Schéma de l’API Activité de gestion Office 365
Le schéma de l’API d’activité de gestion Office 365 est fourni en tant que service de données dans deux couches :
Schéma commun. L’interface permettant d’accéder aux principaux concepts d’audit d’Office 365, comme le type d’enregistrement, l’heure de création, le type d’utilisateur et l’action, ainsi que d’obtenir les dimensions principales (par exemple, l’ID utilisateur), les informations sur l’emplacement (par exemple, l’adresse IP du client) et les propriétés propres au service (par exemple, l’ID d’objet). Elle présente des affichages uniformes et cohérents pour les utilisateurs afin d’extraire toutes les données d’audit d’Office 365 dans un nombre réduit d’affichages de niveau supérieur avec les paramètres appropriés. Elle fournit un schéma fixe pour toutes les sources de données, ce qui réduit considérablement le coût d’apprentissage. Le schéma commun est issu des données de produit appartenant à chaque équipe de produit, comme Exchange, SharePoint, Azure Active Directory, Yammer et OneDrive Entreprise. Le champ ID d’objet peut être étendu par les équipes de produit Microsoft 365 pour ajouter des propriétés propres au service.
Schéma spécifique au service. Conçu en complément du schéma commun pour fournir un ensemble d’attributs spécifiques au service Microsoft 365. Par exemple : schéma SharePoint, schéma OneDrive Entreprise et schéma d’administration Exchange.
Schémas de l’API de gestion d’Office 365
Cet article fournit des détails sur le schéma commun ainsi que sur les schémas spécifiques au service. Le tableau suivant décrit les schémas disponibles.
| Nom du schéma | Description |
|---|---|
| Schéma commun | Vue permettant d’extraire le type d’enregistrement, l’ID utilisateur, l’adresse IP du client, le type d’utilisateur et l’action, ainsi que les dimensions principales telles que les propriétés utilisateur (comme UserID), les propriétés d’emplacement (comme l’adresse IP du client) et les propriétés propres au service (comme l’ID d’objet). |
| Schéma Copilot | Les événements incluent comment et quand interagir avec Copilot, dans lequel microsoft 365 service l’activité a eu lieu, et des références aux fichiers stockés dans Microsoft 365 qui ont été consultés pendant l’interaction. |
| Schéma de base SharePoint | Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit de SharePoint. |
| Opérations sur les fichiers SharePoint | Étend le schéma de base SharePoint avec les propriétés spécifiques de la manipulation et de l’accès aux fichiers dans SharePoint. |
| Liste d’opérations SharePoint | Étend le schéma SharePoint base avec les propriétés spécifiques aux interactions avec les listes et les éléments de liste dans SharePoint Online. |
| Schéma de partage SharePoint | Étend le schéma de base de SharePoint avec les propriétés spécifiques du partage de fichier. |
| Schéma SharePoint | Étend le schéma de base de SharePoint avec les propriétés spécifiques de SharePoint, mais non liées à la manipulation ou à l’accès aux fichiers. |
| Schéma Project | Étend le schéma de base SharePoint avec les propriétés spécifiques de Project. |
| Schéma d’administration Exchange | Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit d’administration Exchange. |
| Schéma de boîte aux lettres Exchange | Étend le schéma de base avec les propriétés spécifiques de toutes les données d’audit de boîte aux lettres Exchange. |
| schéma de base Microsoft Entra ID | Étend le schéma commun avec les propriétés spécifiques à toutes les données d’audit Microsoft Entra. |
| schéma d’ouverture de session du compte Microsoft Entra | Étend le schéma de base Microsoft Entra ID avec les propriétés spécifiques à tous les événements d’ouverture de session Microsoft Entra. |
| Microsoft Entra ID schéma d’ouverture de session STS sécurisé | Étend le schéma de base Microsoft Entra ID avec les propriétés spécifiques à tous les événements d’ouverture de session STS (Secure Token Service) Microsoft Entra ID. |
| schéma Microsoft Entra | Étend le schéma commun avec les propriétés spécifiques à toutes les données d’audit Microsoft Entra. |
| Schéma DLP | Étend le schéma commun avec les propriétés spécifiques des événements de protection contre la perte de données (DLP). |
| Schéma du Centre de sécurité et conformité | Étend le schéma commun avec les propriétés spécifiques de tous les événements du Centre de sécurité et conformité. |
| Schéma d’alertes de sécurité et conformité | Étend le schéma commun avec les propriétés spécifiques de toutes les alertes de sécurité et conformité d’Office 365. |
| Schéma Yammer | Étend le schéma commun avec les propriétés spécifiques de tous les événements Yammer. |
| Schéma de base de sécurité du centre de données | Étend le Schéma commun avec les propriétés spécifiques de toutes les données d’audit de sécurité du centre de données. |
| Schéma de cmdlet de sécurité du centre de données | Étend le schéma de base de sécurité du centre de données avec les propriétés spécifiques de toutes les données d’audit de cmdlet de sécurité du centre de données. |
| Schéma Microsoft Teams | Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Teams. |
| Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces | Étend le schéma commun avec les propriétés spécifiques à Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces. |
| Schéma d’envoi | Étend le schéma Commun avec les propriétés spécifiques aux envois d’utilisateurs et d’administrateurs dans Microsoft Defender pour Office 365. |
| Événements d’investigation et de réponse automatisés | Étend le schéma commun avec les propriétés spécifiques aux événements d’investigation et de réponse automatisés (AIR) d’Office 365. Pour consulter un exemple, voir Blog de la communauté technique : améliorer l’efficacité de votre SOC avec Microsoft Defender pour Office 365 et l’API de gestion O365. |
| Schéma des événements d’hygiène | Étend le Schéma commun avec les propriétés spécifiques aux événements dans Exchange Online Protection et Microsoft Defender pour Office 365. |
| Schéma Power BI | Étend le Schéma commun avec les propriétés spécifiques à tous les événements Power BI. |
| Schéma Dynamics 365 | Étend le schéma commun avec les propriétés spécifiques de tous les événements Dynamics 365. |
| Schéma de l’Analyse du temps de travail | Étend le schéma commun avec les propriétés spécifiques de tous les événements Analyse du temps de travail Microsoft. |
| Schéma de la mise en quarantaine | Étend le schéma commun avec les propriétés spécifiques de tous les événements de mise en quarantaine. |
| Schéma Microsoft Forms | Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Forms. |
| Schéma d’étiquette Microsoft Information Protection | Développe le schéma commun avec les propriétés spécifiques aux étiquettes de confidentialité, appliquées de façon manuelle ou automatique aux courriers électroniques. |
| Schéma d’événement du portail de messages chiffré | Étend le schéma commun avec les propriétés spécifiques au portail de messages chiffrés accessibles par les destinataires externes. |
| Schéma Exchange de conformité aux communications | Étend le schéma commun avec les propriétés spécifiques du modèle de langage choquant de conformité aux communications. |
| Schéma des rapports | Étend le schéma commun avec les propriétés spécifiques de tous les événements de rapport. |
| Schéma du connecteur de conformité | Étend le schéma commun avec les propriétés spécifiques à l’importation de données non-Microsoft à l’aide de connecteurs de données. |
| Schéma SystemSync | Étend le schéma de base avec les propriétés spécifiques à toutes les données ingérées via SystemSync. |
| schéma Viva Goals | Étend le schéma commun avec les propriétés spécifiques à tous les événements Viva Goals. |
| schéma Planificateur Microsoft | Étend le schéma commun avec les propriétés spécifiques aux événements Planificateur Microsoft. |
| Schéma microsoft Project pour le web | Étend le schéma commun avec les propriétés spécifiques aux événements web Microsoft Project For. |
Schéma commun
Nom EntityType : AuditRecord
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Combinaison GUIDEdm.Guid | Oui | Identificateur unique d’un enregistrement d’audit. |
| RecordType | Self.AuditLogRecordType | Oui | Type d’opération indiqué par l’enregistrement. Reportez-vous au tableau AuditLogRecordType pour obtenir plus d’informations sur les types d’enregistrements du journal d’audit. |
| CreationTime | Edm.Date | Oui | Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a effectué l’activité. |
| Opération | Edm.String | Oui | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour consulter la description des opérations/activités les plus courantes, reportez-vous à l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité d’Office 365. Pour une activité d’administration Exchange, cette propriété identifie le nom de la cmdlet qui a été exécutée. Pour les événements DLP, les valeurs possibles, définies sous « Schéma DLP » ci-dessous, sont les suivantes : « DlpRuleMatch », « DlpRuleUndo » ou « DlpInfo ». |
| OrganizationId | Edm.Guid | Oui | GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| UserType | Self.UserType | Oui | Type d’utilisateur ayant effectué l’opération. Reportez-vous au tableau UserType pour obtenir plus d’informations sur les types d’utilisateur. |
| UserKey | Edm.String | Oui | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
| Charge de travail | Edm.String | Non | Service Office 365 dans lequel l’activité s’est produite. |
| ResultStatus | Edm.String | Non | Indique si l’action (indiquée dans la propriété Operation) a réussi ou non. Valeurs possibles : Succeeded, PartiallySucceded ou Failed. Pour une activité d’administration Exchange, la valeur peut être True ou False. Important : plusieurs charges de travail peuvent remplacer la valeur de la propriété ResultStatus. Par exemple, pour Microsoft Entra ID événements d’ouverture de session STS, la valeur Succeeded pour ResultStatus indique uniquement que l’opération HTTP a réussi ; cela ne signifie pas que l’ouverture de session a réussi. Pour déterminer si l’ouverture de session réelle a réussi ou non, consultez la propriété LogonError dans le schéma d’ouverture de session STS Microsoft Entra ID. Si la connexion a échoué, la valeur de cette propriété indique la raison de l’échec de la tentative de connexion. |
| ObjectId | Edm.string | Non | Pour l’activité SharePoint et OneDrive Entreprise, il s’agit du nom du chemin d’accès complet au fichier ou au dossier consulté par l’utilisateur. Pour la journalisation d’audit d’administration Exchange, il s’agit du nom de l’objet modifié par la cmdlet. |
| UserId | Edm.string | Oui | L’UPN (nom d’utilisateur principal) de l’utilisateur ayant effectué l’action (indiquée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits. |
| ClientIP | Edm.String | Oui | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour les événements liés à Microsoft Entra ID, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. |
| Portée | Self.AuditLogScope | Non | Cet événement a-t-il été créé par un service Office 365 hébergé ou un serveur local ? Valeurs possibles : online et onprem. SharePoint est la seule charge de travail qui envoie actuellement des événements d’un serveur local à Office 365. |
| AppAccessContext | CollectionSelf. AppAccessContext | Non | Contexte de l’application pour l’utilisateur ou le principal de service qui a effectué l’action. |
Énumération : AuditLogRecordType - Type : Edm.Int32
AuditLogRecordType
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | ExchangeAdmin | Événements du journal d’audit de d’administration Exchange. |
| 2 | ExchangeItem | Événements d’un enregistrement d’audit de boîte aux lettres Exchange pour les actions effectuées sur un seul élément, comme la création ou la réception d’un message électronique. |
| 3 | ExchangeItemGroup | Événements d’un événement d’audit de boîte aux lettres Exchange pour les actions qui peuvent être effectuées sur plusieurs éléments, comme le déplacement ou la suppression d’un ou de plusieurs messages électroniques. |
| 4 | SharePoint | Événements SharePoint. |
| 6 | SharePointFileOperation | Événements d’opération de fichier SharePoint. |
| 7 | OneDrive | OneDrive pour les évènements d’Entreprise. |
| 8 | AzureActiveDirectory | Microsoft Entra ID événements. |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID événements d’ouverture de session OrgId (déconseillé). |
| 10 | DataCenterSecurityCmdlet | Événements de cmdlet de sécurité du centre de données. |
| 11 | ComplianceDLPSharePoint | Événements de protection contre la perte de données (DLP) dans SharePoint et OneDrive Entreprise. |
| 13 | ComplianceDLPExchange | Événements de protection contre la perte de données (DLP) dans Exchange lorsqu’ils sont configurés via une stratégie DLP unifiée. Les événements DLP basés sur les règles de transport Exchange ne sont pas pris en charge. |
| 14 | SharePointSharingOperation | Événements de partage SharePoint. |
| 15 | AzureActiveDirectoryStsLogon | Événements d’ouverture de session STS (Secure Token Service) dans Microsoft Entra ID. |
| 16 | SkypeForBusinessPSTNUsage | Événements du réseau téléphonique public commuté (RTPC) à partir de Skype entreprise. |
| 17 | SkypeForBusinessUsersBlocked | Événements utilisateur bloqués à partir de Skype entreprise. |
| 18 | SecurityComplianceCenterEOPCmdlet | Actions d’administration à partir du Centre de sécurité et conformité. |
| 19 | ExchangeAggregatedOperation | Événements d’audit des boîtes aux lettres Exchange agrégées. |
| 20 | PowerBIAudit | Événements Power BI. |
| 21 | CRM | Événements Dynamics 365. |
| 22 | Yammer | Événements Yammer. |
| 23 | SkypeForBusinessCmdlets | Événements Skype Entreprise. |
| 24 | Discovery | Événements pour les activités eDiscovery effectuées en exécutant des recherches de contenu et en gérant les cas d’eDiscovery dans le Centre de sécurité et conformité. |
| 25 | MicrosoftTeams | Événements de Microsoft Teams. |
| 28 | ThreatIntelligence | Événements de hameçonnage et de programmes malveillants depuis Exchange Online Protection et Microsoft Defender pour Office 365. |
| 29 | MailSubmission | Événements de soumission à partir de Exchange Online Protection et Microsoft Defender pour Office 365. |
| 30 | MicrosoftFlow | Événements Microsoft Power Automate (autrefois appelés Microsoft Flow). |
| 31 | AeD | Événements eDiscovery (découverte électronique) avancée. |
| 32 | MicrosoftStream | Événements Microsoft Stream. |
| 33 | ComplianceDLPSharePointClassification | Événements liés à la classification DLP dans SharePoint. |
| 34 | ThreatFinder | Événements liés à la campagne de Microsoft Defender pour Office 365. |
| 35 | Project | Événements Microsoft Project. |
| 36 | SharePointListOperation | Événements de liste SharePoint. |
| 37 | SharePointCommentOperation | Événements de commentaire SharePoint. |
| 38 | DataGovernance | Événements liés aux stratégies de rétention et étiquettes rétention dans le centre de sécurité et conformité |
| 39 | Kaizala | Événements Kaizala. |
| 40 | SecurityComplianceAlerts | Signaux d’alerte de sécurité et conformité. |
| 41 | ThreatIntelligenceUrl | Événements de liens approuvés de bloc horaire et bloc de remplacement à partir de Microsoft Defender pour Office 365 |
| 42 | SecurityComplianceInsights | Événements relatifs à des informations et rapports dans le centre de sécurité et conformité Office 365. |
| 43 | MIPLabel | Événements liés à la détection dans le pipeline de transport de courriers électroniques marqués (de façon manuelle ou automatique) avec des étiquettes de confidentialité. |
| 44 | WorkplaceAnalytics | Événements Workplace Analytics. |
| 45 | PowerAppsApp | Événements Power Apps. |
| 46 | PowerAppsPlan | Événements de plan d’abonnement pour les applications Power. |
| 47 | ThreatIntelligenceAtpContent | Événements d’hameçonnage et programmes malveillants pour les fichiers dans SharePoint, OneDrive Entreprise et Microsoft Teams dans Microsoft Defender pour Office 365. |
| 48 | LabelContentExplorer | Événements liés à l’explorateur de contenu de la classification des données. |
| 49 | TeamsHealthcare | Événements liés à l’application patients dans Microsoft Teams pour la santé. |
| 50 | ExchangeItemAggregated | Action d’audit de boîte aux lettres MailItemsAccessed. |
| 51 | HygieneEvent | Événements liés à la protection contre le courrier indésirable sortant. |
| 52 | DataInsightsRestApiAudit | Informations données sur les événements de l’API REST. |
| 53 | InformationBarrierPolicyApplication | Événements liés à l’application des stratégies de barrière des informations. |
| 54 | SharePointListItemOperation | Éléments de liste SharePoint. |
| 55 | SharePointContentTypeOperation | Événements de type de contenu de liste SharePoint. |
| 56 | SharePointFieldOperation | Éléments de champs de liste SharePoint. |
| 57 | MicrosoftTeamsAdmin | Événements de Teams admin. |
| 58 | HRSignal | Événements liés aux signaux de données RH qui prennent en charge la solution de gestion des risques Insider. |
| 59 | MicrosoftTeamsDevice | Événements du périphérique Teams. |
| 60 | MicrosoftTeamsAnalytics | Événements de l’analyse Teams. |
| 61 | InformationWorkerProtection | Événements liés aux alertes utilisateur compromises. |
| 62 | Campagne | Événements liés à la campagne de courrier électronique à partir de Microsoft Defender pour Office 365. |
| 63 | DLPEndpoint | Événements DLP de point de terminaison. |
| 64 | AirInvestigation | Événements de réponse aux incidents automatisée (AIR). |
| 65 | Quarantaine | Évènements mis en quarantaine. |
| 66 | MicrosoftForms | Événements Microsoft Forms. |
| 67 | ApplicationAudit | Événements d’audit des applications. |
| 68 | ComplianceSupervisionExchange | Événements suivis par le modèle de langage choquant de conformité aux communications. |
| 69 | CustomerKeyServiceEncryption | Événements liés au service de chiffrement de clé du client. |
| 70 | OfficeNative | Événements liés aux étiquettes de confidentialité appliqués aux documents Office. |
| 71 | MipAutoLabelSharePointItem | Évènements d’étiquetage automatique dans SharePoint. |
| 72 | MipAutoLabelSharePointPolicyLocation | Évènements de la stratégie d’étiquetage automatique dans SharePoint. |
| 73 | MicrosoftTeamsShifts | Événements de Teams Shifts. |
| 75 | MipAutoLabelExchangeItem | Évènements d’étiquetage automatique dans Exchange. |
| 76 | CortanaBriefing | Évènements de courrier électronique de briefing. |
| 78 | WDATPAlerts | Événements liés aux alertes générées par Windows Defender pour les points de terminaison. |
| 82 | SensitivityLabelPolicyMatch | Événements générés lorsque le nom du fichier avec une étiquette de confidentialité est ouvert ou renommé. |
| 83 | SensitivityLabelAction | Événement généré lorsque des étiquettes de sensibilité sont appliquées, mises à jour ou supprimées d’un fichier. |
| 84 | SensitivityLabeledFileAction | Événements générés lorsqu’un fichier est étiquetté avec une étiquette de confidentialité est ouvert ou renommé. |
| 85 | AttackSim | Événements liés aux activités des utilisateurs dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 86 | AirManualInvestigation | Événements liés à des investigations manuelles dans les enquêtes et réponses automatisées (AIR). |
| 87 | SecurityComplianceRBAC | Évènements de la sécurité et conformité. |
| 88 | UserTraining | Événements liés à la formation des utilisateurs dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 89 | AirAdminActionInvestigation | Événements liés aux actions de l’administrateur dans Investigation et réponse automatisées (AIR). |
| 90 | MSTIC | Événements de l’intelligence de menace dans Microsoft Defender pour Office 365. |
| 91 | PhysicalBadgingSignal | Événements liés aux signaux de badging physiques qui prennent en charge la solution de gestion des risques Insider. |
| 93 | AipDiscover | Événements du scanneur AIP |
| 94 | AipSensitivityLabelAction | Événements d’étiquette de confidentialité AIP |
| 95 | AipProtectionAction | Événements de protection AIP |
| 96 | AipFileDeleted | Événements de suppression de fichier AIP |
| 97 | AipHeartBeat | Événements de pulsation AIP |
| 98 | MCASAlerts | Événements correspondant aux alertes déclenchées par la sécurité de l’application Cloud Microsoft. |
| 99 | OnPremisesFileShareScannerDlp | Événements liés à la recherche de données sensibles sur les partages de fichiers. |
| 100 | OnPremisesSharePointScannerDlp | Événements liés à la recherche de données sensibles dans SharePoint. |
| 101 | ExchangeSearch | Événements liés à l’utilisation d’Outlook sur le web (OWA) pour rechercher des éléments de boîte aux lettres. |
| 102 | SharePointSearch | Événements liés à la recherche d’un site d’accueil SharePoint d’une organisation. |
| 103 | PrivacyInsights | Événements liés à la protection de la vie privée. |
| 105 | MyAnalyticsSettings | Évènements MyAnalytics. |
| 106 | SecurityComplianceUserChange | Événements liés à la modification ou la suppression d’un utilisateur. |
| 107 | ComplianceDLPExchangeClassification | Événements de classification Exchange DLP. |
| 109 | MipExactDataMatch | Évènements de classification exacte des correspondances de données (EDM). |
| 113 | MS365DCustomDetection | Événements liés aux actions de détection personnalisées dans Microsoft 365 Defender. |
| 147 | CoreReportingSettings | Signale les événements de paramètre. |
| 148 | ComplianceConnector | Événements liés à l’importation de données non Microsoft à l’aide de connecteurs de données dans le Portail de conformité Microsoft Purview. |
| 154 | OMEPortal | Journaux d’événements chiffrés du portail des messages générés par des destinataires externes. |
| 174 | DataShareOperation | Événements liés au partage de données ingérées via SystemSync. |
| 181 | EduDataLakeDownloadOperation | Événements liés à l’exportation de données ingérées SystemSync à partir du lac. |
| 183 | MicrosoftGraphDataConnectOperation | Événements liés aux extractions effectuées par Microsoft Graph Data Connect. |
| 186 | PowerPagesSite | Activités liées au site Power Pages. |
| 188 | PlannerPlan | Planificateur Microsoft des événements de plan. |
| 189 | PlannerCopyPlan | Planificateur Microsoft des événements de plan de copie. |
| 190 | PlannerTask | Planificateur Microsoft des événements de tâche. |
| 191 | PlannerRoster | Planificateur Microsoft les événements d’adhésion à la liste et à la liste. |
| 192 | PlannerPlanList | Planificateur Microsoft les événements de liste de plans. |
| 193 | PlannerTaskList | Planificateur Microsoft les événements de liste de tâches. |
| 194 | PlannerTenantSettings | Planificateur Microsoft les événements des paramètres de locataire. |
| 195 | ProjectForThewebProject | Événements de projet Microsoft Project pour le web. |
| 196 | ProjectForThewebTask | Événements de tâche Microsoft Project pour le web. |
| 197 | ProjectForThewebRoadmap | Événements de la feuille de route microsoft Project pour le web. |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project pour le web événements d’élément de feuille de route. |
| 199 | ProjectForThewebProjectSettings | Microsoft Project pour le web les événements des paramètres du locataire du projet. |
| 200 | ProjectForThewebRoadmapSettings | Événements des paramètres de locataire de la feuille de route Microsoft Project pour le web. |
| 216 | Viva Goals | Viva Goals événements. |
| 217 | MicrosoftGraphDataConnectConsent | Événements pour les actions de consentement effectuées par les administrateurs de locataire pour les applications Microsoft Graph Data Connect. |
| 218 | AttackSimAdmin | Événements liés aux activités d’administration dans Simulation d’attaque & Formation dans Microsoft Defender pour Office 365. |
| 230 | TeamsUpdates | Teams Mises à jour Événements d’application. |
| 231 | PlannerRosterSensitivityLabel | Planificateur Microsoft événements d’étiquette de confidentialité de la liste. |
| 237 | DefenderExpertsforXDRAdmin | Microsoft Defender Les événements d’action Administrateur d’experts. |
| 251 | VfamCreatePolicy | Viva stratégie De gestion de l’accès créent des événements. |
| 252 | VfamUpdatePolicy | Viva événements de mise à jour de stratégie Access Management. |
| 253 | VfamDeletePolicy | Viva supprimer des événements de stratégie Access Management. |
| 261 | CopilotInteraction | Événements d’interaction Copilot. |
Énumération : User Type - Type : Edm.Int32
Type d’utilisateur
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Regular | Utilisateur standard. |
| 1 | Reserved | Utilisateur réservé. |
| 2 | Admin | Administrateur. |
| 3 | DcAdmin | Opérateur du centre de données Microsoft. |
| 4 | System | Compte système. |
| 5 | Application | Application. |
| 6 | ServicePrincipal | Principal de service. |
| 7 | CustomPolicy | Une stratégie personnalisée. |
| 8 | SystemPolicy | Une stratégie système. |
Énumération : AuditLogScope - Type : Edm.Int32
AuditLogScope
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Online | Cet événement a été créé par un service Office 365 hébergé. |
| 1 | Onprem | Cet événement a été créé par un serveur local. |
Type complexe AppAccessContext
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AADSessionId | Edm.String | Non | Le Microsoft Entra SessionId de la connexion Entra effectuée par l’application pour le compte de l’utilisateur. |
| APIId | Edm.String | Non | ID du chemin d’API utilisé pour accéder à la ressource ; par exemple, l’accès via l’API Microsoft Graph. |
| ClientAppId | Edm.String | Non | ID de l’application Microsoft Entra qui a effectué l’accès au nom de l’utilisateur. |
| ClientAppName | Edm.String | Non | Nom de l’application Microsoft Entra qui a effectué l’accès au nom de l’utilisateur. |
| CorrelationId | Edm.String | Non | Identificateur qui peut être utilisé pour corréler les actions d’un utilisateur spécifique entre les services Microsoft 365. |
| UniqueTokenId | Edm.String | Non | UniqueTokenId est défini si le jeton Microsoft Entra est disponible pour la requête. Il s’agit d’un identificateur unique par jeton qui respecte la casse. |
| IssuedAtTime | Edm.Date | Non | « Issued At » est défini si le jeton Microsoft Entra est disponible pour la requête et indique quand l’authentification pour ce jeton Microsoft Entra s’est produite. |
Schéma de base SharePoint
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| Site | Edm.Guid | Non | GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | Non | Type d’objet consulté ou modifié. Reportez-vous au tableau ItemType pour obtenir plus d’informations sur les types d’objets. |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | Non | Identifie qu’un événement s’est produit dans SharePoint. Valeurs possibles : SharePoint ou ObjectModel. |
| SourceName | Edm.String | Non | Entité qui a déclenché l’opération auditée. Valeurs possibles : SharePoint ou ObjectModel. |
| UserAgent | Edm.String | Non | Informations sur le navigateur ou le client de l’utilisateur. Ces informations sont fournies par le navigateur ou le client. |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur les opérations de synchronisation de périphérique. Ces informations sont signalées uniquement si elles figurent dans la demande. |
| ListItemUniqueId | Edm.Guid | Non | Guid d’un élément de liste identifiable de manière unique Ces informations sont présentes uniquement si elles sont applicables. |
| ListId | Edm.Guid | Non | Guid de la liste Ces informations sont présentes uniquement si elles sont applicables. |
| ApplicationId | Edm.String | Non | ID de l’application qui exécute l’opération. |
| ApplicationDisplayName | Edm.String | Non | Nom d’affichage de l’application qui exécute l’opération. |
| IsWorkflow | Edm.Boolean | Non | Cette opération est définie si SharePoint flux de travail True a déclenché l’événement audité. |
Énumération : ItemType - Type : Edm.Int32
ItemType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Invalid | L’élément n’est d’aucun des autres types d’éléments (qui sont répertoriés dans ce tableau). |
| 1 | File | L’élément est un fichier. |
| 5 | Folder | L’élément est un dossier. |
| 6 | web | L’élément est un site web. |
| 7 | Site | L’élément est un site. |
| 8 | Tenant | L’élément est un client. |
| 9 | DocumentLibrary | L’élément est une bibliothèque de documents. |
| 11 | Page | L’élément est une page. |
Énumération : EventSource - Type : Edm.Int32
EventSource
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | SharePoint | La source de l’événement est SharePoint. |
| 1 | ObjectModel | La source de l’événement est ObjectModel. |
Énumération : SharePointAuditOperation - Type : Edm.Int32
| Nom du membre | Description |
|---|---|
| AccèsInvitationAccepté | Le destinataire d’une invitation à afficher ou à modifier un fichier (ou dossier) partagé a accédé au fichier partagé en cliquant sur le lien dans l’invitation. |
| AccèsInvitationCréé | L’utilisateur envoie une invitation à une autre personne (interne ou externe à son organisation) pour afficher ou modifier un fichier ou dossier partagé sur un site SharePoint ou OneDrive Entreprise. Les détails de l’entrée d’événement identifient le nom du fichier qui a été partagé, l’utilisateur auquel l’invitation a été envoyée et le type d’autorisation de partage sélectionnée par la personne qui a envoyé l’invitation. |
| AccèsInvitationExpiré | Une invitation envoyée à un utilisateur externe arrive à expiration. Par défaut, une invitation envoyée à un utilisateur en dehors de votre organisation expire au bout de 7 jours si l’invitation n’est pas acceptée. |
| AccèsInvitationRévoqué | L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive Entreprise retire une invitation qui a été envoyée à un utilisateur en dehors de votre organisation. Une invitation peut être retirée uniquement avant d’être acceptée. |
| AccessInvitationUpdated | L’utilisateur qui a créé et envoyé une invitation à une autre personne pour afficher ou modifier un fichier (ou dossier) partagé sur un site SharePoint ou OneDrive Entreprise renvoie l’invitation. |
| AccessRequestApproved | L’administrateur ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive Entreprise approuve la demande d’accès au site ou au document. |
| AccessRequestCreated | L’utilisateur demande l’accès à un site ou à un document dans SharePoint ou OneDrive Entreprise auquel ils n’est pas autorisé à accéder. |
| AccessRequestRejected | L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint refuse la demande d’un utilisateur à accéder au site ou au document. |
| ActivationEnabled | Les utilisateurs peuvent activer les modèles de formulaires pour le navigateur qui ne contiennent pas de code de formulaire, qui nécessitent une autorisation totale, qui activent le rendu sur un appareil mobile ou qui utilisent une connexion de données gérée par un administrateur de serveurs. |
| AdministratorAddedToTermStore | Ajout d’un administrateur de magasin de termes. |
| AdministratorDeletedFromTermStore | Suppression d’un administrateur de magasin de termes. |
| AllowGroupCreationSet | Le propriétaire ou l’administrateur de site ajoute un niveau d’autorisation à un site SharePoint ou OneDrive Entreprise qui permet aux utilisateurs auxquels cette autorisation est affectée de créer un groupe pour ce site. |
| AppCatalogCreated | Création d’un catalogue d’applications pour mettre à disposition des applications d’entreprise personnalisées pour votre environnement SharePoint. |
| AuditPolicyRemoved | Stratégie de cycle de vie de document supprimée pour une collection de sites. |
| AuditPolicyUpdate | Stratégie de cycle de vie de document mise à jour pour une collection de sites. |
| AzureStreamingEnabledSet | Le propriétaire d’un portail vidéo a autorisé la diffusion en continu de vidéos à partir d’Azure. |
| CollaborationTypeModified | Le type de collaboration autorisé sur les sites (par exemple, intranet, extranet ou public) a été modifié. |
| ConnectedSiteSettingModified | L’utilisateur a créé, modifié ou supprimé le lien entre un projet et un site de projet, ou l’utilisateur modifie le paramètre de synchronisation sur le lien dans Project web App. |
| CreateSSOApplication | Application cible créée dans le service Banque d’informations sécurisé. |
| CustomFieldOrLookupTableCreated | L’utilisateur a créé un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomFieldOrLookupTableDeleted | L’utilisateur a supprimé un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomFieldOrLookupTableModified | L’utilisateur a modifié un champ personnalisé ou une table/élément de recherche dans l’application web Project. |
| CustomizeExemptUsers | L’administrateur général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous voulez exempter de la réception d’une page web entière à indexer. Cela signifie que lorsqu’un agent utilisateur que vous avez spécifié comme exempt rencontre un formulaire InfoPath, le formulaire est retourné sous la forme d’un fichier XML au lieu d’une page web entière. Cela permet d’accélérer l’indexation des formulaires InfoPath. |
| DefaultLanguageChangedInTermStore* | Paramètre de langue modifié dans le magasin de termes. |
| DelegateModified | L’utilisateur a créé ou modifié un délégué de sécurité dans Project web App. |
| DelegateRemoved | L’utilisateur a supprimé un délégué de sécurité dans Project web App. |
| DeleteSSOApplication | Une application SSO a été supprimée. |
| eDiscoveryHoldApplied | Une conservation inaltérable a été placée sur une source de contenu. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint. |
| eDiscoveryHoldRemoved | Une conservation inaltérable a été supprimée d’une source de contenu. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint. |
| eDiscoverySearchPerformed | Une recherche eDiscovery a été effectuée à l’aide d’une collection de sites eDiscovery dans SharePoint. |
| EngagementAccepted | L’utilisateur accepte un engagement de ressource dans Project Web App. |
| EngagementModified | L’utilisateur modifie un engagement de ressource dans Project web App. |
| EngagementRejected | L’utilisateur rejette un engagement de ressource dans Project web App. |
| EnterpriseCalendarModified | L’utilisateur copie, modifie ou supprime un calendrier d’entreprise dans Project web App. |
| EntityDeleted | L’utilisateur supprime une feuille de temps dans Project Web App. |
| EntityForceCheckedIn | L’utilisateur force une case activée dans un calendrier, un champ personnalisé ou une table de choix dans l’application web Project. |
| ExemptUserAgentSet | L’administrateur général ajoute un agent utilisateur à la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. |
| FileAccessed | Un compte d’utilisateur ou système accède à un fichier sur un site SharePoint ou OneDrive Entreprise. Les comptes système peuvent également générer des événements FileAccessed. |
| FileCheckOutDiscarded | Un utilisateur ignore (ou annule) un fichier extrait. Cela signifie que les modifications qui ont été apportées au fichier lorsqu’il a été extrait sont ignorées et ne sont pas enregistrées dans la version du document disponible dans la bibliothèque de documents. |
| FileCheckedIn | Un utilisateur vérifie un document qu’il a consulté dans une bibliothèque de documents SharePoint ou OneDrive Entreprise. |
| FileCheckedOut | Un utilisateur extrait un document situé dans une bibliothèque de documents SharePoint ou OneDrive Entreprise. Les utilisateurs peuvent extraire et apporter des modifications aux documents partagés avec eux. |
| FileCopied | Un utilisateur copie un document à partir d’un site SharePoint ou OneDrive Entreprise. Le fichier copié peut être enregistré dans un autre dossier sur le site. |
| FileDeleted | Un utilisateur supprime un document à partir d’un site SharePoint ou OneDrive Entreprise. |
| FileDeletedFirstStageRecycleBin | Un utilisateur supprime un fichier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise. |
| FileDeletedSecondStageRecycleBin | Un utilisateur supprime un fichier dans la corbeille secondaire sur un site SharePoint ou OneDrive Entreprise. |
| FileDownloaded | Un utilisateur télécharge un document à partir d’un site SharePoint ou OneDrive Entreprise. |
| FileFetched | Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé. |
| FileModified | Un compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document situé sur un site SharePoint ou OneDrive Entreprise. |
| FileMoved | Un utilisateur déplace un document de son emplacement actuel sur un site SharePoint ou OneDrive Entreprise vers un nouvel emplacement. |
| FilePreviewed | Un utilisateur affiche l’aperçu d’un document sur un site SharePoint ou OneDrive Entreprise. |
| Fichier recyclé | L’utilisateur déplace un document dans la Corbeille SharePoint ou OneDrive. |
| FileRenamed | Un utilisateur renomme un document sur un site SharePoint ou OneDrive Entreprise. |
| FileRestored | Un utilisateur restaure un document à partir de la corbeille d’un site SharePoint ou OneDrive Entreprise. |
| FileSyncDownloadedFull | L’utilisateur télécharge un fichier sur son ordinateur à partir d’une bibliothèque de documents SharePoint ou de OneDrive Entreprise à l’aide de l’application de synchronisation OneDrive (OneDrive.exe). |
| FileSyncDownloadedPartial | Cet événement a été déprécié avec l’ancienne application de synchronisation OneDrive Entreprise (Groove.exe). |
| FileSyncUploadedFull | Un utilisateur charge un nouveau fichier ou les modifications apportées à un fichier dans SharePoint bibliothèque de documents ou de OneDrive Entreprise à l’aide de l’application de synchronisation OneDrive (OneDrive.exe). |
| FileSyncUploadedPartial | Cet événement a été déprécié avec l’ancienne application de synchronisation OneDrive Entreprise (Groove.exe). |
| FileUploaded | Un utilisateur charge un document dans un dossier sur un site SharePoint ou OneDrive Entreprise. |
| FileViewed | Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé. |
| FolderCopied | Un utilisateur copie un dossier à partir d’un site SharePoint ou OneDrive Entreprise vers un autre emplacement dans SharePoint ou OneDrive Entreprise. |
| FolderCreated | Un utilisateur crée un dossier sur un site SharePoint ou OneDrive Entreprise. |
| FolderDeleted | Un utilisateur supprime un dossier sur un site SharePoint ou OneDrive Entreprise. |
| FolderDeletedFirstStageRecycleBin | Un utilisateur supprime un dossier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise. |
| FolderDeletedSecondStageRecycleBin | Un utilisateur supprime un dossier dans la corbeille secondaire sur un site SharePoint ou OneDrive Entreprise. |
| FolderModified | Un utilisateur modifie un dossier sur un site SharePoint ou OneDrive Entreprise. Cet événement inclut les modifications de métadonnées de dossier, telles que les balises et les propriétés. |
| FolderMoved | Un utilisateur déplace un dossier à partir d’un site SharePoint ou OneDrive Entreprise. |
| DossierRecyclé | L’utilisateur déplace un dossier dans la Corbeille SharePoint ou OneDrive. |
| FolderRenamed | Un utilisateur renomme un dossier sur un site SharePoint ou OneDrive Entreprise. |
| FolderRestored | Un utilisateur restaure un dossier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise. |
| GroupAdded | Le propriétaire ou l’administrateur de site crée un groupe pour un site SharePoint ou OneDrive Entreprise, ou effectue une tâche qui entraîne la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive Entreprise de l’utilisateur. Cet événement peut également être le résultat de la création d’un lien par un utilisateur avec autorisation de modification sur un fichier partagé. |
| GroupRemoved | Un utilisateur supprime un groupe d’un site SharePoint ou OneDrive Entreprise. |
| GroupUpdated | Le propriétaire ou l’administrateur de site modifie les paramètres d’un groupe pour un site SharePoint ou OneDrive Entreprise. Cela peut inclure la modification du nom du groupe, qui peut consulter ou modifier l’appartenance au groupe et la gestion des demandes d’appartenance. |
| LanguageAddedToTermStore | Langue ajoutée au magasin de termes. |
| LanguageRemovedFromTermStore | Langue supprimée du magasin de termes. |
| LegacyWorkflowEnabledSet | L’administrateur ou le propriétaire du site ajoute le type de contenu de tâche de flux de travail SharePoint au site. Les administrateurs généraux peuvent également activer les workflows pour l’ensemble de l’organisation dans le Centre d’administration SharePoint. |
| LookAndFeelModified | Un utilisateur modifie un menu de lancement rapide, les formats de diagramme de Gantt ou les formats de groupe. Ou l’utilisateur crée, modifie ou supprime une vue dans Project web App. |
| ManagedSyncClientAllowed | Un utilisateur a établi une relation de synchronisation avec un site SharePoint ou OneDrive Entreprise. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (« liste des destinataires approuvés ») qui peuvent accéder aux bibliothèques de documents de votre organisation. Pour plus d’informations, voir Utiliser SharePoint Online PowerShell pour activer Synchronisation OneDrive pour les domaines figurant dans la liste des destinataires approuvés. |
| MaxQuotaModified | Le quota maximal pour un site a été modifié. |
| MaxResourceUsageModified | L’utilisation de ressources maximale autorisée pour un site a été modifiée. |
| MySitePublicEnabledSet | L’indicateur permettant aux utilisateurs de rendre public un site Mon site a été défini par l’administrateur SharePoint. |
| NewsFeedEnabledSet | Le propriétaire ou l’administrateur de site active les flux RSS pour un site SharePoint ou OneDrive Entreprise. Les administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint. |
| ODBNextUXSettings | Une nouvelle interface utilisateur pour OneDrive Entreprise a été activée. |
| OfficeOnDemandSet | L’administrateur de site active Office à la demande, qui permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. « Office à la demande » est activé dans le Centre d’administration SharePoint et nécessite un abonnement Office 365 qui inclut l’installation de l’ensemble des applications Office. |
| PageViewed | Un utilisateur consulte une page sur un site SharePoint ou OneDrive Entreprise. Ceci n’inclut pas l’affichage des fichiers de bibliothèque de documents à partir d’un site SharePoint ou OneDrive Entreprise sur un navigateur. |
| PeopleResultsScopeSet | L’administrateur de site crée ou modifie l’origine des résultats pour les recherches de personnes pour un site SharePoint. |
| PermissionSyncSettingModified | L’utilisateur modifie les paramètres de synchronisation des autorisations de projet dans Project web App. |
| PermissionTemplateModified | L’utilisateur crée, modifie ou supprime un modèle d’autorisations dans Project web App. |
| PortfolioDataAccessed | L’utilisateur accède au contenu du portefeuille (bibliothèque de pilotes, hiérarchisation des pilotes, analyses de portefeuille) dans Project web App. |
| PortfolioDataModified | L’utilisateur crée, modifie ou supprime des données de portefeuille (bibliothèque de pilotes, hiérarchisation des pilotes, analyses de portefeuille) dans Project web App. |
| PreviewModeEnabledSet | L’administrateur de site active l’aperçu de document pour un site SharePoint. |
| ProjectAccessed | L’utilisateur accède au contenu du projet dans l’application web Project. |
| ProjectCheckedIn | L’utilisateur archive un projet qu’il a extrait d’une application web Project. |
| ProjectCheckedOut | L’utilisateur extrait un projet situé dans une application web Project. Les utilisateurs peuvent extraire les projets qu’ils sont autorisés à ouvrir et y apporter des modifications . |
| ProjectCreated | L’utilisateur crée un projet dans Project web App. |
| ProjectDeleted | L’utilisateur supprime un projet dans l’application web Project. |
| ProjectForceCheckedIn | L’utilisateur force une case activée dans sur un projet dans l’application web Project. |
| ProjectModified | L’utilisateur modifie un projet dans Project web App. |
| ProjectPublished | L’utilisateur publie un projet dans Project web App. |
| ProjectWorkflowRestarted | L’utilisateur redémarre un flux de travail dans Project web App. |
| PWASettingsAccessed | L’utilisateur accède aux paramètres de l’application web Project via CSOM. |
| PWASettingsModified | L’utilisateur modifie la configuration d’une application web Project. |
| QueueJobStateModified | L’utilisateur annule ou redémarre un travail de file d’attente dans Project web App. |
| QuotaWarningEnabledModified | Avertissement de quota de stockage modifié. |
| RenderingEnabled | Les modèles de formulaires compatibles avec les navigateurs web seront rendus par les services des formulaires InfoPath. |
| ReportingAccessed | L’utilisateur a accédé au point de terminaison de création de rapports dans Project Web App. |
| ReportingSettingModified | L’utilisateur modifie la configuration des rapports dans Project web App. |
| ResourceAccessed | L’utilisateur accède au contenu d’une ressource d’entreprise dans Project web App. |
| ResourceCheckedIn | L’utilisateur archive une ressource d’entreprise qu’il a extraite de Project web App. |
| ResourceCheckedOut | L’utilisateur extrait une ressource d’entreprise située dans Project web App. |
| ResourceCreated | L’utilisateur crée une ressource d’entreprise dans Project web App. |
| ResourceDeleted | L’utilisateur supprime une ressource d’entreprise dans Project web App. |
| ResourceForceCheckedIn | L’utilisateur force l’archivage d’une ressource d’entreprise dans l’application web Project. |
| ResourceModified | L’utilisateur modifie une ressource d’entreprise dans Project web App. |
| ResourcePlanCheckedInOrOut | Un utilisateur archive ou extrait un plan de ressources dans l’application web Project. |
| ResourcePlanModified | L’utilisateur modifie un plan de ressources dans Project web App. |
| ResourcePlanPublished | L’utilisateur publie un plan de ressources dans Project web App. |
| ResourceRedacted | L’utilisateur rédige une ressource d’entreprise en supprimant toutes les informations personnelles dans Project web App. |
| ResourceWarningEnabledModified | Avertissement de quota de ressource modifié. |
| SSOGroupCredentialsSet | Informations d’identification de groupe définies dans le service Banque d’informations sécurisé. |
| SSOUserCredentialsSet | Informations d’identification utilisateur définies dans le service Banque d’informations sécurisé. |
| SearchCenterUrlSet | URL du Centre de recherche définie. |
| SecondaryMySiteOwnerSet | Un utilisateur a ajouté un propriétaire secondaire à son site Mon site. |
| SecurityCategoryModified | L’utilisateur crée, modifie ou supprime une catégorie de sécurité dans Project web App. |
| SecurityGroupModified | L’utilisateur crée, modifie ou supprime un groupe de sécurité dans Project web App. |
| SendToConnectionAdded | L’administrateur général crée une nouvelle connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. Une connexion Envoyer à spécifie les paramètres pour un référentiel de documents ou un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié. |
| SendToConnectionRemoved | L’administrateur général supprime une connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. |
| SharedLinkCreated | Un utilisateur crée un lien vers un fichier partagé sur un site SharePoint ou OneDrive Entreprise. Ce lien peut être envoyé à d’autres personnes pour leur donner accès au fichier. Un utilisateur peut créer deux types de liens : un lien qui permet à la personne d’afficher et de modifier le fichier partagé, ou un lien qui permet à la personne d’afficher le fichier uniquement. |
| SharedLinkDisabled | Un utilisateur désactive (définitivement) un lien qui a été créé pour partager un fichier. |
| SharingInvitationAccepted * | Un utilisateur accepte une invitation à partager un fichier ou un dossier. Cet événement est enregistré lorsqu’un utilisateur partage un fichier avec d’autres utilisateurs. |
| SharingRevoked | Un utilisateur annule le partage d’un fichier ou d’un dossier précédemment partagé avec d’autres utilisateurs. Cet événement est enregistré lorsqu’un utilisateur arrête le partage d’un fichier avec d’autres utilisateurs. |
| SharingSet | Un utilisateur partage un fichier ou un dossier situé dans SharePoint ou OneDrive Entreprise avec un autre utilisateur au sein de son organisation. |
| SiteAdminChangeRequest | Un utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites SharePoint. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. |
| SiteCollectionAdminAdded* | Le propriétaire ou l’administrateur de collection de sites ajoute une personne en tant qu’administrateur de collection de sites pour un site SharePoint ou OneDrive Entreprise. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites. |
| SiteCollectionCreated | L’administrateur général crée une nouvelle collection de sites dans votre organisation SharePoint. |
| SiteRenamed | Le propriétaire ou l’administrateur de site renomme un site SharePoint ou OneDrive Entreprise. |
| StatusReportModified | L’utilisateur crée, modifie ou supprime un rapport status dans l’application web Project. |
| SyncGetChanges | Un utilisateur clique sur Sync dans la barre d’état d’action dans SharePoint ou OneDrive Entreprise pour synchroniser les modifications éventuelles à classer dans une bibliothèque de documents sur son ordinateur. |
| SyntexBillingSubscriptionSettingsChanged | Les paramètres d’abonnement Syntex Billing ont changé. Cet événement est déclenché à l’expiration d’une version d’évaluation Syntex. |
| TaskStatusAccessed | L’utilisateur accède à la status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusApproved | L’utilisateur approuve une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusRejected | L’utilisateur rejette une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusSaved | L’utilisateur enregistre une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TaskStatusSubmitted | L’utilisateur envoie une mise à jour status d’une ou plusieurs tâches dans Project web App. |
| TimesheetAccessed | L’utilisateur accède à une feuille de temps dans Project web App. |
| TimesheetApproved | L’utilisateur approuve la feuille de temps dans Project web App. |
| TimesheetRejected | L’utilisateur rejette une feuille de temps dans Project web App. |
| TimesheetSaved | L’utilisateur enregistre une feuille de temps dans Project web App. |
| TimesheetSubmitted | L’utilisateur envoie une feuille de temps status dans l’application web Project. |
| UnmanagedSyncClientBlocked | Un utilisateur tente d’établir une relation de synchronisation avec un site SharePoint ou OneDrive Entreprise sur un ordinateur qui n’est pas membre du domaine de votre organisation ou qui est membre d’un domaine qui n’a pas été ajouté à la liste des domaines (appelée liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation. La relation de synchronisation n’est pas autorisée et l’ordinateur de l’utilisateur est bloqué en matière de synchronisation, de téléchargement ou de chargement de fichiers dans une bibliothèque de documents. Pour plus d’informations sur cette fonctionnalité, reportez-vous à l’article Utilisation des cmdlet Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés. |
| UpdateSSOApplication | Application cible mise à jour dans le service Banque d’informations sécurisé. |
| UserAddedToGroup | Le propriétaire ou l’administrateur de site ajoute une personne à un groupe sur un site SharePoint ou OneDrive Entreprise. Ajouter une personne à un groupe accorde à l’utilisateur les autorisations qui ont été affectées au groupe. |
| UserRemovedFromGroup | Le propriétaire ou l’administrateur de site supprime une personne d’un groupe sur un site SharePoint ou OneDrive Entreprise. Une fois que la personne est supprimée, elle ne dispose plus des autorisations qui ont été affectées au groupe. |
| WorkflowModified | L’utilisateur crée, modifie ou supprime un type de projet d’entreprise ou des phases ou des phases de flux de travail dans l’application web Project. |
Opérations de fichier SharePoint
Les événements de SharePoint de fichiers répertoriés dans la section « Activités des fichiers et des dossiers » dans la recherche dans le journal d’audit dans le centre de conformité utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| SiteUrl | Edm.String | Oui | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| SourceRelativeUrl | Edm.String | Non | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. |
| SourceFileName | Edm.String | Oui | Nom du fichier ou du dossier consulté par l’utilisateur. |
| SourceFileExtension | Edm.String | Non | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. |
| DestinationRelativeUrl | Edm.String | Non | URL du dossier de destination dans lequel un fichier est copié ou déplacé. La combinaison des valeurs des paramètres SiteURL, DestinationRelativeURL et DestinationFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier copié. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| DestinationFileName | Edm.String | Non | Nom du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| DestinationFileExtension | Edm.String | Non | Extension du fichier qui est copié ou déplacé. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved. |
| UserSharedWith | Edm.String | Non | Utilisateur avec lequel une ressource a été partagée. |
| SharingType | Edm.String | Non | Type des autorisations de partage qui ont été affectées à l’utilisateur avec lequel la ressource a été partagée. Cet utilisateur est identifié par le paramètre UserSharedWith . |
| SourceLabel | Edm.String | Non | Étiquette d’origine du fichier avant qu’il ne soit modifié par une action de l’utilisateur. |
| DestinationLabel | Edm.String | Non | L'étiquette finale du fichier après qu'il ait été modifié par une action de l'utilisateur. |
| SensitivityLabelOwnerEmail | Edm.String | Non | Adresse de messagerie du propriétaire de l’étiquette de sensibilité |
| SensitivityLabelId | Edm.String | Non | ID d’étiquette de sensibilité actuel du fichier |
SharePoint de liste
Les SharePoint et les événements associés à l’élément de liste répertoriés dans la section « activités de liste SharePoint » dans la recherche dans le journal d’audit du Centre de conformité utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| ListTitle | Edm.String | Non | Titre de la liste SharePoint liste |
| ListName | Edm.String | Non | Nom de la liste SharePoint liste |
| ListUrl | Edm.String | Non | URL de la liste relative au site web contenant |
| ListBaseType | Edm.String | Non | Spécifie le type de base pour une liste. |
| ListBaseTemplateType | Edm.String | Non | Type de définition de liste sur lequel est basée la liste. |
| IsHiddenList | Edm.Boolean | Non | Cette valeur est définie si True la liste SharePoint est masquée. |
| IsDocLib | Edm.Boolean | Non | Cette valeur est définie si True la liste SharePoint est de type Bibliothèque de documents. |
Schéma de partage SharePoint
Événements SharePoint relatifs au partage de fichier. Il s’agit de différents événements relatifs aux fichiers et aux dossiers dans lesquels un utilisateur effectue une action qui a certains effets sur un autre utilisateur. Pour plus d’informations sur SharePoint de partage, voir Utiliser l’audit de partage dans le journal d’audit.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | Non | Stocke le nom d’utilisateur principal (UPN), ou le nom du groupe ou de l’utilisateur cible avec lequel une ressource a été partagée. |
| TargetUserOrGroupType | Edm.String | Non | Détermine si le groupe ou l’utilisateur cible est un membre, un invité, un groupe ou un partenaire. |
| EventData | Code XML | Non | Indique les informations de suivi concernant l’action de partage qui s’est produite. Par exemple, l’ajout d’un utilisateur à un groupe ou l’octroi d’autorisations de modification. |
| SiteUrl | Edm.String | Non | URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur. |
| SourceRelativeUrl | Edm.String | Non | URL du dossier contenant le fichier consulté par l’utilisateur. La combinaison des valeurs des paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID , qui est le nom complet du chemin d’accès du fichier auquel l’utilisateur accède. |
| SourceFileName | Edm.String | Non | Nom du fichier ou du dossier consulté par l’utilisateur. |
| SourceFileExtension | Edm.String | Non | Extension du fichier consulté par l’utilisateur. Cette propriété est vide si l’objet consulté est un dossier. |
| UniqueSharingId | Edm.String | Non | ID de partage unique associé à l’opération de partage |
Schéma SharePoint
Les SharePoint répertoriés dans le journal d’audit dans le centre de conformité (à l’exception des événements de fichier et de dossier) utilisent ce schéma.
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| CustomEvent | Edm.String | Non | Chaîne facultative pour les événements personnalisés. |
| EventData | Edm.String | Non | Charge utile facultative pour les événements personnalisés. |
| ModifiedProperties | Collection(ModifiedProperty) | Non | La propriété est incluse pour les événements d’administration, par exemple l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration d’une collection de sites. La propriété inclut le nom de la propriété modifiée (par exemple, le groupe d’administrateurs du site), la nouvelle valeur de la propriété modifiée (comme l’utilisateur qui a été ajouté en tant qu’administrateur du site) et la valeur précédente de l’objet modifié. |
Schéma Project
| Paramètre | Type | Obligatoire ? | Description |
|---|---|---|---|
| Entity | Edm.String | Oui | ProjectEntity pour laquelle l’audit a été effectué. |
| Action | Edm.String | Oui | ProjectAction qui a été effectuée. |
| OnBehalfOfResId | Edm.Guid | Non | ID de ressource au nom duquel l’action a été effectuée. |
Énumération : Project Action - Type : Edm.Int32
Action de projet
| Nom du membre | Description |
|---|---|
| Accepted | L’utilisateur a accepté un événement ou un flux de travail. |
| Accessed | L’utilisateur a accédé à une entité. |
| Activated | L’utilisateur a activé une entité, un événement ou un flux de travail. |
| Cancelled | L’utilisateur a annulé un événement ou un flux de travail. |
| CheckedIn | L’utilisateur a archivé une entité. |
| CheckedOut | L’utilisateur a extrait une entité. |
| Copied | L’utilisateur a copié une entité. |
| Created | L’utilisateur a créé une entité. |
| Deactivated | L’utilisateur a désactivé une entité. |
| Deleted | L’utilisateur a supprimé une entité. |
| Exported | L’utilisateur a exporté une entité. |
| ForceCheckedIn | L’utilisateur a forcé l’archivage d’une entité. |
| Modified | L’utilisateur a modifié une entité. |
| Published | L’utilisateur a publié une entité. |
| Redacted | L’utilisateur a rédigé une entité. |
| Rejected | L’utilisateur a rejeté une entité. |
| Restarted | L’utilisateur a redémarré un événement ou un flux de travail. |
| Saved | L’utilisateur a enregistré une entité. |
| Sent | L’utilisateur a envoyé une entité. |
| Submitted | L’utilisateur a soumis une entité pour révision ou un flux de travail. |
Énumération : Project Entity - Type : Edm.Int32
Entité de projet
| Nom du membre | Description |
|---|---|
| CustomField | Représente un champ personnalisé d’entreprise. |
| Driver | Représente un pilote de portefeuille. |
| DriverPrioritization | Représente une définition de priorités de portefeuille. |
| Engagement | Représente un engagement de ressources. |
| EnterpriseCalendar | Représente un calendrier de ressources d’entreprise. |
| EnterpriseProjectType | Représente un type de projet d’entreprise. |
| FiscalPeriod | Représente une période fiscale. |
| GanttChartFormat | Représente un format de diagramme de Gantt. |
| GroupingFormat | Représente un format de regroupement d’affichage. |
| LineClassification | Représente une classification de ligne de feuille de temps. |
| LookupTable | Représente une table de choix d’entreprise. |
| PermissionTemplate | Représente un modèle d’autorisation de sécurité. |
| PortfolioAnalysis | Représente une analyse de portefeuille. |
| Project | Représente un projet. |
| QueueJob | Représente un travail de file d’attente. |
| QuickLaunch | Représente un élément de lancement rapide. |
| Reporting | Représente le point de terminaison de génération de rapports. |
| Resource | Représente une ressource d’entreprise. |
| ResourcePlan | Représente un plan des ressources associé à un projet. |
| SecurityCategory | Représente une catégorie de sécurité. |
| SecurityGroup | Représente un groupe de sécurité. |
| Setting | Représente un paramètre d’application web Project |
| Statusing | Représente une mise à jour de l’état de tâche. |
| StatusReport | Représente un rapport d’état. |
| TimeReportingPeriod | Représente une période pour une feuille de temps. |
| Timesheet | Représente une entité de feuille de temps. |
| TimesheetAuditLog | Représente un journal d’audit de feuille de temps. |
| TimesheetManager | Représente le gestionnaire d’une feuille de temps. |
| UserDelegate | Représente une délégation d’utilisateur pour un autre utilisateur. |
| View | Représente une définition de l’affichage. |
| WorkflowPhase | Représente une phase dans un flux de travail. |
| WorkflowStage | Représente une étape dans un flux de travail. |
Schéma d’administration Exchange
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | Non | Il s’agit du nom convivial de l’objet modifié par la cmdlet. Ce paramètre est enregistré uniquement si la cmdlet modifie l’objet. |
| Paramètres | Collection(Common.NameValuePair) | Non | Nom et valeur de tous les paramètres utilisés avec la cmdlet identifiée dans la propriété Operations. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Non | Propriété incluse pour les événements d’administration. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de l’objet modifié. |
| ExternalAccess | Edm.Boolean | Oui | Spécifie si la cmdlet a été exécutée par un utilisateur dans votre organisation, par le personnel du centre de données Microsoft ou par un compte de service du centre de données, ou par un administrateur délégué. La valeur False indique que la cmdlet a été exécutée par un membre de votre organisation. La valeur True indique que la cmdlet a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué. |
| OriginatingServer | Edm.String | Non | Nom du serveur à partir duquel la cmdlet a été exécutée. |
| OrganizationName | Edm.String | Non | Nom du client. |
Schéma de boîte aux lettres Exchange
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| LogonType | Self.LogonType | Non | Indique le type d’utilisateur ayant accédé à la boîte aux lettres et effectué l’opération qui a été enregistrée. |
| InternalLogonType | Self.LogonType | Non | Réservé à une utilisation interne. |
| MailboxGuid | Edm.String | Non | GUID Exchange de la boîte aux lettres consultée. |
| MailboxOwnerUPN | Edm.String | Non | Adresse de messagerie du propriétaire de la boîte aux lettres consultée. |
| MailboxOwnerSid | Edm.String | Non | SID du propriétaire de la boîte aux lettres. |
| MailboxOwnerMasterAccountSid | Edm.String | Non | SID du compte principal du compte du propriétaire de la boîte aux lettres. |
| LogonUserSid | Edm.String | Non | SID de l’utilisateur ayant effectué l’opération. |
| LogonUserDisplayName | Edm.String | Non | Nom convivial de l’utilisateur ayant effectué l’opération. |
| ExternalAccess | Edm.Boolean | Oui | La valeur est True si le domaine de l’utilisateur de connexion est différent du domaine du propriétaire de la boîte aux lettres. |
| OriginatingServer | Edm.String | Non | Il s’agit de l’emplacement où l’opération a été lancée. |
| OrganizationName | Edm.String | Non | Nom du client. |
| ClientInfoString | Edm.String | Non | Informations sur le client de messagerie que vous avez utilisé pour effectuer l’opération, comme la version d’un navigateur, la version d’Outlook et les informations d’appareil mobile. |
| ClientIPAddress | Edm.String | Non | Adresse IP du périphérique utilisé lors de la journalisation de l’opération. L’adresse IP apparaît au format IPv4 ou IPv6. |
| ClientMachineName | Edm.String | Non | Nom de l’ordinateur qui héberge le client Outlook. |
| ClientProcessName | Edm.String | Non | Client de messagerie que vous avez utilisé pour accéder à la boîte aux lettres. |
| ClientVersion | Edm.String | Non | Version du client de messagerie. |
Énumération : LogonType - Type : Edm.Int32
LogonType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Owner | Propriétaire de la boîte aux lettres. |
| 1 | Admin | Personne disposant des privilèges d’administration pour la boîte aux lettres d’un utilisateur. |
| 2 | Delegated | Personne disposant des privilèges de délégué pour la boîte aux lettres d’un utilisateur. |
| 3 | Transport | Service de transport dans le centre de données Microsoft. |
| 4 | SystemService | Compte de service dans le centre de données Microsoft |
| 5 | BestAccess | Réservé à une utilisation interne. |
| 6 | DelegatedAdmin | Administrateur délégué. |
Schéma ExchangeMailboxAuditGroupRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Folder | Self.ExchangeFolder | Non | Dossier où se trouve un groupe d’éléments. |
| CrossMailboxOperations | Edm.Boolean | Non | Indique si l’opération a impliqué plusieurs boîtes aux lettres. |
| DestMailboxId | Edm.Guid | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique le GUID de la boîte aux lettres cible. |
| DestMailboxOwnerUPN | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique l’UPN du propriétaire de la boîte aux lettres cible. |
| DestMailboxOwnerSid | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Indique le SID de la boîte aux lettres cible. |
| DestMailboxOwnerMasterAccountSid | Edm.String | Non | Défini uniquement si le paramètre CrossMailboxOperations est True. Spécifie le SID du compte principal du propriétaire de la boîte aux lettres cible. |
| DestFolder | Self.ExchangeFolder | Non | Dossier de destination pour les opérations telles qu’un déplacement. |
| Folders | Collection(Self.ExchangeFolder) | Non | Informations sur les dossiers source impliqués dans une opération. Par exemple, si les dossiers sont sélectionnés, puis supprimés. |
| AffectedItems | Collection(Self.ExchangeItem) | Non | Informations sur chaque élément dans le groupe. |
Schéma ExchangeMailboxAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Item | Self.ExchangeItem | Non | Représente l’élément sur lequel l’opération a été effectuée. |
| ModifiedProperties | Collection(Edm.String) | Non | À déterminer |
| SendAsUserSmtp | Edm.String | Non | Adresse SMTP de l’utilisateur qui est empruntée. |
| SendAsUserMailboxGuid | Edm.Guid | Non | GUID Exchange de la boîte aux lettres consultée pour envoyer un message électronique. |
| SendOnBehalfOfUserSmtp | Edm.String | Non | Adresse SMTP de l’utilisateur au nom duquel le message électronique est envoyé. |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | Non | GUID Exchange de la boîte aux lettres consultée pour le compte duquel envoyer un message électronique. |
Type complexe ExchangeItem
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | ID de magasin. |
| Subject | Edm.String | Non | Ligne d’objet du message qui a été consulté. |
| ParentFolder | Edm.ExchangeFolder | Non | Nom du dossier dans lequel se trouve l’élément. |
| Attachments | Edm.String | Non | Liste des noms et taille du fichier de tous les éléments joints au message. |
Type complexe ExchangeFolder
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | ID de magasin de l’objet du dossier. |
| Path | Edm.String | Non | Nom de dossier de la boîte aux lettres dans laquelle se trouve le message consulté. |
Schéma de base Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | Oui | Type d’événement Microsoft Entra. |
| ExtendedProperties | Collection(Common.NameValuePair) | Non | Propriétés étendues de l’événement Microsoft Entra. |
| ModifiedProperties | Collection(Common.ModifiedProperty) | Non | Cette propriété est incluse pour les événements d’administration. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
Énumération : AzureActiveDirectoryEventType - Type : Edm.Int32
AzureActiveDirectoryEventType
| Nom du membre | Description |
|---|---|
| AccountLogon | Événement de connexion au compte. |
| AzureApplicationAuditEvent | Événement de sécurité de l’application Azure. |
Schéma de connexion au compte Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Application | Edm.String | Non | Application qui déclenche l’événement de connexion au compte. Par exemple, Office 15. |
| Client | Edm.String | Non | Détails sur le périphérique client, le système d’exploitation du périphérique et le navigateur du périphérique qui ont été utilisés pour l’événement de connexion au compte. |
| LoginStatus | Edm.Int32 | Oui | Cette propriété provient directement de l’élément OrgIdLogon.LoginStatus. Le mappage de différents échecs de connexion intéressants peut être effectué à l’aide d’algorithmes d’alerte. |
| UserDomain | Edm.String | Oui | Informations sur l’identité du client (TII). |
Énumération : CredentialType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| -1 | Other | Autre authentification. |
| 0 | Password | Les informations d’identification utilisateur sont le nom d’utilisateur et le mot de passe. |
| 1 | MobilePhone | Les informations d’identification utilisateur correspondent à un téléphone mobile. |
| 2 | SecretQuestion | Les informations d’identification utilisateur correspondent à une question secrète. |
| 3 | SecurePin | Les informations d’identification utilisateur correspondent à un code confidentiel sécurisé. |
| 4 | SecurePinReset | Les informations d’identification utilisateur correspondent à une réinitialisation du code confidentiel sécurisé. |
| 11 | EasyID | Les informations d’identification utilisateur correspondent à EasyID. |
| 14 | PasswordIndexCredentialType | Les informations d’identification utilisateur correspondent à PasswordIndexCredentialType. |
| 16 | Device | Les informations d’identification utilisateur correspondent à un périphérique. |
| 17 | ForeignRealmIndex | Les informations d’identification utilisateur correspondent à ForeignRealmIndex. |
Énumération : LoginType - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| -1 | Other | Autre type i. |
| 1 | InitialAuth | Connexion avec l’authentification initiale |
| 2 | CookieCopy | Connectez-vous avec le cookie. |
| 3 | SilentReAuth | Connectez-vous avec une authentification multiple en mode silencieux. |
Énumération : AuthenticationMethod - Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Min | La méthode d’authentification est Min. |
| 1 | Password | La méthode d’authentification est un mot de passe. |
| 2 | Digest | La méthode d’authentification est Digest. |
| 3 | ProxyAuth | La méthode d’authentification ProxyAuth. |
| 4 | InfoCard | La méthode d’authentification est InfoCard. |
| 5 | DAToken | La méthode d’authentification est DAToken. |
| 6 | Sha1RememberMyPassword | La méthode d’authentification est Sha1RememberMyPassword. |
| 7 | LMPasswordHash | La méthode d’authentification est LMPasswordHash. |
| 8 | ADFSFederatedToken | La méthode d’authentification est ADFSFederatedToken. |
| 9 | EID | La méthode d’authentification est EID. |
| 10 | DeviceID | La méthode d’authentification est DeviceID. |
| 11 | MD5 | La méthode d’authentification est MD5. |
| 12 | EncProxyPasswordHash | La méthode d’authentification est EncProxyPasswordHash. |
| 13 | LWAFederation | La méthode d’authentification est LWAFederation. |
| 14 | Sha1HashedPassword | La méthode d’authentification est Sha1HashedPassword. |
| 15 | SecurePin | La méthode d’authentification est un code confidentiel sécurisé. |
| 16 | SecurePinReset | La méthode d’authentification est une réinitialisation de code confidentiel sécurisé. |
| 17 | SAML20PostSimpleSign | La méthode d’authentification est SAML20PostSimpleSign. |
| 18 | SAML20Post | La méthode d’authentification est SAML20Post. |
| 19 | OneTimeCode | La méthode d’authentification est un code à usage unique. |
Schéma Azure Active Directory
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | Non | Utilisateur ou principal de service ayant exécuté l’action. |
| ActorContextId | Edm.String | Non | GUID de l’organisation à laquelle appartient l’acteur. |
| ActorIpAddress | Edm.String | Non | Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6. |
| InterSystemsId | Edm.String | Non | GUID effectuant le suivi des actions au sein des composants dans le service Office 365. |
| IntraSystemsId | Edm.String | Non | GUID généré par Azure Active Directory pour effectuer le suivi de l’action. |
| SupportTicketId | Edm.String | Non | ID de ticket de prise en charge de client pour l’action dans les situations « agir au nom d’un autre utilisateur ». |
| Target | Collection(Self.IdentityTypeValuePair) | Non | Utilisateur sur lequel a été effectuée l’action (identifiée par la propriété Operation). |
| TargetContextId | Edm.String | Non | GUID de l’organisation à laquelle appartient l’utilisateur ciblé. |
Type complexe IdentityTypeValuePair
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | Valeur de l’identité en fonction du type. |
| Type | Self.IdentityType | Oui | Type de l’identité. |
Énumération : IdentityType - Type : Edm.Int32
IdentityType
| Nom du membre | Description |
|---|---|
| Claim | L’identité est une revendication à des fins d’autorisation. |
| Name | Nom d’affichage de l’identité cible ou de l’acteur de l’action d’audit. |
| Other | L’identité de l’acteur est d’un autre type. Par exemple, ObjectId dans le GUID généré par le service Office 365. |
| PUID | ID unique Passport (PUID) cible ou ID de l’acteur de l’action d’audit. |
| SPN | Identité d’un principal de service si l’action est effectuée par le service Office 365. |
| UPN | Nom d’utilisateur principal. |
Schéma de connexion STS (Secure Token Service) dans Azure Active Directory.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.String | Non | GUID représentant l’application qui demande la connexion. Le nom d’affichage peut être recherché via l’API Graph Azure Active Directory. |
| Client | Edm.String | Non | Informations sur le périphérique client, fournies par le navigateur exécutant la connexion. |
| DeviceProperties | Collection(Common.NameValuePair) | Non | Cette propriété inclut plusieurs détails sur d’appareil, notamment l’id, le nom d'affichage, le système d’exploitation, le navigateur, IsCompliant, IsCompcompntAndManaged, SessionId, et DeviceTrustType. La propriété DeviceTrustType peut avoir ces valeurs : 0 - Microsoft Entra inscrit 1 - Microsoft Entra joint 2 - Joint Microsoft Entra hybride |
| ErrorCode | Edm.String | Non | Pour les échecs de connexion (où la valeur de la propriété de l’opération est UserLoginFailed), cette propriété contient le code d’erreur Azure Active Directory STS (AADSTS). Pour obtenir les descriptions de ces codes d’erreur, consultez Codes d’erreur d’authentification et d’autorisation. Une valeur de 0 indique connexion réussie. |
| LogonError | Edm.String | Non | Pour les échecs de connexion, cette propriété contient une description de la raison de l’échec de la connexion lisible par l’utilisateur. |
Schéma DLP
Les événements DLP sont disponibles pour Exchange Online, Endpoint(devices) et SharePoint Online et OneDrive Entreprise. Les événements DLP dans Exchange sont disponibles uniquement pour les événements reposant sur la stratégie DLP unifiée (par exemple, configuration via le Centre de sécurité et de conformité). Les événements DLP reposant sur les règles de transport Exchange ne sont pas pris en charge.
Les événements DLP (prévention contre la perte de données) ont toujours UserKey="DlpAgent" dans le schéma commun. Il existe trois types d’événements DLP qui sont stockés en tant que valeur de la propriété Operation du schéma commun :
DlpRuleMatch : indique qu’une règle a été satisfaite. Ces événements existent dans tous les systèmes Exchange, Endpoint(devices) et SharePoint Online et OneDrive Entreprise. Pour Exchange, cela inclut les informations de remplacement et sur les faux positifs. Pour SharePoint Online et OneDrive Entreprise, les faux positifs et les remplacements génèrent des événements distincts.
DlpRuleUndo : ces événements existent uniquement dans SharePoint Online et OneDrive Entreprise. Ils indiquent qu’une action de stratégie précédemment appliquée a été « annulée » en raison de la désignation d’un faux positif/remplacement par l’utilisateur, ou car le document n’est plus soumis à la stratégie (en raison d’une modification de la stratégie ou du contenu d’un document).
DlpInfo : ces événements existent uniquement dans SharePoint Online et OneDrive Entreprise. Ils indiquent la désignation d’un faux positif, mais aucune action n’a été « annulée ».
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | Non | Décrit les métadonnées relatives au document dans SharePoint ou OneDrive Entreprise contenant les informations sensibles. |
| ExchangeMetaData | Self.ExchangeMetadata | Non | Décrit les métadonnées relatives au message électronique contenant des informations sensibles. |
| EndpointMetaData | Soi-même. EndpointMetadata | Non | Décrit les métadonnées relatives au document dans le point de terminaison qui contenait les informations sensibles |
| ExceptionInfo | Edm.String | Non | Identifie les raisons pour lesquelles une stratégie ne s’applique plus et/ou les informations relatives aux faux positifs et/ou remplacements indiqués par l’utilisateur final. |
| PolicyDetails | Collection(Self.PolicyDetails) | Oui | Informations concernant au moins une stratégie ayant déclenché l’événement DLP. |
| SensitiveInfoDetectionIsIncluded | Boolean | Oui | Indique si l’événement contient la valeur du type de données sensibles et le contexte environnant à partir du contenu source. L’accès aux données sensibles nécessite l’autorisation d’accès en lecture aux événements de stratégie DLP incluant des informations sensibles dans Azure Active Directory. |
Type complexe SharePointMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| From | Edm.String | Oui | Utilisateur ayant déclenché l’événement. Valeurs possibles : FileOwner, LastModifier ou LastSharer. |
| itemCreationTime | Edm.Date | Oui | Datetimestamp à l’heure UTC du moment de la journalisation de l’événement. |
| SiteCollectionGuid | Edm.Guid | Oui | GUID de la collection de sites. |
| SiteCollectionUrl | Edm.String | Oui | Nom du site SharePoint. |
| FileName | Edm.String | Oui | Nom du chemin d’accès. |
| FileOwner | Edm.String | Oui | Propriétaire du document. |
| FilePathUrl | Edm.String | Oui | URL du document. |
| DocumentLastModifier | Edm.String | Oui | Identité de l’utilisateur qui a modifié le document en dernier. |
| DocumentSharer | Edm.String | Oui | Identité de l’utilisateur qui a modifié le partage en dernier. |
| UniqueID | Edm.String | Oui | GUID qui identifie un fichier. |
| LastModifiedTime | Edm.DateTime | Oui | Horodatage à l’heure UTC du moment de la dernière modification du document. |
| IsViewableByExternalUsers | Edm.Boolean | Oui | Détermine si le fichier est accessible à tout utilisateur externe. |
Type complexe ExchangeMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MessageID | Edm.String | Oui | ID du message électronique ayant déclenché l’événement. |
| From | Edm.String | Oui | L’utilisateur qui a envoyé le message électronique. |
| À | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne À du message. |
| Cc | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne Cc du message. |
| Cci | Collection(Edm.String) | Non | Collection d’adresses de messagerie qui se trouvaient sur la ligne Cci du message. |
| Subject | Edm.String | Oui | Objet du message électronique. |
| Sent | Edm.DateTime | Oui | Heure UTC de l’envoi du message électronique. |
| RecipientCount | Edm.Int32 | Oui | Nombre total de tous les destinataires sur les lignes À, Cc et Cci du message. |
Type complexe EndpointMetadata
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Non | Informations sur le type d’informations sensibles détecté. |
| EnforcementMode | Edm.String | Oui | Indiquez si la règle DLP est définie sur 1/2/3/4 représentant respectivement audit/warn(block with override)/block/allow(audit without alerts). |
| FileExtension | Edm.String | Non | Extension de fichier du document qui contenait les informations sensibles. |
| FileType | Edm.String | Non | Type de fichier du document qui contient les informations sensibles. |
| DeviceName | Edm.String | Non | Nom de l’appareil sur lequel la correspondance de règle DLP a été détectée. |
Type complexe PolicyDetails
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| PolicyId | Edm.Guid | Oui | GUID de la stratégie DLP pour cet événement. |
| PolicyName | Edm.String | Oui | Nom convivial de la stratégie DLP pour cet événement. |
| Rules | Collection(Self.Rules) | Oui | Informations sur les règles dans la stratégie qui ont été satisfaites pour cet événement. |
Type complexe Rules
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RuleId | Edm.Guid | Oui | GUID de la règle DLP pour cet événement. |
| RuleName | Edm.String | Oui | Nom convivial de la règle DLP pour cet événement. |
| Actions | Collection(Edm.String) | Non | Liste des actions entreprises suite à un événement DLP RuleMatch. |
| OverriddenActions | Collection(Edm.String) | Non | Liste des actions entreprises précédemment qui ont été annulées suite à un événement DLPRuleUndo. |
| Severity | Edm.String | Non | Gravité (élevée, moyenne et faible) de la correspondance de règle. |
| RuleMode | Edm.String | Oui | Indiquez si la règle DLP a été définie sur Appliquer, Audit avec notification ou Audit uniquement. |
| ConditionsMatched | Self.ConditionsMatched | Non | Informations sur les conditions de la règle qui ont été satisfaites pour cet événement. |
Type complexe ConditionsMatched
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | Non | Informations sur le type d’informations sensibles détecté. |
| DocumentProperties | Collection(NameValuePair) | Non | Informations sur les propriétés du document qui a déclenché une correspondance de règle. |
| OtherConditions | Collection(NameValuePair) | Non | Liste des paires clé/valeur décrivant les autres conditions qui ont été satisfaites. |
Type complexe SensitiveInformation
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Confidence | Edm.Int | Oui | L’indice de confiance agrégée de toutes les correspondances de motifs pour ce type d’informations sensibles. |
| Count | Edm.Int | Oui | Total d’instances sensibles détectées. |
| Emplacement | Edm.String | Non | |
| SensitiveType | Edm.Guid | Oui | GUID qui identifie le type de données sensibles détecté. |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | Non | Tableau d’objets contenant des informations sensibles avec les détails suivants : valeur de correspondance et contexte de la valeur de correspondance. |
| SensitiveInformationDetailedClassificationAttributes | Collection(SensitiveInformationDetailedConfidenceLevelResult) | Oui | Informations sur le compte relatif au type d’informations sensibles détectées pour chacun des trois niveaux de confiance (élevé, moyen et bas), et s’il correspond à la règle de protection contre la perte de données ou non. |
| SensitiveInformationTypeName | Edm.String | Non | Nom du type d’informations sensibles. |
| UniqueCount | Edm.Int32 | Oui | Compte unique d’instances sensibles détectées. |
Type complexe SensitiveInformationDetailedClassificationAttributes
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Confidence | Edm.int32 | Oui | Le niveau de confiance du motif détecté. |
| Compte | Edm.Int32 | Oui | Le nombre d’instances sensibles détectées pour un niveau de confiance en particulier. |
| IsMatch | Edm.Boolean | Oui | Indique si le compte donné et le niveau de confiance du type d’informations sensibles détectées correspondent à une règle de protection contre la perte de données. |
Type complexe SensitiveInformationDetections
Les données sensibles DLP sont disponibles uniquement dans l’API de flux d’activité pour les utilisateurs qui ont reçu l’autorisation d’accès en lecture des données sensibles DLP.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | Oui | Tableau d’informations sensibles détecté. Les informations contiennent des paires clé-valeur avec Valeur = valeur correspondante (par exemple, Valeur de crédit carte) et Contexte = extrait du contenu source qui contient la valeur correspondante. |
| ResultsTruncated | Edm.Boolean | Oui | Indique si les journaux ont été tronqués en raison du nombre élevé de résultats. |
Type complexe ExceptionInfo
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Reason | Edm.String | Non | Pour un événement DLPRuleUndo, ce paramètre indique pourquoi la règle ne plus s’applique plus, ce qui peut être l’une de ces 3 raisons : remplacement, modification du document ou modification de la stratégie. |
| FalsePositive | Edm.Boolean | Non | Indique si l’utilisateur a désigné cet événement comme un faux positif. |
| Justification | Edm.String | Non | Si l’utilisateur a choisi de remplacer la stratégie, toute justification spécifiée par l’utilisateur est capturée ici. |
| Rules | Collection(Edm.Guid) | Non | Ensemble de GUID pour chaque règle désignée comme un faux positif ou un remplacement, ou pour laquelle une action a été annulée. |
Schéma du Centre de sécurité et conformité
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| StartTime | Edm.Date | Non | Date et heure auxquelles la cmdlet a été exécutée. |
| ClientRequestId | Edm.String | Non | GUID pouvant être utilisé pour corréler cette cmdlet avec les opérations d’expérience utilisateur du Centre de sécurité et conformité. Ces informations sont utilisées uniquement par le support technique Microsoft. |
| CmdletVersion | Edm.String | Non | Version de build de la cmdlet lorsqu’elle a été exécutée. |
| EffectiveOrganization | Edm.String | Non | GUID de l’organisation affecté par la cmdlet. (Déconseillé : ce paramètre cessera d’apparaître à l’avenir.) |
| UserServicePlan | Edm.String | Non | Plan de service Exchange Online Protection affecté à l’utilisateur qui a exécuté la cmdlet. |
| ClientApplication | Edm.String | Non | Si l'applet de commande a été exécutée par une application, contrairement à Powershell à distance, ce champ contient le nom de cette application. |
| Paramètres | Edm.String | Non | Nom et valeur des paramètres qui ont été utilisés avec la cmdlet qui n’incluent pas d’informations d’identification personnelle. |
| NonPiiParameters | Edm.String | Non | Nom et valeur des paramètres qui ont été utilisés avec la cmdlet qui incluent des informations d’identification personnelle. (Déconseillé : ce champ cessera d’apparaître à l’avenir et son contenu sera fusionné avec le champ Paramètres.) |
Schéma d’alertes de sécurité et conformité
Les signaux d’alerte sont les suivants :
- toutes les alertes générées en fonction des stratégies d’alerte dans le Centre de sécurité et de conformité ;
- les alertes liées à Office 365 générées dans Sécurité des applications cloud Office 365 et Microsoft Cloud App Security.
Les paramètres UserId et UserKey de ces événements sont toujours des alertes SecurityComplianceAlerts. Il existe trois types d’événements d’alerte qui sont stockés en tant que valeur de la propriété Operation du schéma commun :
AlertTriggered : une nouvelle alerte est générée en raison d’une correspondance de stratégie.
AlertEntityGenerated : une nouvelle entité est ajoutée à une alerte. Cet événement s’applique uniquement aux alertes générées en fonction des stratégies d’alerte dans le Centre de sécurité et conformité . Chaque alerte générée peut être associée à un ou à plusieurs de ces événements. Par exemple, une stratégie d’alerte est définie pour déclencher une alerte si un utilisateur supprime plus de 100 fichiers en 5 minutes. Si deux utilisateurs dépassent le seuil au même moment, il existera deux événements AlertEntityGenerated, mais un seul événement AlertTriggered.
AlertUpdated : une mise à jour a été apportée aux métadonnées d’une alerte. Cet événement est consigné lorsque l’état d’une alerte est modifié (par exemple, de « actif » à « résolu ») et lorsque quelqu’un ajoute un commentaire à l’alerte.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| AlertId | Edm.Guid | Oui | GUID de l’alerte. |
| AlertType | Self.String | Oui | Type de l’alerte. Les types d’alertes sont les suivants :
|
| Name | Edm.String | Oui | Nom de l’alerte. |
| PolicyId | Edm.Guid | Non | GUID de la stratégie qui a déclenché l’alerte. |
| Status | Edm.String | Non | Statut de l’alerte. Les statuts sont les suivants :
|
| Severity | Edm.String | Non | Gravité de l’alerte. Les niveaux de gravité sont les suivants :
|
| Catégorie | Edm.String | Non | Catégorie de l’alerte. Les catégories sont les suivantes :
|
| Source | Edm.String | Non | Source de l’alerte. Les sources sont les suivantes :
|
| Comments | Edm.String | Non | Commentaires laissés par les utilisateurs qui ont vu l’alerte. Il s’agit d’une « nouvelle alerte » par défaut. |
| Data | Edm.String | Non | BLOB des données de détail de l’alerte ou de l’entité de l’alerte. |
| AlertEntityId | Edm.String | Non | Identificateur pour l’entité de l’alerte. Ce paramètre s’applique uniquement aux événements AlertEntityGenerated. |
| EntityType | Edm.String | Non | Type de l’alerte ou de l’entité de l’alerte. Les types d’entités sont les suivants :
|
Schéma Yammer
Les événements Yammer répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité utilisent ce schéma.
| Paramètres | Type | Obligatoire | Description |
|---|---|---|---|
| ActorUserId | Edm.String | Non | Adresse électronique de l’utilisateur ayant effectué l’opération. |
| ActorYammerUserId | Edm.Int64 | Non | ID de l’utilisateur ayant effectué l’opération. |
| DataExportType | Edm.String | Non | Renvoie « data » si l’exportation de données inclut des messages, des notes, des fichiers, des rubriques, des utilisateurs et des groupes. Renvoie « user » si exportation de données inclut uniquement des utilisateurs. |
| FileId | Edm.Int64 | Non | ID du fichier dans l’opération. |
| FileName | Edm.String | Non | Nom du fichier dans l’opération. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération. |
| GroupName | Edm.String | Non | Nom du groupe dans l’opération. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération. |
| IsSoftDelete | Edm.Boolean | Non | Renvoie « true » si la stratégie de rétention des données du réseau est définie sur Suppression réversible. Renvoie « false » si la stratégie de rétention des données du réseau est définie sur Suppression définitive. |
| MessageId | Edm.Int64 | Non | ID du message dans l’opération. |
| YammerNetworkId | Edm.Int64 | Non | ID réseau de l’utilisateur ayant effectué l’opération. |
| TargetUserId | Edm.String | Non | Adresse électronique de l’utilisateur cible dans l’opération. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération. |
| TargetYammerUserId | Edm.Int64 | Non | ID de l’utilisateur cible dans l’opération. |
| VersionId | Edm.Int64 | Non | ID de version du fichier dans l’opération. |
Schéma de base de sécurité du centre de données
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | Oui | Le type d’événement de cmdlet dans la zone de verrouillage. |
Énumération : DataCenterSecurityEventType - Type : Edm.Int32
DataCenterSecurityEventType
| Nom du membre | Description |
|---|---|
| DataCenterSecurityCmdletAuditEvent | Il s’agit de la valeur enum pour l’événement de type d’audit de la cmdlet. |
Schéma de cmdlet de sécurité du centre de données
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| StartTime | Edm.Date | Oui | Heure de début de l’exécution de la cmdlet. |
| EffectiveOrganization | Edm.String | Oui | Nom du client sur lequel l’élévation/la cmdlet a été ciblée. |
| ElevationTime | Edm.Date | Oui | Heure de début de l’élévation. |
| ElevationApprover | Edm.String | Oui | Nom d’un responsable Microsoft. |
| ElevationApprovedTime | Edm.Date | Non | Horodatage du moment où l’élévation a été approuvée. |
| ElevationRequestId | Edm.Guid | Oui | Identificateur unique pour la demande d’élévation. |
| ElevationRole | Edm.String | Non | Rôle pour lequel l’élévation a été demandée. |
| ElevationDuration | Edm.Int32 | Oui | Durée pendant laquelle l’élévation était active. |
| GenericInfo | Edm.String | Non | Utilisé pour les commentaires et d’autres informations génériques. |
Schéma Microsoft Teams
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Action | Edm.String | Non | Pour les événements de canal partagé, l’action effectuée par l’invité ou le propriétaire du canal pour un partage avec invitation d’équipe. |
| AddOnGuid | Edm.Guid | Non | Identificateur unique du complément ayant généré l’événement. |
| AddOnName | Edm.String | Non | Nom du complément ayant généré l’événement. |
| AddOnType | Self.AddOnType | Non | Type de complément ayant généré cet événement. |
| ChannelGuid | Edm.Guid | Non | Identificateur unique pour le canal audité. |
| ChannelName | Edm.String | Non | Nom du canal audité. |
| ChannelType | Edm.String | Non | Type de canal audité (standard/privé). |
| ExtraProperties | Collection(Self.KeyValuePair) | Non | Liste de propriétés supplémentaires. |
| HostedContents | Collection(Self.HostedContent) | Non | Une collection de contenus hébergés de messages de conversation ou de canaux. |
| Invité(e) | Edm.String | Non | Pour les événements de canal partagé, l’UPN du propriétaire de l’équipe invitée qui accepte ou refuse l’invitation pour un partage avec l’invitation d’équipe. |
| Members | Collection(Self.MicrosoftTeamsMember) | Non | Liste des utilisateurs dans une équipe. |
| MessageId | Edm.String | Non | Identificateur pour un message de conversation ou de canal. |
| MessageURLs | Edm.String | Non | Présenter pour les URLs envoyées dans les messages Teams. |
| Messages | Collection(Self.Message) | Non | Une collection de messages de conversation ou de canaux. |
| MessageSizeInBytes | Edm.Int64 | Non | Taille d’un message de conversation ou de canal en octets avec encodage UTF-16. |
| Nom | Edm.String | Non | Uniquement présent pour les événements de paramètres. Nom du paramètre modifié. |
| NewValue | Edm.String | Non | Uniquement présent pour les événements de paramètres. Nouvelle valeur du paramètre. |
| OldValue | Edm.String | Non | Uniquement présent pour les événements de paramètres. Ancienne valeur du paramètre. |
| SubscriptionId | Edm.String | Non | Identificateur unique d’un abonnement aux notifications de modification Microsoft Graph. |
| TabType | Edm.String | Non | Uniquement présent pour les événements de tabulation. Type de l’onglet ayant généré l’événement. |
| TeamGuid | Edm.Guid | Non | Identificateur unique de l’équipe auditée. |
| TeamName | Edm.String | Non | Nom de l’équipe auditée. |
Type complexe MicrosoftTeamsMember
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| UPN | Edm.String | Non | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| Role | Self.MemberRoleType | Non | Rôle de l’utilisateur au sein de l’équipe. |
| DisplayName | Edm.String | Non | Nom d’affichage de l’utilisateur. |
Énumération : MemberRoleType - Type : Edm.Int32
MemberRoleType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Member | Utilisateur membre de l’équipe. |
| 1 | Owner | Utilisateur propriétaire de l’équipe. |
| 2 | Guest | Utilisateur qui n’est pas membre de l’équipe. |
Type complexe KeyValuePair
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Clé | Edm.String | Non | Clé de la paire clé/valeur. |
| Valeur | Edm.String | Non | Valeur de la paire clé-valeur. |
Énumération : AddOnType - Type : Edm.Int32
AddOnType
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Bot | Bot Microsoft Teams. |
| 2 | Connector | Connecteur Microsoft Teams. |
| 3 | Tab | Onglet Microsoft Teams. |
Type complexe HostedContent
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ID | Edm.String | Oui | Identificateur unique du contenu hébergé du message. |
| SizeInBytes | Edm.Int64 | Non | Taille du contenu hébergé du message en octets. |
Type complexe de message
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AADGroupId | Edm.String | Non | Identificateur unique du groupe dans Azure Active Directory auquel appartient le message. |
| ID | Edm.String | Oui | Identificateur unique du message de conversation ou de canal. |
| ChannelGuid | Edm.String | Non | Identificateur unique du canal auquel appartient le message. |
| ChannelName | Edm.String | Non | Nom du canal auquel appartient le message. |
| ChannelType | Edm.String | Non | Type du canal auquel appartient le message. |
| ChatName | Edm.String | Non | Nom de la conversation à laquelle appartient le message. |
| ChatThreadId | Edm.String | Non | Identificateur unique de la conversation à laquelle appartient le message. |
| ParentMessageId | Edm.String | Non | Identificateur unique du message de conversation ou de canal parent. |
| SizeInBytes | Edm.Int64 | Non | Taille du message en octets avec encodage UTF-16. |
| TeamGuid | Edm.String | Non | Identificateur unique de l’équipe à laquelle appartient le message. |
| TeamName | Edm.String | Non | Nom de l’équipe à laquelle appartient le message. |
| Version | Edm.String | Non | Version du message de conversation ou de canal. |
Microsoft Defender pour Office 365 et le schéma d’investigation et de réponse aux menaces
Microsoft Defender pour Office 365 et des événements d’investigation et de réponse aux menaces sont disponibles pour les clients Office 365 disposant d’un abonnement pour Microsoft Defender pour Office 365 Plan 1, Microsoft Defender pour Office 365 Plan 2 ou E5. Chaque événement dans le flux Microsoft Defender pour Office 365 correspond aux informations suivantes qui ont été considérées comme présentant une menace :
Un message électronique envoyé ou reçu par un utilisateur dans l’organisation avec détections sur des messages au moment de la remise et à partir de la purge automatique heure zéro.
Les URL sur lesquelles un utilisateur a cliqué dans l’organisation qui ont été détectées comme malveillantes au moment du clic conformément à la protection liée aux Liens approuvés dans Microsoft Defender pour Office 365.
Un fichier dans SharePoint Online, OneDrive Entreprise ou Microsoft Teams qui a été détecté comme étant malveillant par la protection Microsoft Defender pour Office 365.
Alerte déclenchée qui a lancé une investigation automatisée.
Remarque
Les fonctionnalités Microsoft Defender pour Office 365 et Investigation et réponse aux menaces Office 365 (anciennement appelées « Office 365 Threat Intelligence ») sont désormais incluses dans Microsoft Defender pour Office 365 Plan 2, avec des fonctionnalités supplémentaires de protection contre les menaces. Pour plus d’informations, consultez les Offres et tarifs Microsoft Defender pour Office 365 et la Description du service Microsoft Defender pour Office 365.
Événements de message électronique
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | Non | Données sur les pièces jointes dans le message électronique ayant déclenché l’événement. |
| DetectionType | Edm.String | Oui | Le type de détection (par exemple, En ligne | détection au moment de la remise ; Différée | détection après remise ; ZAP | messages supprimés par purge automatique heure Zero). Les événements avec le type de détection ZAP sont généralement précédés d’un message avec le type de détection Différé. |
| DetectionMethod | Edm.String | Oui | Méthode ou technologie utilisée par Microsoft Defender pour Office 365 pour la détection. |
| InternetMessageId | Edm.String | Oui | ID de message Internet. |
| NetworkMessageId | Edm.String | Oui | ID de message réseau Exchange Online. |
| P1Sender | Edm.String | Oui | Chemin de retour de l’expéditeur du message électronique. |
| P2Sender | Edm.String | Oui | Expéditeur du message électronique. |
| Stratégie | Self.Policy | Oui | Type de stratégie de filtrage (par exemple, anti-courrier indésirable ou anti-hameçonnage) et type d'action associé (par exemple, courrier indésirable à niveau de confiance élevé, courrier indésirable ouhameçonnage) pertinents pour le message électronique. |
| Stratégie | Self.PolicyAction | Oui | L’action configurée dans la stratégie de filtrage (par exemple, Déplacer vers le dossier courrier indésirable ou Mise en quarantaine) pertinente pour le message électronique. |
| P2Sender | Edm.String | Oui | L’expéditeur De : du message électronique. |
| Recipients | Collection(Edm.String) | Oui | Tableau des destinataires du message électronique. |
| SenderIp | Edm.String | Oui | Adresse IP ayant envoyé le message électronique d’Office 365. L’adresse IP apparaît au format IPv4 ou IPv6. |
| Subject | Edm.String | Oui | Ligne d’objet du message. |
| Verdict | Edm.String | Oui | Verdict du message. |
| MessageTime | Edm.Date | Oui | Date et l’heure en temps universel coordonné (UTC) de réception ou d’envoi du courrier électronique. |
| EventDeepLink | Edm.String | Oui | Lien profond vers l’événement de courrier électronique dans l’Explorateur ou rapports en temps réel dans le centre de conformité et sécurité Office 365. |
| Action de remise | Edm.String | Oui | Action de remise d’origine sur le courrier électronique. |
| Emplacement de la remise d’origine | Edm.String | Oui | Emplacement de remise d’origine du courrier électronique. |
| Dernier emplacement de remise | Edm.String | Oui | Dernier emplacement de remise du courrier électronique au moment de l’événement. |
| Orientation | Edm.String | Oui | Identifie si un message électronique a été entrant, sortant ou intra-organisation. |
| ThreatsAndDetectionTech | Edm.String | Oui | Les menaces et les technologies de détection correspondantes. Ce champ expose toutes les menaces qui s’y rapportent sur un courrier électronique, notamment le dernier ajout de courrier indésirable. Par exemple, ["Phish: [Spoof DMARC] »,"Spam: [URL de réputation malveillante]"]. Les différentes menaces et technologies de détection sont décrites ci-dessous. |
| AdditionalActionsAndResults | Collection(Edm.String) | Non | Actions supplémentaires effectuées sur l’e-mail, telles que ZAP ou correction manuelle. Inclut également les résultats correspondants. |
| Connecteurs | Edm.String | Non | Noms et GUID des connecteurs associés à l’e-mail. |
| AuthDetails | Collection(Self.AuthDetails) | Non | Vérifications d’authentification effectuées pour l’e-mail. Inclut également les valeurs pour SPF, DKIM, DMARC et CompAuth. |
| SystemOverrides | Collection(Self.SystemOverrides) | Non | Remplacements applicables à l’e-mail. Il peut s’agir de remplacements système ou utilisateur. |
| Niveau de confiance des hameçonnages | Edm.String | Non | Indique le niveau de confiance associé au verdict d’hameçonnage. Il peut être normal ou élevé. |
Remarque
Nous vous recommandons d'utiliser le nouveau champ ThreatsAndDetectionTech car il indique les verdicts multiples et les technologies de détection mises à jour. Ce champ s’aligne également sur les valeurs qui s’offrent à vous au sein d’autres expériences telles que l’Explorateur de menaces et le repérage avancé.
Technologies de détection
| Nom | Description |
|---|---|
| Filtre avancé | Signaux de hameçonnage basés sur l’apprentissage automatique. |
| Moteur anti-programme malveillant | Détection à partir de moteurs anti-programme malveillant. |
| Campagne | Messages identifiés dans le cadre d’une campagne. |
| Réputation du domaine | Analyse basée sur la réputation du domaine. |
| Détonation de fichier | Les fichiers joints se sont avérés mauvais pendant l'analyse des détonations. |
| Réputation de détonation de fichier | Fichier joint marqué comme mauvais en raison de la réputation de détonation précédente. |
| Réputation des fichiers | Fichiers joints marqués comme mauvais en raison de leur mauvaise réputation. |
| Correspondance de l’empreinte | Le message a été marqué comme mauvais en raison de messages précédents. |
| Filtre général | Signaux de hameçonnage basés sur des règles. |
| Marque d’emprunt d’identité | Type de fichier de la pièce jointe. |
| Domaine d’emprunt d’identité | Emprunt d’identité des domaines qui sont la propriété ou la définition du client. |
| Utilisateur emprunt d’identité | Usurpation d'identité des utilisateurs définis par l'administrateur ou appris par la veille des boîtes aux lettres. |
| Emprunt d’identité sur la veille des boîtes aux lettre | Emprunt d’identité basé sur la veille des boîtes aux lettres. |
| Détection d’analyse mixte | Plusieurs filtres ont été facteurs dans la recherche de ce message. |
| Usurper une identité DMARC | Échec de l’authentification DMARC pour les messages. |
| Usurpation d’un domaine externe | L’expéditeur tente d’usurper un autre domaine. |
| Usurpation d’organisation intra-organisation | L’expéditeur tente d’usurper le domaine du destinataire. |
| Détonation d’URL | Le message a été considéré comme mauvais en raison d’une détonation d’URL malveillante précédente. |
| Réputation de détonation d’URL | Le message a été considéré comme mauvais en raison d’une détonation d’URL malveillante. |
| Réputation d’URL malveillante | Le message a été considéré comme mauvais en raison d’une URL malveillante. |
Type complexe AttachmentData
AttachmentData
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileName | Edm.String | Oui | Nom de fichier de la pièce jointe. |
| FileType | Edm.String | Oui | Type de fichier de la pièce jointe. |
| FileVerdict | Self.FileVerdict | Oui | Verdict de programme malveillant dans le fichier. |
| MalwareFamily | Edm.String | Non | Famille de programme malveillant de fichier. |
| SHA256 | Edm.String | Oui | Hachage SHA256 du fichier. |
Remarque
Dans la famille de programmes malveillants, vous serez en mesure de voir le nom exact de MalwareFamily (par exemple, HTML/Phish.VS ! MSR) ou charge utile malveillante sous forme de chaîne statique. Une charge utile malveillante doit toujours être traitée comme un courriel malveillant lorsqu'un nom spécifique n'est pas identifié.
Type complexe SystemOverrides
SystemOverrides
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Détails | Edm.String | Non | Détails sur le remplacement spécifique (tel que l’ETR ou l’expéditeur approuvé) qui a été appliqué. |
| FinalOverride | Edm.String | Non | Indique le remplacement qui a impacté la remise dans le cas de plusieurs remplacements. |
| Résultat | Edm.String | Non | Indique si l’e-mail a été défini sur autorisé ou bloqué en fonction du remplacement. |
| Source | Edm.String | Non | Indique si le remplacement a été configuré par l’utilisateur ou configuré par le client. |
Type complexe AuthDetails
AuthDetails
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Nom | Edm.String | Non | Nom de la vérification d’authentification spécifique, telle que DKIM ou DMARC. |
| Valeur | Edm.String | Non | Valeur associée à la vérification d’authentification spécifique, telle que True ou False. |
Énumération : FileVerdict - Type : Edm.Int32
FileVerdict
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Good | Aucune menace détectée. |
| 1 | Bad | Programme malveillant détecté dans la pièce jointe. |
| -1 | Error | Erreur d’analyse. |
| -2 | Timeout | Expiration de l’analyse. |
| -3 | Pending | Analyse non terminée. |
Énumération : Stratégie – Type : Edm.Int32
Type de stratégie et type d’action
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Anti-courrier indésirable, HSPM | Action contre le courrier indésirable à niveau de confiance élevé (HSPM) dans la stratégie anti-courrier indésirable. |
| 2 | Anti-courrier indésirable, SPM | Action contre le courrier indésirable (SPM) dans la stratégie anti-courrier indésirable. |
| 3 | Anti-courrier indésirable, Bloc | Action en bloc dans la stratégie anti-courrier indésirable. |
| 4 | Anti-courrier indésirable, PHSH | Action contre l’hameçonnage dans la stratégie anti-courrier indésirable. |
| 5 | Anti-hameçonnage, DIMP | Action contre l’emprunt d’identité de domaine (DIMP) dans la stratégie anti-hameçonnage. |
| 6 | Anti-hameçonnage, UIMP | Action contre l’emprunt d’identité de l’utilisateur (UIMP) dans la stratégie anti-hameçonnage. |
| 7 | Anti-hameçonnage, SPOOF | Action contre l’usurpation dans la stratégie anti-hameçonnage. |
| 8 | Anti-hameçonnage, GIMP | Action de veille sur les boîtes aux lettres dans le cadre de la stratégie anti-hameçonnage. |
| 9 | Anti-programme malveillant, AMP | Action de stratégie de anti-programme malveillant dans la stratégie anti-programme malveillant. |
| 10 | Pièce jointe fiable, SAP | Action de stratégie dans la stratégie des Pièces jointes approuvées Microsoft Defender pour Office 365. |
| 11 | Règle de transport Exchange, ETR | Action de stratégie dans la règle de transport Exchange. |
| 12 | Anti-programme malveillant, ZAPM | Action de stratégie anti-programme malveillant dans la stratégie anti-programme malveillant appliquée à la purge automatique zéro heure (ZAP). |
| 13 | Anti-hameçonnage, PAZH | Action de stratégie anti-hameçonnage dans la stratégie anti-hameçonnage appliquée à la PAZH. |
| 14 | Anti-hameçonnage, PAZH | Action de stratégie anti-courrier indésirable dans la stratégie anti-courrier indésirable appliquée à la PAZH. |
| 15 | Anti-courrier indésirable, e-mail de hameçonnage haute confiance (HPHISH) | Action de stratégie HPHISH dans le cadre de la stratégie anti-courrier indésirable. |
| 17 | Anti-courrier indésirable, courrier indésirable sortant (OSPM) | Action de stratégie de filtrage du courrier indésirable sortant dans le cadre de la stratégie anti-courrier indésirable. |
Énumération : PolicyAction – Type : Edm.Int32
Action de stratégie
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | MoveToJMF | L’action de stratégie consiste à déplacer vers le dossier courrier indésirable. |
| 1 | AddXHeader | L’action de stratégie consiste à ajouter un en-tête X au message électronique. |
| 2 | ModifySubject | L’action de stratégie consiste à modifier l’objet du message électronique avec les informations spécifiées par la stratégie de filtrage. |
| 3 | Rediriger | L’action de stratégie consiste à rediriger le courrier électronique vers une adresse de messagerie spécifique de la stratégie de filtrage. |
| 4 | Supprimer | L’action de stratégie consiste à supprimer (abandonner) le message électronique. |
| 5 | Quarantaine | L’action de stratégie consiste à mettre en quarantaine le message électronique. |
| 6 | NoAction | La stratégie est configurée de manière à ne prendre aucune mesure sur le message électronique. |
| 7 | BccMessage | L’action de stratégie consiste à mettre le message électronique en copie carbone invisible à l'adresse électronique spécifiée par la politique de filtrage. |
| 8 | ReplaceAttachment | L’action de stratégie consiste à remplacer la pièce jointe à l’e-mail comme spécifié par la stratégie de filtrage. |
Événements d’heure de clic d’URL
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| UserId | Edm.String | Oui | Identificateur (par exemple, une adresse électronique) de l’utilisateur qui a cliqué sur l’URL. |
| AppName | Edm.String | Oui | Service Office 365 à partir duquel un utilisateur a cliqué sur l’URL (par exemple, Courrier Outlook). |
| URLClickAction | Self.URLClickAction | Oui | Cliquez sur action pour l’URL en fonction des stratégies de l’organisation pour les Liens approuvés dans Microsoft Defender pour Office 365. |
| SourceId | Edm.String | Oui | Identificateur du service Office 365 à partir duquel un utilisateur a cliqué sur l’URL (par exemple, pour la messagerie, il s’agit de l’ID de message réseau Exchange Online). |
| TimeOfClick | Edm.Date | Oui | Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a cliqué sur l’URL. |
| URL | Edm.String | Oui | URL sur laquelle l’utilisateur a cliqué. |
| UserIp | Edm.String | Oui | Adresse IP de l’utilisateur qui a cliqué sur l’URL. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
Enum : URLClickAction ; Type : Edm.Int32
URLClickAction
| Valeur | Nom du membre | Description |
|---|---|---|
| 2 | Blockpage | Utilisateur est bloqué et ne peut pas accéder à l’URL par les Liens approuvés dans Microsoft Defender pour Office 365. |
| 3 | PendingDetonationPage | La page de détonation en attente est affichée pour l’utilisateur par les Liens approuvés dans Microsoft Defender pour Office 365. |
| 4 | BlockPageOverride | L’utilisateur est bloqué et ne peut pas accéder à l’URL par les Liens approuvés dans Microsoft Defender pour Office 365 ; cependant, l'utilisateur a ignoré le blocage pour accéder à l’URL. |
| 5 | PendingDetonationPageOverride | La page détonation a été affichée pour l’utilisateur par les Liens approuvés dans Microsoft Defender pour Office 365 ; cependant, l'utilisateur a ignoré le blocage pour accéder à l’URL. |
Événements de fichier
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileData | Self.FileData | Oui | Données sur le fichier ayant déclenché l’événement. |
| SourceWorkload | Self.SourceWorkload | Oui | Charge de travail ou service dans lequel le fichier a été trouvé (par exemple, SharePoint Online, OneDrive Entreprise ou Microsoft Teams) |
| DetectionMethod | Edm.String | Oui | Méthode ou technologie utilisée par Microsoft Defender pour Office 365 pour la détection. |
| LastModifiedDate | Edm.Date | Oui | Date et heure à l’heure UTC (temps universel coordonné) e création ou de dernière modification du fichier. |
| LastModifiedBy | Edm.String | Oui | Identificateur (par exemple, une adresse de messagerie) de l’utilisateur qui a créé ou modifié en dernier le fichier. |
| EventDeepLink | Edm.String | Oui | Lien profond vers l’événement de ficher dans l’Explorateur ou rapports en temps réel dans le centre de conformité et sécurité. |
Type complexe FileData
FileData
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DocumentId | Edm.String | Oui | Identificateur unique pour le fichier dans SharePoint, OneDrive ou Microsoft Teams. |
| FileName | Edm.String | Oui | Nom du fichier ayant déclenché l’événement. |
| FilePath | Edm.String | Oui | Chemin (emplacement) pour le fichier dans SharePoint, OneDrive ou Microsoft Teams. |
| FileVerdict | Self.FileVerdict | Oui | Verdict de programme malveillant dans le fichier. |
| MalwareFamily | Edm.String | Non | Famille de programme malveillant de fichier. |
| SHA256 | Edm.String | Oui | Hachage SHA256 du fichier. |
| FileSize | Edm.String | Oui | Taille du fichier, en octets. |
Enum : SourceWorkload ; Type : Edm.Int32
SourceWorkload
| Valeur | Nom du membre |
|---|---|
| 0 | SharePoint Online |
| 1 | OneDrive Entreprise |
| 2 | Microsoft Teams |
Schéma d’envoi
Les événements d’Envois sont disponibles pour chaque clients Office 365, car ils sont fournis avec sécurité. Cela inclut les organisations qui utilisent Exchange Online Protection et Microsoft Defender pour Office 365. Chaque événement dans le flux de soumission correspond à des faux positifs ou faux négatifs qui ont été envoyés en tant que :
- Envoi par l’administrateur. Messages, fichiers ou URL envoyés à Microsoft pour analyse.
- Élément signalé par l’utilisateur. Messages signalés par les utilisateurs finaux à l’administrateur ou à Microsoft pour révision.
Événements d’envoi
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | Non | L’envoi de l’administrateur est inscrite et en attente de traitement. |
| AdminSubmissionDeliveryCheck | Edm.String | Non | Le système d’envoi de l’administrateur a vérifié la stratégie de l’e-mail. |
| AdminSubmissionSubmitting | Edm.String | Non | Le système d’envoi de l’administrateur envoie l’e-mail. |
| AdminSubmissionSubmitted | Edm.String | Non | Le système d’envoi de l’administrateur a envoyé l’e-mail. |
| AdminSubmissionTriage | Edm.String | Non | L’envoi de l’administrateur est triée par classeur. |
| AdminSubmissionTimeout | Edm.String | Non | L’envoi de l’administrateur expire sans résultat. |
| UserSubmission | Edm.String | Non | L’envoi a d’abord été signalé par un utilisateur final. |
| UserSubmissionTriage | Edm.String | Non | L’envoi de l’utilisateur est triée par classeur. |
| CustomSubmission | Edm.String | Non | Le message signalé par un utilisateur a été envoyé à la boîte aux lettres personnalisée de l’organisation comme défini dans les paramètres des messages signalés par l’utilisateur. |
| AttackSimUserSubmission | Edm.String | Non | Le message signalé par l’utilisateur était en fait un message d’entraînement de simulation d’hameçonnage. |
| AdminSubmissionTablAllow | Edm.String | Non | Une autorisation a été créée au moment de l’envoi pour prendre immédiatement des mesures sur des messages similaires pendant qu’il est en cours de nouvelle analyse. |
| SubmissionNotification | Edm.String | Non | Les commentaires de l’administrateur sont envoyés à l’utilisateur final. |
Événements d’investigation et de réponse automatisés dans Office 365
Les événements Investigation et réponse automatisées Office 365 (AIR) sont disponibles pour les clients Office 365 disposant d’un abonnement incluant Microsoft Defender pour Office 365 plan 2 ou Office 365 E5. Les événements d’investigation sont enregistrés sur la base d’un changement d’état d’investigation. Par exemple, lorsqu’un administrateur effectue une action qui fait passer l’état d’une investigation d’Actions en attente à Terminé, un événement est consigné.
Pour l’instant, seules les investigations automatiques sont enregistrées. (Les événements pour les investigations générées manuellement seront disponibles prochainement). Les valeurs de statut suivantes sont consignées :
- Investigation commencée
- Aucune menace détectée
- Interrompu par le système
- Action en attente
- Menaces détectées
- Corrigé
- Échec
- Interrompu par une limitation
- Interrompu par l’utilisateur
- En cours d’exécution
Schéma d’investigation principal
| Nom | Type | Description |
|---|---|---|
| InvestigationId | Edm.String | ID d’investigation/GUID |
| InvestigationName | Edm.String | Nom de l’investigation |
| InvestigationType | Edm.String | Type d’investigation. Peut prendre l’une des valeurs suivantes : - Messages signalés par l’utilisateur - Programme malveillant purgé - Hameçonnage purgé - Modification du verdict concernant l’URL (Les investigations manuelles, actuellement indisponibles, le seront bientôt.) |
| LastUpdateTimeUtc | Edm.Date | Heure UTC de la dernière mise à jour pour une investigation |
| StartTimeUtc | Edm.Date | Heure de début d’une investigation |
| État | Edm.String | État d’investigation, d’exécution, d’actions en attente, etc. |
| DeeplinkURL | Edm.String | URL de lien profond vers un examen dans le Centre de sécurité et conformité Office 365 |
| Actions | Collection (Edm.String) | Ensemble d’actions recommandées par une investigation |
| Données | Edm.String | Chaîne de données qui contient des détails supplémentaires sur les entités d’investigation, ainsi que des informations sur les alertes relatives à l’investigation. Les entités sont disponibles dans un nœud séparé dans l’objet BLOB. |
Actions
| Champ | Type | Description |
|---|---|---|
| ID | Edm.String | ID d’action |
| ActionType | Edm.String | Type de l’action (par exemple, mise à jour de courrier électronique) |
| ActionStatus | Edm.String | Les valeurs sont les suivantes : – En attente – En cours d’exécution - En attente de ressources – Terminé – Échec |
| ApprovedBy | Edm.String | Null si approuvée automatiquement; sinon, nom d’utilisateur/ID (prochainement disponible) |
| TimestampUtc | Edm.DateTime | Horodatage de la modification de l’état de l’action |
| ActionId | Edm.String | Identificateur unique de l’action |
| InvestigationId | Edm.String | Identificateur unique de l’examen |
| RelatedAlertIds | Collection(Edm.String) | Alertes liées à une investigation |
| StartTimeUtc | Edm.DateTime | Horodatage de la création d’action |
| EndTimeUtc | Edm.DateTime | Horodatage de la mise à jour de l’état final de l’action |
| Identificateurs de ressources | Edm.String | Correspond à l'identifiant du client Azure Active Directory. |
| Entités | Collection(Edm.String) | Liste d’une ou plusieurs entités affectées par action |
| Identifiants d’alerte associée | Edm.String | Alerte liée à une investigation |
Entités
MailMessage (e-mail)
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "mail-message" |
| Fichiers | Collection (self. file) | Détails sur les fichiers des pièces jointes de ce message |
| Destinataire | Edm.String | Le destinataire de ce message électronique |
| URL | Collection (self. URL) | Les URL contenues dans ce message électronique |
| Expéditeur | Edm.String | Adresse e-mail de l’expéditeur |
| SenderIP | Edm.String | Adresse IP de l’expéditeur |
| ReceivedDate | Edm.DateTime | Date de réception de ce message |
| NetworkMessageId | Edm.Guid | ID de message réseau de ce message électronique |
| InternetMessageId | Edm.String | ID de message internet de ce message électronique |
| Subject | Edm.String | L’objet de ce message électronique |
IP
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "IP" |
| Adresse | Edm.String | Adresse IP sous la forme d’une chaîne, par exemple 127.0.0.1 |
URL
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « URL » |
| Url | Edm.String | URL complète vers laquelle pointe une entité |
Boîte aux lettres (également équivalente à l’utilisateur)
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « boîte aux lettres » |
| MailboxPrimaryAddress | Edm.String | Adresse principale de la boîte aux lettres |
| DisplayName | Edm.String | Nom d’affichage de la boite aux lettres |
| UPN | Edm.String | L’UPN de la boîte aux lettres |
File
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « fichier » |
| Nom | Edm.String | Nom de fichier sans chemin d’accès |
| FileHashes | Collection (Edm.String) | Fichiers à hacher associés au fichier |
FileHash
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | « filehash » |
| Algorithme | Edm.String | Le type d’algorithme de hachage, qui peut être l’une des valeurs suivantes : – Inconnu – MD5 – SHA1 - SHA256 - SHA256AC |
| Valeur | Edm.String | Valeur de hachage |
MailCluster
| Champ | Type | Description |
|---|---|---|
| Type | Edm.String | "MailCluster" Détermine le type d’entité examinée |
| NetworkMessageIds | Collection (Edm.String) | Liste des ID de courrier qui font partie du cluster de courriers |
| CountByDeliveryStatus | Collections (Edm.String) | Nombre de messages électroniques par DeliveryStatus, représentation sous forme de chaîne |
| CountByThreatType | Collections (Edm.String) | Nombre de messages électroniques par ThreatType, représentation sous forme de chaîne |
| Menaces | Collections (Edm.String) | Les menaces relatives aux messages électroniques qui font partie du cluster de courriers. Les menaces incluent des valeurs telles que le hameçonnage et les programmes malveillants. |
| Requête | Edm.String | Requête utilisée pour identifier les messages du cluster de courriers |
| QueryTime | Edm.DateTime | Heure de la requête |
| MailCount | Edm.int | Nombre de messages électroniques qui font partie du cluster de courriers. |
| Source | String | Source du cluster de courriers ; valeur de la source de cluster. |
Schéma des événements d’hygiène
Les événements d’hygiène sont liés à la protection contre le courrier indésirable sortant. Ces événements sont liés aux utilisateurs qui ne sont pas autorisés à envoyer des messages électroniques. Pour plus d’informations, reportez-vous aux rubriques suivantes :
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Audit | Edm.String | Non | Informations système liées à l’événement d’hygiène. |
| Événement | Edm.String | Non | Type d’événement d’hygiène. Les valeurs de ce paramètre sont Répertoriées ou Supprimées. |
| EventId | Edm.Int64 | Non | ID du type d’événement d’hygiène. |
| EventValue | Edm.String | Non | L'utilisateur ayant été impacté. |
| Reason | Edm.String | Non | Détails sur l’événement d’hygiène. |
Schéma Power BI
Les événements Power BI répertoriés dans l’article relatif à la Recherche dans le journal d’audit dans le Centre de sécurité d’Office 365 utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Nom de l’application dans laquelle l’événement s’est produit. |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de bord dans lequel l’événement s’est produit. |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | La classification des données, le cas échéant, pour le tableau de bord dans lequel l’événement s’est produit. |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de l’ensemble de données dans lequel l’événement s’est produit. |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » | Non | Informations d’appartenance au groupe. |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Liste des autorisations pour une application d’organisation (organisation entière, utilisateurs spécifiques ou groupes spécifiques). |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau du rapport dans lequel l’événement s’est produit. |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » | Non | Informations sur la personne à laquelle est envoyée une invitation de partage. |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Informations sur l’état des différents commutateurs au niveau client. |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Le nom du tableau de l’espace de travail dans lequel l’événement s’est produit. |
Type complexe MembershipInformationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Adresse de messagerie du groupe. |
| Statut | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Actuellement non rempli. |
Type complexe SharingInformationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Adresse de messagerie du destinataire de l’invitation de partage. |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | Nom du destinataire de l’invitation de partage. |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | Non | L’autorisation accordée au destinataire. |
Schéma Dynamics 365
Les enregistrements d’audit pour les événements liés aux applications basées sur les modèles dans les événements Dynamics 365 utilisent un schéma d’opérations de base et d’entité. Pour plus d’informations, consultez Activer et utiliser la journalisation des activités.
Schéma de base Dynamics 365
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | Oui | Nom unique de l’organisation. |
| InstanceUrl | Edm.String | Oui | URL vers l’instance. |
| ItemUrl | Edm.String | Non | URL vers l’enregistrement qui émet le journal. |
| ItemType | Edm.String | Non | Le nom de l’entité. |
| UserAgent | Edm.String | Non | Identificateur unique du GUID de l’utilisateur dans l’organisation. |
| Champs | Collection(Common.NameValuePair) | Non | Objet JSON qui contient les paires clé-valeur de propriété qui ont été créées ou mises à jour. |
Schéma d’opération d’entité Dynamics 365
Les événements d’entité provenant d’applications basées sur un modèle dans Dynamics 365 utilisent ce schéma pour créer le schéma de base Dynamics 365. Ce schéma inclut des informations sur l’opération d’entité ayant déclenché l’événement audité.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| EntityId | Edm.Guid | Non | Identificateur unique de l’entité. |
| EntityName | Edm.String | Oui | Nom de l’entité au sein de l’organisation. Les exemples d’entités incluent contact ou authentication. |
| Message | Edm.String | Oui | Ce paramètre contient l’opération effectuée dans en relation avec l’entité. Par exemple, si un contact a été créé, la valeur de la propriété Message est Create et la valeur correspondante de la propriété EntityName est contact. |
| Requête | Edm.String | Non | Paramètres de la requête de filtre utilisés lors de l’exécution de l’opération FetchXML. |
| PrimaryFieldValue | Edm.String | Non | Indique la valeur de l’attribut qui est le champ primaire pour l’entité. |
Schéma Analyse du temps de travail
Les événements Analyse du temps de travail répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| WpaUserRole | Edm.String | Non | Rôle Analyse du temps de travail de l’utilisateur ayant exécuté l’action. |
| ModifiedProperties | Collection (Common.ModifiedProperty) | Non | Cette propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
| OperationDetails | Collection (Common.NameValuePair) | Non | Liste des propriétés étendues pour le paramètre ayant été modifié. Chaque propriété a un nom et une valeur. |
Schéma de la mise en quarantaine
Les événements de mise en quarantaine répertoriés dans l’article Rechercher le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma. Si vous souhaitez en savoir plus sur la mise en quarantaine, consultez l’article Mettre les e-mails en quarantaine dans Office 365.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| RequestType | Self.RequestType | Non | Type de demande de quarantaine exécutée par un utilisateur. |
| RequestSource | Self.RequestSource | Non | La source d’une demande de mise en quarantaine peut provenir du centre de sécurité & conformité (SCC), d’une cmdlet ou d’un URLlink. |
| NetworkMessageId | Edm.String | Non | L’ID de message réseau du message électronique mis en quarantaine. |
| ReleaseTo | Edm.String | Non | Le destinataire du message. |
Enum: RequestType - Type: Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Aperçu | Il s’agit de la demande d’un utilisateur qui permet d’afficher un aperçu de l’e-mail considéré comme dangereux. |
| 1 | Supprimer | Il s’agit de la demande d’un utilisateur qui permet de supprimer l’e-mail considéré comme dangereux. |
| 2 | Débloquer | Il s’agit de la demande d’un utilisateur qui permet de débloquer l’e-mail considéré comme dangereux. |
| 3 | Exporter | Il s’agit de la demande d’un utilisateur qui permet d’exporter l’e-mail considéré comme dangereux. |
| 4 | ViewHeader | Il s’agit de la demande d’un utilisateur qui permet d’afficher l’en-tête de l’e-mail considéré comme dangereux. |
| 5 | Demande de publication | Il s’agit de la demande d’un utilisateur qui permet de débloquer l’e-mail considéré comme dangereux. |
Enum: RequestSource - Type: Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | SCC | Le centre de sécurité et de conformité (SCC) est la source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux. |
| 1 | Cmdlet | Une cmdlet est la source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux. |
| 2 | URLlink | Il s’agit d’une source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux. |
Schéma Microsoft Forms
Les événements Microsoft Forms répertoriés dans l’article relatif à la Recherche dans le journal d’audit du centre de sécurité et conformité Office 365 utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | Oui | Le rôle de l’utilisateur ayant exécuté l’action. Les valeurs de ce paramètre sont Administrateur Propriétaire, Répondant ou Coauteur. |
| SourceApp | Edm.String | Oui | Indique si l’action provient du site Web Forms ou d’une autre application. |
| FormName | Edm.String | Non | Nom du formulaire actuel. |
| FormId | Edm.String | Non | ID du formulaire cible. |
| FormTypes | Collection(Self.FormTypes) | Non | Indique s’il s’agit d’un formulaire, d’un questionnaire ou d’une enquête. |
| ActivityParameters | Edm.String | Non | Chaîne JSON contenant les paramètres d’activité. Pour plus d’informations, voir Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365. |
Enum : FormsUserTypes-type : EDM. Int32
FormsUserTypes
| Valeur | Type d'utilisateur de formulaire | Description |
|---|---|---|
| 0 | Administrateur | Un administrateur ayant accès au formulaire. |
| 1 | Propriétaire | Utilisateur propriétaire du formulaire. |
| 2 | Répondant | Utilisateur ayant soumis une réponse à un formulaire. |
| 3 | Coauteur | Utilisateur ayant utilisé un lien de collaboration fourni par le propriétaire du formulaire pour se connecter et modifier un formulaire. |
Enum: FormTypes-Type: Edm.Int32
FormTypes
| Valeur | Types de formulaires | Description |
|---|---|---|
| 0 | Formulaire | Formulaires créés à l’aide de l’option nouveau formulaire. |
| 1 | Quiz | Questionnaires créés à l’aide de l’option nouveau questionnaire. Un questionnaire est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que des valeurs de points, des notations automatiques et manuelles, ainsi que des commentaires. |
| 2 | Enquête | Enquêtes créées à l’aide de l’option nouveau formulaire. Une enquête est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que l’intégration et la prise en charge de CMS pour les règles de flux. |
Schéma d’étiquette Microsoft Information Protection
Les événements figurant dans le schéma d’étiquette Information Protection Microsoft Purview sont déclenchés lorsque Microsoft 365 détecte un message électronique traité par des agents dans le pipeline de transport auquel une étiquette de confidentialité est appliquée. L’étiquette de confidentialité a peut-être été appliquée de façon manuelle ou automatique ou elle a peut-être été appliquée à l’intérieur ou à l’extérieur du pipeline de transport. Les étiquettes de confidentialité peuvent être automatiquement appliquées aux courriers via l’application automatique des stratégies d’étiquettes.
L’objectif de ce schéma d’audit est de représenter toutes les activités de courrier électronique impliquant des étiquettes de confidentialité. En d’autres termes, une activité d’audit doit être enregistrée pour chaque message envoyé ou provenant des utilisateurs de l’organisation à laquelle une étiquette de confidentialité est appliquée, quel que soit le moment ou le mode d’application de l’étiquette de confidentialité. Pour plus d’informations sur les étiquettes de confidentialité, voir :
En savoir plus sur les étiquettes de niveau de confidentialité
Appliquer automatiquement une étiquette de confidentialité à du contenu
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Expéditeur | Edm.String | Non | L’adresse de messagerie dans le champ De du message électronique. |
| Récepteurs | Collection(Edm.String) | Non | Toutes les adresses de messagerie figurant dans les champs à, CC et CCI de l’e-mail. |
| IitemName | Edm.String | Non | Chaîne dans le champ Objet du message électronique. |
| LabelId | Edm.Guid | Non | GUID de l’étiquette de confidentialité appliquée au message électronique. |
| LabelName | Edm.String | Non | Nom de l’étiquette de confidentialité appliquée au courrier électronique. |
| LabelAction | Edm.String | Non | Les actions spécifiées par l’étiquette de confidentialité qui ont été appliquées au courrier électronique avant que le message ne soit entré dans le pipeline de transport du courrier. |
| LabelAppliedDateTime | Edm.Date | Non | Date d’application de l’étiquette de confidentialité au courrier électronique. |
| ApplicationMode | Edm.String | Non | Indique la manière dont l’étiquette de confidentialité a été appliquée au courrier électronique. La valeur Privilégié indique que l’étiquette a été appliquée manuellement par un utilisateur. La valeur Standard indique que l’étiquette a été appliquée automatiquement par un processus d’étiquetage côté client ou service. |
Schéma des événements du portail des messages chiffrés
Les événements relatifs au schéma du portail de messages chiffrés sont déclenchés lorsque Purview Message Encryption détecte qu’un message électronique chiffré est accessible via le portail par un destinataire externe. Le courrier a peut-être été chiffré manuellement avec une étiquette de confidentialité ou un modèle RMS, ou automatiquement par une règle de transport, une stratégie de protection contre la perte de données ou une stratégie d’étiquetage automatique.
L’objectif de ce schéma d’audit est de représenter la somme de toutes les activités du portail qui impliquent l’accès au courrier chiffré par des destinataires externes. En d’autres termes, il doit y avoir une activité d’audit enregistrée pour un destinataire qui tente de se connecter au portail et toutes les activités liées à l’accès au courrier chiffré. Cela inclut les messages envoyés à ou à partir d’utilisateurs de l’organisation lorsque le courrier a un chiffrement qui lui est appliqué, quel que soit le moment ou la façon dont le chiffrement a été appliqué. Pour plus d’informations, consultez En savoir plus sur les journaux chiffrés du portail des messages.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| MessageId | Edm.String | Non | ID du message. |
| Destinataire | Edm.String | Non | Adresse de courrier du destinataire. |
| Expéditeur | Edm.String | Non | Adresse de messagerie de l'expéditeur. |
| AuthenticationMethod | Self.AuthenticationMethod | Non | Méthode d’authentification lors de l’accès au message, c’est-à-dire mot de passe à usage unique, Yahoo, Gmail, Microsoft. |
| AuthenticationStatus | Self.AuthenticationStatus | Non | 0 – Réussite, 1 – Échec. |
| OperationStatus | Self.OperationStatus | Non | 0 – Réussite, 1 – Échec. |
| AttachmentName | Edm.String | Non | Nom de la pièce jointe. |
| OperationProperties | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires, c’est-à-dire le nombre de codes secrets OTP envoyés, l’objet de l’e-mail, etc. |
Schéma Exchange de conformité aux communications
Les événements de conformité aux communications répertoriés dans le journal d’audit Office 365 utilisent ce schéma. Cela inclut les enregistrements d’audit pour l’opération de SupervisoryReviewOLAudit générés lorsque le contenu d’un courrier électronique contient un langage choquant identifié par des modèles anti-courrier indésirable, avec une précision de correspondance de >= 99,5 %.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | Non | Propriétés du courrier électronique ayant déclenché l’événement SupervisoryReviewOLAudit. |
Enumération : ExchangeDetails - type : ExchangeDetails
ExchangeDetails
| Nom du membre | Type (Type) | Description |
|---|---|---|
| NetworkMessageId | Edm.Guid | ID de message réseau du message électronique. |
| InternetMessageId | Edm.String | ID de message internet du message électronique. |
| AttachmentData | Collection(AttachmentDetails) | Informations sur les fichiers joints aux e-mails. |
| Destinataires | Collection(Edm.String) | Les adresses de messagerie figurant dans les champs à, Cc et Cci de l’e-mail. |
| Sujet | Edm.String | Texte dans le champ Objet du message électronique. |
| MessageTime | Edm.Date | Date et heure d’envoi du message électronique. |
| De | Edm.String | L’adresse de messagerie dans le champ De du message électronique. |
| Orientation | Edm.String | État d’origine du message électronique. |
Enumération : AttachmentDetails - Type : Edm.Int32
AttachmentDetails
| Nom du membre | Type (Type) | Description |
|---|---|---|
| FileName | Edm.String | Nom du fichier joint au message électronique. |
| FileType | Edm.String | Extension du fichier joint au message électronique. |
| SHA256 | Edm.String | Code de hachage SHA-256 du fichier joint au message électronique. |
Schéma des rapports
Les événements de rapport répertoriés dans l’article Rechercher le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ModifiedProperties | Collection (Common.ModifiedProperty) | Non | Cette propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée. |
Schéma du connecteur de conformité
Les événements du schéma du connecteur de conformité sont déclenchés lorsque les éléments importés par un connecteur de données sont ignorés ou n’ont pas pu être importés dans les boîtes aux lettres utilisateur. Pour plus d’informations sur les connecteurs de données, consultez En savoir plus sur les connecteurs pour les données tierces.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| JobId | Edm.String | Non | Il s’agit d’un identificateur unique du connecteur de données. |
| TaskId | Edm.String | Non | Identificateur unique de l’instance périodique du connecteur de données Les connecteurs de données importent des données par intervalles périodiques. |
| JobType | Edm.String | Non | Nom du connecteur de données |
| ItemId | Edm.String | Non | Identificateur unique de l’élément (par exemple, un e-mail) importé |
| ItemSize | Edm.Int64 | Non | Taille de l’élément importé |
| SourceUserId | Edm.String | Non | Identificateur unique de l’utilisateur à partir de la source de données tierce Par exemple, pour un connecteur de données Slack, cette propriété spécifie l’ID d’utilisateur dans l’espace de travail Slack. |
| FailureType | Moi- même. FailureType | Non | Indique le type d’échec d’importation de données. Par exemple, la valeur incorrectusermapping indique que l’élément n’a pas été importé, car aucun mappage utilisateur entre la source de données tierce et Microsoft 365 n’a pu être trouvé. |
| ResultMessage | Edm.String | Non | Indique le type d’échec, tel que le message Duplicte. |
| IsRetry | Edm.Boolean | Non | Indique si le connecteur de données a tenté à nouveau d’importer l’élément. |
| Pièces jointes | Collection. Pièce jointe | Non | Liste des pièces jointes reçues de la source de données tierce. |
Énumération : LoginType - Type : Edm.Int32
| Valeur | Nom du membre |
|---|---|
| 0 | Valeur par défaut |
| 1 | MailboxWrite |
Type complexe de pièce jointe
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| FileName | Edm.String | Non | Nom de fichier de la pièce jointe |
| Détails | Edm.String | Non | Autres détails sur la pièce jointe |
Schéma SystemSync
Les événements du schéma SystemSync sont déclenchés lorsque les données ingérées de SystemSync sont exportées via Data Lake ou partagées via d’autres services.
DataLakeExportOperationAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DataStoreType | DataStoreType | Oui | Indique le magasin de données à partir duquel les données ont été téléchargées. Reportez-vous à DataStoreType pour toutes les valeurs possibles. |
| UserAction | DataLakeUserAction | Oui | Indique l’action que l’utilisateur a effectuée sur le magasin de données. Reportez-vous à DataLakeUserAction pour toutes les valeurs possibles. |
| ExportTriggeredAt | Edm.DateTimeOffset | Oui | Indique quand l’exportation de données a été déclenchée. |
| NameOfDownloadedZipFile | Edm.String | Non | Nom du fichier compressé que l’administrateur a téléchargé à partir de Data Lake. |
DataShareOperationAuditRecord
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Invitation | DataShareInvitationType | Non | Détails de l’invitation envoyée au destinataire de Data Share. |
Type complexe DataShareInvitationType
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ShareId | Edm.Guid | Oui | Identificateur attribué par le système pour Data Share. |
| Invités | Collection(Edm.Guid) | Oui | Liste des utilisateurs administrateurs à qui l’invitation a été envoyée. |
| InviteeTenantId | Edm.Guid | Oui | Locataire cible auquel l’invitation est destinée. |
| ShareName | Edm.String | Oui | Nom attribué par le système pour Data Share. |
| SyncFrequency | Self.SyncFrequency | Oui | Fréquence à laquelle les données sont synchronisées avec le compte de stockage de destination une fois le partage établi. Consultez SyncFrequency pour les valeurs possibles. |
| SyncStartTime | Edm.DateTimeOffset | Oui | Date et heure de la première synchronisation. |
Énumération : SyncFrequency – Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Toutes les heures | Indique que les données seront synchronisées toutes les heures. |
| 1 | Journalière | Indique que les données seront synchronisées une fois par jour. |
Énumération : DataStoreType – Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | CanonicalStore | Indique que les données seront téléchargées à partir du magasin canonique. |
| 1 | StagingStore | Indique que les données seront téléchargées à partir du magasin de gestion intermédiaire. |
Énumération : DataLakeUserAction – Type : Edm.Int32
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | TriggerExport | L’utilisateur administrateur a déclenché l’exportation à partir de Data Lake. |
| 1 | DownloadZipFile | L’utilisateur administrateur a téléchargé les données exportées. |
Type complexe MicrosoftGraphDataConnectOperation
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.Guid | Oui | Identification de l’application. |
| ApplicationName | Edm.String | Oui | Nom de l'application. |
| PipelineName | Edm.String | Oui | Nom du pipeline. |
| PipelineRunId | Edm.Guid | Non | Identification de cette exécution de pipeline. |
| CopyActivityRunId | Edm.Guid | Non | Identification de l’activité de copie ADF. |
| RunStartTime | Edm.Date | Oui | Date et heure de l’extraction. |
| RunEndTime | Edm.Date | Oui | Date et heure de l’extraction. |
| DatasetName | Edm.String | Oui | Nom du jeu de données en cours d’extraction. |
| DatasetColumns | Edm.String | Oui | Ensemble de colonnes sélectionnées en cours d’extraction. |
| ScopeList | Edm.String | Oui | Étendue de l’extraction. |
| ScopeCountRequested | Edm.Int64 | Non | Nombre d’étendues demandé pour cette extraction. |
| ScopeCountDelivered | Edm.Int64 | Non | Nombre d’étendues livrées pour cette extraction. |
| UndeliveredScope | Edm.String | Non | Étendue non remis de l’extraction. |
| RowCount | Edm.Int64 | Non | Nombre de lignes extraites. |
| État | Edm.String | Oui | État de l’extraction. |
| Reason | Edm.String | Non | Message d’erreur en cas d’échec. |
AipDiscover
Le tableau suivant contient des informations relatives aux événements du scanneur Azure Information Protection (AIP).
| Événement | Description |
|---|---|
| ApplicationId | ID de l’application qui exécute l’opération. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour les événements liés à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| DataState | Décrit l’état des données. |
| DeviceName | Appareil sur lequel l’activité s’est produite. |
| ID | GUID de l’enregistrement actif. |
| IsProtected | S’il est protégé : True/False |
| Emplacement | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectId | Chemin d’accès complet du fichier (URL). Pour l’activité SharePoint et OneDrive Entreprise, il s’agit du nom du chemin d’accès complet au fichier ou au dossier consulté par l’utilisateur. |
| Opération | Décrit le type d’accès. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS) |
| ProcessName | Nom du processus approprié, par exemple Outlook, msip.app, WinWord. |
| ProductVersion | Version du client AIP. |
| ProtectionOwner | Propriétaire Rights Management au format UPN. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Type d’opération indiqué par l’enregistrement. Reportez-vous au tableau AuditLogRecordType pour obtenir plus d’informations sur les types d’enregistrements du journal d’audit. Pour obtenir une liste complète mise à jour et une description complète du Type d’enregistrement du journal, consultez le billet de blog Activités du journal d’audit de conformité Microsoft 365 via l’API de gestion O365. Ici, nous listons uniquement les types d’enregistrements MIP appropriés. |
| Portée | Cet événement a-t-il été créé par un service Office 365 hébergé ou un serveur local ? Valeurs possibles : online et onprem. SharePoint est la seule charge de travail qui envoie actuellement des événements d’un serveur local à Office 365. |
| SensitiveInfoTypeData | Stocke le type de données des données de type Informations sensibles. |
| SensitivityLabelId | GUID actuel de l’étiquette de confidentialité MIP. Utilisez cmdlt Get-Label pour obtenir les valeurs complètes du GUID. |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir d’Azure Information Protection. |
| UserId | L’UPN (Nom d’utilisateur principal) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| Version | ID de version du fichier dans l’opération. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
AipSensitivityLabelAction
Le tableau suivant contient des informations relatives aux événements d’étiquette de confidentialité AIP.
| Événement | Description |
|---|---|
| ApplicationId | Correspond à l’ID d’application Microsoft Entra. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. |
| CreationDate | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| DataState | Spécifie l’état des données. |
| DeviceName | Nom de l’appareil de l’utilisateur. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| IsProtected | S’il est protégé : True/False |
| IsProtectedBefore | Si le contenu a été protégé avant la modification : True/False |
| IsValid | Boolean |
| Emplacement | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectState | Spécifie l’état de l’objet. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes : SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| PSComputerName | Computer Name |
| PSShowComputerName | La valeur est False pour les modifications documentées dans Office 365. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS). |
| ProcessName | Processus qui héberge le Kit de développement logiciel (SDK) MIP. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| SensitiveInfoTypeData | Stocke le type de données des données de type d’informations sensibles |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir d’Azure Information Protection. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. |
AipProtectionAction
| Événement | Description |
|---|---|
| PSComputerName | Nom de l'ordinateur |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| PSShowComputerName | La valeur est false pour un document modifié dans Office 365. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. Par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| ObjectState | État de l’objet après l’événement actuel. |
| ApplicationId | Application dans laquelle l’activité s’est produite et affichée dans le GUID. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ProcessName | Nom du processus de l’application Office. |
| Plateforme | Plateforme sur laquelle l’activité s’est produite. Par exemple, Windows. |
| DeviceName | Appareil sur lequel l’événement a été enregistré. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour les événements liés à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ID | GUID de l’enregistrement actif. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour consulter la description des opérations/activités les plus courantes, reportez-vous à l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité d’Office 365. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
| Version | Version du client Azure Information Protection qui a effectué l’action d’audit |
| Portée | Spécifie l’étendue. |
AipFileDeleted
| Événement | Description |
|---|---|
| PSComputerName | Nom de l'ordinateur |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| PSShowComputerName | La valeur est false pour un document modifié dans Office 365. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| UserId | Nom d’utilisateur principal (UPN) de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement. Par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| ObjectState | État de l’objet après l’événement actuel. |
| ApplicationId | Application dans laquelle l’activité s’est produite et affichée dans le GUID. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. Outlook (pour la messagerie), OWA (pour la messagerie), Word (pour fichier), Excel (pour fichier), PowerPoint (pour fichier). |
| ProcessName | Nom du processus de l’application Office. |
| Plateforme | Plateforme sur laquelle l’activité s’est produite. Par exemple, Windows. |
| DeviceName | Appareil sur lequel l’événement a été enregistré. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| ClientIP | Adresse IP du périphérique utilisé lors de la journalisation de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. En outre, pour les événements liés à Azure Active Directory, l’adresse IP n’est pas journalisée et la valeur de la propriété ClientIP est null. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6. |
| ID | GUID de l’enregistrement actif. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Ici, nous répertorions uniquement les types d’enregistrements MIP appropriés. |
| CreationTime | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| Opération | Nom de l’activité de l’utilisateur ou de l’administrateur. Pour consulter la description des opérations/activités les plus courantes, reportez-vous à l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité d’Office 365. |
| OrganizationId | GUID pour le client Office 365 de votre organisation. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
| Charge de travail | Stocke le service Office 365 où l’activité s’est produite. |
| Version | Version du client Azure Information Protection qui a effectué l’action d’audit |
| Portée | Spécifie l’étendue. |
AipHeartBeat
Le tableau suivant contient des informations relatives aux événements de pulsation AIP.
| Événement | Description |
|---|---|
| ApplicationId | Correspond à l’ID d’application Microsoft Entra. |
| ApplicationName | Nom convivial de l’application qui effectue l’opération. |
| CreationDate | Date et heure utc (Temps universel coordonné) au format ISO8601 lorsque l’utilisateur a effectué l’activité. |
| DataState | Spécifie l’état des données. |
| DeviceName | Nom de l’appareil de l’utilisateur. |
| Identité | Identité de l’utilisateur ou du service à authentifier. |
| IsProtected | S’il est protégé : True/False |
| IsProtectedBefore | Si le contenu a été protégé avant la modification : True/False |
| IsValid | Boolean |
| Emplacement | Emplacement du document par rapport à l’appareil de l’utilisateur. Les valeurs possibles sont unknown, localMedia, removableMedia, fileshare et cloud. |
| ObjectState | Spécifie l’état de l’objet. |
| Opération | Type d’opération pour le journal d’audit. Nom de l’activité de l’utilisateur ou de l’administrateur. Pour obtenir une description des opérations/activités les plus courantes : |
| PSComputerName | Computer Name |
| PSShowComputerName | La valeur est False pour les modifications documentées dans Office 365. |
| Plateforme | Plateforme d’appareil (Win, OSX, Android, iOS). |
| ProcessName | Processus qui héberge le Kit de développement logiciel (SDK) MIP. |
| ProductVersion | Version du client Azure Information Protection qui a effectué l’action d’audit. |
| ProtectionType | Le type de protection peut être modèle ou ad hoc. |
| RecordType | Affiche la valeur d’Action d’étiquette. Type d’opération indiqué par l’enregistrement. Pour plus d’informations, consultez la liste complète des types d’enregistrements. |
| RunspaceId | L’espace d’exécution est un instance spécifique de PowerShell qui contient des collections modifiables de commandes, de fournisseurs, de variables, de fonctions et d’éléments de langage disponibles pour l’utilisateur de ligne de commande. |
| SensitiveInfoTypeData | Stocke le type de données des données de type d’informations sensibles |
| TemplateId | Paramètre TemplateID pour obtenir un modèle spécifique. L’applet de commande Get-AipServiceTemplate obtient tous les modèles de protection existants ou sélectionnés à partir d’Azure Information Protection. |
| UserId | UPN de l’utilisateur qui a effectué l’action (spécifiée dans la propriété Operation) qui a entraîné la journaliser l’enregistrement ; par exemple, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service. Pour plus d’informations, consultez la app@sharepoint utilisateur dans les enregistrements d’audit. |
| UserType | Type d’utilisateur ayant effectué l’opération. Pour plus d’informations sur les types d’utilisateurs, consultez le tableau UserType. 0 = Regular 1 = Reserved 2 = Administration 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | Autre ID pour l’utilisateur identifié dans la propriété UserId. Cette propriété est remplie avec l’ID unique passport (PUID) pour les événements effectués par les utilisateurs dans SharePoint, OneDrive Entreprise et Exchange. |
Type complexe MicrosoftGraphDataConnectConsent
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| ApplicationId | Edm.Guid | Oui | Identification de l’application. |
| ApplicationVersion | Edm.String | Oui | Version de l’application. |
| AppRegistrationTenantId | Edm.Guid | Oui | ID de locataire d’inscription d’application. |
| Approbateur | Edm.String | Oui | Nom d’utilisateur principal de l’approbateur. |
| ApprovalUpdatedDateInUTC | Edm.Date | Oui | Date et heure de mise à jour au format UTC. |
| ApprovalExpiryDateInUTC | Edm.Date | Oui | Date d’expiration et heure UTC. |
| ApprovalValidDays | Edm.Int32 | Oui | Nombre de jours après la mise à jour pour lesquels l’approbation sera valide. |
| DestinationSinks | Edm.String | Oui | Récepteurs de destination. |
| DestinationTenantId | Edm.Guid | Oui | ID du locataire de destination. |
| Reason | Edm.String | Non | Raison fournie par l’administrateur qui a effectué l’opération. |
| État | Edm.String | Oui | État du consentement. |
| Jeux de données | CollectionSelf. MGDCDataset | Oui | Détails sur les jeux de données qui ont été acceptés dans le cadre de cette opération. |
Type complexe MGDCDataset
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| DatasetName | Edm.String | Oui | Nom du jeu de données dans l’opération de consentement. |
| DatasetColumns | Edm.String | Oui | Liste des colonnes du jeu de données dans l’opération de consentement. |
| DenyGroups | Edm.String | Non | Liste de groupes de refus pour le jeu de données dans l’opération de consentement. |
| Portée | Edm.String | Oui | Types d’étendue pour le jeu de données dans l’opération de consentement. Les valeurs possibles sont All, List et FilterUri. |
| ScopeFiltersUris | Edm.String | Non | URI de filtre d’étendue pour le jeu de données dans l’opération de consentement. |
| ScopeList | Edm.String | Non | Liste de groupes d’étendues pour le jeu de données dans l’opération de consentement. |
| PrivacyPolicyType | Edm.String | Oui | Types de stratégie de confidentialité pour le jeu de données dans l’opération de consentement. Les valeurs possibles sont None et DenyList. |
schéma Viva Goals
Les enregistrements d’audit pour les événements liés à Viva Goals utilisent ce schéma (en plus du schéma commun). Pour plus d’informations sur la façon dont vous pouvez rechercher les journaux d’audit à partir du portail de conformité, consultez Recherche le journal d’audit dans le Centre de conformité & de sécurité. Pour plus d’informations sur la capture d’événements et d’activités liés à Viva Goals, consultez Activités du journal d’audit.
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| Détails | Edm.String | Non | Description de l’événement ou de l’activité qui s’est produit dans Viva Goals. |
| Nom d’utilisateur | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true » |
Non | Nom de l’utilisateur qui a trié l’événement. |
| UserRole | Edm.String | Non | Rôle de l’utilisateur qui a trié cet événement dans Viva Goals. Cela mention si l’utilisateur est un administrateur organization ou un propriétaire. |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Nom du organization dans Viva Goals où l’événement a été déclenché. |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Propriétaire du organization dans Viva Goals où l’événement s’est produit. |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Le ou les administrateurs du organization dans Viva Goals où l’événement s’est produit. Il peut y avoir un ou plusieurs administrateurs dans le organization. |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag » Bool="true » |
Non | Agent utilisateur (détails du navigateur) de l’utilisateur qui a trié l’événement. UserAgent peut ne pas être présent en cas d’événement généré par le système. |
| ModifiedFields | Collection(Common.NameValuePair) | Non | Liste des attributs qui ont été modifiés, ainsi que ses valeurs nouvelles et anciennes sorties au format JSON. |
| ItemDetails | Collection(Common.NameValuePair) | Non | Propriétés supplémentaires relatives à l’objet qui a été modifié. |
schéma Planificateur Microsoft
Planificateur Microsoft remplace la définition d’ObjectId et ResultStatus dans le schéma commun. La définition ObjectId de Planificateur Microsoft est liée au type d’enregistrement de chaque Planificateur Microsoft et sera illustrée individuellement.
Planificateur Microsoft ResultStatus est défini comme suit.
Énumération : ResultStatus - Type : Edm.Int32
ResultStatus
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | Opération réussie | La demande de l’utilisateur a réussi. |
| 2 | Échec | La demande de l’utilisateur a échoué pour des raisons autres que l’autorisation. |
| 3 | AuthorizationFailure | L’utilisateur demandé a échoué en raison de l’échec de l’autorisation. |
Planificateur Microsoft étend le schéma commun avec les types d’enregistrements suivants.
Type d’enregistrement PlannerPlan
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID du plan demandé. |
| ContainerType | Soi-même. ContainerType | Type du conteneur associé au plan. |
| ContainerId | Edm.String | ID du conteneur associé au plan. |
| SharedWithContainerId | Edm.String | ID du conteneur avec accès partagé au plan. |
| SharedWithContainerType | Soi-même. ContainerType | Type du conteneur avec accès partagé au plan. |
| SharedWithContainerAccessLevel | Soi-même. PlanAccessLevel | Niveau d’accès accordé au conteneur avec un accès partagé au plan. |
Énumération : ContainerType - Type Edm.Int32
ContainerType
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Invalid | Utilisé lorsque le plan demandé est introuvable. |
| 2 | Groupe | Le plan est associé à un groupe M365. |
| 3 | TeamsConversation | Le plan est associé à une conversation Teams. |
| 4 | OfficeDocument | Le plan est associé à un document Office. |
| 5 | Liste | Le plan est associé à un groupe de liste. |
| 6 | Project | Le plan provient de Microsoft Project. |
Énumération : PlanAccessLevel - Type Edm.Int32
PlanAccessLevel
| Valeur | Nom du membre | Description |
|---|---|---|
| 1 | ReadAccess | Accès à la lecture du plan |
| 2 | ReadWriteAccess | Accès à la lecture et à l’écriture dans plan |
| 3 | FullAccess | Accès à la lecture, à l’écriture et à la configuration du plan |
Type d’enregistrement PlannerCopyPlan
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID du plan en cours de copie. |
| OriginalPlanId | Edm.String | ID du plan en cours de copie. Identique à ObjectId. |
| OriginalContainerType | Soi-même. ContainerType | Type du conteneur associé au plan d’origine. |
| OriginalContainerId | Edm.String | ID du conteneur associé au plan d’origine. |
| NewPlanId | Edm.String | ID du nouveau plan. Null en cas d’échec de l’opération. |
| NewContainerType | Soi-même. ContainerType | Type du conteneur associé au nouveau plan. |
| NewContainerId | Edm.String | ID du conteneur associé au nouveau plan. |
Type d’enregistrement PlannerTask
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de la tâche demandée. |
| PlanId | Edm.String | ID du plan contenant la tâche. |
Type d’enregistrement PlannerRoster
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de la liste demandée. |
| MemberIds | Edm.String | Une chaîne séparée par des virgules d’ID de membre a été remplacée par la liste. |
Type d’enregistrement PlannerPlanList
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Représentation de la requête d’affichage pour une liste de plans. |
| PlanList | Edm.String | Chaîne séparée par des virgules des ID de plan interrogés. |
Type d’enregistrement PlannerTaskList
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Représentation de la requête d’affichage pour une liste de tâches. |
| PlanList | Edm.String | Chaîne séparée par des virgules des ID de tâche interrogés. |
Type d’enregistrement PlannerTenantSettings
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | Paramètres de locataire d’origine dans JSON. |
| TenantSettings | Edm.String | Nouveaux paramètres de locataire dans JSON. |
Type d’enregistrement PlannerRosterSensitivityLabel
| Properties | Type | Description |
|---|---|---|
| ObjectId | Edm.String | ID de l’étiquette de confidentialité. Null lorsque l’étiquette de confidentialité est supprimée. |
| Liste | Edm.String | ID de la liste dans laquelle l’étiquette de confidentialité est modifiée. |
| AssignmentMethod | Soi-même. SensitivityLabelAssignmentMethod | Méthode d’affectation de l’étiquette de confidentialité. |
Énumération : SensitivityLabelAssignmentMethod - Type Edm.Int32
SensitivityLabelAssignmentMethod
| Valeur | Nom du membre | Description |
|---|---|---|
| 0 | Standard | L’étiquette de confidentialité est appliquée automatiquement, mais elle n’est pas autorisée à remplacer une attribution d’étiquette privilégiée. |
| 1 | Privilégié | L’étiquette de confidentialité est appliquée manuellement par un utilisateur ou par un administrateur. |
| 2 | Auto | L’étiquette de confidentialité est automatiquement appliquée et est autorisée à remplacer une attribution d’étiquette privilégiée. |
Schéma microsoft Project pour le web
Microsoft Project pour le web étend le schéma commun avec les types d’enregistrements suivants.
Type d’enregistrement ProjectForThewebProject
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectId | Edm.Guid | Non | ID du projet en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebTask
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectId | Edm.Guid | Oui | ID du projet en cours d’audit. |
| TaskId | Edm.Guid | Oui | ID de la tâche en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebRoadmap
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapId | Edm.Guid | Oui | ID de la feuille de route en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type d’enregistrement ProjectForThewebRoadmapItem
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | Oui | ID de l’élément de feuille de route en cours d’audit. |
| AdditionalInfo | CollectionSelf. Informations supplémentaires | Non | Informations supplémentaires. |
Type complexe AdditionalInfo
| Paramètres | Type | Obligatoire ? | Description |
|---|---|---|---|
| EnvironmentName | Edm.String | Non | ID de l’environnement dans lequel l’action a été effectuée. |
Type d’enregistrement ProjectForThewebProjectSetting
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | Oui | Valeur définie pour Project pour le web (1 = activé, 0 désactivé). |
Type d’enregistrement ProjectForThewebRoadampSetting
| Properties | Type | Obligatoire ? | Description |
|---|---|---|---|
| RoadmapEnabled | Edm.Boolean | Oui | Valeur définie pour la feuille de route (1 = activé, 0 désactivé). |