Esquema de la API de Actividad de administración de Office 365

  • Artículo

El esquema de api de actividad de Office 365 Management se proporciona como un servicio de datos en dos capas:

  • Esquema común. La interfaz para acceder a los conceptos básicos de auditoría de Office 365, como Tipo de registro, Hora de creación, Tipo de usuario y Acción, así como para proporcionar dimensiones básicas (como ID de usuario), detalles de ubicación (como la dirección IP del cliente) y servicios específicos. propiedades (como ID de objeto). Establece vistas coherentes y uniformes para que los usuarios extraigan todos los datos de auditoría de Office 365 en varias vistas de nivel superior con los parámetros adecuados, y proporciona un esquema fijo para todos los orígenes de datos, lo que reduce significativamente el costo de aprendizaje. El esquema común tiene origen en los datos del producto que pertenecen a cada equipo de producto, como Exchange, SharePoint, Azure Active Directory, Yammer y OneDrive para la Empresa. Los equipos de productos de Microsoft 365 pueden ampliar el campo de Id. de objeto para agregar propiedades específicas del servicio.

  • Esquema específico de servicio. Basado en el esquema común para proporcionar un conjunto de atributos específicos del servicio de Microsoft 365; por ejemplo, esquema de SharePoint, esquema de OneDrive para la Empresa y esquema de administración de Exchange.

Esquemas de API de administración de Office 365

En este artículo se proporcionan detalles sobre el esquema común, así como los esquemas específicos del servicio. En la siguiente tabla se describen los esquemas disponibles.

Nombre del esquema Descripción
Esquema común La vista para extraer el tipo de registro, el identificador de usuario, la dirección IP del cliente, el tipo de usuario y la acción con dimensiones principales como propiedades de usuario (como el id. de usuario), las propiedades de ubicación (como la dirección IP del cliente) y las propiedades específicas de productos (como el id. de objeto).
Esquema de Copilot Los eventos incluyen cómo y cuándo interactuar con Copilot, en el que tuvo lugar el servicio de Microsoft 365, y referencias a los archivos almacenados en Microsoft 365 a los que se accedió durante la interacción.
Esquema base de SharePoint Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de SharePoint.
Operaciones de archivos de SharePoint Amplía el esquema base de SharePoint con las propiedades específicas de acceso el acceso y la manipulación de archivos en SharePoint.
Lista de operaciones de SharePoint Amplía el esquema Base de SharePoint con las propiedades específicas de las interacciones con listas y elementos de lista en SharePoint Online.
Esquema de uso compartido de SharePoint Amplía el esquema base de SharePoint con las propiedades específicas de uso compartido.
Esquema de SharePoint Amplía el esquema base de SharePoint con las propiedades específicas de SharePoint que no están relacionadas con el acceso y la manipulación de archivos.
Esquema de Project Amplía el esquema base de SharePoint con las propiedades específicas de Project.
Esquema de administración de Exchange Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de administración de Exchange.
Esquema de buzón de Exchange Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de buzón de Exchange.
esquema base de Microsoft Entra ID Extiende el esquema común con las propiedades específicas de todos los datos de auditoría de Microsoft Entra.
esquema de inicio de sesión de Microsoft Entra cuenta Extiende el esquema Microsoft Entra ID Base con las propiedades específicas de todos los eventos de inicio de sesión Microsoft Entra.
Microsoft Entra ID esquema de inicio de sesión de STS seguro Extiende el esquema Microsoft Entra ID Base con las propiedades específicas de todos los eventos de inicio de sesión de Microsoft Entra ID Secure Token Service (STS).
esquema de Microsoft Entra Extiende el esquema común con las propiedades específicas de todos los datos de auditoría de Microsoft Entra.
Esquema DLP Amplía el esquema común con las propiedades específicas para todos los eventos de prevención de pérdida de datos.
Esquema de Centro de seguridad y cumplimiento Amplía el esquema común con las propiedades específicas para todos los eventos del Centro de seguridad y cumplimiento.
Esquema de alertas de seguridad y cumplimiento Amplía el esquema común con las propiedades específicas para todos las alertas de seguridad y cumplimiento de Office 365.
Esquema de Yammer Amplía el esquema común con las propiedades específicas para todos los eventos de Yammer.
Esquema de base de seguridad del centro de datos Amplía el esquema común con las propiedades específicas para todos los datos de auditoría de seguridad del centro de datos.
Esquema de cmdlet de seguridad del centro de datos Amplía el esquema base de seguridad de centro de datos con las propiedades específicas para todos los datos de auditoría cmdlet de seguridad del centro de datos.
Esquema de Microsoft Teams Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Teams.
Esquema de respuesta e Investigación de amenazas y Microsoft Defender para Office 365 Amplía el esquema común con las propiedades específicas de Defender para Office 365 y la investigación de amenazas y los datos de respuesta.
Esquema de envío Extiende el esquema común con las propiedades específicas para los envíos de usuarios y administradores en Microsoft Defender para Office 365.
Esquema de eventos de investigación y respuesta automatizados Amplía el esquema común con las propiedades específicas para eventos de investigación y respuesta automatizada de Office 365 (AIR). Para ver un ejemplo, consulte el Blog de la Comunidad técnica: Mejorar la efectividad de su SOC con Microsoft Defender para Office 365 y la API de administración de O365.
Esquema de eventos de higiene Amplía el esquema común con las propiedades específicas de los eventos en Exchange Online Protection y Microsoft Defender para Office 365.
Esquema de Power BI Amplía el esquema común con las propiedades específicas para todos los eventos de Power BI.
Esquema de Dynamics 365 Amplía el esquema común con las propiedades específicas para todos los eventos de Dynamics 365.
Esquema de Workplace Analytics Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Workplace Analytics.
Esquema de cuarentena Amplía el esquema común con las propiedades específicas para todos los eventos de cuarentena.
Esquema de Microsoft Forms Amplía el esquema común con las propiedades específicas para todos los eventos de Microsoft Forms.
Esquema de etiqueta MIP Amplía el esquema común con las propiedades específicas para las etiquetas de confidencialidad que se aplican manual o automáticamente a los mensajes de correo electrónico.
Esquema de evento del portal de mensajes cifrados Extiende el esquema común con las propiedades específicas del portal de mensajes cifrados a las que acceden los destinatarios externos.
Esquema de Exchange del Cumplimiento de comunicaciones Amplía el esquema común con las propiedades específicas para el modelo de lenguaje ofensivo en el Cumplimiento de comunicaciones.
Esquema de informes Amplía el esquema común con las propiedades específicas de todos los eventos de informes.
Esquema del conector de cumplimiento Se extiende el esquema común con las propiedades específicas para la importación de datos ajenos a Microsoft mediante el uso de conectores de datos.
Esquema de SystemSync Extiende el esquema común con las propiedades específicas de los datos ingeridos a través de SystemSync.
esquema de Viva Goals Extiende el esquema común con las propiedades específicas de todos los eventos Viva Goals.
esquema de Microsoft Planner Extiende el esquema común con las propiedades específicas de los eventos de Microsoft Planner.
Esquema de Microsoft Project para la web Extiende el esquema común con las propiedades específicas de los eventos web de Microsoft Project For The.

Esquema común

Nombre EntityType: AuditRecord

Parámetro Tipo ¿Es obligatoria? Descripción
Id Combinación de GUIDEdm.Guid Identificador único de un registro de auditoría.
RecordType Self.AuditLogRecordType El tipo de operación indicado por el registro. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría.
CreationTime Edm.Date La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad.
Operación Edm.String El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365. Esta propiedad identifica el nombre del cmdlet ejecutado para la actividad de administración de Exchange. Para eventos DLP, puede ser "DlpRuleMatch", "DlpRuleUndo" o "DlpInfo", que se describen en "Esquema DLP" a continuación.
OrganizationId Edm.Guid El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
UserType Self.UserType El tipo de usuario que llevó a cabo la operación. Vea la tabla UserType para obtener más información sobre los tipos de usuarios.
UserKey Edm.String Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
Carga de trabajo Edm.String No El servicio de Office 365 en el que se produjo la actividad.
ResultStatus Edm.String No Indica si la acción (especificada en la propiedad Operation) se completó correctamente o no. Los valores posibles son Succeeded, PartiallySucceeded o Failed. Para la actividad de administración de Exchange, el valor es True o False.

Importante: las distintas cargas de trabajo pueden sobrescribir el valor de la propiedad ResultStatus. Por ejemplo, para Microsoft Entra ID eventos de inicio de sesión de STS, un valor de Succeeded para ResultStatus indica solo que la operación HTTP se realizó correctamente; no significa que el inicio de sesión se haya realizado correctamente. Para determinar si el inicio de sesión real se realizó correctamente o no, consulte la propiedad LogonError en el esquema de inicio de sesión Microsoft Entra ID STS. Si se produce un error al iniciar sesión, el valor de esta propiedad contendrá el motivo del intento de inicio de sesión incorrecto.
ObjectId Edm.string No Para la actividad de SharePoint y OneDrive para la Empresa, el nombre de la ruta de acceso completo del archivo o carpeta al que obtuvo acceso el usuario. Para el registro de auditoría de Exchange, el nombre del objeto modificado por el cmdlet.
UserId Edm.string El UPN (nombre principal de usuario) del usuario que llevó a cabo la acción (especificado en la propiedad Operation) que ha provocado el registro; por ejemplo, my_name@my_domain_name. Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, lea El usuario app@sharepoint en los registros de auditoría.
ClientIP Edm.String La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.

Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad.

Además, para los eventos relacionados con Microsoft Entra ID, la dirección IP no se registra y el valor de la propiedad ClientIP es null.
Ámbito Self.AuditLogScope No ¿Este evento fue creado por un servicio hospedado de Office 365 o por un servidor local? Los valores posibles son online y onprem. Observe que SharePoint es la única carga de trabajo que actualmente envía eventos locales a Office 365.
AppAccessContext CollectionSelf. AppAccessContext No El contexto de aplicación para el usuario o la entidad de servicio que realizó la acción.

Enum: AuditLogRecordType - Tipo: Edm.Int32

AuditLogRecordType

Valor Nombre del miembro Descripción
1 ExchangeAdmin Eventos del registro de auditoría de administración de Exchange.
2 ExchangeItem Eventos de un registro de auditoría de buzón de Exchange para las acciones que se realizan en un solo elemento, como la creación o recepción de un mensaje de correo electrónico.
3 ExchangeItemGroup Eventos de un registro de auditoría de buzón de Exchange para las acciones que se pueden realizar varios elementos, como mover o eliminar uno o varios mensajes de correo electrónico.
4 SharePoint Eventos de SharePoint.
6 SharePointFileOperation Eventos de operación de archivo de SharePoint.
7 OneDrive Eventos de OneDrive para la Empresa.
8 AzureActiveDirectory Microsoft Entra ID eventos.
9 AzureActiveDirectoryAccountLogon Microsoft Entra ID eventos de inicio de sesión orgId (en desuso).
10 DataCenterSecurityCmdlet Eventos de cmdlet de seguridad del centro de datos.
11 ComplianceDLPSharePoint Eventos de Protección de pérdida de datos (DLP) en SharePoint y OneDrive para la Empresa.
13 ComplianceDLPExchange Eventos de Protección de pérdida de datos (DLP) en SharePoint Exchange, cuando se configura mediante la directiva DLP unificada. Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.
14 SharePointSharingOperation Eventos de uso compartido de SharePoint.
15 AzureActiveDirectoryStsLogon Eventos de inicio de sesión de Secure Token Service (STS) en Microsoft Entra ID.
16 SkypeForBusinessPSTNUsage Eventos de la red telefónica conmutada (RTC) de Skype Empresarial.
17 SkypeForBusinessUsersBlocked Eventos del usuario bloqueado de Skype Empresarial.
18 SecurityComplianceCenterEOPCmdlet Acciones de administración del Centro de seguridad y cumplimiento.
19 ExchangeAggregatedOperation Eventos de auditoría del buzón de Exchange agregado.
20 PowerBIAudit Eventos de Power BI.
21 CRM Eventos de Dynamics 365.
22 Yammer Eventos de Yammer.
23 SkypeForBusinessCmdlets Eventos de Skype Empresarial.
24 Descubrimiento Eventos de actividades de eDiscovery realizadas ejecutando búsquedas de contenido y administrando casos de eDiscovery en el Centro de seguridad y cumplimiento.
25 MicrosoftTeams Eventos de Microsoft Teams.
28 ThreatIntelligence Eventos de suplantación de identidad y malware de Exchange Online Protection y Microsoft Defender para Office 365.
29 MailSubmission Eventos de envío desde Exchange Online Protection y Microsoft Defender para Office 365.
30 MicrosoftFlow Eventos de Microsoft Power Automate (conocido anteriormente como Microsoft Flow).
31 AeD Eventos de eDiscovery avanzado.
32 MicrosoftStream Eventos de Microsoft Stream.
33 ComplianceDLPSharePointClassification Eventos relacionados con la clasificación DLP en SharePoint.
34 ThreatFinder Eventos relacionados con la campaña de Microsoft Defender para Office 365.
35 Project Eventos de Microsoft Project.
36 SharePointListOperation Eventos en la Lista de SharePoint.
37 SharePointCommentOperation Eventos de comentario de SharePoint.
38 DataGovernance Eventos relacionados con las directivas y etiquetas de retención en el Centro de seguridad y cumplimiento
39 Kaizala Eventos de Kaizala.
40 SecurityComplianceAlerts Señales de alertas de seguridad y cumplimiento.
41 ThreatIntelligenceUrl Tiempo de bloqueo de Vínculos seguros y eventos de invalidación de bloqueo de Microsoft Defender para Office 365.
42 SecurityComplianceInsights Eventos relacionados con las perspectivas e informes en el centro de seguridad y cumplimiento de Office 365.
43 MIPLabel Eventos relacionados con la detección en la canalización de Transporte de mensajes de correo electrónico que se han etiquetado (manual o automáticamente) con etiquetas de confidencialidad.
44 WorkplaceAnalytics Eventos de Workplace Analytics.
45 PowerAppsApp Eventos de Power Apps.
46 PowerAppsPlan Eventos de los planes de suscripción a Power Apps.
47 ThreatIntelligenceAtpContent Eventos de suplantación de identidad y malware para archivos en SharePoint, OneDrive para la Empresa y Microsoft Teams de Microsoft Defender para Office 365.
48 LabelContentExplorer Eventos relacionados con el explorador de contenido de clasificación de datos.
49 TeamsHealthcare Eventos relacionados con la aplicación Pacientes en Microsoft Teams para asistencia sanitaria.
50 ExchangeItemAggregated Eventos relacionados con la acción MailItemsAccessed de auditoría de buzón
51 HygieneEvent Eventos relacionados con la protección de correo no deseado saliente.
52 DataInsightsRestApiAudit Perspectiva sobre los datos de los eventos API de REST.
53 InformationBarrierPolicyApplication Eventos relacionados con la aplicación de directivas de barrera de información.
54 SharePointListItemOperation Eventos en la lista de SharePoint.
55 SharePointContentTypeOperation Eventos de tipo de contenido de lista de SharePoint.
56 SharePointFieldOperation Eventos en el campo de lista de SharePoint.
57 MicrosoftTeamsAdmin Eventos de administrador de Teams.
58 HRSignal Eventos relacionados con las señales de datos de RRHH que son compatibles con la solución de Administración de riesgos internos.
59 MicrosoftTeamsDevice Eventos del dispositivo de Teams.
60 MicrosoftTeamsAnalytics Eventos de análisis de Teams.
61 InformationWorkerProtection Eventos relacionados con las alertas de usuario en peligro.
62 Campaña Eventos de campaña por correo electrónico de Microsoft Defender para Office 365.
63 DLPEndpoint Eventos de DLP del punto de conexión.
64 AirInvestigation Eventos de respuesta ante incidentes automatizada (AIR)
65 Cuarentena Eventos de cuarentena.
66 MicrosoftForms Eventos de Microsoft Forms.
67 ApplicationAudit Eventos de auditoría de la aplicación.
68 ComplianceSupervisionExchange Eventos que son controlados por el modelo de lenguaje vulgar del Cumplimiento de comunicaciones.
69 CustomerKeyServiceEncryption Eventos relacionados con el servicio de cifrado de la clave del cliente.
70 OfficeNative Eventos relacionados con las etiquetas de confidencialidad aplicadas a los documentos de Office.
71 MipAutoLabelSharePointItem Eventos de etiquetado automático en SharePoint.
72 MipAutoLabelSharePointPolicyLocation Eventos de la directiva de etiquetado automático en SharePoint.
73 MicrosoftTeamsShifts Eventos de Turnos de Teams.
75 MipAutoLabelExchangeItem Eventos de etiquetado automático en Exchange.
76 CortanaBriefing Eventos del Informe de tareas pendientes del correo electrónico.
78 WDATPAlerts Eventos relacionados con las alertas generadas por Windows Defender para el punto de conexión.
82 SensitivityLabelPolicyMatch Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.
83 SensitivityLabelAction Evento generado cuando se aplican, actualizan o quitan las etiquetas de confidencialidad de un archivo.
84 SensitivityLabeledFileAction Eventos que se generan cuando se abre o se le cambia el nombre a un archivo etiquetado con una etiqueta de confidencialidad.
85 AttackSim Eventos relacionados con las actividades del usuario en Simulación de ataques & Entrenamiento en Microsoft Defender para Office 365.
86 AirManualInvestigation Eventos relacionados con las investigaciones manuales de Investigación y respuesta automatizadas (AIR).
87 SecurityComplianceRBAC Eventos RBAC de seguridad y cumplimiento.
88 UserTraining Eventos relacionados con el entrenamiento de usuarios en Simulación de ataque & Entrenamiento en Microsoft Defender para Office 365.
89 AirAdminActionInvestigation Eventos relacionados con las acciones de administración en Investigación y respuesta automatizadas (AIR).
90 MSTIC Eventos de inteligencia contra amenazas de Microsoft Defender para Office 365.
91 PhysicalBadgingSignal Eventos relacionados con las señales de las insignias físicas que son compatibles con la solución de la Administración de riesgos internos.
93 AipDiscover Eventos del analizador de AIP
94 AipSensitivityLabelAction Eventos de etiqueta de confidencialidad de AIP
95 AipProtectionAction Eventos de protección de AIP
96 AipFileDeleted Eventos de eliminación de archivos AIP
97 AipHeartBeat Eventos de latido de AIP
98 MCASAlerts Eventos correspondientes a las alertas activadas por Microsoft Cloud App Security.
99 OnPremisesFileShareScannerDlp Eventos relacionados con la detección de datos confidenciales en los recursos compartidos de los archivos.
100 OnPremisesSharePointScannerDlp Eventos relacionados con la detección de datos confidenciales en SharePoint.
101 ExchangeSearch Eventos relacionados con el uso de Outlook en la Web (OWA) para buscar elementos del buzón.
102 SharePointSearch Eventos relacionados con la búsqueda del sitio principal de SharePoint de una organización.
103 PrivacyInsights Eventos de información de privacidad.
105 MyAnalyticsSettings Eventos de MyAnalytics.
106 SecurityComplianceUserChange Eventos relacionados con la modificación o eliminación de un usuario.
107 ComplianceDLPExchangeClassification Eventos de clasificación de Exchange DLP.
109 MipExactDataMatch Eventos de clasificación de Correspondencia exacta de datos (EDM).
113 MS365DCustomDetection Eventos relacionados con las acciones de detección personalizadas en Microsoft 365 Defender.
147 CoreReportingSettings Informes de eventos de configuración.
148 ComplianceConnector Eventos relacionados con la importación de datos que no son de Microsoft mediante conectores de datos en el portal de cumplimiento de Microsoft Purview.
154 OMEPortal Registros de eventos del portal de mensajes cifrados generados por destinatarios externos.
174 DataShareOperation Eventos relacionados con el uso compartido de datos ingeridos a través de SystemSync.
181 EduDataLakeDownloadOperation Eventos relacionados con la exportación de datos ingeridos por SystemSync desde el lago.
183 MicrosoftGraphDataConnectOperation Eventos relacionados con las extracciones realizadas por Conexión de datos de Microsoft Graph
186 PowerPagesSite Actividades relacionadas con el sitio de Power Pages.
188 PlannerPlan Microsoft Planner eventos de plan.
189 PlannerCopyPlan Microsoft Planner eventos del plan de copia.
190 PlannerTask Microsoft Planner eventos de tarea.
191 PlannerRoster Microsoft Planner eventos de pertenencia a la lista y la lista.
192 PlannerPlanList Microsoft Planner eventos de lista de planes.
193 PlannerTaskList Microsoft Planner eventos de lista de tareas.
194 PlannerTenantSettings Microsoft Planner eventos de configuración de inquilinos.
195 ProjectForThewebProject Eventos de proyecto de Microsoft Project para la web.
196 ProjectForThewebTask Eventos de tarea de Microsoft Project para la web.
197 ProjectForThewebRoadmap Microsoft Project para la web eventos de hoja de ruta.
198 ProjectForThewebRoadmapItem Microsoft Project para la web eventos de elementos de hoja de ruta.
199 ProjectForThewebProjectSettings Eventos de configuración del inquilino del proyecto de Microsoft Project para la web.
200 ProjectForThewebRoadmapSettings Eventos de configuración de inquilinos de Microsoft Project para la web hoja de ruta.
216 Viva Goals Viva Goals eventos.
217 MicrosoftGraphDataConnectConsent Eventos para acciones de consentimiento realizadas por administradores de inquilinos para aplicaciones de Microsoft Graph Data Connect.
218 AttackSimAdmin Eventos relacionados con las actividades de administración en Simulación de ataques & Entrenamiento en Microsoft Defender para Office 365.
230 TeamsUpdates Teams Novedades eventos de la aplicación.
231 PlannerRosterSensitivityLabel Microsoft Planner eventos de etiqueta de confidencialidad de la lista.
237 DefenderExpertsforXDRAdmin eventos de acción de administrador de expertos de Microsoft Defender.
251 VfamCreatePolicy Viva eventos de creación de directivas de administración de acceso.
252 VfamUpdatePolicy Viva eventos de actualización de directivas de Access Management.
253 VfamDeletePolicy Viva eventos de eliminación de directivas de administración de acceso.
261 CopilotInteraction Eventos de interacción de Copilot.

Enum: Tipo de usuario - Tipo: Edm.Int32

Tipo de usuario

Valor Nombre del miembro Descripción
0 Regular Un usuario normal.
1 Reserved Un usuario reservado.
2 Admin Un administrador.
3 DcAdmin Un operador de centros de datos de Microsoft.
4 Sistema Una cuenta del sistema.
5 Application Una aplicación.
6 ServicePrincipal Un servicio principal.
7 CustomPolicy Una directiva personalizada.
8 SystemPolicy Una directiva del sistema

Enum: AuditLogScope - Tipo: Edm.Int32

AuditLogScope

Valor Nombre del miembro Descripción
0 Online Este evento fue creado por un servicio hospedado de O365.
1 Onprem Este evento fue creado por un servidor local.

AppAccessContext de tipo complejo

Parámetros Tipo ¿Es obligatoria? Descripción
AADSessionId Edm.String No El Microsoft Entra SessionId del inicio de sesión de Entra que realizó la aplicación en nombre del usuario.
APIId Edm.String No El id. de la ruta de la API que se usa para obtener acceso al recurso; por ejemplo, acceso a través de la API de Microsoft Graph.
ClientAppId Edm.String No Identificador de la aplicación de Microsoft Entra que ha realizado el acceso en nombre del usuario.
ClientAppName Edm.String No Nombre de la aplicación de Microsoft Entra que ha realizado el acceso en nombre del usuario.
CorrelationId Edm.String No Un identificador que se puede usar para correlacionar las acciones de un usuario específico mediante los servicios de Microsoft 365.
UniqueTokenId Edm.String No UniqueTokenId se establece si el token de Microsoft Entra está disponible para la solicitud. Es un identificador único por token que distingue mayúsculas de minúsculas.
IssuedAtTime Edm.Date No "Emitido en" se establece si el token de Microsoft Entra está disponible para la solicitud e indica cuándo se produjo la autenticación para este token de Microsoft Entra.

Esquema base de SharePoint

Parámetro Tipo ¿Es obligatoria? Descripción
Site Edm.Guid No El GUID del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.
ItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" No El tipo de objeto al que se obtuvo acceso o que se modificó. Vea la tabla ItemType para obtener más información sobre los tipos de objetos.
EventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" No Identifica que un evento se produjo en SharePoint. Los valores posibles son SharePoint u ObjectModel.
SourceName Edm.String No La entidad que ha activado la operación auditada. Los valores posibles son SharePoint u ObjectModel.
UserAgent Edm.String No Información sobre el cliente o el explorador del usuario. Esta información la proporciona el cliente o el explorador.
MachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud.
MachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Información sobre las operaciones de sincronización del dispositivo. Esta información se registra solo si está presente en la solicitud.
ListItemUniqueId Edm.Guid No El GUID de un elemento de lista identificable de forma única. Esta información solo está presente si es aplicable.
ListID Edm.Guid No El GUID de la lista. Esta información solo está presente si es aplicable.
ApplicationId Edm.String No El identificador de la aplicación que realiza la operación.
ApplicationDisplayName Edm.String No El nombre para mostrar de la aplicación que está realizando la operación.
IsWorkflow Edm.Boolean No Se establece True si los flujos de trabajo de SharePoint desencadenaron el evento auditado.

Enum: ItemType - Tipo: Edm.Int32

ItemType

Valor Nombre del miembro Descripción
0 Invalid El elemento no es ninguno de los tipos de elementos que se muestran en esta tabla.
1 File Y el elemento es un archivo.
5 Folder Y el elemento es una carpeta.
6 web El elemento es una web.
7 Site El elemento es un sitio.
8 Tenant El elemento es un inquilino.
9 DocumentLibrary El elemento es una biblioteca de documentos.
11 Page El elemento es una página.

Enum: EventSource - Tipo: Edm.Int32

EventSource

Valor Nombre del miembro Descripción
0 SharePoint El origen del evento es SharePoint.
1 ObjectModel El origen del evento es ObjectModel.

Enum: SharePointAuditOperation - Tipo: Edm.Int32

Nombre del miembro Descripción
AccessInvitationAccepted El destinatario de una invitación para ver o editar un archivo compartido (o carpeta) que ha obtenido acceso al archivo compartido haciendo clic en el vínculo de la invitación.
AccessInvitationCreated El usuario envía una invitación a otra persona (dentro o fuera de su organización) para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa. Los detalles de la entrada de evento identifican el nombre del archivo que se ha compartido, el usuario al que se envió la invitación y el tipo de los permisos de uso compartido seleccionados por la persona que envió la invitación.
AccessInvitationExpired Una invitación enviada a un usuario externo expira. De forma predeterminada, una invitación enviada a un usuario fuera de su organización expira después de 7 días si no se acepta la invitación.
AccessInvitationRevoked El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa retira una invitación enviada a un usuario fuera de su organización. Una invitación puede retirarse antes de que se acepte.
AccessInvitationUpdated El usuario que creó y envió una invitación a otra persona para ver o editar una carpeta o un archivo compartido en un sitio de SharePoint o de OneDrive para la Empresa vuelve a enviar la invitación.
AccessRequestApproved El administrador del sitio o el propietario de un sitio o un documento en SharePoint o en OneDrive para la Empresa aprueba una solicitud de usuario para acceder al sitio o documento.
AccessRequestCreated El usuario solicita acceso a un sitio o un documento en SharePoint o en OneDrive para la empresa para el que no tienen permiso de acceso.
AccessRequestRejected El administrador del sitio o el propietario de un sitio o un documento en SharePoint rechaza una solicitud de usuario para acceder al sitio o documento.
ActivationEnabled Los usuarios pueden habilitar para el explorador plantillas de formulario que no contienen código de formulario, requieren plena confianza, habilitan representación en un dispositivo móvil o usan conexión de datos administrada por un administrador del servidor.
AdministratorAddedToTermStore Administrador de almacén de términos agregado.
AdministratorDeletedFromTermStore Administrador de almacén de términos eliminado.
AllowGroupCreationSet El administrador del sitio o el propietario agrega un nivel de permisos al sitio de SharePoint o de OneDrive para la Empresa que permite que un usuario al que se ha asignado ese permiso cree un grupo para ese sitio.
AppCatalogCreated El catálogo de aplicaciones se creó para que las aplicaciones empresariales personalizadas estén disponibles en su entorno de SharePoint.
AuditPolicyRemoved La directiva del ciclo de vida del documento se ha quitado de una colección de sitios.
AuditPolicyUpdate La directiva del ciclo de vida del documento se ha actualizado para una colección de sitios.
AzureStreamingEnabledSet El propietario de un portal de vídeo permitió el streaming de vídeo desde Azure.
CollaborationTypeModified Se ha modificado el tipo de colaboración permitido en sitios (por ejemplo, intranet, extranet o público).
ConnectedSiteSettingModified El usuario ha creado, modificado o eliminado el vínculo entre un proyecto y un sitio de proyecto o el usuario modifica la configuración de sincronización en el vínculo de project web app.
CreateSSOApplication La aplicación de destino que se creó en el servicio de almacenamiento seguro.
CustomFieldOrLookupTableCreated El usuario ha creado un campo personalizado o una tabla o elemento de búsqueda en Project Web App.
CustomFieldOrLookupTableDeleted El usuario eliminó un campo personalizado o una tabla o elemento de búsqueda en Project Web App.
CustomFieldOrLookupTableModified El usuario modificó un campo personalizado o una tabla o elemento de búsqueda en Project Web App.
CustomizeExemptUsers El administrador global ha personalizado la lista de agentes de usuario exentos en el centro de administración de SharePoint. Puede especificar qué agentes de usuario están exentos de recibir una página web completa para indexar. Esto significa que cuando un agente de usuario que ha especificado como exento encuentra un formulario de InfoPath, el formulario se devolverá como un archivo XML en lugar de una página web completa. Esto acelera la indexación de formularios de InfoPath.
DefaultLanguageChangedInTermStore* Se ha cambiado la configuración de idioma en el almacén de terminología.
DelegateModified El usuario ha creado o modificado un delegado de seguridad en Project Web App.
DelegateRemoved El usuario eliminó un delegado de seguridad en Project Web App.
DeleteSSOApplication Se ha eliminado una aplicación SSO.
eDiscoveryHoldApplied Se ha colocado una conservación local en un origen de contenido. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.
eDiscoveryHoldRemoved Se ha eliminado una conservación local de un origen de contenido. Una colección de sitios de eDiscovery administra las retenciones locales (por ejemplo, el Centro de eDiscovery) en SharePoint.
eDiscoverySearchPerformed Se ha realizado una búsqueda de eDiscovery con una colección de sitios de eDiscovery en SharePoint.
EngagementAccepted El usuario acepta una interacción de recursos en Project Web App.
EngagementModified El usuario modifica una interacción de recursos en Project Web App.
EngagementRejected El usuario rechaza una interacción de recursos en Project Web App.
EnterpriseCalendarModified El usuario copia, modifica o elimina un calendario empresarial en Project Web App.
EntityDeleted El usuario elimina un parte de horas en Project Web App.
EntityForceCheckedIn El usuario fuerza una protección en un calendario, un campo personalizado o una tabla de búsqueda en project web app.
ExemptUserAgentSet El administrador global agrega un agente de usuario a la lista de agentes de usuario exentos en el centro de administración de SharePoint.
FileAccessed La cuenta del sistema o el usuario obtiene acceso a un archivo en un sitio de SharePoint o de OneDrive para la Empresa. Las cuentas del sistema también pueden generar eventos FileAccessed.
FileCheckOutDiscarded El usuario descarta (o deshace) la extracción del repositorio de un archivo. Eso significa que cualquier cambio que haya realizado en el archivo cuando estaba extraído del repositorio se descarta y no se guarda en la versión del documento de la biblioteca de documentos.
FileCheckedIn El usuario inserta en el repositorio un documento que se extrajo de una biblioteca de documentos de SharePoint o de OneDrive para la Empresa.
FileCheckedOut El usuario extrae un documento ubicado en una biblioteca de documentos de SharePoint o de OneDrive para la Empresa. Los usuarios pueden extraer del repositorio y modificar documentos que se han compartido con ellos.
FileCopied El usuario copia un documento de un sitio de SharePoint o de OneDrive para la Empresa. El archivo copiado puede guardarse en otra carpeta del sitio.
FileDeleted El usuario elimina un documento de un sitio de SharePoint o de OneDrive para la Empresa.
FileDeletedFirstStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.
FileDeletedSecondStageRecycleBin El usuario elimina un archivo de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.
FileDownloaded El usuario descarga un documento de un sitio de SharePoint o de OneDrive para la Empresa.
FileFetched Este evento se ha sustituido por el evento FileAccessed y está en desuso.
FileModified La cuenta de sistema o el usuario modifica el contenido o las propiedades de un documento ubicado en un sitio de SharePoint o de OneDrive para la Empresa.
FileMoved El usuario mueve un documento desde su ubicación actual en un sitio de SharePoint o de OneDrive para la Empresa a una nueva ubicación.
FilePreviewed El usuario obtiene la vista previa de un documento de un sitio de SharePoint o de OneDrive para la Empresa.
FileRecycled El usuario mueve un documento a la papelera de reciclaje de SharePoint o OneDrive.
FileRenamed El usuario cambia el nombre de un documento de un sitio de SharePoint o de OneDrive para la Empresa.
FileRestored El usuario restaura un documento de una papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.
FileSyncDownloadedFull El usuario descarga un archivo en su equipo desde una biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
FileSyncDownloadedPartial Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).
FileSyncUploadedFull El usuario carga un nuevo archivo o cambios en un archivo en la biblioteca de documentos de SharePoint o OneDrive para la Empresa con la aplicación de Sincronización de OneDrive (OneDrive.exe).
FileSyncUploadedPartial Este evento ha quedado en desuso junto con la antigua aplicación de Sincronización de OneDrive para la Empresa (Groove.exe).
FileUploaded El usuario carga un documento en una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.
FileViewed Este evento se ha sustituido por el evento FileAccessed y está en desuso.
FolderCopied El usuario copia una carpeta de un sitio de SharePoint o de OneDrive para la Empresa en otra ubicación de SharePoint o de OneDrive para la Empresa.
FolderCreated El usuario crea una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.
FolderDeleted El usuario elimina una carpeta de un sitio de SharePoint o de OneDrive para la Empresa.
FolderDeletedFirstStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.
FolderDeletedSecondStageRecycleBin El usuario elimina una carpeta de la papelera de reciclaje de segundo nivel de un sitio de SharePoint o de OneDrive para la Empresa.
FolderModified El usuario modifica una carpeta en un sitio de SharePoint o de OneDrive para la Empresa. Este evento incluye cambios de metadatos de carpeta, como etiquetas y propiedades.
FolderMoved El usuario mueve una carpeta desde un sitio de SharePoint o de OneDrive para la Empresa.
FolderRecycled El usuario mueve una carpeta a la Papelera de reciclaje de SharePoint o OneDrive.
FolderRenamed El usuario cambia el nombre de una carpeta en un sitio de SharePoint o de OneDrive para la Empresa.
FolderRestored El usuario restaura una carpeta de la papelera de reciclaje de un sitio de SharePoint o de OneDrive para la Empresa.
GroupAdded El propietario o administrador del sitio crea un grupo para un sitio de SharePoint o de OneDrive para la Empresa, o realiza una tarea que tiene como resultado la creación de un grupo. Por ejemplo, la primera vez que un usuario crea un vínculo para compartir un archivo, se agrega un grupo del sistema al sitio de OneDrive para la Empresa del usuario. Este evento también puede ser un resultado de que un usuario crease un vínculo con permisos de edición para un archivo compartido.
GroupRemoved El usuario elimina un grupo de un sitio de SharePoint o de OneDrive para la Empresa.
GroupUpdated El propietario o el administrador del sitio cambia la configuración de un grupo para un sitio de SharePoint o de OneDrive para la Empresa. Esto puede incluir cambiar el nombre del grupo, quién puede ver o editar la pertenencia al grupo y cómo se controlan las solicitudes de pertenencia.
LanguageAddedToTermStore Se agregó un idioma al almacén de términos.
LanguageRemovedFromTermStore Se quitó un idioma del almacén de términos.
LegacyWorkflowEnabledSet El propietario o administrador del sitio agrega el tipo de contenido de tarea de flujo de trabajo de SharePoint al sitio. Los administradores globales también pueden habilitar los flujos de trabajo para toda la organización en el Centro de administración de SharePoint.
LookAndFeelModified El usuario modifica un inicio rápido, los formatos de gráfico de Gantt o los formatos de grupo.  O bien, el usuario crea, modifica o elimina una vista en project web app.
ManagedSyncClientAllowed El usuario establece correctamente una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa. La relación de sincronización es correcta porque el equipo del usuario es un miembro de un dominio que se ha agregado a la lista de dominios (denominada lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. Para obtener más información, vea Uso de PowerShell de SharePoint Online para habilitar Sincronización de OneDrive para dominios que se encuentran en la lista de destinatarios seguros.
MaxQuotaModified Se ha modificado la cuota máxima de un sitio.
MaxResourceUsageModified Se ha modificado el uso máximo permitido de recursos para un sitio.
MySitePublicEnabledSet El administrador del servicio SharePoint ha configurado la marca que habilita a los usuarios para tener Mis sitios en modo público.
NewsFeedEnabledSet El propietario o el administrador activa la fuente RSS para un sitio de SharePoint o de OneDrive para la Empresa. Los administradores globales pueden habilitar las fuentes RSS para toda la organización en el Centro de administración de SharePoint.
ODBNextUXSettings Se ha habilitado la nueva interfaz de usuario de OneDrive para la Empresa.
OfficeOnDemandSet El administrador del sitio habilita Office a petición, lo que permite a los usuarios obtener acceso a la última versión de las aplicaciones de escritorio de Office. Office a petición se habilita en el Centro de administración de SharePoint y requiere una suscripción a Office 365 que incluye aplicaciones de Office completas e instaladas.
PageViewed El usuario mira una página de un documento de un sitio de SharePoint o de OneDrive para la Empresa. Esto no incluye la visualización de archivos de la biblioteca de documentos de un sitio de SharePoint o de OneDrive para la Empresa en un explorador.
PeopleResultsScopeSet El administrador del sitio crea o cambia el origen de resultados para las búsquedas de personas para un sitio de SharePoint.
PermissionSyncSettingModified El usuario modifica la configuración de sincronización de permisos del proyecto en Project Web App.
PermissionTemplateModified El usuario crea, modifica o elimina una plantilla de permisos en Project Web App.
PortfolioDataAccessed El usuario accede al contenido de la cartera (biblioteca de controladores, priorización de controladores, análisis de cartera) en project web app.
PortfolioDataModified El usuario crea, modifica o elimina datos de cartera (biblioteca de controladores, priorización de controladores, análisis de cartera) en Project Web App.
PreviewModeEnabledSet El administrador del sitio habilita la vista previa de documentos de un sitio de SharePoint.
ProjectAccessed El usuario accede al contenido del proyecto en Project Web App.
ProjectCheckedIn El usuario comprueba en un proyecto que desprotegió de una aplicación web de Project.
ProjectCheckedOut El usuario comprueba un proyecto ubicado en una aplicación web de Project. Los usuarios pueden desproteger y realizar cambios en los proyectos para los que tienen permiso de apertura.
ProjectCreated El usuario crea un proyecto en project web app.
ProjectDeleted El usuario elimina un proyecto en Project Web App.
ProjectForceCheckedIn El usuario fuerza una protección en un proyecto en project web app.
ProjectModified El usuario modifica un proyecto en project web app.
ProjectPublished El usuario publica un proyecto en project web app.
ProjectWorkflowRestarted El usuario reinicia un flujo de trabajo en Project Web App.
PWASettingsAccessed El usuario accede a la configuración de project web app a través de CSOM.
PWASettingsModified El usuario modifica la configuración de una aplicación web de Project.
QueueJobStateModified El usuario cancela o reinicia un trabajo de cola en Project Web App.
QuotaWarningEnabledModified Advertencia de modificación de la cuota de almacenamiento.
RenderingEnabled Las plantillas de formulario habilitadas para el explorador se representarán mediante InfoPath Forms Services.
ReportingAccessed El usuario ha accedido al punto de conexión de informes en Project Web App.
ReportingSettingModified El usuario modifica la configuración de informes en Project Web App.
ResourceAccessed El usuario accede a un contenido de recursos empresariales en Project Web App.
ResourceCheckedIn El usuario comprueba en un recurso empresarial que desprotegió de Project Web App.
ResourceCheckedOut El usuario desprotee un recurso empresarial ubicado en Project Web App.
ResourceCreated El usuario crea un recurso empresarial en Project Web App.
ResourceDeleted El usuario elimina un recurso de empresa en Project Web App.
ResourceForceCheckedIn El usuario fuerza una comprobación de un recurso empresarial en Project Web App.
ResourceModified El usuario modifica un recurso de empresa en Project Web App.
ResourcePlanCheckedInOrOut El usuario protege o extrae un plan de recursos en Project Web App.
ResourcePlanModified El usuario modifica un plan de recursos en Project Web App.
ResourcePlanPublished El usuario publica un plan de recursos en Project Web App.
ResourceRedacted El usuario redacta un recurso empresarial quitando toda la información personal de Project Web App.
ResourceWarningEnabledModified Advertencia de modificación de la cuota de recursos.
SSOGroupCredentialsSet Las credenciales de grupo configuradas en el Servicio de almacenamiento seguro.
SSOUserCredentialsSet Las credenciales de usuario configuradas en el Servicio de almacenamiento seguro.
SearchCenterUrlSet La dirección URL del centro de búsqueda configurada.
SecondaryMySiteOwnerSet Un usuario ha agregado un propietario secundario para su sitio.
SecurityCategoryModified El usuario crea, modifica o elimina una categoría de seguridad en Project Web App.
SecurityGroupModified El usuario crea, modifica o elimina un grupo de seguridad en project web app.
SendToConnectionAdded El administrador global crea una nueva conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint. Una conexión Enviar a especifica la configuración de un repositorio de documentos o un centro de registros. Cuando crea una conexión Enviar a, un Organizador de contenido puede enviar documentos a la ubicación especificada.
SendToConnectionRemoved El administrador global elimina una conexión Enviar a en la página Administración de registros en el Centro de administración de SharePoint.
SharedLinkCreated El usuario crea un vínculo a un archivo compartido en SharePoint o en OneDrive para la Empresa. Este vínculo puede enviarse a otras personas para proporcionarles acceso al archivo. Un usuario puede crear dos tipos de vínculos: un vínculo que permite al usuario ver y editar el archivo compartido o un vínculo que solo permite al usuario ver el archivo.
SharedLinkDisabled El usuario deshabilita (permanentemente) un vínculo para compartir un archivo creado.
SharingInvitationAccepted * El usuario acepta una invitación para compartir un archivo o carpeta. Este evento se registra cuando un usuario comparte un archivo con otros usuarios.
SharingRevoked El usuario deja de compartir un archivo o carpeta que se había compartido con otros usuarios. Este evento se registra cuando un usuario deja de compartir un archivo con otros usuarios.
SharingSet El usuario comparte un archivo o carpeta que se encuentra en SharePoint o en OneDrive para la Empresa con otro usuario de su organización.
SiteAdminChangeRequest Solicitudes de usuario para que se les agregue como administrador de colección de sitios para una colección de sitios de SharePoint. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los subsitios.
SiteCollectionAdminAdded* El administrador de colección de sitios o el propietario agrega a una persona como un administrador de colección de sitios de un sitio de SharePoint o de OneDrive para la Empresa. Los administradores de colección de sitios tienen permisos de control total para la colección de sitios y todos los sub sitios.
SiteCollectionCreated El administrador global crea una nueva colección de sitios de su organización de SharePoint.
SiteRenamed El propietario o el administrador cambia el nombre de un sitio de SharePoint o de OneDrive para la Empresa.
StatusReportModified El usuario crea, modifica o elimina un informe de estado en project web app.
SyncGetChanges El usuario hace clic en Sincronización en la Bandeja de acción en SharePoint o OneDrive para la Empresa para sincronizar los cambios en un archivo en una biblioteca de documentos en su equipo.
SyntexBillingSubscriptionSettingsChanged La configuración de la suscripción de facturación de Syntex ha cambiado. Este evento se desencadena cuando expira una prueba de Syntex.
TaskStatusAccessed El usuario accede al estado de una o varias tareas en Project Web App.
TaskStatusApproved El usuario aprueba una actualización de estado de una o varias tareas en Project Web App.
TaskStatusRejected El usuario rechaza una actualización de estado de una o varias tareas en Project Web App.
TaskStatusSaved El usuario guarda una actualización de estado de una o varias tareas en Project Web App.
TaskStatusSubmitted El usuario envía una actualización de estado de una o varias tareas en project web app.
TimesheetAccessed El usuario accede a un parte de horas en Project Web App.
TimesheetApproved El usuario aprueba el parte de horas en Project Web App.
TimesheetRejected El usuario rechaza un parte de horas en Project Web App.
TimesheetSaved El usuario guarda un parte de horas en project web app.
TimesheetSubmitted El usuario envía un parte de horas de estado en Project Web App.
UnmanagedSyncClientBlocked El usuario intenta establecer una relación de sincronización con un sitio de SharePoint o de OneDrive para la Empresa desde un equipo que no es miembro del dominio de su organización o es un miembro de un dominio que no se ha agregado a la lista de dominios (denominada la lista de destinatarios seguros) que puede obtener acceso a las bibliotecas de documentos de su organización. La relación de sincronización no se permite y el equipo del usuario queda bloqueado para sincronizar, descargar o cargar archivos en una biblioteca de documentos. Para obtener más información sobre esta característica, vea Usar cmdlets de Windows PowerShell para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros.
UpdateSSOApplication La aplicación de destino se actualizó en el Servicio de almacenamiento seguro.
UserAddedToGroup El propietario o el administrador agrega a un usuario a un grupo en un sitio de SharePoint o de OneDrive para la Empresa. Agregar a un usuario a un grupo concede al usuario los permisos asignados al grupo.
UserRemovedFromGroup El propietario o el administrador quita a un usuario de un grupo en un sitio de SharePoint o de OneDrive para la Empresa. Después de quitar la persona, no se le concede los permisos asignados al grupo.
WorkflowModified El usuario crea, modifica o elimina un tipo de proyecto de empresa o fases o fases de flujo de trabajo en project web app.

Operaciones de archivos de SharePoint

Los eventos de SharePoint relacionados con archivos enumerados en la sección "Actividades de archivos y carpetas" en Buscar el registro de auditoría en el Centro de cumplimiento usan este esquema.

Parámetro Tipo ¿Es obligatoria? Descripción
SiteUrl Edm.String La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.
SourceRelativeUrl Edm.String No La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario.
SourceFileName Edm.String El nombre del archivo o carpeta al que obtuvo acceso el usuario.
SourceFileExtension Edm.String No La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta.
DestinationRelativeUrl Edm.String No La dirección URL de la carpeta de destino donde se copia o se mueve un archivo. La combinación de los valores de los parámetros SiteURL, DestinationRelativeURL y DestinationFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa del archivo que se copió. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.
DestinationFileName Edm.String No El nombre del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.
DestinationFileExtension Edm.String No La extensión del archivo que se copia o mueve. Esta propiedad se muestra únicamente para los eventos FileCopied y FileMoved.
UserSharedWith Edm.String No El usuario con el que se compartió un recurso.
SharingType Edm.String No El tipo de permisos de uso compartido que se asignan al usuario con el que se compartió el recurso. Este usuario se identifica mediante el parámetro UserSharedWith .
SourceLabel Edm.String No Etiqueta original del archivo antes de que una acción del usuario la cambie.
DestinationLabel Edm.String No La etiqueta final del archivo después de que una acción del usuario la cambie.
SensitivityLabelOwnerEmail Edm.String No Dirección de correo electrónico del propietario de la etiqueta de confidencialidad.
SensitivityLabelId Edm.String No El identificador de etiqueta de confidencialidad actual del archivo.

Lista de operaciones de SharePoint

Las listas de SharePoint y los eventos relacionados con elementos de lista enumerados en la sección "Actividades de lista de SharePoint" en Buscar en el registro de auditoría en el Centro de cumplimiento usan este esquema.

Parámetro Tipo ¿Es obligatoria? Descripción
ListTitle Edm.String No El título de la lista de SharePoint.
ListName Edm.String No El nombre de la lista de SharePoint.
ListUrl Edm.String No La dirección URL de la lista relativa al sitio web contenedor.
ListBaseType Edm.String No Especifica el tipo base de una lista.
ListBaseTemplateType Edm.String No Tipo de definición de lista en el que se basa la lista.
IsHiddenList Edm.Boolean No Este valor se establece en True si la lista de SharePoint está oculta.
IsDocLib Edm.Boolean No Este valor se establece en True si la lista de SharePoint es del tipo Biblioteca de documentos.

Esquema de uso compartido de SharePoint

Los eventos de SharePoint relacionados con el uso compartido de archivos. Se diferencian de los eventos relacionados con archivos y carpetas en que un usuario realiza una acción que tiene algún efecto en otro usuario. Para obtener información sobre el esquema de uso compartido de SharePoint, vea Usar el uso compartido de auditoría en el registro de auditoría.

Parámetro Tipo ¿Es obligatoria? Descripción
TargetUserOrGroupName Edm.String No Almacena el UPN o el nombre del grupo o usuario de destino con el que se compartió un recurso.
TargetUserOrGroupType Edm.String No Identifica si el usuario o grupo de destino es un miembro, invitado, grupo o partner.
EventData Código XML No Transmite información de seguimiento sobre la acción de uso compartido que se ha producido, como agregar un usuario a un grupo o conceder permisos de edición.
SiteUrl Edm.String No La dirección URL del sitio donde se encuentra el archivo o la carpeta a la que obtuvo acceso el usuario.
SourceRelativeUrl Edm.String No La dirección URL de la carpeta que contiene el archivo al que obtuvo acceso el usuario. La combinación de los valores de los parámetros SiteURL, SourceRelativeURL y SourceFileName es la misma que el valor de la propiedad ObjectID , que es el nombre de la ruta de acceso completa para el archivo al que accede el usuario.
SourceFileName Edm.String No El nombre del archivo o carpeta al que obtuvo acceso el usuario.
SourceFileExtension Edm.String No La extensión del archivo al que obtuvo acceso el usuario. Esta propiedad está en blanco si el objeto al que se obtuvo acceso es una carpeta.
UniqueSharingId Edm.String No El identificador de uso compartido único asociado a la operación de uso compartido.

Esquema de SharePoint

Los eventos de SharePoint enumerados en Buscar en el registro de auditoría en el Centro de cumplimiento (excepto los eventos de archivo y carpeta) usan este esquema.

Parámetro Tipo ¿Es obligatoria? Descripción
CustomEvent Edm.String No Cadena opcional para los eventos personalizados.
EventData Edm.String No Carga opcional para los eventos personalizados.
ModifiedProperties Collection(ModifiedProperty) No La propiedad se incluye para los eventos de administración, como agregar un usuario como miembro de un sitio o un grupo de administradores de colección de sitios. La propiedad incluye el nombre de la propiedad modificada (por ejemplo, el grupo de administradores del sitio), el nuevo valor de la propiedad modificada (como el usuario agregado como administrador de sitio) y el valor anterior del objeto modificado.

Esquema de Project

Parámetro Tipo ¿Es obligatoria? Descripción
Entidad Edm.String ProjectEntity para la que fue la auditoría.
Acción Edm.String ProjectAction que se realizó.
OnBehalfOfResId Edm.Guid No El id. de recurso en nombre del cual se realizó la acción.

Enum: Project acción - Tipo: Edm.Int32

Acción de proyecto

Nombre del miembro Descripción
Aceptadas El usuario aceptó un evento o un flujo de trabajo.
Accessed El usuario obtuvo acceso a una entidad.
Activated El usuario activó una entidad, un evento o un flujo de trabajo.
Cancelled El usuario canceló un evento o un flujo de trabajo.
CheckedIn El usuario insertó una entidad.
CheckedOut El usuario extrajo una entidad.
Copied El usuario copió una entidad.
Created El usuario creó una entidad.
Deactivated El usuario desactivó una entidad.
Deleted El usuario eliminó una entidad.
Exported El usuario exportó una entidad.
ForceCheckedIn El usuario causó que se forzase la inserción de una entidad.
Modified El usuario modificó una entidad.
Published El usuario publicó una entidad.
Redacted El usuario redactó una entidad.
Rejected El usuario rechazó una entidad.
Restarted El usuario reinició un evento o un flujo de trabajo.
Saved El usuario guardó una entidad.
Sent El usuario envió una entidad.
Submitted El usuario envió un flujo de trabajo o una entidad para su revisión.

Enum: Project Entity - Tipo: Edm.Int32

Entidad del proyecto

Nombre del miembro Descripción
CustomField Representa de un campo personalizado de empresa.
Driver Representa un controlador de cartera.
DriverPrioritization Representa una priorización de la cartera.
Engagement Representa una interacción de recurso.
EnterpriseCalendar Representa un calendario de recursos de empresa.
EnterpriseProjectType Representa un tipo de proyecto empresarial.
FiscalPeriod Representa un período fiscal.
GanttChartFormat Representa un formato de gráfico de Gantt.
GroupingFormat Representa un formato de agrupación de vista.
LineClassification Representa una clasificación de línea de parte de horas.
LookupTable Representa una tabla de búsqueda empresarial.
PermissionTemplate Representa una plantilla de permisos de seguridad.
PortfolioAnalysis Representa un análisis de cartera.
Project Representa un proyecto.
QueueJob Representa un trabajo de cola.
QuickLaunch Representa un elemento de inicio rápido.
Reporting Representa el punto de conexión de creación de informes.
Resource Representa de un recurso de empresa.
ResourcePlan Representa un plan de recursos asociado a un proyecto.
SecurityCategory Representa una categoría de seguridad.
SecurityGroup Representa un grupo de seguridad.
Setting Representa una configuración de project web app
Statusing Representa una actualización de estado de tarea.
StatusReport Representa un informe de estado.
TimeReportingPeriod Representa un período de tiempo de un parte de horas
Timesheet Representa una entidad de parte de horas.
TimesheetAuditLog Representa un registro de auditoría de parte de horas.
TimesheetManager Representa el administrador de un parte de horas.
UserDelegate Representa una delegación de usuario para otro usuario.
View Representa una definición de vista.
WorkflowPhase Representa una fase de un flujo de trabajo.
WorkflowStage Representa una fase de un flujo de trabajo.

Esquema de administración de Exchange

Parámetros Tipo Obligatorio Descripción
ModifiedObjectResolvedName Edm.String No Este es el nombre descriptivo del objeto modificado por el cmdlet. Esto solo se registra si el cmdlet modifica el objeto.
Parámetros Collection(Common.NameValuePair) No El nombre y valor de todos los parámetros usados con el cmdlet que se identifica en la propiedad Operations.
ModifiedProperties Collection(Common.ModifiedProperty) No La propiedad se incluye para los eventos de administración. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior del objeto modificado.
ExternalAccess Edm.Boolean Especifica si el cmdlet lo ejecutó un usuario de la organización, el personal del centro de datos de Microsoft o una cuenta de servicio del centro de datos, o un administrador delegado. El valor False indica que el cmdlet lo ejecutó algún usuario de su organización. El valor True indica que el cmdlet lo ejecutó el personal del centros de datos, una cuenta de servicio del centro de datos o un administrador delegado.
OriginatingServer Edm.String No El nombre del servidor desde el que se ejecutó el cmdlet.
OrganizationName Edm.String No El nombre del inquilino.

Esquema de buzón de Exchange

Parámetros Tipo Obligatorio Descripción
LogonType Self.LogonType No Indica el tipo de usuario que obtuvo acceso al buzón y llevó a cabo la operación que se ha registrado.
InternalLogonType Self.LogonType No Reservado para uso interno.
MailboxGuid Edm.String No El GUID de Exchange del buzón al que se obtuvo acceso.
MailboxOwnerUPN Edm.String No La dirección de correo electrónico del propietario del buzón al que se obtuvo acceso.
MailboxOwnerSid Edm.String No El SID del propietario del buzón.
MailboxOwnerMasterAccountSid Edm.String No SID de la cuenta principal de la cuenta del propietario del buzón.
LogonUserSid Edm.String No El SID del usuario que realizó la operación.
LogonUserDisplayName Edm.String No El nombre descriptivo del usuario que realizó la operación.
ExternalAccess Edm.Boolean Esto tiene el valor true si el dominio del usuario que inició sesión es diferente del dominio del propietario del buzón.
OriginatingServer Edm.String No Representa dónde se originó la operación.
OrganizationName Edm.String No El nombre del inquilino.
ClientInfoString Edm.String No Información sobre el cliente de correo electrónico que se usó para realizar la operación, como la versión de explorador, la versión de Outlook o información del dispositivo móvil.
ClientIPAddress Edm.String No La dirección IP del dispositivo que se ha usado cuando la operación se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
ClientMachineName Edm.String No El nombre del equipo que hospeda al cliente de Outlook.
ClientProcessName Edm.String No El cliente de correo electrónico que se usó para acceder al buzón.
ClientVersion Edm.String No La versión del cliente de correo electrónico.

Enum: LogonType - Tipo: Edm.Int32

LogonType

Valor Nombre del miembro Descripción
0 Owner El propietario del buzón
1 Admin Un usuario con privilegios de administrador para el buzón de un usuario.
2 Delegated Un usuario con privilegios de delegado para el buzón de un usuario.
3 Transport Un servicio de transporte en el centro de datos de Microsoft.
4 SystemService Una cuenta de servicio del centro de datos de Microsoft
5 BestAccess Reservado para uso interno.
6 DelegatedAdmin Un administrador delegado.

Esquema ExchangeMailboxAuditGroupRecord

Parámetros Tipo ¿Es obligatoria? Descripción
Folder Self.ExchangeFolder No La carpeta donde se encuentra un grupo de elementos.
CrossMailboxOperations Edm.Boolean No Indica si la operación implicó más de un buzón.
DestMailboxId Edm.Guid No Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el GUID del buzón de correo de destino.
DestMailboxOwnerUPN Edm.String No Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el UPN del propietario del buzón de correo de destino.
DestMailboxOwnerSid Edm.String No Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el SID del buzón de correo de destino.
DestMailboxOwnerMasterAccountSid Edm.String No Establece si el valor del parámetro CrossMailboxOperations es True. Especifica el SID de la cuenta principal y el SID del propietario del buzón de destino.
DestFolder Self.ExchangeFolder No La carpeta de destino, para operaciones como Mover.
Folders Collection(Self.ExchangeFolder) No Información sobre las carpetas de origen implicadas en una operación; por ejemplo, si las carpetas están seleccionadas y después se eliminan.
AffectedItems Collection(Self.ExchangeItem) No Información sobre cada elemento del grupo.

Esquema ExchangeMailboxAuditRecord

Parámetros Tipo ¿Es obligatoria? Descripción
Item Self.ExchangeItem No Representa el elemento para el que se ha realizado la operación
ModifiedProperties Collection(Edm.String) No Por determinar
SendAsUserSmtp Edm.String No Dirección SMTP del usuario que se está suplantando.
SendAsUserMailboxGuid Edm.Guid No El GUID de Exchange del buzón al que se obtuvo acceso para enviar un correo electrónico.
SendOnBehalfOfUserSmtp Edm.String No Dirección SMTP del usuario en cuyo nombre se envía el correo electrónico.
SendOnBehalfOfUserMailboxGuid Edm.Guid No El GUID de Exchange del buzón al que se obtuvo acceso para enviar correo en su nombre.

Tipo complejo ExchangeItem

Parámetros Tipo ¿Es obligatoria? Descripción
Id Edm.String Id. de la tienda.
Subject Edm.String No La línea de asunto del mensaje al que se obtuvo acceso.
ParentFolder Edm.ExchangeFolder No El nombre de la carpeta donde se encuentra el elemento omitido.
Attachments Edm.String No Una lista de los nombres y el tamaño de archivo de todos los elementos que se adjuntan al mensaje.

Tipo complejo ExchangeFolder

Parámetros Tipo ¿Es obligatoria? Descripción
Id Edm.String El id. del objeto de carpeta.
Path Edm.String No El nombre de la carpeta del buzón donde se encuentra el mensaje al que se obtuvo acceso.

Esquema base de Azure Active Directory

Parámetros Tipo ¿Es obligatoria? Descripción
AzureActiveDirectoryEventType Self.AzureActiveDirectoryEventType Tipo de evento de Microsoft Entra.
ExtendedProperties Collection(Common.NameValuePair) No Propiedades extendidas del evento Microsoft Entra.
ModifiedProperties Collection(Common.ModifiedProperty) No Esta propiedad se incluye para los eventos de administración. La propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.

Enum: AzureActiveDirectoryEventType - Tipo: Edm.Int32

AzureActiveDirectoryEventType

Nombre del miembro Descripción
AccountLogon El evento de inicio de sesión de la cuenta.
AzureApplicationAuditEvent El evento de seguridad de la aplicación de Azure.

Esquema de inicio de sesión de Azure Active Directory

Parámetros Tipo ¿Es obligatoria? Descripción
Application Edm.String No La aplicación que desencadena el evento de inicio de sesión de la cuenta, como Office 15.
Client Edm.String No Información sobre el dispositivo del cliente, el sistema operativo del dispositivo y explorador del dispositivo que se usó para del evento de inicio de sesión de cuenta.
LoginStatus Edm.Int32 Esta propiedad procede directamente de OrgIdLogon.LoginStatus. Puede realizarse la asignación de varios errores de inicio de sesión interesantes mediante algoritmos de alerta.
UserDomain Edm.String La información de identidad del inquilino (TII).

Enum: CredentialType - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
-1 Other Otra autenticación.
0 Password La credencial de usuario es el nombre de usuario y la contraseña.
1 MobilePhone La credencial de usuario es el teléfono móvil.
2 SecretQuestion La credencial de usuario es la pregunta secreta.
3 SecurePin La credencial de usuario es el PIN seguro.
4 SecurePinReset La credencial de usuario es el restablecimiento del PIN seguro.
11 EasyID La credencial de usuario es el EasyID.
14 PasswordIndexCredentialType La credencial de usuario es PasswordIndexCredentialType.
16 Device La credencial de usuario es un dispositivo.
17 ForeignRealmIndex La credencial de usuario es ForeignRealmIndex.

Enum: LoginType - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
-1 Other Otro tipo i.
1 InitialAuth Inicie sesión con la autenticación inicial
2 CookieCopy Inicie sesión con la cookie.
3 SilentReAuth Inicie sesión con la reautenticación silenciosa.

Enum: AuthenticationMethod - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 Min El método de autenticación es un método mín
1 Password El método de autenticación es una contraseña.
2 Digest El método de autenticación es un resumen.
3 ProxyAuth El método de autenticación es un ProxyAuth.
4 InfoCard El método de autenticación es un InfoCard.
5 DAToken El método de autenticación es un DAToken.
6 Sha1RememberMyPassword El método de autenticación es una Sha1RememberMyPassword.
7 LMPasswordHash El método de autenticación es un LMPasswordHash.
8 ADFSFederatedToken El método de autenticación es un ADFSFederatedToken.
9 EID El método de autenticación es un EID.
10 DeviceID El método de autenticación es un DeviceID.
11 MD5 El método de autenticación es un MD5.
12 EncProxyPasswordHash El método de autenticación es un EncProxyPasswordHash.
13 LWAFederation El método de autenticación es un LWAFederation.
14 Sha1HashedPassword El método de autenticación es un Sha1HashedPassword.
15 SecurePin El método de autenticación es un PIN seguro.
16 SecurePinReset El método de autenticación es un restablecimiento de PIN seguro.
17 SAML20PostSimpleSign El método de autenticación es un SAML20PostSimpleSign.
18 SAML20Post El método de autenticación es un SAML20Post.
19 OneTimeCode El método de autenticación es un código de un solo uso.

Esquema de Azure Active Directory

Parámetros Tipo ¿Es obligatoria? Descripción
Actor Collection(Self.IdentityTypeValuePair) No El usuario o una entidad de servicio que efectuó la acción.
ActorContextId Edm.String No El GUID de la organización a la que pertenece el agente.
ActorIpAddress Edm.String No La dirección IP del actor en formato de dirección IPV4 o IPV6.
InterSystemsId Edm.String No El GUID que realiza un seguimiento de las acciones de componentes en el servicio de Office 365.
IntraSystemsId Edm.String No El GUID que genera Azure Active Directory para realizar un seguimiento de la acción.
SupportTicketId Edm.String No El id. del vale de soporte de cliente para la acción en situaciones de "actuar en nombre de".
Target Collection(Self.IdentityTypeValuePair) No El usuario para el que se realizó la acción (identificada por la propiedad Operation).
TargetContextId Edm.String No El GUID de la organización a la que pertenece el usuario de destino.

Tipo complejo IdentityTypeValuePair

Parámetros Tipo ¿Es obligatoria? Descripción
Id. Edm.String El valor de la identidad dada el tipo.
Type Self.IdentityType El tipo de la identidad.

Enum: IdentityType - Tipo: Edm.Int32

IdentityType

Nombre del miembro Descripción
Claim La identidad es una notificación para el propósito de autorización.
Name El actor de la acción de auditoría o el nombre para mostrar de la identidad de destino.
Other La identidad del actor es otro tipo, como ObjectId en GUID generado por el servicio de Office 365.
PUID El agente de acción de auditoría o el identificador único de Microsoft .NET Passport (PUID) de destino.
SPN La identidad de una entidad de servicio si la acción la ejecuta el servicio de Office 365.
UPN El nombre principal del usuario.

Esquema de inicio de sesión de servicio de token de seguridad (STS) de Azure Active Directory

Parameters Tipo ¿Es obligatoria? Descripción
ApplicationId Edm.String No El GUID que representa la aplicación que solicita el inicio de sesión. Se puede buscar el nombre para mostrar a través de la API de Graph de Azure Active Directory.
Client Edm.String No Información de dispositivo cliente, proporcionada por el explorador que realiza el inicio de sesión.
DeviceProperties Collection(Common.NameValuePair) No Esta propiedad incluye varios detalles de dispositivos, como Id., nombre para mostrar, SO, navegador, IsCompliant, IsCompliantAndManaged, SessionId, y DeviceTrustType. La propiedad DeviceTrustType puede tener los siguientes valores:

0: Microsoft Entra registrado
1: unidos Microsoft Entra
2: unidos a Microsoft Entra híbridos
ErrorCode Edm.String No Para inicios de sesión con errores (donde el valor de la propiedad Operation es UserLoginFailed), esta propiedad contiene el código de error STS (AADSTS) de Azure Active Directory. Para ver descripciones de estos códigos de error, consulte Códigos de error de autenticación y autorización. Un valor de 0 indica que el inicio de sesión se ha realizado correctamente.
LogonError Edm.String No En el caso de los inicios de sesión con errores, esta propiedad contiene una descripción legible del motivo del error en el inicio de sesión.

Esquema DLP

Los eventos DLP están disponibles para Exchange Online, Endpoint(devices) y SharePoint Online y OneDrive para la Empresa. Tenga en cuenta que los eventos DLP en Exchange solo están disponibles para los eventos basados en directiva DLP unificada (por ejemplo, configurados mediante el Centro de seguridad y cumplimiento). Los eventos DLP basados en las reglas de transporte de Exchange no son compatibles.

Los eventos DLP (prevención de pérdida de datos) siempre tendrán UserKey="DlpAgent" en el esquema común. Hay tres tipos de DlpEvents que se almacenan como el valor de la propiedad Operation del esquema común:

  • DlpRuleMatch: indica que se encontró una coincidencia con una regla. Estos eventos existen en todos los exchange, puntos de conexión (dispositivos) y SharePoint Online y OneDrive para la Empresa. Para Exchange incluye los falsos positivos y reemplazar información. En SharePoint Online y en OneDrive para la Empresa, los falsos positivos y los reemplazos generan eventos independientes.

  • DlpRuleUndo: solo existen en SharePoint Online y en OneDrive para la Empresa e indican que una acción de la directiva aplicada anteriormente se ha "deshecho", debido a la designación de falso positivo o reemplazo por el usuario, o porque el documento ya no está sujeto a directiva (ya sea debido a cambio de directiva o a cambios al contenido del documento).

  • DlpInfo: solo se encuentran en SharePoint Online y en OneDrive para la Empresa e indican una designación de falso positivo, pero no se ha "deshecho" ninguna acción.

Parámetros Tipo Obligatorio Descripción
SharePointMetaData Self.SharePointMetadata No Describe los metadatos sobre el documento en SharePoint o en OneDrive para la Empresa, que contiene la información confidencial.
ExchangeMetaData Self.ExchangeMetadata No Describe los metadatos sobre el mensaje de correo electrónico que contiene la información confidencial.
EndpointMetaData Propio. EndpointMetadata No Describe los metadatos sobre el documento en el punto de conexión que contenía la información confidencial.
ExceptionInfo Edm.String No Identifica los motivos por los que ya no se aplica una directiva o cualquier información sobre falsos positivos o invalidación indicada por el usuario final.
PolicyDetails Collection(Self.PolicyDetails) Información sobre 1 o más directivas que ha desencadenado el evento DLP.
SensitiveInfoDetectionIsIncluded Boolean Indica si el evento contiene el valor del tipo de datos confidenciales y el contexto del contenido de origen. Obtener acceso a los datos confidenciales requiere el permiso "Leer eventos de directiva DLP como información confidencial" en Azure Active Directory.

Tipo complejo SharePointMetadata

Parámetros Tipo ¿Es obligatoria? Descripción
From Edm.String El usuario ha desencadenado el evento. Se trata de FileOwner, LastModifier o LastSharer.
itemCreationTime Edm.Date Datetimestamp en UTC de cuando se registró el evento.
SiteCollectionGuid Edm.Guid El GUID de la colección de sitios.
SiteCollectionUrl Edm.String El nombre del sitio de SharePoint.
FileName Edm.String El nombre de la ruta de acceso.
FileOwner Edm.String El propietario del documento.
FilePathUrl Edm.String La dirección URL del documento
DocumentLastModifier Edm.String El usuario que ha modificado por última vez el documento.
DocumentSharer Edm.String El usuario que ha modificado por última vez el uso compartido del documento.
UniqueId Edm.String Un GUID que identifica el archivo.
LastModifiedTime Edm.DateTime Marca de tiempo en UTC que indica la última vez que se modificó el documento.
IsViewableByExternalUsers Edm.Boolean Determina si el archivo es accesible para cualquier usuario externo.

Tipo complejo ExchangeMetadata

Parámetros Tipo ¿Es obligatoria? Descripción
MessageID Edm.String El identificador de mensaje de correo electrónico que ha desencadenado el evento.
From Edm.String El usuario que envió el correo electrónico.
To Collection(Edm.String) No Un conjunto de direcciones de correo electrónico que estaban en la línea Para del mensaje.
CC Collection(Edm.String) No Un conjunto de direcciones de correo electrónico que estaban en la línea CC del mensaje.
BCC Collection(Edm.String) No Un conjunto de direcciones de correo electrónico que estaban en la línea CCO del mensaje.
Subject Edm.String El asunto del mensaje de correo electrónico.
Sent Edm.DateTime La hora en UTC a la que se envió el correo electrónico.
RecipientCount Edm.Int32 El número total de todos los destinatarios en las líneas Para, CC y CCO del mensaje.

Tipo complejo EndpointMetadata

Parámetros Tipo ¿Es obligatoria? Descripción
SensitiveInformation Collection(Self.SensitiveInformation) No Información sobre el tipo de información confidencial que se detectó.
EnforcementMode Edm.String Indique si la regla DLP establecida en 1/2/3/4/5 que representa audit/warn(block with override)/warn y bypass/block/allow(audit without alerts) respectivamente.
FileExtension Edm.String No Extensión de archivo del documento que contenía la información confidencial.
FileType Edm.String No Tipo de archivo del documento que conatinó la información confidencial.
DeviceName Edm.String No Nombre del dispositivo en el que se detectó la coincidencia de la regla DLP.

Tipo complejo PolicyDetails

Parámetros Tipo ¿Es obligatoria? Descripción
PolicyId Edm.Guid El GUID de la directiva DLP para el evento.
PolicyName Edm.String El nombre descriptivo de la directiva DLP para el evento.
Rules Collection(Self.Rules) Información sobre las reglas de la directiva coincidentes para el evento.

Tipos complejo reglas

Parámetros Tipo ¿Es obligatoria? Descripción
RuleId Edm.Guid El GUID de la regla DLP para el evento.
RuleName Edm.String El nombre descriptivo de la regla DLP para el evento.
Acciones Collection(Edm.String) No Una lista de acciones como resultado de un evento RuleMatch DLP.
OverriddenActions Collection(Edm.String) No Una lista de acciones realizadas anteriormente que ahora se han deshecho como resultado de un evento DLPRuleUndo.
Severity Edm.String No La gravedad (baja, media y alta) de la coincidencia de regla.
RuleMode Edm.String Indica si la regla DLP solo se ha configurado para Aplicar, Auditar con notificación o Solo auditar.
ConditionsMatched Self.ConditionsMatched No Información sobre las condiciones de la regla para las que se han encontrado coincidencias para el evento.

Tipo complejo ConditionsMatched

Parámetros Tipo ¿Es obligatoria? Descripción
SensitiveInformation Collection(Self.SensitiveInformation) No Información sobre el tipo de información confidencial que se detectó.
DocumentProperties Collection(NameValuePair) No Información sobre las propiedades del documento que activaron una coincidencia de regla.
OtherConditions Collection(NameValuePair) No Una lista de los pares de valores clave que describe cualquier otra condición para la que se encontrón coincidencias.

Tipo complejo SensitiveInformation

Parámetros Tipo ¿Es obligatoria? Descripción
Confidence Edm.Int La confianza agregada de todas las coincidencias de patrón para el tipo de información confidencial.
Count Edm.Int El número total de instancias confidenciales detectadas.
Ubicación Edm.String No
SensitiveType Edm.Guid Un GUID que identifica el tipo de información confidencial detectado.
SensitiveInformationDetections Self.SensitiveInformationDetections No La matriz de objetos que contienen datos de información confidencial con los siguientes detalles: valor coincidente y contexto de valor coincidente.
SensitiveInformationDetailedClassificationAttributes Collection(SensitiveInformationDetailedConfidenceLevelResult) Información sobre el recuento del tipo de información confidencial detectado para cada uno de los tres niveles de confianza (alto, medio y bajo) y si coincide o no con la regla DLP.
SensitiveInformationTypeName Edm.String No El nombre del tipo de información confidencial.
UniqueCount Edm.Int32 El recuento único de instancias confidenciales detectadas.

Tipo complejo SensitiveInformationDetailedClassificationAttributes

Parámetros Tipo ¿Es obligatoria? Descripción
Confidence Edm.int32 El nivel de confianza del patrón que se detectó.
Count Edm.Int32 El número de instancias confidenciales detectadas para un nivel de confianza particular.
IsMatch Edm.Boolean Indica si el recuento dado y el nivel de confianza del tipo confidencial detectado dan como resultado una coincidencia de la regla DLP.

Tipo complejo SensitiveInformationDetections

Los datos confidenciales de DLP solo están disponibles en la API de fuente de actividades para los usuarios a los que se les han concedido permisos "Leer datos confidenciales de DLP".

Parámetros Tipo ¿Es obligatoria? Descripción
DetectedValues Collection(Common.NameValuePair) Una matriz de información confidencial que se detectó. La información contiene pares clave-valor con Valor = valor coincidente (por ejemplo, Valor de la tarjeta de crédito) y Context = un extracto del contenido de origen que contiene el valor coincidente.
ResultsTruncated Edm.Boolean Indica si los registros se truncan debido al gran número de resultados.

Tipo complejo ExceptionInfo

Parámetros Tipo ¿Es obligatoria? Descripción
Reason Edm.String No Para un evento DLPRuleUndo, indica por qué ya no se aplica la regla, lo que puede deberse a uno de los estos tres motivos: Invalidación, Cambio del documento o Cambio de directiva
FalsePositive Edm.Boolean No Indica si el usuario designó este evento como un falso positivo.
Justificación Edm.String No Si el usuario decidió invalidar la directiva, cualquier justificación especificada por el usuario se captura aquí.
Rules Collection(Edm.Guid) No Una colección de GUID para las reglas que se designó como un falso positivo o invalidación o por la que se deshizo una acción.

Esquema de Centro de seguridad y cumplimiento

Parámetros Tipo Obligatorio Descripción
StartTime Edm.Date No La fecha y hora en que se ejecutó el cmdlet.
ClientRequestId Edm.String No Un GUID que puede usarse para correlacionar este cmdlet con las operaciones de UX del Centro de seguridad y cumplimiento. Solo el soporte técnico de Microsoft utiliza esta información.
CmdletVersion Edm.String No La versión de compilación del cmdlet cuando se ejecutó.
EffectiveOrganization Edm.String No El GUID de la organización que se han visto afectada por el cmdlet. (En desuso: este parámetro dejará de aparecer en el futuro.)
UserServicePlan Edm.String No El plan de servicio de Exchange Online Protection asignado al usuario que ejecutó el cmdlet.
ClientApplication Edm.String No Si una aplicación ejecutó el cmdlet, en lugar de un PowerShell remoto, este campo contiene el nombre de la aplicación.
Parámetros Edm.String No El nombre y valor de los parámetros usados con el cmdlet que no incluyen información de identificación personal.
NonPiiParameters Edm.String No El nombre y valor de los parámetros usados con el cmdlet que incluyen información de identificación personal. (En desuso: este campo dejará de aparecer en el futuro y su contenido se combinará con el campo Parameters.)

Esquema de alertas de seguridad y cumplimiento

Las señales de alerta son:

Los UserId y UserKey de estos eventos son siempre SecurityComplianceAlerts. Hay tres tipos de alerta que se almacenan como el valor de la propiedad Operation del esquema común:

  • AlertTriggered: una nueva alerta se genera debido a una coincidencia de directiva.

  • AlertEntityGenerated: una nueva entidad se agrega a una alerta. Este evento solo es aplicables a las alertas generadas según directivas de Alerta en el Centro de seguridad y cumplimiento. Cada alerta generada puede estar asociada con uno o varios de estos eventos. Por ejemplo, una directiva de alerta está definida para desencadenar una alerta si un usuario elimina más de 100 archivos en 5 minutos. Si dos usuarios superan el umbral aproximadamente al mismo tiempo, habrá dos eventos AlertEntityGenerated, pero solo un evento AlertTriggered.

  • AlertUpdated: se ha realizado una actualización de los metadatos de una alerta. Este evento se registra cuando el estado de una alerta se cambia (por ejemplo, de "Activo" a "Resuelto") y cuando alguien agrega un comentario a la alerta.

Parámetros Tipo Obligatorio Descripción
AlertId Edm.Guid El GUID de la alerta.
AlertType Self.String Tipo de la alerta. Los tipos de alertas son:
  • Sistema
  • Personalizado
Nombre Edm.String Nombre de la alerta.
PolicyId Edm.Guid No El GUID de la directiva que activó la alerta.
Estado Edm.String No Estado de la alerta. Los estados son:

  • Activo

  • Investigando
  • Resuelto
  • Descartada
Severity Edm.String No Gravedad de la alerta. Los niveles de gravedad son:
  • Bajo
  • Mediano
  • Alto
Categoría Edm.String No Categoría de la alerta. Las categorías son:
  • AccessGovernance
  • DataGovernance
  • DataLossPrevention
  • InsiderRiskManagement
  • MailFlow
  • ThreatManagement
  • Otros
Origen Edm.String No Origen de la alerta. Los orígenes son:
  • Centro de seguridad y cumplimiento de Office 365
  • Cloud App Security
Comentarios Edm.String No Comentarios de los usuarios que han visto la alerta. De forma predeterminada, es "Nueva alerta".
Datos Edm.String No El blob de datos detallados de la alerta o la entidad de la alerta.
AlertEntityId Edm.String No El identificador de la entidad alerta. Este parámetro solo es válido para los eventos AlertEntityGenerated.
EntityType Edm.String No Tipo de la alerta o de la entidad de la alerta. Los tipos de entidad de alertas son:
  • Usuario
  • Destinatarios
  • Remitente
  • MalwareFamily
Este parámetro solo es válido para los eventos AlertEntityGenerated.

Esquema de Yammer

Los eventos Yammer listados en Buscar el registro de auditoría en elCentro de Seguridad y Cumplimiento utilizarán este esquema.

Parámetros Tipo Obligatorio Descripción
ActorUserId Edm.String No El correo electrónico del usuario que llevó a cabo la operación.
ActorYammerUserId Edm.Int64 No El id. del usuario que llevó a cabo la operación.
DataExportType Edm.String No Devuelve "data" si la exportación de datos incluye mensajes, notas, archivos, temas, usuarios y grupos; devuelve "user" si la exportación de datos incluye únicamente a los usuarios.
FileId Edm.Int64 No Id. del archivo en la operación.
FileName Edm.String No Nombre del archivo en la operación. Se mostrará en blanco si no es relevante para la operación.
GroupName Edm.String No Nombre del grupo en la operación. Se mostrará en blanco si no es relevante para la operación.
IsSoftDelete Edm.Boolean No Devuelve "true" si se establece la directiva de retención de datos de la red en Eliminación temporal; devuelve "false" si se establece la directiva de retención de datos de la red en Eliminación.
MessageId Edm.Int64 No Id. del mensaje en la operación.
YammerNetworkId Edm.Int64 No El id. de la red del usuario que llevó a cabo la operación.
TargetUserId Edm.String No El correo electrónico del usuario de destino en la operación. Se mostrará en blanco si no es relevante para la operación.
TargetYammerUserId Edm.Int64 No El id. del usuario de destino en la operación.
VersionId Edm.Int64 No El id. de versión del archivo en la operación.

Esquema de base de seguridad del centro de datos

Parámetros Tipo ¿Es obligatoria? Descripción
DataCenterSecurityEventType Self.DataCenterSecurityEventType El tipo de evento cmdlet en el cuadro de bloqueo.

Enum: DataCenterSecurityEventType - Tipo: Edm.Int32

DataCenterSecurityEventType

Nombre del miembro Descripción
DataCenterSecurityCmdletAuditEvent Este es el valor de enumeración para el tipo de evento de auditoría de cmdlet.

Esquema de cmdlet de seguridad del centro de datos

Parámetros Tipo ¿Es obligatoria? Descripción
StartTime Edm.Date La hora de inicio de la ejecución del cmdlet.
EffectiveOrganization Edm.String El nombre del inquilino al que iba dirigido el cmdlet o la elevación.
ElevationTime Edm.Date La hora de inicio de la elevación.
ElevationApprover Edm.String El nombre de un administrador de Microsoft.
ElevationApprovedTime Edm.Date No La marca de tiempo para cuando se apruebe la elevación.
ElevationRequestId Edm.Guid Identificador exclusivo para la solicitud de elevación.
ElevationRole Edm.String No El rol para la que se solicitó la elevación.
ElevationDuration Edm.Int32 La duración en la que la elevación estuvo activa.
GenericInfo Edm.String No Usado para comentarios y otra información genérica.

Esquema de Microsoft Teams

Parámetros Tipo ¿Es obligatoria? Descripción
Acción Edm.String No Para los eventos de canal compartido, la acción realizada por el invitado o el propietario del canal para compartir con la invitación de equipo.
AddOnGuid Edm.Guid No Un identificador único del complemento que generó el evento.
AddOnName Edm.String No El nombre del complemento que generó el evento.
AddOnType Self.AddOnType No El tipo de complemento que generó el evento.
ChannelGuid Edm.Guid No Un identificador único para el canal que se audita.
ChannelName Edm.String No El nombre del canal que se audita.
ChannelType Edm.String No El tipo de canal que se está auditando (estándar o privado).
ExtraProperties Collection(Self.KeyValuePair) No Una lista de propiedades adicionales.
HostedContents Colección(Auto.HostedContent) No Una colección de contenidos alojados en el chat o en el canal.
Invitado Edm.String No Para los eventos de canal compartido, el UPN del propietario del equipo invitado que acepta o rechaza la invitación para compartir con la invitación de equipo.
Members Collection(Self.MicrosoftTeamsMember) No Una lista de usuarios en un equipo.
MessageId Edm.String No Un identificador de mensaje de un canal o chat.
MessageURLs Edm.String No Disponible para cualquier URL enviada en los mensajes de Teams.
Mensajes Colección(Auto.Mensaje) No Una colección de mensajes del chat o del canal.
MessageSizeInBytes Edm.Int64 No El tamaño de un mensaje de chat o canal en bytes con codificación UTF-16.
Nombre Edm.String No Solo está disponible para eventos de configuración. Nombre de la configuración que ha cambiado.
NewValue Edm.String No Solo está disponible para eventos de configuración. Valor nuevo de la configuración.
OldValue Edm.String No Solo está disponible para eventos de configuración. Valor antiguo de la configuración.
SubscriptionId Edm.String No Un identificador único de una suscripción de notificación de cambios de Microsoft Graph.
TabType Edm.String No Solo está disponible para los eventos de pestaña. El tipo de pestaña que generó el evento.
TeamGuid Edm.Guid No Un identificador único del equipo que se audita.
TeamName Edm.String No El nombre del equipo que se audita.

Tipo complejo MicrosoftTeamsMember

Parámetros Tipo ¿Es obligatoria? Descripción
UPN Edm.String No El nombre principal del usuario.
Role Self.MemberRoleType No El rol de usuario en el equipo.
DisplayName Edm.String No El nombre para mostrar del usuario.

Enum: MemberRoleType - Tipo: Edm.Int32

MemberRoleType

Valor Nombre del miembro Descripción
0 Member Un usuario que es un miembro del equipo.
1 Owner Un usuario que es el propietario del equipo.
2 Guest Un usuario que no es un miembro del equipo.

Tipo complejo KeyValuePair

Parámetros Tipo ¿Es obligatoria? Descripción
Key Edm.String No La clave del par clave-valor.
Valor Edm.String No El valor del par clave-valor.

Enum: AddOnType - Tipo: Edm.Int32

AddOnType

Valor Nombre del miembro Descripción
1 Bot Un bot de Microsoft Teams.
2 Connector Un conector de Microsoft Teams.
3 Tab Una pestaña de Microsoft Teams.

Tipo complejo HostedContent

Parámetros Tipo ¿Es obligatoria? Descripción
Id Edm.String Un identificador único del contenido del mensaje alojado.
SizeInBytes Edm.Int64 No El tamaño del contenido del mensaje alojado en bytes.

Tipo complejo Mensaje

Parámetros Tipo ¿Es obligatoria? Descripción
AADGroupId Edm.String No Un identificador único del grupo en Azure Active Directory al que pertenece el mensaje.
Id Edm.String Un identificador único del mensaje del chat o del canal.
ChannelGuid Edm.String No Identificador único del canal al que pertenece el mensaje.
ChannelName Edm.String No El nombre del canal al que pertenece el mensaje.
ChannelType Edm.String No El tipo de canal al que pertenece el mensaje.
ChatName Edm.String No El nombre del chat al que pertenece el mensaje.
ChatThreadId Edm.String No Un identificador único del chat al que pertenece el mensaje.
ParentMessageId Edm.String No Un identificador único del mensaje de chat o canal principal.
SizeInBytes Edm.Int64 No El tamaño del mensaje en bytes con codificación UTF-16.
TeamGuid Edm.String No Un identificador único del equipo al que pertenece el mensaje.
TeamName Edm.String No El nombre del equipo al que pertenece el mensaje.
Versión Edm.String No La versión del mensaje del chat o del canal.

Esquema de Investigación y respuesta de amenazas y Microsoft Defender para Office 365

Microsoft Defender para Office 365 y los eventos de Investigación y respuesta de amenazas están disponibles para los clientes de Office 365 que tienen una suscripción de Defender para Office 365 Plan 1, Defender para Office 365 Plan 2 o E5. Cada evento en la fuente de Defender para Office 365 corresponde a los siguientes eventos que se determinó que contenían una amenaza:

  • Un mensaje de correo electrónico enviado o recibido por un usuario de la organización para el que se realizan detecciones en los mensajes en el momento de entrega y de Purga automáticamente.

  • Direcciones URL en las que ha hecho clic un usuario de la organización que se han detectado como malintencionadas en el momento del clic según la protección de Vínculos seguros en Defender para Office 365.

  • Un archivo en SharePoint Online, OneDrive para la Empresa o Microsoft Teams que la protección de Microsoft Defender para Office 365 ha detectado como malintencionado.

  • Una alerta que se desencadena y que inició una investigación automatizada.

Nota:

Las funciones de Microsoft Defender para Office 365 y de Investigación y respuesta de amenazas de Office 365 (anteriormente conocida como Inteligencia sobre amenazas de Office 365) ahora forman parte de Microsoft Defender para Office 365 Plan 2, con funciones de protección contra amenazas adicionales. Para más información, consulte Planes y precios de Microsoft Defender para Office 365 y la Descripción del servicio de Defender para Office 365.

Eventos de mensaje de correo electrónico

Parámetros Tipo ¿Es obligatoria? Descripción
AttachmentData Collection(Self.AttachmentData) No Datos sobre los datos adjuntos en el mensaje de correo electrónico que ha desencadenado el evento.
DetectionType Edm.String El tipo de detección (por ejemplo, Inline : detectado durante la entrega; Delayed: detectado después de la entrega; ZAP: mensajes eliminados por la purga automática). Los eventos con el tipo de detección ZAP normalmente irán precedidos de un mensaje con el tipo de detección Delayed.
DetectionMethod Edm.String El método o la tecnología usada por Defender para Office 365 para la detección.
InternetMessageId Edm.String El Id. del mensaje de Internet.
NetworkMessageId Edm.String El id. de mensaje de red en línea de Exchange.
P1Sender Edm.String La ruta de devolución del remitente del mensaje de correo electrónico.
P2Sender Edm.String El remitente del mensaje de correo electrónico.
Policy Self.Policy El tipo de directiva de filtrado (por ejemplo, Filtro de correo no deseado o Antiphishing) y el tipo de acción relacionada (como el correo no deseado de alta confianza, correo no deseado o suplantación de identidad) relevantes para el mensaje de correo electrónico.
Policy Self.PolicyAction La acción configurada en la directiva de filtrado (por ejemplo, Mover a la carpeta de correo no deseado o Cuarentena) relevante para el mensaje de correo electrónico.
P2Sender Edm.String El De: el remitente del mensaje de correo electrónico.
Recipients Collection(Edm.String) Una matriz de los destinatarios del mensaje de correo electrónico.
SenderIp Edm.String La dirección IP que envió el correo electrónico de Office 365. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Subject Edm.String La línea de asunto del mensaje.
Verdict Edm.String El veredicto del mensaje.
MessageTime Edm.Date Fecha y hora en formato de hora universal coordinada (UTC) en la que el mensaje se ha recibido o enviado.
EventDeepLink Edm.String Vínculo profundo para el evento de correo electrónico en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento de Office 365.
Acción de transferencia Edm.String La acción de entrega original en el mensaje de correo electrónico.
Ubicación de entrega original Edm.String La ubicación de entrega original del mensaje de correo electrónico.
Última ubicación de entrega Edm.String La última ubicación de entrega del mensaje de correo electrónico en el momento del evento.
Directionality Edm.String Identifica si un mensaje de correo electrónico era entrante, saliente o un mensaje dentro de la organización.
ThreatsAndDetectionTech Edm.String Las amenazas y las tecnologías de detección correspondientes. Este campo expone todas las amenazas en un mensaje de correo electrónico, incluida la última adición en el veredicto de correo no deseado.  Por ejemplo, ["Phish: [Spoof DMARC]","Spam: [reputación malintencionada de URL]"]. A continuación se describen las diferentes tecnologías de detección y amenazas de detección.
AdditionalActionsAndResults Collection(Edm.String) No Las acciones adicionales que se realizaron en el correo electrónico, como ZAP o corrección manual. También incluye los resultados correspondientes.
Conectores Edm.String No Nombres y GUID de los conectores asociados al correo electrónico.
AuthDetails Collection(Self.AuthDetails) No Las comprobaciones de autenticación que se realizan para el correo electrónico. También incluye los valores de SPF, DKIM, DMARC y CompAuth.
SystemOverrides Collection(Self.SystemOverrides) No Invalidaciones aplicables al correo electrónico. Pueden ser invalidaciones del sistema o del usuario.
Nivel de confianza de cebo Edm.String No Indica el nivel de confianza asociado al veredicto de cebo. Puede ser normal o alto.

Nota:

Le recomendamos que use el nuevo campo ThreatsAnd DetectionionTech porque muestra varios veredictos y las tecnologías de detección actualizadas. Este campo también se alinea con los valores que vería en otras experiencias, como el Explorador de amenazas y la Búsqueda avanzada de amenazas.

Tecnologías de detección

Nombre Descripción
Filtro avanzado Señales de suplantación de identidad (phishing) basadas en el aprendizaje automático.
Motor antimalware Detección de los motores antimalware.
Campaña Mensajes identificados como parte de una campaña.
Reputación de dominio Análisis en función de la reputación del dominio.
Detonación de archivos Los datos adjuntos de archivos no son seguros durante el análisis detonado.
Reputación de detonación de archivos Datos adjuntos de archivo marcados como malo debido a la reputación de detonación anterior.
Reputación de los archivos Datos adjuntos de archivos marcados como malo debido a una mala reputación.
Coincidencia de huella digital El mensaje se marcó como malo debido a mensajes anteriores.
Filtro general Señales de suplantación de identidad (phishing) basadas en reglas.
Suplantación de marca El tipo de archivo de los datos adjuntos.
Dominio de suplantación Suplantación de dominios que el cliente es propietario o define.
Suplantación de usuarios Suplantación de usuarios definidos por el administrador o aprendidos con la inteligencia de buzones.
Suplantación de inteligencia de buzón Suplantación basada en la inteligencia de buzón.
Detección de análisis mixto Varios filtros han contribuido al veredicto de este mensaje.
Suplantación electrónica DMARC Error de autenticación DMARC para los mensajes.
Suplantación de seguridad de dominio externo El remitente está intentando suplantación de identidad de algún otro dominio.
Suplantación de seguridad para la organización El remitente está intentando suplantar electrónicamente el dominio del destinatario.
Detonación de URL El mensaje se considera malo debido a una detonación anterior de URL malintencionada.
Reputación de detonación de URL El mensaje se considera malo debido a una detonación de URL malintencionada.
Reputación malintencionada de URL El mensaje se considera malo debido a una URL malintencionada.

Tipo complejo AttachmentData

AttachmentData

Parámetros Tipo ¿Es obligatoria? Descripción
FileName Edm.String El nombre de archivo de los datos adjuntos.
FileType Edm.String El tipo de archivo de los datos adjuntos.
FileVerdict Self.FileVerdict El veredicto de malware del archivo.
MalwareFamily Edm.String No La familia de malware del archivo.
SHA256 Edm.String El hash SHA256 del archivo.

Nota:

Dentro de la familia Malware, podrá ver el nombre exacto de MalwareFamily (por ejemplo, HTML/Phish.VS! MSR) o carga malintencionada como una cadena estática. Una carga malintencionada debe tratarse como correo electrónico malintencionado cuando no se identifica un nombre específico.

Tipo complejo de SystemOverrides

SystemOverrides

Parámetros Tipo ¿Es obligatoria? Descripción
Detalles Edm.String No Detalles sobre la invalidación específica (como ETR o remitente seguro) que se aplicó.
FinalOverride Edm.String No Indica la invalidación que ha afectado a la entrega en el caso de que haya varias.
Resultado Edm.String No Indica si el correo electrónico se estableció como permitido o bloqueado en función de la invalidación.
Origen Edm.String No Indica si la invalidación la configuró el usuario o el espacio empresarial.

Tipo complejo AuthDetails

AuthDetails

Parámetros Tipo ¿Es obligatoria? Descripción
Nombre Edm.String No Nombre de la comprobación de autenticación específica, como DKIM o DMARC.
Valor Edm.String No Valor asociado a la comprobación de autenticación específica, como True o False.

Enum: FileVerdict - Tipo: Edm.Int32

FileVerdict

Valor Nombre del miembro Descripción
0 Good No hay amenazas detectadas.
1 Bad Malware detectado en el archivo adjunto.
-1 Error Error de análisis o examen.
-2 Timeout Se agotó el tiempo de espera del análisis o el examen.
-3 Pending El análisis o el examen no se completó.

Enum: Policy - Type: Edm.Int32

Tipo de directiva y tipo de acción

Valor Nombre del miembro Descripción
1 Anti-spam, HSPM Acción de correo no deseado de alta confianza (HSPM) en la Directiva contra correo no deseado.
2 Anti-spam, SPM Acción de correo no deseado (SPM) en la Directiva contra correo no deseado.
3 Anti-spam, Bulk Acción masiva en la Directiva contra correo no deseado.
4 Anti-spam, PHSH Acción de suplantación de identidad (PHSH) en la Directiva contra correo no deseado.
5 Anti-phish, DIMP Acción de suplantación de dominios (DIMP) en la Directiva antiphishing.
6 Anti-phish, UIMP Acción de suplantación de usuarios (UIMP) en la Directiva antiphishing.
7 Anti-phish, SPOOF Acción de suplantación en la Directiva antiphishing.
8 Anti-phish, GIMP La acción de inteligencia de buzón en la directiva ANTIPHISH.
9 Programas anti-malware, AMP La acción de la directiva contra malware en la directiva antimalware.
10 Datos adjuntos seguros, SAP La acción de directiva en la directiva Datos adjuntos seguros en Defender para Office 365.
11 Regla de transporte de Exchange, ETR La acción de directiva en la regla de transporte de Exchange.
12 Antimalware, ZAPM La acción de directiva de malware en la Directiva antimalware que se aplica a la purga automática de cero horas (ZAP).
13 Anti-phish, ZAPP La acción política en la política antiphish aplicada a ZAP.
14 Anti-phish, ZAPS La acción de la directiva de correo no deseado en la directiva contra correo no deseado aplicada a ZAP.
15 Filtro de correo no deseado, correo electrónico de suplantación de identidad de alta confianza (HPHISH) Acción de correo electrónico de suplantación de identidad de alta confianza en la Directiva contra correo no deseado.
17 Filtro de correo no deseado, Directiva de correo no deseado saliente (OSPM) Acción de directiva en la directiva de filtro de correo no deseado saliente en filtro de correo electrónico no deseado.

Enum: PolicyAction - Type: Edm.Int32

Acción de directiva

Valor Nombre del miembro Descripción
0 MoveToJMF La acción de directiva es moverse a la carpeta correo no deseado.
1 AddXHeader La acción de directiva es agregar el encabezado X al mensaje de correo electrónico.
2 ModifySubject La acción de directiva es modificar el asunto del mensaje de correo electrónico con la información especificada por la directiva de filtrado.
3 Redirect La acción de directiva es redirigir el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.
4 Delete La acción de directiva es eliminar (quitar) el mensaje de correo electrónico.
5 Quarantine La acción de directiva es poner en cuarentena el mensaje de correo electrónico.
6 NoAction La directiva está configurada para no realizar ninguna acción en el mensaje de correo electrónico.
7 BccMessage La acción de directiva consiste en enviar en CCO el mensaje de correo electrónico a la dirección de correo electrónico especificada por la directiva de filtrado.
8 ReplaceAttachment La acción de directiva es reemplazar los datos adjuntos del mensaje de correo electrónico tal como especifica la directiva de filtrado.

Eventos de tiempo de clic de URL

Parámetros Tipo ¿Es obligatoria? Descripción
UserId Edm.String El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que hizo clic en la dirección URL.
AppName Edm.String El servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, Correo).
URLClickAction Self.URLClickAction Acción de clic para la dirección URL según las directivas de la organización para Vínculos seguros en Defender para Office 365.
SourceId Edm.String El identificador para el servicio de Office 365 desde el que se hizo clic en la dirección URL (por ejemplo, para el correo es el id. de mensaje de red de Exchange Online).
TimeOfClick Edm.Date La fecha y hora en formato Hora universal coordinada (UTC) cuando el usuario hizo clic en la dirección URL.
URL Edm.String Dirección URL en la que el usuario hizo clic.
UserIp Edm.String La dirección IP para el usuario que hizo clic en la dirección URL. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.

Enum: URLClickAction - Tipo: Edm.Int32

URLClickAction

Valor Nombre del miembro Descripción
2 Blockpage Usuario bloqueado para navegar a la dirección URL por Vínculos seguros en Defender para Office 365.
3 PendingDetonationPage Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365.
4 BlockPageOverride Usuario bloqueado para navegar a la dirección URL por Vínculos seguros de Office 365 ATP; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.
5 PendingDetonationPageOverride Usuario presentado con la página de detonación pendiente por Vínculos seguros en Defender para Office 365; sin embargo, el usuario ha omitido el bloqueo para navegar a la URL.

Eventos de archivo

Parámetros Tipo ¿Es obligatoria? Descripción
FileData Self.FileData Datos sobre el archivo que ha desencadenado el evento.
SourceWorkload Self.SourceWorkload Carga de trabajo o servicio en el que se encontró el archivo (por ejemplo, SharePoint Online, OneDrive para la Empresa o Microsoft Teams)
DetectionMethod Edm.String El método o la tecnología usada por Microsoft Defender para Office 365 para la detección.
LastModifiedDate Edm.Date Fecha y hora en formato de hora universal coordinada (UTC) en la que el archivo fue creado o modificado por última vez.
LastModifiedBy Edm.String El identificador (por ejemplo, la dirección de correo electrónico) para el usuario que creó o modificó por última vez el archivo.
EventDeepLink Edm.String Vínculo profundo para el evento de archivo en los informes en tiempo real o el explorador en el Centro de seguridad y cumplimiento.

Tipos complejo FileData

FileData

Parámetros Tipo ¿Es obligatoria? Descripción
DocumentId Edm.String Identificador único para el archivo en Microsoft Teams, OneDrive o SharePoint.
FileName Edm.String Nombre del archivo que ha desencadenado el evento.
FilePath Edm.String Ruta de acceso (ubicación) para el archivo en Microsoft Teams, OneDrive o SharePoint.
FileVerdict Self.FileVerdict El veredicto de malware del archivo.
MalwareFamily Edm.String No La familia de malware del archivo.
SHA256 Edm.String El hash SHA256 del archivo.
FileSize Edm.String Tamaño del archivo en bytes.

Enum: SourceWorkload - Tipo: Edm.Int32

SourceWorkload

Valor Nombre del miembro
0 SharePoint Online
1 OneDrive para la Empresa
2 Microsoft Teams

Esquema de envío

Los eventos de envío están disponibles para cada cliente de Office 365, ya que incluye la seguridad. Esto incluye las organizaciones que usan Exchange Online Protection y Microsoft Defender para Office 365. Cada evento de la fuente de envío corresponde a falsos positivos o falsos negativos que se enviaron como:

  • Envío de administrador. Mensajes, archivos o direcciones URL enviados a Microsoft para su análisis.
  • Elemento notificado por el usuario. Mensajes notificados por los usuarios finales al administrador o a Microsoft para su revisión.

Eventos de envío

Parámetros Tipo ¿Es obligatoria? Descripción
AdminSubmissionRegistered Edm.String No El envío del administrador está registrado y pendiente de procesamiento.
AdminSubmissionDeliveryCheck Edm.String No El sistema de envío de administrador comprobó la directiva del correo electrónico.
AdminSubmissionSubmitting Edm.String No El sistema de envío de administrador está enviando el correo electrónico.
AdminSubmissionSubmitted Edm.String No El sistema de envío de administrador ha enviado el correo electrónico.
AdminSubmissionTriage Edm.String No El envío del administrador se evalúa por un calificador.
AdminSubmissionTimeout Edm.String No El envío del administrador ha agotado el tiempo de espera sin ningún resultado.
UserSubmission Edm.String No Un usuario final notificó primero el envío.
UserSubmissionTriage Edm.String No El evaluador evalúa el envío del usuario.
CustomSubmission Edm.String No Un mensaje notificado por un usuario se envió al buzón personalizado de la organización, tal como se establece en la configuración de mensajes notificados por el usuario.
AttackSimUserSubmission Edm.String No El mensaje notificado por el usuario era en realidad un mensaje de entrenamiento de simulación de cebo.
AdminSubmissionTablAllow Edm.String No Se creó un permiso en el momento del envío para tomar medidas inmediatamente en mensajes similares mientras se vuelve a examinar.
SubmissionNotification Edm.String No Los comentarios del administrador se envían al usuario final.

Eventos de investigación y respuesta automatizada en Office 365

Los eventos de Investigación y respuesta automatizada (AIR) de Office 365 están disponibles para los clientes de Office 365 que tienen una suscripción que incluye Microsoft Defender para Office 365 Plan 2 u Office 365 E5. Los eventos de investigación se registran en función de un cambio en el estado de investigación. Por ejemplo, cuando un administrador realiza una acción que cambia el estado de una investigación de Acciones pendientes a Completada, se registra un evento.

Actualmente, solo se registran las investigaciones automatizadas. (Próximamente estarán disponibles eventos para las investigaciones generadas manualmente). Se registran los siguientes valores de estado:

  • Investigación iniciada
  • No se encontraron amenazas
  • Finalizado por el sistema
  • Acción pendiente
  • Amenazas encontradas
  • Corregido
  • Error
  • Finalizado por limitación
  • Finalizado por el usuario
  • En funcionamiento

Esquema de investigación principal

Nombre Tipo Descripción
InvestigationId Edm.String Identificador de la investigación/GUID
InvestigationName Edm.String Nombre de la investigación
InvestigationType Edm.String Tipo de investigación Puede tomar uno de los siguientes valores:
- Mensajes notificados por el usuario
- Malware purgado automáticamente
- Suplantación de identidad purgada automáticamente
- Cambio de veredicto de dirección URL

(Las investigaciones manuales no están disponibles actualmente, pero lo estarán próximamente).
LastUpdateTimeUtc Edm.Date Hora UTC de la última actualización para una investigación
StartTimeUtc Edm.Date Hora de inicio de una investigación
Estado Edm.String Estado de investigación, En ejecución, Acciones pendientes, etc.
DeeplinkURL Edm.String Dirección URL de vínculo profundo de una investigación en el Centro de seguridad y cumplimiento de Office 365
Acciones Colección (Edm.String) Colección de acciones recomendada por una investigación
Datos Edm.String Cadena de datos que contiene más información sobre las entidades de investigación e información sobre las alertas relacionadas con la investigación. Las entidades están disponibles en un nodo independiente dentro del blob de datos.

Acciones

Field Tipo Descripción
Id. Edm.String Id. de la acción
ActionType Edm.String El tipo de la acción, como la corrección de un correo electrónico
ActionStatus Edm.String Los valores son:
- Pendiente
- En ejecución
- Esperando al recurso
- Completada
- Error
ApprovedBy Edm.String Es NULL si se aprueba automáticamente; en caso contrario, el nombre de usuario o el identificador (estará disponible próximamente)
TimestampUtc Edm.DateTime La marca de tiempo del cambio de estado de la acción
ActionId Edm.String Identificador único de la acción
InvestigationId Edm.String Identificador único de la investigación
RelatedAlertIds Collection(Edm.String) Alertas relacionadas con una investigación
StartTimeUtc Edm.DateTime Marca de tiempo de creación de la acción
EndTimeUtc Edm.DateTime Marca de tiempo de la actualización del estado final de la acción
Identificadores de recursos Edm.String Constituido por el Identificador del inquilino de Azure Active Directory
Entidades Collection(Edm.String) Lista de una o más entidades afectadas por acción
Identificadores de alertas relacionadas Edm.String Alerta relacionada con una investigación

Entidades

MailMessage (correo electrónico)

Field Tipo Descripción
Tipo Edm.String "mensaje de correo"
Archivos Colección (Self.File) Más información sobre los archivos de los datos adjuntos de este mensaje
Destinatario Edm.String El destinatario de este mensaje de correo
Direcciones URL Collection (self.URL) Las direcciones URL que contiene este mensaje de correo
Remitente Edm.String La dirección de correo electrónico del remitente
SenderIP Edm.String La dirección IP del remitente
ReceivedDate Edm.DateTime La fecha de recepción de este mensaje
NetworkMessageId Edm.Guid El identificador del mensaje de red de este mensaje de correo
InternetMessageId Edm.String El identificador de internet de este mensaje de correo
Subject Edm.String El asunto de este mensaje de correo

IP

Field Tipo Descripción
Tipo Edm.String "ip"
Address Edm.String La dirección IP como cadena, tal como 127.0.0.1

URL

Field Tipo Descripción
Tipo Edm.String "url"
Url Edm.String La dirección URL completa a la que señala una entidad

Buzón de correo (también equivalente al usuario)

Field Tipo Descripción
Tipo Edm.String "mailbox"
MailboxPrimaryAddress Edm.String La dirección principal del buzón de correo
DisplayName Edm.String El nombre para mostrar del buzón de correo
Upn Edm.String El UPN del buzón de correo

Archivo

Field Tipo Descripción
Tipo Edm.String "file"
Nombre Edm.String El nombre de archivo sin la ruta de acceso
FileHashes Colección (Edm.String) Los hash de archivo asociados al archivo

FileHash

Field Tipo Descripción
Tipo Edm.String "filehash"
Algoritmo Edm.String El tipo de algoritmo de hash, que puede ser uno de estos valores:
- Desconocido
- MD5
- SHA1
- SHA256
- SHA256AC
Valor Edm.String El valor del hash

MailCluster

Field Tipo Descripción
Tipo Edm.String "MailCluster"
Determina el tipo de entidad que se tratará
NetworkMessageIds Colección (Edm.String) Lista de los identificadores de mensajes de correo que forman parte del clúster de correo
CountByDeliveryStatus Colecciones (Edm.String) Recuento de mensajes de correo por representación de cadena DeliveryStatus
CountByThreatType Colecciones (Edm.String) Recuento de mensajes de correo por representación de cadena ThreatType
Amenazas Colecciones (Edm.String) Las amenazas de los mensajes de correo que forman parte del clúster de correo. Entre las amenazas se incluyen valores como Phish y Malware.
Consulta Edm.String La consulta que se usó para identificar los mensajes del clúster de correo electrónico
QueryTime Edm.DateTime La hora de la consulta
MailCount Edm.Int El número de mensaje de correo que forman parte del clúster de correo.
Origen String El origen del clúster de correo; el valor del origen del clúster.

Esquema de eventos de higiene

Los eventos de higiene se relacionan con la protección de correo no deseado saliente. Estos eventos se relacionan con los usuarios a los que no se les permite enviar correo electrónico. Para más información, vea:

Parámetros Tipo ¿Es obligatoria? Description
Auditoría Edm.String No Información del sistema relacionada con el evento de higiene.
Evento Edm.String No El tipo de evento de higiene. Los valores para este parámetro son Listado o Suprimido.
EventId Edm.Int64 No El ID. del tipo de evento de higiene.
EventValue Edm.String No El usuario que se vio impactado.
Reason Edm.String No Detalles sobre el evento de higiene.

Esquema de Power BI

Los eventos de Power BI que aparecen en Buscar el registro de auditoría en el Centro de protección de Office 365 utilizarán este esquema.

Parámetros Tipo ¿Es obligatoria? Descripción
AppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre de la aplicación donde se ha producido el evento.
DashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre del panel donde se ha producido el evento.
DataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No La clasificación de los datos, en caso de haberla, para el panel donde se ha producido el evento.
DatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre del conjunto de datos donde se ha producido el evento.
MembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Información de pertenencia del grupo.
OrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Lista de permisos para una aplicación de organización (toda la organización, determinados usuarios o grupos específicos).
ReportName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre del informe donde se ha producido el evento.
SharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Información acerca de la persona a la que se envía una invitación para uso compartido.
SwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Información sobre el estado de los diversos modificadores de nivel de inquilino.
WorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre del área de trabajo donde se ha producido el evento.

Tipo complejo MembershipInformationType

Parámetros Tipo ¿Es obligatoria? Descripción
MemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No La dirección de correo electrónico del grupo.
Estado Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Actualmente no se rellena.

Tipo complejo SharingInformationType

Parámetros Tipo ¿Es obligatoria? Descripción
RecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No La dirección de correo electrónico del destinatario de una invitación para uso compartido.
RecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No El nombre del destinatario de una invitación para uso compartido.
ResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" No Los permisos que se conceden al destinatario.

Esquema de Dynamics 365

Los registros de auditoría para eventos relacionados con las aplicaciones controladas por modelos en eventos de Dynamics 365 usan un esquema de operación de base y de entidad. Para más información, consulte Habilitar y usar el Registro de actividad.

Esquema base de Dynamics 365

Parámetros Tipo ¿Es obligatoria? Descripción
CrmOrganizationUniqueName Edm.String Nombre único de la organización.
InstanceUrl Edm.String Dirección URL de la instancia.
ItemUrl Edm.String No La dirección URL al registro.
ItemType Edm.String No El nombre de la entidad.
UserAgent Edm.String No Identificador de GUID de usuario único en la organización.
Fields Collection(Common.NameValuePair) No Un objeto JSON que contiene las parejas de clave y valor de propiedad que se crearon o actualizaron.

Esquema de operaciones de entidad de Dynamics 365

Los eventos de entidad de aplicaciones controladas por modelos en Dynamics 365 usan este esquema para desarrollar a partir del esquema base de Dynamics 365. Este esquema incluye información sobre la operación de la entidad que desencadenó el evento auditado.

Parámetros Tipo ¿Es obligatoria? Descripción
EntityId Edm.Guid No El identificador único de la entidad.
EntityName Edm.String El nombre único de la entidad en la organización. Un ejemplo de una entidad es contact o authentication.
Message Edm.String Este parámetro contiene la operación que se realizó relacionada con la entidad. Por ejemplo, si se creó un nuevo contacto, el valor de la propiedad Message es Create y el valor correspondiente de la propiedad EntityName es contact.
Consulta Edm.String No Los parámetros de la consulta de filtro que se usaron al ejecutar la operación FetchXML.
PrimaryFieldValue Edm.String No Indica el valor del atributo que es el campo principal de la entidad.

Esquema de Workplace Analytics

Los eventos de Workplace Analytics que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.

Parámetros Tipo ¿Es obligatoria? Descripción
WpaUserRole Edm.String No El rol de Workplace Analytics del usuario que realizó la operación.
ModifiedProperties Colección (Common.ModifiedProperty) No Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.
OperationDetails Colección (Common.NameValuePair) No Una lista de propiedades extendidas de la configuración que se ha cambiado. Cada propiedad tendrá un Name y un Value.

Esquema de cuarentena

Los eventos de cuarentena que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 usarán este esquema. Para obtener más información sobre la cuarentena, vea Mensajes de correo electrónico en cuarentena en Office 365.

Parámetros Tipo ¿Es obligatoria? Descripción
RequestType Self.RequestType No El tipo de solicitud de cuarentena que realizó un usuario.
RequestSource Self.RequestSource No El origen de la solicitud de cuarentena puede ser el Centro de seguridad y cumplimento (SCC), un cmdlet o un URLlink.
NetworkMessageId Edm.String No El id. de mensaje de red del mensaje de correo electrónico en cuarentena.
ReleaseTo Edm.String No El destinatario del mensaje de correo electrónico.

Enum: RequestType - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 Preview Solicitud de un usuario para obtener una vista previa de un mensaje de correo electrónico que se considera peligroso.
1 Delete Solicitud de un usuario para eliminar un mensaje de correo electrónico que se considera peligroso.
2 Release Solicitud de un usuario para liberar un mensaje de correo electrónico que se considera peligroso.
3 Export Solicitud de un usuario para exportar un mensaje de correo electrónico que se considera peligroso.
4 ViewHeader Solicitud de un usuario para ver el encabezado un mensaje de correo electrónico que se considera peligroso.
5 Solicitud de liberación Se trata de una solicitud de liberación de un usuario para liberar un mensaje de correo electrónico que se considera peligroso.

Enum: RequestSource - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 SCC El centro de seguridad y cumplimento (SCC) es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.
1 Cmdlet Un cmdlet es el origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.
2 URLlink Este es un origen desde el que se puede crear la solicitud de un usuario para obtener una vista previa del encabezado de un mensaje de correo electrónico potencialmente peligroso, eliminarlo, liberarlo, exportarlo o verlo.

Esquema de Microsoft Forms

Los eventos de Microsoft Forms que aparecen en Buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Office 365 utilizarán este esquema.

Parámetros Tipo ¿Es obligatoria? Descripción
FormsUserTypes Collection(Self.FormsUserTypes) El rol del usuario que realizó la acción. Los valores de este parámetro son Admin (Administrador), Owner (Propietario), Responder (Respondedor) o Coauthor (Coautor).
SourceApp Edm.String Indica si la acción proviene del sitio web de Forms o de otra aplicación.
FormName Edm.String No El nombre del formulario actual.
FormId Edm.String No El ID del formulario de destino.
FormTypes Collection(Self.FormTypes) No Indica si se trata de un Formulario, un Cuestionario o una Encuesta.
ActivityParameters Edm.String No Cadena JSON que contiene parámetros de actividad. Para más información, consulte Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.

Enum: FormsUserTypes - Type: Edm.Int32

FormsUserTypes

Valor Tipo de formulario de usuario Descripción
0 Admin Un administrador que tenga acceso al formulario.
1 Owner El usuario propietario del equipo.
2 Responder Un usuario que ha enviado una respuesta a un formulario.
3 Coauthor Un usuario que ha usado un vínculo de colaboración proporcionado por el propietario del formulario para iniciar sesión y editar un formulario.

Enum: FormTypes - Type: Edm.Int32

FormTypes

Valor Tipos de formulario Descripción
0 Formulario Formularios creados con la opción Nuevo formulario.
1 Cuestionario Cuestionarios creados con la opción Nuevo cuestionario. Un cuestionario es un tipo especial de formulario que incluye características adicionales, como valores de puntuación, calificación automática y manual, y comentarios.
2 Encuesta Encuestas creadas con la opción Nueva encuesta. Una encuesta es un tipo especial de formulario que incluye características adicionales, como la integración con CMS y la compatibilidad con Reglas de flujo.

Esquema de etiqueta MIP

Los eventos del esquema de etiqueta de Information Protection de Microsoft Purview se desencadenan cuando Microsoft 365 detecta un mensaje de correo electrónico procesado por agentes de la canalización de transporte que tiene una etiqueta de confidencialidad aplicada. Es posible que la etiqueta de confidencialidad se haya aplicado manual o automáticamente, y puede que se haya aplicado dentro o fuera de la canalización de transporte. Las etiquetas de confidencialidad se pueden aplicar automáticamente a los mensajes de correo electrónico mediante directivas de etiqueta de aplicación automática.

El propósito de este esquema de auditoría es representar la suma de todas las actividades de correo electrónico que impliquen etiquetas de confidencialidad. Es decir, debe haber una actividad de auditoría registrada para cada mensaje de correo electrónico que se envía a o desde los usuarios de la organización que tienen una etiqueta de confidencialidad aplicada, independientemente de cuándo o cómo se aplicó la etiqueta de confidencialidad. Para más información sobre las etiquetas de confidencialidad, vea:

Parámetros Tipo ¿Es obligatoria? Descripción
Remitente Edm.String No La dirección de correo electrónico en el campo De del mensaje de correo electrónico.
Receptores Collection(Edm.String) No Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.
NombreElemento Edm.String No La cadena en el campo Asunto del mensaje de correo electrónico.
LabelId Edm.Guid No El GUID de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.
LabelName Edm.String No El nombre de la etiqueta de confidencialidad aplicada al mensaje de correo electrónico.
LabelAction Edm.String No Las acciones especificadas por la etiqueta de confidencialidad que se aplicaron al mensaje de correo electrónico antes de que el mensaje entrara a la canalización de transporte de correo.
LabelAppliedDateTime Edm.Date No La fecha en la que se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico.
ApplicationMode Edm.String No Especifica cómo se aplicó la etiqueta de confidencialidad al mensaje de correo electrónico. El valor Privileged indica que un usuario ha aplicado manualmente la etiqueta. El valor Standard indica que la etiqueta se aplicó automáticamente por un proceso de etiquetado del lado del cliente o del servicio.

Esquema de eventos del portal de mensajes cifrados

Los eventos para el esquema del portal de mensajes cifrados se desencadenan Cifrado de mensajes de Purview detecta que un destinatario externo accede a un mensaje de correo electrónico cifrado a través del portal. Es posible que el correo se haya cifrado manualmente con una etiqueta de confidencialidad o una plantilla de RMS, o bien automáticamente mediante una regla de transporte, una directiva de prevención de pérdida de datos o una directiva de etiquetado automático.

La intención de este esquema de auditoría es mostrar la suma total de actividad del portal que implica que destinatarios externos han accedido al correo cifrado. Es decir, debe haber una actividad de auditoría registrada para un destinatario que intente iniciar sesión en el portal y cualquier actividad relacionada con el acceso al correo cifrado. Esto incluye el correo enviado a los usuarios de la organización o desde estos, cuando el correo tiene cifrado aplicado, independientemente de cuándo o cómo se ha aplicado el cifrado. Para obtener más información, consulte Más información sobre los registros del portal de mensajes cifrados.

Parámetros Tipo ¿Es obligatoria? Descripción
MessageId Edm.String No El id. del mensaje.
Destinatario Edm.String No Dirección de correo electrónico del destinatario.
Remitente Edm.String No Dirección de correo electrónico del remitente.
AuthenticationMethod Self.AuthenticationMethod No Método de autenticación al acceder al mensaje, es decir, OTP, Yahoo, Gmail, Microsoft.
AuthenticationStatus Self.AuthenticationStatus No 0: Correcto, 1: Error.
OperationStatus Self.OperationStatus No 0: Correcto, 1: Error.
AttachmentName Edm.String No Nombre de los datos adjuntos.
OperationProperties Collection(Common.NameValuePair) No Propiedades adicionales, es decir, número de código de acceso OTP enviado, asunto del correo electrónico, etc.

Esquema de Exchange del Cumplimiento de comunicaciones

Los eventos del Cumplimiento de comunicaciones que aparecen en el registro de auditoría de Office 365 usan este esquema. Esto incluye los registros de auditoría de la operación SupervisoryReviewOLAudit, que se generan cuando el contenido del mensaje de correo contiene lenguaje vulgar que ha sido identificado por los modelos de correo no deseado con una precisión >= 99,5 %.

Parámetros Tipo ¿Es obligatoria? Descripción
ExchangeDetails ExchangeDetails No Propiedades del mensaje de correo electrónico que activó el evento SupervisoryReviewOLAudit.

Enum: ExchangeDetails - Tipo: ExchangeDetails

ExchangeDetails

Nombre del miembro Tipo Descripción
NetworkMessageId Edm.Guid El identificador del mensaje de red de este mensaje de correo
InternetMessageId Edm.String El identificador de internet de este mensaje de correo
AttachmentData Collection (AttachmentDetails) Información sobre los archivos adjuntos de los mensaje de correo electrónico.
Recipientes Collection(Edm.String) Todas las direcciones de correo electrónico en los campos Para, CC y CCO del mensaje de correo electrónico.
Subject Edm.String El texto en el campo Asunto del mensaje de correo electrónico.
MessageTime Edm.Date La fecha y la hora de envío del mensaje de correo.
From Edm.String La dirección de correo electrónico en el campo De del mensaje de correo electrónico.
Directionality Edm.String El estado de origen del mensaje de correo electrónico.

Enum: AttachmentDetails - Tipo: Edm.Int32

AttachmentDetails

Nombre del miembro Tipo Descripción
FileName Edm.String El nombre del archivo adjunto al mensaje de correo electrónico.
FileType Edm.String La extensión del archivo adjunto al mensaje de correo electrónico.
SHA256 Edm.String El hash SHA-256 del archivo adjunto al mensaje de correo electrónico.

Esquema de informes

Los eventos de informes que aparecen en Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365 usarán este esquema.

Parámetros Tipo ¿Es obligatoria? Descripción
ModifiedProperties Colección (Common.ModifiedProperty) No Esta propiedad incluye el nombre de la propiedad modificada, el nuevo valor de la propiedad modificada y el valor anterior de la propiedad modificada.

Esquema del conector de cumplimiento

Los eventos del esquema del conector de cumplimiento se activan cuando los elementos importados por un conector de datos se omiten o no se importan a los buzones de los usuarios. Para obtener más información sobre los conectores de datos, consulte Información sobre los conectores de datos de terceros.

Parámetros Tipo ¿Es obligatoria? Descripción
JobId Edm.String No Se trata de un identificador único del conector de datos.
TaskId Edm.String No Identificador único de la instancia periódica del conector de datos. Los conectores de datos importan datos en intervalos periódicos.
JobType Edm.String No El nombre del conector de datos.
ItemId Edm.String No Identificador único del elemento (por ejemplo, un mensaje de correo electrónico) que se está importando.
ItemSize Edm.Int64 No El tamaño del elemento que se importa.
SourceUserId Edm.String No El identificador único del usuario de la fuente de datos de terceros. Por ejemplo, para un conector de datos de Slack, esta propiedad especifica la Id. de usuario en el área de trabajo de Slack.
FailureType Propio. FailureType No Indica el tipo de error de importación de datos. Por ejemplo, el valor incorrectusermapping indica que el elemento no se ha importado porque no se ha podido encontrar ninguna asignación de usuarios entre la fuente de datos de terceros y Microsoft 365.
ResultMessage Edm.String No Indica el tipo de fallo, como el mensaje Duplicte.
IsRetry Edm.Boolean No Indica si el conector de datos volvió a intentar importar el elemento.
Datos adjuntos Colección. Archivo adjunto No Una lista de archivos adjuntos recibidos de la fuente de datos de terceros.

Enum: FailureType - Tipo: Edm.Int32

Valor Nombre del miembro
0 Predeterminada
1 MailboxWrite

Tipo complejo de datos adjuntos

Parámetros Tipo ¿Es obligatoria? Descripción
FileName Edm.String No El nombre de los datos adjuntos.
Detalles Edm.String No Otros detalles sobre los datos adjuntos.

Esquema de SystemSync

Los eventos del esquema de SystemSync se desencadenan cuando los datos ingeridos por SystemSync se exportan a través de Data Lake o se comparten a través de otros servicios.

DataLakeExportOperationAuditRecord

Parámetros Tipo ¿Es obligatoria? Descripción
DataStoreType DataStoreType Indica desde qué almacén de datos se descargaron los datos. Consulte DataStoreType para ver todos los valores posibles.
UserAction DataLakeUserAction Indica qué acción ha realizado el usuario en el almacén de datos. Consulte DataLakeUserAction para ver todos los valores posibles.
ExportTriggeredAt Edm.DateTimeOffset Indica cuándo se desencadenó la exportación de datos.
NameOfDownloadedZipFile Edm.String No Nombre del archivo comprimido que el administrador había descargado de Data Lake.

DataShareOperationAuditRecord

Parámetros Tipo ¿Es obligatoria? Descripción
Invitación DataShareInvitationType No Detalles de la invitación enviada al destinatario del Data Share.

Tipo complejo DataShareInvitationType

Parámetros Tipo ¿Es obligatoria? Descripción
ShareId Edm.Guid Identificador asignado por el sistema para el Data Share.
Invitados Collection(Edm.Guid) Lista de usuarios administradores a los que se envió la invitación.
InviteeTenantId Edm.Guid Inquilino de destino para el que está pensada la invitación.
ShareName Edm.String Nombre asignado por el sistema para el Data Share.
SyncFrequency Self.SyncFrequency Frecuencia con la que los datos se sincronizan con la cuenta de almacenamiento de destino una vez establecido el recurso compartido. Consulte SyncFrequency para ver los valores posibles.
SyncStartTime Edm.DateTimeOffset Fecha y hora de la primera sincronización.

Enum: SyncFrequency - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 Cada hora Indica que los datos se sincronizarán cada hora.
1 Diario Indica que los datos se sincronizarán una vez al día.

Enum: DataStoreType - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 CanonicalStore Indica que los datos se descargarán del almacén canónico.
1 StagingStore Indica que los datos se descargarán del almacén provisional.

Enum: DataLakeUserAction - Tipo: Edm.Int32

Valor Nombre del miembro Descripción
0 TriggerExport El usuario administrador desencadenó la exportación desde Data Lake.
1 DownloadZipFile El usuario administrador descargó los datos exportados.

Tipo complejo MicrosoftGraphDataConnectOperation

Parámetros Tipo ¿Es obligatoria? Descripción
ApplicationId Edm.Guid La identificación de la aplicación.
ApplicationName Edm.String Nombre de la aplicación.
PipelineName Edm.String El nombre de la canalización.
PipelineRunId Edm.Guid No Identificación de esta ejecución de canalización.
CopyActivityRunId Edm.Guid No Identificación de la actividad de copia de ADF.
RunStartTime Edm.Date Fecha y hora de la extracción.
RunEndTime Edm.Date Fecha y hora de la extracción.
DatasetName Edm.String Nombre del conjunto de datos que se va a extraer.
DatasetColumns Edm.String Conjunto de columnas seleccionadas que se van a extraer.
ScopeList Edm.String Ámbito de la extracción.
ScopeCountRequested Edm.Int64 No Número de ámbitos solicitados para esta extracción.
ScopeCountDelivered Edm.Int64 No Número de ámbitos entregados para esta extracción.
UndeliveredScope Edm.String No Ámbito no entregado de la extracción.
RowCount Edm.Int64 No Número de filas extraídas.
Estado Edm.String Estado de extracción.
Reason Edm.String No Mensaje de error en caso de error.

AipDiscover

La tabla siguiente contiene información relacionada con los eventos del analizador de Azure Information Protection (AIP).

Evento Descripción
ApplicationId El identificador de la aplicación que realiza la operación.
ApplicationName Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo).
ClientIP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para los eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
CreationTime Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
DataState Describe el estado de los datos.
DeviceName Dispositivo en el que se produjo la actividad.
Id GUID del registro actual.
IsProtected Si está protegido: True/False
Ubicación Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud.
ObjectId Ruta de acceso completa del archivo (URL). Para la actividad de SharePoint y OneDrive para la Empresa, el nombre de la ruta de acceso completo del archivo o carpeta al que obtuvo acceso el usuario.
Operación Describe el tipo de acceso.
OrganizationId El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
Plataforma Plataforma de dispositivo (Win, OSX, Android, iOS)
ProcessName El nombre del proceso correspondiente, por ejemplo. Outlook, msip.app, WinWord.
ProductVersion Versión del cliente de AIP.
ProtectionOwner Propietario de Rights Management en formato UPN.
ProtectionType El tipo de protección puede ser plantilla o ad hoc.
RecordType El tipo de operación indicado por el registro. Vea la tabla AuditLogRecordType para obtener más información sobre los tipos de registros de auditoría. Para obtener una lista completa actualizada y una descripción completa de Log RecordType, consulte la entrada de blog Actividades de registro de auditoría de cumplimiento de Microsoft 365 a través de la API de administración de O365. Aquí solo se enumeran los tipos de registro MIP pertinentes.
Ámbito ¿Este evento fue creado por un servicio hospedado de Office 365 o por un servidor local? Los valores posibles son online y onprem. Observe que SharePoint es la única carga de trabajo que actualmente envía eventos locales a Office 365.
SensitiveInfoTypeData Almacena el tipo de datos de los datos de tipo información confidencial.
SensitivityLabelId GUID de etiqueta de confidencialidad de MIP actual. Use cmdlt Get-Label para obtener los valores completos del GUID.
TemplateId Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection.
UserId UPN (nombre principal de usuario) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
UserKey Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
UserType El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Systeml
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
Versión El id. de versión del archivo en la operación.
Carga de trabajo Almacena el servicio Office 365 donde se produjo la actividad.

AipSensitivityLabelAction

La tabla siguiente contiene información relacionada con los eventos de etiqueta de confidencialidad de AIP.

Evento Descripción
ApplicationId Corresponde al identificador de aplicación de Microsoft Entra.
ApplicationName Nombre descriptivo de la aplicación que realiza la operación.
CreationDate Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
DataState Especifica el estado de los datos.
DeviceName Nombre del dispositivo del usuario.
Identidad Identidad del usuario o servicio que se va a autenticar.
IsProtected Si está protegido: True/False
IsProtectedBefore Si el contenido se protegió antes del cambio: True/False
IsValid Booleano
Ubicación Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud.
ObjectState Especifica el estado del objeto.
Operación Tipo de operación para el registro de auditoría. Nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes:
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidad Identidad del usuario o servicio que se va a autenticar.
PSComputerName Nombre del equipo
PSShowComputerName El valor es False para la edición documentada en Office 365.
Plataforma Plataforma de dispositivo (Win, OSX, Android, iOS). 
ProcessName Proceso que hospeda el SDK de MIP.
ProductVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoría.
ProtectionType El tipo de protección puede ser plantilla o ad hoc.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Para obtener más información, consulte la lista completa de tipos de registro.
RunspaceId Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos.
SensitiveInfoTypeData Almacena el tipo de datos de los datos de tipo de información confidencial
TemplateId Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection.
UserId Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name.

Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio.

AipProtectionAction

Evento Descripción
PSComputerName Nombre del equipo
RunspaceId Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos.
PSShowComputerName El valor es false para un objeto documentado editado en Office 365.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. Para obtener más información, consulte la lista completa de tipos de registro.
CreationTime Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
UserId Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro. Por ejemplo, my_name@my_domain_name.

Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
Operación Tipo de operación para el registro de auditoría. El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidad Identidad del usuario o servicio que se va a autenticar.
ObjectState Estado del objeto después del evento actual.
ApplicationId La aplicación donde se produjo la actividad y se muestra en GUID.
ApplicationName Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo).
ProcessName Nombre del proceso de la aplicación de Office.
Plataforma Plataforma en la que se produjo la actividad. Por ejemplo, Windows.
DeviceName Dispositivo en el que se registró el evento.
ProductVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoría.
UserId UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name.

Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
ClientIP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para los eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Id GUID del registro actual.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes.
CreationTime Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
Operación El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.
OrganizationId El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
UserType El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Systeml
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
Carga de trabajo Almacena el servicio de Office 365 donde se produjo la actividad.
Versión Versión del cliente de Azure Information Protection que realizó la acción de auditoría
Ámbito Especifica el ámbito.

AipFileDeleted

Evento Descripción
PSComputerName Nombre del equipo
RunspaceId Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos.
PSShowComputerName El valor es false para un objeto documentado editado en Office 365.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes. Para obtener más información, consulte la lista completa de tipos de registro.
CreationTime Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
UserId Nombre principal de usuario (UPN) del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro. Por ejemplo, my_name@my_domain_name.

Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
Operación Tipo de operación para el registro de auditoría. El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identidad Identidad del usuario o servicio que se va a autenticar.
ObjectState Estado del objeto después del evento actual.
ApplicationId La aplicación donde se produjo la actividad y se muestra en GUID.
ApplicationName Nombre descriptivo de la aplicación que realiza la operación. Outlook (por correo electrónico), OWA (por correo electrónico), Word (para archivo), Excel (para archivo), PowerPoint (para archivo).
ProcessName Nombre del proceso de la aplicación de Office.
Plataforma Plataforma en la que se produjo la actividad. Por ejemplo, Windows.
DeviceName Dispositivo en el que se registró el evento.
ProductVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoría.
UserId UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name.

Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
ClientIP La dirección IP del dispositivo que se ha usado cuando la actividad se ha registrado. La dirección IP se muestra en el formato de dirección IPv4 o IPv6. Para ciertos servicios, el valor que se visualiza en esta propiedad puede ser la dirección IP de una aplicación de confianza (por ejemplo, Office en las aplicaciones web) que llama al servicio en nombre de un usuario y no la dirección IP del dispositivo utilizado por la persona que realizó la actividad. Además, para los eventos relacionados con Azure Active Directory, la dirección IP no se registra y el valor de la propiedad ClientIP es null. La dirección IP se muestra en el formato de dirección IPv4 o IPv6.
Id GUID del registro actual.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Aquí solo se enumeran los tipos de registro de MIP pertinentes.
CreationTime Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
Operación El nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.
OrganizationId El GUID del inquilino de Office 365 de su organización. Este valor debe ser siempre el mismo en su organización, independientemente del servicio de Office 365 en que se produce.
UserType El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Systeml
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.
Carga de trabajo Almacena el servicio de Office 365 donde se produjo la actividad.
Versión Versión del cliente de Azure Information Protection que realizó la acción de auditoría
Ámbito Especifica el ámbito.

AipHeartBeat

La tabla siguiente contiene información relacionada con los eventos de latido de AIP.

Evento Descripción
ApplicationId Corresponde al identificador de aplicación de Microsoft Entra.
ApplicationName Nombre descriptivo de la aplicación que realiza la operación.
CreationDate Fecha y hora en hora universal coordinada (UTC) en formato ISO8601 cuando el usuario realizó la actividad.
DataState Especifica el estado de los datos.
DeviceName Nombre del dispositivo del usuario.
Identidad Identidad del usuario o servicio que se va a autenticar.
IsProtected Si está protegido: True/False
IsProtectedBefore Si el contenido se protegió antes del cambio: True/False
IsValid Booleano
Ubicación Ubicación del documento con respecto al dispositivo del usuario. Los valores posibles son unknown, localMedia, removableMedia, fileshare y cloud.
ObjectState Especifica el estado del objeto.
Operación Tipo de operación para el registro de auditoría. Nombre de la actividad de usuario o administrador. Para obtener una descripción de las operaciones o actividades más comunes:
PSComputerName Nombre del equipo
PSShowComputerName El valor es False para la edición documentada en Office 365.
Plataforma Plataforma de dispositivo (Win, OSX, Android, iOS). 
ProcessName Proceso que hospeda el SDK de MIP.
ProductVersion Versión del cliente de Azure Information Protection que realizó la acción de auditoría.
ProtectionType El tipo de protección puede ser plantilla o ad hoc.
RecordType Muestra el valor de Acción de etiqueta. Tipo de operación indicado por el registro. Para obtener más información, consulte la lista completa de tipos de registro.
RunspaceId Runspace es una instancia específica de PowerShell que contiene colecciones modificables de comandos, proveedores, variables, funciones y elementos de lenguaje que están disponibles para el usuario de la línea de comandos.
SensitiveInfoTypeData Almacena el tipo de datos de los datos de tipo de información confidencial
TemplateId Parámetro TemplateID para obtener una plantilla específica. El cmdlet Get-AipServiceTemplate obtiene todas las plantillas de protección existentes o seleccionadas de Azure Information Protection.
UserId UPN del usuario que realizó la acción (especificada en la propiedad Operation) que provocó que se registrara el registro; por ejemplo, my_name@my_domain_name. Tenga en cuenta que también se incluyen los registros de las actividades efectuadas por las cuentas del sistema (como SHAREPOINT\system o NT AUTHORITY\SYSTEM). En SharePoint, otro valor que se muestra en la propiedad UserId es app@sharepoint. Esto indica que el "usuario" que llevó a cabo esta actividad era una aplicación que tiene los permisos necesarios en SharePoint para realizar acciones en toda la organización (como buscar en un sitio de SharePoint o en una cuenta de OneDrive) en nombre de un usuario, un administrador o un servicio. Para obtener más información, consulte el app@sharepoint usuario en los registros de auditoría.
UserType El tipo de usuario que llevó a cabo la operación. Consulte la tabla UserType para obtener más información sobre los tipos de usuarios.
0 = Normal
1 = Reservado
2 = Administración
3 = DcAdmin
4 = Systeml
5 = Aplicación
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Un id. alternativo para el usuario identificado en la propiedad id. de usuario. Esta propiedad se rellena con el identificador único de pasaporte (PUID) para los eventos efectuados por los usuarios en SharePoint, OneDrive para la Empresa y Exchange.

Tipo complejo MicrosoftGraphDataConnectConsent

Parámetros Tipo ¿Es obligatoria? Descripción
ApplicationId Edm.Guid La identificación de la aplicación.
ApplicationVersion Edm.String La versión de la aplicación.
AppRegistrationTenantId Edm.Guid Identificador de inquilino del registro de la aplicación.
Aprobador Edm.String Nombre principal de usuario del aprobador.
ApprovalUpdatedDateInUTC Edm.Date Hora de la fecha de actualización en UTC.
ApprovalExpiryDateInUTC Edm.Date Hora de la fecha de expiración en UTC.
ApprovalValidDays Edm.Int32 El número de días transcurridos desde la actualización para los que la aprobación será válida.
DestinationSinks Edm.String Receptores de destino.
DestinationTenantId Edm.Guid Identificador de inquilino de destino.
Reason Edm.String No Motivo proporcionado por el administrador que realizó la operación.
Estado Edm.String Estado de consentimiento.
Conjuntos de datos CollectionSelf. MGDCDataset Yes Detalles sobre los conjuntos de datos a los que se ha dado su consentimiento como parte de esta operación.

Tipo complejo MGDCDataset

Parámetros Tipo ¿Es obligatoria? Descripción
DatasetName Edm.String Nombre del conjunto de datos en la operación de consentimiento.
DatasetColumns Edm.String Lista de columnas del conjunto de datos en la operación de consentimiento.
DenyGroups Edm.String No Lista de grupos de denegación para el conjunto de datos en la operación de consentimiento.
Ámbito Edm.String Tipos de ámbito para el conjunto de datos en la operación de consentimiento. Los valores posibles son All, List y FilterUri.
ScopeFiltersUris Edm.String No Uri de filtro de ámbito para el conjunto de datos en la operación de consentimiento.
ScopeList Edm.String No Lista de grupos de ámbito para el conjunto de datos en la operación de consentimiento.
PrivacyPolicyType Edm.String Los tipos de directiva de privacidad del conjunto de datos en la operación de consentimiento. Los valores posibles son None y DenyList.

esquema de Viva Goals

Los registros de auditoría de eventos relacionados con Viva Goals usan este esquema (además del esquema común). Para obtener más información sobre cómo puede buscar los registros de auditoría desde el portal de cumplimiento, consulte Búsqueda el registro de auditoría en el Centro de cumplimiento de seguridad &. Para obtener más información sobre cómo capturar eventos y actividades relacionados con Viva Goals, consulte Auditar actividades de registro.

Parámetros Tipo ¿Es obligatoria? Descripción
Detalles Edm.String No Descripción del evento o la actividad que se produjo en Viva Goals.
Nombre de usuario Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
 No Nombre del usuario que triplicó el evento.
UserRole Edm.String No Rol del usuario que trinó este evento en Viva Goals. Esto mencionará si el usuario es un administrador de la organización o un propietario.
OrganizationName Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"		 No Nombre de la organización en Viva Goals donde se desencadenó el evento.
OrganizationOwner Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"		 No El propietario de la organización en Viva Goals donde se produjo el evento.
OrganizationAdmins Collection(Edm.String)
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"		 No Los administradores de la organización en Viva Goals donde se produjo el evento. Puede haber uno o varios administradores en la organización.
UserAgent Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"		 No Agente de usuario (detalles del explorador) del usuario que triplicó el evento. Es posible que UserAgent no esté presente en el caso de un evento generado por el sistema.
ModifiedFields Collection(Common.NameValuePair) No Lista de atributos que se modificaron junto con sus valores nuevos y antiguos como JSON.
ItemDetails Collection(Common.NameValuePair) No Propiedades adicionales sobre el objeto que se modificó.

esquema de Microsoft Planner

Microsoft Planner sobrescribe la definición de ObjectId y ResultStatus en el esquema Común. La definición de ObjectId de Microsoft Planner está enlazada al tipo de registro de cada Microsoft Planner y se ilustrará individualmente.

ResultStatus de Microsoft Planner se define como el siguiente.

Enumeración: ResultStatus - Tipo: Edm.Int32

ResultStatus

Valor Nombre del miembro Descripción
1 Correcto La solicitud de usuario se realizó correctamente.
2 Fracaso Error en la solicitud de usuario debido a motivos distintos de la autorización.
3 AuthorizationFailure Error en la solicitud del usuario debido a un error de autorización.

Microsoft Planner amplía el esquema Común con los siguientes tipos de registro.

Tipo de registro PlannerPlan

Properties Tipo Descripción
ObjectId Edm.String Identificador del plan solicitado.
ContainerType Propio. ContainerType Tipo del contenedor asociado al plan.
ContainerId Edm.String Identificador del contenedor asociado al plan.
SharedWithContainerId Edm.String Identificador del contenedor con acceso compartido al plan.
SharedWithContainerType Propio. ContainerType Tipo del contenedor con acceso compartido al plan.
SharedWithContainerAccessLevel Propio. PlanAccessLevel Nivel de acceso dado al contenedor con acceso compartido al plan.

Enumeración: ContainerType : tipo Edm.Int32

ContainerType

Valor Nombre del miembro Descripción
0 Invalid Se usa cuando no se encuentra el plan solicitado.
2 Group El plan está asociado a un grupo M365.
3 TeamsConversation El plan está asociado a una conversación de Teams.
4 OfficeDocument El plan está asociado a un documento de Office.
5 Lista El plan está asociado a un grupo de listas.
6 Project El plan se origina en Microsoft Project.

Enumeración: PlanAccessLevel : tipo Edm.Int32

PlanAccessLevel

Valor Nombre del miembro Descripción
1 ReadAccess Acceso a la lectura del plan
2 ReadWriteAccess Acceso para leer y escribir en plan
3 FullAccess Acceso para leer, escribir y configurar plan

Tipo de registro PlannerCopyPlan

Properties Tipo Descripción
ObjectId Edm.String Identificador del plan que se va a copiar.
OriginalPlanId Edm.String Identificador del plan que se va a copiar. Igual que ObjectId.
OriginalContainerType Propio. ContainerType Tipo del contenedor asociado al plan original.
OriginalContainerId Edm.String Identificador del contenedor asociado al plan original.
NewPlanId Edm.String Identificador del nuevo plan. Null cuando se produjo un error en la operación.
NewContainerType Propio. ContainerType Tipo del contenedor asociado al nuevo plan.
NewContainerId Edm.String Identificador del contenedor asociado al nuevo plan.

Tipo de registro PlannerTask

Properties Tipo Descripción
ObjectId Edm.String Identificador de la tarea solicitada.
PlanId Edm.String Identificador del plan que contiene la tarea.

Tipo de registro PlannerRoster

Properties Tipo Descripción
ObjectId Edm.String Identificador de la lista solicitada.
MemberIds Edm.String Una cadena separada por comas de identificadores de miembro cambiada a la lista.

Tipo de registro PlannerPlanList

Properties Tipo Descripción
ObjectId Edm.String Representación de la consulta de vista para una lista de planes.
PlanList Edm.String Cadena separada por comas de los identificadores de plan consultados.

Tipo de registro PlannerTaskList

Properties Tipo Descripción
ObjectId Edm.String Representación de la consulta de vista para una lista de tareas.
PlanList Edm.String Cadena separada por comas de identificadores de tarea consultados.

Tipo de registro PlannerTenantSettings

Properties Tipo Descripción
ObjectId Edm.String Configuración del inquilino original en JSON.
TenantSettings Edm.String Nueva configuración de inquilino en JSON.

Tipo de registro PlannerRosterSensitivityLabel

Properties Tipo Descripción
ObjectId Edm.String Identificador de la etiqueta de confidencialidad. Null cuando se quita la etiqueta de confidencialidad.
Lista Edm.String Identificador de la lista a la que se cambia la etiqueta de confidencialidad.
AssignmentMethod Propio. SensitivityLabelAssignmentMethod Método de asignación de la etiqueta de confidencialidad.

Enumeración: SensitivityLabelAssignmentMethod - Type Edm.Int32

SensitivityLabelAssignmentMethod

Valor Nombre del miembro Descripción
0 Estándar La etiqueta de confidencialidad se aplica automáticamente, pero no se permite invalidar una asignación de etiquetas con privilegios.
1 Privilegiada Un usuario o un administrador aplican manualmente la etiqueta de confidencialidad.
2 Automático La etiqueta de confidencialidad se aplica automáticamente y se permite invalidar una asignación de etiquetas con privilegios.

Esquema de Microsoft Project para la web

Microsoft Project For The web amplía el esquema Común con los siguientes tipos de registro.

Tipo de registro ProjectForThewebProject

Properties Tipo ¿Es obligatoria? Descripción
ProjectId Edm.Guid No Identificador del proyecto que se va a auditar.
AdditionalInfo CollectionSelf. AdditionalInfo No Información adicional.

Tipo de registro ProjectForThewebTask

Properties Tipo ¿Es obligatoria? Descripción
ProjectId Edm.Guid Identificador del proyecto que se va a auditar.
TaskId Edm.Guid Identificador de la tarea que se va a auditar.
AdditionalInfo CollectionSelf. AdditionalInfo No Información adicional.

Tipo de registro ProjectForThewebRoadmap

Properties Tipo ¿Es obligatoria? Descripción
RoadmapId Edm.Guid Identificador de la hoja de ruta que se va a auditar.
AdditionalInfo CollectionSelf. AdditionalInfo No Información adicional.

Tipo de registro ProjectForThewebRoadmapItem

Properties Tipo ¿Es obligatoria? Descripción
RoadmapItemId Edm.Guid Identificador del elemento de hoja de ruta que se va a auditar.
AdditionalInfo CollectionSelf. AdditionalInfo No Información adicional.

Tipo complejo AdditionalInfo

Parámetros Tipo ¿Es obligatoria? Descripción
EnvironmentName Edm.String No Identificador del entorno donde se realizó la acción.

Tipo de registro ProjectForThewebProjectSetting

Properties Tipo ¿Es obligatoria? Descripción
ProjectEnabled Edm.Boolean Valor que se estableció para Project para la web (1= habilitado, 0 deshabilitado).

Tipo de registro ProjectForThewebRoadampSetting

Properties Tipo ¿Es obligatoria? Descripción
RoadmapEnabled Edm.Boolean Valor que se estableció para Roadmap (1= habilitado, 0 deshabilitado).