Eseguire una ricerca nel log di controllo nel Centro conformitàSearch the audit log in the compliance center

Se è necessario verificare se un utente ha visualizzato un documento specifico o ha eliminato un elemento dalla cassetta postale,Need to find if a user viewed a specific document or purged an item from their mailbox? è possibile usare il Centro conformità Microsoft 365 per eseguire una ricerca nel log di controllo unificato e visualizzare le attività degli utenti e degli amministratori nell'organizzazione.If so, you can use the Microsoft 365 compliance center to search the unified audit log to view user and administrator activity in your organization. Perché usare un log di controllo unificato?Why a unified audit log? Perché è possibile cercare i tipi seguenti di attività di utenti e amministratori in Microsoft 365:Because you can search for the following types of user and admin activity in Microsoft 365:

  • Attività utente in SharePoint Online e OneDrive for BusinessUser activity in SharePoint Online and OneDrive for Business

  • Attività utente in Exchange Online (registrazione di controllo delle cassette postali di Exchange)User activity in Exchange Online (Exchange mailbox audit logging)

  • Attività amministratore in SharePoint OnlineAdmin activity in SharePoint Online

  • Attività amministratore in Azure Active Directory (servizio directory per Microsoft 365)Admin activity in Azure Active Directory (the directory service for Microsoft 365)

  • Attività amministratore in Exchange Online (registrazione di controllo dell'amministratore di Exchange )Admin activity in Exchange Online (Exchange admin audit logging)

  • Attività eDiscovery nel Centro sicurezza e conformitàeDiscovery activities in the security and compliance center

  • Attività utente e amministratore in Power BIUser and admin activity in Power BI

  • Attività utente e amministratore in Microsoft TeamsUser and admin activity in Microsoft Teams

  • Attività utente e amministratore in Dynamics 365User and admin activity in Dynamics 365

  • Attività utente e amministratore in YammerUser and admin activity in Yammer

  • Attività utente e amministratore in Microsoft Power AutomateUser and admin activity in Microsoft Power Automate

  • Attività utente e amministratore in Microsoft StreamUser and admin activity in Microsoft Stream

  • Attività di analisti e amministratori in Microsoft Workplace AnalyticsAnalyst and admin activity in Microsoft Workplace Analytics

  • Attività utente e amministratore in Microsoft Power AppsUser and admin activity in Microsoft Power Apps

  • Attività utente e amministratore in Microsoft FormsUser and admin activity in Microsoft Forms

  • Attività utente e amministratore per le etichette di riservatezza per siti che usano SharePoint Online o Microsoft TeamsUser and admin activity for sensitivity labels for sites that use SharePoint Online or Microsoft Teams

  • Attività amministratore nelle e-mail di Briefing e in MyAnalyticsAdmin activity in Briefing email and MyAnalytics

Requisiti per la ricerca nel log di controlloRequirements to search the audit log

Prima di iniziare la ricerca nel log di controllo, tenere presente quanto segue.Be sure to read the following items before you start searching the audit log.

  • La ricerca nel registro di controllo è attivata per impostazione predefinita per le organizzazioni aziendali di Microsoft 365 e Office 365.Audit log search is turned on by default for Microsoft 365 and Office 365 enterprise organizations. Ciò include le organizzazioni con abbonamenti E3 / G3 o E5 / G5.This includes organizations with E3/G3 or E5/G5 subscriptions. Per verificare che la ricerca nel registro di controllo sia attivata, è possibile eseguire il comando seguente in Exchange Online PowerShell:To verify that audit log search is turned on, you can run the following command in Exchange Online PowerShell:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    Il valore True per la proprietà UnifiedAuditLogIngestionEnabled indica che la ricerca nel log di controllo è attivata.The value of True for the UnifiedAuditLogIngestionEnabled property indicates that audit log search is turned on. Per altre informazioni, vedere Attivare o disattivare la ricerca nel log di controllo.For more information, see Turn audit log search on or off.

  • È necessario avere il ruolo relativo ai log di controllo di sola lettura o ai log di controllo in Exchange Online per poter eseguire ricerche nel log di controllo.You have to be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online to search the audit log. Per impostazione predefinita, questi ruoli sono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'Interfaccia di amministrazione di Exchange.By default, these roles are assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Gli amministratori globali di Office 365 e Microsoft 365 vengono aggiunti automaticamente come membri del gruppo di ruoli Gestione organizzazione in Exchange Online.Note global administrators in Office 365 and Microsoft 365 are automatically added as members of the Organization Management role group in Exchange Online. Per consentire a un utente di eseguire ricerche nel log di controllo con il livello minimo di privilegi, è possibile creare un gruppo di ruoli personalizzato in Exchange Online, aggiungere il ruolo relativo ai log di controllo di sola lettura o ai log di controllo e quindi aggiungere l'utente come membro del nuovo gruppo di ruoli.To give a user the ability to search the audit log with the minimum level of privileges, you can create a custom role group in Exchange Online, add the View-Only Audit Logs or Audit Logs role, and then add the user as a member of the new role group. Per altre informazioni, vedere Gestire i gruppi di ruoli in Exchange Online.For more information, see Manage role groups in Exchange Online.

    Importante

    Se si assegna a un utente il ruolo relativo ai log di controllo di sola lettura o ai log di controllo nella pagina Autorizzazioni del Centro sicurezza e conformità, l'utente non potrà eseguire ricerche nel log di controllo.If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to search the audit log. È necessario assegnare le autorizzazioni in Exchange Online.You have to assign the permissions in Exchange Online. Ciò avviene perché il cmdlet sottostante usato per la ricerca nel log di controllo è un cmdlet di Exchange Online.This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.

  • Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione.When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. Il periodo di tempo per cui il record di controllo viene conservato (ed è disponibile per la ricerca nel log di controllo) varia in base all'abbonamento a Office 365 o Microsoft 365 Enterprise e, in particolare, al tipo di licenza assegnata a un utente specifico.The length of time that an audit record is retained (and searchable in the audit log) depends on your Office 365 or Microsoft 365 Enterprise subscription, and specifically the type of the license that is assigned to specific users.

    • Per gli utenti con licenza Office 365 E5 o Microsoft 365 E5 o utenti con una licenza per componente aggiuntivo Microsoft 365 E5 Compliance o Microsoft 365 E5 eDiscovery e Audit, i record di controllo per l'attività di Azure Active Directory, Exchange e SharePoint vengono conservati per un anno per impostazione predefinita.For users assigned an Office 365 E5 or Microsoft 365 E5 license (or users with a Microsoft 365 E5 Compliance or Microsoft 365 E5 eDiscovery and Audit add-on license), audit records for Azure Active Directory, Exchange, and SharePoint activity are retained for one year by default. Le organizzazioni possono anche creare criteri di conservazione del log di controllo per conservare i record di controllo per le attività in altri servizi per un massimo di un anno.Organizations can also create audit log retention policies to retain audit records for activities in other services for up to one year. Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.For more information, see Manage audit log retention policies.

      Nota

      Se l'organizzazione ha partecipato al programma di anteprima privata per la conservazione dei record di controllo per un anno, la durata di conservazione per i record di controllo generati prima della data di implementazione della disponibilità generale non verrà reimpostata.If your organization participated in the private preview program for the one-year retention of audit records, the retention duration for audit records that were generated before the general availability rollout date will not be reset.

    • Per gli utenti con qualsiasi altra licenza di Office 365 o Microsoft 365 (non E5), i record di controllo vengono conservati per 90 giorni.For users assigned any other (non-E5) Office 365 or Microsoft 365 license, audit records are retained for 90 days. Per un elenco degli abbonamenti a Office 365 e Microsoft 365 che supportano la registrazione di controllo unificato, vedere la descrizione del servizio del Centro sicurezza e conformità.For a list of Office 365 and Microsoft 365 subscriptions that support unified audit logging, see the security and compliance center service description.

      Nota

      Anche se il controllo delle cassette postali è attivato per impostazione predefinita, si potrebbe notare che gli eventi di controllo delle cassette postali per alcuni utenti non sono inclusi nelle ricerche nei log di controllo nel Centro sicurezza e conformità o nell'API Office 365 Management Activity.Even when mailbox auditing on by default is turned on, you might notice that mailbox audit events for some users aren't found in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Vedere la sezione Altre informazioni sulla registrazione di controllo delle cassette postali.For more information, see More information about mailbox audit logging.

  • Se si desidera disabilitare la ricerca nel log di controllo per la propria organizzazione, è possibile eseguire questo comando nell'istanza di PowerShell remota connessa all'organizzazione di Exchange Online:If you want to turn off audit log search for your organization, you can run the following command in remote PowerShell connected to your Exchange Online organization:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    Per attivare di nuovo la ricerca nel log di controllo, è possibile eseguire il comando seguente in PowerShell di Exchange Online:To turn on audit search again, you can run the following command in Exchange Online PowerShell:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Per altre informazioni, vedere Disabilitare la ricerca nel log di controllo.For more information, see Turn off audit log search.

  • Come indicato in precedenza, il cmdlet sottostante usato per la ricerca nel log di controllo è un cmdlet di Exchange Online, ovvero Search-UnifiedAuditLog.As previously stated, the underlying cmdlet used to search the audit log is an Exchange Online cmdlet, which is Search-UnifiedAuditLog. Ciò significa che è possibile usare questo cmdlet anziché la pagina Ricerca log di controllo nel Centro sicurezza e conformità per eseguire una ricerca nel log di controllo.That means you can use this cmdlet to search the audit log instead of using the Audit log search page in the Security & Compliance Center. È necessario eseguire questo cmdlet in una sessione remota di PowerShell connessa all'organizzazione di Exchange Online.You have to run this cmdlet in remote PowerShell connected to your Exchange Online organization. Per altre informazioni, vedere Search-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog.

    Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • Per scaricare i dati a livello di programmazione dal log di controllo, è consigliabile usare l'API Office 365 Management Activity, invece di uno script di PowerShell.If you want to programmatically download data from the audit log, we recommend that you use the Office 365 Management Activity API instead of using a PowerShell script. L'API Office 365 Management Activity è un servizio Web REST che è possibile utilizzare per sviluppare operazioni e soluzioni per la sicurezza e il monitoraggio della conformità per l'organizzazione.The Office 365 Management Activity API is a REST web service that you can use to develop operations, security, and compliance monitoring solutions for your organization. Per altre informazioni, vedere Riferimento API Office 365 Management Activity.For more information, see Office 365 Management Activity API reference.

  • La restituzione del record del log di controllo nei risultati della ricerca dei log di controllo può richiedere fino a 30 minuti o a 24 ore dal momento in cui si verifica l'evento.It can take up to 30 minutes or up to 24 hours after an event occurs for the corresponding audit log record to be returned in the results of an audit log search. La tabella seguente mostra il tempo necessario per i diversi servizi in Office 365.The following table shows the time it takes for the different services in Office 365.

    Servizio o funzionalità Microsoft 365Microsoft 365 service or feature 30 minuti30 minutes 24 ore24 hours
    Defender per Office 365 e Threat IntelligenceDefender for Office 365 and Threat Intelligence Segno di spunta
    Azure Active Directory (eventi di accesso utente)Azure Active Directory (user login events) Segno di spunta
    Interfaccia di amministrazione di Azure Active Directory (eventi di amministrazione)Azure Active Directory (admin events) Segno di spunta
    Prevenzione della perdita di datiData Loss Prevention Segno di spunta
    Dynamics 365 CRMDynamics 365 CRM Segno di spunta
    eDiscoveryeDiscovery Segno di spunta
    Exchange OnlineExchange Online Segno di spunta
    Microsoft Power AutomateMicrosoft Power Automate Segno di spunta
    Microsoft ProjectMicrosoft Project Segno di spunta
    Microsoft StreamMicrosoft Stream Segno di spunta
    Microsoft TeamsMicrosoft Teams Segno di spunta
    Power AppsPower Apps Segno di spunta
    Power BIPower BI Segno di spunta
    Centro sicurezza e conformitàSecurity & Compliance Center Segno di spunta
    Etichette di riservatezzaSensitivity labels Segno di spunta
    SharePoint Online e OneDrive for BusinessSharePoint Online and OneDrive for Business Segno di spunta
    Workplace AnalyticsWorkplace Analytics Segno di spunta
    YammerYammer Segno di spunta
    Microsoft FormsMicrosoft Forms Segno di spunta
  • Azure Active Directory (Azure AD) è il servizio directory per Office 365.Azure Active Directory (Azure AD) is the directory service for Office 365. Il log di controllo unificato contiene le attività di utenti, gruppi, applicazioni, domini e directory eseguite nell'interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.The unified audit log contains user, group, application, domain, and directory activities performed in the Microsoft 365 admin center or in the Azure management portal. Per un elenco completo degli eventi di Azure AD, vedere Eventi del report di controllo di Azure Active Directory.For a complete list of Azure AD events, see Azure Active Directory Audit Report Events.

  • La registrazione di controllo per Power BI non è abilitata per impostazione predefinita.Audit logging for Power BI isn't enabled by default. Per cercare le attività di Power BI nel log di controllo, è necessario abilitare il controllo nel portale di amministrazione di Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Per le istruzioni, vedere la sezione "Log di controllo" nel portale di amministrazione di Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Eseguire ricerche nel log di controlloSearch the audit log

Nota

È stato riscontrato un problema per cui le attività di Azure AD non sono disponibili nello strumento di ricerca nel log di audit dal 22 ottobre 2020 al 6 novembre 2020.There was an issue with Azure AD activities being unavailable in the audit log search tool from October 22, 2020 to November 6, 2020. Queste attività includono le attività di amministrazione degli utenti di Azure Active Directory, le attività di amministrazione gruppi, le attività di amministrazione delle applicazioni, le attività di amministrazione dei ruoli e le attività di amministrazione directory.These activites include Azure AD user administration activities, group administration activities, application administration activities, role administration activities, and directory administration activities. Gli eventi mancanti per il periodo di impatto saranno disponibili nei prossimi giorni e si prevede che verranno completati entro il 20 novembre 2020.The missing events for the period of impact will be available over the next few days, and is expected to take no later than November 20, 2020 to complete. In alcuni casi, i clienti potrebbero notare dati di eventi duplicati per gli eventi generati tra il 26 ottobre 2020 e il 5 novembre 2020.In some cases, customers might notice duplicate event data for events generated between October 26, 2020 and November 05, 2020.

Ecco il processo per la ricerca nel log di controllo in Office 365.Here's the process for searching the audit log in Office 365.

Passaggio 1: Eseguire una ricerca nel log di controlloStep 1: Run an audit log search

Passaggio 2: Visualizzare i risultati della ricercaStep 2: View the search results

Passaggio 3: Filtrare i risultati della ricercaStep 3: Filter the search results

Passaggio 4: Esportare i risultati della ricerca in un fileStep 4: Export the search results to a file

  1. Passare a https://protection.office.com.Go to https://protection.office.com.

    Suggerimento

    Usare una sessione di esplorazione privata (invece di una normale) per accedere al Centro sicurezza e conformità, per impedire che le credenziali con cui si è attualmente connessi vengano utilizzate.Use a private browsing session (not a regular session) to access the Security & Compliance Center because this will prevent the credential that you are currently logged on with from being used. Per aprire una finestra InPrivate Browsing in Internet Explorer o in Microsoft Edge, premere CTRL + MAIUSC + P.To open an InPrivate Browsing session in Internet Explorer or Microsoft Edge, just press CTRL+SHIFT+P. Per aprire una sessione di esplorazione privata in Google Chrome (denominata finestra di navigazione in incognito), premere CTRL + MAIUSC + N.To open a private browsing session in Google Chrome (called an incognito window), press CTRL+SHIFT+N.

  2. Accedere usando l'account aziendale o dell'istituto di istruzione.Sign in using your work or school account.

  3. Nel riquadro sinistro del Centro sicurezza e conformità, fare clic su Cerca, quindi su Ricerca log di controllo.In the left pane of the Security & Compliance Center, click Search, and then click Audit log search.

    Viene visualizzata la pagina Ricerca log di controllo.The Audit log search page is displayed.

    Configurare i criteri, quindi fare clic su Cerca per eseguire un report

    Nota

    È necessario attivare la registrazione di controllo per poter eseguire una ricerca nel log di controllo.You have to first turn on audit logging before you can run an audit log search. Se è visualizzato il collegamento Avviare la registrazione delle attività di utenti e amministratori, fare clic su di esso per attivare il controllo.If the Start recording user and admin activity link is displayed, click it to turn on auditing. Se questo collegamento non è visualizzato, il controllo è già stato attivato per l'organizzazione.If you don't see this link, auditing has already been turned on for your organization.

  4. Configurare i criteri di ricerca seguenti: Configure the following search criteria:

    1. Attività: fare clic sull'elenco a discesa per visualizzare le attività che è possibile cercare.Activities: Click the drop-down list to display the activities that you can search for. Le attività di utenti e amministratori sono organizzate in gruppi di attività correlate.User and admin activities are organized into groups of related activities. È possibile selezionare attività specifiche oppure è possibile fare clic sul nome del gruppo di attività per selezionare tutte le attività del gruppo.You can select specific activities or you can click the activity group name to select all activities in the group. È anche possibile fare clic su un'attività selezionata per annullare la selezione.You can also click a selected activity to clear the selection. Dopo aver eseguito la ricerca, vengono visualizzate solo le voci del log di controllo per le attività selezionate.After you run the search, only the audit log entries for the selected activities are displayed. Se si seleziona Visualizza i risultati per tutte le attività, vengono visualizzati i risultati per tutte le attività eseguite dall'utente o dal gruppo di utenti selezionato.Selecting Show results for all activities displays results for all activities performed by the selected user or group of users.

      Nel log di controllo vengono registrate più di 100 attività di utenti e amministratori.Over 100 user and admin activities are logged in the audit log. Fare clic sulla scheda Attività controllate in questo articolo per visualizzare le descrizioni delle singole attività per i vari servizi.Click the Audited activities tab at the topic of this article to see the descriptions of every activity in each of the different services.

    2. Data inizio e Data fine: per impostazione predefinita, sono selezionati gli ultimi sette giorni.Start date and End date: The last seven days are selected by default. Selezionare un intervallo di date e ore per visualizzare gli eventi che si sono verificati in quel periodo.Select a date and time range to display the events that occurred within that period. La data e l'ora vengono visualizzati nel fuso orario locale.The date and time are presented in local time. L'intervallo massimo che è possibile specificare è 90 giorni.The maximum date range that you can specify is 90 days. Se l'intervallo di date selezionato è maggiore di 90 giorni, verrà visualizzato un errore.An error is displayed if the selected date range is greater than 90 days.

      Suggerimento

      Se si usa l'intervallo di date massimo di 90 giorni, selezionare l'ora corrente per Data inizio.If you're using the maximum date range of 90 days, select the current time for the Start date. In caso contrario, verrà visualizzato un errore che indica che la data di inizio è precedente alla data di fine.Otherwise, you'll receive an error saying that the start date is earlier than the end date. Se è stato attivato il controllo negli ultimi 90 giorni, l'intervallo di date massimo non può iniziare prima della data in cui il controllo è stato attivato.If you've turned on auditing within the last 90 days, the maximum date range can't start before the date that auditing was turned on.

    3. Utenti: fare clic in questa casella e quindi selezionare uno o più utenti per cui visualizzare i risultati della ricerca.Users: Click in this box and then select one or more users to display search results for. Nell'elenco di risultati vengono visualizzate le voci del log di controllo per l'attività selezionata eseguita dagli utenti specificati in questa casella.The audit log entries for the selected activity performed by the users you select in this box are displayed in the list of results. Lasciare la casella vuota per restituire le voci per tutti gli utenti (e gli account del servizio) nell'organizzazione.Leave this box blank to return entries for all users (and service accounts) in your organization.

    4. File, cartella o sito: digitare alcuni o tutti i nomi di file o cartelle per cercare l'attività relativa al file o alla cartella che contiene la parola chiave specificata.File, folder, or site: Type some or all of a file or folder name to search for activity related to the file of folder that contains the specified keyword. È anche possibile specificare un URL di un file o una cartella.You can also specify a URL of a file or folder. Se si utilizza un URL, assicurarsi di digitare il percorso URL completo oppure, se si digita solo una parte dell'URL, di non includere spazi o caratteri speciali.If you use a URL, be sure the type the full URL path or if you type a portion of the URL, don't include any special characters or spaces.

      Lasciare questa casella vuota per restituire le voci per tutti i file e le cartelle nell'organizzazione.Leave this box blank to return entries for all files and folders in your organization.

      Suggerimento

      • Se si stanno cercando tutte le attività correlate a un sito, aggiungere il simbolo jolly (*) dopo l'URL per restituire tutte le voci per quel sito; ad esempio, "https://contoso-my.sharepoint.com/personal*".If you're looking for all activities related to a site, add the wildcard symbol (*) after the URL to return all entries for that site; for example, "https://contoso-my.sharepoint.com/personal*".

      • Se si stanno cercando tutte le attività correlate a un file, aggiungere il simbolo jolly (*) prima del nome file per restituire tutte le voci per quel file; ad esempio, "*Customer_Profitability_Sample.csv".If you're looking for all activities related to a file, add the wildcard symbol (*) before the file name to return all entries for that file; for example, "*Customer_Profitability_Sample.csv".

  5. Fare clic su Cerca per eseguire la ricerca usando i criteri di ricerca.Click Search to run the search using your search criteria.

    I risultati della ricerca vengono caricati e, dopo alcuni istanti, vengono visualizzati in Risultati.The search results are loaded, and after a few moments they are displayed under Results. Al termine della ricerca, viene visualizzato il numero di risultati trovati.When the search is finished, the number of results found is displayed. Nel riquadro Risultati verranno visualizzati al massimo 5.000 eventi in incrementi di 150 eventi.A maximum of 5,000 events will be displayed in the Results pane in increments of 150 events. Se sono presenti più di 5.000 eventi che soddisfano i criteri di ricerca, verranno visualizzati i 5.000 eventi più recenti.If more than 5,000 events meet the search criteria, the most recent 5,000 events are displayed.

    Il numero di risultati viene visualizzato al termine della ricerca

Suggerimenti per la ricerca nel log di controlloTips for searching the audit log

  • È possibile selezionare attività specifiche da cercare facendo clic sul relativo nome.You can select specific activities to search for by clicking the activity name. In alternativa, è possibile cercare tutte le attività in un gruppo (ad esempio Attività su file e cartelle) facendo clic sul nome del gruppo.Or you can search for all activities in a group (such as File and folder activities) by clicking the group name. Se è selezionata un'attività, è possibile fare clic su di essa per annullare la selezione.If an activity is selected, you can click it to cancel the selection. È anche possibile usare la casella di ricerca per visualizzare le attività contenenti la parola chiave digitata.You can also use the search box to display the activities that contain the keyword that you type.

    Fare clic sul nome del gruppo di attività per selezionare tutte le attività

  • È necessario selezionare Visualizza i risultati per tutte le attività nell'elenco Attività per visualizzare gli eventi del log di controllo dell'amministratore di Exchange.You have to select Show results for all activities in the Activities list to display events from the Exchange admin audit log. Gli eventi di questo log di controllo mostrano un nome di cmdlet (ad esempio, Set-Mailbox) nella colonna Attività dei risultati.Events from this audit log display a cmdlet name (for example, Set-Mailbox) in the Activity column in the results. Per altre informazioni, fare clic sulla scheda Attività controllate in questo argomento, quindi fare clic su Attività di amministrazione di Exchange.For more information, click the Audited activities tab in this topic and then click Exchange admin activities.

    Allo stesso modo, esistono alcune attività di controllo che non hanno un elemento corrispondente nell'elenco Attività.Similarly, there are some auditing activities that don't have a corresponding item in the Activities list. Se si conosce il nome dell'operazione per queste attività, è possibile cercare tutte le attività, filtrare i risultati digitando il nome dell'operazione nella casella per la colonna Attività.If you know the name of the operation for these activities, you can search for all activities, then filter the results by typing the name of the operation in the box for the Activity column. Vedere Passaggio 3: Filtrare i risultati della ricerca per altre informazioni su come filtrare i risultati.See Step 3: Filter the search results for more information about filtering the results.

  • Fare clic su Cancella per cancellare i criteri di ricerca correnti.Click Clear to clear the current search criteria. L'intervallo di date torna impostato sul valore predefinito corrispondente agli ultimi sette giorni.The date range returns to the default of the last seven days. È anche possibile fare clic su Deseleziona tutto per visualizzare i risultati per tutte le attività per annullare tutte le attività selezionate.You can also click Clear all to show results for all activities to cancel all selected activities.

  • Se vengono trovati 5.000 risultati, è probabile che ci siano più di 5.000 eventi che soddisfano i criteri di ricerca.If 5,000 results are found, you can probably assume that there are more than 5,000 events that met the search criteria. È possibile perfezionare i criteri di ricerca ed eseguire di nuovo la ricerca in modo che vengano restituiti meno risultati oppure è possibile esportare tutti i risultati della ricerca selezionando Esporta risultati > Scarica tutti i risultati.You can either refine the search criteria and rerun the search to return fewer results, or you can export all of the search results by selecting Export results > Download all results.

Passaggio 2: Visualizzare i risultati della ricercaStep 2: View the search results

I risultati di una ricerca nel log di controllo vengono visualizzati in Risultati nella pagina Ricerca log di controllo.The results of an audit log search are displayed under Results on the Audit log search page. Come affermato in precedenza, vengono visualizzati al massimo 5.000 eventi (i più recenti) in incrementi di 150 eventi.As previously stated a maximum of 5,000 (newest) events are displayed in increments of 150 events. Per visualizzare più eventi, è possibile usare la barra di scorrimento nel riquadro Risultati oppure è possibile premere MAIUSC+FINE per visualizzare i 150 eventi successivi.To display more events you can use the scroll bar in the Results pane or you can press Shift + End to display the next 150 events.

I risultati includono le informazioni seguenti relative a ogni evento restituito dalla ricerca:The results contain the following information about each event returned by the search:

  • Data: data e ora (nel fuso orario locale) in cui si è verificato l'evento.Date: The date and time (in your local time) when the event occurred.

  • Indirizzo IP: indirizzo IP del dispositivo usato durante la registrazione dell'attività.IP address: The IP address of the device that was used when the activity was logged. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.The IP address is displayed in either an IPv4 or IPv6 address format.

    Nota

    Per alcuni servizi, il valore visualizzato in questo campo potrebbe corrispondere all'indirizzo IP di un'applicazione attendibile, ad esempio un'app di Office sul Web, che chiama il servizio per conto di un utente e non l'indirizzo IP del dispositivo usato dalla persona che ha eseguito l'attività.For some services, the value displayed in this field might be the IP address for a trusted application (for example, Office on the web apps) calling into the service on behalf of a user and not the IP address of the device used by person who performed the activity. Inoltre, per le attività amministratore (o attività eseguite da un account di sistema) per gli eventi correlati ad Azure Active Directory, l'indirizzo IP non viene registrato e il valore visualizzato nel campo è null.Also, for admin activity (or activity performed by a system account) for Azure Active Directory-related events, the IP address isn't logged and the value displayed in this field is null.

  • Utente: utente (o account del servizio) che ha eseguito l'azione che ha attivato l'evento.User: The user (or service account) who performed the action that triggered the event.

  • Attività: attività eseguita dall'utente.Activity: The activity performed by the user. Questo valore corrisponde alle attività selezionate nell'elenco a discesa Attività.This value corresponds to the activities that you selected in the Activities drop down list. Per un evento del log di controllo dell'amministratore di Exchange, il valore in questa colonna è un cmdlet di Exchange.For an event from the Exchange admin audit log, the value in this column is an Exchange cmdlet.

  • Elemento: oggetto creato o modificato come risultato dell'attività corrispondente.Item: The object that was created or modified as a result of the corresponding activity. Ad esempio, il file che è stato visualizzato o modificato oppure l'account utente che è stato aggiornato.For example, the file that was viewed or modified or the user account that was updated. Non tutte le attività presentano un valore in questa colonna.Not all activities have a value in this column.

  • Dettagli: dettagli aggiuntivi su un'attività.Detail: Additional information about an activity. Anche in questo caso, non tutte le attività hanno un valore.Again, not all activities have a value.

Suggerimento

Fare clic su un'intestazione di colonna in Risultati per ordinare i risultati.Click a column header under Results to sort the results. È possibile ordinare i risultati dalla A alla Z o dalla Z alla A. Fare clic sull'intestazione Data per ordinare i risultati dal meno recente al più recente o viceversa.You can sort the results from A to Z or Z to A. Click the Date header to sort the results from oldest to newest or newest to oldest.

Visualizzare i dettagli di un evento specificoView the details for a specific event

È possibile visualizzare altri dettagli di un evento facendo clic sul record dell'evento nell'elenco dei risultati della ricerca.You can view more details about an event by clicking the event record in the list of search results. Verrà visualizzata una pagina Dettagli contenente le proprietà dettagliate del record dell'evento.A Details page is displayed that contains the detailed properties from the event record. Le proprietà visualizzate dipendono dal servizio in cui si verifica l'evento.The properties that are displayed depend on the service in which the event occurs. Per visualizzare questi dettagli, fare clic su Altre informazioni.To display these details, click More information. Per le descrizioni, vedere Proprietà dettagliate nel log di controllo.For descriptions, see Detailed properties in the audit log.

Fare clic su Altre informazioni per visualizzare le proprietà dettagliate del record dell'evento del log di controllo

Passaggio 3: Filtrare i risultati della ricercaStep 3: Filter the search results

Oltre a ordinare i risultati di una ricerca nel log di controllo, è anche possibile filtrarli.In addition to sorting, you can also filter the results of an audit log search. Questa caratteristica è molto utile perché consente di filtrare rapidamente i risultati per un'attività o un utente specifico.This is a great feature that can help you quickly filter the results for a specific user or activity. È possibile iniziare da una ricerca più ampia e quindi filtrare rapidamente i risultati per visualizzare eventi specifici.You can initially create a wide search and then quickly filter the results to see specific events. È quindi possibile restringere i criteri ed eseguire di nuovo la ricerca affinché venga restituito un set di risultati più piccolo e conciso.Then you can narrow the search criteria and rerun the search to return a smaller, more concise set of results.

Per filtrare i risultati:To filter the results:

  1. Eseguire una ricerca nel log di controllo.Run an audit log search.

  2. Quando vengono visualizzati i risultati, fare clic su Filtra risultati.When the results are displayed, click Filter results.

    Sotto ogni intestazione di colonna vengono visualizzate le caselle delle parole chiave.Keyword boxes are displayed under each column header.

  3. Fare clic su una delle caselle sotto un'intestazione di colonna e digitare una parola o una fase, a seconda della colonna in base a cui si sta filtrando.Click one of the boxes under a column header and type a word or phrase, depending on the column you're filtering on. I risultati verranno riorganizzati dinamicamente per visualizzare gli eventi corrispondenti al filtro.The results will dynamically readjust to display the events that match your filter.

    Digitare una parola nel filtro per visualizzare gli eventi corrispondenti al filtro

  4. Per cancellare un filtro, fare clic su X nella casella del filtro oppure fare clic su Nascondi filtro.To clear a filter, click the X in the filter box or click Hide filtering.

Suggerimento

Per visualizzare gli eventi del log di controllo dell'amministratore di Exchange, digitare - (trattino) nella casella del filtro Attività.To display events from the Exchange admin audit log, type a - (dash) in the Activity filter box. In questo modo, verranno visualizzati i nomi dei cmdlet, che sono indicati nella colonna Attività per gli eventi di amministrazione di Exchange.This will display cmdlet names, which are displayed in the Activity column for Exchange admin events. È anche possibile disporre i nomi dei cmdlet in ordine alfabetico.Then you can sort the cmdlet names in alphabetical order.

Passaggio 4: Esportare i risultati della ricerca in un fileStep 4: Export the search results to a file

È possibile esportare i risultati di una ricerca nel log di controllo in un file con valori delimitati da virgole (CSV) nel computer locale.You can export the results of an audit log search to a comma-separated value (CSV) file on your local computer. È possibile aprire il file in Microsoft Excel e usare caratteristiche come ricerca, ordinamento, filtro e divisione di una singola colonna (con più proprietà) in più colonne.You can open this file in Microsoft Excel and use features such as search, sorting, filtering, and splitting a single column (that contains multiple properties) into multiple columns.

  1. Eseguire una ricerca nel log di controllo e quindi modificare i criteri di ricerca fino a ottenere i risultati desiderati.Run an audit log search, and then revise the search criteria until you have the desired results.

  2. Fare clic su Esporta risultati e selezionare una delle opzioni seguenti:Click Export results and select one of the following options:

    • Salva i risultati caricati: scegliere questa opzione per esportare solo le voci visualizzate in Risultati nella pagina Ricerca log di controllo.Save loaded results: Choose this option to export only the entries that are displayed under Results on the Audit log search page. Il file CSV che viene scaricato contiene le stesse colonne (e gli stessi dati) presenti nella pagina (Data, Utente, Attività, Elemento e Dettagli).The CSV file that is downloaded contains the same columns (and data) displayed on the page (Date, User, Activity, Item, and Details). Il file CSV contiene una colonna aggiuntiva (denominata Altro) con altre informazioni sulla voce del log di controllo.An extra column (named More) is included in the CSV file that contains more information from the audit log entry. Poiché si stanno esportando gli stessi risultati caricati (e visualizzabili) nella pagina Ricerca log di controllo, verranno esportate al massimo 5.000 voci.Because you're exporting the same results that are loaded (and viewable) on the Audit log search page, a maximum of 5,000 entries are exported.

    • Scarica tutti i risultati: scegliere questa opzione per esportare tutte le voci del log di controllo che soddisfano i criteri di ricerca.Download all results: Choose this option to export all entries from the audit log that meet the search criteria. Per un ampio set di risultati della ricerca, scegliere questa opzione per scaricare tutte le voci del log di controllo oltre ai 5.000 risultati che possono essere visualizzati nella pagina Ricerca log di controllo.For a large set of search results, choose this option to download all entries from the audit log in addition to the 5,000 audit records that can be displayed on the Audit log search page. Questa opzione consente di scaricare i dati non elaborati dal log di controllo in un file CSV e include informazioni aggiuntive sulle voci del log di controllo in una colonna denominata AuditData.This option downloads the raw data from the audit log to a CSV file, and contains additional information from the audit log entry in a column named AuditData. Se si sceglie questa opzione di esportazione potrebbe essere necessario più tempo per scaricare il file, in quanto il file potrebbe essere molto più grande di quello scaricato scegliendo l'altra opzione.It may take longer to download the file if you choose this export option because the file may be much larger than the one that's downloaded if you choose the other option.

      Importante

      È possibile scaricare al massimo 50.000 voci in un file CSV da una singola ricerca nel log di controllo.You can download a maximum of 50,000 entries to a CSV file from a single audit log search. Se vengono scaricate 50.000 voci nel file CSV, è probabile che ci siano più di 50.000 eventi che soddisfano i criteri di ricerca.If 50,000 entries are downloaded to the CSV file, you can probably assume there are more than 50,000 events that met the search criteria. Per eseguire l'esportazione oltre questo limite, provare a usare un intervallo di date per ridurre il numero di voci del log di controllo.To export more than this limit, try using a date range to reduce the number of audit log entries. Potrebbe essere necessario eseguire più ricerche con intervalli di date più piccoli per esportare più di 50.000 voci.You might have to run multiple searches with smaller date ranges to export more than 50,000 entries.

  3. Dopo aver selezionato un'opzione di esportazione, nella parte inferiore della finestra viene visualizzato un messaggio che chiede se aprire il file CSV, salvarlo nella cartella Download o salvarlo in una cartella specifica.After you select an export option, a message is displayed at the bottom of the window that prompts you to open the CSV file, save it to the Downloads folder, or save it to a specific folder.

Altre informazioni sull'esportazione e la visualizzazione dei risultati della ricerca nel log di controlloMore information about exporting and viewing audit log search results

  • Se si scaricano tutti i risultati della ricerca, il file CSV contiene una colonna denominata AuditData con informazioni aggiuntive su ogni evento.If you download all search results, the CSV file contains a column named AuditData, which contains additional information about each event. I dati contenuti in questa colonna sono costituiti da un oggetto JSON che contiene più proprietà del record del log di controllo.The data in this column consists of a JSON object that contains multiple properties from the audit log record. Ogni coppia property:value dell'oggetto JSON è separata da una virgola.Each property:value pair in the JSON object is separated by a comma. È possibile usare lo strumento di trasformazione JSON nell'editor di Power Query in Excel per dividere la colonna AuditData in più colonne, in modo che ogni proprietà dell'oggetto JSON disponga di una colonna specifica.You can use the JSON transform tool in the Power Query Editor in Excel to split AuditData column into multiple columns so that each property in the JSON object has its own column. In questo modo è possibile ordinare e filtrare in base a una o più di queste proprietà.This lets you sort and filter on one or more of these properties. Per le istruzioni dettagliate sull'uso dell'editor di Power Query per trasformare l'oggetto JSON, vedere Esportare, configurare e visualizzare i record del log di controllo.For step-by-step instructions using the Power Query Editor to transform the JSON object, see Export, configure, and view audit log records.

    Dopo avere diviso la colonna AuditData, è possibile filtrare in base alla colonna Operazioni per visualizzare le proprietà dettagliate per un tipo di attività specifico.After you split the AuditData column, you can filter on the Operations column to display the detailed properties for a specific type of activity.

  • L'opzione Scarica tutti i risultati scarica i dati non elaborati dal log di controllo in un file CSV.The Download all results option downloads the raw data from the audit log to a CSV file. Il file contiene nomi di colonna (CreationDate, UserIds, Operation, AuditData) diversi rispetto a quelli nel file scaricato selezionando l'opzione Salva i risultati caricati.This file contains different column names (CreationDate, UserIds, Operation, AuditData) than the file that's downloaded if you select the Save loaded results option. Anche i valori per la stessa attività potrebbero essere diversi nei due diversi file CSV.The values in the two different CSV files for the same activity may also be different. Ad esempio, l'attività nella colonna Azione nel file CSV può avere un valore diverso rispetto alla versione descrittiva visualizzata nella colonna Attività nella pagina Ricerca log di controllo.For example, the activity in the Action column in the CSV file and may have a different value than the "user-friendly" name that's displayed in the Activity column on the Audit log search page. I due valori potrebbero ad esempio essere MailboxLogin e Utente connesso a cassetta postale.For example, MailboxLogin vs. User signed in to mailbox.

  • Quando si scaricano tutti i risultati di una query di ricerca che contiene eventi di diversi servizi, la colonna AuditData nel file CSV contiene proprietà diverse a seconda del servizio in cui è stata eseguita l'azione.When you download all results from a search query that contains events from different services, the AuditData column in the CSV file contains different properties depending on which service the action was performed in. Le voci dei log di controllo di Exchange e Azure AD, ad esempio, contengono una proprietà denominata ResultStatus che indica se l'azione è riuscita o meno.For example, entries from Exchange and Azure AD audit logs include a property named ResultStatus that indicates if the action was successful or not. Questa proprietà non è inclusa per gli eventi di SharePoint.This property isn't included for events in SharePoint. Analogamente, gli eventi di SharePoint hanno una proprietà che identifica l'URL del sito per le attività correlate a file e cartelle.Similarly, SharePoint events have a property that identifies the site URL for file and folder-related activities. Per ovviare a questo comportamento, è consigliabile usare ricerche diverse per esportare i risultati per le attività da un unico servizio.To mitigate this behavior, consider using different searches to export the results for activities from a single service.

    Per una descrizione delle numerose proprietà elencate nella colonna AuditData del file CSV quando si scaricano tutti i risultati, con l'indicazione del servizio a cui si riferiscono, vedere Proprietà dettagliate nel log di controllo.For a description of many of the properties that are listed in the AuditData column in the CSV file when you download all results, and the service each one applies to, see Detailed properties in the audit log.

Attività controllateAudited activities

Le tabelle in questa sezione descrivono le attività che vengono controllate in Office 365.The tables in this section describe the activities that are audited in Office 365. È possibile cercare questi eventi eseguendo una ricerca nel log di controllo nel Centro sicurezza e conformità.You can search for these events by searching the audit log in the security and compliance center.

Queste tabelle raggruppano le attività correlate o le attività di un determinato servizio.These tables group related activities or the activities from a specific service. Le tabelle includono il nome descrittivo visualizzato nell'elenco a discesa Attività e il nome dell'operazione corrispondente visualizzato nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.The tables include the friendly name that's displayed in the Activities drop-down list and the name of the corresponding operation that appears in the detailed information of an audit record and in the CSV file when you export the search results. Per le descrizioni delle informazioni dettagliate, vedere Proprietà dettagliate nel log di controllo.For descriptions of the detailed information, see Detailed properties in the audit log.

Fare clic su uno dei collegamenti seguenti per passare a una tabella specifica.Click one of the following links to go to a specific table.

Attività su file e pagineFile and page activities

La tabella seguente descrive le attività su file e pagine in SharePoint Online e OneDrive for Business.The following table describes the file and page activities in SharePoint Online and OneDrive for Business.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
File apertoAccessed file FileAccessedFileAccessed Un utente o un account di sistema esegue l'accesso a un file.User or system account accesses a file.
(nessuno)(none) FileAccessedExtendedFileAccessedExtended Elemento correlato all'attività "File aperto" (FileAccessed).This is related to the "Accessed file" (FileAccessed) activity. Un evento FileAccessedExtended viene registrato quando la stessa persona accede in modo continuativo a un file per un periodo prolungato (fino a 3 ore).A FileAccessedExtended event is logged when the same person continually accesses a file for an extended period (up to 3 hours).

Lo scopo della registrazione di eventi FileAccessedExtended è di ridurre il numero di eventi FileAccessed registrati quando si accede a un file in modo continuativo.The purpose of logging FileAccessedExtended events is to reduce the number of FileAccessed events that are logged when a file is continually accessed. Ciò consente di ridurre il numero di record FileAccessed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileAccessed iniziale (e più importante).This helps reduce the noise of multiple FileAccessed records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileAccessed event.
Etichetta di conservazione modificata per un fileChanged retention label for a file ComplianceSettingChangedComplianceSettingChanged È stata applicata o rimossa un'etichetta di conservazione da un documento.A retention label was applied to or removed from a document. Questo evento viene generato quando un'etichetta di conservazione viene applicata manualmente o automaticamente a un messaggio.This event is triggered when a retention label is manually or automatically applied to a message.
Stato del record modificato in bloccatoChanged record status to locked LockRecordLockRecord Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato bloccato.The record status of a retention label that classifies a document as a record was locked. Ciò significa che non è possibile modificare o eliminare il documento.This means the document can't be modified or deleted. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.Only users assigned at least the contributor permission for a site can change the record status of a document.
Stato del record modificato in sbloccatoChanged record status to unlocked UnlockRecordUnlockRecord Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato sbloccato.The record status of a retention label that classifies a document as a record was unlocked. Ciò significa che è possibile modificare o eliminare il documento.This means that the document can be modified or deleted. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.Only users assigned at least the contributor permission for a site can change the record status of a document.
File archiviatoChecked in file FileCheckedInFileCheckedIn Un utente archivia un documento estratto da una raccolta documenti.User checks in a document that they checked out from a document library.
File estrattoChecked out file FileCheckedOutFileCheckedOut Un utente estrae un documento da una raccolta documenti.User checks out a document located in a document library. Gli utenti possono estrarre e apportare modifiche ai documenti condivisi con loro.Users can check out and make changes to documents that have been shared with them.
File copiatoCopied file FileCopiedFileCopied Un utente copia un documento da un sito.User copies a document from a site. Il file copiato può essere salvato in un'altra cartella nel sito.The copied file can be saved to another folder on the site.
File eliminatoDeleted file FileDeletedFileDeleted Un utente elimina un documento da un sito.User deletes a document from a site.
File eliminato dal CestinoDeleted file from recycle bin FileDeletedFirstStageRecycleBinFileDeletedFirstStageRecycleBin L'utente elimina un file dal Cestino di un sito.User deletes a file from the recycle bin of a site.
File eliminato dal Cestino di secondo livelloDeleted file from second-stage recycle bin FileDeletedSecondStageRecycleBinFileDeletedSecondStageRecycleBin L'utente elimina un file dal Cestino di secondo livello di un sito.User deletes a file from the second-stage recycle bin of a site.
File eliminato contrassegnato come recordDeleted file marked as a record RecordDeleteRecordDelete Un documento o messaggio di posta elettronica contrassegnato come record è stato eliminato.A document or email that was marked as a record was deleted. Un elemento viene considerato record se all’elemento è applicata un'etichetta di conservazione che contrassegna il contenuto come record.An item is considered a record when a retention label that marks items as a record is applied to content.
È stata rilevata una mancata corrispondenza della riservatezza del documentoDetected document sensitivity mismatch DocumentSensitivityMismatchDetectedDocumentSensitivityMismatchDetected Un utente carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito.User uploads a document to a site that's protected with a sensitivity label and the document has a higher priority sensitivity label than the sensitivity label applied to the site. Ad esempio, un documento con etichetta Riservato viene caricato in un sito con etichetta Generale.For example, a document labeled Confidential is uploaded to a site labeled General.

Questo evento non viene attivato se il documento ha un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito.This event isn't triggered if the document has a lower priority sensitivity label than the sensitivity label applied to the site. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato.For example, a document labeled General is uploaded to a site labeled Confidential. Per altre informazioni sulla priorità dell'etichetta di riservatezza, vedere Priorità dell'etichetta (l’ordine è importante).For more information about sensitivity label priority, see Label priority (order matters).
Malware rilevato nel fileDetected malware in file FileMalwareDetectedFileMalwareDetected Il motore antivirus di SharePoint rileva malware in un file.SharePoint anti-virus engine detects malware in a file.
Estrazione file rimossaDiscarded file checkout FileCheckOutDiscardedFileCheckOutDiscarded Un utente elimina (o annulla) l'estrazione di un file. Ciò significa che le modifiche apportate al file dopo l'estrazione vengono eliminate e non salvate nella versione del documento nella raccolta documenti.User discards (or undoes) a checked out file. That means any changes they made to the file when it was checked out are discarded, and not saved to the version of the document in the document library.
File scaricatoDownloaded file FileDownloadedFileDownloaded Un utente scarica un documento da un sito.User downloads a document from a site.
File modificatoModified file FileModifiedFileModified Un utente o un account di sistema modifica il contenuto o le proprietà di un documento in un sito.User or system account modifies the content or the properties of a document on a site.
(nessuno)(none) FileModifiedExtendedFileModifiedExtended Elemento correlato all'attività "File modificato" (FileModified).This is related to the "Modified file" (FileModified) activity. Un evento FileModifiedExtended viene registrato quando la stessa persona modifica in modo continuativo un file per un periodo prolungato (fino a 3 ore).A FileModifiedExtended event is logged when the same person continually modifies a file for an extended period (up to 3 hours).

Lo scopo della registrazione di eventi FileModifiedExtended è di ridurre il numero di eventi FileModified registrati quando si modifica un file in modo continuativo.The purpose of logging FileModifiedExtended events is to reduce the number of FileModified events that are logged when a file is continually modified. Ciò consente di ridurre il numero di record FileModified per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileModified iniziale (e più importante).This helps reduce the noise of multiple FileModified records for what is essentially the same user activity, and lets you focus on the initial (and more important) FileModified event.
File spostatoMoved file FileMovedFileMoved Un utente sposta un documento dalla posizione corrente in un sito a una nuova posizione.User moves a document from its current location on a site to a new location.
(nessuno)(none) FilePreviewedFilePreviewed L'utente visualizza in anteprima i file in un sito di SharePoint Online o di OneDrive for Business.User previews files on a SharePoint or OneDrive for Business site. Questi eventi si verificano in genere in volumi elevati in base a una singola attività, ad esempio la visualizzazione di una raccolta immagini.These events typically occur in high volumes based on a single activity, such as viewing an image gallery.
Query di ricerca eseguitaPerformed search query SearchQueryPerformedSearchQueryPerformed Un account utente o di sistema esegue una ricerca in SharePoint o in OneDrive for Business.User or system account performs a search in SharePoint or OneDrive for Business. Alcuni scenari comuni in cui un account del servizio esegue una query di ricerca includono l'applicazione di criteri di conservazione o blocchi di eDiscovery a siti e account di OneDrive e l'applicazione automatica di etichette di conservazione o riservatezza al contenuto del sito.Some common scenarios where a service account performs a search query include applying an eDiscovery holds and retention policy to sites and OneDrive accounts, and auto-applying retention or sensitivity labels to site content.
Tutte le versioni secondarie di un file vengono spostate nel CestinoRecycled all minor versions of file FileVersionsAllMinorsRecycledFileVersionsAllMinorsRecycled L'utente elimina tutte le versioni secondarie dalla cronologia delle versioni di un file.User deletes all minor versions from the version history of a file. Le versioni eliminate vengono spostate nel Cestino del sito.The deleted versions are moved to the site's recycle bin.
Tutte le versioni di un file vengono spostate nel CestinoRecycled all versions of file FileVersionsAllRecycledFileVersionsAllRecycled L'utente elimina tutte le versioni dalla cronologia delle versioni di un file.User deletes all versions from the version history of a file. Le versioni eliminate vengono spostate nel Cestino del sito.The deleted versions are moved to the site's recycle bin.
La versione di un file viene spostata nel CestinoRecycled version of file FileVersionRecycledFileVersionRecycled L'utente una versione dalla cronologia delle versioni di un file.User deletes a version from the version history of a file. La versione eliminata viene spostata nel Cestino del sito.The deleted version is moved to the site's recycle bin.
File rinominatoRenamed file FileRenamedFileRenamed Un utente rinomina un documento in un sito.User renames a document on a site.
File ripristinatoRestored file FileRestoredFileRestored Un utente ripristina un documento dal Cestino di un sito.User restores a document from the recycle bin of a site.
File caricatoUploaded file FileUploadedFileUploaded Un utente carica un documento in una cartella in un sito.User uploads a document to a folder on a site.
Pagina visualizzataViewed page PageViewedPageViewed Utente visualizza una pagina in un sito,User views a page on a site. ma non usa un Web browser per visualizzare i file presenti in una raccolta documenti.This doesn't include using a Web browser to view files located in a document library.
(nessuno)(none) PageViewedExtendedPageViewedExtended Elemento correlato all'attività "Pagina visualizzata" (PageViewed).This is related to the "Viewed page" (PageViewed) activity. Un evento PageViewedExtended viene registrato quando la stessa persona visualizza in modo continuativo una pagina Web per un periodo prolungato (fino a 3 ore).A PageViewedExtended event is logged when the same person continually views a web page for an extended period (up to 3 hours).

Lo scopo della registrazione di eventi PageViewedExtended è di ridurre il numero di eventi PageViewed registrati quando si visualizza una pagina Web in modo continuativo.The purpose of logging PageViewedExtended events is to reduce the number of PageViewed events that are logged when a page is continually viewed. Ciò consente di ridurre il numero di record PageViewed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento PageViewed iniziale (e più importante).This helps reduce the noise of multiple PageViewed records for what is essentially the same user activity, and lets you focus on the initial (and more important) PageViewed event.
Visualizzazione segnalata dal clientView signaled by client ClientViewSignaledClientViewSignaled Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha segnalato che la pagina indicata è stata visualizzata dall'utente.A user's client (such as website or mobile app) has signaled that the indicated page has been viewed by the user. Questa attività viene spesso registrata dopo un evento PagePrefetched per una pagina.This activity is often logged following a PagePrefetched event for a page.

NOTA: poiché gli eventi ClientViewSignaled sono segnalati dal client, anziché dal server, è possibile che l'evento non sia registrato dal server e che quindi non compaia nel log di controllo.NOTE: Because ClientViewSignaled events are signaled by the client, rather than the server, it's possible the event may not be logged by the server and therefore may not appear in the audit log. È anche possibile che le informazioni nel record di controllo non siano attendibili.It's also possible that information in the audit record may not be trustworthy. Tuttavia, dato che l'identità dell'utente viene convalidata mediante il token usato per creare il segnale, l'identità dell'utente riportata nel record di controllo corrispondente è accurata.However, because the user's identity is validated by the token used to create the signal, the user's identity listed in the corresponding audit record is accurate.
(nessuno)(none) PagePrefetchedPagePrefetched Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha richiesto la pagina indicata per migliorare le prestazioni in caso di esplorazione da parte dell'utente.A user's client (such as website or mobile app) has requested the indicated page to help improve performance if the user browses to it. Questo evento viene registrato per indicare che il contenuto della pagina è stato servito al client dell'utente.This event is logged to indicate that the page content has been served to the user's client. Questo evento non indica definitivamente che l'utente è passato alla pagina.This event isn't a definitive indication that the user navigated to the page.

Quando il contenuto della pagina viene visualizzato dal client (come richiesto dall'utente), è necessario generare un evento ClientViewSignaled.When the page content is rendered by the client (as per the user's request) a ClientViewSignaled event should be generated. Non tutti i client supportano l'indicazione di caricamento in background, pertanto alcune attività predefinite potrebbero essere registrate come eventi PageViewed.Not all clients support indicating a pre-fetch, and therefore some pre-fetched activities might instead be logged as PageViewed events.

Domande frequenti sugli eventi FileAccessed e FilePreviewedFrequently asked questions about FileAccessed and FilePreviewed events

È possibile che attività non utente attivino record di controllo FilePreviewed che contengono un agente utente come "OneDriveMpc-Transform_Thumbnail"?Could any non-user activities trigger FilePreviewed audit records that contain a user agent like "OneDriveMpc-Transform_Thumbnail"?

Non si è a conoscenza degli scenari in cui le azioni non utente generano eventi di questo tipo.We aren't aware of scenarios where non-user actions generate events like these. Azioni utente come l'apertura di una scheda del profilo utente (facendo clic sul nome o sull'indirizzo di posta elettronica in un messaggio in Outlook sul web) genererebbero eventi simili.User actions like opening a user profile card (by clicking their name or email address in a message in Outlook on the web) would generate similar events.

Le chiamate a OneDriveMpc-Transform_Thumbnail vengono sempre attivate intenzionalmente dall'utente?Are calls to the OneDriveMpc-Transform_Thumbnail always intentionally being triggered by the user?

No.No. Tuttavia, eventi simili possono essere registrati come il risultato del browser pre-fetch.But similar events can be logged as a result of browser pre-fetch.

Se viene visualizzato un evento FilePreviewed derivante da un indirizzo IP registrato Microsoft, significa che l'anteprima è stata visualizzata sullo schermo del dispositivo dell'utente?If we see a FilePreviewed event coming from a Microsoft-registered IP address, does that mean that the preview was displayed on the screen of the user's device?

No.No. L'evento potrebbe essere stato registrato come il risultato del browser pre-fetch.The event might have been logged as a result of browser pre-fetch.

Esistono scenari in cui un utente che visualizza l'anteprima di un documento genera eventi FileAccessed?Are there scenarios where a user previewing a document generates FileAccessed events?

Sia gli eventi FilePreviewed che FileAccessed indicano che una chiamata utente ha portato a una lettura del file (o a una lettura del rendering dell'anteprima del file).Both the FilePreviewed and FileAccessed events indicate that a user's call led to a read of the file (or a read of a thumbnail rendering of the file). Mentre questi eventi devono essere allineati all'intento anteprima vs accesso, la distinzione dell'evento non garantisce l'intento dell'utente.While these events are intended to align with preview vs. access intention, the event distinction isn't a guarantee of the user's intent.

Utente app@sharepoint nei record di controlloThe app@sharepoint user in audit records

Nei record di controllo relativi ad alcune attività di file (e altre attività correlate a SharePoint) l'utente che ha eseguito l'attività, identificato nei campi User e UserId, è app@sharepoint.In audit records for some file activities (and other SharePoint-related activities), you may notice the user who performed the activity (identified in the User and UserId fields) is app@sharepoint. Questo indica che l'utente che ha eseguito l'attività è in realtà un'applicazione.This indicates that the "user" who performed the activity was an application. In questo caso, in SharePoint all'applicazione sono state concesse le autorizzazioni per eseguire le azioni a livello di organizzazione, ad esempio cercare un sito di SharePoint o un account di OneDrive, per conto di un utente, un amministratore o un servizio.In this case, the application was granted permissions in SharePoint to perform organization-wide actions (such as search a SharePoint site or OneDrive account) on behalf of a user, admin, or service. Questo processo di assegnazione delle autorizzazioni a un'applicazione viene definito accesso di tipo solo app di SharePoint.This process of giving permissions to an application is called SharePoint App-Only access. Questo indica che l'autenticazione presentata a SharePoint per eseguire un'azione è stata eseguita da un'applicazione, anziché da un utente.This indicates that the authentication presented to SharePoint to perform an action was made by an application, instead of a user. Questo è il motivo per cui in determinati record di controllo è presente l'utente app@sharepoint.This is why the app@sharepoint user is identified in certain audit records. Per altre informazioni, vedere Concedere l'accesso di tipo solo app di SharePoint.For more information, see Grant access using SharePoint App-Only.

Ad esempio, app@sharepoint spesso viene identificato come utente per gli eventi "La query di ricerca è stata eseguita" e "File aperto".For example, app@sharepoint is often identified as the user for "Performed search query" and "Accessed file" events. Il motivo è che un'applicazione con accesso di tipo solo app di SharePoint nell'organizzazione esegue query di ricerca e accede ai file durante l'applicazione di criteri di conservazione a siti e account di OneDrive.That's because an application with SharePoint App-Only access in your organization performs search queries and accesses files when applying retention policies to sites and OneDrive accounts.

Ecco alcuni altri scenari in cui è possibile identificare app@sharepoint in un record di controllo come utente che ha eseguito un'attività:Here are a few other scenarios where app@sharepoint may be identified in an audit record as the user who performed an activity:

  • Gruppi di Microsoft 365.Microsoft 365 Groups. Quando un utente o un amministratore crea un nuovo gruppo, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint.When a user or admin creates a new group, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group. Queste attività vengono eseguite da un'applicazione per conto dell'utente che ha creato il gruppo.These tasks are performed an application on behalf of the user who created the group.

  • Microsoft Teams.Microsoft Teams. Analogamente a Gruppi di Microsoft 365, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint quando si crea un team.Similar to Microsoft 365 Groups, audit records are generated for creating a site collection, updating lists, and adding members to a SharePoint group when a team is created.

  • Funzionalità di conformità.Compliance features. Quando un amministratore implementa funzionalità di conformità, come i criteri di conservazione, i blocchi di eDiscovery e l'applicazione automatica delle etichette di sensitività.When an admin implements compliance features, such as retention policies, eDiscovery holds, and auto-applying sensitivity labels.

In questi e altri scenari si noterà anche che sono stati creati più record di controllo usando app@sharepoint come utente specificato in un intervallo di tempo breve, spesso a pochi secondi di distanza l'uno dall'altro.In these and other scenarios, you'll also notice that multiple audit records with app@sharepoint as the specified user were created within a short time frame, often within a few seconds of each other. Questo indica anche che probabilmente sono stati attivati dalla stessa attività avviata dall'utente.This also indicates they were probably triggered by the same user-initiated task. Anche i campi ApplicationDisplayName e EventData nel record di controllo possono essere utili per identificare lo scenario o l'applicazione che ha generato l'evento.Also, the ApplicationDisplayName and EventData fields in the audit record may help you identify the scenario or application that triggered the event.

Attività su cartelleFolder activities

La tabella seguente descrive le attività di cartella in SharePoint Online e OneDrive for Business.The following table describes the folder activities in SharePoint Online and OneDrive for Business. Come descritto in precedenza, nei record di controllo per alcune attività di SharePoint è indicato che è stato l'utente app@sharepoint a eseguire l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Per altre informazioni, vedere Utente app@sharepoint nei record di controllo.For more information, see The app@sharepoint user in audit records.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Cartella copiataCopied folder FolderCopiedFolderCopied L'utente copia una cartella da un sito in un'altra posizione in SharePoint o OneDrive for Business.User copies a folder from a site to another location in SharePoint or OneDrive for Business.
Cartella creataCreated folder FolderCreatedFolderCreated L'utente crea una cartella in un sito.User creates a folder on a site.
Cartella eliminataDeleted folder FolderDeletedFolderDeleted L'utente elimina una cartella da un sito.User deletes a folder from a site.
Cartella eliminata dal CestinoDeleted folder from recycle bin FolderDeletedFirstStageRecycleBinFolderDeletedFirstStageRecycleBin L'utente elimina una cartella dal Cestino di un sito.User deletes a folder from the recycle bin on a site.
Cartella eliminata dal Cestino di secondo livelloDeleted folder from second-stage recycle bin FolderDeletedSecondStageRecycleBinFolderDeletedSecondStageRecycleBin L'utente elimina una cartella dal Cestino di secondo livello di un sito.User deletes a folder from the second-stage recycle bin on a site.
Cartella modificataModified folder FolderModifiedFolderModified L'utente modifica una cartella in un sito.User modifies a folder on a site. Vengono modificati anche i metadati della cartella, ad esempio tag e proprietà.This includes changing the folder metadata, such as changing tags and properties.
Cartella spostataMoved folder FolderMovedFolderMoved L'utente sposta una cartella in una posizione diversa in un sito.User moves a folder to a different location on a site.
Cartella rinominataRenamed folder FolderRenamedFolderRenamed L'utente rinomina una cartella in un sito.User renames a folder on a site.
Cartella ripristinataRestored folder FolderRestoredFolderRestored L'utente ripristina una cartella eliminata dal Cestino di un sito.User restores a deleted folder from the recycle bin on a site.

Attività dell'elenco di SharePointSharePoint list activities

La tabella seguente descrive le attività correlate al momento in cui gli utenti interagiscono con gli elenchi e gli elementi elenco in SharePoint Online.The following table describes activities related to when users interact with lists and list items in SharePoint Online. Come descritto in precedenza, nei record di controllo per alcune attività di SharePoint è indicato che è stato l'utente app@sharepoint a eseguire l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Per altre informazioni, vedere Utente app@sharepoint nei record di controllo.For more information, see The app@sharepoint user in audit records.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Elenco creatoCreated list ListCreatedListCreated Un utente ha creato un elenco SharePoint.A user created a SharePoint list.
Colonna elenco creataCreated list column ListColumnCreatedListColumnCreated Un utente ha creato una colonna elenco di SharePoint.A user created a SharePoint list column. Una colonna elenco è una colonna associata a uno o più elenchi SharePoint.A list column is a column that's attached to one or more SharePoint lists.
Tipo di contenuto elenco creatoCreated list content type ListContentTypeCreatedListContentTypeCreated Un utente ha creato un tipo di contenuto elenco.A user created a list content type. Un tipo di contenuto elenco è un tipo di contenuto associato a uno o più elenchi SharePoint.A list content type is a content type that's attached to one or more SharePoint lists.
Elemento elenco creatoCreated list item ListItemCreatedListItemCreated Un utente ha creato un elemento in un elenco di SharePoint esistente.A user created an item in an existing SharePoint list.
Colonna sito creataCreated site column SiteColumnCreatedSiteColumnCreated Un utente ha creato una colonna sito di SharePoint.A user created a SharePoint site column. Una colonna sito è una colonna non associata a un elenco.A site column is a column that isn't attached to a list. Una colonna sito è anche una struttura di metadati che può essere usata da qualsiasi elenco in un determinato Web.A site column is also a metadata structure that can be used by any list in a given web.
Tipo di contenuto del sito creatoCreated site content type Sito ContentType creatoSite ContentType Created Un utente ha creato un tipo di contenuto del sito.A user created a site content type. Un tipo di contenuto del sito è un tipo di contenuto associato al sito padre.A site content type is a content type that's attached to the parent site.
Elenco eliminatoDeleted list ListDeletedListDeleted Un utente ha eliminato un elenco SharePoint.A user deleted a SharePoint list.
Colonna elenco eliminataDeleted list column Colonna elenco eliminataList Column Deleted Un utente ha eliminato una colonna elenco SharePoint.A user deleted a SharePoint list column.
Tipo di contenuto elenco eliminatoDeleted list content type ListContentTypeDeletedListContentTypeDeleted Un utente ha eliminato un tipo di contenuto elenco.A user deleted a list content type.
Elemento elenco eliminatoDeleted list item Elemento elenco eliminatoList Item Deleted Un utente ha eliminato un elemento elenco SharePoint.A user deleted a SharePoint list item.
Colonna sito eliminataDeleted site column SiteColumnDeletedSiteColumnDeleted Un utente ha eliminato una colonna sito SharePoint.A user deleted a SharePoint site column.
Tipo di contenuto del sito eliminatoDeleted site content type SiteContentTypeDeletedSiteContentTypeDeleted Un utente ha eliminato un tipo di contenuto del sito.A user deleted a site content type.
Elemento elenco riciclatoRecycled list item ListItemRecycledListItemRecycled Un utente ha spostato una elemento elenco di SharePoint nel Cestino.A user moved a SharePoint list item to the Recycle Bin.
Elenco ripristinatoRestored list ListRestoredListRestored Un utente ha ripristinato un elenco di SharePoint dal Cestino.A user restored a SharePoint list from the Recycle Bin.
Elemento elenco ripristinatoRestored list item ListItemRestoredListItemRestored Un utente ha ripristinato un elemento elenco di SharePoint dal Cestino.A user restored a SharePoint list item from the Recycle Bin.
Elenco aggiornatoUpdated list ListUpdatedListUpdated Un utente ha aggiornato un elenco di SharePoint modificando una o più proprietà.A user updated a SharePoint list by modifying one or more properties.
Colonna elenco aggiornataUpdated list column ListColumnUpdatedListColumnUpdated Un utente ha aggiornato una colonna elenco di SharePoint modificando una o più proprietà.A user updated a SharePoint list column by modifying one or more properties.
Tipo di contenuto elenco aggiornatoUpdated list content type ListContentTypeUpdatedListContentTypeUpdated Un utente ha aggiornato un tipo di contenuto elenco modificando una o più proprietà.A user updated a list content type by modifying one or more properties.
Elemento elenco aggiornatoUpdated list item ListItemUpdatedListItemUpdated Un utente ha aggiornato un elemento elenco di SharePoint modificando una o più proprietà.A user updated a SharePoint list item by modifying one or more properties.
Colonna sito aggiornataUpdated site column SiteColumnUpdatedSiteColumnUpdated Un utente ha aggiornato una colonna sito di SharePoint modificando una o più proprietà.A user updated a SharePoint site column by modifying one or more properties.
Tipo di contenuto del sito aggiornatoUpdated site content type SiteContentTypeUpdatedSiteContentTypeUpdated Un utente ha aggiornato un tipo di contenuto del sito modificando una o più proprietà.A user updated a site content type by modifying one or more properties.

Attività di richiesta di accesso e condivisioneSharing and access request activities

La tabella seguente descrive le attività di richiesta di condivisione e accesso dell'utente in SharePoint Online e OneDrive for Business.The following table describes the user sharing and access request activities in SharePoint Online and OneDrive for Business. Per gli eventi di condivisione, la colonna Dettagli in Risultati identifica il nome dell'utente o del gruppo con cui l'elemento è stato condiviso e indica se l'utente o il gruppo è un membro o un guest nell'organizzazione.For sharing events, the Detail column under Results identifies the name of the user or group the item was shared with and whether that user or group is a member or guest in your organization. Per altre informazioni, vedere Usare il controllo della condivisione nel log di controllo.For more information, see Use sharing auditing in the audit log.

Nota

Gli utenti possono essere membri o guest in base alla proprietà UserType dell'oggetto utente.Users can be either members or guests based on the UserType property of the user object. Un membro è in genere un dipendente, mentre un guest è in genere un collaboratore esterno all'organizzazione.A member is usually an employee, and a guest is usually a collaborator outside of your organization. Quando un utente accetta un invito alla condivisione (e non fa già parte dell'organizzazione), viene creato un account guest per tale utente nella directory dell'organizzazione.When a user accepts a sharing invitation (and isn't already part of your organization), a guest account is created for them in your organization's directory. Dopo che l'utente guest ha ottenuto un account nella directory, le risorse possono essere condivise direttamente con lui, senza che sia necessario un invito.Once the guest user has an account in your directory, resources may be shared directly with them (without requiring an invitation).

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
È stato aggiunto un livello di autorizzazione alla raccolta sitiAdded permission level to site collection PermissionLevelAddedPermissionLevelAdded Un livello di autorizzazione è stato aggiunto a una raccolta siti.A permission level was added to a site collection.
Richiesta di accesso approvataAccepted access request AccessRequestAcceptedAccessRequestAccepted Una richiesta di accesso a un sito, una cartella o un documento è stata accettata e all'utente richiedente è stato concesso l'accesso.An access request to a site, folder, or document was accepted and the requesting user has been granted access.
Invito alla condivisione accettatoAccepted sharing invitation SharingInvitationAcceptedSharingInvitationAccepted Un utente (membro o guest) ha accettato un invito alla condivisione e ha ottenuto l'accesso a una risorsa.User (member or guest) accepted a sharing invitation and was granted access to a resource. Questo evento include informazioni sull'utente che è stato invitato e sull'indirizzo di posta elettronica usato per accettare l'invito (i due elementi potrebbero essere diversi).This event includes information about the user who was invited and the email address that was used to accept the invitation (they could be different). Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio aggiungendo l'utente a un gruppo che ha accesso alla risorsa.This activity is often accompanied by a second event that describes how the user was granted access to the resource, for example, adding the user to a group that has access to the resource.
Invito alla condivisione bloccatoBlocked sharing invitation SharingInvitationBlockedSharingInvitationBlocked Un invito alla condivisione inviato da un utente dell'organizzazione viene bloccato da criteri di condivisione esterna che consentono o impediscono la condivisione esterna in base al dominio dell'utente di destinazione.A sharing invitation sent by a user in your organization is blocked because of an external sharing policy that either allows or denies external sharing based on the domain of the target user. In questo caso, l'invito alla condivisione è stato bloccato perché:In this case, the sharing invitation was blocked because:
Il dominio dell'utente di destinazione non è incluso nell'elenco dei domini consentiti.The target user's domain isn't included in the list of allowed domains.
OppureOr
Il dominio dell'utente di destinazione è incluso nell'elenco dei domini bloccati.The target user's domain is included in the list of blocked domains.
Per altre informazioni su come consentire o bloccare la condivisione esterna in base ai domini, vedere Condivisione di domini con restrizioni in SharePoint Online e OneDrive for Business.For more information about allowing or blocking external sharing based on domains, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
Richiesta di accesso creataCreated access request AccessRequestCreatedAccessRequestCreated Un utente richiede l'accesso a un sito, una cartella o un documento per il quale non ha le autorizzazioni.User requests access to a site, folder, or document they don't have permissions to access.
Creato un collegamento condivisibile nell'organizzazione Created a company shareable link CompanyLinkCreatedCompanyLinkCreated Un utente ha creato un collegamento a livello aziendale a una risorsa.User created a company-wide link to a resource. i collegamenti a livello aziendale possono essere usati solo dai membri dell'organizzazione.company-wide links can only be used by members in your organization. Non possono essere usati dai guest.They can't be used by guests.
Creato un collegamento anonimoCreated an anonymous link AnonymousLinkCreatedAnonymousLinkCreated Un utente ha creato un collegamento anonimo a una risorsa.User created an anonymous link to a resource. Chiunque usi questo collegamento può accedere alla risorsa senza necessità di autenticazione.Anyone with this link can access the resource without having to be authenticated.
Collegamento sicuro creatoCreated secure link SecureLinkCreatedSecureLinkCreated È stato creato un collegamento di condivisione sicuro per questo elemento.A secure sharing link was created to this item.
Invito alla condivisione creatoCreated sharing invitation SharingInvitationCreatedSharingInvitationCreated Un utente ha condiviso una risorsa in SharePoint Online o OneDrive for Business con un utente che non fa parte della directory dell'organizzazione.User shared a resource in SharePoint Online or OneDrive for Business with a user who isn't in your organization's directory.
Collegamento sicuro eliminatoDeleted secure link SecureLinkDeletedSecureLinkDeleted È stato eliminato un collegamento di condivisione sicuro.A secure sharing link was deleted.
Richiesta di accesso rifiutata Denied access request AccessRequestDeniedAccessRequestDenied Una richiesta di accesso a un sito, una cartella o un documento è stata negata.An access request to a site, folder, or document was denied.
Rimosso un collegamento condivisibile nell'organizzazioneRemoved a company shareable link CompanyLinkRemovedCompanyLinkRemoved Un utente ha rimosso un collegamento a livello aziendale a una risorsa.User removed a company-wide link to a resource. Il collegamento non può più essere usato per accedere alla risorsa.The link can no longer be used to access the resource.
Rimosso un collegamento anonimoRemoved an anonymous link AnonymousLinkRemovedAnonymousLinkRemoved Un utente ha rimosso un collegamento anonimo a una risorsa.User removed an anonymous link to a resource. Il collegamento non può più essere usato per accedere alla risorsa.The link can no longer be used to access the resource.
File, cartella o sito condivisoShared file, folder, or site SharingSetSharingSet Un utente (membro o guest) ha condiviso un file, una cartella o un sito in SharePoint o OneDrive for Business con un utente che fa parte della directory dell'organizzazione.User (member or guest) shared a file, folder, or site in SharePoint or OneDrive for Business with a user in your organization's directory. Il valore nella colonna Dettagli per questa attività identifica il nome dell'utente con cui la risorsa è stata condivisa e indica se l'utente è un membro o un guest.The value in the Detail column for this activity identifies the name of the user the resource was shared with and whether this user is a member or a guest.

Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa,This activity is often accompanied by a second event that describes how the user was granted access to the resource. ad esempio, aggiungendo l'utente a un gruppo che ha accesso alla risorsa.For example, adding the user to a group that has access to the resource.
Richiesta di accesso aggiornataUpdated access request AccessRequestUpdatedAccessRequestUpdated Una richiesta di accesso a un elemento è stata aggiornata.An access request to an item was updated.
Aggiornato un collegamento anonimoUpdated an anonymous link AnonymousLinkUpdatedAnonymousLinkUpdated Un utente ha aggiornato un collegamento anonimo a una risorsa.User updated an anonymous link to a resource. Il campo aggiornato è incluso nella proprietà EventData quando si esportano i risultati della ricerca.The updated field is included in the EventData property when you export the search results.
Invito alla condivisione aggiornatoUpdated sharing invitation SharingInvitationUpdatedSharingInvitationUpdated È stato aggiornato un invito alla condivisione esterna.An external sharing invitation was updated.
Usato un collegamento anonimoUsed an anonymous link AnonymousLinkUsedAnonymousLinkUsed Un utente anonimo ha eseguito l'accesso a una risorsa usando un collegamento anonimo.An anonymous user accessed a resource by using an anonymous link. L'identità dell'utente potrebbe essere sconosciuta, ma è possibile ottenere altri dettagli, ad esempio il suo indirizzo IP.The user's identity might be unknown, but you can get other details such as the user's IP address.
File, cartella o sito non più condivisoUnshared file, folder, or site SharingRevokedSharingRevoked Un utente (membro o guest) ha annullato la condivisione di un file, una cartella o un sito che in precedenza era stato condiviso con un altro utente.User (member or guest) unshared a file, folder, or site that was previously shared with another user.
Usato un collegamento condivisibile nell'organizzazioneUsed a company shareable link CompanyLinkUsedCompanyLinkUsed Un utente ha eseguito l'accesso a una risorsa usando un collegamento a livello aziendale.User accessed a resource by using a company-wide link.
Collegamento sicuro utilizzatoUsed secure link SecureLinkUsedSecureLinkUsed Un utente ha usato un collegamento sicuro.A user used a secure link.
Utente aggiunto al collegamento sicuroUser added to secure link AddedToSecureLinkAddedToSecureLink Un utente è stato aggiunto all'elenco di entità che possono usare un collegamento di condivisione sicuro.A user was added to the list of entities who can use a secure sharing link.
Utente rimosso dal collegamento sicuroUser removed from secure link RemovedFromSecureLinkRemovedFromSecureLink Un utente è stato rimosso dall'elenco di entità che possono usare un collegamento di condivisione sicuro.A user was removed from the list of entities who can use a secure sharing link.
Invito alla condivisione ritiratoWithdrew sharing invitation SharingInvitationRevokedSharingInvitationRevoked Un utente ha ritirato un invito alla condivisione per una risorsa. User withdrew a sharing invitation to a resource.

Attività di sincronizzazioneSynchronization activities

La tabella seguente descrive le attività di sincronizzazione file in SharePoint Online e OneDrive for Business.The following table lists file synchronization activities in SharePoint Online and OneDrive for Business.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Computer autorizzato a sincronizzare i fileAllowed computer to sync files ManagedSyncClientAllowedManagedSyncClientAllowed Un utente ha stabilito una relazione di sincronizzazione con un sito.User successfully establishes a sync relationship with a site. La relazione di sincronizzazione viene eseguita correttamente perché il computer dell'utente fa parte di un dominio che è stato aggiunto all'elenco dei domini (denominato elenco destinatari attendibili) che possono accedere alle raccolte documenti all'interno dell'organizzazione.The sync relationship is successful because the user's computer is a member of a domain that's been added to the list of domains (called the safe recipients list) that can access document libraries in your organization.

Per altre informazioni su questa funzionalità, vedere Usare i cmdlet di Windows PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.For more information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
Computer non autorizzato a sincronizzare i fileBlocked computer from syncing files UnmanagedSyncClientBlockedUnmanagedSyncClientBlocked L'utente prova a stabilire una relazione di sincronizzazione con un sito da un computer che non è membro del dominio dell'organizzazione o è membro di un dominio che non è stato aggiunto all'elenco dei domini (denominato elenco Destinatari attendibili) che possono accedere alle raccolte documenti dell'organizzazione.User tries to establish a sync relationship with a site from a computer that isn't a member of your organization's domain or is a member of a domain that hasn't been added to the list of domains (called the safe recipients list) that can access document libraries in your organization. La relazione di sincronizzazione non è consentita e il computer dell'utente non può sincronizzare, scaricare o caricare file in una raccolta documenti.The sync relationship is not allowed, and the user's computer is blocked from syncing, downloading, or uploading files on a document library.

Per informazioni su questa funzionalità, vedere Usare i cmdlet di Windows PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.For information about this feature, see Use Windows PowerShell cmdlets to enable OneDrive sync for domains that are on the safe recipients list.
File scaricati nel computerDownloaded files to computer FileSyncDownloadedFullFileSyncDownloadedFull Un utente stabilisce una relazione di sincronizzazione e scarica i file per la prima volta nel suo computer da una raccolta documenti.User establishes a sync relationship and successfully downloads files for the first time to their computer from a document library.
Modifiche ai file scaricate nel computerDownloaded file changes to computer FileSyncDownloadedPartialFileSyncDownloadedPartial Un utente scarica le modifiche ai file da una raccolta documenti.User successfully downloads any changes to files from a document library. Questa attività indica che le modifiche apportate ai file nella raccolta documenti sono state scaricate nel computer dell'utente.This activity indicates that any changes that were made to files in the document library were downloaded to the user's computer. Sono state scaricate solo le modifiche perché la raccolta documenti è stata scaricata dall'utente in precedenza (come indicato dall'attività File scaricati nel computer).Only changes were downloaded because the document library was previously downloaded by the user (as indicated by the Downloaded files to computer activity).
File caricati nella raccolta documentiUploaded files to document library FileSyncUploadedFullFileSyncUploadedFull Un utente stabilisce una relazione di sincronizzazione e carica i file per la prima volta dal suo computer in una raccolta documenti.User establishes a sync relationship and successfully uploads files for the first time from their computer to a document library.
Modifiche ai file caricate nella raccolta documentiUploaded file changes to document library FileSyncUploadedPartialFileSyncUploadedPartial Un utente carica le modifiche ai file in una raccolta documenti.User successfully uploads changes to files on a document library. Questo evento indica che le modifiche apportate alla versione locale di un file di una raccolta documenti sono state caricate nella raccolta documenti.This event indicates that any changes made to the local version of a file from a document library are successfully uploaded to the document library. Vengono caricate solo le modifiche perché i file sono stati caricati dall'utente in precedenza (come indicato dall'attività File caricati nella raccolta documenti).Only changes are uploaded because those files were previously uploaded by the user (as indicated by the Uploaded files to document library activity).

Attività relative alle autorizzazioni del sitoSite permissions activities

La tabella seguente elenca gli eventi correlati all'assegnazione di autorizzazioni in SharePoint e all'uso dei gruppi per concedere (e revocare) l'accesso ai siti.The following table lists events related to assigning permissions in SharePoint and using groups to give (and revoke) access to sites. Come descritto in precedenza, nei record di controllo per alcune attività di SharePoint è indicato che è stato l'utente app@sharepoint a eseguire l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Per altre informazioni, vedere Utente app@sharepoint nei record di controllo.For more information, see The app@sharepoint user in audit records.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Amministratore raccolta siti aggiuntoAdded site collection admin SiteCollectionAdminAddedSiteCollectionAdminAdded Un proprietario o un amministratore della raccolta siti aggiunge una persona come amministratore della raccolta siti per un sito.Site collection administrator or owner adds a person as a site collection administrator for a site. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari.Site collection administrators have full control permissions for the site collection and all subsites. Questa attività viene registrata anche quando un amministratore concede a se stesso l'accesso all'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint o usando l'interfaccia di amministrazione di Microsoft 365).This activity is also logged when an admin gives themselves access to a user's OneDrive account (by editing the user profile in the SharePoint admin center or by using the Microsoft 365 admin center).
Utente o gruppo aggiunto al gruppo di SharePointAdded user or group to SharePoint group AddedToGroupAddedToGroup Un utente ha aggiunto un membro o un guest a un gruppo di SharePoint.User added a member or guest to a SharePoint group. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di condivisione.This might have been an intentional action or the result of another activity, such as a sharing event.
L'ereditarietà dei livelli di autorizzazione è stata interrottaBroke permission level inheritance PermissionLevelsInheritanceBrokenPermissionLevelsInheritanceBroken Un elemento è stato modificato in modo che non erediti più i livelli di autorizzazione dal relativo padre.An item was changed so that it no longer inherits permission levels from its parent.
L'ereditarietà di condivisione è stata interrottaBroke sharing inheritance SharingInheritanceBrokenSharingInheritanceBroken Un elemento è stato modificato in modo che non erediti più le autorizzazioni di condivisione dal relativo padre.An item was changed so that it no longer inherits sharing permissions from its parent.
Gruppo creatoCreated group GroupAddedGroupAdded Un proprietario o un amministratore del sito crea un gruppo per un sito oppure esegue un'attività che comporta la creazione di un gruppo.Site administrator or owner creates a group for a site, or performs a task that results in a group being created. Ad esempio, la prima volta che un utente crea un collegamento per condividere un file, un gruppo di sistema viene aggiunto al sito OneDrive for Business dell'utente.For example, the first time a user creates a link to share a file, a system group is added to the user's OneDrive for Business site. Questo evento può anche risultare dalla creazione, da parte di un utente, di un collegamento con autorizzazioni di modifica per un file condiviso.This event can also be a result of a user creating a link with edit permissions to a shared file.
Gruppo eliminatoDeleted group GroupRemovedGroupRemoved Un utente elimina un gruppo da un sito.User deletes a group from a site.
Impostazioni richieste di accesso modificateModified access request setting WebRequestAccessModifiedWebRequestAccessModified Le impostazioni richieste di accesso sono state modificate in un sito.The access request settings were modified on a site.
Impostazione "I membri possono condividere" modificataModified 'Members Can Share' setting WebMembersCanShareModifiedWebMembersCanShareModified L'impostazione I membri possono condividere è stata modificata in un sito.The Members Can Share setting was modified on a site.
È stato modificato un livello di autorizzazione in una raccolta sitiModified permission level on a site collection PermissionLevelModifiedPermissionLevelModified Un livello di autorizzazione è stato modificato in una raccolta siti.A permission level was changed on a site collection.
Autorizzazioni sito modificateModified site permissions SitePermissionsModifiedSitePermissionsModified Un proprietario o un amministratore del sito (o un account di sistema) modifica il livello di autorizzazioni assegnato a un gruppo in un sito.Site administrator or owner (or system account) changes the permission level that is assigned to a group on a site. Questa attività viene registrata anche se vengono rimosse tutte le autorizzazioni da un gruppo.This activity is also logged if all permissions are removed from a group.

NOTA: questa operazione è deprecata in SharePoint Online.NOTE: This operation has been deprecated in SharePoint Online. Per trovare gli eventi correlati, è possibile cercare altre attività relative alle autorizzazioni, ad esempio Amministratore raccolta siti aggiunto, Utente o gruppo aggiunto a gruppo di SharePoint, Utente autorizzato a creare gruppi, Gruppo creato e Gruppo eliminato.To find related events, you can search for other permission-related activities such as Added site collection admin, Added user or group to SharePoint group, Allowed user to create groups, Created group, and Deleted group.
È stato rimosso un livello di autorizzazione dalla raccolta sitiRemoved permission level from site collection PermissionLevelRemovedPermissionLevelRemoved Un livello di autorizzazione è stato rimosso da una raccolta siti.A permission level was removed from a site collection.
Amministratore raccolta siti rimossoRemoved site collection admin SiteCollectionAdminRemovedSiteCollectionAdminRemoved Un proprietario o un amministratore della raccolta siti rimuove una persona come amministratore della raccolta siti per un sito.Site collection administrator or owner removes a person as a site collection administrator for a site. Anche questa attività viene registrata quando un amministratore rimuove se stesso dall'elenco degli amministratori per l'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint).This activity is also logged when an admin removes themselves from the list of site collection administrators for a user's OneDrive account (by editing the user profile in the SharePoint admin center). Per riportare questa attività nei risultati della ricerca nel log di controllo, è necessario cercare tutte le attività.To return this activity in the audit log search results, you have to search for all activities.
Utente o gruppo rimosso dal gruppo di SharePointRemoved user or group from SharePoint group RemovedFromGroupRemovedFromGroup Un utente ha rimosso un membro o un guest da un gruppo di SharePoint.User removed a member or guest from a SharePoint group. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di annullamento della condivisione.This might have been an intentional action or the result of another activity, such as an unsharing event.
Autorizzazioni di amministrazione sito richiesteRequested site admin permissions SiteAdminChangeRequestSiteAdminChangeRequest Un utente richiede di essere aggiunto come amministratore della raccolta siti per una raccolta.User requests to be added as a site collection administrator for a site collection. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari.Site collection administrators have full control permissions for the site collection and all subsites.
L'ereditarietà di condivisione è stata ripristinataRestored sharing inheritance SharingInheritanceResetSharingInheritanceReset È stata apportata una modifica che consente a un elemento di ereditare le autorizzazioni di condivisione dal relativo padre.A change was made so that an item inherits sharing permissions from its parent.
Gruppo aggiornatoUpdated group GroupUpdatedGroupUpdated Un proprietario o un amministratore del sito modifica le impostazioni di un gruppo per un sito.Site administrator or owner changes the settings of a group for a site. Questo può includere la modifica del nome del gruppo, degli utenti autorizzati a visualizzare o modificare l'appartenenza al gruppo e della modalità di gestione delle richieste di appartenenza.This can include changing the group's name, who can view or edit the group membership, and how membership requests are handled.

Attività di amministrazione sitiSite administration activities

Nella tabella seguente sono elencati gli eventi derivanti da attività di amministrazione in SharePoint Online.The following table lists events that result from site administration tasks in SharePoint Online. Come descritto in precedenza, nei record di controllo per alcune attività di SharePoint è indicato che è stato l'utente app@sharepoint a eseguire l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione.As previously explained, audit records for some SharePoint activities will indicate the app@sharepoint user performed the activity of behalf of the user or admin who initiated the action. Per altre informazioni, vedere Utente app@sharepoint nei record di controllo.For more information, see The app@sharepoint user in audit records.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Aggiunta la posizione dei dati consentitaAdded allowed data location AllowedDataLocationAddedAllowedDataLocationAdded Un amministratore globale o di SharePoint ha aggiunto una posizione di dati consentita in un ambiente multi-geografico.A SharePoint or global administrator added an allowed data location in a multi-geo environment.
Agente utente esente aggiuntoAdded exempt user agent ExemptUserAgentSetExemptUserAgentSet L'amministratore di SharePoint o l'amministratore globale aggiunge un agente utente all'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint.A SharePoint or global administrator added a user agent to the list of exempt user agents in the SharePoint admin center.
Amministratore dell'area geografica aggiuntoAdded geo location admin GeoAdminAddedGeoAdminAdded Un amministratore globale o di SharePoint ha aggiunto un utente come amministratore geografico di una posizione.A SharePoint or global administrator added a user as a geo admin of a location.
Utente autorizzato a creare gruppiAllowed user to create groups AllowGroupCreationSetAllowGroupCreationSet Un proprietario o un amministratore del sito aggiunge un livello di autorizzazione a un sito che consente a un utente a cui viene assegnata tale autorizzazione di creare un gruppo per tale sito.Site administrator or owner adds a permission level to a site that allows a user assigned that permission to create a group for that site.
È stato annullato lo spostamento geografico di un sitoCanceled site geo move SiteGeoMoveCancelledSiteGeoMoveCancelled Un amministratore globale o di SharePoint annulla correttamente uno spostamento geografico di un sito SharePoint o OneDrive.A SharePoint or global administrator successfully cancels a SharePoint or OneDrive site geo move. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online.
Criterio di condivisione cambiatoChanged a sharing policy SharingPolicyChangedSharingPolicyChanged Un amministratore globale o di SharePoint ha modificato i criteri di condivisione di SharePoint usando il portale di amministrazione di Microsoft 365, il portale di amministrazione di SharePoint o SharePoint Online Management Shell.A SharePoint or global administrator changed a SharePoint sharing policy by using the Microsoft 365 admin portal, SharePoint admin portal, or SharePoint Online Management Shell. Qualsiasi modifica alle impostazioni dei criteri di condivisione dell'organizzazione verrà registrata.Any change to the settings in the sharing policy in your organization will be logged. Il criterio modificato viene identificato nel campo ModifiedProperties nelle proprietà dettagliate del record dell'evento.The policy that was changed is identified in the ModifiedProperties field in the detailed properties of the event record.
I criteri di accesso per i dispositivi sono stati modificatiChanged device access policy DeviceAccessPolicyChangedDeviceAccessPolicyChanged Un amministratore di SharePoint o globale ha cambiato i criteri dei dispositivi non gestiti per l'organizzazione.A SharePoint or global administrator changed the unmanaged devices policy for your organization. Questo criterio controlla l'accesso a SharePoint, OneDrive e Microsoft 365 da dispositivi che non fanno parte dell'organizzazione.This policy controls access to SharePoint, OneDrive, and Microsoft 365 from devices that aren't joined to your organization. La configurazione di questo criterio richiede un abbonamento Enterprise Mobility + Security.Configuring this policy requires an Enterprise Mobility + Security subscription. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti.For more information, see Control access from unmanaged devices.
Agenti utente esenti cambiatiChanged exempt user agents CustomizeExemptUsersCustomizeExemptUsers L'amministratore globale o SharePoint ha personalizzato l'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint.A SharePoint or global administrator customized the list of exempt user agents in the SharePoint admin center. È possibile specificare quali agenti utente esentare dalla ricezione di un'intera pagina Web da indicizzare.You can specify which user agents to exempt from receiving an entire web page to index. Ciò significa che quando un agente utente specificato come esente rileva un modulo di InfoPath, il modulo verrà restituito come file XML, invece che come pagina Web intera.This means when a user agent you've specified as exempt encounters an InfoPath form, the form will be returned as an XML file, instead of an entire web page. In questo modo l'indicizzazione dei moduli di InfoPath risulta più veloce.This makes indexing InfoPath forms faster.
Sono stati modificati i criteri di accesso alla reteChanged network access policy NetworkAccessPolicyChangedNetworkAccessPolicyChanged Un amministratore di SharePoint o globale ha cambiato i criteri di accesso basati sulla posizione, denominati anche limite di rete attendibile, nell'interfaccia di amministrazione di SharePoint oppure usando PowerShell di SharePoint Online.A SharePoint or global administrator changed the location-based access policy (also called a trusted network boundary) in the SharePoint admin center or by using SharePoint Online PowerShell. Questi criteri controllano chi può accedere alle risorse di SharePoint e OneDrive nell'organizzazione in base a intervalli di indirizzi IP specificati dall'utente.This type of policy controls who can access SharePoint and OneDrive resources in your organization based on authorized IP address ranges that you specify. Per altre informazioni, vedere Controllare l'accesso ai dati di SharePoint Online e OneDrive in base a determinati percorsi di rete.For more information, see Control access to SharePoint Online and OneDrive data based on network location.
Spostamento geografico di un sito completatoCompleted site geo move SiteGeoMoveCompletedSiteGeoMoveCompleted Uno spostamento geografico di un sito, pianificato da un amministratore globale dell'organizzazione, è stato completato correttamente.A site geo move that was scheduled by a global administrator in your organization was successfully completed. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive and SharePoint Online in OneDrive e SharePoint Online in Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Connessione Inviato a creataCreated Sent To connection SendToConnectionAddedSendToConnectionAdded L'amministratore di SharePoint o globale crea una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint.A SharePoint or global administrator creates a new Send To connection on the Records management page in the SharePoint admin center. Una connessione di invio specifica le impostazioni per un archivio documenti o un centro record.A Send To connection specifies settings for a document repository or a records center. Quando si crea una connessione di invio, un Content Organizer può inviare documenti alla posizione specificata.When you create a Send To connection, a Content Organizer can submit documents to the specified location.
Raccolta siti creataCreated site collection SiteCollectionCreatedSiteCollectionCreated Un amministratore SharePoint o globale crea una raccolta siti nell'organizzazione di SharePoint Online o un utente esegue il provisioning del sito di OneDrive for Business.A SharePoint or global administrator creates a site collection in your SharePoint Online organization or a user provisions their OneDrive for Business site.
Sito hub orfano eliminatoDeleted orphaned hub site HubSiteOrphanHubDeletedHubSiteOrphanHubDeleted Un amministratore SharePoint o globale ha eliminato un sito hub orfano, ossia un sito hub a cui non sono associati siti.A SharePoint or global administrator deleted an orphan hub site, which is a hub site that doesn't have any sites associated with it. È probabile che l'hub orfano sia causato dall'eliminazione del sito hub originale.An orphaned hub is likely caused by the deletion of the original hub site.
Connessione Inviato a eliminataDeleted Sent To connection SendToConnectionRemovedSendToConnectionRemoved L'amministratore SharePoint o globale elimina una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint.A SharePoint or global administrator deletes a Send To connection on the Records management page in the SharePoint admin center.
Sito eliminatoDeleted site SiteDeletedSiteDeleted L'amministratore del sito elimina un sito.Site administrator deletes a site.
Anteprima documento abilitataEnabled document preview PreviewModeEnabledSetPreviewModeEnabledSet Un amministratore del sito abilita l'anteprima dei documenti per un sito.Site administrator enables document preview for a site.
Flusso di lavoro legacy abilitatoEnabled legacy workflow LegacyWorkflowEnabledSetLegacyWorkflowEnabledSet Un proprietario o un amministratore del sito aggiunge il tipo di contenuto Attività flusso di lavoro di SharePoint 2013 al sito.Site administrator or owner adds the SharePoint 2013 Workflow Task content type to the site. Gli amministratori globali possono anche abilitare i flussi di lavoro per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.Global administrators can also enable work flows for the entire organization in the SharePoint admin center.
Office su richiesta abilitatoEnabled Office on Demand OfficeOnDemandSetOfficeOnDemandSet Un amministratore del sito abilita Office su richiesta, che consente agli utenti di accedere alla versione più recente delle applicazioni desktop di Office.Site administrator enables Office on Demand, which lets users access the latest version of Office desktop applications. Office su richiesta viene abilitato nell'interfaccia di amministrazione di SharePoint e richiede un abbonamento a Microsoft 365, che include le applicazioni Office complete installate.Office on Demand is enabled in the SharePoint admin center and requires a Microsoft 365 subscription that includes full, installed Office applications.
Origine dei risultati abilitata per ricerche in PersoneEnabled result source for People Searches PeopleResultsScopeSetPeopleResultsScopeSet Un amministratore del sito crea l'origine dei risultati per le ricerche in Persone per un sito.Site administrator creates the result source for People Searches for a site.
Feed RSS abilitatiEnabled RSS feeds NewsFeedEnabledSetNewsFeedEnabledSet Un proprietario o un amministratore del sito abilita i feed RSS per un sito.Site administrator or owner enables RSS feeds for a site. Gli amministratori globali possono abilitare i feed RSS per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.Global administrators can enable RSS feeds for the entire organization in the SharePoint admin center.
Sito unito al sito hubJoined site to hub site HubSiteJoinedHubSiteJoined Il proprietario di un sito associa il sito a un sito hub.A site owner associates their site with a hub site.
Sito hub registratoRegistered hub site HubSiteRegisteredHubSiteRegistered Un amministratore SharePoint o globale crea un sito hub.A SharePoint or global administrator creates a hub site. Il risultato è che il sito viene registrato come sito hub.The results are that the site is registered to be a hub site.
Rimossa la posizione dei dati consentitaRemoved allowed data location AllowedDataLocationDeletedAllowedDataLocationDeleted Un amministratore SharePoint o globale ha rimosso una posizione di dati consentita in un ambiente multi-geografico.A SharePoint or global administrator removed an allowed data location in a multi-geo environment.
Amministratore dell'area geografica rimossoRemoved geo location admin GeoAdminDeletedGeoAdminDeleted Un amministratore SharePoint o globale ha aggiunto un utente come amministratore geografico di una posizione.A SharePoint or global administrator removed a user as a geo admin of a location.
Sito rinominatoRenamed site SiteRenamedSiteRenamed Un proprietario o un amministratore del sito rinomina un sito.Site administrator or owner renames a site
Spostamento geografico di un sito pianificatoScheduled site geo move SiteGeoMoveScheduledSiteGeoMoveScheduled Un amministratore SharePoint o globale programma correttamente uno spostamento geografico di un sito SharePoint o OneDrive.A SharePoint or global administrator successfully schedules a SharePoint or OneDrive site geo move. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo.The Multi-Geo capability lets an organization span multiple Microsoft datacenter geographies, which are called geos. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive and SharePoint Online in OneDrive e SharePoint Online in Office 365.For more information, see Multi-Geo Capabilities in OneDrive and SharePoint Online in Office 365.
Sito host impostatoSet host site HostSiteSetHostSiteSet Un amministratore di SharePoint o globale cambia il sito designato per ospitare siti di OneDrive for Business o personali.A SharePoint or global administrator changes the designated site to host personal or OneDrive for Business sites.
Impostare una quota di archiviazione per una posizione geograficaSet storage quota for geo location GeoQuotaAllocatedGeoQuotaAllocated Un amministratore SharePoint o globale ha configurato una quota di archiviazione per una posizione geografica in un ambiente multi-geografico.A SharePoint or global administrator configured the storage quota for a geo location in a multi-geo environment.
Sito separato dal sito hubUnjoined site from hub site HubSiteUnjoinedHubSiteUnjoined Il proprietario di un sito annulla l'associazione del sito a un sito hub.A site owner disassociates their site from a hub site.
Registrazione sito hub annullataUnregistered hub site HubSiteUnregisteredHubSiteUnregistered Un amministratore SharePoint o globale annulla la registrazione di un sito come sito hub.A SharePoint or global administrator unregisters a site as a hub site. Quando si annulla la registrazione di un sito hub, quest'ultimo non funziona più come sito hub.When a hub site is unregistered, it no longer functions as a hub site.

Attività su cassette postali di ExchangeExchange mailbox activities

La tabella seguente elenca le attività che possono essere registrate tramite la registrazione di controllo delle cassette postali.The following table lists the activities that can be logged by mailbox audit logging. Le attività sulle cassette postali eseguite dal proprietario della cassetta postale, da un utente delegato o da un amministratore vengono registrate automaticamente nel log di controllo per un massimo di 90 giorni.Mailbox activities performed by the mailbox owner, a delegated user, or an administrator are automatically logged in the audit log for up to 90 days. L'amministratore può disattivare la registrazione di controllo delle cassette postali per tutti gli utenti dell'organizzazione.It's possible for an admin to turn off mailbox audit logging for all users in your organization. In questo caso non vengono registrate azioni di cassette postali per alcun utente.In this case, no mailbox actions for any user are logged. Per altre informazioni, vedere Gestire il controllo delle cassette postali.For more information, see Manage mailbox auditing.

È anche possibile cercare le attività delle cassette postali utilizzando il cmdlet Search-MailboxAuditLog in PowerShell per Exchange Online.You can also search for mailbox activities by using the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Elementi delle cassette postali accessibiliAccessed mailbox items MailItemsAccessedMailItemsAccessed I messaggi di una cassetta postale sono stati letti o aperti.Messages were read or accessed in mailbox. Per questa attività i record di controllo vengono attivati nei casi seguenti: quando un client di posta elettronica, ad esempio Outlook, esegue un'operazione di binding sui messaggi oppure quando i protocolli di posta, ad esempio Exchange ActiveSync o IMAP, sincronizzano gli elementi in una cartella di posta elettronica.Audit records for this activity are triggered in one of two ways: when a mail client (such as Outlook) performs a bind operation on messages or when mail protocols (such as Exchange ActiveSync or IMAP) sync items in a mail folder. Hanno accesso a questa attività solo per gli utenti con una licenza di Office 365 o Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. L'analisi dei record di controllo per questa attività è utile per l'analisi di un account di posta elettronica compromesso.Analyzing audit records for this activity is useful when investigating compromised email account. Per altre informazioni, vedere la sezione "Accesso a eventi cruciali per le indagini" in Audit avanzato.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Aggiunte autorizzazioni delegate per le cassette postaliAdded delegate mailbox permissions AddMailboxPermissionsAddMailboxPermissions Un amministratore ha assegnato l'autorizzazione FullAccess per la cassetta postale a un utente (noto come delegato) alla cassetta postale di un'altra persona.An administrator assigned the FullAccess mailbox permission to a user (known as a delegate) to another person's mailbox. L'autorizzazione FullAccess consente al delegato di aprire la cassetta postale di un'altra persona e di leggere e gestire il contenuto della cassetta postale.The FullAccess permission allows the delegate to open the other person's mailbox, and read and manage the contents of the mailbox.
Aggiunto o rimosso un utente con accesso delegato alla cartella del calendarioAdded or removed user with delegate access to calendar folder UpdateCalendarDelegationUpdateCalendarDelegation Un utente è stato aggiunto o rimosso come delegato al calendario della cassetta postale di un altro utente.A user was added or removed as a delegate to the calendar of another user's mailbox. La delega del calendario assegna a un altro utente nella stessa organizzazione le autorizzazioni per la gestione del calendario del proprietario della cassetta postale.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
Aggiunte autorizzazioni alla cartellaAdded permissions to folder AddFolderPermissionsAddFolderPermissions È stata aggiunta un'autorizzazione per una cartella.A folder permission was added. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Messaggi copiati in un'altra cartellaCopied messages to another folder CopyCopy Un messaggio è stato copiato in un'altra cartella.A message was copied to another folder.
Elemento della cassetta postale creatoCreated mailbox item CreareCreate Viene creato un elemento nella cartella Calendario, Contatti, Note o Attività nella cassetta postale;An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox. ad esempio, viene creata una nuova convocazione di riunione.For example, a new meeting request is created. La creazione, l'invio o la ricezione di un messaggio non viene controllata,Creating, sending, or receiving a message isn't audited. così come la creazione di una cartella della cassetta postale.Also, creating a mailbox folder is not audited.
Creata una nuova regola della posta in arrivo in Outlook Web AppCreated new inbox rule in Outlook web app New-InboxRuleNew-InboxRule Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato una regola di posta in arrivo in Outlook Web App.A mailbox owner or other user with access to the mailbox created an inbox rule in the Outlook web app.
Messaggi eliminati dalla cartella Posta eliminataDeleted messages from Deleted Items folder SoftDeleteSoftDelete Un messaggio è stato eliminato definitivamente oppure è stato eliminato dalla cartella Posta eliminata.A message was permanently deleted or deleted from the Deleted Items folder. Questi elementi vengono spostati nella cartella Elementi ripristinabili.These items are moved to the Recoverable Items folder. I messaggi vengono spostati nella cartella Elementi ripristinabili anche quando un utente li seleziona e preme MAIUSC+CANC.Messages are also moved to the Recoverable Items folder when a user selects it and presses Shift+Delete.
Messaggio con etichetta come recordLabeled message as a record ApplyRecordLabelApplyRecordLabel Un messaggio è stato classificato come record.A message was classified as a record. Questa situazione si verifica quando un'etichetta di conservazione che classifica il contenuto come record viene applicata manualmente o automaticamente a un messaggio.This occurs when a retention label that classifies content as a record is manually or automatically applied to a message.
Messaggi spostati in un'altra cartellaMoved messages to another folder MoveMove Un messaggio è stato spostato in un'altra cartella.A message was moved to another folder.
Messaggi spostati nella cartella Posta eliminataMoved messages to Deleted Items folder MoveToDeletedItemsMoveToDeletedItems Un messaggio è stato eliminato e spostato nella cartella Posta eliminata.A message was deleted and moved to the Deleted Items folder.
Autorizzazione cartella modificataModified folder permission UpdateFolderPermissionsUpdateFolderPermissions Un'autorizzazione per una cartella è stata cambiata.A folder permission was changed. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.Folder permissions control which users in your organization can access mailbox folders and the messages in the folder.
Regola della posta in arrivo modificata da Outlook Web AppModified inbox rule from Outlook web app Set-InboxRuleSet-InboxRule Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha modificato una regola di posta in arrivo in Outlook Web App.A mailbox owner or other user with access to the mailbox modified an inbox rule using the Outlook web app.
Messaggi ripuliti dalla cassetta postalePurged messages from the mailbox HardDeleteHardDelete Un messaggio è stato eliminato dalla cartella Elementi ripristinabili (eliminato in modo definitivo dalla cassetta postale).A message was purged from the Recoverable Items folder (permanently deleted from the mailbox).
Rimosse autorizzazioni delegate per le cassette postaliRemoved delegate mailbox permissions Remove-MailboxPermissionRemove-MailboxPermission Un amministratore ha rimosso l'autorizzazione FullAccess (che era assegnata a un delegato) dalla cassetta postale di una persona.An administrator removed the FullAccess permission (that was assigned to a delegate) from a person's mailbox. Dopo aver rimosso l'autorizzazione FullAccess, il delegato non riesce ad aprire la cassetta postale dell'altra persona o ad accedere a qualsiasi suo contenuto.After the FullAccess permission is removed, the delegate can't open the other person's mailbox or access any content in it.
Autorizzazioni rimosse dalla cartellaRemoved permissions from folder RemoveFolderPermissionsRemoveFolderPermissions Un'autorizzazione per una cartella è stata rimossa.A folder permission was removed. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Messaggio inviatoSent message SendSend Un messaggio è stato inviato, inoltrato o ha ricevuto risposta.A message was sent, replied to or forwarded. Hanno accesso a questa attività solo per gli utenti con una licenza di Office 365 o Microsoft 365 E5.This activity is only logged for users with an Office 365 or Microsoft 365 E5 license. Per altre informazioni, vedere la sezione "Accesso agli eventi cruciali per le indagini" in Audit avanzato.For more information, see the "Access to crucial events for investigations" section in Advanced Audit.
Messaggio inviato con autorizzazioni Invia comeSent message using Send As permissions SendAsSendAs Un messaggio è stato inviato con l'autorizzazione SendAs,A message was sent using the SendAs permission. Ciò significa che un altro utente ha inviato il messaggio come se provenisse dal proprietario della cassetta postale.This means that another user sent the message as though it came from the mailbox owner.
Messaggio inviato con autorizzazioni Invia per conto diSent message using Send On Behalf permissions SendOnBehalfSendOnBehalf Un messaggio è stato inviato con l'autorizzazione SendOnBehalf,A message was sent using the SendOnBehalf permission. Ciò significa che un altro utente ha inviato il messaggio per conto del proprietario della cassetta postale.This means that another user sent the message on behalf of the mailbox owner. Il messaggio indica al destinatario per conto di chi è stato inviato e chi effettivamente lo ha inviato.The message indicates to the recipient whom the message was sent on behalf of and who actually sent the message.
Regole della posta in arrivo aggiornate dal client di OutlookUpdated inbox rules from Outlook client UpdateInboxRulesUpdateInboxRules Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha modificato una regola di posta in arrivo nel client di Outlook.A mailbox owner or other user with access to the mailbox modified an inbox rule in the Outlook client.
Messaggio aggiornatoUpdated message UpdateUpdate Un messaggio o le relative proprietà sono state modificate.A message or its properties was changed.
Utente connesso a cassetta postaleUser signed in to mailbox MailboxLoginMailboxLogin Accesso effettuato dall'utente alla propria cassetta postale.The user signed in to their mailbox.
Messaggio con etichetta come recordLabel message as a record Un utente ha applicato un'etichetta di conservazione a un messaggio di posta elettronica e tale etichetta è configurata in modo da contrassegnare l'elemento come record.A user applied a retention label to an email message and that label is configured to mark the item as a record.

Attività di amministrazione utentiUser administration activities

La tabella seguente elenca le attività di amministrazione utenti registrate quando un amministratore aggiunge o modifica un account utente usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure.The following table lists user administration activities that are logged when an admin adds or changes a user account by using the Microsoft 365 admin center or the Azure management portal.

|AttivitàActivity|OperazioneOperation|DescrizioneDescription| |:-----|:-----|:-----| |Utente aggiuntoAdded user|Aggiungi utenteAdd user|È stato creato un account utente.A user account was created.| |Licenza utente modificataChanged user license|Modifica della licenza utenteChange user license|La licenza assegnata a un utente è stata modificata.The license assigned to a user what changed. Per visualizzare le licenze modificate, vedere l'attività Utente aggiornato corrispondente.To see what licenses were changes, see the corresponding Updated user activity.| |Password utente cambiataChanged user password|Modifica della password utenteChange user password|Un utente ha cambiato la password.A user changes their password. La reimpostazione della password in modalità self-service deve essere abilitata nell'organizzazione, per tutti gli utenti o per utenti selezionati, per consentire agli utenti di reimpostare la password.Self-service password reset has to be enabled (for all or selected users) in your organization to allow users to reset their password. Inoltre, è possibile tenere traccia delle attività di reimpostazione della password in modalità self-service in Azure Active Directory. You can also track self-service password reset activity in Azure Active Directory. Per altre informazioni, vedere Opzioni relative alla creazione di report per la gestione delle password di Azure AD.For more information, see Reporting options for Azure AD password management. |Utente eliminatoDeleted user|Elimina utenteDelete user|È stato eliminato un account utente.A user account was deleted.| |Reimpostazione della password utenteReset user password|Reimpostazione della password utenteReset user password|Un amministratore ha reimpostato la password per un utente.Administrator resets the password for a user.| |Impostata una proprietà che impone all'utente di cambiare la passwordSet property that forces user to change password|Impostazione forzatura per la modifica delle password utenteSet force change user password|Un amministratore ha impostato la proprietà che forza l'utente a cambiare la password al successivo accesso a Office 365.Administrator set the property that forces a user to change their password the next time the user signs in to Office 365.| |Impostazione delle proprietà della licenzaSet license properties|Impostazione delle proprietà della licenzaSet license properties|Un amministratore modifica le proprietà di una licenza assegnata a un utente.Administrator modifies the properties of a licensed assigned to a user.| |Utente aggiornatoUpdated user|Aggiornamento di un utenteUpdate user|Un amministratore modifica una o più proprietà di un account utente.Administrator changes one or more properties of a user account. Per un elenco delle proprietà utente che possono essere aggiornate, vedere la sezione "Aggiornare gli attributi utente" in Eventi del report di controllo di Azure Active Directory.For a list of the user properties that can be updated, see the "Update user attributes" section in Azure Active Directory Audit Report Events.| ||||

Attività di amministrazione gruppi di Azure ADAzure AD group administration activities

La tabella seguente elenca le attività di amministrazione gruppi registrate quando un amministratore o un utente crea o modifica un gruppo di Microsoft 365 oppure quando un amministratore crea un gruppo di sicurezza usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure.The following table lists group administration activities that are logged when an admin or a user creates or changes a Microsoft 365 group or when an admin creates a security group by using the Microsoft 365 admin center or the Azure management portal. Per altre informazioni sui gruppi in Office 365, vedere Visualizzare, creare ed eliminare gruppi nell'interfaccia di amministrazione di Microsoft 365.For more information about groups in Office 365, see View, create, and delete Groups in the Microsoft 365 admin center.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Gruppo aggiuntoAdded group Aggiunta di un gruppoAdd group È stato creato un gruppo.A group was created.
Membro aggiunto a gruppoAdded member to group Aggiunta di un membro al gruppoAdd member to group È stato aggiunto un membro a un gruppo.A member was added to a group.
Gruppo eliminatoDeleted group Eliminazione di un gruppoDelete group È stato eliminato un gruppo.A group was deleted.
Membro rimosso da gruppoRemoved member from group Rimozione di un membro dal gruppoRemove member from group È stato rimosso un membro da un gruppo.A member was removed from a group.
Gruppo aggiornatoUpdated group Aggiornamento di un gruppoUpdate group È stata modificata una proprietà di un gruppo.A property of a group was changed.

Attività di amministrazione applicazioniApplication administration activities

La tabella seguente elenca le attività di amministrazione applicazioni registrate quando un amministratore aggiunge o modifica un'applicazione registrata in Azure AD.The following table lists application admin activities that are logged when an admin adds or changes an application that's registered in Azure AD. Qualsiasi applicazione che si basa su Azure AD per l'autenticazione deve essere registrata nella directory.Any application that relies on Azure AD for authentication must be registered in the directory.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Voce di delega aggiuntaAdded delegation entry Aggiunta di una voce di delegaAdd delegation entry Un'autorizzazione di autenticazione è stata creata/concessa a un'applicazione in Azure AD.An authentication permission was created/granted to an application in Azure AD.
Entità servizio aggiuntaAdded service principal Aggiunta di un'entità servizioAdd service principal Un'applicazione è stata registrata in Azure AD.An application was registered in Azure AD. Un'applicazione è rappresentata da un'entità servizio nella directory.An application is represented by a service principal in the directory.
Credenziali aggiunte a un'entità servizio Added credentials to a service principal Aggiunta delle credenziali dell'entità servizioAdd service principal credentials Sono state aggiunte delle credenziali a un'entità servizio in Azure AD.Credentials were added to a service principal in Azure AD. Un'entità servizio rappresenta un'applicazione nella directory.A service principle represents an application in the directory.
Voce di delega rimossaRemoved delegation entry Rimozione della voce di delegaRemove delegation entry Un'autorizzazione di autenticazione è stata rimossa da un'applicazione in Azure AD.An authentication permission was removed from an application in Azure AD.
Entità servizio rimossa dalla directoryRemoved a service principal from the directory Rimozione di un'entità servizioRemove service principal Un'applicazione è stata eliminata o ne è stata annullata la registrazione in Azure AD.An application was deleted/unregistered from Azure AD. Un'applicazione è rappresentata da un'entità servizio nella directory.An application is represented by a service principal in the directory.
Credenziali rimosse da un'entità servizio Removed credentials from a service principal Rimozione delle credenziali dell'entità servizioRemove service principal credentials Le credenziali sono state rimosse da un'entità servizio in Azure AD.Credentials were removed from a service principal in Azure AD. Un'entità servizio rappresenta un'applicazione nella directory.A service principle represents an application in the directory.
Voce di delega impostataSet delegation entry Impostazione della voce di delegaSet delegation entry Un'autorizzazione di autenticazione è stata aggiornata per un'applicazione in Azure AD.An authentication permission was updated for an application in Azure AD.

Attività di amministrazione ruoliRole administration activities

La tabella seguente elenca le attività di amministrazione ruoli di Azure AD registrate quando un amministratore gestisce i ruoli di amministrazione nell'interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.The following table lists Azure AD role administration activities that are logged when an admin manages admin roles in the Microsoft 365 admin center or in the Azure management portal.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Membro aggiunto a ruoloAdd member to Role Aggiunta di un membro del ruolo al ruoloAdd role member to role È stato aggiunto un utente a un ruolo di amministratore in Microsoft 365.Added a user to an admin role in Microsoft 365.
Utente rimosso da un ruolo della directoryRemoved a user from a directory role Rimozione di un membro del ruolo dal ruoloRemove role member from role È stato rimosso un utente da un ruolo di amministratore in Microsoft 365.Removed a user to from an admin role in Microsoft 365.
Impostazione delle informazioni di contatto aziendaliSet company contact information Impostazione delle informazioni di contatto aziendaliSet company contact information Sono state aggiornare le preferenze di contatto a livello aziendale per l'organizzazione.Updated the company-level contact preferences for your organization. Le informazioni includono indirizzi e-mail per messaggi correlati all'abbonamento inviati da Microsoft 365, nonché notifiche tecniche relative ai servizi.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about services.

Attività di amministrazione directoryDirectory administration activities

La tabella seguente elenca le attività correlate a dominio e directory di Azure AD registrate quando un amministratore gestisce l'organizzazione nell'interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.The following table lists Azure AD directory and domain-related activities that are logged when an administrator manages their organization in the Microsoft 365 admin center or in the Azure management portal.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Dominio aggiunto a societàAdded domain to company Aggiunta di un dominio alla societàAdd domain to company È stato aggiunto un dominio all'organizzazione.Added a domain to your organization.
Partner aggiunto alla directoryAdded a partner to the directory Aggiunta di un partner alla societàAdd partner to company È stato aggiunto un partner (amministratore delegato) all'organizzazione.Added a partner (delegated administrator) to your organization.
Dominio rimosso da societàRemoved domain from company Rimozione di un dominio dalla societàRemove domain from company È stato rimosso un dominio dall'organizzazione.Removed a domain from your organization.
Partner rimosso dalla directoryRemoved a partner from the directory Rimozione di un partner dalla societàRemove partner from company È stato rimosso un partner (amministratore delegato) dall'organizzazione.Removed a partner (delegated administrator) from your organization.
Informazioni sulla società impostateSet company information Informazioni sulla società impostateSet company information Sono state aggiornate le informazioni sulla società per l'organizzazione.Updated the company information for your organization. Le informazioni includono indirizzi e-mail per messaggi correlati all'abbonamento inviati da Microsoft 365, nonché notifiche tecniche relative ai servizi di Microsoft 365.This includes email addresses for subscription-related email sent by Microsoft 365, and technical notifications about Microsoft 365 services.
Impostazione dell'autenticazione del dominioSet domain authentication Impostazione dell'autenticazione del dominioSet domain authentication È stata modificata l'impostazione di autenticazione del dominio per l'organizzazione.Changed the domain authentication setting for your organization.
Impostazioni della federazione aggiornate per un dominioUpdated the federation settings for a domain Configurazione delle impostazioni di federazione nel dominioSet federation settings on domain Sono state modificate le impostazioni di federazione (condivisione esterna) per l'organizzazione.Changed the federation (external sharing) settings for your organization.
Criteri password impostatiSet password policy Criteri password impostatiSet password policy Sono stati modificati i vincoli di lunghezza e caratteri per le password utente nell'organizzazione.Changed the length and character constraints for user passwords in your organization.
Attivata la sincronizzazione di Azure ADTurned on Azure AD sync Impostazione del flag DirSyncEnabled per la societàSet DirSyncEnabled flag on company È stata impostata la proprietà che abilita una directory per Azure AD Sync.Set the property that enables a directory for Azure AD Sync.
Dominio aggiornatoUpdated domain Aggiornamento di un dominioUpdate domain Sono state aggiornate le impostazioni di un dominio nell'organizzazione.Updated the settings of a domain in your organization.
Dominio verificatoVerified domain Verifica di un dominioVerify domain È stato verificato che l'organizzazione è il proprietario di un dominio.Verified that your organization is the owner of a domain.
Posta elettronica verificata in dominio verificatoVerified email verified domain Verifica del dominio tramite la verifica di posta elettronicaVerify email verified domain È stata usata la verifica tramite posta elettronica per verificare che l'organizzazione sia il proprietario di un dominio.Used email verification to verify that your organization is the owner of a domain.

Attività di eDiscoveryeDiscovery activities

Le attività correlate a Ricerca contenuto ed eDiscovery eseguite nel centro sicurezza e conformità o tramite i cmdlet di PowerShell corrispondenti vengono registrate nel log di controllo.Content Search and eDiscovery-related activities that are performed in the security and compliance center or by running the corresponding PowerShell cmdlets are logged in the audit log. Sono incluse le attività seguenti:This includes the following activities:

  • Creazione e gestione di casi eDiscoveryCreating and managing eDiscovery cases

  • Creazione, avvio e modifica di ricerche di contenutoCreating, starting, and editing Content Searches

  • Esecuzione di operazioni di ricerca di contenuto, ad esempio visualizzazione in anteprima, esportazione ed eliminazione dei risultati della ricercaPerforming Content Search actions, such as previewing, exporting, and deleting search results

  • Configurazione del filtro delle autorizzazioni per Ricerca contenutoConfiguring permissions filtering for Content Search

  • Gestione del ruolo di amministratore di eDiscoveryManaging the eDiscovery Administrator role

Per un elenco e una descrizione dettagliata delle attività di eDiscovery registrate, vedere Cercare attività di eDiscovery nel log di controllo.For a list and detailed description of the eDiscovery activities that are logged, see Search for eDiscovery activities in the audit log.

Nota

Sono necessari fino a 30 minuti per visualizzare nei risultati della ricerca gli eventi collegati alle attività elencate in Attività di eDiscovery e Attività di Advanced eDiscovery nell'elenco a discesa Attività.It takes up to 30 minutes for events that result from the activities listed under eDiscovery activities and Advanced eDiscovery activities in the Activities drop-down list to be displayed in the search results. Invece, per visualizzare nei risultati della ricerca gli eventi corrispondenti provenienti dalle attività dei cmdlet di eDiscovery sono necessarie fino a 24 ore.Conversely, it takes up to 24 hours for the corresponding events from eDiscovery cmdlet activities to appear in the search results.

Attività di Advanced eDiscovery Advanced eDiscovery activities

È possibile inoltre eseguire una ricerca nel log di controllo per le attività in Advanced eDiscovery.You can also search the audit log for activities in Advanced eDiscovery. Per una descrizione di tali attività, vedere la sezione "Attività di Advanced eDiscovery" in Cercare attività di eDiscovery nel log di controllo.For a description of these activities, see the "Advanced eDiscovery activities" section in Search for eDiscovery activities in the audit log.

Attività di Power BIPower BI activities

È possibile eseguire una ricerca nel log di controllo per le attività in Power BI.You can search the audit log for activities in Power BI. Per informazioni sulle attività di Power BI, vedere la sezione "Attività controllate da Power BI" in Uso del controllo all'interno dell'organizzazione.For information about Power BI activities, see the "Activities audited by Power BI" section in Using auditing within your organization.

La registrazione di controllo per Power BI non è abilitata per impostazione predefinita.Audit logging for Power BI isn't enabled by default. Per cercare le attività di Power BI nel log di controllo, è necessario abilitare il controllo nel portale di amministrazione di Power BI.To search for Power BI activities in the audit log, you have to enable auditing in the Power BI admin portal. Per le istruzioni, vedere la sezione "Log di controllo" nel portale di amministrazione di Power BI.For instructions, see the "Audit logs" section in Power BI admin portal.

Attività di Workplace AnalyticsWorkplace Analytics activities

Workplace Analytics offre informazioni dettagliate sul modo in cui i gruppi collaborano nell'organizzazione.Workplace Analytics provides insight into how groups collaborate across your organization. La tabella seguente elenca le attività eseguite dagli utenti a cui è assegnato il ruolo di amministratore o i ruoli di analista in Workplace Analytics.The following table lists activities performed by users that are assigned the Administrator role or the Analyst roles in Workplace Analytics. Gli utenti a cui è stato assegnato il ruolo di analista hanno accesso completo a tutte le caratteristiche del servizio e usano il prodotto per eseguire l'analisi.Users assigned the Analyst role have full access to all service features and use the product to do analysis. Gli utenti a cui è stato assegnato il ruolo di amministratore possono configurare le impostazioni di privacy e le impostazioni predefinite del sistema e possono preparare, caricare e verificare i dati aziendali in Workplace Analytics.Users assigned the Administrator role can configure privacy settings and system defaults, and can prepare, upload, and verify organizational data in Workplace Analytics. Per ulteriori informazioni, vedere Workplace Analytics.For more information, see Workplace Analytics.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Collegamento OData accessibileAccessed OData link AccessedOdataLinkAccessedOdataLink L'analista ha avuto accesso al collegamento a OData per una query.Analyst accessed the OData link for a query.
Query annullataCanceled query CanceledQueryCanceledQuery L'analista ha annullato una query in esecuzione.Analyst canceled a running query.
Esclusione riunione creataCreated meeting exclusion MeetingExclusionCreatedMeetingExclusionCreated L'analista ha creato una regola di esclusione delle riunioni.Analyst created a meeting exclusion rule.
Risultato eliminatoDeleted result DeletedResultDeletedResult L'analista ha eliminato il risultato di una query.Analyst deleted a query result.
Report scaricatoDownloaded report DownloadedReportDownloadedReport L'analista ha scaricato il file dei risultati di una query.Analyst downloaded a query result file.
Query eseguitaExecuted query ExecutedQueryExecutedQuery L'analista ha eseguito una query.Analyst ran a query.
Impostazione di accesso ai dati aggiornataUpdated data access setting UpdatedDataAccessSettingUpdatedDataAccessSetting L'amministratore ha aggiornato le impostazioni di accesso ai dati.Admin updated data access settings.
Impostazione privacy aggiornataUpdated privacy setting UpdatedPrivacySettingUpdatedPrivacySetting L'amministratore ha aggiornato le impostazioni relative alla privacy, ad esempio, le dimensioni minime del gruppo.Admin updated privacy settings; for example, minimum group size.
Dati dell'organizzazione caricatiUploaded organization data UploadedOrgDataUploadedOrgData L'amministratore ha caricato il file di dati dell'organizzazione.Admin uploaded organizational data file.
Pagina Esplora visualizzataViewed Explore ViewedExploreViewedExplore L'analista ha visualizzato le visualizzazioni in una o più schede della pagina Esplora.Analyst viewed visualizations in one or more Explore page tabs.

Attività di Microsoft TeamsMicrosoft Teams activities

È possibile eseguire una ricerca nel log di controllo per le attività di utenti e amministratori in Microsoft Teams.You can search the audit log for user and admin activities in Microsoft Teams. Teams è un'area di lavoro basata su chat di Office 365.Teams is a chat-centered workspace in Office 365. Raggruppa conversazioni, riunioni, file e note in un'unica posizione.It brings a team's conversations, meetings, files, and notes together into a single place. Per la descrizione delle attività di Teams sottoposte a controllo, vedere Eseguire ricerche nel log di controllo per gli eventi in Microsoft Teams.For descriptions of the Teams activities that are audited, see Search the audit log for events in Microsoft Teams.

Attività di Microsoft Teams per il settore sanitarioMicrosoft Teams Healthcare activities

Se l'organizzazione usa l'applicazione Pazienti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'utilizzo dell'app.If your organization is using the Patients application in Microsoft Teams, you can search the audit log for activities related to the using the Patients app. Se l'ambiente è configurato per supportare l'app Pazienti, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.If your environment is configured to support Patients app, an additional activity group for these activities is available in the Activities picker list.

Attività di Microsoft Teams per il settore sanitario nell'elenco di selezione Attività

Per una descrizione delle attività dell'app Pazienti, vedere Log di controllo per l'app Pazienti.For a description of the Patients app activities, see Audit logs for Patients app.

Attività di Turni di Microsoft TeamsMicrosoft Teams Shifts activities

Se l'organizzazione usa l'app Turni in Microsoft Teams, è possibile cercare le attività correlate all'utilizzo dell'app nel log di controllo.If your organization is using the Shifts app in Microsoft Teams, you can search the audit log for activities related to the using the Shifts app. Se l'ambiente è configurato per supportare le app Turni, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.If your environment is configured to support Shifts apps, an additional activity group for these activities is available in the Activities picker list.

Per una descrizione delle attività relative alle app Turni, vedere Eseguire ricerche nel log di controllo per gli eventi in Microsoft Teams.For a description of Shifts app activities, see Search the audit log for events in Microsoft Teams.

Attività di YammerYammer activities

La tabella seguente elenca le attività degli utenti e degli amministratori di Yammer registrate nel log di controllo.The following table lists the user and admin activities in Yammer that are logged in the audit log. Per restituire le attività correlate a Yammer dal log di controllo, è necessario selezionare Visualizza i risultati per tutte le attività nell'elenco Attività.To return Yammer-related activities from the audit log, you have to select Show results for all activities in the Activities list. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.Use the date range boxes and the Users list to narrow the search results.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Criteri di conservazione dei dati modificatiChanged data retention policy SoftDeleteSettingsUpdatedSoftDeleteSettingsUpdated L'amministratore verificato aggiorna l'impostazione per i criteri di conservazione dei dati di rete per l'eliminazione definitiva o l'eliminazione temporanea.Verified admin updates the setting for the network data retention policy to either Hard Delete or Soft Delete. Solo gli amministratori verificati possono eseguire questa operazione.Only verified admins can perform this operation.
Configurazione di rete modificataChanged network configuration NetworkConfigurationUpdatedNetworkConfigurationUpdated L'amministratore di rete o verificato modifica la configurazione della rete Yammer.Network or verified admin changes the Yammer network's configuration. Imposta anche l'intervallo per l'esportazione dei dati e l'attivazione della chat.This includes setting the interval for exporting data and enabling chat.
Impostazioni del profilo di rete modificateChanged network profile settings ProcessProfileFieldsProcessProfileFields L'amministratore di rete o verificato modifica le informazioni visualizzate nei profili dei membri per gli utenti della rete.Network or verified admin changes the information that appears on member profiles for network users network.
Modalità per il contenuto privato modificataChanged private content mode SupervisorAdminToggledSupervisorAdminToggled L'amministratore verificato attiva o disattiva la Modalità contenuto privato.Verified admin turns Private Content Mode on or off. Questa modalità consente a un amministratore di visualizzare i post nei gruppi privati e i messaggi privati scambiati tra singoli utenti o gruppi di utenti.This mode lets an admin view the posts in private groups and view private messages between individual users (or groups of users). Solo gli amministratori verificati possono eseguire questa operazione.Only verified admins only can perform this operation.
Configurazione della sicurezza modificataChanged security configuration NetworkSecurityConfigurationUpdatedNetworkSecurityConfigurationUpdated L'amministratore verificato aggiorna la configurazione di sicurezza della rete Yammer.Verified admin updates the Yammer network's security configuration. Imposta anche i criteri di scadenza della password e le limitazioni per gli indirizzi IP.This includes setting password expiration policies and restrictions on IP addresses. Solo gli amministratori verificati possono eseguire questa operazione.Only verified admins can perform this operation.
File creatoCreated file FileCreatedFileCreated L'utente carica un file.User uploads a file.
Gruppo creatoCreated group GroupCreationGroupCreation Un utente crea un gruppo.User creates a group.
Gruppo eliminatoDeleted group GroupDeletionGroupDeletion Un gruppo viene eliminato da Yammer.A group is deleted from Yammer.
Messaggio eliminatoDeleted message MessageDeletedMessageDeleted L'utente elimina un messaggio.User deletes a message.
File scaricatoDownloaded file FileDownloadedFileDownloaded L'utente scarica un file.User downloads a file.
Dati esportatiExported data DataExportDataExport L'amministratore verificato esporta i dati della rete Yammer.Verified admin exports Yammer network data. Solo gli amministratori verificati possono eseguire questa operazione.Only verified admins can perform this operation.
File condivisoShared file FileSharedFileShared L'utente condivide un file con un altro utente.User shares a file with another user.
Utente di rete sospesoSuspended network user NetworkUserSuspendedNetworkUserSuspended L'amministratore di rete o verificato sospende (disattiva) un utente da Yammer.Network or verified admin suspends (deactivates) a user from Yammer.
Utente sospesoSuspended user UserSuspensionUserSuspension L'account utente viene sospeso (disattivato).User account is suspended (deactivated).
Descrizione del file aggiornataUpdated file description FileUpdateDescriptionFileUpdateDescription L'utente modifica la descrizione di un file.User changes the description of a file.
Nome file aggiornatoUpdated file name FileUpdateNameFileUpdateName L'utente modifica il nome di un file.User changes the name of a file.
File visualizzatoViewed file FileVisitedFileVisited L'utente visualizza un file.User views a file.

Attività di Microsoft Power AutomateMicrosoft Power Automate activities

È possibile eseguire una ricerca nel log di controllo per le attività in Power Automate (prima denominato Microsoft Flow).You can search the audit log for activities in Power Automate (formerly called Microsoft Flow). Queste attività includono la creazione, la modifica e l'eliminazione di flussi e la modifica delle autorizzazioni di flusso.These activities include creating, editing, and deleting flows, and changing flow permissions. Per informazioni sul controllo delle attività di Power Automate, vedere il blog Eventi di controllo di Microsoft Flow disponibili nel Centro sicurezza e conformità.For information about auditing for Power Automate activities, see the blog Microsoft Flow audit events now available in Security & Compliance Center.

Attività di Microsoft Power AppsMicrosoft Power Apps activities

È possibile eseguire una ricerca nel log di controllo per le attività in Power Apps.You can search the audit log for app-related activities in Power Apps. Queste attività includono la creazione, l'avvio e la pubblicazione di un'app.These activities include creating, launching, and publishing an app. Anche l'assegnazione di autorizzazioni alle app è controllata.Assigning permissions to apps is also audited. Per una descrizione di tutte le attività di Power Apps, vedere Registrazione delle attività per Power Apps.For a description of all Power Apps activities, see Activity logging for Power Apps.

Attività di Microsoft StreamMicrosoft Stream activities

È possibile eseguire una ricerca nel log di controllo per le attività in Microsoft Stream.You can search the audit log for activities in Microsoft Stream. Queste attività includono le attività video eseguite dagli utenti, le attività dei canali del gruppo e le attività amministrative, ad esempio la gestione degli utenti, la gestione delle impostazioni dell'organizzazione e l'esportazione dei report.These activities include video activities performed by users, group channel activities, and admin activities such as managing users, managing organization settings, and exporting reports. Per una descrizione di queste attività, vedere la sezione "Azioni registrate in Stream" in Log di controllo di Microsoft Stream.For a description of these activities, see the "Actions logged in Stream" section in Audit Logs in Microsoft Stream.

Attività di Esplora contenutoContent explorer activities

La tabella seguente elenca le attività di Esplora contenuto registrate nel log di controllo.The following table lists the activities in content explorer that are logged in the audit log. Esplora contenuto, a cui è possibile accedere nello strumento per le classificazioni dei dati del Centro conformità Microsoft 365.Content explorer, which is accessed on the Data classifications tool in the Microsoft 365 compliance center. Per altre informazioni, vedere Utilizzo di Esplora contenuto di classificazione dei dati.For more information, see Using data classification content explorer.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Elemento a cui è stato effettuato l'accessoAccessed item LabelContentExplorerAccessedItemLabelContentExplorerAccessedItem Un amministratore o un utente che fa parte del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto usa Esplora contenuto per visualizzare un messaggio di posta elettronica o un documento di SharePoint/OneDrive.An admin (or a user who's a member of the Content Explorer Content Viewer role group) uses content explorer to view an email message or SharePoint/OneDrive document.

Attività in quarantenaQuarantine activities

La tabella seguente elenca le attività in quarantena che è possibile cercare nel log di audit.The following table lists the quarantine activities that you can search for in the audit log. Per altre informazioni sulla quarantena, vedere Messaggi di posta elettronica in quarantena in Office 365.For more information about quarantine, see Quarantine email messages in Office 365.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Messaggio in quarantena eliminatoDeleted quarantine message QuarantineDeleteQuarantineDelete Un utente ha eliminato un messaggio di posta elettronica considerato dannoso.A user deleted an email message that was deemed to be harmful.
Messaggio in quarantena esportatoExported quarantine message QuarantineExportQuarantineExport Un utente ha esportato un messaggio di posta elettronica considerato dannoso.A user exported an email message that was deemed to be harmful.
Messaggio in quarantena in anteprimaPreviewed quarantine message QuarantinePreviewQuarantinePreview Un utente ha visualizzato in anteprima un messaggio di posta elettronica considerato dannoso.A user previewed an email message that was deemed to be harmful.
Messaggio di quarantena rilasciatoReleased quarantine message QuarantineReleaseQuarantineRelease Un utente ha rilasciato dalla quarantena un messaggio di posta elettronica considerato dannoso.A user released an email message from quarantine that was deemed to be harmful.
Intestazione del messaggio di quarantena visualizzataViewed quarantine message's header QuarantineViewHeaderQuarantineViewHeader Un utente ha visualizzato l'intestazione di un messaggio di posta elettronica considerato dannoso.A user viewed the header an email message that was deemed to be harmful.

Attività di Microsoft FormsMicrosoft Forms activities

La tabella seguente elenca le attività degli utenti e degli amministratori di Microsoft Forms registrate nel log di controllo.The following table lists the user and admin activities in Microsoft Forms that are logged in the audit log. Microsoft Forms è uno strumento per la creazione di moduli, test e sondaggi usato per raccogliere dati a scopo di analisi.Microsoft Forms is a forms/quiz/survey tool used to collect data for analysis.

Dove indicato di seguito nelle descrizioni, alcune operazioni contengono parametri di attività aggiuntivi.Where noted below in the descriptions, some operations contain additional activity parameters.

Nota

Se un'attività di Forms viene eseguita da un coautore o da un partecipante anonimo, viene registrata in modo leggermente diverso.If a Forms activity is performed by a co-author or an anonymous responder, it will be logged slightly differently. Per altre informazioni, vedere la sezione Attività di Forms eseguite da coautori e partecipanti anonimi.For more information, see the Forms activities performed by co-authors and anonymous responders section.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Commento creatoCreated comment CreateCommentCreateComment Il proprietario del modulo aggiunge un commento o il punteggio a un test.Form owner adds comment or score to a quiz.
Modulo creatoCreated form CreateFormCreateForm Il proprietario del modulo crea un nuovo modulo.Form owner creates a new form.
Modulo modificatoEdited form EditFormEditForm Il proprietario del modulo modifica un modulo, ad esempio creando, eliminando o modificando una domanda.Form owner edits a form such, as creating, removing, or editing a question. La proprietà EditOperation:string indica il nome dell'operazione di modifica.The property EditOperation:string indicates the edit operation name. Le operazioni possibili sono:The possible operations are:
- CreateQuestion- CreateQuestion
- CreateQuestionChoice- CreateQuestionChoice
- DeleteQuestion- DeleteQuestion
- DeleteQuestionChoice- DeleteQuestionChoice
- DeleteFormImage- DeleteFormImage
- DeleteQuestionImage- DeleteQuestionImage
- UpdateQuestion- UpdateQuestion
- UpdateQuestionChoice- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive- UploadFormImage/Bing/Onedrive
- UploadQuestionImage- UploadQuestionImage
- ChangeTheme- ChangeTheme

FormImage include qualsiasi posizione all'interno di Forms in cui l'utente può caricare un'immagine, ad esempio in una query o come tema di sfondo.FormImage includes any place within Forms that user can upload an image, such as in a query or as a background theme.
Modulo spostatoMoved form MoveFormMoveForm Il proprietario del modulo sposta un modulo.Form owner moves a form.

La proprietà DestinationUserId:stringa indica l'ID utente della persona che ha spostato il modulo.Property DestinationUserId:string indicates the user ID of the person who moved the form. La proprietà NewFormId:stringa è il nuovo ID per il modulo appena copiato.Property NewFormId:string is the new ID for the newly copied form.
Modulo eliminatoDeleted form DeleteFormDeleteForm Il proprietario del modulo elimina un modulo.Form owner deletes a form. Include SoftDelete (uso dell'opzione Elimina e spostamento del modulo nel Cestino) e HardDelete (svuotamento del Cestino).This includes SoftDelete (delete option used and form moved to recycle bin) and HardDelete (Recycle bin is emptied).
Modulo visualizzato (fase di progettazione)Viewed form (design time) ViewFormViewForm Il proprietario del modulo apre un modulo esistente per la modifica.Form owner opens an existing form for editing.
Modulo visualizzato in anteprimaPreviewed form PreviewFormPreviewForm Il proprietario del modulo visualizza un modulo in anteprima usando la funzione Anteprima.Form owner previews a form using the Preview function.
Modulo esportatoExported form ExportFormExportForm Il proprietario del modulo esporta i risultati in Excel.Form owner exports results to Excel.

La proprietà ExportFormat:stringa indica se il file di Excel è scaricato oppure online.Property ExportFormat:string indicates if the Excel file is Download or Online.
Condivisione del modulo per la copia consentitaAllowed share form for copy AllowShareFormForCopyAllowShareFormForCopy Il proprietario del modulo crea un collegamento a un modello per condividere il modulo con altri utenti.Form owner creates a template link to share the form with other users. Questo evento viene registrato quando il proprietario del modulo fa clic per generare l'URL del modello.This event is logged when the form owner clicks to generate template URL.
Condivisione del modulo per la copia non consentitaDisallowed share form for copy DisallowShareFormForCopyDisallowShareFormForCopy Il proprietario del modulo elimina il collegamento al modello.Form owner deletes template link.
Coautore del modulo aggiuntoAdded form coauthor AddFormCoauthorAddFormCoauthor Un utente usa un collegamento per la collaborazione per aiutare nella progettazione o nella visualizzazione delle risposte.A user uses a collaboration link to help design for/view responses. Questo evento viene registrato quando un utente usa un URL di collaborazione (non quando viene generato l'URL di collaborazione).This event is logged when a user uses a collab URL (not when collab URL is first generated).
Coautore del modulo rimossoRemoved form coauthor RemoveFormCoauthorRemoveFormCoauthor Il proprietario del modulo elimina un collegamento per la collaborazione.Form owner deletes a collaboration link.
Pagina di risposta visualizzataViewed response page ViewRuntimeFormViewRuntimeForm L'utente ha aperto una pagina di risposta per la visualizzazione.User has opened a response page to view. Questo evento viene registrato indipendentemente dal fatto che l'utente invii o meno una risposta.This event is logged regardless of whether the user submits a response or not.
Risposta creataCreated response CreateResponseCreateResponse Simile alla ricezione di una nuova risposta.Similar to receiving a new response. Un utente ha inviato una risposta a un modulo.A user has submitted a response to a form.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Per un partecipante anonimo, la proprietà ResponderId sarà Null.For an anonymous responder, the ResponderId property will be null.
Risposta aggiornataUpdated response UpdateResponseUpdateResponse Il proprietario del modulo ha aggiornato un commento o il punteggio di un test.Form owner has updated a comment or score on a quiz.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Per un partecipante anonimo, la proprietà ResponderId sarà Null.For an anonymous responder, the ResponderId property will be null.
Tutte le risposte eliminateDeleted all responses DeleteAllResponsesDeleteAllResponses Il proprietario del modulo elimina tutti i dati delle risposte.Form owner deletes all response data.
Risposta eliminataDeleted Response DeleteResponseDeleteResponse Il proprietario del modulo elimina una risposta.Form owner deletes one response.

La proprietà ResponseId:stringa indica la risposta eliminata.Property ResponseId:string indicates the response being deleted.
Risposte visualizzateViewed responses ViewResponsesViewResponses Il proprietario del modulo visualizza l'elenco aggregato di risposte.Form owner views the aggregated list of responses.

La proprietà ViewType:stringa indica se il proprietario del modulo visualizza i dati in dettaglio o in forma aggregataProperty ViewType:string indicates whether form owner is viewing Detail or Aggregate
Risposta visualizzataViewed response ViewResponseViewResponse Il proprietario del modulo visualizza una risposta specifica.Form owner views a particular response.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.Property ResponseId:string and Property ResponderId:string indicates which result is being viewed.

Per un partecipante anonimo, la proprietà ResponderId sarà Null.For an anonymous responder, the ResponderId property will be null.
Collegamento di riepilogo creatoCreated summary link GetSummaryLinkGetSummaryLink Il proprietario del modulo crea un collegamento ai risultati di riepilogo per condividere i risultati.Form owner creates summary results link to share results.
Collegamento di riepilogo eliminatoDeleted summary link DeleteSummaryLinkDeleteSummaryLink Il proprietario del modulo elimina il collegamento ai risultati di riepilogo.Form owner deletes summary results link.
Stato di phishing modulo aggiornatoUpdated form phishing status UpdatePhishingStatusUpdatePhishingStatus Questo evento viene registrato ogni volta che viene modificato il valore dettagliato dello stato di sicurezza interno, indipendentemente dal fatto che sia stato modificato lo stato di sicurezza finale, ad esempio il modulo ora è chiuso o aperto.This event is logged whenever the detailed value for the internal security status was changed, regardless of whether this changed the final security state (for example, form is now Closed or Opened). Ciò significa che potrebbero comparire eventi duplicati senza il cambiamento dello stato di sicurezza finale.This means you may see duplicate events without a final security state change. I possibili valori di stato per l'evento sono:The possible status values for this event are:
- Rimuovi- Take Down
- Rimuovi da amministratore- Take Down by Admin
- Amministratore sbloccato- Admin Unblocked
- Bloccato automaticamente- Auto Blocked
- Sbloccato automaticamente- Auto Unblocked
- Cliente segnalato- Customer Reported
- Reimpostare cliente segnalato- Reset Customer Reported
Stato di phishing utente aggiornatoUpdated user phishing status UpdateUserPhishingStatusUpdateUserPhishingStatus Questo evento viene registrato ogni volta che viene modificato il valore per lo stato di sicurezza degli utenti.This event is logged whenever the value for the user security status was changed. Il valore dello stato dell'utente nel record di controllo è Confermato come phisher quando l'utente ha creato un modulo di phishing che è stato rimosso dal team di sicurezza online di Microsoft.The value of the user status in the audit record is Confirmed as Phisher when the user created a phishing form that was taken down by the Microsoft Online safety team. Se un amministratore sblocca l'utente, il valore dello stato dell'utente è impostato su Reimposta come utente normale.If an admin unblocks the user, the value of the user's status is set to Reset as Normal User.
Invito a Forms Pro inviatoSent Forms Pro invitation ProInvitationProInvitation L'utente fa clic per attivare una versione di valutazione Pro.User clicks to activate a Pro trial.
Impostazione modulo aggiornataUpdated form setting UpdateFormSettingUpdateFormSetting Il proprietario del modulo aggiorna un'impostazione del modulo.Form owner updates a form setting.

La proprietà FormSettingName:stringa indica il nome e il nuovo valore dell'impostazione.Property FormSettingName:string indicates the setting's name and new value.
Impostazione utente aggiornataUpdated user setting UpdateUserSettingUpdateUserSetting Il proprietario del modulo aggiorna un'impostazione utente.Form owner updates a user setting.

La proprietà UserSettingName:stringa indica il nome e il nuovo valore dell'impostazioneProperty UserSettingName:string indicates the setting's name and new value
Moduli elencatiListed forms ListFormsListForms Il proprietario del modulo sta visualizzando un elenco di moduli.Form owner is viewing a list of forms.

La proprietà ViewType:stringa indica la visualizzazione esaminata dal proprietario del modulo: tutti i moduli, condivisi con l'utente o moduli dei gruppiProperty ViewType:string indicates which view the form owner is looking at: All Forms, Shared with Me, or Group Forms
Risposta inviataSubmitted response SubmitResponseSubmitResponse Un utente invia una risposta a un modulo.A user submits a response to a form.

La proprietà IsInternalForm:booleano indica se il partecipante si trova nella stessa organizzazione del proprietario del modulo.Property IsInternalForm:boolean indicates if the responder is within the same organization as the form owner.

Attività di Forms eseguite da coautori e partecipanti anonimiForms activities performed by coauthors and anonymous responders

Forms supporta la collaborazione quando i moduli vengono progettati e durante l'analisi delle risposte.Forms supports collaboration when forms are designed and when analyzing responses. Un collaboratore di moduli è noto come coautore.A form collaborator is known as a coauthor. I coautori possono eseguire tutte le operazioni eseguibili da un proprietario del modulo, tranne l'eliminazione o lo spostamento di un modulo.Coauthors can do everything a form owner can do, except delete or move a form. Forms consente anche di creare un modulo a cui è possibile rispondere in modo anonimo.Forms also allows you to create a form that can be responded to anonymously. Questo significa che non è necessario che il partecipante sia connesso all'organizzazione per rispondere a un modulo.This means the responder doesn't have to be signed into your organization to respond to a form.

La tabella seguente descrive le attività di controllo e le informazioni del record di controllo relative alle attività eseguite dai coautori e dai partecipanti anonimi.The following table describes the auditing activities and information in the audit record for activities performed by coauthors and anonymous responders.

Tipo di attivitàActivity type Utente interno o esternoInternal or external user ID utente registratoUser ID that's logged Organizzazione a cui si è connessiOrganization logged in to Tipo di utente FormsForms user type
Attività di creazione condivisaCoauthoring activities InternoInternal UPNUPN Organizzazione del proprietario del moduloForm owner's org CoautoreCoauthor
Attività di creazione condivisaCoauthoring activities EsternoExternal UPNUPN
Organizzazione del coautoreCoauthor's org
CoautoreCoauthor
Attività di creazione condivisaCoauthoring activities EsternoExternal urn:forms:coauthor#a0b1c2d3@forms.office.com
La seconda parte dell'ID è un hash, che varia in base ai diversi utenti(The second part of the ID is a hash, which will differ for different users)
Organizzazione del proprietario del moduloForm owner's org
CoautoreCoauthor
Attività di rispostaResponse activities EsternoExternal UPNUPN
Organizzazione del partecipanteResponder's org
PartecipanteResponder
Attività di rispostaResponse activities EsternoExternal urn:forms:external#a0b1c2d3@forms.office.com
La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti(The second part of the User ID is a hash, which will differ for different users)
Organizzazione del proprietario del moduloForm owner's org PartecipanteResponder
Attività di rispostaResponse activities AnonimoAnonymous urn:forms:anonymous#a0b1c2d3@forms.office.com
La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti(The second part of the User ID is a hash, which will differ for different users)
Organizzazione del proprietario del moduloForm owner's org PartecipanteResponder

Attività sulle etichette di riservatezzaSensitivity label activities

La tabella seguente elenca gli eventi risultanti dalle attività di etichettatura per i siti di SharePoint Online e di Teams.The following table lists events that result from labeling activities for SharePoint Online and Teams sites.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Etichetta di riservatezza applicata al sitoApplied sensitivity label to site SensitivityLabelAppliedSensitivityLabelApplied È stata applicata un'etichetta di riservatezza a un sito di SharePoint o di Teams.A sensitivity label was applied to a SharePoint or Teams site.
Etichetta di riservatezza rimossa dal sitoRemoved sensitivity label from site SensitivityLabelRemovedSensitivityLabelRemoved È stata rimossa un'etichetta di riservatezza da un sito di SharePoint o di Teams.A sensitivity label was removed from a SharePoint or Teams site.
Etichetta di riservatezza applicata al fileApplied sensitivity label to file FileSensitivityLabelAppliedFileSensitivityLabelApplied È stata applicata un'etichetta di riservatezza a un documento tramite Office sul web o un criterio di aggiunta automatica dell'etichetta.A sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Etichetta di riservatezza applicata a un file modificataChanged sensitivity label applied to file FileSensitivityLabelChangedFileSensitivityLabelChanged È stata applicata un'etichetta di riservatezza diversa a un documento tramite Office sul web o un criterio di aggiunta automatica dell'etichetta.A different sensitivity label was applied to a document by using Office on the web or an auto-labeling policy.
Etichetta di riservatezza rimossa dal fileRemoved sensitivity label from file FileSensitivityLabelRemovedFileSensitivityLabelRemoved È stata rimossa un'etichetta di riservatezza da un documento tramite Office sul web, con un criterio di applicazione automatica delle etichette o tramite il cmdlet Unlock-SPOSensitivityLabelEncryptedFile.A sensitivity label was removed from a document by using Office on the web, an auto-labeling policy, or by using the Unlock-SPOSensitivityLabelEncryptedFile cmdlet.

Attività su criteri di conservazione ed etichette di conservazioneRetention policy and retention label activities

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Impostazioni configurate per un criterio di conservazioneConfigured settings for a retention policy NewRetentionComplianceRuleNewRetentionComplianceRule L'amministratore ha configurato le impostazioni di conservazione per un nuovo criterio di conservazione.Administrator configured the retention settings for a new retention policy. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione.Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Questa attività corrisponde anche all'esecuzione del cmdlet New-RetentionComplianceRule.This activity also corresponds to running the New-RetentionComplianceRule cmdlet.
Etichetta di conservazione creataCreated retention label NewComplianceTagNewComplianceTag L'amministratore ha creato una nuova etichetta di conservazione.Administrator created a new retention label.
Criterio di conservazione creatoCreated retention policy NewRetentionCompliancePolicyNewRetentionCompliancePolicy L'amministratore ha creato un nuovo criterio di conservazione.Administrator created a new retention policy.
Impostazioni eliminate per un criterio di conservazioneDeleted settings from a retention policy RemoveRetentionComplianceRuleRemoveRetentionComplianceRule
L'amministratore ha eliminato le impostazioni di configurazione di un criterio di conservazione.Administrator deleted the configuration settings of a retention policy. Molto probabilmente, questa attività viene registrata quando un amministratore elimina un criterio di conservazione o esegue il cmdlet Remove-RetentionComplianceRule.Most likely, this activity is logged when an administrator deletes a retention policy or runs the Remove-RetentionComplianceRule cmdlet.
Etichetta di conservazione eliminataDeleted retention label RemoveComplianceTagRemoveComplianceTag L'amministratore ha eliminato un'etichetta di conservazione.Administrator deleted a retention label.
Criterio di conservazione eliminatoDeleted retention policy RemoveRetentionCompliancePolicyRemoveRetentionCompliancePolicy
L'amministratore ha eliminato un criterio di conservazione.Administrator deleted a retention policy.
Opzione del record normativo abilitata per le etichette di conservazioneEnabled regulatory record option for retention labels
SetRestrictiveRetentionUISetRestrictiveRetentionUI L'amministratore ha eseguito il cmdlet set-RegulatoryComplianceUI in modo che un amministratore possa selezionare l'opzione di configurazione dell'interfaccia utente per un'etichetta di conservazione che consente di contrassegnare il contenuto come record normativo.Administrator ran the Set-RegulatoryComplianceUI cmdlet so that an administrator can then select the UI configuration option for a retention label to mark content as a regulatory record.
Impostazioni aggiornate per un criterio di conservazioneUpdated settings for a retention policy SetRetentionComplianceRuleSetRetentionComplianceRule L'amministratore ha modificato le impostazioni di conservazione per un criterio di conservazione esistente.Administrator changed the retention settings for an existing retention policy. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione.Retention settings include how long items are retained, and what happens to items when the retention period expires (such as deleting items, retaining items, or retaining and then deleting them). Questa attività corrisponde anche all'esecuzione del cmdlet Set-RetentionComplianceRule.This activity also corresponds to running the Set-RetentionComplianceRule cmdlet.
Etichetta di conservazione aggiornataUpdated retention label SetComplianceTagSetComplianceTag L'amministratore ha aggiornato un'etichetta di conservazione esistente.Administrator updated an existing retention label.
Criterio di conservazione aggiornatoUpdated retention policy SetRetentionCompliancePolicySetRetentionCompliancePolicy L'amministratore ha aggiornato un criterio di conservazione esistente.Administrator updated an existing a retention policy. Gli aggiornamenti che attivano questo evento includono l'aggiunta o l'esclusione di percorsi di contenuto ai quali applicare il criterio di conservazione.Updates that trigger this event include adding or excluding content locations that the retention policy is applied to.

Attività e-mail di BriefingBriefing email activities

La tabella seguente elenca le attività delle e-mail di Briefing registrate nel log di controllo di Office 365.The following table lists the activities in Briefing email that are logged in the Office 365 audit log. Per ulteriori informazioni sulle e-mail di Briefing, vedere:For more information about Briefing email, see:

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Impostazioni sulla privacy dell'organizzazione aggiornateUpdated organization privacy settings UpdatedOrganizationBriefingSettingsUpdatedOrganizationBriefingSettings L'amministratore aggiorna le impostazioni sulla privacy dell'organizzazione per le e-mail di Briefing.Admin updates the organization privacy settings for Briefing email.
Impostazioni sulla privacy dell'utente aggiornateUpdated user privacy settings UpdatedUserBriefingSettingsUpdatedUserBriefingSettings L'amministratore aggiorna le impostazioni sulla privacy dell'utente per le e-mail di Briefing.Admin updates the user privacy settings for Briefing email.

MyAnalytics activitiesMyAnalytics activities

La tabella seguente elenca le attività in MyAnalytics registrate nel log di controllo di Office 365.The following table lists the activities in MyAnalytics that are logged in the Office 365 audit log. Per altre informazioni su MyAnalytics, vedere MyAnalytics per gli amministratori.For more information about MyAnalytics, see MyAnalytics for admins.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Updated organization MyAnalytics settingsUpdated organization MyAnalytics settings UpdatedOrganizationMyAnalyticsSettingsUpdatedOrganizationMyAnalyticsSettings L'amministratore aggiorna le impostazioni a livello di organizzazione per MyAnalytics.Admin updates organization-level settings for MyAnalytics.
Updated user MyAnalytics settingsUpdated user MyAnalytics settings UpdatedUserMyAnalyticsSettingsUpdatedUserMyAnalyticsSettings L'amministratore aggiorna le impostazioni utente per MyAnalytics.Admin updates user settings for MyAnalytics.

Attività barriere informativeInformation barriers activities

La tabella seguente elenca le attività relative alle barriere informative registrate nel log di controllo di Office 365.The following table lists the activities in information barriers that are logged in the Office 365 audit log. Per altre informazioni sulle barriere informative, vedere Ulteriori informazioni sulle barriere informative in Microsoft 365.For more information about information barriers, see Learn about information barriers in Microsoft 365.

Nome descrittivoFriendly name OperazioneOperation DescrizioneDescription
Segmenti aggiunti a un sitoAdded segments to a site SegmentsAddedSegmentsAdded Un amministratore di SharePoint o globale, oppure il proprietario di un sito ha aggiunto uno o più segmenti di barriere informative a un sito.A SharePoint, global administrator, or site owner added one or more information barriers segments to a site.
Segmenti modificati di un sitoChanged segments of a site SegmentsChangedSegmentsChanged Un amministratore di SharePoint o globale ha modificato uno o più segmenti di barriere informative per un sito.A SharePoint or global administrator changed one or more information barriers segments for a site.
Segmenti rimossi da un sitoRemoved segments from a site SegmentsRemovedSegmentsRemoved Un amministratore di SharePoint o globale ha rimosso uno o più segmenti di barriere informative da un sito.A SharePoint or global administrator removed one or more information barriers segments from a site.

Log di controllo dell'amministratore di ExchangeExchange admin audit log

La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Office 365, registra un evento nel log di controllo quando un amministratore (o un utente a cui sono state assegnate autorizzazioni amministrative) apporta una modifica nell'organizzazione di Exchange Online.Exchange administrator audit logging (which is enabled by default in Office 365) logs an event in the audit log when an administrator (or a user who has been assigned administrative permissions) makes a change in your Exchange Online organization. Le modifiche apportate mediante l'interfaccia di amministrazione di Exchange o eseguendo un cmdlet in PowerShell per Exchange Online vengono registrate nel log di controllo di amministrazione di Exchange.Changes made by using the Exchange admin center or by running a cmdlet in Exchange Online PowerShell are logged in the Exchange admin audit log. I cmdlet che iniziano con Get-, Search- o Test- non vengono registrati nel log di controllo.Cmdlets that begin with the verbs Get-, Search-, or Test- are not logged in the audit log. Per informazioni dettagliate sulla registrazione di controllo dell'amministratore in Exchange, vedere Registrazione di controllo dell'amministratore.For more detailed information about admin audit logging in Exchange, see Administrator audit logging.

Importante

Alcuni cmdlet di Exchange Online che non sono stati registrati nel log di controllo di amministrazione di Exchange o nel log di controllo.Some Exchange Online cmdlets that aren't logged in the Exchange admin audit log (or in the audit log). Molti di questi cmdlet sono correlati alla gestione del servizio Exchange Online e sono eseguiti dal personale del centro dati Microsoft o dagli account di servizio.Many of these cmdlets are related to maintaining the Exchange Online service and are run by Microsoft datacenter personnel or service accounts. Questi cmdlet non vengono registrati perché comportano un gran numero di eventi di controllo "fastidiosi".These cmdlets aren't logged because they would result in a large number of "noisy" auditing events. Se è presente un cmdlet di Exchange Online che non viene controllato, inviare un suggerimento al forum UserVoice su sicurezza e conformità e chiedere che sia abilitato per il controllo.If there's an Exchange Online cmdlet that isn't being audited, please submit a suggestion to the Security & Compliance User Voice forum and request that it is enabled for auditing. È anche possibile inviare una richiesta di modifica della progettazione al supporto tecnico Microsoft.You can also submit a design change request (DCR) to Microsoft Support.

Di seguito sono forniti alcuni suggerimenti per la ricerca delle attività di amministrazione di Exchange durante la ricerca nel log di controllo:Here are some tips for searching for Exchange admin activities when searching the audit log:

  • Per restituire le voci dal log di controllo dell'amministratore di Exchange, è necessario selezionare Visualizza i risultati per tutte le attività nell'elenco Attività.To return entries from the Exchange admin audit log, you have to select Show results for all activities in the Activities list. Usare le caselle relative all'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca per i cmdlet eseguiti da uno specifico amministratore di Exchange in un determinato intervallo di date.Use the date range boxes and the Users list to narrow the search results for cmdlets run by a specific Exchange administrator within a specific date range.

  • Per visualizzare gli eventi del log di controllo dell'amministratore di Exchange, filtrare i risultati della ricerca e digitare - (trattino) nella casella del filtro Attività.To display events from the Exchange admin audit log, filter the search results and type a - (dash) in the Activity filter box. In questo modo, vengono visualizzati i nomi dei cmdlet, che sono indicati nella colonna Attività per gli eventi di amministrazione di Exchange.This displays cmdlet names, which are displayed in the Activity column for Exchange admin events. È anche possibile disporre i nomi dei cmdlet in ordine alfabetico.Then you can sort the cmdlet names in alphabetical order.

    Digitare un trattino nella casella Attività per filtrare gli eventi di amministrazione di Exchange

  • Per ottenere informazioni sul cmdlet eseguito, sui parametri e sui valori dei parametri usati e sugli oggetti interessati, è possibile esportare i risultati della ricerca e selezionare l'opzione Scarica tutti i risultati.To get information about what cmdlet was run, which parameters and parameter values were used, and what objects were affected, you can export the search results by selecting the Download all results option. Per ulteriori informazioni, vedere Esportare, configurare e visualizzare i record del log di controllo.For more information, see Export, configure, and view audit log records.

  • È anche possibile usare il comando Search-UnifiedAuditLog -RecordType ExchangeAdminin PowerShell di Exchange Online per restituire solo i record di controllo del log di controllo dell'amministratore di Exchange.You can also use the Search-UnifiedAuditLog -RecordType ExchangeAdmin command in Exchange Online PowerShell to return only audit records from the Exchange admin audit log. Dopo l'esecuzione di un cmdlet di Exchange per la voce del log di controllo corrispondente, la restituzione dei risultati della ricerca potrebbe richiedere fino a 30 minuti.It may take up to 30 minutes after an Exchange cmdlet is run for the corresponding audit log entry to be returned in the search results. Per altre informazioni, vedere Search-UnifiedAuditLog.For more information, see Search-UnifiedAuditLog. Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo.For information about exporting the search results returned by the Search-UnifiedAuditLog cmdlet to a CSV file, see the "Tips for exporting and viewing the audit log" section in Export, configure, and view audit log records.

  • È inoltre possibile visualizzare gli eventi nel log di controllo dell'amministratore di Exchange mediante l'interfaccia di amministrazione di Exchange o eseguendo Search-AdminAuditLog in PowerShell per Exchange Online.You can also view events in the Exchange admin audit log by using the Exchange admin center or running the Search-AdminAuditLog in Exchange Online PowerShell. Si tratta di un ottimo metodo per cercare in modo specifico l'attività eseguita dagli amministratori di Exchange Online.This is a good way to specifically search for activity performed by Exchange Online administrators. Per istruzioni, vedere:For instructions, see:

    Tenere presente che le stesse attività dell'amministratore di Exchange sono registrate sia nel log di controllo di amministrazione di Exchange che nel log di controllo.Keep in mind that the same Exchange admin activities are logged in both the Exchange admin audit log and audit log.

Domande frequentiFrequently asked questions

Quali sono i diversi servizi di Microsoft 365 attualmente controllati?What are different Microsoft 365 services that are currently audited?

Sono controllati i servizi più usati come Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender per Office 365 e Power BI.The most used services like Exchange Online, SharePoint Online, OneDrive for Business, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender for Office 365, and Power BI are audited. Vedere l' inizio di questo articolo per un elenco dei servizi che vengono controllati.See the beginning of this article for a list of services that are audited.

Quali attività sono controllate dal servizio di controllo in Office 365?What activities are audited by auditing service in Office 365?

Per un elenco e una descrizione delle attività controllate, vedere la sezione Attività controllate in questo articolo.See the Audited activities section in this article for a list and description of the activities that are audited.

Quanto tempo è necessario affinché un record di controllo sia disponibile dopo il verificarsi di un evento?How long does it take for an auditing record to be available after an event has occurred?

La maggior parte dei dati di controllo è disponibile nel giro di 30 minuti ma la visualizzazione della voce del registro di controllo corrispondente nei risultati della ricerca può richiedere fino a 24 ore.Most auditing data is available within 30 minutes but it may take up to 24 hours after an event occurs for the corresponding audit log entry to be displayed in the search results. Vedere la tabella nella sezione Requisiti per la ricerca nel log di controllo di questo articolo, che mostra il tempo necessario affinché gli eventi dei diversi servizi divengano disponibili.See the table in the Requirements to search the audit log section of this article that shows the time it takes for events in the different services to be available.

Per quanto tempo vengono conservati i record di controllo?How long are the audit records retained for?

Come spiegato in precedenza, i record di controllo per le attività eseguite dagli utenti con una licenza Office 365 E5 o Microsoft E5 (o utenti con una licenza per il componente aggiuntivo Microsoft 365 E5) vengono conservati per un anno.As previously explained, audit records for activities performed by users assigned an Office 365 E5 or Microsoft E5 license (or users with a Microsoft 365 E5 add-on license) are retained for one year. Per tutti gli altri abbonamenti che supportano la registrazione di controllo unificata, i record di controllo vengono conservati per 90 giorni.For all other subscriptions that support unified audit logging, audit records are retained for 90 days.

È possibile accedere ai dati di controllo a livello di programmazione?Can I access the auditing data programmatically?

Sì.Yes. L'API Office 365 Management Activity consente di recuperare i log di controllo a livello di programmazione.The Office 365 Management Activity API is used to fetch the audit logs programmatically. Per iniziare, vedere Introduzione alle API Office 365 Management Activity.To get started, see Get started with Office 365 Management APIs.

Esistono altri modi diversi dall'uso del Centro sicurezza e conformità o dall'API Office 365 Management Activity per ottenere log di controllo?Are there other ways to get auditing logs other than using the security and compliance center or the Office 365 Management Activity API?

No.No. Questi sono gli unici due modi per ottenere dati dal servizio di controllo.These are the only two ways to get data from the auditing service.

È necessario abilitare singolarmente il controllo in ogni servizio di cui si vogliono acquisire i log di controllo?Do I need to individually enable auditing in each service that I want to capture audit logs for?

Nella maggior parte dei servizi, il controllo è abilitato per impostazione predefinita dopo l'attivazione del controllo per l'organizzazione (come descritto nella sezione Requisiti per la ricerca nel log di controllo di questo articolo).In most services, auditing is enabled by default after you initially turn on auditing for your organization (as described in the Requirements to search the audit log section in this article).

Il servizio di controllo supporta la deduplicazione dei record?Does the auditing service support de-duplication of records?

No.No. La pipeline dei servizi di controllo è quasi in tempo reale, pertanto non supporta la deduplicazione.The auditing service pipeline is near real time, and therefore can't support de-duplication.

I dati di controllo vengono trasportati nelle diverse aree geografiche?Does auditing data flow across geographies?

No.No. Attualmente sono presenti distribuzioni di pipeline di controllo nelle aree NA (Nord America), EMEA (Europa, Medio Oriente e Africa) ed APAC (Asia Pacifico).We currently have auditing pipeline deployments in the NA (North America), EMEA (Europe, Middle East, and Africa) and APAC (Asia Pacific) regions. Tuttavia, i dati possono essere trasportati in queste aree geografiche per il bilanciamento del carico e solo durante i problemi del sito live.However, we may flow the data across these regions for load-balancing and only during live-site issues. Durante l'esecuzione di queste attività, i dati in transito sono crittografati.When we do perform these activities, the data in transit is encrypted.

I dati di controllo sono crittografati?Is auditing data encrypted?

I dati di controllo sono archiviati nelle cassette postali di Exchange (dati archiviati) nella stessa area geografica in cui è distribuita la pipeline di controllo unificato.Auditing data is stored in Exchange mailboxes (data at rest) in the same region where the unified auditing pipeline is deployed. I dati delle cassette postali non vengono crittografati da Exchange.Mailbox data at rest is not encrypted by Exchange. Tuttavia, la crittografia a livello di servizio crittografa tutti i dati delle cassette postali perché i server Exchange nei data Center Microsoft sono crittografati tramite BitLocker.However, service-level encryption encrypts all mailbox data because Exchange servers in Microsoft datacenters are encrypted via BitLocker. Per altre informazioni, vedere Crittografia di Office 365 per Skype for Business, OneDrive for Business, SharePoint Online ed Exchange OnlineFor more information, see Office 365 Encryption for Skype for Business, OneDrive for Business, SharePoint Online, and Exchange Online.

I dati di posta elettronica in transito sono sempre crittografati.Mail data in transit is always encrypted.