Share via

创建活动警报

  • 项目

可以创建活动警报,当用户在 Office 365 中执行特定活动时,该警报将向你发送电子邮件通知。 活动警报类似于在审核日志中搜索事件,不同之处在于,当已为其创建警报的活动的事件发生时,系统会向你发送电子邮件。

为什么使用活动警报而不是搜索审核日志? 特定用户可能执行某些类型的活动或活动,你非常想知道。 可以使用活动警报让 Microsoft 365 在用户执行这些活动时向你发送电子邮件,而无需记住在审核日志中搜索这些活动。 例如,可以创建活动警报以在用户删除 SharePoint 中的文件时通知你,或者可以创建一个警报,以便在用户从其邮箱中永久删除邮件时通知你。 发送给你的电子邮件通知包括有关执行了哪些活动以及执行该活动的用户的信息。

注意

活动警报正在弃用。 建议开始在Microsoft Purview 合规门户中使用警报策略,而不是创建新的活动警报。 警报策略提供其他功能,例如创建警报策略的功能,该策略可在任何用户执行指定活动时触发警报,并在Microsoft Purview 合规门户的“查看警报”页上显示警报。 有关详细信息,请参阅 警报策略

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

确认角色并配置审核日志记录

  • 必须在Microsoft Purview 合规门户中分配组织配置角色才能管理活动警报。 默认情况下,此角色分配给合规性管理员和组织管理角色组。 有关将成员添加到角色组的详细信息,请参阅 将用户或组添加到 Microsoft Purview 内置角色组

  • (或其他管理员) 必须先为组织启用审核日志记录,然后才能开始使用活动警报。 为此,只需单击“活动警报”页上的“开始记录用户和管理员活动”。 (如果未看到此链接,则表示已为组织启用审核。) 还可以在合规性门户的 “审核日志搜索 ”页上启用审核, (转到 “审核) ”。 只需为组织执行此操作一次。

  • 可以为可在审核日志中搜索的相同活动创建警报。 请参阅 “详细信息 ”部分,了解常见方案列表 (以及监视可为其创建警报) 的特定活动。

  • 可以使用合规性门户中“活动警报”页,仅针对组织通讯簿中列出的用户执行的活动创建警报。 不能使用此页为通讯簿中未列出的外部用户执行的活动创建警报。

创建活动警报

  1. 转到 合规性门户

  2. 使用工作或学校帐户进行登录。

  3. “活动警报 ”页上,单击“ 添加”图标。新建

    将显示用于创建活动警报的浮出控件页。

    创建活动警报。

  4. 填写以下字段以创建活动警报:

    1. 名称 - 键入警报的名称。 警报名称在组织中必须是唯一的。

    2. 说明 (可选) - 描述警报,例如要跟踪的活动和用户以及电子邮件通知发送到的用户。 说明提供了一种快速简便的方式,用于向其他管理员描述警报的用途。

    3. 警报类型 - 确保已选择 “自定义” 选项。

    4. 在以下时间发送此警报 : 单击“ 在何时发送此警报 ”,然后配置以下两个字段:

      • 活动 - 单击下拉列表以显示可为其创建警报的活动。 这是搜索审核日志时显示的相同活动列表。 可以选择一个或多个特定活动,也可以单击活动组名称以选择组中的所有活动。 有关这些活动的说明,请参阅 搜索审核日志中的“已审核活动”部分。 当用户执行已添加到警报的任何活动时,将发送电子邮件通知。

      • 用户 - 单击此框,然后选择一个或多个用户。 如果此框中的用户执行添加到“ 活动 ”框的活动,则会发送警报。 将 “用户 ”框留空,以在组织中任何用户执行警报指定的活动时发送警报。

    5. 将此警报发送到 - 单击“ 发送此警报”,然后在“ 收件人 ”框中单击,并键入一个名称以添加在“ 用户 ”框中指定的用户 (接收电子邮件通知的用户,) 执行“ 活动 ”框中指定的活动 () 。 请注意,默认情况下,系统会将你添加到收件人列表中。 可以从此列表中删除你的姓名。

  5. 单击“ 保存” 以创建警报。

    新警报显示在 “活动警报 ”页上的列表中。

    警报列表显示在“活动警报”页上。

    警报的状态设置为 “打开”。 请注意,还会列出在发送警报时收到电子邮件通知的收件人。

关闭活动警报

可以关闭活动警报,以便不发送电子邮件通知。 关闭活动警报后,它仍显示在组织的活动警报列表中,你仍然可以查看其属性。

  1. 转到 合规性门户

  2. 使用工作或学校帐户进行登录。

  3. 在组织的活动警报列表中,单击要关闭的警报。

  4. “编辑警报” 页上,单击“ 打开 ”开关将状态更改为 “关闭”,然后单击“ 保存”。

    “活动警报”页上的警报状态设置为“关闭”。

若要重新打开活动警报,只需重复这些步骤并单击“ 关闭 ”切换开关,将状态更改为“ ”。

更多信息

  • 下面是一个电子邮件通知示例,该电子邮件通知发送给用户在“将此警报发送到”字段 (并列在“活动警报”页上的“收件人”下,) 合规性门户中。

    为活动警报发送的电子邮件通知的示例。

  • 下面是可为其创建活动警报的一些常见文档和电子邮件活动。 这些表描述了活动、要为其创建警报的活动的名称,以及活动在“ 活动 ”下拉列表中列出的活动组的名称。 若要查看可为其创建活动警报的活动的完整列表,请参阅 搜索审核日志中的“已审核活动”部分。

    提示

    你可能只想为任何用户执行的一个活动创建活动警报。 或者,你可能想要创建一个活动警报,用于跟踪由一个或多个用户执行的多个活动。

    下表列出了 SharePoint 或 OneDrive for Business中的一些常见文档相关活动。

    用户执行此操作时... 为此活动创建警报 活动组
    查看网站上的文档。 已访问文件 文件和文件夹活动
    编辑或更改文档。 已修改文件 文件和文件夹活动
    与组织外部的用户共享文档。 共享文件、文件夹或网站
    And
    已创建共享邀请
    有关详细信息,请参阅在审核日志中使用共享审核    		 共享和访问请求活动
    上传或下载文档。 已上传文件
    And/或
    已下载的文件    		 文件和文件夹活动
    更改对网站的访问权限。 已修改网站权限 网站管理活动

    下表列出了Exchange Online中与电子邮件相关的一些常见活动。

    用户执行此操作时... 为此活动创建警报 活动组
    从邮箱中永久删除 (清除) 电子邮件。 从邮箱中清除的邮件 Exchange 邮箱活动
    从共享邮箱发送电子邮件。 已使用“发送方式”权限发送邮件
    And
    已使用“代表发送”权限发送邮件    		 Exchange 邮箱活动

  • 还可以使用 Security & Compliance PowerShell 中的 New-ActivityAlertSet-ActivityAlert cmdlet 来创建和编辑活动警报。 如果使用这些 cmdlet 创建或编辑活动警报,请记住以下事项:

    • 如果使用 cmdlet 向“ 活动 ”下拉列表中未列出的警报添加活动,则会在警报的属性页上显示一条消息,指出“此警报具有未在选取器中列出的自定义操作”。

    • 使用 cmdlet 创建或编辑活动警报的一个充分理由是将电子邮件通知发送给组织外部的人员。 此外部用户将列在警报的收件人列表中。 但是,如果从警报中删除此外部用户,则无法使用 “编辑 警报”页将该用户重新添加到警报中。 必须使用 Set-ActivityAlert cmdlet 重新添加外部用户,或使用 New-ActivityAlert cmdlet 将同一 (或其他) 外部用户添加到新警报。