Pesquisar o log de auditoria de eventos no Microsoft Teams

Importante

O centro de administração do Microsoft Teams está substituindo gradualmente o centro de administração do Skype for Business e estamos migrando as configurações do Teams do centro de administração do Microsoft 365 para ele. Se uma configuração tiver sido migrada, você receberá uma notificação e será direcionado para o local da configuração no centro de administração do Teams. Para saber mais, confira Gerenciar o Teams durante a transição para o centro de administração do Teams.

O log de auditoria pode ajudá-lo a investigar atividades específicas em Microsoft 365 serviços. Para Microsoft Teams, aqui estão algumas das atividades que são auditadas:

  • Criação de equipes
  • Exclusão de equipes
  • Canal adicionado
  • Canal excluído
  • Configuração de canal alterada

Para uma lista completa de Teams que são auditadas, consulte Teams atividades e Turnos em Teams atividades.

Observação

Eventos de auditoria de canais privados também são registrados como são para equipes e canais padrão.

Ativar a auditoria no Microsoft Teams

Antes de poder ver os dados de auditoria, você precisa ativar a auditoria pela primeira vez no Centro de conformidade do Microsoft 365. Para obter mais informações, consulte Ativar ou desativar a auditoria.

Importante

Os dados de auditoria só estão disponíveis a partir do ponto em que você afirmou a auditoria.

Recuperar dados do Microsoft Teams a partir do log de auditoria

  1. Para recuperar logs de auditoria para Teams atividades, vá para https://compliance.microsoft.com e selecione Audit.

  2. Na página Pesquisa, filtre as atividades, datas e usuários que você deseja auditar.

  3. Exporte os resultados para o Excel para analisá-los melhor.

Para obter instruções passo a passo, consulte Pesquisar o log de auditoria no centro de conformidade.

Importante

Os dados de auditoria só serão visíveis no log de auditoria se a auditoria estiver 1ada.

O período de tempo em que um registro de auditoria é mantido e pesquisável no log de auditoria depende de sua assinatura Microsoft 365 ou Office 365, e especificamente o tipo de licença atribuída aos usuários. Para saber mais, confira a descrição do serviço & Centro de Conformidade.

Dicas pesquisar o log de auditoria

Aqui estão dicas para pesquisar Teams atividades no log de auditoria.

Captura de tela da página de pesquisa de log de auditoria no centro de conformidade

  • Você pode selecionar atividades específicas para pesquisar clicando na caixa de seleção ao lado de uma ou mais atividades. Se uma atividade estiver selecionada, você poderá clicar nele para cancelar a seleção. Você também pode usar a caixa de pesquisa para exibir as atividades que contêm a palavra-chave que você digita.

    Captura de tela da listada de atividades na página de pesquisa de log de auditoria

  • Para exibir eventos para atividades executados usando cmdlets, selecione Mostrar resultados de todas as atividades na lista Atividades. Se você sabe o nome da operação para essas atividades, digite-a na caixa de pesquisa para exibir a atividade e selecione-a.

  • Para limpar os critérios de pesquisa atuais, clique em Limpar tudo. O intervalo de datas retorna ao padrão dos últimos sete dias.

  • Se 5.000 resultados são encontrados, você provavelmente pode supor que há mais de 5.000 eventos que atendidas aos critérios de pesquisa. Você pode refinar os critérios de pesquisa e reprisar a pesquisa para retornar menos resultados ou exportar todos os resultados da pesquisa selecionando Exportar > Baixar todos os resultados. Para obter instruções passo a passo para exportar logs de auditoria, consulte Exportar os resultados da pesquisa para um arquivo.

Confira este vídeo para usar a pesquisa de log de áudio. Participe de Ansuman Acharya, um gerente de programa para Teams, pois ele demonstra como fazer uma pesquisa de log de auditoria para Teams.

Teams atividades

Aqui está uma lista de todos os eventos que estão registrados para atividades de usuário e administrador no Teams no log de auditoria Microsoft 365 usuário. A tabela inclui o nome amigável exibido na coluna Atividades e o nome da operação correspondente que aparece nas informações detalhadas de um registro de auditoria e no arquivo CSV quando você exporta os resultados da pesquisa.

Nome amigável Operação Descrição
Bot adicionado à equipe BotAddedToTeam Um usuário adiciona um bot a uma equipe.
Canal adicionado ChannelAdded Um usuário adiciona um canal a uma equipe.
Conector adicionado ConnectorAdded Um usuário adiciona um conector a um canal.
Adicionados detalhes sobre Teams reunião 2 MeetingDetail Teams informações sobre uma reunião, incluindo a hora de início, a hora de término e a URL para ingressar na reunião.
Adicionadas informações sobre participantes da reunião 2 MeetingParticipantDetail Teams informações sobre os participantes de uma reunião, incluindo a ID do usuário de cada participante, a hora em que um participante ingressou na reunião e a hora em que um participante saiu da reunião.
Membros adicionados MemberAdded Um proprietário de equipe adiciona membros a uma equipe, canal ou chat de grupo.
Guia Adicionada TabAdded Um usuário adiciona uma guia a um canal.
Configuração de canal alterada ChannelSettingChanged A operação ChannelSettingChanged é registrada quando as atividades a seguir são executadas por um membro da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o nome de um canal de equipe (Nome do canal)
  • Altera a descrição de um canal de equipe (Descrição do canal)
Configuração da organização alterada TeamsTenantSettingChanged A operação TeamsTenantSettingChanged é registrada quando as seguintes atividades são executadas por um administrador global no Centro de administração do Microsoft 365. Essas atividades afetam as configurações de Teams de toda a organização. Para saber mais, consulte Manage Teams settings for your organization.
Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Habilita ou desabilita Teams para a organização (Microsoft Teams).
  • Habilita ou desabilita a interoperabilidade entre Microsoft Teams e Skype for Business para a organização (Skype for Business interoperabilidade).
  • Habilita ou desabilita o modo de exibição de gráfico organizacional Microsoft Teams clientes (modo de exibição de gráfico de organização).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões privadas (Agendamento de reuniões particulares).
  • Habilita ou desabilita a capacidade dos membros da equipe de agendar reuniões do canal (Agendamento de reunião do canal).
  • Habilita ou desabilita a chamada de vídeo Teams reuniões (Vídeo para Skype reuniões).
  • Habilita ou desabilita o compartilhamento de tela Microsoft Teams reuniões da organização ( Compartilhamento de tela para Skype reuniões).
  • Habilita ou desabilita a capacidade de adicionar imagens animadas (chamadas Giphys) Teams conversas (imagens animadas).
  • Altera a configuração de classificação de conteúdo para a organização (Classificação de conteúdo). A classificação de conteúdo restringe o tipo de imagem animada que pode ser exibida em conversas.
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens personalizáveis (chamadas de memes personalizados) da Internet a conversas de equipe (imagens personalizáveis da Internet).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar imagens editáveis (chamadas de adesivos) às conversas de equipe (imagens editáveis).
  • Habilita ou desabilita essa capacidade para os membros da equipe usarem bots em Microsoft Teams chats e canais (bots em toda a organização) .
  • Habilita bots específicos para Microsoft Teams. Isso não inclui o T-Bot, que é Teams bot de ajuda que está disponível quando os bots estão habilitados para a organização (bots individuais).
  • Habilita ou desabilita a capacidade dos membros da equipe de adicionar extensões ou guias (Extensões ou guias).
  • Habilita ou desabilita o side-loading de bots proprietários para Microsoft Teams (Carregamento lateral de Bots).
  • Habilita ou desabilita a capacidade de os usuários enviarem mensagens de email para um Microsoft Teams canal (email do canal).
Função alterada dos membros na equipe MemberRoleChanged Um proprietário de equipe altera a função de membros em uma equipe. Os valores a seguir indicam o tipo de função atribuído ao usuário.

1 - Indica a função Membro.
2 - Indica a função Proprietário.
3 - Indica a função Convidado.

A propriedade Members também inclui o nome da sua organização e o endereço de email do membro.
Configuração de equipe alterada TeamSettingChanged A operação TeamSettingChanged é registrada quando as seguintes atividades são executadas por um proprietário da equipe. Para cada uma dessas atividades, uma descrição da configuração que foi alterada (mostrada entre parênteses) é exibida na coluna Item nos resultados da pesquisa de log de auditoria.
  • Altera o tipo de acesso de uma equipe. Teams pode ser definido como privado ou público (Tipo de acesso de equipe). Quando uma equipe é privada (a configuração padrão), os usuários podem acessar a equipe somente por convite. Quando uma equipe é pública, ela é descoberta por qualquer pessoa.
  • Altera a classificação de informações de uma equipe (Classificação de equipe). Por exemplo, os dados de equipe podem ser classificados como alto impacto comercial, médio impacto comercial ou baixo impacto comercial.
  • Altera o nome de uma equipe (Nome da equipe).
  • Altera a descrição da equipe (Descrição da equipe).
  • Alterações feitas nas configurações de equipe. Para acessar essas configurações, um proprietário da equipe pode clicar com o botão direito do mouse em uma equipe, selecione Gerenciar equipe e clique na guia Configurações. Para essas atividades, o nome da configuração que foi alterada é exibido na coluna Item nos resultados da pesquisa de log de auditoria.
Criado um chat 1, 2 ChatCreated Um Teams chat foi criado.
Equipe criada TeamCreated Um usuário cria uma equipe.
Excluiu uma mensagem MessageDeleted Uma mensagem em um chat ou canal foi excluída.
Excluído todos os aplicativos da organização DeletedAllOrganizationApps Excluiu todos os aplicativos da organização do catálogo.
Aplicativo excluído AppDeletedFromCatalog Um aplicativo foi excluído do catálogo.
Canal excluído ChannelDeleted Um usuário exclui um canal de uma equipe.
Equipe excluída TeamDeleted Um proprietário de equipe exclui uma equipe.
Editei uma mensagem com um link de URL no Teams MessageEditedHasLink Um usuário edita uma mensagem e adiciona um link de URL a ela Teams.
Mensagens exportadas 1, 2 MessagesExported Mensagens de chat ou canal foram exportadas.
Chat buscado 1, 2 ChatRetrieved Um Microsoft Teams chat foi recuperado.
Buscar todo o conteúdo hospedado de uma mensagem1, 2 MessageHostedContentsListed Todo o conteúdo hospedado em uma mensagem, como imagens ou trechos de código, foi recuperado.
Aplicativo instalado AppInstalled Um aplicativo foi instalado.
Ação executada no cartão PerformedCardAction Um usuário entrou em ação em um cartão adaptável dentro de um chat. Cartões adaptáveis geralmente são usados por bots para permitir a exibição rica de informações e interação em chats.

Observação: Somente ações de entrada em linha em um cartão adaptável dentro de um chat estarão disponíveis no log de auditoria. Por exemplo, quando um usuário envia uma resposta de sondagem em uma conversa de canal em um cartão adaptável gerado por um bot de Sondagem. Ações do usuário como "Exibir resultado", que abrirão uma caixa de diálogo ou ações do usuário dentro das caixas de diálogo não estarão disponíveis no log de auditoria.
Postou uma nova mensagem 1, 2 MessageSent Uma nova mensagem foi postada em um chat ou canal.
Aplicativo publicado AppPublishedToCatalog Um aplicativo foi adicionado ao catálogo.
Ler uma mensagem 1, 2 MessageRead Uma mensagem de um chat ou canal foi recuperada.
Ler conteúdo hospedado de uma mensagem 1, 2 MessageHostedContentRead O conteúdo hospedado em uma mensagem, como uma imagem ou um trecho de código, foi recuperado.
Bot removido da equipe BotRemovedFromTeam Um usuário remove um bot de uma equipe.
Conector removido ConnectorRemoved Um usuário remove um conector de um canal.
Membros removidos MemberRemoved Um proprietário da equipe remove membros de uma equipe, canal ou chat de grupo.
Guia Removida TabRemoved Um usuário remove uma guia de um canal.
Mensagens recuperadas 1, 2 MessagesListed As mensagens de um chat ou canal foram recuperadas.
Enviou uma mensagem com um link de URL no Teams MessageCreatedHasLink Um usuário envia uma mensagem contendo um link de URL Teams.
Notificação de alteração enviada para criação de mensagens 1, 2 MessageCreatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma nova mensagem.
Notificação de alteração enviada para exclusão de mensagem 1, 2 MessageDeletedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem excluída.
Notificação de alteração enviada para a atualização de mensagem 1, 2 MessageUpdatedNotification Uma notificação de alteração foi enviada para notificar um aplicativo ouvinte inscrito de uma mensagem atualizada.
Inscrito nas notificações de alteração de mensagem 1, 2 SubscribedToMessages Uma assinatura foi criada por um aplicativo ouvinte para receber notificações de alteração para mensagens.
Aplicativo desinstalado AppUninstalled Um aplicativo foi desinstalado.
Aplicativo atualizado AppUpdatedInCatalog Um aplicativo foi atualizado no catálogo.
Atualizado um chat 1, 2 ChatUpdated Um Teams chat foi atualizado.
Atualizado uma mensagem 1, 2 MessageUpdated Uma mensagem de um chat ou canal foi atualizada.
Conector atualizado ConnectorUpdated Um usuário modificou um conector em um canal.
Guia Atualizado TabUpdated Um usuário modificou uma guia em um canal.
Aplicativo atualizado AppUpgraded Um aplicativo foi atualizado para sua versão mais recente no catálogo.
O usuário se inscreveu no Teams TeamsSessionStarted Um usuário se insinte em um Microsoft Teams cliente. Esse evento não captura atividades de atualização de token.

Observação

1 Um registro de auditoria para esse evento só é registrado quando a operação é executada chamando uma API Graph Microsoft. Se a operação for executada no cliente Teams, um registro de auditoria não será registrado

2 Esse evento só está disponível na Auditoria Avançada. Isso significa que os usuários devem ter a licença apropriada antes que esses eventos sejam registrados no log de auditoria. Para obter mais informações sobre atividades disponíveis apenas na Auditoria Avançada, consulte Auditoria Avançada em Microsoft 365. Para requisitos avançados de licenciamento de auditoria, consulte Soluções de auditoria em Microsoft 365.

Mudanças nas Teams atividades

(em visualização)

Se sua organização estiver usando o aplicativo Shifts no Teams, você poderá pesquisar no log de auditoria atividades relacionadas ao aplicativo Shifts. Aqui está uma lista de todos os eventos que estão registrados para atividades shifts no Teams no log de auditoria Microsoft 365.

Nome amigável Operação Descrição
Grupo de agendamento adicionado ScheduleGroupAdded Um usuário adiciona com êxito um novo grupo de agendamento à agenda.
Grupo de agendamento editado ScheduleGroupEdited Um usuário edita com êxito um grupo de agendamento.
Grupo de agendamento excluído ScheduleGroupDeleted Um usuário exclui com êxito um grupo de agendamento da agenda.
Agenda de retirada ScheduleWithdrawn Um usuário retira com êxito uma agenda publicada.
Turno adicionado ShiftAdded Um usuário adiciona com êxito uma mudança.
Turno editado ShiftEdited Um usuário edita com êxito um turno.
Turno excluído ShiftDeleted Um usuário exclui com êxito um turno.
Tempo de folga adicionado TimeOffAdded Um usuário adiciona folga com êxito na agenda.
Tempo de folga editado TimeOffEdited Um usuário edita com êxito o tempo de folga.
Tempo de folga excluído TimeOffDeleted Um usuário exclui com êxito o tempo de folga.
Adicionado turno aberto OpenShiftAdded Um usuário adiciona com êxito um turno aberto a um grupo de agendamento.
Turno aberto editado OpenShiftEdited Um usuário edita com êxito um turno aberto em um grupo de agendamento.
Turno aberto excluído OpenShiftDeleted Um usuário exclui com êxito um turno aberto de um grupo de agendamento.
Agenda compartilhada ScheduleShared Um usuário compartilhou com êxito uma agenda de equipe para um intervalo de datas.
Clocked in using Time clock ClockedIn Um usuário marca com êxito no uso do relógio time.
Clocked out using Time clock ClockedOut Um usuário faz o clock out com êxito usando o relógio time.
Começou a quebrar usando o relógio de hora BreakStarted Um usuário inicia com êxito uma pausa durante uma sessão de relógio de hora ativa.
Terminou a pausa usando o relógio de hora BreakEnded Um usuário termina com êxito uma pausa durante uma sessão de relógio de hora ativa.
Entrada de relógio de hora adicionada TimeClockEntryAdded Um usuário adiciona com êxito uma nova entrada manual do relógio time na Folha de Tempo.
Entrada do relógio de hora editada TimeClockEntryEdited Um usuário edita com êxito uma entrada de relógio de hora na Folha de Tempo.
Entrada de relógio de hora excluída TimeClockEntryDeleted Um usuário exclui com êxito uma entrada de relógio de hora na Folha de Tempo.
Solicitação de turno adicionada RequestAdded Um usuário adicionou uma solicitação de turno.
Resposta à solicitação de turno RequestRespondedTo Um usuário respondeu a uma solicitação de turno.
Solicitação de turno cancelada RequestCancelled Um usuário cancelou uma solicitação de turno.
Configuração de agenda alterada ScheduleSettingChanged Um usuário altera uma configuração nas configurações shifts.
Integração de força de trabalho adicionada WorkforceIntegrationAdded O aplicativo Shifts é integrado a um sistema de terceiros.
Mensagem de deslocamento aceita OffShiftDialogAccepted Um usuário reconhece a mensagem de folga para acessar Teams horário de turno.

Office 365 API de Atividade de Gerenciamento

Você pode usar a API Office 365 Atividade de Gerenciamento para recuperar informações sobre Teams eventos. Para saber mais sobre o esquema da API de Atividade de Gerenciamento para Teams, consulte Teams esquema.

Atribuição em Teams logs de auditoria

Alterações de associação Teams (como usuários adicionados ou excluídos) feitas por meio do Azure Active Directory (Azure AD), portal de administração do Microsoft 365 ou API Microsoft 365 Grupos Graph serão exibidas no Teams mensagens de auditoria e no canal Geral com uma atribuição a um proprietário existente da equipe, e não ao iniciador real da ação. Nesses cenários, consulte o Azure AD ou Microsoft 365 de auditoria de grupo para ver as informações relevantes.

Usar Cloud App Security para definir políticas de atividade

Usando Microsoft Cloud App Security integração, você pode definir políticas de atividade para impor uma ampla variedade de processos automatizados usando as APIs do provedor de aplicativos. Essas políticas permitem monitorar atividades específicas realizadas por vários usuários ou seguir taxas inesperadamente altas de um determinado tipo de atividade.

Depois de definir uma política de detecção de atividade, ela começa a gerar alertas. Os alertas só são gerados em atividades que ocorrem após a criação da política. Aqui estão alguns cenários de exemplo de como você pode usar as políticas de atividade no Cloud App Security para monitorar Teams atividades.

Cenário de usuário externo

Um cenário em que você pode querer ficar de olho, de uma perspectiva de negócios, é a adição de usuários externos ao seu ambiente Teams ambiente. Se os usuários externos estão habilitados, monitorar sua presença é uma boa ideia. Você pode usar Cloud App Security para identificar possíveis ameaças.

Política para monitorar a adição de usuários externos.

A captura de tela dessa política para monitorar a adição de usuários externos permite nomear a política, definir a gravidade de acordo com suas necessidades de negócios, defini-la como (nesse caso) uma única atividade e, em seguida, estabelecer os parâmetros que monitorarão especificamente apenas a adição de usuários não internos e limitar essa atividade a Teams.

Os resultados dessa política podem ser exibidos no log de atividades:

Eventos disparados pela política de usuários externos.

Aqui você pode revisar as combinações com a política definida e fazer quaisquer ajustes conforme necessário ou exportar os resultados a ser usado em outro lugar.

Cenário de exclusão em massa

Como mencionado anteriormente, você pode monitorar cenários de exclusão. É possível criar uma política que monitore a exclusão em massa de Teams sites. Neste exemplo, uma política baseada em alerta é configurada para detectar a exclusão em massa das equipes em um intervalo de 30 minutos.

Política mostrando a configuração de uma política para detecção de exclusão de equipe em massa.

Como mostra a captura de tela, você pode definir muitos parâmetros diferentes para essa política para monitorar as exclusões de Teams, incluindo gravidade, ação única ou repetida e parâmetros que limitam isso a Teams e exclusão de site. Isso pode ser feito independentemente de um modelo ou você pode ter um modelo criado para basear essa política, dependendo das suas necessidades organizacionais.

Depois de estabelecer uma política que funcione para sua empresa, você poderá revisar os resultados no log de atividades à medida que os eventos são disparados:

Eventos de captura de tela disparados por exclusões em massa.

Você pode filtrar até a política definida para ver os resultados dessa política. Se os resultados que você está recebendo no log de atividades não são satisfatórios (talvez você esteja vendo muitos resultados ou nada), isso pode ajudá-lo a ajustar a consulta para torná-la mais relevante para o que você precisa fazer.

Cenário de alerta e governança

Você pode definir alertas e enviar emails para administradores e outros usuários quando uma política de atividade é disparada. Você pode definir ações de governança automatizadas, como suspender um usuário ou fazer com que um usuário entre novamente de forma automatizada. Este exemplo mostra como uma conta de usuário pode ser suspensa quando uma política de atividade é disparada e determina que um usuário excluiu duas ou mais equipes em 30 minutos.

Captura de tela de alertas e ações de governança para uma política de atividade.

Usar Cloud App Security para definir políticas de detecção de anomalias

As políticas de detecção de anomalias no Cloud App Security fornecem a UEBA (análise comportamental de usuário e entidade) pronta para uso e entidade (ML) para que você possa executar imediatamente a detecção avançada de ameaças em seu ambiente de nuvem. Como elas são habilitadas automaticamente, as novas políticas de detecção de anomalias fornecem resultados imediatos, fornecendo detecções imediatas, direcionando várias anomalias comportamentais em seus usuários e nos dispositivos e máquinas e dispositivos conectados à sua rede. Além disso, as novas políticas expõem mais dados do mecanismo de detecção Cloud App Security, para ajudá-lo a acelerar o processo de investigação e a conter ameaças em andamento.

Estamos trabalhando para integrar Teams eventos em políticas de detecção de anomalias. Por enquanto, você pode configurar políticas de detecção de anomalias para outros produtos Office e tomar itens de ação em usuários que corresponderem a essas políticas.