Schéma de l’API Activité de gestion Office 365Office 365 Management Activity API schema

Le schéma de l’API Activité de gestion Office 365 est fourni en tant que service de données en deux couches :The Office 365 Management Activity API schema is provided as a data service in two layers:

  • Schéma commun.Common schema. L’interface permettant d’accéder aux principaux concepts d’audit d’Office 365, comme le type d’enregistrement, l’heure de création, le type d’utilisateur et l’action, ainsi que d’obtenir les dimensions principales (par exemple, l’ID utilisateur), les informations sur l’emplacement (par exemple, l’adresse IP du client) et les propriétés propres au produit (par exemple, l’ID d’objet).The interface to access core Office 365 auditing concepts such as Record Type, Creation Time, User Type, and Action as well as to provide core dimensions (such as User ID), location specifics (such as Client IP address), and product-specific properties (such as Object ID). Elle présente des affichages uniformes et cohérents pour les utilisateurs afin d’extraire toutes les données d’audit d’Office 365 dans un nombre réduit d’affichages de niveau supérieur avec les paramètres appropriés. Elle fournit un schéma fixe pour toutes les sources de données, ce qui réduit considérablement le coût d’apprentissage.It establishes consistent and uniform views for users to extract all Office 365 audit data in a few top level views with the appropriate parameters, and provides a fixed schema for all the data sources, which significantly reduces the cost of learning. Le schéma commun est issu des données de produit appartenant à chaque équipe de produit, comme Exchange, SharePoint, Azure Active Directory, Yammer et OneDrive Entreprise.Common schema is sourced from product data that is owned by each product team, such as Exchange, SharePoint, Azure Active Directory, Yammer, and OneDrive for Business. Le champ ID d’objet peut être étendu par les équipes de produit pour ajouter des propriétés propres au produit.The Object ID field can be extended by product teams to add product specific properties.

  • Schéma propre au produit.Product-specific schema. Conçu en complément du schéma commun pour fournir un ensemble d’attributs spécifiques du produit. Par exemple : schéma SharePoint, schéma OneDrive Entreprise et schéma d’administration Exchange.Built on top of the Common schema to provide a set of product-specific attributes; for example, SharePoint schema, OneDrive for Business schema, and Exchange admin schema.

Quelle couche devez-vous utiliser dans votre scénario ?Which layer should you use for your scenario? En général, si les données sont disponibles dans une couche supérieure, ne revenez pas à une couche inférieure.In general, if the data is available in a higher layer, don't go back to a lower layer. En d’autres termes, si l’exigence de données peut s’adapter au schéma propre au produit, vous n’avez pas besoin de revenir au schéma commun.In other words, if the data requirement can be fit in a product-specific schema, you don't need to go back to the Common schema.

Schémas de l’API de gestion d’Office 365Office 365 Management API schemas

Cet article donne des détails sur le schéma commun, ainsi que sur tous les schémas propres aux produits.This article provides details on the Common schema as well as each of the product specific schemas. Le tableau suivant décrit les schémas disponibles.The following table describes the available schemas.

Nom du schémaName of schema DescriptionDescription
Schéma communCommon schema Vue permettant d’extraire le type d’enregistrement, l’ID utilisateur, l’adresse IP du client, le type d’utilisateur et l’action, ainsi que les dimensions principales telles que les propriétés utilisateur (comme UserID), les propriétés d’emplacement (comme l’adresse IP du client) et les propriétés propres au produit (comme l’ID d’objet).The view to extract Record Type, User ID, Client IP, User type and Action along with core dimensions such as user properties (such as UserID), location properties (such as Client IP), and product-specific properties (such as Object Id).
Schéma de base SharePointSharePoint Base schema Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit de SharePoint.Extends the Common schema with the properties specific to all SharePoint audit data.
Opérations sur les fichiers SharePointSharePoint File Operations Étend le schéma de base SharePoint avec les propriétés spécifiques de la manipulation et de l’accès aux fichiers dans SharePoint.Extends the SharePoint Base schema with the properties specific to file access and manipulation in SharePoint.
Schéma de partage SharePointSharePoint Sharing schema Étend le schéma de base de SharePoint avec les propriétés spécifiques du partage de fichier.Extends the SharePoint Base schema with the properties specific to file sharing.
Schéma SharePointSharePoint schema Étend le schéma de base de SharePoint avec les propriétés spécifiques de SharePoint, mais non liées à la manipulation ou à l’accès aux fichiers.Extends the SharePoint Base schema with the properties specific to SharePoint, but unrelated to file access and manipulation.
Schéma ProjectProject schema Étend le schéma de base SharePoint avec les propriétés spécifiques de Project.Extends the SharePoint Base schema with the properties specific to Project.
Schéma d’administration ExchangeExchange Admin schema Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit d’administration Exchange.Extends the Common schema with the properties specific to all Exchange admin audit data.
Schéma de boîte aux lettres ExchangeExchange Mailbox schema Étend le schéma de base avec les propriétés spécifiques de toutes les données d’audit de boîte aux lettres Exchange.Extends the Common schema with the properties specific to all Exchange mailbox audit data.
Schéma de base Azure Active DirectoryAzure Active Directory Base schema Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Schéma de connexion au compte Azure Active DirectoryAzure Active Directory Account Logon schema Étend le schéma de base Azure Active Directory avec les propriétés spécifiques de tous les événements de connexion Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory logon events.
Schéma de connexion Secure STS Azure Active DirectoryAzure Active Directory Secure STS Logon schema Étend le schéma de base Azure Active Directory avec les propriétés spécifiques de tous les événements de connexion STS (Secure Token Service) d’Azure Active Directory.Extends the Azure Active Directory Base schema with the properties specific to all Azure Active Directory Secure Token Service (STS) logon events.
Schéma Azure Active DirectoryAzure Active Directory schema Étend le schéma commun avec les propriétés spécifiques de toutes les données d’audit Azure Active Directory.Extends the Common schema with the properties specific to all Azure Active Directory audit data.
Schéma DLPDLP schema Étend le schéma commun avec les propriétés spécifiques des événements de protection contre la perte de données (DLP).Extends the Common schema with the properties specific to Data Loss Prevention events.
Schéma du Centre de sécurité et conformitéSecurity and Compliance Center schema Étend le schéma commun avec les propriétés spécifiques de tous les événements du Centre de sécurité et conformité.Extends the Common schema with the properties specific to all Security and Compliance Center events.
Schéma d’alertes de sécurité et conformitéSecurity and Compliance Alerts schema Étend le schéma commun avec les propriétés spécifiques de toutes les alertes de sécurité et conformité d’Office 365.Extends the Common schema with the properties specific to all Office 365 security and compliance alerts.
Schéma YammerYammer schema Étend le schéma commun avec les propriétés spécifiques de tous les événements Yammer.Extends the Common schema with the properties specific to all Yammer events.
Schéma de base de sécurité du centre de donnéesData Center Security Base schema Étend le Schéma commun avec les propriétés spécifiques de toutes les données d’audit de sécurité du centre de données.Extends the Common schema with the properties specific to all data center security audit data.
Schéma de cmdlet de sécurité du centre de donnéesData Center Security Cmdlet schema Étend le schéma de base de sécurité du centre de données avec les propriétés spécifiques de toutes les données d’audit de cmdlet de sécurité du centre de données.Extends the Data Center Security Base schema with the properties specific to all data center security cmdlet audit data.
Schéma Microsoft TeamsMicrosoft Teams schema Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Teams.Extends the Common schema with the properties specific to all Microsoft Teams events.
Schéma Office 365 - Protection avancée contre les menaces et Threat Investigation and ResponseOffice 365 Advanced Threat Protection and Threat Investigation and Response schema Étend le schéma commun avec les propriétés spécifiques des données relatives à Office 365 - Protection avancée contre les menaces et Threat Investigation and Response.Extends the Common schema with the properties specific to Office 365 Advanced Threat Protection and Threat Investigation and Response data.
Événements d’investigation et de réponse automatisésAutomated investigation and response events schema Étend le schéma commun avec les propriétés spécifiques aux événements d’investigation et de réponse automatisés (AIR) d’Office 365.Extends the Common schema with the properties specific to Office 365 automated investigation and response (AIR) events.
Schéma des événements d’hygièneHygiene events schema Étend le Schéma commun avec les propriétés spécifiques aux événements dans Exchange Online Protection et Protection avancé contre les menaces..Extends the Common schema with the properties specific to events in Exchange Online Protection and Advanced Threat Protection.
Schéma Power BIPower BI schema Étend le Schéma commun avec les propriétés spécifiques à tous les événements Power BI.Extends the Common schema with the properties specific to all Power BI events.
Schéma Dynamics 365Dynamics 365 schema Étend le schéma commun avec les propriétés spécifiques de tous les événements Dynamics 365.Extends the Common schema with the properties specific to Dynamics 365 events.
Schéma de l’Analyse du temps de travailWorkplace Analytics schema Étend le schéma commun avec les propriétés spécifiques de tous les événements Analyse du temps de travail Microsoft.Extends the Common schema with the properties specific to all Microsoft Workplace Analytics events.
Schéma de la mise en quarantaineQuarantine schema Étend le schéma commun avec les propriétés spécifiques de tous les événements de mise en quarantaine.Extends the Common schema with the properties specific to all quarantine events.
Schéma Microsoft FormsMicrosoft Forms schema Étend le schéma commun avec les propriétés spécifiques de tous les événements Microsoft Forms.Extends the Common schema with the properties specific to all Microsoft Forms events.
Schéma d’étiquette Microsoft Information ProtectionMIP label schema Développe le schéma commun avec les propriétés spécifiques aux étiquettes de confidentialité, appliquées de façon manuelle ou automatique aux courriers électroniques.Extends the Common schema with the properties specific to sensitivity labels manually or automatically applied to email messages.
Schéma Exchange de conformité aux communicationsCommunication compliance Exchange schema Étend le schéma commun avec les propriétés spécifiques du modèle de langage choquant de conformité aux communications.Extends the Common schema with the properties specific to the Communication compliance offensive language model.

Schéma communCommon schema

Nom EntityType : AuditRecordEntityType Name: AuditRecord

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
IDId Combinaison GUIDEdm.GuidCombination GUIDEdm.Guid OuiYes Identificateur unique d’un enregistrement d’audit.Unique identifier of an audit record.
RecordTypeRecordType Self.AuditLogRecordTypeSelf.AuditLogRecordType OuiYes Type d’opération indiqué par l’enregistrement.The type of operation indicated by the record. Reportez-vous au tableau AuditLogRecordType pour obtenir plus d’informations sur les types d’enregistrements du journal d’audit.See the AuditLogRecordType table for details on the types of audit log records.
CreationTimeCreationTime Edm.DateEdm.Date OuiYes Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a effectué l’activité.The date and time in Coordinated Universal Time (UTC) when the user performed the activity.
OpérationOperation Edm.StringEdm.String OuiYes Nom de l’activité de l’utilisateur ou de l’administrateur.The name of the user or admin activity. Pour consulter la description des opérations/activités les plus courantes, reportez-vous à l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité d’Office 365.For a description of the most common operations/activities, see Search the audit log in the Office 365 Protection Center. Pour une activité d’administration Exchange, cette propriété identifie le nom de la cmdlet qui a été exécutée.For Exchange admin activity, this property identifies the name of the cmdlet that was run. Pour les événements DLP, les valeurs possibles, définies sous « Schéma DLP » ci-dessous, sont les suivantes : « DlpRuleMatch », « DlpRuleUndo » ou « DlpInfo ».For Dlp events, this can be "DlpRuleMatch", "DlpRuleUndo" or "DlpInfo", which are described under "DLP schema" below.
OrganizationIdOrganizationId Edm.GuidEdm.Guid OuiYes GUID pour le client Office 365 de votre organisation.The GUID for your organization's Office 365 tenant. Cette valeur sera toujours identique pour votre organisation, quel que soit le service Office 365 concerné.This value will always be the same for your organization, regardless of the Office 365 service in which it occurs.
UserTypeUserType Self.UserTypeSelf.UserType OuiYes Type d’utilisateur ayant effectué l’opération.The type of user that performed the operation. Reportez-vous au tableau UserType pour obtenir plus d’informations sur les types d’utilisateur.See the UserType table for details on the types of users.
UserKeyUserKey Edm.StringEdm.String OuiYes Autre ID pour l’utilisateur identifié dans la propriété UserId.An alternative ID for the user identified in the UserId property. Par exemple, cette propriété est renseignée avec l’ID unique Passport (PUID) pour les événements exécutés par des utilisateurs dans SharePoint, OneDrive Entreprise et Exchange.For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint, OneDrive for Business, and Exchange. Cette propriété peut également spécifier la même valeur que la propriété UserID pour les événements se produisant dans d’autres services et les événements exécutés par des comptes système.This property may also specify the same value as the UserID property for events occurring in other services and events performed by system accounts.
Charge de travailWorkload Edm.StringEdm.String NonNo Service Office 365 dans lequel l’activité s’est produite.The Office 365 service where the activity occurred.
ResultStatusResultStatus Edm.StringEdm.String NonNo Indique si l’action (indiquée dans la propriété Operation) a réussi ou non.Indicates whether the action (specified in the Operation property) was successful or not. Valeurs possibles : Succeeded, PartiallySucceded ou Failed.Possible values are Succeeded, PartiallySucceeded, or Failed. Pour une activité d’administration Exchange, la valeur peut être True ou False.For Exchange admin activity, the value is either True or False.

Important : plusieurs charges de travail peuvent remplacer la valeur de la propriété ResultStatus.Important: Different workloads may overwrite the value of the ResultStatus property. Par exemple, pour les événements d’ouverture de session STS d’Azure Active Directory, la valeur Succedded pour ResultStatus indique uniquement que l’opération HTTP a réussi. Cela ne signifie pas que la connexion a réussi.For example, for Azure Active Directory STS logon events, a value of Succeeded for ResultStatus indicates only that the HTTP operation was successful; it doesn't mean the logon was successful. Pour déterminer si l’ouverture de session elle-même a réussi ou non, examinez la propriété LogonError dans le schéma de connexion STS Azure Active Directory.To determine if the actual logon was successful or not, see the LogonError property in the Azure Active Directory STS Logon schema. Si la connexion a échoué, la valeur de cette propriété indique la raison de l’échec de la tentative de connexion.If the logon failed, the value of this property will contain the reason for the failed logon attempt.
ObjectIdObjectId Edm.stringEdm.string NonNo Pour l’activité SharePoint et OneDrive Entreprise, il s’agit du nom du chemin d’accès complet au fichier ou au dossier consulté par l’utilisateur.For SharePoint and OneDrive for Business activity, the full path name of the file or folder accessed by the user. Pour la journalisation d’audit d’administration Exchange, il s’agit du nom de l’objet modifié par la cmdlet.For Exchange admin audit logging, the name of the object that was modified by the cmdlet.
UserIdUserId Edm.stringEdm.string OuiYes L’UPN (nom d’utilisateur principal) de l’utilisateur ayant effectué l’action (indiquée dans la propriété Operation) qui a entraîné la journalisation de l’enregistrement. Par exemple, my_name@my_domain_name.The UPN (User Principal Name) of the user who performed the action (specified in the Operation property) that resulted in the record being logged; for example, my_name@my_domain_name. L’enregistrement d’une activité exécutée par un compte système (comme SHAREPOINT\system ou NT AUTHORITY\SYSTEM) est également inclus.Note that records for activity performed by system accounts (such as SHAREPOINT\system or NT AUTHORITY\SYSTEM) are also included. Un autre affichage de valeur dans la propriété Userld de SharePoint se nomme app@sharepoint.In SharePoint, another value display in the UserId property is app@sharepoint. Ceci indique que l'«utilisateur » qui a effectué l'activité était une application ayant obtenu les autorisations nécessaires dans SharePoint pour effectuer des actions à l’échelle de l’organisation (par exemple, effectuer une recherche de site SharePoint ou de compte OneDrive) au nom d’un utilisateur, d’un administrateur ou d’un service.This indicates that the "user" who performed the activity was an application that has the necessary permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Pour obtenir plus d'informations, consultez l'Utilisateur app@sharepoint dans les enregistrements d'audits.For more information, see The app@sharepoint user in audit records.
ClientIPClientIP Edm.StringEdm.String OuiYes Adresse IP du périphérique utilisé lors de la journalisation de l’activité.The IP address of the device that was used when the activity was logged. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Pour certains services, la valeur affichée dans cette propriété peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité.For some services, the value displayed in this property might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity.

Aussi, pour les événements relatifs à Azure Active Directory, l’adresse IP n’est pas enregistrée et la valeur de la propriété ClientIP est null.Also, for Azure Active Directory-related events, the IP address isn't logged and the value for the ClientIP property is null.
PortéeScope Self.AuditLogScopeSelf.AuditLogScope NonNo Cet événement a-t-il été créé par un service Office 365 hébergé ou un serveur local ?Was this event created by a hosted O365 service or an on-premises server? Valeurs possibles : online et onprem.Possible values are online and onprem. SharePoint est la seule charge de travail qui envoie actuellement des événements d’un serveur local à Office 365.Note that SharePoint is the only workload currently sending events from on-premises to O365.

Énumération : AuditLogRecordType - Type : Edm.Int32Enum: AuditLogRecordType - Type: Edm.Int32

AuditLogRecordTypeAuditLogRecordType

ValeurValue Nom du membreMember name DescriptionDescription
11 ExchangeAdminExchangeAdmin Événements du journal d’audit de d’administration Exchange.Events from the Exchange admin audit log.
22 ExchangeItemExchangeItem Événements d’un enregistrement d’audit de boîte aux lettres Exchange pour les actions effectuées sur un seul élément, comme la création ou la réception d’un message électronique.Events from an Exchange mailbox audit log for actions that are performed on a single item, such as creating or receiving an email message.
33 ExchangeItemGroupExchangeItemGroup Événements d’un événement d’audit de boîte aux lettres Exchange pour les actions qui peuvent être effectuées sur plusieurs éléments, comme le déplacement ou la suppression d’un ou de plusieurs messages électroniques.Events from an Exchange mailbox audit log for actions that can be performed on multiple items, such as moving or deleted one or more email messages.
44 SharePointSharePoint Événements SharePoint.SharePoint events.
66 SharePointFileOperationSharePointFileOperation Événements d’opération de fichier SharePoint.SharePoint file operation events.
88 AzureActiveDirectoryAzureActiveDirectory Événements Azure Active Directory.Azure Active Directory events.
99 AzureActiveDirectoryAccountLogonAzureActiveDirectoryAccountLogon Événements de connexion OrgId Azure Active Directory (arrêt de la prise en charge).Azure Active Directory OrgId logon events (deprecating).
1010 DataCenterSecurityCmdletDataCenterSecurityCmdlet Événements de cmdlet de sécurité du centre de données.Data Center security cmdlet events.
1111 ComplianceDLPSharePointComplianceDLPSharePoint Événements de protection contre la perte de données (DLP) dans SharePoint et OneDrive Entreprise.Data loss protection (DLP) events in SharePoint and OneDrive for Business.
1313 ComplianceDLPExchangeComplianceDLPExchange Événements de protection contre la perte de données (DLP) dans Exchange lorsqu’ils sont configurés via une stratégie DLP unifiée.Data loss protection (DLP) events in Exchange, when configured via Unified DLP Policy. Les événements DLP basés sur les règles de transport Exchange ne sont pas pris en charge.DLP events based on Exchange Transport Rules are not supported.
1414 SharePointSharingOperationSharePointSharingOperation Événements de partage SharePoint.SharePoint sharing events.
1515 AzureActiveDirectoryStsLogonAzureActiveDirectoryStsLogon Événements de connexion STS (Secure Token Service) dans Azure Active Directory.Secure Token Service (STS) logon events in Azure Active Directory.
1818 SecurityComplianceCenterEOPCmdletSecurityComplianceCenterEOPCmdlet Actions d’administration à partir du Centre de sécurité et conformité.Admin actions from the Security & Compliance Center.
2020 PowerBIAuditPowerBIAudit Événements Power BI.Power BI events.
2121 CRMCRM Événements Dynamics 365.Dynamics 365 events.
2222 YammerYammer Événements Yammer.Yammer events.
2323 SkypeForBusinessCmdletsSkypeForBusinessCmdlets Événements Skype Entreprise.Skype for Business events.
2424 DiscoveryDiscovery Événements pour les activités eDiscovery effectuées en exécutant des recherches de contenu et en gérant les cas d’eDiscovery dans le Centre de sécurité et conformité.Events for eDiscovery activities performed by running content searches and managing eDiscovery cases in the Security & Compliance Center.
2525 MicrosoftTeamsMicrosoftTeams Événements de Microsoft Teams.Events from Microsoft Teams.
2828 ThreatIntelligenceThreatIntelligence Événements d’hameçonnage et de programmes malveillants depuis Exchange Online Protection et Office 365 Advanced Threat Protection.Phishing and malware events from Exchange Online Protection and Office 365 Advanced Threat Protection.
2929 MailSubmissionMailSubmission Événements de soumission à partir de Exchange Online Protection et Office 365 – Protection avancée contre les menaces.Submission events from Exchange Online Protection and Office 365 Advanced Threat Protection.
3030 MicrosoftFlowMicrosoftFlow Événements Microsoft Power Automate (autrefois appelés Microsoft Flow).Microsoft Power Automate (formerly called Microsoft Flow) events.
3131 AeDAeD Événements eDiscovery (découverte électronique) avancée.Advanced eDiscovery events.
3232 MicrosoftStreamMicrosoftStream Événements Microsoft Stream.Microsoft Stream events.
3333 ComplianceDLPSharePointClassificationComplianceDLPSharePointClassification Événements liés à la classification DLP dans SharePoint.Events related to DLP classification in SharePoint.
3535 ProjectProject Événements Microsoft Project.Microsoft Project events.
3636 SharePointListOperationSharePointListOperation Événements de liste SharePoint.SharePoint List events.
3838 DataGovernanceDataGovernance Événements liés aux stratégies de rétention et étiquettes rétention dans le centre de sécurité et conformitéEvents related to retention policies and retention labels in the Security & Compliance Center
4040 SecurityComplianceAlertsSecurityComplianceAlerts Signaux d’alerte de sécurité et conformité.Security and compliance alert signals.
4141 ThreatIntelligenceUrlThreatIntelligenceUrl Événements de liens approuvés de bloc horaire et bloc de remplacement à partir d’Office 365 Advanced Threat Protection.Safe links time-of-block and block override events from Office 365 Advanced Threat Protection.
4242 SecurityComplianceInsightsSecurityComplianceInsights Événements relatifs à des informations et rapports dans le centre de sécurité et conformité Office 365.Events related to insights and reports in the Office 365 security and compliance center.
4343 MIPLabelMIPLabel Événements liés à la détection dans le pipeline de transport de courriers électroniques marqués (de façon manuelle ou automatique) avec des étiquettes de confidentialité.Events related to the detection in the Transport pipeline of email messages that have been tagged (manually or automatically) with sensitivity labels.
4444 WorkplaceAnalyticsWorkplaceAnalytics Événements Workplace Analytics.Workplace Analytics events.
4545 PowerAppsAppPowerAppsApp Événements Power Apps.Power Apps events.
4747 ThreatIntelligenceAtpContentThreatIntelligenceAtpContent Événements d’hameçonnage et programmes malveillants pour les fichiers dans SharePoint, OneDrive Entreprise et Microsoft Teams dans Office 365 Advanced Threat Protection .Phishing and malware events for files in SharePoint, OneDrive for Business, and Microsoft Teams from Office 365 Advanced Threat Protection.
4848 LabelContentExplorerLabelContentExplorer Événements liés à l’explorateur de contenu de la classification des données.Events related to data classification content explorer.
4949 TeamsHealthcareTeamsHealthcare Événements liés à l’application patients dans Microsoft Teams pour la santé.Events related to the Patients application in Microsoft Teams for Healthcare.
5050 ExchangeItemAggregatedExchangeItemAggregated Action d’audit de boîte aux lettres MailItemsAccessed.Events related to the MailItemsAccessed mailbox auditing action.
5151 HygieneEventHygieneEvent Événements liés à la protection contre le courrier indésirable sortant.Events related to outbound spam protection.
5252 DataInsightsRestApiAuditDataInsightsRestApiAudit Informations données sur les événements de l’API REST.Data Insights REST API events.
5454 SharePointListItemOperationSharePointListItemOperation Éléments de liste SharePoint.SharePoint list item events.
5555 SharePointContentTypeOperationSharePointContentTypeOperation Événements de type de contenu de liste SharePoint.SharePoint list content type events.
5656 SharePointFieldOperationSharePointFieldOperation Éléments de champs de liste SharePoint.SharePoint list field events.
6464 AirInvestigationAirInvestigation Événements de réponse aux incidents automatisée (AIR).Automated incident response (AIR) events.
6565 QuarantaineQuarantine Évènements mis en quarantaine.Quarantine events.
6666 MicrosoftFormsMicrosoftForms Événements Microsoft Forms.Microsoft Forms events.
6868 ComplianceSupervisionExchangeComplianceSupervisionExchange Événements suivis par le modèle de langage choquant de conformité aux communications.Events tracked by the Communication compliance offensive language model.

Énumération : User Type - Type : Edm.Int32Enum: User Type - Type: Edm.Int32

Type d’utilisateurUser Type

ValeurValue Nom du membreMember name DescriptionDescription
00 RegularRegular Utilisateur standard.A regular user.
11 ReservedReserved Utilisateur réservé.A reserved user.
22 AdminAdmin Administrateur.An administrator.
33 DcAdminDcAdmin Opérateur du centre de données Microsoft.A Microsoft datacenter operator.
44 SystemSystem Compte système.A system account.
55 ApplicationApplication Application.An application.
66 ServicePrincipalServicePrincipal Principal de service.A service principal.
77 CustomPolicyCustomPolicy Une stratégie personnalisée.A custom policy.
88 SystemPolicySystemPolicy Une stratégie système.A system policy.

Énumération : AuditLogScope - Type : Edm.Int32Enum: AuditLogScope - Type: Edm.Int32

AuditLogScopeAuditLogScope

ValeurValue Nom du membreMember name DescriptionDescription
00 OnlineOnline Cet événement a été créé par un service Office 365 hébergé.This event was created by a hosted O365 service.
11 OnpremOnprem Cet événement a été créé par un serveur local.This event was created by an on-premises server.

Schéma de base SharePointSharePoint Base schema

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
SiteSite Edm.GuidEdm.Guid NonNo GUID du site où se trouve le fichier ou le dossier consulté par l’utilisateur.The GUID of the site where the file or folder accessed by the user is located.
ItemTypeItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" NonNo Type d’objet consulté ou modifié.The type of object that was accessed or modified. Reportez-vous au tableau ItemType pour obtenir plus d’informations sur les types d’objets.See the ItemType table for details on the types of objects.
EventSourceEventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource"Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" NonNo Identifie qu’un événement s’est produit dans SharePoint.Identifies that an event occurred in SharePoint. Valeurs possibles : SharePoint ou ObjectModel.Possible values are SharePoint or ObjectModel.
SourceNameSourceName Edm.StringEdm.String NonNo Entité qui a déclenché l’opération auditée.The entity that triggered the audited operation. Valeurs possibles : SharePoint ou ObjectModel.Possible values are SharePoint or ObjectModel.
UserAgentUserAgent Edm.StringEdm.String NonNo Informations sur le navigateur ou le client de l’utilisateur.Information about the user's client or browser. Ces informations sont fournies par le navigateur ou le client.This information is provided by the client or browser.
MachineDomainInfoMachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Informations sur les opérations de synchronisation de périphérique.Information about device sync operations. Ces informations sont signalées uniquement si elles figurent dans la demande.This information is reported only if it's present in the request.
MachineIdMachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Informations sur les opérations de synchronisation de périphérique.Information about device sync operations. Ces informations sont signalées uniquement si elles figurent dans la demande.This information is reported only if it's present in the request.

Énumération : ItemType - Type : Edm.Int32Enum: ItemType - Type: Edm.Int32

ItemTypeItemType

ValeurValue Nom du membreMember name DescriptionDescription
00 InvalidInvalid L’élément n’est d’aucun des autres types d’éléments (qui sont répertoriés dans ce tableau).The item is none of the other item types (that are listed in this table).
11 FileFile L’élément est un fichier.The item is a file.
55 FolderFolder L’élément est un dossier.The item is a folder.
66 WebWeb L’élément est de type web.The item is a Web.
77 SiteSite L’élément est un site.The item is a site.
88 TenantTenant L’élément est un client.The item is a tenant.
99 DocumentLibraryDocumentLibrary L’élément est une bibliothèque de documents.The item is a document library.
1111 PagePage L’élément est une page.The item is a Page.

Énumération : EventSource - Type : Edm.Int32Enum: EventSource - Type: Edm.Int32

EventSourceEventSource

ValeurValue Nom du membreMember name DescriptionDescription
00 SharePointSharePoint La source de l’événement est SharePoint.The event source is SharePoint.
11 ObjectModelObjectModel La source de l’événement est ObjectModel.The event source is ObjectModel.

Énumération : SharePointAuditOperation - Type : Edm.Int32Enum: SharePointAuditOperation - Type: Edm.Int32

Nom du membreMember name DescriptionDescription
AccèsInvitationAcceptéAccessInvitationAccepted Le destinataire d’une invitation à afficher ou à modifier un fichier (ou dossier) partagé a accédé au fichier partagé en cliquant sur le lien dans l’invitation.The recipient of an invitation to view or edit a shared file (or folder) has accessed the shared file by clicking on the link in the invitation.
AccèsInvitationCrééAccessInvitationCreated L’utilisateur envoie une invitation à une autre personne (interne ou externe à son organisation) pour afficher ou modifier un fichier ou dossier partagé sur un site SharePoint ou OneDrive Entreprise.User sends an invitation to another person (inside or outside their organization) to view or edit a shared file or folder on a SharePoint or OneDrive for Business site. Les détails de l’entrée d’événement identifient le nom du fichier qui a été partagé, l’utilisateur auquel l’invitation a été envoyée et le type d’autorisation de partage sélectionnée par la personne qui a envoyé l’invitation.The details of the event entry identifies the name of the file that was shared, the user the invitation was sent to, and the type of the sharing permission selected by the person who sent the invitation.
AccèsInvitationExpiréAccessInvitationExpired Une invitation envoyée à un utilisateur externe expire. Par défaut, une invitation envoyée à un utilisateur extérieur à votre organisation expire au bout de 7 jours si elle n’est pas acceptée.An invitation sent to an external user expires. By default, an invitation sent to a user outside of your organization expires after 7 days if the invitation isn't accepted.
AccèsInvitationRévoquéAccessInvitationRevoked L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive Entreprise retire une invitation qui a été envoyée à un utilisateur en dehors de votre organisation.The site administrator or owner of a site or document in SharePoint or OneDrive for Business withdraws an invitation that was sent to a user outside your organization. Une invitation peut être retirée uniquement avant d’être acceptée.An invitation can be withdrawn only before it's accepted.
AccessInvitationUpdatedAccessInvitationUpdated L’utilisateur qui a créé et envoyé une invitation à une autre personne pour afficher ou modifier un fichier (ou dossier) partagé sur un site SharePoint ou OneDrive Entreprise renvoie l’invitation.The user who created and sent an invitation to another person to view or edit a shared file (or folder) on a SharePoint or OneDrive for Business site resends the invitation.
AccessRequestApprovedAccessRequestApproved L’administrateur ou le propriétaire d’un site ou d’un document dans SharePoint ou OneDrive Entreprise approuve la demande d’accès au site ou au document.The site administrator or owner of a site or document in SharePoint or OneDrive for Business approves a user request to access the site or document.
AccessRequestCreatedAccessRequestCreated L’utilisateur demande l’accès à un site ou à un document dans SharePoint ou OneDrive Entreprise auquel ils n’est pas autorisé à accéder.User requests access to a site or document in SharePoint or OneDrive for Business that they don't have permission to access.
AccessRequestRejectedAccessRequestRejected L’administrateur de site ou le propriétaire d’un site ou d’un document dans SharePoint refuse la demande d’un utilisateur à accéder au site ou au document.The site administrator or owner of a site or document in SharePoint declines a user request to access the site or document.
ActivationEnabledActivationEnabled Les utilisateurs peuvent activer les modèles de formulaires pour le navigateur qui ne contiennent pas de code de formulaire, qui nécessitent une autorisation totale, qui activent le rendu sur un appareil mobile ou qui utilisent une connexion de données gérée par un administrateur de serveurs.Users can browser-enable form templates that don't contain form code, require full trust, enable rendering on a mobile device, or use a data connection managed by a server administrator.
AdministratorAddedToTermStoreAdministratorAddedToTermStore Ajout d’un administrateur de magasin de termes.Term store administrator added.
AdministratorDeletedFromTermStoreAdministratorDeletedFromTermStore Suppression d’un administrateur de magasin de termes.Term store administrator deleted.
AllowGroupCreationSetAllowGroupCreationSet Le propriétaire ou l’administrateur de site ajoute un niveau d’autorisation à un site SharePoint ou OneDrive Entreprise qui permet aux utilisateurs auxquels cette autorisation est affectée de créer un groupe pour ce site.Site administrator or owner adds a permission level to a SharePoint or OneDrive for Business site that allows a user assigned that permission to create a group for that site.
AppCatalogCreatedAppCatalogCreated Création d’un catalogue d’applications pour mettre à disposition des applications d’entreprise personnalisées pour votre environnement SharePoint.App catalog created to make custom business apps available for your SharePoint Environment.
AuditPolicyRemovedAuditPolicyRemoved Stratégie de cycle de vie de document supprimée pour une collection de sites.Document LifeCycle Policy has been removed for a site collection.
AuditPolicyUpdateAuditPolicyUpdate Stratégie de cycle de vie de document mise à jour pour une collection de sites.Document LifeCycle Policy has been updated for a site collection.
AzureStreamingEnabledSetAzureStreamingEnabledSet Le propriétaire d’un portail vidéo a autorisé la diffusion en continu de vidéos à partir d’Azure.A video portal owner has allowed video streaming from Azure.
CollaborationTypeModifiedCollaborationTypeModified Le type de collaboration autorisé sur les sites (par exemple, intranet, extranet ou public) a été modifié.The type of collaboration allowed on sites (for example, intranet, extranet, or public) has been modified.
ConnectedSiteSettingModifiedConnectedSiteSettingModified L’utilisateur a créé, modifié ou supprimé le lien entre un projet et un site de projets, ou il a modifié le paramètre de synchronisation sur le lien dans Project Web App.User has either created, modified or deleted the link between a project and a project site or the user modifies the synchronization setting on the link in Project Web App.
CreateSSOApplicationCreateSSOApplication Application cible créée dans le service Banque d’informations sécurisé.Target application created in Secure store service.
CustomFieldOrLookupTableCreatedCustomFieldOrLookupTableCreated L’utilisateur a créé un champ personnalisé, ou un élément ou une table de choix dans Project Web App.User created a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableDeletedCustomFieldOrLookupTableDeleted L’utilisateur a supprimé un champ personnalisé, ou un élément ou une table de choix dans Project Web App.User deleted a custom field or lookup table/item in Project Web App.
CustomFieldOrLookupTableModifiedCustomFieldOrLookupTableModified L’utilisateur a modifié un champ personnalisé, ou un élément ou une table de choix dans Project Web App.User modified a custom field or lookup table/item in Project Web App.
CustomizeExemptUsersCustomizeExemptUsers L’administrateur général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint.Global administrator customized the list of exempt user agents in SharePoint admin center. Vous pouvez spécifier les agents utilisateurs à exempter de la réception d’une page web entière à indexer.You can specify which user agents to exempt from receiving an entire Web page to index. Cela signifie que lorsqu’un agent utilisateur que vous avez spécifié comme exempté rencontre un formulaire InfoPath, le formulaire est renvoyé sous la forme d’un fichier XML au lieu d’une page web entière.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file instead of an entire Web page. Cela permet d’accélérer l’indexation des formulaires InfoPath.This makes indexing InfoPath forms faster.
DefaultLanguageChangedInTermStore*DefaultLanguageChangedInTermStore* Paramètre de langue modifié dans le magasin de termes.Language setting changed in the terminology store.
DelegateModifiedDelegateModified Un utilisateur a créé ou modifié un délégué de sécurité dans Project Web App.User created or modified a security delegate in Project Web App.
DelegateRemovedDelegateRemoved Un utilisateur a supprimé un délégué de sécurité dans Project Web App.User deleted a security delegate in Project Web App.
DeleteSSOApplicationDeleteSSOApplication Une application SSO a été supprimée.An SSO application was deleted.
eDiscoveryHoldAppliedeDiscoveryHoldApplied Une conservation inaltérable a été placée sur une source de contenu.An In-Place Hold was placed on a content source. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoveryHoldRemovedeDiscoveryHoldRemoved Une conservation inaltérable a été supprimée d’une source de contenu.An In-Place Hold was removed from a content source. Les conservations inaltérables sont gérées à l’aide d’une collection de sites eDiscovery (par exemple, le centre eDiscovery) dans SharePoint.In-Place Holds are managed by using an eDiscovery site collection (such as the eDiscovery Center) in SharePoint.
eDiscoverySearchPerformedeDiscoverySearchPerformed Une recherche eDiscovery a été effectuée à l’aide d’une collection de sites eDiscovery dans SharePoint.An eDiscovery search was performed using an eDiscovery site collection in SharePoint.
EngagementAcceptedEngagementAccepted Un utilisateur accepte un engagement de ressources dans Project Web App.User accepts a resource engagement in Project Web App.
EngagementModifiedEngagementModified Un utilisateur modifie un engagement de ressources dans Project Web App.User modifies a resource engagement in Project Web App.
EngagementRejectedEngagementRejected Un utilisateur rejette un engagement de ressources dans Project Web App.User rejects a resource engagement in Project Web App.
EnterpriseCalendarModifiedEnterpriseCalendarModified Un utilisateur copie, modifie ou supprime un calendrier d’entreprise dans Project Web App.User copies, modifies or delete an enterprise calendar in Project Web App.
EntityDeletedEntityDeleted Un utilisateur supprime une feuille de temps dans Project Web App.User deletes a timesheet in Project Web App.
EntityForceCheckedInEntityForceCheckedIn Un utilisateur force l’archivage d’un calendrier, d’un champ personnalisé ou d’une table de choix dans Project Web App.User forces a checkin on a calendar, custom field or lookup table in Project Web App.
ExemptUserAgentSetExemptUserAgentSet L’administrateur général ajoute un agent utilisateur à la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint.Global administrator adds a user agent to the list of exempt user agents in the SharePoint admin center.
FileAccessedFileAccessed Un compte d’utilisateur ou système accède à un fichier sur un site SharePoint ou OneDrive Entreprise.User or system account accesses a file on a SharePoint or OneDrive for Business site. Les comptes système peuvent également générer des événements FileAccessed.System accounts can also generate FileAccessed events.
FileCheckOutDiscardedFileCheckOutDiscarded Un utilisateur ignore (ou annule) un fichier extrait. Les modifications qu’il a apportées au fichier le temps de son extraction sont ignorées et ne sont pas enregistrées dans la version du document dans la bibliothèque de documents.User discards (or undos) a checked out file. That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
FileCheckedInFileCheckedIn Un utilisateur vérifie un document qu’il a consulté dans une bibliothèque de documents SharePoint ou OneDrive Entreprise.User checks in a document that they checked out from a SharePoint or OneDrive for Business document library.
FileCheckedOutFileCheckedOut Un utilisateur extrait un document situé dans une bibliothèque de documents SharePoint ou OneDrive Entreprise.User checks out a document located in a SharePoint or OneDrive for Business document library. Les utilisateurs peuvent extraire et apporter des modifications aux documents partagés avec eux.Users can check out and make changes to documents that have been shared with them.
FileCopiedFileCopied Un utilisateur copie un document à partir d’un site SharePoint ou OneDrive Entreprise.User copies a document from a SharePoint or OneDrive for Business site. Le fichier copié peut être enregistré dans un autre dossier sur le site.The copied file can be saved to another folder on the site.
FileDeletedFileDeleted Un utilisateur supprime un document à partir d’un site SharePoint ou OneDrive Entreprise.User deletes a document from a SharePoint or OneDrive for Business site.
FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin Un utilisateur supprime un fichier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise.User deletes a file from the recycle bin on a SharePoint or OneDrive for Business site.
FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin Un utilisateur supprime un fichier dans la corbeille secondaire sur un site SharePoint ou OneDrive Entreprise.User deletes a file from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FileDownloadedFileDownloaded Un utilisateur télécharge un document à partir d’un site SharePoint ou OneDrive Entreprise.User downloads a document from a SharePoint or OneDrive for Business site.
FileFetchedFileFetched Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé.This event has been replaced by the FileAccessed event, and has been deprecated.
FileModifiedFileModified Un compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document situé sur un site SharePoint ou OneDrive Entreprise.User or system account modifies the content or the properties of a document located on a SharePoint or OneDrive for Business site.
FileMovedFileMoved Un utilisateur déplace un document de son emplacement actuel sur un site SharePoint ou OneDrive Entreprise vers un nouvel emplacement.User moves a document from its current location on a SharePoint or OneDrive for Business site to a new location.
FilePreviewedFilePreviewed Un utilisateur affiche l’aperçu d’un document sur un site SharePoint ou OneDrive Entreprise.User previews a document on a SharePoint or OneDrive for Business site.
FileRenamedFileRenamed Un utilisateur renomme un document sur un site SharePoint ou OneDrive Entreprise.User renames a document on a SharePoint or OneDrive for Business site.
FileRestoredFileRestored Un utilisateur restaure un document à partir de la corbeille d’un site SharePoint ou OneDrive Entreprise.User restores a document from the recycle bin of a SharePoint or OneDrive for Business site.
FileSyncDownloadedFullFileSyncDownloadedFull Un utilisateur établit une relation de synchronisation et télécharge des fichiers pour la première fois sur son ordinateur à partir d’une bibliothèque de documents SharePoint ou OneDrive Entreprise.User establishes a sync relationship and successfully downloads files for the first time to their computer from a SharePoint or OneDrive for Business document library.
FileSyncDownloadedPartialFileSyncDownloadedPartial Un utilisateur télécharge les modifications apportées aux fichiers à partir d’une bibliothèque de documents SharePoint ou OneDrive Entreprise.User successfully downloads any changes to files from SharePoint or OneDrive for Business document library. Cet événement indique que les modifications qui ont été apportées aux fichiers dans la bibliothèque de documents ont été téléchargées sur l’ordinateur de l’utilisateur.This event indicates that any changes that were made to files in the document library were downloaded to the user's computer. Seules les modifications ont été téléchargées, car la bibliothèque de documents a été téléchargée précédemment par l’utilisateur (comme indiqué par l’événement FileSyncDownloadedFull).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the FileSyncDownloadedFull event).
FileSyncUploadedFullFileSyncUploadedFull Un utilisateur établit une relation de synchronisation et charge des fichiers pour la première fois de son ordinateur dans une bibliothèque de documents SharePoint ou OneDrive Entreprise.User establishes a sync relationship and successfully uploads files for the first time from their computer to a SharePoint or OneDrive for Business document library.
FileSyncUploadedPartialFileSyncUploadedPartial Un utilisateur charge les modifications apportées aux fichiers dans une bibliothèque de documents SharePoint ou OneDrive Entreprise.User successfully uploads changes to files on a SharePoint or OneDrive for Business document library. Cet événement indique que les modifications apportées à la version locale d’un fichier dans une bibliothèque de documents sont correctement chargées dans la bibliothèque de documents.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Seules les modifications sont chargées, car ces fichiers ont été précédemment chargés par l’utilisateur (comme indiqué par l’événement FileSyncUploadedFull).Only changes are unloaded because those files were previously uploaded by the user (as indicated by the FileSyncUploadedFull event).
FileUploadedFileUploaded Un utilisateur charge un document dans un dossier sur un site SharePoint ou OneDrive Entreprise.User uploads a document to a folder on a SharePoint or OneDrive for Business site.
FileViewedFileViewed Cet événement a été remplacé par l’événement FileAccessed et a été déconseillé.This event has been replaced by the FileAccessed event, and has been deprecated.
FolderCopiedFolderCopied Un utilisateur copie un dossier à partir d’un site SharePoint ou OneDrive Entreprise vers un autre emplacement dans SharePoint ou OneDrive Entreprise.User copies a folder from a SharePoint or OneDrive for Business site to another location in SharePoint or OneDrive for Business.
FolderCreatedFolderCreated Un utilisateur crée un dossier sur un site SharePoint ou OneDrive Entreprise.User creates a folder on a SharePoint or OneDrive for Business site.
FolderDeletedFolderDeleted Un utilisateur supprime un dossier sur un site SharePoint ou OneDrive Entreprise.User deletes a folder from a SharePoint or OneDrive for Business site.
FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin Un utilisateur supprime un dossier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise.User deletes a folder from the recycle bin on a SharePoint or OneDrive for Business site .
FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin Un utilisateur supprime un dossier dans la corbeille secondaire sur un site SharePoint ou OneDrive Entreprise.User deletes a folder from the second-stage recycle bin on a SharePoint or OneDrive for Business site.
FolderModifiedFolderModified Un utilisateur modifie un dossier sur un site SharePoint ou OneDrive Entreprise.User modifies a folder on a SharePoint or OneDrive for Business site. Cet événement inclut les modifications de métadonnées de dossier, telles que les balises et les propriétés.This event includes folder metadata changes, such as tags and properties.
FolderMovedFolderMoved Un utilisateur déplace un dossier à partir d’un site SharePoint ou OneDrive Entreprise.User moves a folder from a SharePoint or OneDrive for Business site.
FolderRenamedFolderRenamed Un utilisateur renomme un dossier sur un site SharePoint ou OneDrive Entreprise.User renames a folder on a SharePoint or OneDrive for Business site.
FolderRestoredFolderRestored Un utilisateur restaure un dossier à partir de la corbeille sur un site SharePoint ou OneDrive Entreprise.User restores a folder from the Recycle Bin on a SharePoint or OneDrive for Business site.
GroupAddedGroupAdded Le propriétaire ou l’administrateur de site crée un groupe pour un site SharePoint ou OneDrive Entreprise, ou effectue une tâche qui entraîne la création d’un groupe.Site administrator or owner creates a group for a SharePoint or OneDrive for Business site, or performs a task that results in a group being created. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive Entreprise de l’utilisateur.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Cet événement peut également être le résultat de la création d’un lien par un utilisateur avec autorisation de modification sur un fichier partagé.This event can also be a result of a user creating a link with edit permissions to a shared file.
GroupRemovedGroupRemoved Un utilisateur supprime un groupe d’un site SharePoint ou OneDrive Entreprise.User deletes a group from a SharePoint or OneDrive for Business site.
GroupUpdatedGroupUpdated Le propriétaire ou l’administrateur de site modifie les paramètres d’un groupe pour un site SharePoint ou OneDrive Entreprise.Site administrator or owner changes the settings of a group for a SharePoint or OneDrive for Business site. Cela peut inclure la modification du nom du groupe, qui peut consulter ou modifier l’appartenance au groupe et la gestion des demandes d’appartenance.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.
LanguageAddedToTermStoreLanguageAddedToTermStore Langue ajoutée au magasin de termes.Language added to the terminology store.
LanguageRemovedFromTermStoreLanguageRemovedFromTermStore Langue supprimée du magasin de termes.Language removed from the terminology store.
LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet Le propriétaire ou l’administrateur du site ajoute le type de contenu de tâche de flux de travail SharePoint au site.Site administrator or owner adds theSharePoint Workflow Task content type to the site. Les administrateurs généraux peuvent également activer les workflows pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.Global administrators can also enable work flows for the entire organization in theSharePoint admin center.
LookAndFeelModifiedLookAndFeelModified Un utilisateur modifie un menu de lancement rapide, les formats de diagramme de Gantt ou les formats de groupe.User modifies a quick launch, gantt chart formats, or group formats. Ou l’utilisateur crée, modifie ou supprime un affichage dans Project Web App. Or the user creates, modifies, or deletes a view in Project Web App.
ManagedSyncClientAllowedManagedSyncClientAllowed Un utilisateur a établi une relation de synchronisation avec un site SharePoint ou OneDrive Entreprise.User successfully establishes a sync relationship with a SharePoint or OneDrive for Business site. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (« liste des destinataires approuvés ») qui peuvent accéder aux bibliothèques de documents de votre organisation.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. Pour plus d’informations sur cette fonctionnalité, reportez-vous à l’article Utiliser Online PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.For more information, see Use SharePoint Online PowerShell to enable OneDrive sync for domains that are on the safe recipients list.
MaxQuotaModifiedMaxQuotaModified Le quota maximal pour un site a été modifié.The maximum quota for a site has been modified.
MaxResourceUsageModifiedMaxResourceUsageModified L’utilisation de ressources maximale autorisée pour un site a été modifiée.The maximum allowable resource usage for a site has been modified.
MySitePublicEnabledSetMySitePublicEnabledSet L’indicateur permettant aux utilisateurs de rendre public un site Mon site a été défini par l’administrateur SharePoint.The flag enabling users to have public MySites has been set by the SharePoint administrator.
NewsFeedEnabledSetNewsFeedEnabledSet Le propriétaire ou l’administrateur de site active les flux RSS pour un site SharePoint ou OneDrive Entreprise.Site administrator or owner enables RSS feeds for a SharePoint or OneDrive for Business site. Les administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
ODBNextUXSettingsODBNextUXSettings Une nouvelle interface utilisateur pour OneDrive Entreprise a été activée.New UI for OneDrive for Business has been enabled.
OfficeOnDemandSetOfficeOnDemandSet L’administrateur de site active Office à la demande, qui permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. « Office à la demande » est activé dans le Centre d’administration SharePoint et nécessite un abonnement Office 365 qui inclut l’installation de l’ensemble des applications Office.Office on Demand is enabled in the SharePoint admin center and requires an Office 365 subscription that includes full, installed Office applications.
PageViewedPageViewed Un utilisateur consulte une page sur un site SharePoint ou OneDrive Entreprise.User views a page on a SharePoint site or OneDrive for Business site. Ceci n’inclut pas l’affichage des fichiers de bibliothèque de documents à partir d’un site SharePoint ou OneDrive Entreprise sur un navigateur.This does not include viewing document library files from a SharePoint site or One Drive for Business site on a browser.
PeopleResultsScopeSetPeopleResultsScopeSet L’administrateur de site crée ou modifie l’origine des résultats pour les recherches de personnes pour un site SharePoint.Site administrator creates or changes the result source for People Searches for a SharePoint site.
PermissionSyncSettingModifiedPermissionSyncSettingModified Un utilisateur modifie les paramètres de synchronisation d’autorisation de projet dans Project Web App.User modifies the project permission sync settings in Project Web App.
PermissionTemplateModifiedPermissionTemplateModified Un utilisateur crée, modifie ou supprime un modèle d’autorisation dans Project Web App.User creates, modifies or deletes a permissions template in Project Web App.
PortfolioDataAccessedPortfolioDataAccessed Un utilisateur accède au contenu du portefeuille (bibliothèque de pilotes, classement par ordre de priorité des pilotes, analyses de portefeuille) dans Project Web App.User accesses portfolio content (driver library, driver prioritization, portfolio analyses) in Project Web App.
PortfolioDataModifiedPortfolioDataModified Un utilisateur crée, modifie ou supprime des données de portefeuille (bibliothèque de pilotes, classement par ordre de priorité des pilotes, analyses de portefeuille) dans Project Web App.User creates, modifies, or deletes portfolio data (driver library, driver prioritization, portfolio analyses) in Project Web App.
PreviewModeEnabledSetPreviewModeEnabledSet L’administrateur de site active l’aperçu de document pour un site SharePoint.Site administrator enables document preview for a SharePoint site.
ProjectAccessedProjectAccessed Un utilisateur accède au contenu d’un projet dans Project Web App.User accesses project content in Project Web App.
ProjectCheckedInProjectCheckedIn Un utilisateur archive un projet qu’il a extrait de Project Web App.User checks in a project that they checked out from a Project Web App.
ProjectCheckedOutProjectCheckedOut Un utilisateur extrait un projet situé dans Project Web App.User checks out a project located in a Project Web App. Les utilisateurs peuvent extraire les projets qu’ils sont autorisés à ouvrir et y apporter des modifications .Users can check out and make changes to projects that they have permission to open.
ProjectCreatedProjectCreated Un utilisateur crée un projet dans Project Web App.User creates a project in Project Web App.
ProjectDeletedProjectDeleted Un utilisateur supprime un projet dans Project Web App.User deletes a project in Project Web App.
ProjectForceCheckedInProjectForceCheckedIn Un utilisateur force l’archivage d’un projet dans Project Web App.User forces a check in on a project in Project Web App.
ProjectModifiedProjectModified Un utilisateur modifie un projet dans Project Web App.User modifies a project in Project Web App.
ProjectPublishedProjectPublished Un utilisateur publie un projet dans Project Web App.User publishes a project in Project Web App.
ProjectWorkflowRestartedProjectWorkflowRestarted Un utilisateur redémarre un flux de travail dans Project Web App.User restarts a workflow in Project Web App.
PWASettingsAccessedPWASettingsAccessed Un utilisateur accède aux paramètres de Project Web App via le modèle CSOM.User access the Project Web App settings via CSOM.
PWASettingsModifiedPWASettingsModified Un utilisateur modifie une configuration de Project Web App.User modifies the a Project Web App configuration.
QueueJobStateModifiedQueueJobStateModified Un utilisateur annule ou redémarre un travail de file d’attente dans Project Web App.User cancels or restarts a queue job in Project Web App.
QuotaWarningEnabledModifiedQuotaWarningEnabledModified Avertissement de quota de stockage modifié.Storage quota warning modified.
RenderingEnabledRenderingEnabled Les modèles de formulaires compatibles avec les navigateurs web seront rendus par les services des formulaires InfoPath.Browser-enabled form templates will be rendered by InfoPath forms services.
ReportingAccessedReportingAccessed Un utilisateur a accédé au point de terminaison de génération de rapports dans Project Web App.User accessed the reporting endpoint in Project Web App.
ReportingSettingModifiedReportingSettingModified Un utilisateur modifie la configuration de la génération de rapports dans Project Web App.User modifies the reporting configuration in Project Web App.
ResourceAccessedResourceAccessed Un utilisateur accède au contenu d’une ressource d’entreprise dans Project Web App.User accesses an enterprise resource content in Project Web App.
ResourceCheckedInResourceCheckedIn Un utilisateur archive une ressource d’entreprise qu’il a extrait de Project Web App.User checks in an enterprise resource that they checked out from Project Web App.
ResourceCheckedOutResourceCheckedOut Un utilisateur extrait une ressource d’entreprise située dans Project Web App.User checks out an enterprise resource located in Project Web App.
ResourceCreatedResourceCreated Un utilisateur crée une ressource d’entreprise dans Project Web App.User creates an enterprise resource in Project Web App.
ResourceDeletedResourceDeleted Un utilisateur supprime une ressource d’entreprise dans Project Web App.User deletes an enterprise resource in Project Web App.
ResourceForceCheckedInResourceForceCheckedIn Un utilisateur force l’archivage d’une ressource d’entreprise dans Project Web App.User forces a checkin of an enterprise resource in Project Web App.
ResourceModifiedResourceModified Un utilisateur modifie une ressource d’entreprise dans Project Web App.User modifies an enterprise resource in Project Web App.
ResourcePlanCheckedInOrOutResourcePlanCheckedInOrOut Un utilisateur archive ou extrait un plan des ressources dans Project Web App.User checks in or out a resource plan in Project Web App.
ResourcePlanModifiedResourcePlanModified Un utilisateur modifie un plan des ressources dans Project Web App.User modifies a resource plan in Project Web App.
ResourcePlanPublishedResourcePlanPublished Un utilisateur publie un plan des ressources dans Project Web App.User publishes a resource plan in Project Web App.
ResourceRedactedResourceRedacted Un utilisateur rédige une ressource d’entreprise supprimant toutes les informations personnelles dans Project Web App.User redacts an enterprise resource removing all personal information in Project Web App.
ResourceWarningEnabledModifiedResourceWarningEnabledModified Avertissement de quota de ressource modifié.Resource quota warning modified.
SSOGroupCredentialsSetSSOGroupCredentialsSet Informations d’identification de groupe définies dans le service Banque d’informations sécurisé.Group credentials set in Secure store service.
SSOUserCredentialsSetSSOUserCredentialsSet Informations d’identification utilisateur définies dans le service Banque d’informations sécurisé.User credentials set in Secure store service.
SearchCenterUrlSetSearchCenterUrlSet URL du Centre de recherche définie.Search center URL set.
SecondaryMySiteOwnerSetSecondaryMySiteOwnerSet Un utilisateur a ajouté un propriétaire secondaire à son site Mon site.A user has added a secondary owner to their MySite.
SecurityCategoryModifiedSecurityCategoryModified Un utilisateur crée, modifie ou supprime une catégorie de sécurité dans Project Web App.User creates, modifies or deletes a security category in Project Web App.
SecurityGroupModifiedSecurityGroupModified Un utilisateur crée, modifie ou supprime un groupe de sécurité dans Project Web App.User creates, modifies or deletes a security group in Project Web App.
SendToConnectionAddedSendToConnectionAdded L’administrateur général crée une nouvelle connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint.Global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Une connexion Envoyer à spécifie les paramètres pour un référentiel de documents ou un centre des enregistrements.A Send To connection specifies settings for a document repository or a records center. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
SendToConnectionRemovedSendToConnectionRemoved L’administrateur général supprime une connexion Envoyer à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint.Global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
SharedLinkCreatedSharedLinkCreated Un utilisateur crée un lien vers un fichier partagé sur un site SharePoint ou OneDrive Entreprise.User creates a link to a shared file in SharePoint or OneDrive for Business. Ce lien peut être envoyé à d’autres personnes pour leur donner accès au fichier.This link can be sent to other people to give them access to the file. Un utilisateur peut créer deux types de liens : un lien qui permet à la personne d’afficher et de modifier le fichier partagé, ou un lien qui permet à la personne d’afficher le fichier uniquement.A user can create two types of links: a link that allows a user to view and edit the shared file, or a link that allows the user to just view the file.
SharedLinkDisabledSharedLinkDisabled Un utilisateur désactive (définitivement) un lien qui a été créé pour partager un fichier.User disables (permanently) a link that was created to share a file.
SharingInvitationAccepted *SharingInvitationAccepted* Un utilisateur accepte une invitation à partager un fichier ou un dossier.User accepts an invitation to share a file or folder. Cet événement est enregistré lorsqu’un utilisateur partage un fichier avec d’autres utilisateurs.This event is logged when a user shares a file with other users.
SharingRevokedSharingRevoked L’utilisateur annule le partage d’un fichier ou d’un dossier qui a été précédemment partagé avec d’autres utilisateurs. Cet événement est enregistré lorsqu’un utilisateur arrête le partage d’un fichier avec d’autres utilisateurs.User unshares a file or folder that was previously shared with other users. This event is logged when a user stops sharing a file with other users.
SharingSetSharingSet Un utilisateur partage un fichier ou un dossier situé dans SharePoint ou OneDrive Entreprise avec un autre utilisateur au sein de son organisation.User shares a file or folder located in SharePoint or OneDrive for Business with another user inside their organization.
SiteAdminChangeRequestSiteAdminChangeRequest Un utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites SharePoint.User requests to be added as a site collection administrator for a SharePoint site collection. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionAdminAdded*SiteCollectionAdminAdded* Le propriétaire ou l’administrateur de collection de sites ajoute une personne en tant qu’administrateur de collection de sites pour un site SharePoint ou OneDrive Entreprise.Site collection administrator or owner adds a person as a site collection administrator for a SharePoint or OneDrive for Business site. Les administrateurs de collection de sites disposent du niveau d’autorisation Contrôle total sur la collection de sites et tous les sous-sites.Site collection administrators have full control permissions for the site collection and all subsites.
SiteCollectionCreatedSiteCollectionCreated L’administrateur général crée une nouvelle collection de sites dans votre organisation SharePoint.Global administrator creates a new site collection in your SharePoint organization.
SiteRenamedSiteRenamed Le propriétaire ou l’administrateur de site renomme un site SharePoint ou OneDrive Entreprise.Site administrator or owner renames a SharePoint or OneDrive for Business site
StatusReportModifiedStatusReportModified Un utilisateur crée, modifie ou supprime un rapport d’état dans Project Web App.User creates, modifies or deletes a status report in Project Web App.
SyncGetChangesSyncGetChanges Un utilisateur clique sur Sync dans la barre d’état d’action dans SharePoint ou OneDrive Entreprise pour synchroniser les modifications éventuelles à classer dans une bibliothèque de documents sur son ordinateur.User clicks Sync in the action tray on in SharePoint or OneDrive for Business to synchronize any changes to file in a document library to their computer.
TaskStatusAccessedTaskStatusAccessed Un utilisateur accède à l’état d’une ou de plusieurs tâches dans Project Web App.User accesses the status of one or more tasks in Project Web App.
TaskStatusApprovedTaskStatusApproved Un utilisateur approuve une mise à jour de l’état d’une ou de plusieurs tâches dans Project Web App.User approves a status update of one or more tasks in Project Web App.
TaskStatusRejectedTaskStatusRejected Un utilisateur rejette une mise à jour de l’état d’une ou de plusieurs tâches dans Project Web App.User rejects a status update of one or more tasks in Project Web App.
TaskStatusSavedTaskStatusSaved Un utilisateur enregistre une mise à jour de l’état d’une ou de plusieurs tâches dans Project Web App.User saves a status update of one or more tasks in Project Web App.
TaskStatusSubmittedTaskStatusSubmitted Un utilisateur soumet une mise à jour de l’état d’une ou de plusieurs tâches dans Project Web App.User submits a status update of one or more tasks in Project Web App.
TimesheetAccessedTimesheetAccessed Un utilisateur accède à une feuille de temps dans Project Web App.User accesses a timesheet in Project Web App.
TimesheetApprovedTimesheetApproved Un utilisateur approuve une feuille de temps dans Project Web App.User approves timesheet in Project Web App.
TimesheetRejectedTimesheetRejected Un utilisateur rejette une feuille de temps dans Project Web App.User rejects a timesheet in Project Web App.
TimesheetSavedTimesheetSaved Un utilisateur enregistre une feuille de temps dans Project Web App.User saves a timesheet in Project Web App.
TimesheetSubmittedTimesheetSubmitted Un utilisateur soumet une feuille de temps de l’état dans Project Web App.User submits a status timesheet in Project Web App.
UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked Un utilisateur tente d’établir une relation de synchronisation avec un site SharePoint ou OneDrive Entreprise sur un ordinateur qui n’est pas membre du domaine de votre organisation ou qui est membre d’un domaine qui n’a pas été ajouté à la liste des domaines (appelée liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation.User tries to establish a sync relationship with a SharePoint or OneDrive for Business site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. La relation de synchronisation n’est pas autorisée et l’ordinateur de l’utilisateur est bloqué en matière de synchronisation, de téléchargement ou de chargement de fichiers dans une bibliothèque de documents.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library. Pour plus d’informations sur cette fonctionnalité, reportez-vous à l’article Utilisation des cmdlet Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
UpdateSSOApplicationUpdateSSOApplication Application cible mise à jour dans le service Banque d’informations sécurisé.Target application updated in Secure store service.
UserAddedToGroupUserAddedToGroup Le propriétaire ou l’administrateur de site ajoute une personne à un groupe sur un site SharePoint ou OneDrive Entreprise.Site administrator or owner adds a person to a group on a SharePoint or OneDrive for Business site. Ajouter une personne à un groupe accorde à l’utilisateur les autorisations qui ont été affectées au groupe.Adding a person to a group grants the user the permissions that were assigned to the group.
UserRemovedFromGroupUserRemovedFromGroup Le propriétaire ou l’administrateur de site supprime une personne d’un groupe sur un site SharePoint ou OneDrive Entreprise.Site administrator or owner removes a person from a group on a SharePoint or OneDrive for Business site. Une fois que la personne est supprimée, elle ne dispose plus des autorisations qui ont été affectées au groupe.After the person is removed, they no longer are granted the permissions that were assigned to the group.
WorkflowModifiedWorkflowModified Un utilisateur crée, modifie ou supprime un type de projet d’entreprise, ou des étapes ou phases de flux de travail dans Project Web App.User creates, modifies, or deletes an Enterprise Project Type or Workflow phases or stages in Project Web App.

Opérations de fichier SharePointSharePoint file operations

Les événements SharePoint relatifs aux fichiers répertoriés dans la section « Activités de fichiers et de dossiers » dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité utilisent ce schéma.The file-related SharePoint events listed in the "File and folder activities" section in Search the audit log in security and compliance center use this schema.

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
SiteUrlSiteUrl Edm.StringEdm.String OuiYes URL du site où se trouve le fichier ou le dossier consulté par l’utilisateur.The URL of the site where the file or folder accessed by the user is located.
SourceRelativeUrlSourceRelativeUrl Edm.StringEdm.String NonNo URL du dossier contenant le fichier consulté par l’utilisateur.The URL of the folder that contains the file accessed by the user. La combinaison des valeurs pour les paramètres SiteURL, SourceRelativeURL et SourceFileName est identique à la valeur de la propriété ObjectID, qui est le nom du chemin d’accès complet au fichier consulté par l’utilisateur.The combination of the values for the SiteURL, SourceRelativeURL, and SourceFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user.
SourceFileNameSourceFileName Edm.StringEdm.String OuiYes Nom du fichier ou du dossier consulté par l’utilisateur.The name of the file or folder accessed by the user.
SourceFileExtensionSourceFileExtension Edm.StringEdm.String NonNo Extension du fichier consulté par l’utilisateur.The file extension of the file that was accessed by the user. Cette propriété est vide si l’objet consulté est un dossier.This property is blank if the object that was accessed is a folder.
DestinationRelativeUrlDestinationRelativeUrl Edm.StringEdm.String NonNo URL du dossier de destination dans lequel un fichier est copié ou déplacé.The URL of the destination folder where a file is copied or moved. La combinaison des valeurs pour les paramètres SiteURL, DestinationRelativeURL et DestinationFileName est identique à la valeur de la propriété ObjectID, qui est le nom du chemin d’accès complet au fichier qui a été copié.The combination of the values for SiteURL, DestinationRelativeURL, and DestinationFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file that was copied. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileNameDestinationFileName Edm.StringEdm.String NonNo Nom du fichier qui est copié ou déplacé.The name of the file that is copied or moved. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved.This property is displayed only for FileCopied and FileMoved events.
DestinationFileExtensionDestinationFileExtension Edm.StringEdm.String NonNo Extension du fichier qui est copié ou déplacé.The file extension of a file that is copied or moved. Cette propriété s’affiche uniquement pour les événements FileCopied et FileMoved.This property is displayed only for FileCopied and FileMoved events.
UserSharedWithUserSharedWith Edm.StringEdm.String NonNo Utilisateur avec lequel une ressource a été partagée.The user that a resource was shared with.
SharingTypeSharingType Edm.StringEdm.String NonNo Type des autorisations de partage qui ont été affectées à l’utilisateur avec lequel la ressource a été partagée.The type of sharing permissions that were assigned to the user that the resource was shared with. Cet utilisateur est identifié par le paramètre UserSharedWith.This user is identified by the UserSharedWith parameter.

Schéma de partage SharePointSharePoint Sharing schema

Événements SharePoint relatifs au partage de fichier.The file share-related SharePoint events. Il s’agit de différents événements relatifs aux fichiers et aux dossiers dans lesquels un utilisateur effectue une action qui a certains effets sur un autre utilisateur.They are different from file- and folder-related events in that a user is taking an action that has some effect on another user. Pour plus d’informations sur le schéma de partage SharePoint, reportez-vous à l’article relatif à l’utilisation du partage de l’audit dans le journal d’audit Office 365.For information about the SharePoint Sharing schema, see Use sharing auditing in the Office 365 audit log.

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
TargetUserOrGroupNameTargetUserOrGroupName Edm.StringEdm.String NonNo Stocke le nom d’utilisateur principal (UPN), ou le nom du groupe ou de l’utilisateur cible avec lequel une ressource a été partagée.Stores the UPN or name of the target user or group that a resource was shared with.
TargetUserOrGroupTypeTargetUserOrGroupType Edm.StringEdm.String NonNo Détermine si le groupe ou l’utilisateur cible est un membre, un invité, un groupe ou un partenaire.Identifies whether the target user or group is a Member, Guest, Group, or Partner.
EventDataEventData Code XMLXML code NonNo Indique les informations de suivi concernant l’action de partage qui s’est produite. Par exemple, l’ajout d’un utilisateur à un groupe ou l’octroi d’autorisations de modification.Conveys follow-up information about the sharing action that has occurred, such as adding a user to a group or granting edit permissions.

Schéma SharePointSharePoint schema

Les événements SharePoint répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité (sans compter les événements de fichiers et de dossiers) utilisent ce schéma.The SharePoint events listed in Search the audit log in security and compliance center (excluding the file and folder events) use this schema.

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
CustomEventCustomEvent Edm.StringEdm.String NonNo Chaîne facultative pour les événements personnalisés.Optional string for custom events.
EventDataEventData Edm.StringEdm.String NonNo Charge utile facultative pour les événements personnalisés.Optional payload for custom events.
ModifiedPropertiesModifiedProperties Collection(ModifiedProperty)Collection(ModifiedProperty) NonNo La propriété est incluse pour les événements d’administration, par exemple l’ajout d’un utilisateur en tant que membre d’un site ou d’un groupe d’administration d’une collection de sites.The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. La propriété inclut le nom de la propriété modifiée (par exemple, le groupe d’administrateurs du site), la nouvelle valeur de la propriété modifiée (comme l’utilisateur qui a été ajouté en tant qu’administrateur du site) et la valeur précédente de l’objet modifié.The property includes the name of the property that was modified (for example, the Site Admin group), the new value of the modified property (such the user who was added as a site admin), and the previous value of the modified object.

Schéma ProjectProject schema

ParamètreParameter TypeType Obligatoire ?Mandatory? DescriptionDescription
EntityEntity Edm.StringEdm.String OuiYes ProjectEntity pour laquelle l’audit a été effectué.ProjectEntity the audit was for.
ActionAction Edm.StringEdm.String OuiYes ProjectAction qui a été effectuée.ProjectAction that was taken.
OnBehalfOfResIdOnBehalfOfResId Edm.GuidEdm.Guid NonNo ID de ressource au nom duquel l’action a été effectuée.The resource Id the action was taken on behalf of.

Énumération : Project Action - Type : Edm.Int32Enum: Project Action - Type: Edm.Int32

Action de projetProject action

Nom du membreMember name DescriptionDescription
AcceptedAccepted L’utilisateur a accepté un événement ou un flux de travail.The user accepted an event or workflow.
AccessedAccessed L’utilisateur a accédé à une entité.The user accessed an entity.
ActivatedActivated L’utilisateur a activé une entité, un événement ou un flux de travail.The user activated an entity, event or workflow.
CancelledCancelled L’utilisateur a annulé un événement ou un flux de travail.The user cancelled an event or workflow.
CheckedInCheckedIn L’utilisateur a archivé une entité.The user check in an entity.
CheckedOutCheckedOut L’utilisateur a extrait une entité.The user checkout an entity.
CopiedCopied L’utilisateur a copié une entité.The user copied an entity.
CreatedCreated L’utilisateur a créé une entité.The user created an entity.
DeactivatedDeactivated L’utilisateur a désactivé une entité.The user deactivated an entity.
DeletedDeleted L’utilisateur a supprimé une entité.The user deleted an entity.
ExportedExported L’utilisateur a exporté une entité.The user exported an entity.
ForceCheckedInForceCheckedIn L’utilisateur a forcé l’archivage d’une entité.The user caused an entity to be force checked in.
ModifiedModified L’utilisateur a modifié une entité.The user modified an entity.
PublishedPublished L’utilisateur a publié une entité.The user published an entity.
RedactedRedacted L’utilisateur a rédigé une entité.The user redacted an entity.
RejectedRejected L’utilisateur a rejeté une entité.The user rejected an entity.
RestartedRestarted L’utilisateur a redémarré un événement ou un flux de travail.The user restarted an event or workflow.
SavedSaved L’utilisateur a enregistré une entité.The user saved an entity.
SentSent L’utilisateur a envoyé une entité.The user sent an entity.
SubmittedSubmitted L’utilisateur a soumis une entité pour révision ou un flux de travail.The user submitted an entity for review or workflow.

Énumération : Project Entity - Type : Edm.Int32Enum: Project Entity - Type: Edm.Int32

Entité de projetProject entity

Nom du membreMember name DescriptionDescription
CustomFieldCustomField Représente un champ personnalisé d’entreprise.Represents an enterprise custom field.
DriverDriver Représente un pilote de portefeuille.Represents a portfolio driver.
DriverPrioritizationDriverPrioritization Représente une définition de priorités de portefeuille.Represents a portfolio prioritization.
EngagementEngagement Représente un engagement de ressources.Represents a resource engagement.
EnterpriseCalendarEnterpriseCalendar Représente un calendrier des ressources d’entreprise.Represents a enterprise resource calendar.
EnterpriseProjectTypeEnterpriseProjectType Représente un type de projet d’entreprise.Represents an enterprise project type.
FiscalPeriodFiscalPeriod Représente une période fiscale.Represents a fiscal period.
GanttChartFormatGanttChartFormat Représente un format de diagramme de Gantt.Represents a gantt chart format.
GroupingFormatGroupingFormat Représente un format de regroupement d’affichage.Represents a view grouping format.
LineClassificationLineClassification Représente une classification de ligne de feuille de temps.Represents a timesheet line classification.
LookupTableLookupTable Représente une table de choix d’entreprise.Represents a enterprise lookup table.
PermissionTemplatePermissionTemplate Représente un modèle d’autorisation de sécurité.Represents a security permission template.
PortfolioAnalysisPortfolioAnalysis Représente une analyse de portefeuille.Represents a portfolio analysis.
ProjectProject Représente un projet.Represents a project.
QueueJobQueueJob Représente un travail de file d’attente.Represents a queue job.
QuickLaunchQuickLaunch Représente un élément de lancement rapide.Represents a quick launch item.
ReportingReporting Représente le point de terminaison de génération de rapports.Represents the reporting endpoint.
ResourceResource Représente une ressource d’entreprise.Represents an enterprise resource.
ResourcePlanResourcePlan Représente un plan des ressources associé à un projet.Represents a resource plan associated with A project.
SecurityCategorySecurityCategory Représente une catégorie de sécurité.Represents a security category.
SecurityGroupSecurityGroup Représente un groupe de sécurité.Represents a security group.
SettingSetting Représente un paramètre Project Web App.Represents a Project Web App setting
StatusingStatusing Représente une mise à jour de l’état de tâche.Represents a task status update.
StatusReportStatusReport Représente un rapport d’état.Represents a status report.
TimeReportingPeriodTimeReportingPeriod Représente une période pour une feuille de temps.Represents a period of time for a timesheet
TimesheetTimesheet Représente une entité de feuille de temps.Represents a timesheet entity.
TimesheetAuditLogTimesheetAuditLog Représente un journal d’audit de feuille de temps.Represents a timesheet audit log.
TimesheetManagerTimesheetManager Représente le gestionnaire d’une feuille de temps.Represents the manager of a timesheet.
UserDelegateUserDelegate Représente une délégation d’utilisateur pour un autre utilisateur.Represents a user delegation for another user.
ViewView Représente une définition de l’affichage.Represents a view definition.
WorkflowPhaseWorkflowPhase Représente une phase dans un flux de travail.Represents a phase in a workflow.
WorkflowStageWorkflowStage Représente une étape dans un flux de travail.Represents a stage in a workflow.

Schéma d’administration ExchangeExchange Admin schema

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
ModifiedObjectResolvedNameModifiedObjectResolvedName Edm.StringEdm.String NonNo Il s’agit du nom convivial de l’objet modifié par la cmdlet.This is the user friendly name of the object that was modified by the cmdlet. Ce paramètre est enregistré uniquement si la cmdlet modifie l’objet.This is logged only if the cmdlet modifies the object.
ParamètresParameters Collection(Common.NameValuePair)Collection(Common.NameValuePair) NonNo Nom et valeur de tous les paramètres utilisés avec la cmdlet identifiée dans la propriété Operations.The name and value for all parameters that were used with the cmdlet that is identified in the Operations property.
ModifiedPropertiesModifiedProperties Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty) NonNo Propriété incluse pour les événements d’administration.The property is included for admin events. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de l’objet modifié.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified object.
ExternalAccessExternalAccess Edm.BooleanEdm.Boolean OuiYes Spécifie si la cmdlet a été exécutée par un utilisateur dans votre organisation, par le personnel du centre de données Microsoft ou par un compte de service du centre de données, ou par un administrateur délégué.Specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. La valeur False indique que la cmdlet a été exécutée par un membre de votre organisation.The value False indicates that the cmdlet was run by someone in your organization. La valeur True indique que la cmdlet a été exécutée par le personnel du centre de données, un compte de service du centre de données ou un administrateur délégué.The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
OriginatingServerOriginatingServer Edm.StringEdm.String NonNo Nom du serveur à partir duquel la cmdlet a été exécutée.The name of the server from which the cmdlet was executed.
OrganizationNameOrganizationName Edm.StringEdm.String NonNo Nom du client.The name of the tenant.

Schéma de boîte aux lettres ExchangeExchange Mailbox schema

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
LogonTypeLogonType Self.LogonTypeSelf.LogonType NonNo Indique le type d’utilisateur ayant accédé à la boîte aux lettres et effectué l’opération qui a été enregistrée.Indicates the type of user who accessed the mailbox and performed the operation that was logged.
InternalLogonTypeInternalLogonType Self.LogonTypeSelf.LogonType NonNo Réservé à une utilisation interne.Reserved for internal use.
MailboxGuidMailboxGuid Edm.StringEdm.String NonNo GUID Exchange de la boîte aux lettres consultée.The Exchange GUID of the mailbox that was accessed.
MailboxOwnerUPNMailboxOwnerUPN Edm.StringEdm.String NonNo Adresse de messagerie du propriétaire de la boîte aux lettres consultée.The email address of the person who owns the mailbox that was accessed.
MailboxOwnerSidMailboxOwnerSid Edm.StringEdm.String NonNo SID du propriétaire de la boîte aux lettres.The SID of the mailbox owner.
MailboxOwnerMasterAccountSidMailboxOwnerMasterAccountSid Edm.StringEdm.String NonNo SID du compte principal du compte du propriétaire de la boîte aux lettres.Mailbox owner account's master account SID.
LogonUserSidLogonUserSid Edm.StringEdm.String NonNo SID de l’utilisateur ayant effectué l’opération.The SID of the user who performed the operation.
LogonUserDisplayNameLogonUserDisplayName Edm.StringEdm.String NonNo Nom convivial de l’utilisateur ayant effectué l’opération.The user-friendly name of the user who performed the operation.
ExternalAccessExternalAccess Edm.BooleanEdm.Boolean OuiYes La valeur est True si le domaine de l’utilisateur de connexion est différent du domaine du propriétaire de la boîte aux lettres.This is true if the logon user's domain is different from the mailbox owner's domain.
OriginatingServerOriginatingServer Edm.StringEdm.String NonNo Il s’agit de l’emplacement où l’opération a été lancée.This is from where the operation originated.
OrganizationNameOrganizationName Edm.StringEdm.String NonNo Nom du client.The name of the tenant.
ClientInfoStringClientInfoString Edm.StringEdm.String NonNo Informations sur le client de messagerie que vous avez utilisé pour effectuer l’opération, comme la version d’un navigateur, la version d’Outlook et les informations d’appareil mobile.Information about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information.
ClientIPAddressClientIPAddress Edm.StringEdm.String NonNo Adresse IP du périphérique utilisé lors de la journalisation de l’opération.The IP address of the device that was used when the operation was logged. L’adresse IP apparaît au format IPv4 ou IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
ClientMachineNameClientMachineName Edm.StringEdm.String NonNo Nom de l’ordinateur qui héberge le client Outlook.The machine name that hosts the Outlook client.
ClientProcessNameClientProcessName Edm.StringEdm.String NonNo Client de messagerie que vous avez utilisé pour accéder à la boîte aux lettres.The email client that was used to access the mailbox.
ClientVersionClientVersion Edm.StringEdm.String NonNo Version du client de messagerie.The version of the email client .

Énumération : LogonType - Type : Edm.Int32Enum: LogonType - Type: Edm.Int32

LogonTypeLogonType

ValeurValue Nom du membreMember name DescriptionDescription
00 OwnerOwner Propriétaire de la boîte aux lettres.The mailbox owner.
11 AdminAdmin Personne disposant des privilèges d’administration pour la boîte aux lettres d’un utilisateur.A person with administrative privileges for someone's mailbox.
22 DelegatedDelegated Personne disposant des privilèges de délégué pour la boîte aux lettres d’un utilisateur.A person with the delegate privileges for someone's mailbox.
33 TransportTransport Service de transport dans le centre de données Microsoft.A transport service in the Microsoft datacenter.
44 SystemServiceSystemService Compte de service dans le centre de données MicrosoftA service account in the Microsoft datacenter
55 BestAccessBestAccess Réservé à une utilisation interne.Reserved for internal use.
66 DelegatedAdminDelegatedAdmin Administrateur délégué.A delegated administrator.

Schéma ExchangeMailboxAuditGroupRecordExchangeMailboxAuditGroupRecord schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
FolderFolder Self.ExchangeFolderSelf.ExchangeFolder NonNo Dossier où se trouve un groupe d’éléments.The folder where a group of items is located.
CrossMailboxOperationsCrossMailboxOperations Edm.BooleanEdm.Boolean NonNo Indique si l’opération a impliqué plusieurs boîtes aux lettres.Indicates if the operation involved more than one mailbox.
DestMailboxIdDestMailboxId Edm.GuidEdm.Guid NonNo Défini uniquement si le paramètre CrossMailboxOperations est True.Set only if the CrossMailboxOperations parameter is True. Indique le GUID de la boîte aux lettres cible.Specifies the target mailbox GUID.
DestMailboxOwnerUPNDestMailboxOwnerUPN Edm.StringEdm.String NonNo Défini uniquement si le paramètre CrossMailboxOperations est True.Set only if the CrossMailboxOperations parameter is True. Indique l’UPN du propriétaire de la boîte aux lettres cible.Specifies the UPN of the owner of the target mailbox.
DestMailboxOwnerSidDestMailboxOwnerSid Edm.StringEdm.String NonNo Défini uniquement si le paramètre CrossMailboxOperations est True.Set only if the CrossMailboxOperations parameter is True. Indique le SID de la boîte aux lettres cible.Specifies the SID of the target mailbox.
DestMailboxOwnerMasterAccountSidDestMailboxOwnerMasterAccountSid Edm.StringEdm.String NonNo Défini uniquement si le paramètre CrossMailboxOperations est True.Set only if the CrossMailboxOperations parameter is True. Spécifie le SID du compte principal du propriétaire de la boîte aux lettres cible.Specifies the SID for the master account SID of the target mailbox owner.
DestFolderDestFolder Self.ExchangeFolderSelf.ExchangeFolder NonNo Dossier de destination pour les opérations telles qu’un déplacement.The destination folder, for operations such as Move.
FoldersFolders Collection(Self.ExchangeFolder)Collection(Self.ExchangeFolder) NonNo Informations sur les dossiers source impliqués dans une opération. Par exemple, si les dossiers sont sélectionnés, puis supprimés.Information about the source folders involved in an operation; for example, if folders are selected and then deleted.
AffectedItemsAffectedItems Collection(Self.ExchangeItem)Collection(Self.ExchangeItem) NonNo Informations sur chaque élément dans le groupe.Information about each item in the group.

Schéma ExchangeMailboxAuditRecordExchangeMailboxAuditRecord schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ItemItem Self.ExchangeItemSelf.ExchangeItem NonNo Représente l’élément sur lequel l’opération a été effectuée.Represents the item upon which the operation was performed
ModifiedPropertiesModifiedProperties Collection(Edm.String)Collection(Edm.String) NonNo À déterminerTBD
SendAsUserSmtpSendAsUserSmtp Edm.StringEdm.String NonNo Adresse SMTP de l’utilisateur qui est empruntée.SMTP address of the user who is being impersonated.
SendAsUserMailboxGuidSendAsUserMailboxGuid Edm.GuidEdm.Guid NonNo GUID Exchange de la boîte aux lettres consultée pour envoyer un message électronique.The Exchange GUID of the mailbox that was accessed to send email as.
SendOnBehalfOfUserSmtpSendOnBehalfOfUserSmtp Edm.StringEdm.String NonNo Adresse SMTP de l’utilisateur au nom duquel le message électronique est envoyé.SMTP address of the user on whose behalf the email is sent.
SendOnBehalfOfUserMailboxGuidSendOnBehalfOfUserMailboxGuid Edm.GuidEdm.Guid NonNo GUID Exchange de la boîte aux lettres consultée pour le compte duquel envoyer un message électronique.The Exchange GUID of the mailbox that was accessed to send mail on behalf of.

Type complexe ExchangeItemExchangeItem complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
IDId Edm.StringEdm.String OuiYes ID de magasin.The store ID.
SubjectSubject Edm.StringEdm.String NonNo Ligne d’objet du message qui a été consulté.The subject line of the message that was accessed.
ParentFolderParentFolder Edm.ExchangeFolderEdm.ExchangeFolder NonNo Nom du dossier dans lequel se trouve l’élément.The name of the folder where the item is located.
AttachmentsAttachments Edm.StringEdm.String NonNo Liste des noms et taille du fichier de tous les éléments joints au message.A list of the names and file size of all items that are attached to the message.

Type complexe ExchangeFolderExchangeFolder complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
IDId Edm.StringEdm.String OuiYes ID de magasin de l’objet du dossier.The store ID of the folder object.
PathPath Edm.StringEdm.String NonNo Nom de dossier de la boîte aux lettres dans laquelle se trouve le message consulté.The name of the mailbox folder where the message that was accessed is located.

Schéma de base Azure Active DirectoryAzure Active Directory Base schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType Self.AzureActiveDirectoryEventTypeSelf.AzureActiveDirectoryEventType OuiYes Type d’événement Azure AD.The type of Azure AD event.
ExtendedPropertiesExtendedProperties Collection(Common.NameValuePair)Collection(Common.NameValuePair) NonNo Propriétés étendues de l’événement Azure AD.The extended properties of the Azure AD event.
ModifiedPropertiesModifiedProperties Collection(Common.ModifiedProperty)Collection(Common.ModifiedProperty) NonNo Cette propriété est incluse pour les événements d’administration.This property is included for admin events. La propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée.The property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.

Énumération : AzureActiveDirectoryEventType - Type : Edm.Int32Enum: AzureActiveDirectoryEventType - Type -Edm.Int32

AzureActiveDirectoryEventTypeAzureActiveDirectoryEventType

Nom du membreMember name DescriptionDescription
AccountLogonAccountLogon Événement de connexion au compte.The account login event.
AzureApplicationAuditEventAzureApplicationAuditEvent Événement de sécurité de l’application Azure.The Azure application security event.

Schéma de connexion au compte Azure Active DirectoryAzure Active Directory Account Logon schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ApplicationApplication Edm.StringEdm.String NonNo Application qui déclenche l’événement de connexion au compte. Par exemple, Office 15.The application that triggers the account login event, such as Office 15.
ClientClient Edm.StringEdm.String NonNo Détails sur le périphérique client, le système d’exploitation du périphérique et le navigateur du périphérique qui ont été utilisés pour l’événement de connexion au compte.Details about the client device, device OS, and device browser that was used for the of the account login event.
LoginStatusLoginStatus Edm.Int32Edm.Int32 OuiYes Cette propriété provient directement de l’élément OrgIdLogon.LoginStatus.This property is from OrgIdLogon.LoginStatus directly. Le mappage de différents échecs de connexion intéressants peut être effectué à l’aide d’algorithmes d’alerte.The mapping of various interesting logon failures could be done by alerting algorithms.
UserDomainUserDomain Edm.StringEdm.String OuiYes Informations sur l’identité du client (TII).The Tenant Identity Information (TII).

Énumération : CredentialType - Type : Edm.Int32Enum: CredentialType - Type: Edm.Int32

ValeurValue Nom du membreMember name DescriptionDescription
-1-1 OtherOther Autre authentification.Other authentication.
00 PasswordPassword Les informations d’identification utilisateur sont le nom d’utilisateur et le mot de passe.User credential is username and password.
11 MobilePhoneMobilePhone Les informations d’identification utilisateur correspondent à un téléphone mobile.User credential is mobile phone.
22 SecretQuestionSecretQuestion Les informations d’identification utilisateur correspondent à une question secrète.User credential is secret question.
33 SecurePinSecurePin Les informations d’identification utilisateur correspondent à un code confidentiel sécurisé.User credential is secure PIN.
44 SecurePinResetSecurePinReset Les informations d’identification utilisateur correspondent à une réinitialisation du code confidentiel sécurisé.User credential is secure PIN reset.
1111 EasyIDEasyID Les informations d’identification utilisateur correspondent à EasyID.User credential is EasyID.
1414 PasswordIndexCredentialTypePasswordIndexCredentialType Les informations d’identification utilisateur correspondent à PasswordIndexCredentialType.User credential is PasswordIndexCredentialType.
1616 DeviceDevice Les informations d’identification utilisateur correspondent à un périphérique.User credential is a device.
1717 ForeignRealmIndexForeignRealmIndex Les informations d’identification utilisateur correspondent à ForeignRealmIndex.User credential is ForeignRealmIndex.

Énumération : LoginType - Type : Edm.Int32Enum: LoginType - Type: Edm.Int32

ValeurValue Nom du membreMember name DescriptionDescription
-1-1 OtherOther Autre type i.Other i type.
11 InitialAuthInitialAuth Connexion avec l’authentification initialeLogin with initial authentication
22 CookieCopyCookieCopy Connectez-vous avec le cookie.Login with cookie.
33 SilentReAuthSilentReAuth Connectez-vous avec une authentification multiple en mode silencieux.Login with silent re-authentication.

Énumération : AuthenticationMethod - Type : Edm.Int32Enum: AuthenticationMethod - Type: Edm.Int32

ValeurValue Nom du membreMember name DescriptionDescription
00 MinMin La méthode d’authentification est Min.The authentication method is a Min
11 PasswordPassword La méthode d’authentification est un mot de passe.The authentication method is a password.
22 DigestDigest La méthode d’authentification est Digest.The authentication method is a digest.
33 ProxyAuthProxyAuth La méthode d’authentification ProxyAuth.The authentication method is a ProxyAuth.
44 InfoCardInfoCard La méthode d’authentification est InfoCard.The authentication method is an InfoCard
55 DATokenDAToken La méthode d’authentification est DAToken.The authentication method is a DAToken.
66 Sha1RememberMyPasswordSha1RememberMyPassword La méthode d’authentification est Sha1RememberMyPassword.The authentication method is a Sha1RememberMyPassword.
77 LMPasswordHashLMPasswordHash La méthode d’authentification est LMPasswordHash.The authentication method is an LMPasswordHash.
88 ADFSFederatedTokenADFSFederatedToken La méthode d’authentification est ADFSFederatedToken.The authentication method is an ADFSFederatedToken.
99 EIDEID La méthode d’authentification est EID.The authentication method is an EID.
1010 DeviceIDDeviceID La méthode d’authentification est DeviceID.The authentication method is a DeviceID.
1111 MD5MD5 La méthode d’authentification est MD5.The authentication method is MD5.
1212 EncProxyPasswordHashEncProxyPasswordHash La méthode d’authentification est EncProxyPasswordHash.The authentication method is a EncProxyPasswordHash.
1313 LWAFederationLWAFederation La méthode d’authentification est LWAFederation.The authentication method is a LWAFederation.
1414 Sha1HashedPasswordSha1HashedPassword La méthode d’authentification est Sha1HashedPassword.The authentication method is a Sha1HashedPassword.
1515 SecurePinSecurePin La méthode d’authentification est un code confidentiel sécurisé.The authentication method is a secure Pin.
1616 SecurePinResetSecurePinReset La méthode d’authentification est une réinitialisation de code confidentiel sécurisé.The authentication method is a secure PIN reset.
1717 SAML20PostSimpleSignSAML20PostSimpleSign La méthode d’authentification est SAML20PostSimpleSign.The authentication method is a SAML20PostSimpleSign.
1818 SAML20PostSAML20Post La méthode d’authentification est SAML20Post.The authentication method is a SAML20Post.
1919 OneTimeCodeOneTimeCode La méthode d’authentification est un code à usage unique.The authentication method is a one-time code.

Schéma Azure Active DirectoryAzure Active Directory schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ActorActor Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair) NonNo Utilisateur ou principal de service ayant exécuté l’action.The user or service principal that performed the action.
ActorContextIdActorContextId Edm.StringEdm.String NonNo GUID de l’organisation à laquelle appartient l’acteur.The GUID of the organization that the actor belongs to.
ActorIpAddressActorIpAddress Edm.StringEdm.String NonNo Adresse IP de l’acteur au format d’adresse IPV4 ou IPV6.The actor's IP address in IPV4 or IPV6 address format.
InterSystemsIdInterSystemsId Edm.StringEdm.String NonNo GUID effectuant le suivi des actions au sein des composants dans le service Office 365.The GUID that track the actions across components within the Office 365 service.
IntraSystemsIdIntraSystemsId Edm.StringEdm.String NonNo GUID généré par Azure Active Directory pour effectuer le suivi de l’action.The GUID that's generated by Azure Active Directory to track the action.
SupportTicketIdSupportTicketId Edm.StringEdm.String NonNo ID de ticket de prise en charge de client pour l’action dans les situations « agir au nom d’un autre utilisateur ».The customer support ticket ID for the action in "act-on-behalf-of" situations.
TargetTarget Collection(Self.IdentityTypeValuePair)Collection(Self.IdentityTypeValuePair) NonNo Utilisateur sur lequel a été effectuée l’action (identifiée par la propriété Operation).The user that the action (identified by the Operation property) was performed on.
TargetContextIdTargetContextId Edm.StringEdm.String NonNo GUID de l’organisation à laquelle appartient l’utilisateur ciblé.The GUID of the organization that the targeted user belongs to.

Type complexe IdentityTypeValuePairComplex Type IdentityTypeValuePair

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
IDID Edm.StringEdm.String OuiYes Valeur de l’identité en fonction du type.The value of the identity given the type.
TypeType Self.IdentityTypeSelf.IdentityType OuiYes Type de l’identité.The type of the identity.

Énumération : IdentityType - Type : Edm.Int32Enum: IdentityType - Type: Edm.Int32

IdentityTypeIdentityType

Nom du membreMember name DescriptionDescription
ClaimClaim L’identité est une revendication à des fins d’autorisation.The identity is a claim for authorization purpose.
NameName Nom d’affichage de l’identité cible ou de l’acteur de l’action d’audit.The audit action actor or target identity display name.
OtherOther L’identité de l’acteur est d’un autre type. Par exemple, ObjectId dans le GUID généré par le service Office 365.The identity of the actor is other type, such as the ObjectId in GUID generated by the Office 365 service.
PUIDPUID ID unique Passport (PUID) cible ou ID de l’acteur de l’action d’audit.The audit action actor or the target passport unique ID (PUID).
SPNSPN Identité d’un principal de service si l’action est effectuée par le service Office 365.The identity of a service principal if the action is performed by the Office 365 service.
UPNUPN Nom d’utilisateur principal.The user principal name.

Schéma de connexion STS (Secure Token Service) dans Azure Active Directory.Azure Active Directory Secure Token Service (STS) Logon schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ApplicationIdApplicationId Edm.StringEdm.String NonNo GUID représentant l’application qui demande la connexion.The GUID that represents the application that is requesting the login. Le nom d’affichage peut être recherché via l’API Graph Azure Active Directory.The display name can be looked up via the Azure Active Directory Graph API.
ClientClient Edm.StringEdm.String NonNo Informations sur le périphérique client, fournies par le navigateur exécutant la connexion.Client device information, provided by the browser performing the login.
LogonErrorLogonError Edm.StringEdm.String NonNo En cas d’échec de connexion, la raison de l’échec est indiquée dans ce paramètre.For failed logins, contains the reason why the login failed. Pour obtenir une description complète des erreurs LogonError, voir la liste des codes d’erreur d’authentification et d’autorisation.For a complete description of LogonErrors refer to the list of Authentication and authorization error codes.

Schéma DLPDLP schema

Les événements DLP sont disponibles pour Exchange Online, SharePoint Online et OneDrive Entreprise.DLP events are available for Exchange Online, SharePoint Online, and OneDrive For Business. Les événements DLP dans Exchange sont disponibles uniquement pour les événements reposant sur la stratégie DLP unifiée (par exemple, configuration via le Centre de sécurité et de conformité).Note that DLP events in Exchange are only available for events based on unified DLP policy (e.g. configured via Security & Compliance Center). Les événements DLP reposant sur les règles de transport Exchange ne sont pas pris en charge.DLP events based on Exchange Transport Rules are not supported.

Les événements DLP (prévention contre la perte de données) ont toujours UserKey="DlpAgent" dans le schéma commun.DLP (Data Loss Prevention) events will always have UserKey="DlpAgent" in the common schema. Il existe trois types d’événements DLP qui sont stockés en tant que valeur de la propriété Operation du schéma commun :There are three types of DlpEvents that are stored as the value of the Operation property of the common schema:

  • DlpRuleMatch : indique qu’une règle a été satisfaite.DlpRuleMatch - This indicates a rule was matched. Ces événements existent dans Exchange, SharePoint Online et OneDrive Entreprise.These events exist in both Exchange and SharePoint Online and OneDrive for Business. Pour Exchange, cela inclut les informations de remplacement et sur les faux positifs.For Exchange it includes false positive and override information. Pour SharePoint Online et OneDrive Entreprise, les faux positifs et les remplacements génèrent des événements distincts.For SharePoint Online and OneDrive for Business, false positive and overrides generate separate events.

  • DlpRuleUndo : ces événements existent uniquement dans SharePoint Online et OneDrive Entreprise. Ils indiquent qu’une action de stratégie précédemment appliquée a été « annulée » en raison de la désignation d’un faux positif/remplacement par l’utilisateur, ou car le document n’est plus soumis à la stratégie (en raison d’une modification de la stratégie ou du contenu d’un document).DlpRuleUndo - These only exist in SharePoint Online and OneDrive for Business, and indicate a previously applied policy action has been "undone" – either because of false positive/override designation by user, or because the document is no longer subject to policy (either due to policy change or change to content in doc).

  • DlpInfo : ces événements existent uniquement dans SharePoint Online et OneDrive Entreprise. Ils indiquent la désignation d’un faux positif, mais aucune action n’a été « annulée ».DlpInfo - These only exist in SharePoint Online and OneDrive for Business and indicate a false positive designation but no action was "undone."

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
SharePointMetaDataSharePointMetaData Self.SharePointMetadataSelf.SharePointMetadata NonNo Décrit les métadonnées relatives au document dans SharePoint ou OneDrive Entreprise contenant les informations sensibles.Describes metadata about the document in SharePoint or OneDrive for Business that contained the sensitive information.
ExchangeMetaDataExchangeMetaData Self.ExchangeMetadataSelf.ExchangeMetadata NonNo Décrit les métadonnées relatives au message électronique contenant des informations sensibles.Describes metadata about the email message that contained the sensitive information.
ExceptionInfoExceptionInfo Edm.StringEdm.String NonNo Identifie les raisons pour lesquelles une stratégie ne s’applique plus et/ou les informations relatives aux faux positifs et/ou remplacements indiqués par l’utilisateur final.Identifies reasons why a policy no longer applies and/or any information about false positive and/or override noted by the end user.
PolicyDetailsPolicyDetails Collection(Self.PolicyDetails)Collection(Self.PolicyDetails) OuiYes Informations concernant au moins une stratégie ayant déclenché l’événement DLP.Information about 1 or more policies that triggered the DLP event.
SensitiveInfoDetectionIsIncludedSensitiveInfoDetectionIsIncluded BooleanBoolean OuiYes Indique si l’événement contient la valeur du type de données sensibles et le contexte environnant à partir du contenu source.Indicates whether the event contains the value of the sensitive data type and surrounding context from the source content. L’accès aux données sensibles nécessite l’autorisation d’accès en lecture aux événements de stratégie DLP incluant des informations sensibles dans Azure Active Directory.Accessing sensitive data requires the "Read DLP policy events including sensitive details" permission in Azure Active Directory.

Type complexe SharePointMetadataSharePointMetadata complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
FromFrom Edm.StringEdm.String OuiYes Utilisateur ayant déclenché l’événement.The user who triggered the event. Valeurs possibles : FileOwner, LastModifier ou LastSharer.This will be either the FileOwner, LastModifier, or LastSharer.
itemCreationTimeitemCreationTime Edm.DateEdm.Date OuiYes Datetimestamp à l’heure UTC du moment de la journalisation de l’événement.Datetimestamp in UTC of when event logged.
SiteCollectionGuidSiteCollectionGuid Edm.GuidEdm.Guid OuiYes GUID de la collection de sites.The GUID of the site collection.
SiteCollectionUrlSiteCollectionUrl Edm.StringEdm.String OuiYes Nom du site SharePoint.Name of the SharePoint site.
FileNameFileName Edm.StringEdm.String OuiYes Nom du chemin d’accès.Name of the path.
FileOwnerFileOwner Edm.StringEdm.String OuiYes Propriétaire du document.The document owner.
FilePathUrlFilePathUrl Edm.StringEdm.String OuiYes URL du document.The URL of the document
DocumentLastModifierDocumentLastModifier Edm.StringEdm.String OuiYes Identité de l’utilisateur qui a modifié le document en dernier.The user who last modified the document.
DocumentSharerDocumentSharer Edm.StringEdm.String OuiYes Identité de l’utilisateur qui a modifié le partage en dernier.The user who last modified sharing of the document.
UniqueIDUniqueId Edm.StringEdm.String OuiYes GUID qui identifie un fichier.A guid that identifies the file.
LastModifiedTimeLastModifiedTime Edm.DateTimeEdm.DateTime OuiYes Horodatage à l’heure UTC du moment de la dernière modification du document.Timestamp in UTC for when doc was last modified.

Type complexe ExchangeMetadataExchangeMetadata complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
MessageIDMessageID Edm.StringEdm.String OuiYes ID du message électronique ayant déclenché l’événement.The message ID of the email that triggered the event.
FromFrom Edm.StringEdm.String OuiYes L’utilisateur qui a envoyé le message électronique.The user who sent the email.
ÀTo Collection(Edm.String)Collection(Edm.String) NonNo Collection d’adresses de messagerie qui se trouvaient sur la ligne À du message.A collection of email addresses that were on the To line of the message.
CcCC Collection(Edm.String)Collection(Edm.String) NonNo Collection d’adresses de messagerie qui se trouvaient sur la ligne Cc du message.A collection of email addresses that were on the CC line of the message.
CciBCC Collection(Edm.String)Collection(Edm.String) NonNo Collection d’adresses de messagerie qui se trouvaient sur la ligne Cci du message.A collection of email addresses that were on the BCC line of the message.
SubjectSubject Edm.StringEdm.String OuiYes Objet du message électronique.Subject of the email message.
SentSent Edm.DateTimeEdm.DateTime OuiYes Heure UTC de l’envoi du message électronique.The time in UTC of when the email was sent.
RecipientCountRecipientCount Edm.Int32Edm.Int32 OuiYes Nombre total de tous les destinataires sur les lignes À, Cc et Cci du message.The total number of all recipients on the TO, CC, and BCC lines of the message.

Type complexe PolicyDetailsPolicyDetails complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
PolicyIdPolicyId Edm.GuidEdm.Guid OuiYes GUID de la stratégie DLP pour cet événement.The guid of the DLP policy for this event.
PolicyNamePolicyName Edm.StringEdm.String OuiYes Nom convivial de la stratégie DLP pour cet événement.The friendly name of the DLP policy for this event.
RulesRules Collection(Self.Rules)Collection(Self.Rules) OuiYes Informations sur les règles dans la stratégie qui ont été satisfaites pour cet événement.Information about the rules within the policy that were matched for this event.

Type complexe RulesRules complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
RuleIdRuleId Edm.GuidEdm.Guid OuiYes GUID de la règle DLP pour cet événement.The guid of the DLP rule for this event.
RuleNameRuleName Edm.StringEdm.String OuiYes Nom convivial de la règle DLP pour cet événement.The friendly name of the DLP rule for this event.
ActionsActions Collection(Edm.String)Collection(Edm.String) NonNo Liste des actions entreprises suite à un événement DLP RuleMatch.A list of actions taken as a result of a DLP RuleMatch event.
OverriddenActionsOverriddenActions Collection(Edm.String)Collection(Edm.String) NonNo Liste des actions entreprises précédemment qui ont été annulées suite à un événement DLPRuleUndo.A list of actions previously taken that were now undone as a result of a DLPRuleUndo event.
SeveritySeverity Edm.StringEdm.String NonNo Gravité (élevée, moyenne et faible) de la correspondance de règle.The severity (Low, Medium and High) of the rule match.
RuleModeRuleMode Edm.StringEdm.String OuiYes Indiquez si la règle DLP a été définie sur Appliquer, Audit avec notification ou Audit uniquement.Indicate whether the DLP Rule was set to Enforce, Audit with Notify, or Audit only.
ConditionsMatchedConditionsMatched Self.ConditionsMatchedSelf.ConditionsMatched NonNo Informations sur les conditions de la règle qui ont été satisfaites pour cet événement.Details about what conditions of the rule were matched for this event.

Type complexe ConditionsMatchedConditionsMatched complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
SensitiveInformationSensitiveInformation Collection(Self.SensitiveInformation)Collection(Self.SensitiveInformation) NonNo Informations sur le type d’informations sensibles détecté.Information about the type of sensitive information detected.
DocumentPropertiesDocumentProperties Collection(NameValuePair)Collection(NameValuePair) NonNo Informations sur les propriétés du document qui a déclenché une correspondance de règle.Information about document properties that triggered a rule match.
OtherConditionsOtherConditions Collection(NameValuePair)Collection(NameValuePair) NonNo Liste des paires clé/valeur décrivant les autres conditions qui ont été satisfaites.A list of key value pairs describing any other conditions that were matched.

Type complexe SensitiveInformationSensitiveInformation complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ConfidenceConfidence Edm.IntEdm.Int OuiYes Probabilité de modèle qui correspond à la détection.The confidence of pattern that matched the detection.
CountCount Edm.IntEdm.Int OuiYes Nombre d’instances sensibles détecté.The number of sensitive instances detected.
SensitiveTypeSensitiveType Edm.GuidEdm.Guid OuiYes GUID qui identifie le type de données sensibles détecté.A guid that identifies the type of sensitive data detected.
SensitiveInformationDetectionsSensitiveInformationDetections Self.SensitiveInformationDetectionsSelf.SensitiveInformationDetections NonNo Tableau d’objets contenant des informations sensibles avec les détails suivants : valeur de correspondance et contexte de la valeur de correspondance.An array of objects that contain sensitive information data with the following details – matched value and context of matched value.

Type complexe SensitiveInformationDetectionsSensitiveInformationDetections complex type

Les données sensibles DLP sont disponibles uniquement dans l’API de flux d’activité pour les utilisateurs qui ont reçu l’autorisation d’accès en lecture des données sensibles DLP.DLP sensitive data is only available in the activity feed API to users that have been granted "Read DLP sensitive data" permissions.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
DetectionsDetections Collection(Self.Detections)Collection(Self.Detections) OuiYes Tableau d’informations sensibles détecté.An array of sensitive information that was detected. Les informations contiennent des paires clé/valeur où la valeur = valeur de correspondance (ex.Information contains key value pairs with Value = matched value (eg. valeur de la carte de crédit de SSN) et où le contexte = un extrait de contenu source qui contient la valeur de correspondance.Value of credit card of SSN) and Context = an excerpt from source content that contains the matched value.
ResultsTruncatedResultsTruncated Edm.BooleanEdm.Boolean OuiYes Indique si les journaux ont été tronqués en raison du nombre élevé de résultats.Indicates if the logs were truncated due to large number of results.

Type complexe ExceptionInfoExceptionInfo complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ReasonReason Edm.StringEdm.String NonNo Pour un événement DLPRuleUndo, ce paramètre indique pourquoi la règle ne plus s’applique plus, ce qui peut être l’une de ces 3 raisons : remplacement, modification du document ou modification de la stratégie.For a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change
FalsePositiveFalsePositive Edm.BooleanEdm.Boolean NonNo Indique si l’utilisateur a désigné cet événement comme un faux positif.Indicates whether the user designated this event as a false positive.
JustificationJustification Edm.StringEdm.String NonNo Si l’utilisateur a choisi de remplacer la stratégie, toute justification spécifiée par l’utilisateur est capturée ici.If the user chose to override policy, any user-specified justification is captured here.
RulesRules Collection(Edm.Guid)Collection(Edm.Guid) NonNo Ensemble de GUID pour chaque règle désignée comme un faux positif ou un remplacement, ou pour laquelle une action a été annulée.A collection of guids for each rule that was designated as a false positive or override, or for which an action was undone.

Schéma du Centre de sécurité et conformitéSecurity and Compliance Center schema

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
StartTimeStartTime Edm.DateEdm.Date NonNo Date et heure auxquelles la cmdlet a été exécutée.The date and time at which the cmdlet was executed.
ClientRequestIdClientRequestId Edm.StringEdm.String NonNo GUID pouvant être utilisé pour corréler cette cmdlet avec les opérations d’expérience utilisateur du Centre de sécurité et conformité.A GUID that can be used to correlate this cmdlet with the Security & Compliance Center UX operations. Ces informations sont utilisées uniquement par le support technique Microsoft.This information is only used by Microsoft support.
CmdletVersionCmdletVersion Edm.StringEdm.String NonNo Version de build de la cmdlet lorsqu’elle a été exécutée.The build version of the cmdlet when it was executed.
EffectiveOrganizationEffectiveOrganization Edm.StringEdm.String NonNo GUID de l’organisation affecté par la cmdlet.The GUID for the organization impacted by the cmdlet. (Déconseillé : ce paramètre cessera d’apparaître à l’avenir.)(Deprecated: This parameter will stop appearing in the future.)
UserServicePlanUserServicePlan Edm.StringEdm.String NonNo Plan de service Exchange Online Protection affecté à l’utilisateur qui a exécuté la cmdlet.The Exchange Online Protection service plan assigned to the user that executed the cmdlet.
ClientApplicationClientApplication Edm.StringEdm.String NonNo Si l'applet de commande a été exécutée par une application, contrairement à Powershell à distance, ce champ contient le nom de cette application.If the cmdlet was executed by an application, as opposed to remote powershell, this field contains that application's name.
ParamètresParameters Edm.StringEdm.String NonNo Nom et valeur des paramètres qui ont été utilisés avec la cmdlet qui n’incluent pas d’informations d’identification personnelle.The name and value for parameters that were used with the cmdlet that do not include Personally Identifiable Information.
NonPiiParametersNonPiiParameters Edm.StringEdm.String NonNo Nom et valeur des paramètres qui ont été utilisés avec la cmdlet qui incluent des informations d’identification personnelle.The name and value for parameters that were used with the cmdlet that include Personally Identifiable Information. (Déconseillé : ce champ cessera d’apparaître à l’avenir et son contenu sera fusionné avec le champ Paramètres.)(Deprecated: This field will stop appearing in the future and its content merged with the Parameters field.)

Schéma d’alertes de sécurité et conformitéSecurity and Compliance Alerts schema

Les signaux d’alerte sont les suivants :Alert signals include:

Les paramètres UserId et UserKey de ces événements sont toujours des alertes SecurityComplianceAlerts.The UserId and UserKey of these events are always SecurityComplianceAlerts. Il existe trois types d’événements d’alerte qui sont stockés en tant que valeur de la propriété Operation du schéma commun :There are three types of alert events that are stored as the value of the Operation property of the common schema:

  • AlertTriggered : une nouvelle alerte est générée en raison d’une correspondance de stratégie.AlertTriggered - A new alert is generated due to a policy match.

  • AlertEntityGenerated : une nouvelle entité est ajoutée à une alerte.AlertEntityGenerated - A new entity is added to an alert. Cet événement s’applique uniquement aux alertes générées en fonction des stratégies d’alerte dans le Centre de sécurité et conformité .This event is only applicable to alerts generated based on Alert policies in the security and compliance center. Chaque alerte générée peut être associée à un ou à plusieurs de ces événements.Each generated alert can be associated with one or multiple of these events. Par exemple, une stratégie d’alerte est définie pour déclencher une alerte si un utilisateur supprime plus de 100 fichiers en 5 minutes.For example, an alert policy is defined to trigger an alert if any user deletes more than 100 files in 5 minutes. Si deux utilisateurs dépassent le seuil au même moment, il existera deux événements AlertEntityGenerated, mais un seul événement AlertTriggered.If two users exceed the threshold around the same time, there will be two AlertEntityGenerated events, but only one AlertTriggered event.

  • AlertUpdated : une mise à jour a été apportée aux métadonnées d’une alerte.AlertUpdated - An update was made to the metadata of an alert. Cet événement est consigné lorsque l’état d’une alerte est modifié (par exemple, de « actif » à « résolu ») et lorsque quelqu’un ajoute un commentaire à l’alerte.This event is logged when the status of an alert is changed (for example, from "Active" to "Resolved") and when someone adds a comment to the alert.

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
AlertIdAlertId Edm.GuidEdm.Guid OuiYes GUID de l’alerte.The Guid of the alert.
AlertTypeAlertType Self.StringSelf.String OuiYes Type de l’alerte.Type of the alert. Les types d’alertes sont les suivants :Alert types include:
  • SystèmeSystem

  • PersonnaliséCustom

NameName Edm.StringEdm.String OuiYes Nom de l’alerte.Name of the alert.
PolicyIdPolicyId Edm.GuidEdm.Guid NonNo GUID de la stratégie qui a déclenché l’alerte.The Guid of the policy that triggered the alert.
StatusStatus Edm.StringEdm.String NonNo Statut de l’alerte.Status of the alert. Les statuts sont les suivants :Statuses include:
  • ActifActive

  • Examen en coursInvestigating

  • RésoluResolved

  • FerméDismissed

SeveritySeverity Edm.StringEdm.String NonNo Gravité de l’alerte.Severity of the alert. Les niveaux de gravité sont les suivants :Severity levels include:
  • FaibleLow

  • MoyenMedium

  • ÉlevéHigh

CatégorieCategory Edm.StringEdm.String NonNo Catégorie de l’alerte.Category of the alert. Les catégories sont les suivantes :Categories include:
  • AccessGovernanceAccessGovernance

  • DataGovernanceDataGovernance

  • DataLossPreventionDataLossPrevention

  • InsiderRiskManagementInsiderRiskManagement

  • MailFlowMailFlow

  • ThreatManagementThreatManagement

  • AutreOther

SourceSource Edm.StringEdm.String NonNo Source de l’alerte.Source of the alert. Les sources sont les suivantes :Sources include:
  • Conformité et sécurité dans Office 365Office 365 Security & Compliance

  • Cloud App SecurityCloud App Security

CommentsComments Edm.StringEdm.String NonNo Commentaires laissés par les utilisateurs qui ont vu l’alerte.Comments left by the users who have viewed the alert. Il s’agit d’une « nouvelle alerte » par défaut.By default, it's "New alert".
DataData Edm.StringEdm.String NonNo BLOB des données de détail de l’alerte ou de l’entité de l’alerte.The detailed data blob of the alert or alert entity.
AlertEntityIdAlertEntityId Edm.StringEdm.String NonNo Identificateur pour l’entité de l’alerte.The identifier for the alert entity. Ce paramètre s’applique uniquement aux événements AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.
EntityTypeEntityType Edm.StringEdm.String NonNo Type de l’alerte ou de l’entité de l’alerte.Type of the alert or alert entity. Les types d’entités sont les suivants :Entity types include:
  • UtilisateurUser

  • DestinatairesRecipients

  • ExpéditeurSender

  • MalwareFamilyMalwareFamily

Ce paramètre s’applique uniquement aux événements AlertEntityGenerated.This parameter is only applicable to AlertEntityGenerated events.

Schéma YammerYammer schema

Les événements Yammer répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité utilisent ce schéma.The Yammer events listed in Search the audit log in the Security & Compliance Center will use this schema.

ParamètresParameters TypeType ObligatoireMandatory DescriptionDescription
ActorUserIdActorUserId Edm.StringEdm.String NonNo Adresse électronique de l’utilisateur ayant effectué l’opération.Email of user that performed the operation.
ActorYammerUserIdActorYammerUserId Edm.Int64Edm.Int64 NonNo ID de l’utilisateur ayant effectué l’opération.ID of user that performed the operation.
DataExportTypeDataExportType Edm.StringEdm.String NonNo Renvoie « data » si l’exportation de données inclut des messages, des notes, des fichiers, des rubriques, des utilisateurs et des groupes. Renvoie « user » si exportation de données inclut uniquement des utilisateurs.Returns "data" if data export includes messages, notes, files, topics, users and groups; returns "user" if data export includes users only.
FileIdFileId Edm.Int64Edm.Int64 NonNo ID du fichier dans l’opération.ID of the file in the operation.
FileNameFileName Edm.StringEdm.String NonNo Nom du fichier dans l’opération.Name of the file in the operation. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération.Will appear blank if not relevant to the operation.
GroupNameGroupName Edm.StringEdm.String NonNo Nom du groupe dans l’opération.Name of the group in the operation. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération.Will appear blank if not relevant to the operation.
IsSoftDeleteIsSoftDelete Edm.BooleanEdm.Boolean NonNo Renvoie « true » si la stratégie de rétention des données du réseau est définie sur Suppression réversible. Renvoie « false » si la stratégie de rétention des données du réseau est définie sur Suppression définitive.Returns "true" if the network's data retention policy is set to Soft Delete; returns "false" if the network's data retention policy is set to Hard Delete.
MessageIdMessageId Edm.Int64Edm.Int64 NonNo ID du message dans l’opération.ID of the message in the operation.
YammerNetworkIdYammerNetworkId Edm.Int64Edm.Int64 NonNo ID réseau de l’utilisateur ayant effectué l’opération.Network ID of the user that performed the operation.
TargetUserIdTargetUserId Edm.StringEdm.String NonNo Adresse électronique de l’utilisateur cible dans l’opération.Email of target user in the operation. Ce paramètre s’affiche comme un champ vide s’il n’est pas pertinent pour l’opération.Will appear blank if not relevant to the operation.
TargetYammerUserIdTargetYammerUserId Edm.Int64Edm.Int64 NonNo ID de l’utilisateur cible dans l’opération.ID of target user in the operation.
VersionIdVersionId Edm.Int64Edm.Int64 NonNo ID de version du fichier dans l’opération.Version ID of the file in the operation.

Schéma de base de sécurité du centre de donnéesData Center Security Base schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
DataCenterSecurityEventTypeDataCenterSecurityEventType Self.DataCenterSecurityEventType Self.DataCenterSecurityEventType OuiYes Type d’événement de cmdlet dans la zone de verrouillage.The type of dmdlet event in lock box.

Énumération : DataCenterSecurityEventType - Type : Edm.Int32Enum: DataCenterSecurityEventType - Type: Edm.Int32

DataCenterSecurityEventTypeDataCenterSecurityEventType

Nom du membreMember name DescriptionDescription
DataCenterSecurityCmdletAuditEventDataCenterSecurityCmdletAuditEvent Il s’agit de la valeur enum pour l’événement de type d’audit de la cmdlet.This is the enum value for cmdlet audit type event.

Schéma de cmdlet de sécurité du centre de donnéesData Center Security Cmdlet schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
StartTimeStartTime Edm.DateEdm.Date OuiYes Heure de début de l’exécution de la cmdlet.The start time of the cmdlet execution.
EffectiveOrganizationEffectiveOrganization Edm.StringEdm.String OuiYes Nom du client sur lequel l’élévation/la cmdlet a été ciblée.The name of the tenant that the elevation/cmdlet was targeted at.
ElevationTimeElevationTime Edm.DateEdm.Date OuiYes Heure de début de l’élévation.The start time of the elevation.
ElevationApproverElevationApprover Edm.StringEdm.String OuiYes Nom d’un responsable Microsoft.The name of a Microsoft manager.
ElevationApprovedTimeElevationApprovedTime Edm.DateEdm.Date NonNo Horodatage du moment où l’élévation a été approuvée.The timestamp for when the elevation was approved.
ElevationRequestIdElevationRequestId Edm.GuidEdm.Guid OuiYes Identificateur unique pour la demande d’élévation.A unique identifier for the elevation request.
ElevationRoleElevationRole Edm.StringEdm.String NonNo Rôle pour lequel l’élévation a été demandée.The role the elevation was requested for.
ElevationDurationElevationDuration Edm.Int32Edm.Int32 OuiYes Durée pendant laquelle l’élévation était active.The duration for which the elevation was active.
GenericInfoGenericInfo Edm.StringEdm.String NonNo Utilisé pour les commentaires et d’autres informations génériques.Used for comments and other generic information.

Schéma Microsoft TeamsMicrosoft Teams schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
MessageIdMessageId Edm.StringEdm.String NonNo Identificateur pour un message de conversation ou de canal.An identifier for a chat or channel message.
MembersMembers Collection(Self.MicrosoftTeamsMember)Collection(Self.MicrosoftTeamsMember) NonNo Liste des utilisateurs dans une équipe.A list of users within a Team.
TeamNameTeamName Edm.StringEdm.String NonNo Nom de l’équipe auditée.The name of the team being audited.
TeamGuidTeamGuid Edm.GuidEdm.Guid NonNo Identificateur unique de l’équipe auditée.A unique identifier for the team being audited.
ChannelTypeChannelType Edm.StringEdm.String NonNo Type de canal audité (standard/privé).The type of channel being audited (Standard/Private).
ChannelNameChannelName Edm.StringEdm.String NonNo Nom du canal audité.The name of the channel being audited.
ChannelGuidChannelGuid Edm.GuidEdm.Guid NonNo Identificateur unique pour le canal audité.A unique identifier for the channel being audited.
ExtraPropertiesExtraProperties Collection(Self.KeyValuePair)Collection(Self.KeyValuePair) NonNo Liste de propriétés supplémentaires.A list of extra properties.
AddOnTypeAddOnType Self.AddOnTypeSelf.AddOnType NonNo Type de complément ayant généré cet événement.The type of add-on that generated this event.
AddonNameAddonName Edm.StringEdm.String NonNo Nom du complément ayant généré l’événement.The name of the add-on that generated the event.
AddOnGuidAddOnGuid Edm.GuidEdm.Guid NonNo Identificateur unique du complément ayant généré l’événement.A unique identifier for the add-on that generated the event.
TabTypeTabType Edm.StringEdm.String NonNo Uniquement présent pour les événements de tabulation.Only present for tab events. Type de l’onglet ayant généré l’événement.The type of tab that generated the event.
NomName Edm.StringEdm.String NonNo Uniquement présent pour les événements de paramètres.Only present for settings events. Nom du paramètre modifié.Name of the setting that changed.
OldValueOldValue Edm.StringEdm.String NonNo Uniquement présent pour les événements de paramètres.Only present for settings events. Ancienne valeur du paramètre.Old value of the setting.
NewValueNewValue Edm.StringEdm.String NonNo Uniquement présent pour les événements de paramètres.Only present for settings events. Nouvelle valeur du paramètre.New value of the setting.

Type complexe MicrosoftTeamsMemberMicrosoftTeamsMember complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
UPNUPN Edm.StringEdm.String NonNo Nom d’utilisateur principal (UPN) de l’utilisateur.The user principal name of the user.
RoleRole Self.MemberRoleTypeSelf.MemberRoleType NonNo Rôle de l’utilisateur au sein de l’équipe.The role of the user within the team.
DisplayNameDisplayName Edm.StringEdm.String NonNo Nom d’affichage de l’utilisateur.The display name of the user.

Énumération : MemberRoleType - Type : Edm.Int32Enum: MemberRoleType - Type: Edm.Int32

MemberRoleTypeMemberRoleType

ValeurValue Nom du membreMember name DescriptionDescription
00 MemberMember Utilisateur membre de l’équipe.A user who is a member of the team.
11 OwnerOwner Utilisateur propriétaire de l’équipe.A user who is the owner of the team.
22 GuestGuest Utilisateur qui n’est pas membre de l’équipe.A user who is not a member of the team.

Type complexe KeyValuePairKeyValuePair complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
CléKey Edm.StringEdm.String NonNo Clé de la paire clé/valeur.The key of the key-value pair.
ValeurValue Edm.StringEdm.String NonNo Valeur de la paire clé-valeur.The value of the key-value pair.

Énumération : AddOnType - Type : Edm.Int32Enum: AddOnType - Type: Edm.Int32

AddOnTypeAddOnType

ValeurValue Nom du membreMember name DescriptionDescription
11 BotBot Bot Microsoft Teams.A Microsoft Teams bot.
22 ConnectorConnector Connecteur Microsoft Teams.A Microsoft Teams connector.
33 TabTab Onglet Microsoft Teams.A Microsoft Teams tab.

Schéma Office 365 – Protection avancée contre les menaces et Threat Investigation and ResponseOffice 365 Advanced Threat Protection and Threat Investigation and Response schema

Les événements Office 365 – Protection avancée contre les menaces (ATP) et Threat Investigation and Response sont disponibles pour les clients Office 365 qui disposent d’un plan 1 ou d’un plan 2 du service Office 365 – Protection avancée contre les menaces, ou d’un abonnement E5.Office 365 Advanced Threat Protection (ATP) and Threat Investigation and Response events are available for Office 365 customers who have an Office 365 Advanced Threat Protection Plan 1, Office 365 Advanced Threat Protection Plan 2, or an E5 subscription. Chaque événement dans le flux Office 365 ATP correspond aux éléments suivants dans lesquels une menace a été détectée :Each event in the Office 365 ATP feed corresponds to the following that were determined to contain a threat:

  • Un message électronique envoyé ou reçu par un utilisateur dans l’organisation avec détections sur des messages au moment de la remise et à partir de la purge automatique heure zéro.An email message sent by or received by a user in the organization with detections that are made on messages at delivery time and from Zero hour auto purge.

  • Les URL sur lesquelles un utilisateur a cliqué dans l’organisation qui ont été détectées comme malveillantes au moment du clic conformément à la protection liée aux liens fiables dans ATP Office 365 ATP.URLs clicked by a user in the organization that were detected as malicious at time-of-click based on Office 365 ATP Safe Links protection.

  • Un fichier dans SharePoint Online, OneDrive Entreprise ou Microsoft Teams qui a été détecté comme étant malveillant par le système de protection ATP d’Office 365.A file within SharePoint Online, OneDrive for Business, or Microsoft Teams that was detected as malicious by Office 365 ATP protection.

  • Alerte déclenchée qui a lancé une investigation automatisée.An alert that is triggered and that started an automated investigation.

Notes

Les fonctionnalités du service Office 365 – Protection avancée contre les menaces et Office 365 Threat Investigation and Response (anciennement Office 365 Threat Intelligence) font désormais partie du plan 2 du service Office 365 – Protection avancée contre les menaces, avec des fonctionnalités de protection contre les menaces supplémentaires.Office 365 Advanced Threat Protection and Office 365 Threat Investigation and Response (formerly known as Office 365 Threat Intelligence) capabilites are now part of Office 365 Advanced Threat Protection Plan 2, with additional threat protection capabilities. Pour obtenir plus d’informations, consultez les articles relatifs aux plans Office 365 ATP et à la tarification et à la description du service Office 365 ATP.To learn more, see Office 365 ATP plans and pricing and the Office 365 ATP Service Description.

Événements de message électroniqueEmail message events

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
AttachmentDataAttachmentData Collection(Self.AttachmentData)Collection(Self.AttachmentData) NonNo Données sur les pièces jointes dans le message électronique ayant déclenché l’événement.Data about attachments in the email message that triggered the event.
DetectionTypeDetectionType Edm.StringEdm.String OuiYes Le type de détection (par exemple, En ligne détection au moment de la remise ; Différée détection après remise ; ZAP messages supprimés par purge automatique heure Zero).The type of detection (for example, Inline - detected at delivery time; Delayed - detected after delivery; ZAP - messages removed by Zero hour auto purge). Les événements avec le type de détection ZAP sont généralement précédés d’un message avec le type de détection Différé.Events with ZAP detection type will typically be preceded by a message with a Delayed detection type.
DetectionMethodDetectionMethod Edm.StringEdm.String OuiYes Méthode ou technologie utilisée par ATP Office 365 pour la détection.The method or technology used by Office 365 ATP for the detection.
InternetMessageIdInternetMessageId Edm.StringEdm.String OuiYes ID de message Internet.The Internet Message Id.
NetworkMessageIdNetworkMessageId Edm.StringEdm.String OuiYes ID de message réseau Exchange Online.The Exchange Online Network Message Id.
P1SenderP1Sender Edm.StringEdm.String OuiYes Chemin de retour de l’expéditeur du message électronique.The return path of sender of the email message.
P2SenderP2Sender Edm.StringEdm.String OuiYes Expéditeur du message électronique.The from sender of the email message.
StratégiePolicy Self.PolicySelf.Policy OuiYes Type de stratégie de filtrage (par exemple, anti-courrier indésirable ou anti-hameçonnage) et type d'action associé (par exemple,** courrier indésirable à niveau de confiance élevé**, courrier indésirable ou**hameçonnage**) pertinents pour le message électronique.The type of filtering policy (for example Anti-spam or Anti-phish) and related action type (such as High Confidence Spam, Spam, or Phish) relevant to the email message.
StratégiePolicy Self.PolicyActionSelf.PolicyAction OuiYes L’action configurée dans la stratégie de filtrage (par exemple, Déplacer vers le dossier courrier indésirable ou Mise en quarantaine) pertinente pour le message électronique.The action configured in the filtering policy (for example, Move to Junk Mail folder or Quarantine) relevant to the email message.
P2SenderP2Sender Edm.StringEdm.String OuiYes L’expéditeur De : du message électronique.The From: sender of the email message.
RecipientsRecipients Collection(Edm.String)Collection(Edm.String) OuiYes Tableau des destinataires du message électronique.An array of recipients of the email message.
SenderIpSenderIp Edm.StringEdm.String OuiYes Adresse IP ayant envoyé le message électronique d’Office 365.The IP address that submitted the email of Office 365. L’adresse IP apparaît au format IPv4 ou IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.
SubjectSubject Edm.StringEdm.String OuiYes Ligne d’objet du message.The subject line of the message.
VerdictVerdict Edm.StringEdm.String OuiYes Verdict du message.The message verdict.
MessageTimeMessageTime Edm.DateEdm.Date OuiYes Date et l’heure en temps universel coordonné (UTC) de réception ou d’envoi du courrier électronique.Date and time in Coordinated Universal Time (UTC) the email message was received or sent.
EventDeepLinkEventDeepLink Edm.StringEdm.String OuiYes Lien profond vers l’événement de courrier électronique dans l’Explorateur ou rapports en temps réel dans le centre de conformité et sécurité Office 365.Deep-link to the email event in Explorer or Real-time reports in the Office 365 Security & Compliance Center.

Type complexe AttachmentDataAttachmentData complex type

AttachmentDataAttachmentData

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
FileNameFileName Edm.StringEdm.String OuiYes Nom de fichier de la pièce jointe.The file name of the attachment.
FileTypeFileType Edm.StringEdm.String OuiYes Type de fichier de la pièce jointe.The file type of the attachment.
FileVerdictFileVerdict Self.FileVerdictSelf.FileVerdict OuiYes Verdict de programme malveillant dans le fichier.The file malware verdict.
MalwareFamilyMalwareFamily Edm.StringEdm.String NonNo Famille de programme malveillant de fichier.The file malware family.
SHA256SHA256 Edm.StringEdm.String OuiYes Hachage SHA256 du fichier.The file SHA256 hash.

Énumération : FileVerdict - Type : Edm.Int32Enum: FileVerdict - Type: Edm.Int32

FileVerdictFileVerdict

ValeurValue Nom du membreMember name DescriptionDescription
00 GoodGood Aucune menace détectée.No threats detected.
11 BadBad Programme malveillant détecté dans la pièce jointe.Malware found in attachment.
-1-1 ErrorError Erreur d’analyse.Scan / analysis error.
-2-2 TimeoutTimeout Expiration de l’analyse.Scan / analysis timeout.
-3-3 PendingPending Analyse non terminée.Scan / analysis not complete.

Énumération : Stratégie – Type : Edm.Int32Enum: Policy - Type: Edm.Int32

Type de stratégie et type d’actionPolicy type and action type

ValeurValue Nom du membreMember name DescriptionDescription
11 Anti-courrier indésirable, HSPMAnti-spam, HSPM Action contre le courrier indésirable à niveau de confiance élevé (HSPM) dans la stratégie anti-courrier indésirable.High Confidence Spam (HSPM) action in the Anti-spam policy.
22 Anti-courrier indésirable, SPMAnti-spam, SPM Action contre le courrier indésirable (SPM) dans la stratégie anti-courrier indésirable.Spam (SPM) action in the Anti-spam policy.
33 Anti-courrier indésirable, BlocAnti-spam, Bulk Action en bloc dans la stratégie anti-courrier indésirable.Bulk action in the Anti-spam policy.
44 Anti-courrier indésirable, PHSHAnti-spam, PHSH Action contre l’hameçonnage dans la stratégie anti-courrier indésirable.Phish (PHSH) action in the Anti-spam policy.
55 Anti-hameçonnage, DIMPAnti-phish, DIMP Action contre l’emprunt d’identité de domaine (DIMP) dans la stratégie anti-hameçonnage.Domain Impersonation (DIMP) action in the Anti-phish policy.
66 Anti-hameçonnage, UIMPAnti-phish, UIMP Action contre l’emprunt d’identité de l’utilisateur (UIMP) dans la stratégie anti-hameçonnage.User Impersonation (UIMP) action in the Anti-phish policy.
77 Anti-hameçonnage, SPOOFAnti-phish, SPOOF Action contre l’usurpation dans la stratégie anti-hameçonnage.Spoof action in the Anti-phish policy.
88 Anti-hameçonnage, GIMPAnti-phish, GIMP Action de veille sur les boîtes aux lettres dans le cadre de la stratégie anti-hameçonnage.Mailbox intelligence action in the Anti-phish policy.
99 Anti-programme malveillant, AMPAnti-malware, AMP Action de stratégie de anti-programme malveillant dans la stratégie anti-programme malveillant.Malware policy action in the Anti-malware policy.
1010 Pièce jointe fiable, SAPSafe attachment, SAP Action de stratégie dans la stratégie de pièces jointes fiables ATP Office 365.Policy action in the Office 365 ATP safe attachments policy.
1111 Règle de transport Exchange, ETRExchange transport rule, ETR Action de stratégie dans la règle de transport Exchange.Policy action in the Exchange Transport Rule.
1212 Anti-programme malveillant, ZAPMAnti-malware, ZAPM Action de stratégie anti-programme malveillant dans la stratégie anti-programme malveillant appliquée à la purge automatique zéro heure (ZAP).Malware policy action in the Anti-malware policy applied to Zero-hour auto purge (ZAP).
1313 Anti-hameçonnage, PAZHAnti-phish, ZAPP Action de stratégie anti-hameçonnage dans la stratégie anti-hameçonnage appliquée à la PAZH.Phish policy action in the Anti-phish policy applied to ZAP.
1414 Anti-hameçonnage, PAZHAnti-phish, ZAPS Action de stratégie anti-courrier indésirable dans la stratégie anti-courrier indésirable appliquée à la PAZH.Spam policy action in the Anti-spam policy applied to ZAP.
1515 Anti-courrier indésirable, e-mail de hameçonnage haute confiance (HPHISH)Anti-spam, High confidence phish email (HPHISH) Action de stratégie HPHISH dans le cadre de la stratégie anti-courrier indésirable.High confidence Phish policy action in Anti-spam policy.
1717 Anti-courrier indésirable, courrier indésirable sortant (OSPM)Anti-spam, Outbound spam policy (OSPM) Action de stratégie de filtrage du courrier indésirable sortant dans le cadre de la stratégie anti-courrier indésirable.Policy action in the outbound spam filter policy in Anti-spam.

Énumération : PolicyAction – Type : Edm.Int32Enum: PolicyAction - Type: Edm.Int32

Action de stratégiePolicy action

ValeurValue Nom du membreMember name DescriptionDescription
00 MoveToJMFMoveToJMF L’action de stratégie consiste à déplacer vers le dossier courrier indésirable.Policy action is to move to Junk Mail folder.
11 AddXHeaderAddXHeader L’action de stratégie consiste à ajouter un en-tête X au message électronique.Policy action is to add X-header to the email message.
22 ModifySubjectModifySubject L’action de stratégie consiste à modifier l’objet du message électronique avec les informations spécifiées par la stratégie de filtrage.Policy action is to modify subject in the email message with information specified by the filtering policy.
33 RedirigerRedirect L’action de stratégie consiste à rediriger le courrier électronique vers une adresse de messagerie spécifique de la stratégie de filtrage.Policy action is to redirect email message to email address specificed by the filtering policy.
44 SupprimerDelete L’action de stratégie consiste à supprimer (abandonner) le message électronique.Policy action is to delete (drop) the email message.
55 QuarantaineQuarantine L’action de stratégie consiste à mettre en quarantaine le message électronique.Policy action is to quarantine the email message.
66 NoActionNoAction La stratégie est configurée de manière à ne prendre aucune mesure sur le message électronique.Policy is configured to take no action on the email message.
77 BccMessageBccMessage L’action de stratégie consiste à mettre le message électronique en copie carbone invisible à l'adresse électronique spécifiée par la politique de filtrage.Policy action is to Bcc the email message to email address specificed by the filtering policy.
88 ReplaceAttachmentReplaceAttachment L’action de stratégie consiste à remplacer la pièce jointe à l’e-mail comme spécifié par la stratégie de filtrage.Policy action is to replace the attachment in the email message as specified by the filtering policy.

Événements d’heure de clic d’URLURL time-of-click events

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
UserIdUserId Edm.StringEdm.String OuiYes Identificateur (par exemple, une adresse électronique) de l’utilisateur qui a cliqué sur l’URL.Identifier (for example, email address) for the user who clicked on the URL.
AppNameAppName Edm.StringEdm.String OuiYes Service Office 365 à partir duquel un utilisateur a cliqué sur l’URL (par exemple, Courrier Outlook).Office 365 service from which the URL was clicked (for example, Mail).
URLClickActionURLClickAction Self.URLClickActionSelf.URLClickAction OuiYes Cliquez sur action pour l’URL en fonction des stratégies de l’organisation pour liens fiables Office 365 la fonctionnalité.Click action for the URL based on the organization's policies for Office 365 ATP Safe Links.
SourceIdSourceId Edm.StringEdm.String OuiYes Identificateur du service Office 365 à partir duquel un utilisateur a cliqué sur l’URL (par exemple, pour la messagerie, il s’agit de l’ID de message réseau Exchange Online).Identifier for the Office 365 service from which the URL was clicked (for example, for mail this is the Exchange Online Network Message Id).
TimeOfClickTimeOfClick Edm.DateEdm.Date OuiYes Date et heure à l’heure UTC (temps universel coordonné) au moment où l’utilisateur a cliqué sur l’URL.The date and time in Coordinated Universal Time (UTC) when the user clicked the URL.
URLURL Edm.StringEdm.String OuiYes URL sur laquelle l’utilisateur a cliqué.URL clicked by the user.
UserIpUserIp Edm.StringEdm.String OuiYes Adresse IP de l’utilisateur qui a cliqué sur l’URL.The IP address for the user who clicked the URL. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

Enum : URLClickAction ; Type : Edm.Int32Enum: URLClickAction - Type: Edm.Int32

URLClickActionURLClickAction

ValeurValue Nom du membreMember name DescriptionDescription
22 BlockpageBlockpage Utilisateur est bloqué et ne peut pas accéder à l’URL par Liens fiables ATP Office 365.User blocked from navigating to the URL by Office 365 ATP Safe Links.
33 PendingDetonationPagePendingDetonationPage La page de détonation en attente est affichée pour l’utilisateur par Liens fiables ATP Office 365.User presented with the detonation pending page by Office 365 ATP Safe Links.
44 BlockPageOverrideBlockPageOverride L’utilisateur est bloqué et ne peut pas accéder à l’URL par Liens fiables ATP Office 365; cependant, l'utilisateur a ignoré le blocage pour accéder à l’URL.User blocked from navigating to the URL by Office 365 ATP Safe Links; however user overrode block to navigate to the URL.
55 PendingDetonationPageOverridePendingDetonationPageOverride La page détonation a été affichée pour l’utilisateur par Liens fiables ATP Office 365 ; cependant, l'utilisateur a ignoré le blocage pour accéder à l’URL.User presented with the detonation page by Office 365 ATP Safe Links; however user overrode to navigate to the URL.

Événements de fichierFile events

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
FileDataFileData Self.FileDataSelf.FileData OuiYes Données sur le fichier ayant déclenché l’événement.Data about the file that triggered the event.
SourceWorkloadSourceWorkload Self.SourceWorkloadSelf.SourceWorkload OuiYes Charge de travail ou service dans lequel le fichier a été trouvé (par exemple, SharePoint Online, OneDrive Entreprise ou Microsoft Teams)Workload or service where teh file was found (for example, SharePoint Online, OneDrive for Business, or Microsoft Teams)
DetectionMethodDetectionMethod Edm.StringEdm.String OuiYes Méthode ou technologie utilisée par ATP Office 365 pour la détection.The method or technology used by Office 365 ATP for the detection.
LastModifiedDateLastModifiedDate Edm.DateEdm.Date OuiYes Date et heure à l’heure UTC (temps universel coordonné) e création ou de dernière modification du fichier.The date and time in Coordinated Universal Time (UTC) when the file was created or last modified.
LastModifiedByLastModifiedBy Edm.StringEdm.String OuiYes Identificateur (par exemple, une adresse de messagerie) de l’utilisateur qui a créé ou modifié en dernier le fichier.Identifier (for example, an email address) for the user who created or last modified the file.
EventDeepLinkEventDeepLink Edm.StringEdm.String OuiYes Lien profond vers l’événement de ficher dans l’Explorateur ou rapports en temps réel dans le centre de conformité et sécurité.Deep-link to the file event in Explorer or Real-time reports in the Security & Compliance Center.

Type complexe FileDataFileData complex type

FileDataFileData

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
DocumentIdDocumentId Edm.StringEdm.String OuiYes Identificateur unique pour le fichier dans SharePoint, OneDrive ou Microsoft Teams.Unique identifier for the file in SharePoint, OneDrive, or Microsoft Teams.
FileNameFileName Edm.StringEdm.String OuiYes Nom du fichier ayant déclenché l’événement.Name of the file that triggered the event.
FilePathFilePath Edm.StringEdm.String OuiYes Chemin (emplacement) pour le fichier dans SharePoint, OneDrive ou Microsoft Teams.Path (location) for the file in SharePoint, OneDrive, or Microsoft Teams.
FileVerdictFileVerdict Self.FileVerdictSelf.FileVerdict OuiYes Verdict de programme malveillant dans le fichier.The file malware verdict.
MalwareFamilyMalwareFamily Edm.StringEdm.String NonNo Famille de programme malveillant de fichier.The file malware family.
SHA256SHA256 Edm.StringEdm.String OuiYes Hachage SHA256 du fichier.The file SHA256 hash.
FileSizeFileSize Edm.StringEdm.String OuiYes Taille du fichier, en octets.Size for the file in bytes.

Enum : SourceWorkload ; Type : Edm.Int32Enum: SourceWorkload - Type: Edm.Int32

SourceWorkloadSourceWorkload

ValeurValue Nom du membreMember name
00 SharePoint OnlineSharePoint Online
11 OneDrive EntrepriseOneDrive for Business
22 Microsoft TeamsMicrosoft Teams

Événements d’investigation et de réponse automatisés dans Office 365Automated investigation and response events in Office 365

Les événements d’investigation et de réponse automatisés (AIR) d’Office 365 sont disponibles pour les clients Office 365 disposant d’un abonnement incluant Office 365 – Protection avancée contre les menaces (plan 2) ou Office 365 E5.Office 365 automated investigation and response (AIR) events are available for Office 365 customers who have a subscription that includes Office 365 Advanced Threat Protection Plan 2 or Office 365 E5. Les événements d’investigation sont enregistrés sur la base d’un changement d’état d’investigation.Investigation events are logged based on a change in investigation status. Par exemple, lorsqu’un administrateur effectue une action qui fait passer l’état d’une investigation d’Actions en attente à Terminé, un événement est consigné.For example, when an administrator takes an action that changes the status of an investigation from Pending Actions to Completed, an event is logged.

Pour l’instant, seules les investigations automatiques sont enregistrées.Currently, only automated investigation are logged. (Les événements pour les investigations générées manuellement seront disponibles prochainement). Les valeurs de statut suivantes sont consignées :(Events for manually generated investigations are coming soon.) The following status values are logged:

  • Investigation commencéeInvestigation Started
  • Aucune menace détectéeNo threats found
  • Interrompu par le systèmeTerminated by System
  • Action en attentePending Action
  • Menaces détectéesThreats Found
  • CorrigéRemediated
  • ÉchecFailed
  • Interrompu par une limitationTerminated by throttling
  • Interrompu par l’utilisateurTerminated By User
  • En cours d’exécutionRunning

Schéma d’investigation principalMain investigation schema

NomName TypeType DescriptionDescription
InvestigationIdInvestigationId Edm.StringEdm.String ID d’investigation/GUIDInvestigation ID/GUID
InvestigationNameInvestigationName Edm.StringEdm.String Nom de l’investigationName of the investigation
InvestigationTypeInvestigationType Edm.StringEdm.String Type d’investigation.Type of the investigation. Peut prendre l’une des valeurs suivantes :Can take one of the following values:
- Messages signalés par l’utilisateur- User-Reported Messages
- Programme malveillant purgé- Zapped Malware
- Hameçonnage purgé- Zapped Phish
- Modification du verdict concernant l’URL- Url Verdict Change

(Les investigations manuelles, actuellement indisponibles, le seront bientôt.)(Manual investigations are currently not available and are coming soon.)

LastUpdateTimeUtcLastUpdateTimeUtc Edm.DateEdm.Date Heure UTC de la dernière mise à jour pour une investigationUTC time of the last update for an investigation
StartTimeUtcStartTimeUtc Edm.DateEdm.Date Heure de début d’une investigationStart time for an investigation
ÉtatStatus Edm.StringEdm.String État d’investigation, d’exécution, d’actions en attente, etc.State of investigation, Running, Pending Actions, etc.
DeeplinkURLDeeplinkURL Edm.StringEdm.String URL de lien profond vers un examen dans le Centre de sécurité et conformité Office 365Deep link URL to an investigation in Office 365 Security & Compliance Center
ActionsActions Collection (Edm.String)Collection (Edm.String) Ensemble d’actions recommandées par une investigationCollection of actions recommended by an investigation
DonnéesData Edm.StringEdm.String Chaîne de données qui contient des détails supplémentaires sur les entités d’investigation, ainsi que des informations sur les alertes relatives à l’investigation.Data string which contains more details about investigation entities, and information about alerts related to the investigation. Les entités sont disponibles dans un nœud séparé dans l’objet BLOB.Entities are available in a separate node within the data blob.

ActionsActions

ChampField TypeType DescriptionDescription
IDID Edm.StringEdm.String ID d’actionAction ID
ActionTypeActionType Edm.StringEdm.String Type de l’action (par exemple, mise à jour de courrier électronique)The type of the action, such as email remediation
ActionStatusActionStatus Edm.StringEdm.String Les valeurs sont les suivantes :Values include:
– En attente- Pending
– En cours d’exécution- Running
- En attente de ressources- Waiting on resource
– Terminé- Completed
– Échec- Failed
ApprovedByApprovedBy Edm.StringEdm.String Null si approuvée automatiquement; sinon, nom d’utilisateur/ID (prochainement disponible)Null if auto approved; otherwise, the username/id (this is coming soon)
TimestampUtcTimestampUtc Edm.DateTimeEdm.DateTime Horodatage de la modification de l’état de l’actionThe timestamp of the action status change
ActionIdActionId Edm.StringEdm.String Identificateur unique de l’actionUnique identifier for action
InvestigationIdInvestigationId Edm.StringEdm.String Identificateur unique de l’examenUnique identifier for investigation
RelatedAlertIdsRelatedAlertIds Collection(Edm.String)Collection(Edm.String) Alertes liées à une investigationAlerts related to an investigation
StartTimeUtcStartTimeUtc Edm.DateTimeEdm.DateTime Horodatage de la création d’actionTimestamp of action creation
EndTimeUtcEndTimeUtc Edm.DateTimeEdm.DateTime Horodatage de la mise à jour de l’état final de l’actionAction final status update timestamp
Identificateurs de ressourcesResource Identifiers Edm.StringEdm.String Correspond à l'identifiant du client Azure Active Directory.Consists of the Azure Active Directory tenant ID.
EntitésEntities Collection(Edm.String)Collection(Edm.String) Liste d’une ou plusieurs entités affectées par actionList of one or more affected entities by action
Identifiants d’alerte associéeRelated Alert IDs Edm.StringEdm.String Alerte liée à une investigationAlert related to an investigation

EntitésEntities

MailMessage (e-mail)MailMessage (email)

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String "mail-message""mail-message"
FichiersFiles Collection (self. file)Collection (Self.File) Détails sur les fichiers des pièces jointes de ce messageDetails about the files of this message's attachments
DestinataireRecipient Edm.StringEdm.String Le destinataire de ce message électroniqueThe recipient of this mail message
URLUrls Collection (self. URL)Collection(Self.URL) Les URL contenues dans ce message électroniqueThe Urls contained in this mail message
ExpéditeurSender Edm.StringEdm.String Adresse e-mail de l’expéditeurThe sender's email address
SenderIPSenderIP Edm.StringEdm.String Adresse IP de l’expéditeurThe sender's IP address
ReceivedDateReceivedDate Edm.DateTimeEdm.DateTime Date de réception de ce messageThe received date of this message
NetworkMessageIdNetworkMessageId Edm.GuidEdm.Guid ID de message réseau de ce message électroniqueThe network message id of this mail message
InternetMessageIdInternetMessageId Edm.StringEdm.String ID de message internet de ce message électroniqueThe internet message id of this mail message
SubjectSubject Edm.StringEdm.String L’objet de ce message électroniqueThe subject of this mail message

IPIP

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String "IP""ip"
AdresseAddress Edm.StringEdm.String Adresse IP sous la forme d’une chaîne, par exemple 127.0.0.1The IP address as a string, such as 127.0.0.1

URLURL

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String « URL »"url"
UrlUrl Edm.StringEdm.String URL complète vers laquelle pointe une entitéThe full URL to which an entity points

Boîte aux lettres (également équivalente à l’utilisateur)Mailbox (also equivalent to the user)

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String « boîte aux lettres »"mailbox"
MailboxPrimaryAddressMailboxPrimaryAddress Edm.StringEdm.String Adresse principale de la boîte aux lettresThe mailbox's primary address
DisplayNameDisplayName Edm.StringEdm.String Nom d’affichage de la boite aux lettresThe mailbox's display name
UPNUpn Edm.StringEdm.String L’UPN de la boîte aux lettresThe mailbox's UPN

FileFile

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String « fichier »"file"
NomName Edm.StringEdm.String Nom de fichier sans chemin d’accèsThe file name without path
FileHashesFileHashes Collection (Edm.String)Collection (Edm.String) Fichiers à hacher associés au fichierThe file hashes associated with the file

FileHashFileHash

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String « filehash »"filehash"
AlgorithmeAlgorithm Edm.StringEdm.String Le type d’algorithme de hachage, qui peut être l’une des valeurs suivantes :The hash algorithm type, which can be one of these values:
– Inconnu- Unknown
– MD5- MD5
– SHA1- SHA1
- SHA256- SHA256
- SHA256AC- SHA256AC
ValeurValue Edm.StringEdm.String Valeur de hachageThe hash value

MailClusterMailCluster

ChampField TypeType DescriptionDescription
TypeType Edm.StringEdm.String "MailCluster""MailCluster"
Détermine le type d’entité examinéeDetermines the type of entity being discussed
NetworkMessageIdsNetworkMessageIds Collection (Edm.String)Collection (Edm.String) Liste des ID de courrier qui font partie du cluster de courriersList of the mail message IDs that are part of the mail cluster
CountByDeliveryStatusCountByDeliveryStatus Collections (Edm.String)Collections (Edm.String) Nombre de messages électroniques par DeliveryStatus, représentation sous forme de chaîneCount of mail messages by DeliveryStatus string representation
CountByThreatTypeCountByThreatType Collections (Edm.String)Collections (Edm.String) Nombre de messages électroniques par ThreatType, représentation sous forme de chaîneCount of mail messages by ThreatType string representation
MenacesThreats Collections (Edm.String)Collections (Edm.String) Les menaces relatives aux messages électroniques qui font partie du cluster de courriers.The threats of mail messages that are part of the mail cluster. Les menaces incluent des valeurs telles que le hameçonnage et les programmes malveillants.Threats include values like Phish and Malware.
RequêteQuery Edm.StringEdm.String Requête utilisée pour identifier les messages du cluster de courriersThe query that was used to identify the messages of the mail cluster
QueryTimeQueryTime Edm.DateTimeEdm.DateTime Heure de la requêteThe query time
MailCountMailCount Edm.intEdm.int Nombre de messages électroniques qui font partie du cluster de courriers.The number of mail messages that are part of the mail cluster
SourceSource StringString Source du cluster de courriers ; valeur de la source de cluster.The source of the mail cluster; the value of the cluster source.

Schéma des événements d’hygièneHygiene events schema

Les événements d’hygiène sont liés à la protection contre le courrier indésirable sortant.Hygiene events are related to outbound spam protection. Ces événements sont liés aux utilisateurs qui ne sont pas autorisés à envoyer des messages électroniques.These events are related to users who are restricted from sending email. Pour plus d’informations, reportez-vous aux rubriques suivantes :For more information, see:

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
AuditAudit Edm.StringEdm.String NonNo Informations système liées à l’événement d’hygiène.System information related to the hygiene event.
ÉvénementEvent Edm.StringEdm.String NonNo Type d’événement d’hygiène.The type of hygiene event. Les valeurs de ce paramètre sont Répertoriées ou Supprimées.The values for this parameter are Listed or Delisted.
EventIdEventId Edm.Int64Edm.Int64 NonNo ID du type d’événement d’hygiène.The ID of the hygiene event type.
EventValueEventValue Edm.StringEdm.String NonNo L'utilisateur ayant été impacté.The user who was impacted.
ReasonReason Edm.StringEdm.String NonNo Détails sur l’événement d’hygiène.Details about the hygiene event.

Schéma Power BIPower BI schema

Les événements Power BI répertoriés dans l’article relatif à la Recherche dans le journal d’audit dans le Centre de sécurité d’Office 365 utilisent ce schéma.The Power BI events listed in Search the audit log in the Office 365 Protection Center will use this schema.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
AppNameAppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Nom de l’application dans laquelle l’événement s’est produit.The name of the app where the event occurred.
DashboardNameDashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Le nom du tableau de bord dans lequel l’événement s’est produit.The name of the dashboard where the event occurred.
DataClassificationDataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo La classification des données, le cas échéant, pour le tableau de bord dans lequel l’événement s’est produit.The data classification, if any, for the dashboard where the event occurred.
DatasetNameDatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Le nom du tableau de l’ensemble de données dans lequel l’événement s’est produit.The name of the dataset where the event occurred.
MembershipInformationMembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Informations d’appartenance au groupe.Membership information about the group.
OrgAppPermissionOrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Liste des autorisations pour une application d’organisation (organisation entière, utilisateurs spécifiques ou groupes spécifiques).Permissions list for an organizational app (entire organization, specific users, or specific groups).
ReportNameReportName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Le nom du tableau du rapport dans lequel l’événement s’est produit.The name of the report where the event occurred.
SharingInformationSharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Informations sur la personne à laquelle est envoyée une invitation de partage.Information about the person to whom a sharing invitation is sent.
SwitchStateSwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Informations sur l’état des différents commutateurs au niveau client.Information about the state of various tenant level switches.
WorkSpaceNameWorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Le nom du tableau de l’espace de travail dans lequel l’événement s’est produit.The name of the workspace where the event occurred.

Type complexe MembershipInformationTypeMembershipInformationType complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
MemberEmailMemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Adresse de messagerie du groupe.The email address of the group.
StatutStatus Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Actuellement non rempli.Not currently populated.

Type complexe SharingInformationTypeSharingInformationType complex type

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
RecipientEmailRecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Adresse de messagerie du destinataire de l’invitation de partage.The email address of the recipient of a sharing invitation.
RecipientNameRecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo Nom du destinataire de l’invitation de partage.The name of the recipient of a sharing invitation.
ResharePermissionResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true"Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" NonNo L’autorisation accordée au destinataire.The permission being granted to the recipient.

Schéma Dynamics 365Dynamics 365 schema

Les enregistrements d’audit pour les événements liés aux applications basées sur les modèles dans les événements Dynamics 365 utilisent un schéma d’opérations de base et d’entité.The audit records for events related to model-driven apps in Dynamics 365 events use both a base and an entity operation schema. Pour plus d’informations, consultez Activer et utiliser la journalisation des activités.For more information, see Enable and use Activity Logging.

Schéma de base Dynamics 365Dynamics 365 base schema

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
CrmOrganizationUniqueNameCrmOrganizationUniqueName Edm.StringEdm.String OuiYes Nom unique de l’organisation.The unique name of the organization.
InstanceUrlInstanceUrl Edm.StringEdm.String OuiYes URL vers l’instance.The URL to the instance.
ItemUrlItemUrl Edm.StringEdm.String NonNo URL vers l’enregistrement qui émet le journal.The URL to the record emitting the log.
ItemTypeItemType Edm.StringEdm.String NonNo Nom de l’entité.The naame of the entity.
UserAgentUserAgent Edm.StringEdm.String NonNo Identificateur unique du GUID de l’utilisateur dans l’organisation.The unique identifier of the user GUID in the organization.
ChampsFields Collection(Common.NameValuePair)Collection(Common.NameValuePair) NonNo Objet JSON qui contient les paires clé-valeur de propriété qui ont été créées ou mises à jour.A JSON object that contains the property key-value pairs that were created or updated.

Schéma d’opération d’entité Dynamics 365Dynamics 365 entity operation schema

Les événements d’entité provenant d’applications basées sur un modèle dans Dynamics 365 utilisent ce schéma pour créer le schéma de base Dynamics 365.Entity events from model-driven apps in Dynamics 365 use this schema to build on the Dynamics 365 base schema. Ce schéma inclut des informations sur l’opération d’entité ayant déclenché l’événement audité.This schema includes information about the entity operation that triggered the audited event.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
EntityIdEntityId Edm.GuidEdm.Guid NonNo Identificateur unique de l’entité.The unique identifier of the entity.
EntityNameEntityName Edm.StringEdm.String OuiYes Nom de l’entité au sein de l’organisation.The name of the entity in the organization. Les exemples d’entités incluent contact ou authentication.Example of entities include contact or authentication.
MessageMessage Edm.StringEdm.String OuiYes Ce paramètre contient l’opération effectuée dans en relation avec l’entité.This parameter contains the operation that was performed in related to the entity. Par exemple, si un nouveau contact a été créé, la valeur de la propriété message est Create et la valeur correspondante de la propriété EntityName est contact.For example, if a new contact was created, the value of the Message property is Create and the corresponding value of the EntityName property is contact.
RequêteQuery Edm.StringEdm.String NonNo Paramètres de la requête de filtre utilisés lors de l’exécution de l’opération FetchXML.The parameters of the filter query that was used while executing the FetchXML operation.
PrimaryFieldValuePrimaryFieldValue Edm.StringEdm.String NonNo Indique la valeur de l’attribut qui est le champ primaire pour l’entité.Indicates the value for the attribute that is the primary field for the entity.

Schéma Analyse du temps de travailWorkplace Analytics schema

Les événements Analyse du temps de travail répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma.The WorkPlace Analytics events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
WpaUserRoleWpaUserRole Edm.StringEdm.String NonNo Rôle Analyse du temps de travail de l’utilisateur ayant exécuté l’action.The Workplace Analytics role of the user who performed the action.
ModifiedPropertiesModifiedProperties Collection (Common.ModifiedProperty)Collection (Common.ModifiedProperty) NonNo Cette propriété inclut le nom de la propriété modifiée, la nouvelle valeur de la propriété modifiée et la valeur précédente de la propriété modifiée.This property includes the name of the property that was modified, the new value of the modified property, and the previous value of the modified property.
OperationDetailsOperationDetails Collection (Common.NameValuePair)Collection (Common.NameValuePair) NonNo Liste des propriétés étendues pour le paramètre ayant été modifié.A list of extended properties for the setting that was changed. Chaque propriété a un nom et une valeur.Each property will have a Name and Value.

Schéma de la mise en quarantaineQuarantine schema

Les événements de mise en quarantaine répertoriés dans l’article Rechercher le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma.The quarantine events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema. Si vous souhaitez en savoir plus sur la mise en quarantaine, consultez l’article Mettre les e-mails en quarantaine dans Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
RequestTypeRequestType Self.RequestTypeSelf.RequestType NonNo Type de demande de quarantaine exécutée par un utilisateur.The type of quarantine request performed by a user.
RequestSourceRequestSource Self.RequestSourceSelf.RequestSource NonNo La source d’une demande de mise en quarantaine peut provenir du centre de sécurité & conformité (SCC), d’une cmdlet ou d’un URLlink.The source of a quantine request can come from the Security & Compliance Center (SCC), a cmdlet, or a URLlink.
NetworkMessageIdNetworkMessageId Edm.StringEdm.String NonNo L’ID de message réseau du message électronique mis en quarantaine.The network message id of quarantined email message.
ReleaseToReleaseTo Edm.StringEdm.String NonNo Le destinataire du message électronique.The reciepient of the email message.

Enum: RequestType - Type: Edm.Int32Enum: RequestType - Type: Edm.Int32

ValeurValue Nom du membreMember name DescriptionDescription
00 AperçuPreview Il s’agit de la demande d’un utilisateur qui permet d’afficher un aperçu de l’e-mail considéré comme dangereux.This is a request from a user to preview an email message that is deemed to be harmful.
11 SupprimerDelete Il s’agit de la demande d’un utilisateur qui permet de supprimer l’e-mail considéré comme dangereux.This is a request from a user to delete an email message that is deemed to be harmful.
22 DébloquerRelease Il s’agit de la demande d’un utilisateur qui permet de débloquer l’e-mail considéré comme dangereux.This is a request from a user to release an email message that is deemed to be harmful.
33 ExporterExport Il s’agit de la demande d’un utilisateur qui permet d’exporter l’e-mail considéré comme dangereux.This is a request from a user to export an email message that is deemed to be harmful.
44 ViewHeaderViewHeader Il s’agit de la demande d’un utilisateur qui permet d’afficher l’en-tête de l’e-mail considéré comme dangereux.This is a request from a user to view the header an email message that is deemed to be harmful.

Enum: RequestSource - Type: Edm.Int32Enum: RequestSource - Type: Edm.Int32

ValeurValue Nom du membreMember name DescriptionDescription
00 SCCSCC Le centre de sécurité et de conformité (SCC) est la source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux.The Security & Compliance center (SCC) is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
11 CmdletCmdlet Une cmdlet est la source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux.A cmdlet is the source where the request from a user to preview, delete, release, export, or view the header of a potentially harmful email message can originate from.
22 URLlinkURLlink Il s’agit d’une source d’où peut provenir la demande d’un utilisateur pour afficher un aperçu, supprimer, débloquer, exporter ou afficher l’en-tête d’un e-mail potentiellement dangereux.This is a source where the request from a user to preview, delete, release, export, or view the header of potentially harmful email message can originate from.

Schéma Microsoft FormsMicrosoft Forms schema

Les événements Microsoft Forms répertoriés dans l’article relatif à la recherche dans le journal d’audit dans le Centre de sécurité et conformité Office 365 utilisent ce schéma.The Micorosft Forms events listed in Search the audit log in the Office 365 Security & Compliance Center will use this schema.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
FormsUserTypesFormsUserTypes Collection(Self.FormsUserTypes)Collection(Self.FormsUserTypes) OuiYes Le rôle de l’utilisateur ayant exécuté l’action.The role of the user who performed the action. Les valeurs de ce paramètre sont Administrateur Propriétaire, Répondant ou Coauteur.The values for this parameter are Admin, Owner, Responder, or Coauthor.
SourceAppSourceApp Edm.StringEdm.String OuiYes Indique si l’action provient du site Web Forms ou d’une autre application.Indicates if the action is from Forms website or from another App.
FormNameFormName Edm.StringEdm.String NonNo Nom du formulaire actuel.The name of the current form.
FormIdFormId Edm.StringEdm.String NonNo ID du formulaire cible.The Id of the target form.
FormTypesFormTypes Collection(Self.FormTypes)Collection(Self.FormTypes) NonNo Indique s’il s’agit d’un formulaire, d’un questionnaire ou d’une enquête.Indicates whether this is a Form, Quiz, or Survey.
ActivityParametersActivityParameters Edm.StringEdm.String NonNo Chaîne JSON contenant les paramètres d’activité.JSON string containing activity parameters. Pour plus d’informations, voir Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365.See Search the audit log in the Office 365 Security & Compliance Center for more details.

Enum : FormsUserTypes-type : EDM. Int32Enum: FormsUserTypes - Type: Edm.Int32

FormsUserTypesFormsUserTypes

ValeurValue Type d'utilisateur de formulaireForm User Type DescriptionDescription
00 AdministrateurAdmin Un administrateur ayant accès au formulaire.An administrator who has access to the form.
11 PropriétaireOwner Utilisateur propriétaire du formulaire.A user who is the owner of the form.
22 RépondantResponder Utilisateur ayant soumis une réponse à un formulaire.A user who has submitted a response to a form.
33 CoauteurCoauthor Utilisateur ayant utilisé un lien de collaboration fourni par le propriétaire du formulaire pour se connecter et modifier un formulaire.A user who has used a collaboration link provided by the form owner to login and edit a form.

Enum: FormTypes-Type: Edm.Int32Enum: FormTypes - Type: Edm.Int32

FormTypesFormTypes

ValeurValue Types de formulairesForm Types DescriptionDescription
00 FormulaireForm Formulaires créés à l’aide de l’option nouveau formulaire.Forms that are created with the New Form option.
11 QuizQuiz Questionnaires créés à l’aide de l’option nouveau questionnaire.Quizzes that are created with the New Quiz option. Un questionnaire est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que des valeurs de points, des notations automatiques et manuelles, ainsi que des commentaires.A quiz is a special type of form that includes additional features such as point values, auto and manual grading, and commenting.
22 EnquêteSurvey Enquêtes créées à l’aide de l’option nouveau formulaire.Surveys that are created with the New Survey option. Une enquête est un type de formulaire spécial qui inclut des fonctionnalités supplémentaires, telles que l’intégration et la prise en charge de CMS pour les règles de flux.A survey is a special type of form that includes additional features such as CMS integration and support for Flow rules.

Schéma d’étiquette Microsoft Information ProtectionMIP label schema

Les événements figurant dans le schéma d’étiquette Microsoft Information Protection (MIP) sont déclenchés lorsque Microsoft 365 détecte un message électronique traité par des agents dans le pipeline de transport auquel une étiquette de confidentialité est appliquée.Events in the Microsoft Information Protection (MIP) label schema are triggered when Microsoft 365 detects an email message processed by agents in the Transport pipeline that has a sensitivity label applied to it. L’étiquette de confidentialité a peut-être été appliquée de façon manuelle ou automatique ou elle a peut-être été appliquée à l’intérieur ou à l’extérieur du pipeline de transport.The sensitivity label may have been applied manually or automatically, and it may have been applied within or outside of the Transport pipeline. Les étiquettes de confidentialité peuvent être automatiquement appliquées aux courriers électroniques via l’application automatique des stratégies d’étiquettes.Sensitiviy labels can be automatically applied to email messages by auto-apply label policies.

L’objectif de ce schéma d’audit est de représenter toutes les activités de courrier électronique impliquant des étiquettes de confidentialité.The intent of this audit schema is to represent the sum of all email activity that involves sensitivity labels. En d’autres termes, une activité d’audit doit être redéfinie pour chaque message électronique, envoyé ou provenant des utilisateurs de l’organisation, sur lequel une étiquette de confidentialité est appliquée, quel que soit l’emplacement ou la façon dont l’étiquette de confidentialité a été appliquée.In other words, there should be an recored audit activity for each email message that is sent to or from users in the organization that has a sensitivity label applied to it, regardless of when or how the sensitivity label was applied. Pour plus d’informations sur les étiquettes de confidentialité, voir :For more information about sensitivity labels, see:

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ExpéditeurSender Edm.StringEdm.String NonNo L’adresse de messagerie dans le champ De du message électronique.The email address in the From field of the email message.
RécepteursReceivers Collection(Edm.String)Collection(Edm.String) NonNo Toutes les adresses de messagerie figurant dans les champs à, CC et CCI de l’e-mail.All email addresses in the To, CC, and Bcc fields of the email message.
IitemNameItemName Edm.StringEdm.String NonNo Chaîne dans le champ Objet du message électronique.The string in the Subject field of the email message.
LabelIdLabelId Edm.GuidEdm.Guid NonNo GUID de l’étiquette de confidentialité appliquée au message électronique.The GUID of the sensitiviy label applied to the email message.
LabelNameLabelName Edm.StringEdm.String NonNo Nom de l’étiquette de confidentialité appliquée au courrier électronique.The name of the sensitivity label applied to the email message.
LabelActionLabelAction Edm.StringEdm.String NonNo Les actions spécifiées par l’étiquette de confidentialité qui ont été appliquées au courrier électronique avant que le message ne soit entré dans le pipeline de transport du courrier.The actions specified by the sensitivity label that were applied to the email message before the message entered the mail transport pipeline.
LabelAppliedDateTimeLabelAppliedDateTime Edm.DateEdm.Date NonNo Date d’application de l’étiquette de confidentialité au courrier électronique.The date the sensitivity label was applied to the email message.
ApplicationModeApplicationMode Edm.StringEdm.String NonNo Indique la manière dont l’étiquette de confidentialité a été appliquée au courrier électronique.Specifies how the sensitivity label was applied to the email message. La valeur Privilégié indique que l’étiquette a été appliquée manuellement par un utilisateur.The Privileged value indicates the label was manually applied by a user. La valeur Standard indique que l’étiquette a été appliquée automatiquement par un processus d’étiquetage côté client ou service.The Standard value indicates the label was auto-applied by a client-side or service-side labeling process.

Schéma Exchange de conformité aux communicationsCommunication compliance Exchange schema

Les événements de conformité aux communications répertoriés dans le journal d’audit Office 365 utilisent ce schéma.The communication compliance events listed in the Office 365 audit log use this schema. Cela inclut les enregistrements d’audit pour l’opération de SupervisoryReviewOLAudit générés lorsque le contenu d’un courrier électronique contient un langage choquant identifié par des modèles anti-courrier indésirable, avec une précision de correspondance de >= 99,5 %.This includes audit records for the SupervisoryReviewOLAudit operation that's generated when email message content contains offensive language identified by anti-spam models with a match accuracy of >= 99.5%.

ParamètresParameters TypeType Obligatoire ?Mandatory? DescriptionDescription
ExchangeDetailsExchangeDetails ExchangeDetailsExchangeDetails NonNo Propriétés du courrier électronique ayant déclenché l’événement SupervisoryReviewOLAudit.Properties of the email message that triggered the SupervisoryReviewOLAudit event.

Enumération : ExchangeDetails - type : ExchangeDetailsEnum: ExchangeDetails - Type: ExchangeDetails

ExchangeDetailsExchangeDetails

Nom du membreMember name Type (Type)Type DescriptionDescription
NetworkMessageIdNetworkMessageId Edm.GuidEdm.Guid ID de message réseau du message électronique.The network message ID of the email message.
InternetMessageIdInternetMessageId Edm.StringEdm.String ID de message internet du message électronique.The internet message ID of the email message.
AttachmentDataAttachmentData Collection(AttachmentDetails)Collection(AttachmentDetails) Informations sur les fichiers joints aux e-mails.Information about files attached to the email message.
DestinatairesRecipients Collection(Edm.String)Collection(Edm.String) Les adresses de messagerie figurant dans les champs à, Cc et Cci de l’e-mail.The email addresses in the To, Cc, and Bcc fields of the email message.
SujetSubject Edm.StringEdm.String Texte dans le champ Objet du message électronique.The text in the Subject field of the email message.
MessageTimeMessageTime Edm.DateEdm.Date Date et heure d’envoi du message électronique.The date and time the email message was sent.
DeFrom Edm.StringEdm.String L’adresse de messagerie dans le champ De du message électronique.The email address in the From field of the email message.
OrientationDirectionality Edm.StringEdm.String État d’origine du message électronique.The origination status of the email message.

Enumération : AttachmentDetails - Type : Edm.Int32Enum: AttachmentDetails - Type: Edm.Int32

AttachmentDetailsAttachmentDetails

Nom du membreMember name Type (Type)Type DescriptionDescription
FileNameFileName Edm.StringEdm.String Nom du fichier joint au message électronique.The name of the file attached to the email message.
FileTypeFileType Edm.StringEdm.String Extension du fichier joint au message électronique.The file extension of the file attached to the email message.
SHA256SHA256 Edm.StringEdm.String Code de hachage SHA-256 du fichier joint au message électronique.The SHA-256 hash of the file attached to the email message.