузку неопубликованных ботов для Microsoft Teams (загрузка ботов на стороне). Включает или отключает возможность отправки пользователями сообщений электронной почты на канал Microsoft Teams (электронная почта канала).
Изменена роль участников в команде	MemberRoleChanged	Владелец команды изменяет роль участников в команде. Следующие значения указывают тип роли, назначенный пользователю. 1 — указывает роль участника. 2 — указывает роль владельца. 3 — указывает на роль "Гость". Свойство Members также включает имя вашей организации и адрес электронной почты участника.
Изменен параметр группы	TeamSettingChanged	Операция TeamSettingChanged записывается в журнал при выполнении владельцем команды следующих действий. Для каждого из этих действий в столбце Элемент в результатах поиска по журналу аудита отображается описание измененного параметра (показано в скобках). Изменяет тип доступа для команды. Teams можно задать как частный или общедоступный (тип доступа team). Если команда закрытая (параметр по умолчанию), пользователи могут получить доступ к ней только по приглашению. Общедоступная команда открыта для всех. Изменяет классификацию информации команды (классификация команд). Например, можно классифицировать данные команды как имеющие высокое, среднее или низкое влияние на бизнес. Изменяет имя команды (имя команды). Изменяет описание команды (описание группы). Изменения, внесенные в параметры команды. Чтобы получить доступ к этим параметрам, владелец команды может щелкнуть команду правой кнопкой мыши, выбрать Управление командой, а затем выбрать вкладку Параметры . Для этих действий имя измененного параметра отображается в столбце Элемент в результатах поиска в журнале аудита.
Изменена метка конфиденциальности	SensitivityLabelChanged	Пользователь изменил метку конфиденциальности на собрании Teams.
Создан чат ^1,²	ChatCreated	Создан чат Teams.
Создана группа	TeamCreated	Пользователь создает команду.
Удалено сообщение ²	MessageDeleted	Сообщение в чате или канале было удалено.
Удалены все приложения организации	DeletedAllOrganizationApps	Удалены все приложения организации из каталога.
Удаленное приложение	AppDeletedFromCatalog	Приложение удалено из каталога.
Удален канал	ChannelDeleted	Пользователь удаляет канал из группы.
Удалена группа	TeamDeleted	Владелец команды удаляет ее.
Изменено сообщение со ссылкой НА URL-адрес в Teams ⁵	MessageEditedHasLink	Пользователь изменяет сообщение и добавляет к нему ССЫЛКу НА URL-адрес в Teams.
Экспортированные сообщения ^1,²	MessagesExported	Сообщения чата или канала экспортированы.
Экспортированные записи	RecordingExported	Записи чата экспортированы.
Экспортированные расшифровки	TranscriptsExported	Стенограммы чата экспортированы.
Не удалось проверить приглашение на общий канал ³	FailedValidation	Пользователь отвечает на приглашение на общий канал, но его проверка не пройдена.
Выборка чата ^1,²	ChatRetrieved	Получен чат Microsoft Teams.
Получено все размещенное содержимое сообщения^1,²	MessageHostedContentsListed	Все размещенное в сообщении содержимое, например изображения или фрагменты кода, было извлечено.
Приложение установлено	AppInstalled	Установлено приложение.
Выполнено действие для карта	PerformedCardAction	Пользователь выполнил действия с адаптивным карта в чате. Адаптивные карточки обычно используются ботами для эффективного отображения информации и взаимодействия в чатах. Примечание: В журнале аудита будут доступны только встроенные входные действия для адаптивного карта внутри чата. Например, когда пользователь отправляет ответ на опрос в беседе канала на адаптивном карта, созданном ботом опроса. Действия пользователя, такие как "Просмотр результата", при котором открывается диалоговое окно, или действия пользователя внутри диалогов, не будут доступны в журнале аудита.
Опубликовано новое сообщение ^1,^2,^5,⁶	MessageSent	Новое сообщение было опубликовано в чате или канале.
Опубликованное приложение	AppPublishedToCatalog	Приложение было добавлено в каталог.
Чтение сообщения ^1,²	MessageRead	Получено сообщение чата или канала.
Чтение размещенного содержимого сообщения ^1,²	MessageHostedContentRead	Было извлечено размещенное в сообщении содержимое, например изображение или фрагмент кода.
Бот удален из группы	BotRemovedFromTeam	Пользователь удаляет бот из группы.
Соединитель удален	ConnectorRemoved	Пользователь удаляет соединитель из канала.
Удалены участники	MemberRemoved	Владелец команды удаляет участников из команды, канала или группового чата.
Удалена метка конфиденциальности	SensitivityLabelRemoved	Пользователь удалил метку конфиденциальности из собрания Teams.
Удален общий доступ к каналу ³ команды	TerminatedSharing	Команда или владелец канала отключили общий доступ к общему каналу.
Восстановлен общий доступ к каналу ³ команды	SharingRestored	Команда или владелец канала повторно включил общий доступ для общего канала.
Вкладка удалена	TabRemoved	Пользователь удаляет вкладку из канала.
Ответ на приглашение для общего канала ³	InviteeResponded	Пользователь ответил на приглашение общего канала.
Ответ на ответ приглашенного на общий канал ³	ChannelOwnerResponded	Владелец канала ответил на ответ пользователя, который ответил на приглашение общего канала.
Полученные сообщения ^1,²	MessagesListed	Сообщения из чата или канала были получены.
Отправка сообщения со ссылкой НА URL-адрес в Teams ⁵	MessageCreatedHasLink	Пользователь отправляет сообщение, содержащее URL-ссылку в Teams.
Уведомление об отправленных изменениях для создания сообщения ^1,²	MessageCreatedNotification	Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской о новом сообщении.
Отправленное уведомление об изменении для удаления сообщения ^1,²	MessageDeletedNotification	Было отправлено уведомление об изменениях, чтобы уведомить приложение прослушивателя с подпиской об удаленном сообщении.
Отправлено уведомление об изменениях для сообщения обновления ^1,²	MessageUpdatedNotification	Было отправлено уведомление об изменении, чтобы уведомить приложение прослушивателя с подпиской об обновленном сообщении.
Отправленное приглашение для общего канала ³	InviteSent	Владелец канала или участник отправляет приглашение на общий канал. Приглашения на общие каналы можно отправлять пользователям за пределами организации, если политика канала настроена для предоставления доступа к каналу внешним пользователям.
Подписан на уведомления об изменении сообщений ^1,²	SubscribedToMessages	Подписка была создана приложением-прослушивателем для получения уведомлений об изменениях сообщений.
Удалено приложение	AppUninstalled	Приложение было удалено.
Обновленное приложение	AppUpdatedInCatalog	Приложение было обновлено в каталоге.
Обновлен чат ^1,²	ChatUpdated	Обновлен чат Teams.
Обновлено сообщение ^1,²	MessageUpdated	Обновлено сообщение чата или канала.
Обновлен соединитель	ConnectorUpdated	Пользователь изменил соединитель в канале.
Вкладка обновлена	TabUpdated	Пользователь изменил вкладку в канале.
Обновленное приложение	AppUpgraded	Приложение обновлено до последней версии в каталоге.
Пользователь вошел в Teams	TeamsSessionStarted	Пользователь входит в клиент Microsoft Teams. Это событие не фиксирует действия по обновлению маркера.
Опубликовано новое сообщение ^3,^4,^5,⁶	MessageSent	Новое сообщение было опубликовано в чате или канале. Это событие является функцией уровня "Премиум" с определяемыми сведениями о лицензировании.

Примечание.

¹ Запись аудита для этого события регистрируется только при выполнении операции путем вызова API Graph Майкрософт. Если операция выполняется в клиенте Teams, запись аудита не регистрируется.
² Это событие доступно только в audit (Premium). Это означает, что пользователям должна быть назначена соответствующая лицензия, прежде чем эти события будут зарегистрированы в журнале аудита. Дополнительные сведения о действиях, доступных только в audit (Premium), см. в разделе Аудит (премиум) в Microsoft Purview. Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.
³ Это событие находится в общедоступной предварительной версии.
⁴Это событие создается для чата только при наличии гостей, федеративных и (или) анонимных пользователей.
⁵ Это событие в настоящее время недоступно в облаке сообщества для государственных организаций (GCC), облаке сообщества для государственных организаций (GCC-High) и Министерстве обороны (DoD).
⁶ Это событие включается во всех участвующих клиентах для федеративных чатов.
⁷ Это событие содержит сведения о домене участника для федеративных чатов 1:1.

Действия в сфере здравоохранения, связанные с Microsoft Teams

Если в вашей организации используется приложение "Пациенты" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Пациенты". Если ваша среда настроена для поддержки приложения "Пациенты", в списке выбора Действия доступна дополнительная группа действий.

Действия в сфере здравоохранения, связанные с Microsoft Teams, в списке выбора действий.

Описания действий приложения "Пациенты" см. в статье Журналы аудита приложения "Пациенты".

Действия, связанные с приложением "Смены" в Microsoft Teams

В следующей таблице перечислены действия приложения Shift в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если в вашей организации используется приложение "Смены" в Microsoft Teams, вы можете выполнять в журнале аудита поиск действий, связанных с использованием приложения "Смены". Если ваша среда настроена для поддержки приложения "Смены", в списке выбора Действия доступна дополнительная группа действий.

Понятное имя	Операция	Описание
Добавлена группа планирования	ScheduleGroupAdded	Пользователь успешно добавляет в расписание новую группу планирования.
Измененная группа планирования	ScheduleGroupEdited	Пользователь успешно изменяет группу планирования.
Удаленная группа планирования	ScheduleGroupDeleted	Пользователь успешно удаляет группу планирования из расписания.
Отозвали расписание	ScheduleWithdrawn	Пользователь успешно отзывает опубликованное расписание.
Добавлена смена	ShiftДобавлено	Пользователь успешно добавляет смену.
Измененная смена	ShiftEdited	Пользователь успешно изменяет смену.
Удаленная смена	ShiftDeleted	Пользователь успешно удаляет смену.
Добавлено время отгула	TimeOffAdded	Пользователь успешно добавляет время отгула по расписанию.
Измененное время отгула	TimeOffEdited	Пользователь успешно изменяет время отгула.
Удалено время отгула	TimeOffDeleted	Пользователь успешно удаляет время отгула.
Добавлена открытая смена	OpenShiftAdded	Пользователь успешно добавляет открытую смену в группу планирования.
Измененная открытая смена	OpenShiftEdited	Пользователь успешно изменяет открытую смену в группе планирования.
Удалена открытая смена	OpenShiftDeleted	Пользователь успешно удаляет открытую смену из группы планирования.
Общее расписание	ScheduleShared	Пользователь успешно предоставил общий доступ к расписанию команды для диапазона дат.
Синхронизация с использованием часов времени	ClockedIn	Пользователь успешно выполняет часы с помощью часов времени.
Время ожидания с помощью часов	ClockedOut	Пользователь успешно выполняет синхронизацию с помощью часов времени.
Запуск перерыва с помощью часов времени	BreakStarted	Пользователь успешно запускает перерыв во время активного сеанса часов времени.
Окончание перерыва с помощью часов времени	BreakEnded	Пользователь успешно завершает перерыв во время активного сеанса часов времени.
Добавлена запись time clock	TimeClockEntryAdded	Пользователь успешно добавляет новую запись часов времени вручную в time sheet.
Запись измененных часов времени	TimeClockEntryEdited	Пользователь успешно изменяет запись часов в таблице времени.
Запись "Удаленные часы времени"	TimeClockEntryDeleted	Пользователь успешно удаляет запись time clock в time sheet.
Добавлен запрос на смену	RequestAdded	Пользователь добавил запрос на смену.
Ответ на запрос на смену	RequestRespondedTo	Пользователь ответил на запрос смены.
Отмененный запрос на смену	RequestCancelled	Пользователь отменил запрос на смену.
Изменен параметр расписания	ScheduleSettingChanged	Пользователь изменяет параметр в параметрах shifts.
Добавлена интеграция с персоналом	WorkforceIntegrationДобавлено	Приложение Shifts интегрировано со сторонней системой.
Сообщение о принятом отключении смены	OffShiftDialogAccepted	Пользователь подтверждает сообщение вне смены для доступа к Teams после смены.

Действия microsoft Teams Обновления

В следующей таблице перечислены Обновления приложения в Microsoft Teams, которые регистрируются в журнале аудита Microsoft 365. Если ваша организация использует приложение Обновления в Microsoft Teams, вы можете найти в журнале аудита действия, связанные с , с помощью приложения Обновления. Если ваша среда настроена для поддержки Обновления приложений, в списке Средства выбора действий доступна дополнительная группа действий для этих действий.

Понятное имя	Операция	Описание
Create запрос на обновление	CreateUpdateRequest	Пользователь успешно создает запрос на обновление.
Изменение запроса на обновление	EditUpdateRequest	Пользователь открывает мастер редактирования запросов и нажимает кнопку Сохранить , чтобы подтвердить и сохранить любые изменения, либо включает или отключает запрос на обновление напрямую.
Отправка обновления	SubmitUpdate	Пользователь успешно отправляет обновление.
Просмотр сведений об одном обновлении	ViewUpdate	Пользователь просматривает сведения об обновлении.

Действия Microsoft To Do

В следующей таблице перечислены действия в Microsoft To Do, зарегистрированные в журнале аудита Microsoft 365. Дополнительные сведения о Microsoft To Do см. в разделе Поддержка Microsoft To Do.

Примечание.

События аудита для действий Microsoft To Do требуют платной лицензии Project, план 1 (или выше) в дополнение к соответствующей лицензии Microsoft 365, которая включает права на аудит (премиум).

Понятное имя	Операция	Описание
Ссылка для общего доступа к папке	AcceptedSharingLinkOnFolder	Принятая ссылка общего доступа для папки.
Вложение создано	ВложениеСоздать	Для задачи было создано вложение.
Вложение обновлено	AttachmentUpdated	Вложение обновлено.
Вложение удалено	AttachmentDeleted	Вложение удалено.
Общий доступ к папке	FolderSharingLinkShared	Создал ссылку для общего доступа к папке.
Связанная сущность удалена	LinkedEntityDeleted	Связанная сущность удалена.
Связанная сущность обновлена	LinkedEntityUpdated	Связанная сущность обновлена.
Созданная связанная сущность	LinkedEntityCreated	Создана связанная сущность задачи.
Созданная подзадака	SubTaskCreated	Создана подзадада.
Удалена подзадака	SubTaskDeleted	Удалена подзадаче.
Обновлена подзадака	SubTaskUpdated	Обновлена подзадада.
Созданная задача	TaskCreated	Задача создана.
Задача удалена	TaskDeleted	Задача удалена.
Чтение задачи	TaskRead	Задача была прочитана.
Задача обновлена	TaskUpdated	Задача обновлена.
Создан список задач	TaskListCreated	Был создан список задач.
Чтение списка задач	TaskListRead	Был прочитан список задач.
Список задач обновлен	TaskListUpdated	Список задач обновлен.
Приглашенный пользователь	UserInvited	Приглашенный пользователь в папку.

действия Microsoft Viva Insights

Viva Insights дает представление о том, как группы работают в вашей организации. В следующей таблице перечислены действия, выполняемые пользователями, которым назначена роль администратора или аналитика в Viva Insights. Пользователям с назначенной ролью аналитика полностью доступны все функции службы и возможность применения продукта для выполнения анализа. Пользователи, которым назначена роль администратора, могут настраивать параметры конфиденциальности и системные значения по умолчанию, а также могут подготавливать, передавать и проверять данные организации в Viva Insights. Дополнительные сведения см. в разделе Знакомство с Microsoft Viva Insights.

Понятное имя	Операция	Описание
Посещена ссылка OData	AccessedOdataLink	Аналитик посетил ссылку OData для запроса.
Отменен запрос	CanceledQuery	Аналитик отменил выполняемый запрос.
Создано исключение из собрания	MeetingExclusionCreated	Аналитик создал правило исключения из собрания.
Удален результат	DeletedResult	Аналитик удалил результат запроса.
Скачан отчет	DownloadedReport	Аналитик скачал файл результата запроса.
Выполнен запрос	ExecutedQuery	Аналитик выполнил запрос.
Изменен параметр доступа к данным	UpdatedDataAccessSetting	Администратор обновил параметры доступа к данным.
Изменен параметр конфиденциальности	UpdatedPrivacySetting	Администратор обновленные параметры конфиденциальности, например минимальный размер группы.
Отправлены данные организации	UploadedOrgData	Администратор отправил файл данных организации.
Пользователь вошел в систему^*	UserLoggedIn	Пользователь выполнил вход в свою учетную запись Microsoft 365.
Пользователь вышел из системы^*	UserLoggedOff	Пользователь вышел из своей учетной записи Microsoft 365.
Просмотрено	ViewedExplore	Аналитик просмотрел визуализации на одной или нескольких вкладках страницы просмотра.

Примечание.

^*событие действия Microsoft Entra входа и выхода создается при входе пользователя. Это действие регистрируется в журнале, даже если в вашей организации не включено Viva Insights. Дополнительные сведения о действиях входа пользователей см. в статье Журналы входа в Microsoft Entra ID.

Действия личной аналитики

В следующей таблице перечислены действия в личной аналитике, которые регистрируются в журнале аудита Microsoft 365. Дополнительные сведения о личной аналитике см. в Администратор руководстве по личной аналитике.

Понятное имя	Операция	Описание
Обновлены параметры MyAnalytics для организации	UpdatedOrganizationMyAnalyticsSettings	Администратор обновляет параметры уровня организации для личных аналитических сведений.
Обновлены параметры MyAnalytics для пользователей	UpdatedUserMyAnalyticsSettings	Администратор обновляет параметры пользователей для личной аналитики.

Карантинная деятельность

В следующей таблице перечислены действия на карантине, которые можно найти в журнале аудита. Дополнительные сведения о карантине см. в разделе Сообщения электронной почты на карантине.

Понятное имя	Операция	Описание
Удаленное карантинное сообщение	QuarantineDeleteMessage	Администратор или пользователь удалили сообщение электронной почты, которое было сочтено вредоносным.
Отклонен запрос на выпуск сообщения карантина	QuarantineReleaseRequestDeny	Отказ администратора в запросе на выпуск от пользователя для сообщения электронной почты, которое было признано вредоносным.
Экспортированное сообщение карантина	QuarantineExport	Администратор или пользователь экспортировал сообщение электронной почты, которое было сочтено вредоносным.
Предварительно просмотренное сообщение на карантине	QuarantinePreview	Администратор или пользователь предварительно просмотрил сообщение электронной почты, которое было признано вредоносным.
Выпущенное карантинное сообщение	QuarantineRelease	Администратор или пользователь выпустил сообщение электронной почты из карантина, которое было признано вредным.
Сообщение о карантине запроса на выпуск	QuarantineReleaseRequest	Пользователь запросил освобождение сообщения электронной почты, которое было признано вредоносным.
Просмотренный заголовок сообщения карантина	QuarantineViewHeader	Администратор или пользователь просмотрел заголовок сообщения электронной почты, которое было сочтено вредоносным.

Действия отчетов

В таблице ниже перечислены действия для отчетов об использовании, которые регистрируются в журнале аудита Microsoft 365.

Понятное имя	Операция	Описание
Обновлены параметры конфиденциальности отчета об использовании	UpdateUsageReportsPrivacySetting	Администратор обновил параметры конфиденциальности для отчетов об использовании.

Действия, связанные с политикой хранения и метками хранения

В следующей таблице описываются действия настройки политик хранения и меток хранения при их создании, перенастройке или удалении.

Понятное имя	Операция	Описание
Изменено членство в адаптивной области	ApplicableAdaptiveScopeChange	Пользователи, сайты или группы добавлены в адаптивную область или удалены из нее. Эти изменения являются результатами выполнения запроса области. Эти изменения были инициированы системой, поэтому в качестве имени пользователя отображается GUID, а не учетная запись пользователя.
Настроены параметры политики хранения	NewRetentionComplianceRule	Администратор настроил параметры хранения для новой политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета New-RetentionComplianceRule.
Адаптивная область создана	NewAdaptiveScope	Администратор создал адаптивную область.
Создана метка хранения	NewComplianceTag	Администратор создал новую метку хранения.
Создана политика хранения	NewRetentionCompliancePolicy	Администратор создал новую политику хранения.
Адаптивная область удалена	RemoveAdaptiveScope	Администратор удалил адаптивную область.
Удалены параметры из политики хранения	RemoveRetentionComplianceRule	Администратор удалил параметры конфигурации политики хранения. Скорее всего, это действие регистрируется, когда администратор удаляет политику хранения или запускает командлет Remove-RetentionComplianceRule.
Удалена метка хранения	RemoveComplianceTag	Администратор удалил метку хранения.
Удалена политика хранения	RemoveRetentionCompliancePolicy	Администратор удалил политику хранения.
Включен параметр записи, отвечающей нормативным требованиям, для меток хранения	SetRestrictiveRetentionUI	Администратор запустил командлет Set-RegulatoryComplianceUI, чтобы иметь возможность выбрать параметр конфигурации пользовательского интерфейса, позволяющий пометить содержимое как запись, отвечающую нормативным требованиям, с помощью метки хранения.
Адаптивная область обновлена	SetAdaptiveScope	Администратор изменил описание или запрос для существующей адаптивной области.
Обновлены параметры политики хранения	SetRetentionComplianceRule	Администратор изменил параметры хранения для существующей политики хранения. Параметры хранения включают срок хранения элементов и действия в отношении элементов по истечении срока хранения (например, удаление, хранение или хранение и последующее удаление элементов). Это действие также соответствует выполнению командлета Set-RetentionComplianceRule.
Обновлена метка хранения	SetComplianceTag	Администратор обновил существующую метку хранения.
Обновлена политика хранения	SetRetentionCompliancePolicy	Администратор обновил существующую политику хранения. К обновлениям, запускающим это событие, относятся добавление и исключение расположений контента, к которым применяется политика хранения.

Действия, связанные с администрированием ролей

В следующей таблице перечислены Microsoft Entra действия администрирования ролей, которые регистрируются, когда администратор управляет ролями администратора в Центр администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Понятное имя	Операция	Описание
В роль добавлен участник	В роль добавлен участник.	Добавил пользователя к роли администратора в Microsoft 365.
Из роли каталога удален пользователь	Удаление участника из роли.	Удален пользователь из роли администратора в Microsoft 365.
Настройка контактных данных компании	Настройка контактных данных компании.	Обновлены параметры контактов на уровне компании для вашей организации. Сюда входят адреса электронной почты для подписки, отправляемой Microsoft 365, и технические уведомления об услугах.

Действия типов конфиденциальной информации

В следующей таблице описаны события аудита для действий, связанных с созданием и обновлением типов конфиденциальной информации.

Понятное имя	Операция	Описание
Создан новый тип конфиденциальной информации	CreateRulePackage / EditRulePackage*	Создан новый тип конфиденциальной информации. Сюда входят все SIT,созданные путем копирования из коробки SIT. Примечание. Это действие показано в действиях аудита "Созданный пакет правил" или "Измененный пакет правил".
Изменен тип конфиденциальной информации	EditRulePackage	Изменен существующий тип конфиденциальной информации. Сюда могут входить такие операции, как добавление или удаление шаблона и редактирование регулярного выражения или ключевое слово, связанных с типом конфиденциальной информации. Примечание: Это действие будет отображаться в действии аудита "Измененный пакет правил".
Удален тип конфиденциальной информации	EditRulePackage / RemoveRulePackage	Существующий тип конфиденциальной информации удален. Примечание: Это действие будет отображаться в действии аудита "Измененный пакет правил" или "Удаленный пакет правил".

Действия с метками конфиденциальности

В следующей таблице перечислены события, которые являются результатом использования меток конфиденциальности с сайтами и элементами, управляемыми Microsoft Purview. К элементам относятся документы, сообщения электронной почты и события календаря. Для политик автоматической маркировки элементы также включают файлы и схематизированные ресурсы данных в Схема данных Microsoft Purview.

Понятное имя	Операция	Описание
Метка конфиденциальности применена к сайту	SiteSensitivityLabelApplied	Метка конфиденциальности была применена к сайту SharePoint или сайту Teams, который не подключен к группе.
Метка конфиденциальности, примененная к сайту, удалена	SiteSensitivityLabelRemoved	Метка конфиденциальности была удалена с сайта SharePoint или сайта Teams, который не подключен к группе.
Метка конфиденциальности применена к файлу	FileSensitivityLabelApplied SensitivityLabelApplied	Метка конфиденциальности была применена к элементу с помощью приложений Microsoft 365, Office в Интернете или политики автоматической маркировки. Операции для этого действия различаются в зависимости от того, как была применена метка: — Office в Интернете или политики автоматической маркировки (FileSensitivityLabelApplied) — Приложения Microsoft 365 (SensitivityLabelApplied)
Метка конфиденциальности, примененная к файлу, изменена	FileSensitivityLabelChanged SensitivityLabelUpdated	К элементу применена другая метка конфиденциальности. Операции для этого действия отличаются в зависимости от изменения метки: - Office в Интернете или политика автоматического добавления меток (FileSensitivityLabelChanged) - Приложения Microsoft 365 (SensitivityLabelUpdated)
На сайте изменена метка конфиденциальности	SiteSensitivityLabelChanged	К сайту SharePoint или сайту Teams, который не подключен к группе, применена другая метка конфиденциальности.
Метка конфиденциальности, примененная к файлу, удалена	FileSensitivityLabelRemoved SensitivityLabelRemoved	Метка конфиденциальности была удалена из элемента с помощью приложений Microsoft 365, Office в Интернете, политики автоматической маркировки или командлета Unlock-SPOSensitivityLabelEncryptedFile. Операции для этого действия различаются в зависимости от того, как была удалена метка: — Office в Интернете или политики автоматической маркировки (FileSensitivityLabelRemoved) — Приложения Microsoft 365 (SensitivityLabelRemoved)

Дополнительные сведения об аудите меток конфиденциальности:

При использовании меток конфиденциальности для Группы Microsoft 365 и, следовательно, сайтов Teams, подключенных к группам, эти метки проверяются с помощью управления группами в Microsoft Entra ID. Дополнительные сведения см. в разделе Журналы аудита в Microsoft Entra ID.
При использовании меток конфиденциальности для приглашений на собрания Teams, параметров собрания и чата Teams см. статью Поиск журнал аудита для событий в Microsoft Teams.
При использовании меток конфиденциальности в Power BI см. статью Аудит схемы меток конфиденциальности в Power BI.
При использовании меток конфиденциальности с Microsoft Defender для облачных приложений см. статью Управление подключенными приложениями и сведения о метках для действий по управлению файлами.
При применении меток конфиденциальности с помощью клиента или сканера Защита информации Microsoft Purview или пакета SDK microsoft Information Protection (MIP) см. статью Справочник по журналу аудита Information Protection Azure.

Действия, связанные со списками SharePoint

В таблице ниже описаны действия, относящиеся к взаимодействию пользователей со списками и элементами списков в SharePoint Online. Записи аудита для некоторых действий SharePoint указывают, app@sharepoint пользователь выполнил действие от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя	Операция	Описание
Создан список	ListCreated	Пользователь создал список SharePoint.
Создан столбец списка	ListColumnCreated	Пользователь создал столбец списка SharePoint. Столбец списка — это столбец, прикрепленный к одному или нескольким спискам SharePoint.
Создан тип контента списка	ListContentTypeCreated	Пользователь создал тип контента списка. Тип контента списка — это тип контента, прикрепленный к одному или нескольким спискам SharePoint.
Создан элемент списка	ListItemCreated	Пользователь создал элемент в существующем списке SharePoint.
Создан столбец сайта	SiteColumnCreated	Пользователь создал столбец сайта SharePoint. Столбец сайта — это столбец, не прикрепленный к списку. Столбец сайта также является структурой метаданных, которую можно использовать в любом списке на определенном веб-сайте.
Создан тип контента сайта	Создан объект ContentType сайта	Пользователь создал тип контента сайта. Тип контента сайта — это тип контента, прикрепленный к родительскому сайту.
Удален список	ListDeleted	Пользователь удалил список SharePoint.
Удален столбец списка	Столбец списка удален	Пользователь удалил столбец списка SharePoint.
Удален тип контента списка	ListContentTypeDeleted	Пользователь удалил тип контента списка.
Удален элемент списка	Элемент списка удален	Пользователь удалил элемент списка SharePoint.
Удален столбец сайта	SiteColumnDeleted	Пользователь удалил столбец сайта SharePoint.
Удален тип контента сайта	SiteContentTypeDeleted	Пользователь удалил тип контента сайта.
Перемещен в корзину элемент списка	ListItemRecycled	Пользователь переместил элемент списка SharePoint в корзину.
Восстановлен список	ListRestored	Пользователь восстановил список SharePoint из корзины.
Восстановлен элемент списка	ListItemRestored	Пользователь восстановил элемент списка SharePoint из корзины.
Обновлен список	ListUpdated	Пользователь обновил список SharePoint, изменив одно или несколько свойств.
Обновлен столбец списка	ListColumnUpdated	Пользователь обновил столбец списка SharePoint, изменив одно или несколько свойств.
Обновлен тип контента списка	ListContentTypeUpdated	Пользователь обновил тип контента списка, изменив одно или несколько свойств.
Обновлен элемент списка	ListItemUpdated	Пользователь обновил элемент списка SharePoint, изменив одно или несколько свойств.
Обновлен столбец сайта	SiteColumnUpdated	Пользователь обновил столбец сайта SharePoint, изменив одно или несколько свойств.
Обновлен тип контента сайта	SiteContentTypeUpdated	Пользователь обновил тип контента сайта, изменив одно или несколько свойств.

В таблице ниже описаны действия, связанные с общим доступом и запросами на доступ пользователей в SharePoint Online и OneDrive для бизнеса. Для совместного доступа к событиям столбец Сведения в разделе Результаты определяет имя пользователя или группы, которым предоставлен общий доступ к элементу, а также их тип (участник или гость организации). Для получения дополнительной информации см. раздел Использование аудита совместного использования в журнале аудита.

Примечание.

Пользователи могут быть членами или гостями на основе свойства UserType объекта пользователя. Как правило, участник — это сотрудник, а гость — подрядчик за пределами организации. Когда пользователь принимает приглашение к общему доступу (и при этом еще не входит в состав организации), для него создается гостевая учетная запись в каталоге организации. После того как для гостевого пользователя будет создана учетная запись в каталоге, ему можно будет напрямую предоставлять общий доступ к ресурсам (без приглашения).

Понятное имя	Операция	Описание
Добавлен уровень разрешений для семейства веб-сайтов	PermissionLevelAdded	Для семейства веб-сайтов добавлен уровень разрешений.
Запрос на доступ принят	AccessRequestAccepted	Запрос на доступ к сайту, папке или документу принят, и запросившему пользователю предоставлен доступ.
Приглашение к совместному использованию принято	SharingInvitationAccepted	Пользователь (участник или гость) принял приглашение на общий доступ и получил доступ к ресурсу. Это событие содержит сведения о пользователе, который был приглашен, и адресе электронной почты, который использовался для принятия приглашения (они могут различаться). Это действие зачастую сопровождается вторым событием, которое описывает способ предоставления пользователю доступа к ресурсу, например его добавление в группу, у которой есть такой доступ.
Заблокировано приглашение к совместному использованию	SharingInvitationBlocked	Приглашение к общему доступу, отправленное пользователем вашей организации, заблокировано из-за политики внешнего общего доступа, которая разрешает или запрещает внешний доступ, исходя из домена целевого пользователя. В данном случае приглашение к общему доступу было заблокировано по одной из следующих причин: Домен целевого пользователя не входит в список разрешенных доменов. ИЛИ Домен целевого пользователя включен в список блокируемых доменов. Дополнительные сведения о разрешении и блокировании внешнего общего доступа в зависимости от домена см. в статье Ограничение общего доступа для доменов в SharePoint Online и OneDrive для бизнеса.
Создан запрос на доступ	AccessRequestCreated	Пользователь запрашивает доступ к сайту, папке или документу, на доступ к которым у него нет разрешений.
Создана ссылка общего доступа для компании	CompanyLinkCreated	Пользователь создал на уровне организации ссылку на ресурс. Ссылки на уровне организации могут использовать только участники вашей организации. Их не могут использовать гости.
Создана анонимная ссылка	AnonymousLinkCreated	Пользователь создал анонимную ссылку на ресурс. По этой ссылке любой пользователь может получить доступ к ресурсу без проверки подлинности.
Создана безопасная ссылка	SecureLinkCreated	Для элемента создана безопасная ссылка общего доступа.
Приглашение к совместному использованию создано	SharingInvitationCreated	Пользователь предоставил общий доступ к ресурсу в SharePoint Online или OneDrive для бизнеса другому пользователю, отсутствующему в каталоге организации.
Удалена безопасная ссылка	SecureLinkDeleted	Безопасная ссылка общего доступа была удалена.
Отклонен запрос на доступ	AccessRequestDenied	Запрос на доступ к сайту, папке или документу отклонен.
Удалена корпоративная ссылка для общего доступа	CompanyLinkRemoved	Пользователь удалил корпоративную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Удалена анонимная ссылка	AnonymousLinkRemoved	Пользователь удалил анонимную ссылку на ресурс. Эту ссылку больше нельзя использовать для доступа к ресурсу.
Предоставлен общий доступ к файлу, папке или сайту	SharingSet	Пользователь (участник или гость) предоставил общий доступ к файлу, папке или сайту в SharePoint или OneDrive для бизнеса другому пользователю, присутствующему в каталоге организации. Значение в столбце Сведения для этого действия определяет имя пользователя, которому был предоставлен общий доступ к ресурсу, и его тип (участник или гость). Это действие зачастую сопровождается вторым событием, описывающим способ предоставления пользователю доступа к ресурсу. Например, его добавление в группу, у которой есть такой доступ.
Обновлен запрос на доступ	AccessRequestUpdated	Запрос на доступ к элементу был обновлен.
Обновлена анонимная ссылка	AnonymousLinkUpdated	Пользователь обновил анонимную ссылку на ресурс. При экспорте результатов поиска обновленное поле добавляется в свойство EventData.
Обновлено приглашение к совместному использованию	SharingInvitationUpdated	Приглашение к внешнему общему доступу было обновлено.
Использована анонимная ссылка	AnonymousLinkUsed	Анонимный пользователь обратился к ресурсу по анонимной ссылке. Личность пользователя может быть неизвестна, однако можно получить другие сведения, такие как его IP-адрес.
Отменен общий доступ к файлу, папке или сайту	SharingRevoked	Пользователь (участник или гость) отменил общий доступ к файлу, папке или сайту, к которым ранее был предоставлен общий доступ другому пользователю.
Использована ссылка общего доступа для компании	CompanyLinkUsed	Пользователь обратился к ресурсу по ссылке на уровне организации.
Использована безопасная ссылка	SecureLinkUsed	Пользователь использовал безопасную ссылку.
Пользователь добавлен в безопасную ссылку	AddedToSecureLink	Пользователь был добавлен в список объектов, которые могут использовать безопасную ссылку для общего доступа.
Пользователь удален из безопасной ссылки	RemovedFromSecureLink	Пользователь был удален из списка объектов, которые могут использовать безопасную ссылку для общего доступа.
Приглашение к совместному использованию отозвано	SharingInvitationRevoked	Пользователь отозвал приглашение на общий доступ к ресурсу.

Действия, связанные с администрированием сайта

В таблице ниже перечислены события, возникающие в результате действий по администрированию сайта в SharePoint Online. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя	Операция	Описание
Добавлено разрешенное расположение данных	AllowedDataLocationAdded	Администратор SharePoint или глобальный администратор добавил разрешенное расположение данных в среду с поддержкой нескольких регионов.
Добавлен исключаемый агент пользователя	ExemptUserAgentSet	Администратор SharePoint или глобальный администратор добавил агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.
Добавлен администратор географического расположения	GeoAdminAdded	Администратор SharePoint или глобальный администратор добавил пользователя в качестве администратора географического расположения.
Пользователю разрешено создавать группы	AllowGroupCreationSet	Администратор или владелец сайта добавляет уровень разрешений для сайта, позволяющий пользователю создавать группы на этом сайте.
Отменено географическое перемещение сайта	SiteGeoMoveCancelled	Администратор SharePoint или глобальный администратор успешно отменяет географические перемещения сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Изменена политика общего доступа	SharingPolicyChanged	Администратор SharePoint или глобальный администратор изменил политику общего доступа SharePoint с помощью Центра администрирования Microsoft 365, Центра администрирования SharePoint или командной консоли SharePoint Online. Любое изменение параметров политики общего доступа в организации регистрируется в журнале. Измененная политика указывается в поле ModifiedProperties подробных свойств записи о событии.
Изменена политика доступа к устройству	DeviceAccessPolicyChanged	Администратор SharePoint или глобальный администратор изменил политику неуправляемых устройств для организации. Эта политика контролирует доступ к SharePoint, OneDrive и Microsoft 365 с устройств, которые не подключены к вашей организации. Для настройки этой политики необходима подписка на Enterprise Mobility + Security. Дополнительные сведения см. в статье Управление доступом с неуправляемых устройств.
Изменены исключаемые агенты пользователя	CustomizeExemptUsers	Администратор SharePoint или глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что когда агент пользователя, указанный как исключение, сталкивается с формой InfoPath, форма возвращается в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath.
Изменена политика доступа к сети	NetworkAccessPolicyChanged	Администратор SharePoint или глобальный администратор изменил политику доступа по расположению (также называемую границей надежной сети) в Центре администрирования SharePoint или с помощью SharePoint Online PowerShell. Политика этого типа регулирует доступ к ресурсам SharePoint и OneDrive в организации на основе указанных вами диапазонов авторизованных IP-адресов. Дополнительные сведения см. в статье Управление доступом к данным SharePoint Online и OneDrive на основе сетевых расположений.
Завершенное задание миграции	MigrationJobCompleted	Задание миграции успешно завершено.
Завершено географическое перемещение сайта	SiteGeoMoveCompleted	Географическое перемещение сайта, запланированное глобальным администратором организации, успешно выполнено. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Создано подключение "Отправить пользователю"	SendToConnectionAdded	Администратор SharePoint или глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. После создания подключения отправки организатор контента может отправлять документы в указанное расположение.
Создано семейство веб-сайтов	SiteCollectionCreated	Администратор SharePoint или глобальный администратор создает семейство веб-сайтов в организации SharePoint Online или пользователь подготавливает свой сайт OneDrive для бизнеса.
Удален потерянный центральный сайт	HubSiteOrphanHubDeleted	Администратор SharePoint или глобальный администратор удалил потерянный центральный сайт, у которого отсутствуют связанные с ним сайты. Возникновение потерянного центрального сайта, скорее всего, вызвано удалением исходного центрального сайта.
Удалены подключения "Отправить пользователю"	SendToConnectionRemoved	Администратор SharePoint или глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint.
Удален сайт	SiteDeleted	Администратор сайта удаляет сайт.
Включен предварительный просмотр документов	PreviewModeEnabledSet	Администратор сайта включает предварительный просмотр документов для сайта.
Включен устаревший рабочий процесс	LegacyWorkflowEnabledSet	Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint 2013 на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint.
Включен Office по запросу	OfficeOnDemandSet	Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Office on Demand включен в центре администрирования SharePoint и требует подписку Microsoft 365, которая включает в себя полные установленные приложения Office.
Включен источник результатов для поиска людей	PeopleResultsScopeSet	Администратор сайта создает источник результатов для функции "Поиск людей" на сайте.
Включены RSS-каналы	NewsFeedEnabledSet	Администратор или владелец сайта включает RSS-каналы для сайта. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint.
Сайт присоединен к центральному сайту	HubSiteJoined	Владелец сайта связывает свой сайт с центральным сайтом.
Изменена квота семейства веб-сайтов	SiteCollectionQuotaModified	Администратор сайта изменяет квоту для семейства веб-сайтов.
Зарегистрирован центральный сайт	HubSiteRegistered	Администратор SharePoint или глобальный администратор создает центральный сайт. В результате сайт будет зарегистрирован как центральный сайт.
Удалено разрешенное расположение данных	AllowedDataLocationDeleted	Администратор SharePoint или глобальный администратор удалил разрешенное расположение данных из среды с поддержкой нескольких регионов.
Удален администратор географического расположения	GeoAdminDeleted	Администратор SharePoint или глобальный администратор удалил пользователя из роли администратора географического расположения.
Переименован сайт	SiteRenamed	Администратор или владелец сайта переименовывает сайт.
Запланировано географическое перемещение сайта	SiteGeoMoveScheduled	Администратор SharePoint или глобальный администратор успешно планирует географическое перемещение сайта SharePoint или OneDrive. Возможность Multi-Geo позволяет организации охватывать несколько географических центров Microsoft, которые называются geos. Дополнительную информацию см. в разделе Многофункциональные возможности в OneDrive и SharePoint Online.
Настроен сайт узла	HostSiteSet	Администратор SharePoint или глобальный администратор изменяет сайт, назначенный для размещения личных сайтов или сайтов OneDrive для бизнеса.
Задана квота хранилища для географического расположения	GeoQuotaAllocated	Администратор SharePoint или глобальный администратор настроил квоту хранилища для географического расположения в среде с поддержкой нескольких регионов.
Сайт отсоединен от центрального сайта	HubSiteUnjoined	Владелец сайта отсоединяет свой сайт от центрального сайта.
Отменена регистрация центрального сайта	HubSiteUnregistered	Администратор SharePoint или глобальный администратор отменяет регистрацию сайта в качестве центрального сайта. При отмене регистрации центрального сайта он перестает выполнять функции центрального сайта.

Действия, связанные с разрешениями для сайтов

В таблице ниже перечислены события, связанные с назначением разрешений в SharePoint и использованием групп для предоставления (и отзыва) доступа к сайтам. Как упоминалось ранее, записи аудита для некоторых действий SharePoint указывают на то, app@sharepoint пользователь выполнил действия от имени пользователя или администратора, который инициировал действие. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.

Понятное имя	Операция	Описание
Добавлен администратор семейства веб-сайтов	SiteCollectionAdminAdded	Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам. Это действие также записывается в журнал, когда администратор предоставляет себе доступ к учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint или с помощью Центра администрирования Microsoft 365).
В группу SharePoint добавлен пользователь или группа	AddedToGroup	Пользователь добавил участника или гостя в группу SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события предоставления общего доступа.
Нарушено наследование уровня разрешений	PermissionLevelsInheritanceBroken	В результате изменения элемент больше не наследует уровни разрешений от родительского элемента.
Нарушено наследование общего доступа	SharingInheritanceBroken	В результате изменения элемент больше не наследует разрешения на общий доступ от родительского элемента.
Создана группа	GroupAdded	Администратор или владелец сайта создает группу для сайта или выполняет задачу, приводящую к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл.
Удалена группа	GroupRemoved	Пользователь удаляет группу с сайта.
Изменен параметр запроса доступа	WebRequestAccessModified	Параметры запросов на доступ изменились на сайте.
Изменен параметр "Участники могут предоставлять доступ"	WebMembersCanShareModified	Параметр Участники могут предоставлять доступ был изменен на сайте.
Изменен уровень разрешений для семейства веб-сайтов	PermissionLevelModified	В семействе веб-сайтов изменен уровень разрешений.
Изменены разрешения сайта	SitePermissionsModified	Администратор или владелец сайта (либо системная учетная запись) изменяет уровень разрешений, назначенный группе на сайте. Это действие также записывается в журнал при удалении всех разрешений, назначенных группе. ПРИМЕЧАНИЕ. Эту операцию не рекомендуется использовать в SharePoint Online. Чтобы обнаружить связанные события, можно найти другие действия, связанные с разрешениями, например Добавлен администратор семейства веб-сайтов, В группу SharePoint добавлен пользователь или группа, Пользователю разрешено создавать группы, Создана группа и Удалена группа.
Удален уровень разрешений для семейства веб-сайтов	PermissionLevelRemoved	Из семейства веб-сайтов удален уровень разрешений.
Удален администратор семейства веб-сайтов	SiteCollectionAdminRemoved	Администратор или владелец семейства веб-сайтов удаляет пользователя из роли администратора семейства веб-сайтов для сайта. Это действие также записывается в журнал, когда администратор удаляет себя из списка администраторов семейства веб-сайтов для учетной записи OneDrive пользователя (путем изменения профиля пользователя в Центре администрирования SharePoint). Чтобы вернуть это действие в результатах поиска по журналу аудита, необходимо выполнить поиск по всем действиям.
Из группы SharePoint удален пользователь или группа	RemovedFromGroup	Пользователь удалил участника или гостя из группы SharePoint. Это может быть как намеренным действием, так и результатом другого действия, например события отмены общего доступа.
Запрошены разрешения администратора сайта	SiteAdminChangeRequest	Пользователь отправил запрос на добавление себя в качестве администратора семейства веб-сайтов. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.
Восстановлено наследование общего доступа	SharingInheritanceReset	Выполнено изменение, в результате которого элемент снова наследует разрешения общего доступа от родительского элемента.
Обновлена группа	GroupUpdated	Администратор или владелец сайта изменяет параметры группы для сайта. Это может быть изменение имени группы, списка пользователей, которые могут просматривать или изменять состав группы, а также способа обработки запросов на вступление в группу.

Действия, связанные с синхронизацией

В таблице ниже перечислены действия, связанные с синхронизацией файлов в SharePoint Online и OneDrive для бизнеса.

Понятное имя	Операция	Описание
Компьютеру разрешено синхронизировать файлы	ManagedSyncClientAllowed	Пользователь успешно устанавливает отношение синхронизации с сайтом. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, добавленный в список доменов (так называемый список надежных получателей) и позволяющий получить доступ к библиотекам документов в вашей организации. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для обеспечения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютере заблокирована синхронизация файлов	UnmanagedSyncClientBlocked	Пользователь пытается установить связь синхронизации с сайтом с компьютера, который не является членом домена вашей организации или членом домена, который не был добавлен в список доменов (список надежных получателей), который может получить доступ к библиотекам документов в вашей организации. Связь синхронизации запрещена, и компьютер пользователя блокирует синхронизацию, скачивание или отправку файлов в библиотеку документов. Подробнее об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей.
На компьютер скачаны файлы	FileSyncDownloadedFull	Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
На компьютер скачаны изменения в файле	FileSyncDownloadedPartial	Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.
Файлы выложены в библиотеку документов	FileSyncUploadedFull	Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
Изменения в файле выложены в библиотеку документов	FileSyncUploadedPartial	Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.

Действия SystemSync

В таблице ниже перечислены действия SystemSync, зарегистрированные в журнале аудита Microsoft 365.

Понятное имя	Операция	Описание
Создан общий ресурс данных	DataShareCreated	При создании экспорта данных пользователем.
Удален общий ресурс данных	DataShareDeleted	При удалении экспорта данных пользователем.
Создание копии данных озера	GenerateCopyOfLakeData	При создании копии данных озера.
Скачивание копии данных озера	DownloadCopyOfLakeData	При скачивании копии данных озера.

Действия, связанные с администрированием пользователей

В таблице ниже перечислены действия по администрированию пользователей, которые регистрируются, когда администратор добавляет или изменяет учетную запись пользователя в Центре администрирования Microsoft 365 или на портале управления Azure.

Примечание.

Действие	Операция	Описание
Добавлен пользователь	Добавление пользователя.	Учетная запись пользователя была создана.
Изменена лицензия пользователя	Изменение лицензии пользователя.	Лицензия, назначенная пользователю, изменилась. Чтобы узнать, какие лицензии изменились, просмотрите соответствующее действие Обновлен пользователь.
Изменен пароль пользователя	Смена пароля пользователя.	Пользователь изменяет пароль. В организации необходимо включить самостоятельный сброс пароля (для всех или для выбранных пользователей), чтобы пользователи могли сбрасывать пароль. Вы также можете отслеживать действия самостоятельного сброса пароля в Microsoft Entra ID. Дополнительные сведения см. в разделе Параметры отчетов для управления паролями Microsoft Entra.
Удален пользователь	Удаление пользователя.	Учетная запись пользователя была удалена.
Сброшен пароль пользователя	Сброс пароля пользователя.	Администратор сбрасывает пароль пользователя.
Назначено свойство, которое заставляет пользователей изменить пароль	Установка принудительной смены пароля пользователя.	Администратор установил свойство, предписывающее пользователю сменить пароль при следующем входе в Microsoft 365.
Настроить свойства лицензии	Настройка свойств лицензии.	Администратор изменяет свойства лицензии, назначенной пользователю.
Обновлен пользователь	Обновление пользователя.	Администратор изменяет одно или несколько свойств учетной записи пользователя. Список свойств пользователя, которые можно обновить, см. в разделе "Обновление атрибутов пользователя" статьи Microsoft Entra событиях отчета аудита.

действия Viva Goals

В следующей таблице перечислены действия пользователей и администраторов в Viva Goals, которые регистрируются для аудита. Таблица содержит понятное имя, отображаемое в столбце Действия, и имя соответствующей операции, которое отображается в подробных сведениях записи аудита и в CSV-файле при экспорте результатов поиска.

Поиск в журнале аудита сведения о том, как найти журналы аудита на портале Microsoft Purview и на портале соответствия требованиям. Пользователь должен быть глобальным администратором или иметь разрешения на чтение аудита для доступа к журналам аудита. С помощью фильтра Действия можно искать определенные действия и выводить список всех Viva Goals действий, которые можно выбрать "VivaGoals" в фильтре типа записи. Вы также можете использовать поля диапазона дат и список Пользователи, чтобы еще больше сузить результаты поиска.

Понятное имя	Операция	Описание
Организация создана	Организация создана	Администратор или пользователь создал новую организацию на Viva Goals.
Пользователь добавлен	Пользователь добавлен	Новый пользователь был добавлен в организацию на Viva Goals.
Пользователь отключен	Пользователь отключен	Пользователь отключен в организации.
Пользователь удален	Пользователь удален	Пользователь был удален из организации Viva Goals.
Пользователь вошел в систему	Пользователь вошел в систему	Пользователь вошел в Viva Goals.
Добавлена команда	Добавлена команда	В Viva Goals в организации создана новая команда.
Команда обновлена	Команда обновлена	Команда в организации на Viva Goals была изменена или обновлена.
Команда удалена	Команда удалена	Команда в организации на Viva Goals была удалена пользователем.
Экспортированные данные	Экспортированные данные	Пользователь экспортировал список OKR или список пользователей в организации на Viva Goals.
Goals политика обновлена	Goals политика обновлена	Глобальный администратор изменил политику или параметры на уровне клиента на Viva Goals. Например, глобальный администратор настроил, кто может создавать организации на Viva Goals.
Обновлены параметры организации	Обновлены параметры организации	Пользователь (обычно владельцы или администраторы организации) обновил параметры организации в Viva Goals.
Обновлены интеграции организации	Обновлены интеграции организации	Пользователь (обычно владельцы или администраторы организации) настроил стороннюю интеграцию или обновил существующую стороннюю интеграцию для организации на Viva Goals.
OKR или project created	OKR или project created	Пользователь создал OKR или Project на Viva Goals.
OkR или Project обновлены	OkR или Project обновлены	OkR/Project был изменен или пользователь включил проверка или интеграцию с Viva Goals.
OkR или Project удалены	OkR или Project удалены	Пользователь удалил OKR или Project.
Созданная панель мониторинга	Созданная панель мониторинга	Пользователь создал новую панель мониторинга на Viva Goals
Обновлена панель мониторинга	Обновлена панель мониторинга	Пользователь обновил панель мониторинга на Viva Goals
Удалена панель мониторинга	Удалена панель мониторинга	Пользователь удалил панель мониторинга на Viva Goals.

действия Viva Engage

В следующей таблице перечислены действия пользователей и администраторов в Viva Engage, зарегистрированные в журнале аудита. Чтобы вернуть действия, связанные с Viva Engage, из журнала аудита необходимо выбрать Пункт Показать результаты для всех действий в списке Действия. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Примечание.

Некоторые Viva Engage действия аудита доступны только в разделе Аудит (Премиум). Это означает, что пользователям необходимо назначить соответствующую лицензию, прежде чем эти действия будут зарегистрированы в журнале аудита. Дополнительные сведения см. в разделе Аудит (премиум). Требования к лицензированию для функции "Аудит" (премиум) см. в статье Решения для аудита в Microsoft 365.

В следующей таблице действия, доступные в функции "Аудит" (премиум), выделены звездочкой (*).

Понятное имя	Операция	Описание
Changed data retention policy (Изменена политика хранения данных)	SoftDeleteSettingsUpdated	Проверенный администратор изменяет значение параметра сетевой политики хранения данных — задает необратимое или обратимое удаление. Это действие могут выполнять только проверенные администраторы.
Изменена конфигурация сети	NetworkConfigurationUpdated	Сетевой или проверенный администратор изменяет конфигурацию сети Viva Engage. Операция включает настройку интервала для экспорта данных и включение чата.
Изменены параметры сетевого профиля	ProcessProfileFields	Администратор сети или проверенный администратор изменяет информацию, отображаемую в профилях участников для сетевых пользователей.
Changed private content mode (Изменен режим личного содержимого)	SupervisorAdminToggled	Проверенный администратор включает или выключает режим частного содержимого . Этот режим позволяет администратору просматривать записи в закрытых группах и личную переписку между отдельными пользователями (или группами пользователей). Это действие могут выполнять только проверенные администраторы.
Changed security configuration (Изменена конфигурация безопасности)	NetworkSecurityConfigurationUpdated	Проверенный администратор обновляет конфигурацию безопасности сети Viva Engage. Операция включает настройку политик времени прекращения действия и ограничений для IP-адресов. Это действие могут выполнять только проверенные администраторы.
Created file (Создан файл)	FileCreated	Пользователь добавляет файл.
Создана группа	GroupCreation	Пользователь создает группу.
Создано сообщение^*	MessageCreated	Пользователь создает сообщение.
Удалена группа	GroupDeletion	Группа удаляется из Viva Engage.
Deleted message (Удалено сообщение)	MessageDeleted	Пользователь удаляет сообщение.
Скачан файл	FileDownloaded	Пользователь скачивает файл.
Exported data (Экспортированы данные)	DataExport	Проверенный администратор экспортирует Viva Engage сетевые данные. Это действие могут выполнять только проверенные администраторы.
Не удалось получить доступ к сообществу^*	CommunityAccessFailure	Пользователю не удалось получить доступ к сообществу.
Не удалось получить доступ к файлу^*	FileAccessFailure	Пользователю не удалось получить доступ к файлу.
Не удалось получить доступ к сообщению^*	MessageAccessFailure	Пользователю не удалось получить доступ к сообщению.
Реагировал на сообщение	MarkedMessageChanged	Пользователь отреагировал на сообщение.
Пользователь поделился файлом	FileShared	Пользователь делится файлом с другим пользователем.
Suspended network user (Приостановлен пользователь сети)	NetworkUserSuspended	Сетевой или проверенный администратор приостанавливает (деактивирует) пользователя от Viva Engage.
Suspended user (Приостановлен пользователь)	UserSuspension	Активность учетной записи пользователя приостановлена (деактивирована).
Updated file description (Обновлено описание файла)	FileUpdateDescription	Пользователь изменяет описание файла.
Updated file name (Обновлено имя файла)	FileUpdateName	Пользователь изменяет имя файла.
Обновлено сообщение^*	MessageUpdated	Пользователь обновляет сообщение.
Viewed file (Просмотрен файл)	FileVisited	Пользователь просматривает файл.
Просмотрено сообщение^*	MessageViewed	Пользователь просматривает сообщение.

Windows 365 действия с хранилищем для клиентов

В следующей таблице перечислены действия пользователей и администраторов в Windows 365 customer Lockbox, зарегистрированные в журнале аудита. Чтобы вернуть Windows 365 действий, связанных с защищенной папкой клиента, из журнала аудита выберите Windows365CustomerLockbox в разделе Типы записей. Уточнить результаты поиска можно с помощью полей диапазона дат и списка Пользователи.

Понятное имя	Операция	Описание
Активация исправления устройства	Активация исправления устройства	Активируйте исправление устройства.
Отправка папки в BLOB-объект	Отправка папки в BLOB-объект	Сжать и передать папку устройства клиента в большой двоичный объект.
Проверка политики выполнения PowerShell	Проверка политики выполнения PowerShell	Проверьте политику выполнения PowerShell.
Установка агента RD	Установка агента RD	Установите агент RD на устройстве пользователя.
Запуск гибридного расширения AADJ	Запуск гибридного расширения AADJ	Запустите гибридное расширение AADJ на устройстве пользователя.
запрос Create VmExtension	запрос Create VmExtention	Создает запросы на расширение виртуальной машины для выполнения расширения виртуальной машины для выполнения пользовательских сценариев на устройстве клиента.
Триггер оркестратора	Триггер оркестратора	Активировать оркестратор для пользователя.
Активация универсального действия SaaF	Активация универсального действия SaaF	Активировать действие устройства (retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) для пользователя.
Универсальное действие триггера	Универсальное действие триггера	Активировать действие устройства для пользователя.
Активация универсального действия с параметрами	Активация универсального действия с параметрами	Активируйте действие устройства с параметрами параметров, более мощными, чем при универсальном действии триггера.
Create новых рабочих элементов (планировщик)	Create новых рабочих элементов (планировщик)	Create новые рабочие элементы, например подготовка, отзыв, повторная подготовка и т. д.
Операция после удаленного действия	Операция после удаленного действия	После удаленного действия pls опрашивает результат по операции GetActions.
Выполнение команд OCE на виртуальной машине	Выполнение команд OCE на виртуальной машине	Выполните команды по идентификатору клиента, списку идентификаторов устройств и скрипту.
запрос Create LogCollection	запрос Create LogCollection	Create запрос на сбор журналов на облачный компьютер.
Запуск агента CMD Canary проверка.	Запуск агента CMD Canary проверка.	Запуск проверка агента CMD на определенном устройстве.
Выполнение AppHealthPlugin	Выполнение AppHealthPlugin	Выполните AppHealthPlugin.
Агент CMD backfill	Операция AddDevicesToBackfill	Резервное заполнение агента CMD на облачном компьютере.
Переустановка агента CMD	Операция AddDevicesToReinstall	Переустановите агент CMD по запросу.
Массовая переустановка агента CMD	Операция TriggerClientAgentCheckBulkAction	Массовая переустановка агента CMD по запросу.
Create операции удаленного действия в ActionModeratorService	Create операции удаленного действия в ActionModeratorService	Create удаленное действие по идентификаторам клиента, workspaceID, actionType, actionParameters.

Действия в журнале аудита

Действия, связанные с администрированием приложений

действия Microsoft Entra администрирования группы

Действия с письмом сводки дел

Действия по обеспечению соответствия требованиям к обмену данными

Действия, связанные с обозревателем содержимого

Мероприятия Copilot

Действия, связанные с администрированием каталогов

Действия по проверке перед ликвидацией

Действия, связанные с обнаружением электронных данных

Действия обнаружения электронных данных (премиум)

Действия на портале зашифрованных сообщений

Действия администратора Exchange

Действия, связанные с почтовыми ящиками Exchange

Системные учетные записи в записях аудита почтовых ящиков Exchange

Действия, связанные с файлами и страницами

Часто задаваемые вопросы о событиях FileAccessed и FilePreviewed

Пользователь app@sharepoint в записях аудита

Действия, связанные с папками

Действия с информационными барьерами

действия общих параметров Microsoft Defender для конечной точки

действия параметров индикатора Microsoft Defender для конечной точки

действия Microsoft Defender для конечной точки повторного выполнения действий

действия параметров ролей Microsoft Defender для конечной точки

Microsoft Defender для деятельности экспертов

действия Microsoft Defender для удостоверений

Microsoft Defender XDR настраиваемые действия обнаружения

действия Microsoft Defender XDR инцидентов

действия правил подавления Microsoft Defender XDR

Действия Microsoft Fabric

Действия Microsoft Forms

Действия в Forms, выполняемые соавторами и анонимными респондентами

Microsoft Graph Data Connect

действия Планировщик (Майкрософт)

Действия, связанные с Microsoft Power Apps

Действия, связанные с Microsoft Power Automate

Действия по управлению Microsoft Purview

Действия Microsoft Project в Интернете

Действия, связанные с Microsoft Stream

Действия, связанные с Microsoft Teams

Действия в сфере здравоохранения, связанные с Microsoft Teams

Действия, связанные с приложением "Смены" в Microsoft Teams

Действия microsoft Teams Обновления

Действия Microsoft To Do

действия Microsoft Viva Insights

Действия личной аналитики

Карантинная деятельность

Действия отчетов

Действия, связанные с политикой хранения и метками хранения

Действия, связанные с администрированием ролей

Действия типов конфиденциальной информации

Действия с метками конфиденциальности

Действия, связанные со списками SharePoint

Действия, связанные с общим доступом и запросами на доступ

Действия, связанные с администрированием сайта

Действия, связанные с разрешениями для сайтов

Действия, связанные с синхронизацией

Действия SystemSync

Действия, связанные с администрированием пользователей

действия Viva Goals

действия Viva Engage

Windows 365 действия с хранилищем для клиентов

Обратная связь

Обратная связь

Дополнительные ресурсы