Cercare gli eventi nel log di controllo in Microsoft Teams
Importante
L'interfaccia di amministrazione di Microsoft Teams sta gradualmente sostituendo l'interfaccia di amministrazione di Skype for Business, con la conseguente migrazione delle impostazioni di Teams dall'interfaccia di amministrazione di Microsoft 365. Se è stata eseguita la migrazione di un'impostazione, verrà mostrata una notifica e si verrà indirizzati alla relativa posizione nell'interfaccia di amministrazione di Teams. Per altre informazioni, consultare Gestire Teams durante la transizione all'interfaccia di amministrazione di Teams.
Il log di controllo consente di esaminare attività specifiche in Microsoft 365 servizi. Ad Microsoft Teams, ecco alcune attività controllate:
- Creazione di team
- Eliminazione del team
- Canale aggiunto
- Canale eliminato
- Impostazione del canale modificata
Per un elenco completo delle attività Teams controllate, vedere Teams attività e Turni in Teams attività.
Nota
Anche gli eventi di controllo dai canali privati vengono registrati così come sono per i team e i canali standard.
Attivare il controllo in Teams
Prima di poter esaminare i dati di controllo, è necessario attivare il controllo nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.
Importante
I dati di controllo sono disponibili solo dal punto in cui è stato attivato il controllo.
Recuperare Teams dati dal log di controllo
Per recuperare i log di controllo per le attività di Teams, passare a https://compliance.microsoft.com e selezionare Controlla.
Nella pagina Cerca filtrare le attività, le date e gli utenti da controllare.
Esportare i risultati in Excel per un'ulteriore analisi.
Per istruzioni dettagliate, vedere Eseguire ricerche nel log di controllo nel centro conformità.
Importante
I dati di controllo sono visibili nel log di controllo solo se il controllo è attivato.
La durata della conservazione e della ricerca di un record di controllo nel log di controllo dipende dalla sottoscrizione Microsoft 365 o Office 365 e in particolare dal tipo di licenza assegnata agli utenti. Per altre informazioni, vedere la descrizione del servizio Centro conformità & sicurezza.
Suggerimenti per la ricerca nel log di controllo
Ecco i suggerimenti per la ricerca di attività Teams nel log di controllo.
È possibile selezionare attività specifiche da cercare facendo clic sulla casella di controllo accanto a una o più attività. Se è selezionata un'attività, è possibile fare clic su di essa per annullare la selezione. È anche possibile usare la casella di ricerca per visualizzare le attività che contengono la parola chiave digitata.
Per visualizzare gli eventi per le attività eseguite con i cmdlet, selezionare Mostra i risultati per tutte le attività nell'elenco Attività . Se si conosce il nome dell'operazione per queste attività, digitarlo nella casella di ricerca per visualizzare l'attività e selezionarla.
Per cancellare i criteri di ricerca correnti, fare clic su Cancella tutto. L'intervallo di date torna al valore predefinito degli ultimi sette giorni.
Se vengono trovati 5.000 risultati, è probabile che siano presenti più di 5.000 eventi che soddisfa i criteri di ricerca. È possibile perfezionare i criteri di ricerca ed eseguire di nuovo la ricerca per restituire meno risultati oppure è possibile esportare tutti i risultati della ricerca selezionando Esporta > Scarica tutti i risultati. Per istruzioni dettagliate su come esportare i log di controllo, vedere Esportare i risultati della ricerca in un file.
Guardare questo video per informazioni sull'uso della ricerca nel log audio. Unisciti a Ansuman Acharya, program manager di Teams, come dimostra come eseguire una ricerca nel log di controllo per Teams.
attività Teams
Ecco un elenco di tutti gli eventi registrati per le attività di utenti e amministratori in Teams nel log di controllo di Microsoft 365. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzato nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunto bot al team | BotAddedToTeam | Un utente aggiunge un bot a un team. |
| Canale aggiunto | ChannelAdded | Un utente aggiunge un canale a un team. |
| Connettore aggiunto | ConnectorAdded | Un utente aggiunge un connettore a un canale. |
| Aggiunti dettagli su Teams riunione 2 | MeetingDetail | Teams aggiunto informazioni su una riunione, tra cui l'ora di inizio, l'ora di fine e l'URL per partecipare alla riunione. |
| Aggiunta di informazioni sui partecipanti alla riunione 2 | MeetingParticipantDetail | Teams aggiunto informazioni sui partecipanti a una riunione, tra cui l'ID utente di ogni partecipante, l'ora in cui un partecipante si è unito alla riunione e l'ora in cui un partecipante ha lasciato la riunione. |
| Membri aggiunti | MemberAdded | Un proprietario del team aggiunge membri a un team, un canale o una chat di gruppo. |
| Scheda aggiunta | TabAdded | Un utente aggiunge una scheda a un canale. |
| Impostazione del canale modificata | ChannelSettingChanged | L'operazione ChannelSettingChanged viene registrata quando le attività seguenti vengono eseguite da un membro del team. Per ognuna di queste attività, una descrizione dell'impostazione modificata (tra parentesi viene visualizzata nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Impostazione dell'organizzazione modificata | TeamsTenantSettingChanged | L'operazione TeamsTenantSettingChanged viene registrata quando le attività seguenti vengono eseguite da un amministratore globale nel interfaccia di amministrazione di Microsoft 365. Queste attività influiscono sulle impostazioni di Teams a livello di organizzazione. Per altre informazioni, vedere Gestire le impostazioni di Teams per l'organizzazione. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Ruolo cambiato dei membri del team | MemberRoleChanged | Il proprietario di un team cambia il ruolo dei membri di un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente. 1 - Indica il ruolo Membro. 2 - Indica il ruolo Proprietario. 3 - Indica il ruolo Guest. La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro. |
| Impostazione del team modificata | TeamSettingChanged | L'operazione TeamSettingChanged viene registrata quando le attività seguenti vengono eseguite da un proprietario del team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
|
| Creato una chat 1, 2 | ChatCreata | È stata creata una chat Teams. |
| Team creato | TeamCreato | Un utente crea un team. |
| È stato eliminato un messaggio | MessageDeleted | Un messaggio in una chat o in un canale è stato eliminato. |
| Eliminate tutte le app dell'organizzazione | DeletedAllOrganizationApps | Tutte le app dell'organizzazione sono state eliminate dal catalogo. |
| App eliminata | AppDeletedFromCatalog | Un'app è stata eliminata dal catalogo. |
| Canale eliminato | ChannelDeleted | Un utente elimina un canale da un team. |
| Team eliminato | TeamDeleted | Un proprietario del team elimina un team. |
| È stato modificato un messaggio con un collegamento URL in Teams | MessageEditedHasLink | Un utente modifica un messaggio e aggiunge un collegamento URL in Teams. |
| Messaggi esportati 1, 2 | MessaggiEsportati | Sono stati esportati messaggi di chat o di canale. |
| Non è possibile convalidare l'invito al canale condiviso3 | FailedValidation | Un utente risponde a un invito a un canale condiviso, ma la convalida dell'invito non è riuscita. |
| Chat recuperata 1, 2 | ChatRetrieved | È stata recuperata una chat di Microsoft Teams. |
| Recupero di tutto il contenuto ospitato di un messaggio1, 2 | MessageHostedContentsListed | È stato recuperato tutto il contenuto ospitato in un messaggio, ad esempio immagini o frammenti di codice. |
| App installata | AppInstallato | È stata installata un'app. |
| Azione eseguita sulla scheda | PerformedCardAction | Un utente ha intrapreso un'azione su una scheda adattiva all'interno di una chat. Le schede adattive vengono in genere usate dai bot per consentire una visualizzazione ricca di informazioni e interazioni nelle chat. Nota: Nel log di controllo saranno disponibili solo le azioni di input in linea in una scheda adattiva all'interno di una chat. Ad esempio, quando un utente invia una risposta a un sondaggio in una conversazione del canale su una scheda adattiva generata da un bot sondaggio. Le azioni utente, ad esempio "Visualizza risultato", che aprirà una finestra di dialogo o le azioni utente all'interno delle finestre di dialogo, non saranno disponibili nel log di controllo. |
| Pubblicato un nuovo messaggio 1, 2 | MessageSent | È stato pubblicato un nuovo messaggio in una chat o in un canale. |
| App pubblicata | AppPublishedToCatalog | Al catalogo è stata aggiunta un'app. |
| Leggere un messaggio 1, 2 | Messaggio Letto | È stato recuperato un messaggio di una chat o di un canale. |
| Leggere il contenuto ospitato di un messaggio 1, 2 | MessageHostedContentRead | Il contenuto ospitato in un messaggio, ad esempio un'immagine o un frammento di codice, è stato recuperato. |
| Bot rimosso dal team | BotRemovedFromTeam | Un utente rimuove un bot da un team. |
| Connettore rimosso | Connettoreremoto | Un utente rimuove un connettore da un canale. |
| Membri rimossi | MembroRemoved | Un proprietario del team rimuove i membri da un team, un canale o una chat di gruppo. |
| Rimozione della condivisione del canaledel team 3 | TerminatedSharing | Il proprietario di un team o di un canale ha disabilitato la condivisione per un canale condiviso. |
| Condivisione ripristinata del canale del team3 | SharingRestored | Il proprietario di un team o di un canale ha riattivata la condivisione per un canale condiviso. |
| Scheda Rimossa | TabRimuovere | Un utente rimuove una scheda da un canale. |
| Risposta all'invito per il canale condiviso3 | InviteeResponded | Un utente ha risposto a un invito a un canale condiviso. |
| Risposta dell'invitato al canale condiviso3 | ChannelOwnerResponded | Il proprietario di un canale ha risposto a una risposta di un utente che ha risposto a un invito a un canale condiviso. |
| Messaggi recuperati 1, 2 | Messaggi elencati | Sono stati recuperati messaggi da una chat o da un canale. |
| Inviato un messaggio con un collegamento URL in Teams | MessageCreatedHasLink | Un utente invia un messaggio contenente un collegamento URL in Teams. |
| Notifica di modifica inviata per la creazione di messaggi 1, 2 | MessageCreatedNotification | È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un nuovo messaggio. |
| Notifica di modifica inviata per l'eliminazione dei messaggi 1, 2 | MessageDeletedNotification | È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio eliminato. |
| Notifica di modifica inviata per l'aggiornamento del messaggio 1, 2 | MessageUpdatedNotification | È stata inviata una notifica di modifica per notificare a un listener sottoscritto un messaggio aggiornato. |
| Invito inviato per il canale condiviso3 | InviteSent | Un proprietario o un membro del canale invia un invito a un canale condiviso. Gli inviti ai canali condivisi possono essere inviati a persone esterne all'organizzazione se i criteri del canale sono configurati per condividere il canale con utenti esterni. |
| Abbonato alle notifiche di modifica dei messaggi 1, 2 | SubscribedToMessages | Un abbonamento è stato creato da un'applicazione listener per ricevere notifiche di modifica per i messaggi. |
| App disinstallata | App Non installata | Un'app è stata disinstallata. |
| App aggiornata | AppUpdatedInCatalog | Un'app è stata aggiornata nel catalogo. |
| Aggiornata una chat 1, 2 | ChatUpdated | È stata aggiornata una chat Teams. |
| Aggiornato un messaggio 1, 2 | MessageUpdated | È stato aggiornato un messaggio di una chat o di un canale. |
| Connettore aggiornato | ConnectorUpdated | Un utente ha modificato un connettore in un canale. |
| Scheda aggiornata | TabUpdated | Un utente ha modificato una scheda in un canale. |
| App aggiornata | AppUpgraded | Un'app è stata aggiornata alla versione più recente nel catalogo. |
| Utente connesso a Teams | TeamsSessionStarted | Un utente accede a un client di Microsoft Teams. Questo evento non acquisisce le attività di aggiornamento dei token. |
Nota
1 Un record di controllo per questo evento viene registrato solo quando l'operazione viene eseguita chiamando un API Graph Microsoft. Se l'operazione viene eseguita nel client Teams, non verrà registrato un record di controllo
2 Questo evento è disponibile solo in Audit (Premium). Questo significa che agli utenti deve essere assegnata la licenza appropriata prima che questi eventi vengano registrati nel log di controllo. Per altre informazioni sulle attività disponibili solo in Controllo (Premium), vedere Controllo (Premium) in Microsoft Purview. Per i requisiti di licenza di controllo (Premium), vedere Soluzioni di controllo in Microsoft 365.
3 Questo evento è in anteprima pubblica.
Turni nelle attività Teams
(in anteprima)
Se l'organizzazione usa l'app Turni in Teams, è possibile cercare nel log di controllo le attività correlate all'app Turni. Ecco un elenco di tutti gli eventi registrati per le attività di Turni in Teams nel log di controllo di Microsoft 365.
| Nome descrittivo | Operazione | Descrizione |
|---|---|---|
| Aggiunta di un gruppo di pianificazione | ScheduleGroupAdded | Un utente aggiunge correttamente un nuovo gruppo di pianificazione al pianificare. |
| Gruppo di pianificazione modificato | ScheduleGroupEdited | Un utente modifica correttamente un gruppo di pianificazione. |
| Gruppo di pianificazione eliminato | ScheduleGroupDeleted | Un utente elimina correttamente un gruppo di pianificazione dal pianificare. |
| Pianificare ritirato | ScheduleWithdrawn | Un utente ritira correttamente un pianificare pubblicato. |
| Turno aggiunto | MaiuscAggiunta | Un utente aggiunge correttamente un turno. |
| Turno modificato | Maiusc Modificato | Un utente modifica correttamente un turno. |
| Turno eliminato | MaiuscEliminato | Un utente elimina correttamente un turno. |
| Permesso aggiunto | TimeOffAdded | Un utente aggiunge correttamente i permessi nel pianificare. |
| Permesso modificato | TimeOffEdited | Un utente modifica correttamente i permessi. |
| Permesso eliminato | TimeOffDeleted | Un utente elimina correttamente i permessi. |
| Aggiunto turno aperto | OpenShiftAdded | Un utente aggiunge correttamente un turno aperto a un gruppo di pianificazione. |
| Turno aperto modificato | OpenShiftEdited | Un utente modifica correttamente un turno aperto in un gruppo di pianificazione. |
| Eliminato turno aperto | OpenShiftDeleted | Un utente elimina correttamente un turno aperto da un gruppo di pianificazione. |
| Pianificare condiviso | ScheduleShared | Un utente ha condiviso correttamente un team pianificare per un intervallo di date. |
| Orologio con orologio | ClockedIn | Un utente esegue correttamente l'orologio con l'orologio. |
| Uscita con orologio | ClockedOut | Un utente esegue correttamente l'uscita utilizzando l'orologio. |
| Interruzione avviata con l'orologio | BreakStarted | Un utente avvia correttamente un'interruzione durante una sessione orologio attiva. |
| Interruzione terminata con orologio | BreakEnded | Un utente termina correttamente un'interruzione durante una sessione orologio attiva. |
| Aggiunta della voce Orologio | TimeClockEntryAdded | Un utente aggiunge correttamente una nuova voce orologio manuale nel Foglio attività. |
| Immissione orologio modificata | TimeClockEntryEdited | Un utente modifica correttamente una voce orologio nel Foglio attività. |
| Voce orologio eliminata | TimeClockEntryDeleted | Un utente elimina correttamente una voce Orologio nel Foglio attività. |
| Aggiunta della richiesta di turno | RequestAdded | Un utente ha aggiunto una richiesta di turno. |
| Risposta alla richiesta di turno | RequestRespondedTo | Un utente ha risposto a una richiesta di turno. |
| Richiesta di turno annullata | RequestCancelled | Un utente ha annullato una richiesta di turno. |
| Impostazione pianificare modificata | ScheduleSettingChanged | Un utente modifica un'impostazione nelle impostazioni di Turni. |
| Integrazione della forza lavoro aggiunta | WorkforceIntegrationAdded | L'app Turni è integrata con un sistema di terze parti. |
| Messaggio accettato fuori turno | OffShiftDialogAccepted | Un utente riconosce il messaggio fuori turno per accedere a Teams dopo le ore di turno. |
API Management Activity di Office 365
È possibile usare l'API Office 365 Management Activity per recuperare informazioni sugli eventi Teams. Per altre informazioni sullo schema dell'API Management Activity per Teams, vedere Teams schema.
Attribuzione nei log di controllo Teams
Le modifiche dell'appartenenza ai Teams (ad esempio gli utenti aggiunti o eliminati) apportate tramite Azure Active Directory (Azure AD), Microsoft 365 portale di amministrazione o Gruppi di Microsoft 365 API Graph verranno visualizzate in Teams controllare i messaggi e nel canale Generale con l'attribuzione a un proprietario esistente del team e non all'effettivo iniziatore dell'azione. In questi scenari, consultare i log di controllo di Azure AD o di Microsoft 365 gruppo per visualizzare le informazioni pertinenti.
Usare Defender per il cloud App per impostare i criteri attività
Con Microsoft Defender for Cloud Apps integrazione, è possibile impostare criteri attività per applicare un'ampia gamma di processi automatizzati usando le API del provider dell'app. Questi criteri consentono di monitorare attività specifiche eseguite da vari utenti o di seguire tassi inaspettatamente elevati di un determinato tipo di attività.
Dopo aver impostato un criterio di rilevamento attività, inizia a generare avvisi. Gli avvisi vengono generati solo per le attività che si verificano dopo la creazione del criterio. Ecco alcuni scenari di esempio su come usare i criteri attività nelle app Defender per il cloud per monitorare le attività di Teams.
Scenario utente esterno
Uno scenario da tenere sotto controllo, dal punto di vista aziendale, è l'aggiunta di utenti esterni all'ambiente di Teams. Se gli utenti esterni sono abilitati, è consigliabile monitorare la loro presenza. È possibile usare Defender per il cloud App per identificare potenziali minacce.
Lo screenshot di questo criterio per monitorare l'aggiunta di utenti esterni consente di assegnare un nome al criterio, impostare la gravità in base alle esigenze aziendali, impostarla come (in questo caso) una singola attività, quindi stabilire i parametri che monitoreranno in modo specifico solo l'aggiunta di utenti non interni e limitare questa attività a Teams.
I risultati di questo criterio possono essere visualizzati nel log attività:
Qui è possibile esaminare le corrispondenze ai criteri impostati e apportare eventuali modifiche in base alle esigenze oppure esportare i risultati da usare altrove.
Scenario di eliminazione di massa
Come accennato in precedenza, è possibile monitorare gli scenari di eliminazione. È possibile creare un criterio che monitori l'eliminazione di massa dei siti Teams. In questo esempio è configurato un criterio basato su avvisi per rilevare l'eliminazione di massa dei team in un intervallo di 30 minuti.
Come illustrato nello screenshot, è possibile impostare molti parametri diversi per questo criterio per monitorare Teams eliminazioni, tra cui gravità, azione singola o ripetuta e parametri che lo limitano a Teams ed eliminazione del sito. Questa operazione può essere eseguita indipendentemente da un modello oppure è possibile che sia stato creato un modello su cui basare questo criterio, a seconda delle esigenze dell'organizzazione.
Dopo aver definito un criterio adatto per l'azienda, è possibile esaminare i risultati nel log attività man mano che vengono attivati gli eventi:
È possibile filtrare in base al criterio impostato per visualizzare i risultati del criterio. Se i risultati ottenuti nel log attività non sono soddisfacenti (ad esempio se vengono visualizzati molti risultati o niente), questo può essere utile per ottimizzare la query per renderla più pertinente a ciò che serve.
Scenario di avviso e governance
È possibile impostare avvisi e inviare messaggi di posta elettronica agli amministratori e ad altri utenti quando viene attivato un criterio attività. È possibile impostare azioni di governance automatizzate, ad esempio sospendere un utente o fare in modo che un utente accinga di nuovo in modo automatizzato. Questo esempio mostra come un account utente può essere sospeso quando viene attivato un criterio attività e determina che un utente ha eliminato due o più team in 30 minuti.
Usare Defender per il cloud Apps per impostare criteri di rilevamento anomalie
I criteri di rilevamento anomalie nelle app Defender per il cloud forniscono analisi ueba (User and Entity Behavioral Analytics) e machine learning (ML) predefinite, in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché sono abilitati automaticamente, i nuovi criteri di rilevamento anomalie forniscono risultati immediati fornendo rilevamenti immediati e prendendo di mira numerose anomalie comportamentali tra gli utenti e i computer e dispositivi connessi alla rete. Inoltre, i nuovi criteri espongono più dati dal motore di rilevamento delle app Defender per il cloud per velocizzare il processo di indagine e contenere minacce in corso.
Stiamo lavorando per integrare Teams eventi nei criteri di rilevamento anomalie. Per il momento, è possibile configurare criteri di rilevamento anomalie per altri prodotti Office e intervenire sugli utenti che corrispondono a tali criteri.