分享方式:


在 Microsoft Teams 中搜尋活動的稽核記錄

重要事項

Microsoft Teams 系統管理中心正逐漸取代商務用 Skype系統管理中心,而我們將 Teams 設定從Microsoft 365 系統管理中心移轉至該系統管理中心。 如果已移轉設定,您會看到通知,然後被導向至 Teams 系統管理中心的設定位置。 如需詳細資訊,請 參閱在轉換至 Teams 系統管理中心期間管理 Teams

稽核記錄可協助您調查整個 Microsoft 365 服務的特定活動。 針對 Microsoft Teams,以下是一些已稽核的活動:

  • 團隊建立
  • 團隊刪除
  • 新增頻道
  • 已刪除頻道
  • 已變更的頻道設定

如需已稽核的 Teams 活動完整清單,請參閱 Teams 活動Teams 活動中的班次

注意事項

也會記錄來自私人頻道的稽核事件,因為其適用于小組和標準頻道。

在 Teams 中開啟稽核

您必須先在Microsoft Purview 合規性入口網站中開啟稽核,才能查看稽核資料。 如需詳細資訊, 請參閱開啟或關閉稽核

重要事項

只有當您開啟稽核時,才能使用稽核資料。

從稽核記錄中擷取 Teams 資料

  1. 若要擷取 Teams 活動的稽核記錄,請移至 https://compliance.microsoft.com 並選取 [ 稽核]

  2. 在 [ 搜尋] 頁面上,篩選您想要稽核的活動、日期和使用者。

  3. 將您的結果匯出至 Excel 以進一步分析。

如需逐步指示,請 參閱在合規性入口網站中搜尋稽核記錄

重要事項

只有在開啟稽核時,稽核資料才會顯示在稽核記錄中。

稽核記錄保留和可在稽核記錄中搜尋的時間長度取決於您的 Microsoft 365 或Office 365訂閱,特別是指派給使用者的授權類型。 若要深入瞭解,請參閱 安全 & 性合規性中心服務描述

搜尋稽核記錄的祕訣

以下是在稽核記錄中搜尋 Teams 活動的秘訣。

合規性入口網站中稽核記錄搜尋頁面的螢幕擷取畫面

  • 按一下一或多個活動旁邊的核取方塊,即可選取要搜尋的特定活動。 如果已選取活動,您可以按一下它以取消選取。 您也可以使用搜尋方塊顯示含有您輸入的關鍵字之活動。

    稽核記錄搜尋頁面上活動下拉式清單的螢幕擷取畫面

  • 若要顯示使用 Cmdlet 執行之活動的事件,請選取 [活動] 清單所有活動的 [顯示結果]。 如果您知道這些活動的作業名稱,請在搜尋方塊中輸入它以顯示活動,然後選取它。

  • 若要清除目前的搜尋準則,請選取 [ 全部清除]。 日期範圍會回到過去七天的預設值。

  • 如果找到 5,000 個結果,您可能可以假設有超過 5,000 個符合搜尋準則的結果。 您可以精簡搜尋準則,然後重新執行搜尋以傳回較少的結果,也可以選> 取 [匯出下載所有結果] 來匯出所有搜尋結果。 如需匯出稽核記錄的逐步指示,請參閱 將搜尋結果匯出至檔案

請參閱 這段影片 以使用音訊記錄搜尋。 加入 Teams 計畫經理 Ansuman Acharya,他示範如何執行 Teams 的稽核記錄搜尋。

Teams 活動

以下是 Microsoft 365 稽核記錄中針對 Teams 中使用者和系統管理員活動所記錄的所有事件清單。 資料表包含 [ 活動 ] 資料行中顯示的易記名稱,以及當您匯出搜尋結果時出現在稽核記錄詳細資訊和 CSV 檔案中之對應作業的名稱。

易記名稱 作業 描述
已將 Bot 新增到小組 BotAddedToTeam 使用者在小組中新增機器人。
新增頻道 ChannelAdded 使用者在小組中新增頻道。
已新增連接器 ConnectorAdded 使用者在頻道中新增連接器。
已新增 Teams 會議2、5的詳細資料 MeetingDetail Teams 新增了會議的相關資訊,包括開始時間、結束時間,以及加入會議的 URL。
新增會議參與者2、5的相關資訊 MeetingParticipantDetail Teams 新增了會議參與者的相關資訊,包括每個參與者的使用者識別碼、參與者加入會議的時間,以及參與者離開會議的時間。
已新增成員 5、 6 MemberAdded 小組擁有者將成員新增至小組、頻道或群組聊天。
已新增索引標籤 TabAdded 使用者在頻道中新增索引標籤。
套用的敏感度標籤 SensitivityLabelApplied 使用者或會議召集人將敏感度標籤套用至 Teams 會議。
已變更的頻道設定 ChannelSettingChanged 小組成員執行下列活動時會記錄 ChannelSettingChanged 作業。 針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 (括弧中所顯示之設定的描述。
  • 變更小組頻道的名稱 (頻道名稱)
  • 變更小組頻道的描述 (頻道描述)
已變更的組織設定 TeamsTenantSettingChanged 當全域系統管理員在Microsoft 365 系統管理中心中執行下列活動時,會記錄 TeamsTenantSettingChanged 作業。 這些活動會影響全組織 Teams 設定。 若要深入瞭解,請 參閱管理組織的 Teams 設定
針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 () 括弧中所顯示之設定的描述。
  • 啟用或停用 Microsoft Teams) (組織的 Teams
  • 啟用或停用 Microsoft Teams 與組織商務用 Skype之間的互通性, (商務用 Skype互通性) 。
  • 啟用或停用 Microsoft Teams 用戶端中的組織結構檢視, (組織結構檢視) 。
  • 啟用或停用小組成員排程私人會議 (私人會議排程) 的能力。
  • 啟用或停用小組成員排程頻道會議 (頻道會議排程) 的能力。
  • 啟用或停用 Teams 會議中的視訊通話 (Skype 會議 的影片) 。
  • 為組織啟用或停用 Microsoft Teams 會議中的畫面共用, (Skype 會議) 的螢幕畫面共用
  • 啟用或停用將名為 Giphys) 動畫影像 (新增到 Teams 交談 (動畫影 像) 的功能。
  • 變更組織的內容分級設定 (內容分級) 。 內容分級會限制交談中可以顯示的動畫影像類型。
  • 啟用或停用小組成員將可自訂影像 (從網際網路) 新增到小組交談的自訂) 影像, (網際網路) 的 可自訂影 像。
  • 啟用或停用小組成員將可編輯的影像新增 (稱為貼紙的功能,) 加入至可 編輯 影像) (小組交談。
  • 啟用或停用該功能,讓小組成員能夠在 Microsoft Teams 聊天和頻道中使用 Bot, (全組織 Bot)
  • 啟用 Microsoft Teams 的特定 Bot。 這不包括 T-Bot,也就是當組織啟用 Bot 功能時可用的 Teams 說明 Bot (個人 Bot)。
  • 啟用或停用小組成員在擴充功能或索引標籤) (新增擴充功能 索引標籤的能力。
  • 啟用或停用 Microsoft Teams 專屬 Bot 的側載 (側 載 Bot) 。
  • 啟用或停用使用者將電子郵件訊息傳送至 Microsoft Teams 頻道 (信 道電子郵件) 的能力。
小組中已變更的成員角色 MemberRoleChanged 小組擁有者在小組中變更成員角色。 下列值表示指派給使用者的角色類型。

1 - 指出成員角色。
2 - 指出擁有者角色。
3 - 代表「來賓」角色。

Members 屬性也包含您組織的名稱和成員的電子郵件地址。
已變更的小組設定 TeamSettingChanged 小組擁有者執行下列活動時會記錄 TeamSettingChanged 作業。 針對每個活動,稽核記錄搜尋結果的 [ 專案 ] 資料行中會顯示已變更 () 括弧中所顯示之設定的描述。
  • 變更小組的存取類型。 Teams 可以設定為私人或公用 (小組存取類型) 。 當小組設為私人時 (此為預設設定),使用者僅能透過受邀的方式存取該小組。 當小組設為公開時,任何人都可以找到該小組。
  • 變更小組的資訊分類 (小組分類) 。 例如,小組資料可以分類為高業務衝擊、中業務衝擊或低業務衝擊。
  • 變更小組名稱 (小組名稱) 。
  • 變更小組描述 (小組描述) 。
  • 對小組設定所做的變更。 若要存取這些設定,小組擁有者可以以滑鼠右鍵按一下小組,選取 [ 管理小組],然後選取 [ 設定] 索引卷 標。針對這些活動,已變更的設定名稱會顯示在稽核記錄搜尋結果的 [專案 ] 資料行中。
已變更敏感度標籤 SensitivityLabelChanged 使用者已變更 Teams 會議上的敏感度標籤。
建立聊天 1、 2 ChatCreated 已建立 Teams 聊天。
已建立小組 TeamCreated 使用者建立小組。
刪除訊息 2 MessageDeleted 已刪除聊天或頻道中的訊息。
已刪除所有組織應用程式 DeletedAllOrganizationApps 已從目錄中刪除所有組織應用程式。
已刪除的應用程式 AppDeletedFromCatalog 已從目錄中刪除應用程式。
已刪除頻道 ChannelDeleted 使用者從小組中刪除頻道。
已刪除小組 TeamDeleted 小組擁有者刪除小組。
在 Teams 5中編輯具有 URL 連結的訊息 MessageEditedHasLink 使用者會編輯訊息,並在 Teams 中新增其 URL 連結。
匯出的訊息 1、 2 MessagesExported 已匯出聊天或頻道訊息。
匯出的錄製 RecordingExported 已匯出聊天錄製。
匯出的文字記錄 TranscriptsExported 已匯出聊天文字記錄。
無法驗證共用通道3的邀請 FailedValidation 使用者回應共用通道的邀請,但邀請驗證失敗。
擷取的聊天 1、 2 ChatRetrieved 已擷取 Microsoft Teams 聊天。
擷取訊息1、2的所有裝載內容 MessageHostedContentsListed 已擷取訊息中的所有裝載內容,例如影像或程式碼片段。
已安裝的應用程式 AppInstalled 已安裝應用程式。
在卡片上執行動作 PerformedCardAction 使用者對聊天中的調適型卡片採取動作。 調適型卡片通常供 Bot 使用,以允許在聊天中豐富顯示資訊和互動。

注意: 稽核記錄中只會提供聊天內調適型卡片的內嵌輸入動作。 例如,當使用者在 Poll Bot 所產生的調適型卡片上,于頻道交談中提交投票回應時。 稽核記錄中將無法使用使用者動作,例如「檢視結果」,其會開啟對話方塊,或對話方塊內的使用者動作。
張貼新訊息 1、 2、 5、 6 MessageSent 新的訊息已張貼到聊天或頻道。
已發佈的應用程式 AppPublishedToCatalog 應用程式已新增至目錄。
讀取訊息 1、 2 MessageRead 已擷取聊天或頻道的訊息。
讀取訊息1、2的裝載內容 MessageHostedContentRead 已擷取訊息中的託管內容,例如影像或程式碼片段。
已將機器人從小組中移除 BotRemovedFromTeam 使用者將機器人從小組中移除。
已移除連接器 ConnectorRemoved 使用者從通道移除連接器。
已移除成員 MemberRemoved 小組擁有者將成員從小組、頻道或群組聊天移除。
已移除敏感度標籤 SensitivityLabelRemoved 使用者已從 Teams 會議移除敏感度標籤。
已移除小組頻道3的共用 TerminatedSharing 小組或頻道擁有者已停用共用頻道的共用。
已還原小組頻道3的共用 SharingRestored 已重新啟用共用頻道的小組或頻道擁有者共用。
已移除索引標籤 TabRemoved 使用者將索引標籤從頻道中移除。
回應共用通道3的邀請 InviteeResponded 使用者回應了共用通道邀請。
回應共用通道3的邀請回應 ChannelOwnerResponded 頻道擁有者回應回應共用通道邀請之使用者的回應。
擷取的訊息 1、 2 MessagesListed 已擷取來自聊天或頻道的訊息。
在 Teams 5中傳送具有 URL 連結的訊息 MessageCreatedHasLink 使用者在 Teams 中傳送包含 URL 連結的訊息。
已傳送訊息建立的變更通知 1、 2 MessageCreatedNotification 已傳送變更通知,通知訂閱的接聽程式應用程式有新的訊息。
已傳送訊息刪除的變更通知 1、 2 MessageDeletedNotification 已傳送變更通知,通知訂閱的接聽程式應用程式已刪除的訊息。
已傳送訊息更新1、2的變更通知 MessageUpdatedNotification 已傳送變更通知,以通知已訂閱的接聽程式應用程式已更新的訊息。
已傳送共用通道3的邀請 InviteSent 頻道擁有者或成員傳送邀請至共用通道。 如果通道原則設定為與外部使用者共用頻道,則可以將共用通道的邀請傳送給組織外部的人員。
訂閱訊息變更通知 1、 2 SubscribedToMessages 接聽程式應用程式已建立訂用帳戶,以接收訊息的變更通知。
已卸載的應用程式 AppUninstalled 應用程式已卸載。
已更新的應用程式 AppUpdatedInCatalog 目錄中的應用程式已更新。
已更新聊天 1、 2 ChatUpdated Teams 聊天已更新。
更新訊息 1、 2 MessageUpdated 已更新聊天或頻道的訊息。
已更新連接器 ConnectorUpdated 使用者已修改頻道中的連接器。
已更新索引標籤 TabUpdated 使用者已修改頻道中的索引標籤。
升級的應用程式 AppUpgraded 應用程式已升級至目錄中的最新版本。
使用者已登入 Teams TeamsSessionStarted 使用者登入 Microsoft Teams 用戶端。 此事件不會擷取權杖重新整理活動。
張貼的新訊息 3、 4、 5、 6 MessageSent 新的訊息已張貼到聊天或頻道。 此事件是一項進階功能,其中包含要定義的授權詳細資料。

注意事項

1只有在呼叫 Microsoft 圖形 API執行作業時,才會記錄此事件的稽核記錄。 如果作業是在 Teams 用戶端中執行,則不會記錄稽核記錄
2 此事件僅適用于 Audit (Premium) 。 這表示必須先將適當的授權指派給使用者,才能將這些事件記錄在稽核記錄中。 如需僅適用于稽核 (Premium) 中活動的詳細資訊,請參閱 Audit (Premium) in Microsoft Purview>。 如需稽核 (進階版) 授權需求,請參閱 Microsoft 365 中的稽核解決方案
3 此事件處於公開預覽狀態。
4只有當有來賓、同盟和/或匿名使用者時,才會針對聊天產生此事件。
5 此事件目前無法在政府社群雲端 (GCC) 、Government Community Cloud High (GCC-High) ,以及美國國防部 (DoD) 組織中使用。
6 此事件包含在同盟聊天的所有參與租使用者中。
7 此活動具有 1:1 同盟聊天的參與網域資訊。

Teams 活動中的 Shifts

如果您的組織在 Teams 中使用 Shifts 應用程式,您可以在稽核記錄中搜尋與 Shifts 應用程式相關的活動。 以下是 Microsoft 365 稽核記錄中 Teams 中針對 Shifts 活動記錄的所有事件清單。

易記名稱 作業 描述
已新增排程群組 ScheduleGroupAdded 使用者成功將新的排程群組新增至排程。
編輯的排程群組 ScheduleGroupEdited 使用者成功編輯排程群組。
已刪除的排程群組 ScheduleGroupDeleted 使用者成功從排程中刪除排程群組。
排程排程 ScheduleWithdrawn 使用者成功撤銷已發佈的排程。
已新增班次 ShiftAdded 使用者成功新增班次。
編輯的班次 ShiftEdited 使用者成功編輯班次。
已刪除的班次 ShiftDeleted 使用者成功刪除班次。
新增的休假時間 TimeOffAdded 使用者已成功在排程上新增休假時間。
編輯的休假時間 TimeOffEdited 使用者成功編輯休假時間。
已刪除的休假時間 TimeOffDeleted 使用者成功刪除休假時間。
已新增開啟移位 OpenShiftAdded 使用者成功將開啟的班次新增至排程群組。
編輯的開啟班次 OpenShiftEdited 使用者成功編輯排程群組中的開啟班次。
已刪除的開啟班次 OpenShiftDeleted 使用者成功從排程群組刪除開啟的班次。
共用排程 ScheduleShared 使用者成功共用日期範圍的小組排程。
使用時間時鐘計時 ClockedIn 使用者使用時間時鐘成功計時。
使用時間時鐘計時 ClockedOut 使用者使用時間時鐘成功計時。
使用時間時鐘開始中斷 BreakStarted 使用者在使用中的時間時鐘會話期間,成功開始中斷。
使用時間時鐘結束中斷 BreakEnded 使用者在使用中的時間時鐘會話中成功結束中斷。
已新增時間時鐘專案 TimeClockEntryAdded 使用者已成功在工作表上新增新的手動時間時鐘專案。
編輯的時間時鐘專案 TimeClockEntryEdited 使用者成功編輯時程表上的時間時鐘專案。
已刪除的時間時鐘專案 TimeClockEntryDeleted 使用者成功刪除時程表上的時間時鐘專案。
已新增班次要求 RequestAdded 使用者已新增班次要求。
已回應班次要求 RequestRespondedTo 使用者回應了班次要求。
已取消的班次要求 RequestCancelled 使用者已取消班次要求。
已變更排程設定 ScheduleSettingChanged 使用者變更 Shifts 設定中的設定。
新增了員工整合 WorkforceIntegrationAdded Shifts 應用程式與協力廠商系統整合。
已接受的輪班訊息 OffShiftDialogAccepted 使用者認可輪班訊息,以在輪班時間後存取 Teams。

在 Teams 活動中更新應用程式

如果您的組織在 Teams 中使用更新應用程式,您可以在稽核記錄中搜尋與更新應用程式相關的活動。 以下是 Microsoft 365 稽核記錄中針對 Teams 中更新應用程式活動所記錄的所有事件清單。

易記名稱 作業 描述
建立更新要求 CreateUpdateRequest 使用者成功建立更新要求。
編輯更新要求 EditUpdateRequest 使用者開啟要求編輯精靈,然後 選取 [ 儲存] 以確認並儲存任何變更,或直接啟用或停用更新要求。
提交更新 SubmitUpdate 使用者成功提交更新。
檢視一個更新的詳細資料 ViewUpdate 使用者檢視更新的詳細資料。

Office 365 管理活動 API

您可以使用Office 365管理活動 API 來擷取 Teams 事件的相關資訊。 若要深入瞭解 Teams 的管理活動 API 架構,請參閱 Teams 架構

Teams 稽核記錄中的屬性

Teams (的成員資格變更,例如透過 Azure Active Directory (Azure AD) 、Microsoft 365 系統管理入口網站或Microsoft 365 群組 圖形 API所新增或刪除) 的使用者,將會出現在 Teams 稽核訊息和 [一般] 頻道中,並具有現有小組擁有者的屬性,而不是動作的實際啟動者。 在這些案例中,請參閱 Azure AD 或 Microsoft 365 群組稽核記錄 ,以查看相關資訊。

使用適用于雲端應用程式的 Defender 來設定活動原則

使用Microsoft Defender for Cloud Apps整合,您可以設定活動原則,以使用應用程式提供者的 API 強制執行各種自動化程式。 這些原則可讓您監視各種使用者所執行的特定活動,或遵循某一種特定活動類型的非預期高比率。

設定活動偵測原則之後,它會開始產生警示。 警示只會在您建立原則之後發生的活動上產生。 以下是一些範例案例,說明如何在適用于雲端應用程式的 Defender 中使用活動原則來監視 Teams 活動。

外部使用者案例

從商務觀點來看,您可能想要留意的其中一個案例是將外部使用者新增至您的 Teams 環境。 如果已啟用外部使用者,監視其存在是不錯的主意。 您可以使用 適用于雲端應用程式的 Defender 來識別潛在威脅。

監視新增外部使用者的原則

此原則的螢幕擷取畫面,用來監視新增外部使用者,可讓您命名原則、根據您的業務需求設定嚴重性、將它設定為 (在此案例中) 單一活動,然後建立參數,專門監視非內部使用者的新增,並將此活動限制為 Teams。

您可以在活動記錄中檢視此原則的結果:

外部使用者原則觸發的事件

您可以在這裡檢閱與您已設定之原則的相符專案,並視需要進行任何調整,或匯出結果以在其他地方使用。

大量刪除案例

如先前所述,您可以監視刪除案例。 您可以建立可監視大量刪除 Teams 網站的原則。 在此範例中,會設定以警示為基礎的原則,以偵測在 30 分鐘內大量刪除小組。

顯示針對大量小組刪除偵測設定原則的原則

如螢幕擷取畫面所示,您可以為此原則設定許多不同的參數,以監視 Teams 刪除,包括嚴重性、單一或重複的動作,以及限制為 Teams 和網站刪除的參數。 這可以獨立于範本來完成,或者您可能會根據組織需求建立範本來根據此原則。

建立適用于您企業的原則之後,您可以在觸發事件時檢閱活動記錄中的結果:

大量刪除所觸發事件的螢幕擷取畫面

您可以向下篩選至您已設定的原則,以查看該原則的結果。 如果您在活動記錄中取得的結果並不令人滿意, (您可能看到許多結果,或完全) 沒有任何結果,這可能會協助您微調查詢,使其與您需要執行的作業更相關。

警示和治理案例

您可以設定警示,並在觸發活動原則時傳送電子郵件給系統管理員和其他使用者。 您可以設定自動化治理動作,例如暫停使用者或讓使用者以自動化方式再次登入。 此範例示範如何在觸發活動原則時暫停使用者帳戶,並判斷使用者在 30 分鐘內刪除了兩個或多個小組。

活動原則的警示和治理動作螢幕擷取畫面。

使用適用于雲端應用程式的 Defender 來設定異常偵測原則

適用于雲端應用程式的 Defender 中的異常偵測原則提供現成的使用者和實體行為分析, (UEBA) 和機器學習 (ML) ,讓您可以立即在雲端環境中執行進階威脅偵測。 由於系統會自動啟用,因此新的異常偵測原則會提供立即的結果,方法是提供立即偵測,以使用者和連線到您網路的電腦和裝置上許多行為異常為目標。 此外,新原則會從適用于雲端應用程式的 Defender 偵測引擎公開更多資料,以協助您加快調查程式並包含持續的威脅。

我們正努力將 Teams 事件整合到異常偵測原則中。 目前,您可以設定其他 Office 產品的異常偵測原則,並針對符合這些原則的使用者採取動作專案。