Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Tabellen in diesem Artikel beschreiben die Aktivitäten, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Sie können nach diesen Aktivitäten suchen, indem Sie das Überwachungsprotokoll im Microsoft Purview-Portal durchsuchen.
In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird (oder die in PowerShell verfügbar sind) und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Beschreibungen der detaillierten Informationen finden Sie unter Detaillierte Eigenschaften des Überwachungsprotokolls.
Tipp
Wählen Sie einen der Links in der Liste In diesem Artikel oben in diesem Artikel aus, um direkt zu einer bestimmten Produkttabelle zu gelangen.
Anwendungsverwaltungsaktivitäten
In der folgenden Tabelle sind Anwendungsadministratoraktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator eine Anwendung hinzufügt oder ändert, die in Microsoft Entra ID registriert ist. Sie müssen jede Anwendung registrieren, die auf Microsoft Entra-ID für die Authentifizierung im Verzeichnis angewiesen ist.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Anmeldeinformationen für einen Dienstprinzipal hinzugefügt | Dienstprinzipal-Anmeldeinformationen hinzufügen. | Anmeldeinformationen wurden einem Dienstprinzipal in Microsoft Entra ID hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
| Delegierungseintrag hinzugefügt | Delegierungseintrag hinzufügen. | Eine Authentifizierungsberechtigung wurde erstellt oder einer Anwendung in Microsoft Entra ID erteilt. |
| Dienstprinzipal hinzugefügt | Dienstprinzipal hinzufügen. | Eine Anwendung wurde in Microsoft Entra ID registriert. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
| Dienstprinzipal aus dem Verzeichnis entfernt | Dienstprinzipal entfernen. | Eine Anwendung wurde aus Microsoft Entra-ID gelöscht oder die Registrierung aufgehoben. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
| Anmeldeinformationen aus einem Dienstprinzipal entfernt | Dienstprinzipal-Anmeldeinformationen entfernen. | Anmeldeinformationen wurden aus einem Dienstprinzipal in Microsoft Entra ID entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar. |
| Delegierungseintrag entfernt | Delegierungseintrag entfernen. | Eine Authentifizierungsberechtigung wurde aus einer Anwendung in Microsoft Entra ID entfernt. |
| Delegierungseintrag festgelegt | Delegierungseintrag festlegen. | Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID aktualisiert. |
Briefing-E-Mail-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Briefing-E-Mail aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Briefing-E-Mail finden Sie unter:
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Aktualisierte Datenschutzeinstellungen der Organisation | UpdatedOrganizationBriefingSettings | Administrator aktualisiert die Datenschutzeinstellungen der Organisation für Briefing-E-Mail. |
| Aktualisierte Datenschutzeinstellungen der Benutzer | UpdatedUserBriefingSettings | Administrator aktualisiert die Datenschutzeinstellungen der Benutzer für Briefing-E-Mail. |
Kommunikationscomplianceaktivitäten
In der folgenden Tabelle sind Kommunikationscomplianceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview Communication Compliance.
Hinweis
Diese Aktivitäten werden angezeigt, wenn Sie das PowerShell-Cmdlet Search-UnifiedAuditLog verwenden. Diese Aktivitäten werden in der Dropdownliste Aktivitäten nicht angezeigt.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Richtlinienübereinstimmung | SupervisionRuleMatch | Ein Benutzer hat eine Nachricht gesendet, die der Bedingung einer Richtlinie entspricht. |
| Richtlinienupdate | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | Ein Kommunikationscomplianceadministrator hat eine Richtlinienaktualisierung durchgeführt. |
| Auf Nachrichten angewendetes Tag | SupervisoryReviewTag | Tags werden auf Nachrichten angewendet, oder Nachrichten werden aufgelöst. |
Compliance-Manager-Aktivitäten
In der folgenden Tabelle sind die Vorgänge und Aktivitäten aufgeführt, die im Überwachungsprotokoll aufgezeichnet werden, wenn ein Administrator Einstellungen im Compliance-Manager verwaltet. Weitere Informationen finden Sie unter Informationen zum Compliance-Manager.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Rollenänderung | ComplianceManagerRolesChange | Ein Administrator hat die Rollen für Benutzer geändert. |
| Änderung der Mandantenautomatisierungsebene | ComplianceManagerAutomationLevelChange | Ein Administrator hat die Automatisierungsebene für die organization für alle Aktionen geändert. |
| Testen der Änderung der Quellautomatisierung | ComplianceManagerAutomationChange | Ein Administrator hat die Einstellungen für die Automatisierung der Testquellen geändert. |
Inhaltsexplorer-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten im Inhalts-Explorer aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Sie greifen im Microsoft Purview-Portal über das Datenklassifizierungstool auf den Inhalts-Explorer zu. Weitere Informationen finden Sie unter Verwenden des Daten Inhaltsexplorers zur Datenklassifizierung.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Element, auf das zugegriffen wird | LabelContentExplorerAccessedItem | Ein Administrator (oder ein Benutzer, der Mitglied der Rollengruppe "Inhaltsexplorer-Content Viewer" ist) verwendet den Inhaltsexplorer, um eine E-Mail-Nachricht oder ein SharePoint/OneDrive-Dokument anzuzeigen. |
Aktivitäten zur Datensicherheit (Vorschau)
Untersuchungen zur Datensicherheit (Vorschau) bietet leistungsstarke Untersuchungstools, die möglicherweise die Möglichkeit erfordern, Aktivitäten zu überwachen, um eine sichere und genehmigte Verwendung der Lösung sicherzustellen. Um diese Anforderungen zu erfüllen, zeichnet das einheitliche Überwachungsprotokoll Untersuchungen zur Datensicherheit Aktivitäten (Vorschau) auf.
In der folgenden Tabelle sind Untersuchungen zur Datensicherheit Aktivitäten (Vorschau) aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview Untersuchungen zur Datensicherheit (Vorschau).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| DSI-Beispielansicht abgebrochen | DSISampleViewCancelled | Ein Benutzer hat eine Beispielansicht abgebrochen. |
| DSI-Statistikansicht abgebrochen | DSIStatisticsViewCancelled | Ein Benutzer hat einen Statistikauftrag abgebrochen. |
| DSI-Untersuchung erstellt | CreatedDSIInvestigation | Ein Benutzer hat eine Untersuchung erstellt. |
| DSI-Untersuchung gelöscht | DeletedDSIInvestigation | Ein Benutzer hat eine Untersuchung gelöscht. |
| DSI KI-Feedback bereitgestellt | DSIAIFeedbackProvided | Ein Benutzer hat KI-Feedback bereitgestellt. |
| DSI-Untersuchungsliste angezeigt | DSIInvestigationListViewed | Ein Benutzer hat die Liste der Untersuchungen angezeigt. |
| DSI-Suche hinzugefügt | DSIPurviewSearchAdded | Ein Benutzer hat eine Suche hinzugefügt. |
| DSI-Suche aktualisiert | DSIPurviewSearchUpdated | Ein Benutzer hat eine Suche aktualisiert. |
| DSIProbeJobResutsViewed | DSIProbeJobResultsViewed | Ein Benutzer hat die Untersuchungsergebnisse angezeigt. |
| Abrufen der DSI-Untersuchung | GetDSIInvestigation | Ein Benutzer hat eine Untersuchung angezeigt. |
| Abrufen der DSI-Suche | GetSearchDSIInvestigation | Ein Benutzer hat eine Suche angezeigt. |
| Untersuchung aus Defender XDR | DSIInvestigationCreatedFromXDR | Ein Benutzer hat eine Untersuchung aus Defender XDR erstellt. |
| Untersuchung, die über Purview IRM erstellt wurde | DSIInvestigationCreatedFromIRM | Ein Benutzer hat eine Untersuchung aus Microsoft Purview Insider Risk Management erstellt. |
| Zur Entschärfung hinzugefügtes Element | DSIItemAddedToMitigation | Ein Benutzer hat dem Risikominderungsplan einer Untersuchung ein Element hinzugefügt. |
| Liste des Risikominderungsplans angezeigt | DSIMitigationPlanListVIewed | Ein Benutzer hat die Liste des Risikominderungsplans angezeigt. |
| Gestarteter Kategorisierungsauftrag | DSIInvestigationCategorizationJobSubmitted | Ein Benutzer hat einen Kategorisierungsauftrag gestartet. |
| Testauftrag gestartet | DSIProbeJobSubmitted | Ein Benutzer hat einen Prüfungsauftrag gestartet. |
| Vektorisierungsauftrag gestartet | DSIinvestigationVectorizationJobSubmitted | Ein Benutzer hat einen Vektorisierungsauftrag angegeben. |
| Übermittelte DSI-Suche zum Beweissatzauftrag hinzufügen | DSIPurviewSearchAddToEvidenceSetJobSubmitted | Ein Benutzer hat einem Untersuchungsbereich durchsuchte Daten hinzugefügt. |
| Übermittelter DSI-Suchbeispielauftrag | DSIPurviewSearchSampleJobSubmitted | Ein Benutzer hat einen Beispielauftrag gestartet. |
| Übermittelter DSI-Suchstatistikauftrag | DSIPurviewSearchStatisticsJobSubmitted | Ein Benutzer hat einen Statistikauftrag gestartet. |
| DSI-Untersuchung aktualisiert | AktualisiertDSIInvestigation | Ein Benutzer hat eine Untersuchung aktualisiert. |
| Aktualisierte DSI-Untersuchungsmitglieder | DSIInvestigationMembersUpdated | Ein Benutzer hat die Mitglieder einer Untersuchung aktualisiert. |
| Aktualisierte status für das Element aus dem Entschärfungsplan | DSIMitigationItemStatusUpdated | Ein Benutzer hat die status eines Elements im Risikominderungsplan einer Untersuchung aktualisiert. |
| Hochgeladene Datei für die DSI-Suche | DSIPurviewSearchUploadFile | Ein Benutzer hat eine Datei zur Suche hochgeladen. |
| Vektorsuche gestartet | DSIVectorSearchStarted | Ein Benutzer hat eine Vektorsuche ausgeführt. |
| Anzeigen von Datenverarbeitungsfehlern für einen DSI-Beweissatz | DSIInvestigationSettingsUpdated | Ein Benutzer hat die Untersuchungseinstellungen aktualisiert. |
| Anzeigen der DSI-Standarduntersuchungseinstellungen | DSIInvestigationSettingsDefaultViewed | Ein Benutzer hat die Untersuchungseinstellungen angezeigt. |
| Angezeigtes DSI-Beweissatzdokument | DSIEvidenceSetDocumentViewed | Ein Benutzer hat ein Dokument in einer Untersuchung angezeigt. |
| Angezeigte DSI-Untersuchungseinstellungen | DSIInvestigationSettingsViewed | Ein Benutzer hat die Untersuchungseinstellungen angezeigt. |
| Angezeigte DSI-Beispielergebnisse | DSISampleResultsViewed | Ein Benutzer hat die Beispielergebnisse angezeigt. |
| Angezeigte DSI-Beispiel-status | DSISampleStatusViewed | Ein Benutzer hat die status eines Beispielauftrags angezeigt. |
| Angezeigte DSI-Statistikergebnisse | DSIStatisticsResultsViewed | Ein Benutzer hat Suchstatistiken angezeigt. |
| Angezeigtes Element aus dem Entschärfungsplan | DSIItemViewedFromMitigation | Ein Benutzer hat ein Element aus dem Entschärfungsplan einer Untersuchung angezeigt. |
Verzeichnisverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Verzeichnis- und domänenbezogene Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator seine organization im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Partner zum Verzeichnis hinzugefügt | Partner zu Unternehmen hinzufügen. | Es wurde ein Partner (delegierter Administrator) zu Ihrer Organisation hinzugefügt. |
| Domäne zu Unternehmen hinzugefügt | Domäne zu Unternehmen hinzufügen. | Es wurde eine Domäne zu Ihrer Organisation hinzugefügt. |
| Partner aus dem Verzeichnis entfernt | Partner aus Unternehmen entfernen. | Es wurde ein Partner (delegierter Administrator) aus Ihrer Organisation entfernt. |
| Domäne aus Unternehmen entfernt | Domäne aus Unternehmen entfernen. | Es wurde eine Domäne aus Ihrer Organisation entfernt. |
| Unternehmensinformationen festgelegen | Unternehmensinformationen festgelegen. | Die Unternehmensinformationen für Ihre Organisation wurden aktualisiert. Enthält E-Mail-Adressen für abonnementbezogene E-Mails, die von Microsoft 365 gesendet werden, und technische Benachrichtigungen zu Microsoft 365-Diensten. |
| Domänenauthentifizierung festgelegt | Domänenauthentifizierung festlegen. | Die Einstellung der Domänenauthentifizierung für Ihre Organisation wurde geändert. |
| Kennwortrichtlinie festlegen | Kennwortrichtlinie festlegen. | Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Organisation wurden geändert. |
| Azure AD Sync aktiviert | DirSyncEnabled-Flag festlegen. | Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierungsdienste aktiviert, wurde festgelegt. |
| Domäne aktualisiert | Domäne aktualisieren. | Die Einstellungen einer Domäne in Ihrer Organisation wurden aktualisiert. |
| Verbundeinstellungen für eine Domäne aktualisiert | Verbundeinstellungen für Domäne festlegen. | Die Verbundeinstellungen (externe Freigabe) für Ihre Organisation wurden geändert. |
| Domäne überprüft | Domäne überprüfen. | Überprüft, ob Ihr organization besitzer einer Domäne war. |
| Domäne mit E-Mail-Prüfung überprüft | Domäne mit E-Mail-Prüfung überprüfen. | Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist. |
Löschungsprüfungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten aufgeführt, die ein Löschungsprüfer ausgeführt hat , wenn ein Element das Ende seines konfigurierten Aufbewahrungszeitraums erreicht hat oder ein Element automatisch in die nächste Löschungsphase verschoben oder aufgrund der automatischen Genehmigung endgültig gelöscht wurde.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Prüfer hinzugefügt | AddReviewer | Ein Löschungsprüfer hat einen oder mehrere andere Benutzer zur aktuellen Löschungsprüfungsphase hinzugefügt. |
| Genehmigte Entsorgung | ApproveDisposal | Zur manuellen Genehmigung: Ein Dispositionsprüfer hat die Löschung des Elements genehmigt, um es in die nächste Löschungsphase zu verschieben. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element durch die Löschungsgenehmigung als für die endgültige Löschung berechtigt markiert. Für die automatische Genehmigung: Innerhalb des konfigurierten Zeitraums für die automatische Genehmigung wurde keine manuelle Aktion ausgeführt, sodass das Element automatisch in die nächste Löschungsphase verschoben wurde. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element automatisch zum endgültigen Löschen berechtigt. |
| Verlängerter Aufbewahrungszeitraum | ExtendRetention | Ein Löschungsprüfer hat den Aufbewahrungszeitraum des Elements verlängert. |
| Neu bezeichnetes Element | RelabelItem | Ein Löschungsprüfer hat die Aufbewahrungsbezeichnung neu bezeichnet. |
eDiscovery-Aktivitäten
Das Überwachungsprotokoll zeichnet eDiscovery-Aktivitäten auf, die Sie im Microsoft Purview-Portal ausführen. Es protokolliert Ereignisse, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben im Microsoft Purview-Portal ausführen:
- Erstellen und Verwalten von eDiscovery-Fällen.
- Erstellen und Bearbeiten von Suchvorgängen in eDiscovery-Fällen.
- Ausführen von Suchaktionen, z. B. Generieren von Statistiken, Beispielen und Exportieren aus der Suche
- Das Erstellen, Bearbeiten und Entfernen von eDiscovery-Fällen.
- Erstellen von Überprüfungssätzen und Ausführen von Überprüfungsaktivitäten in eDiscovery-Fällen.
Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Suchen und Anzeigen von eDiscovery-Aktivitäten
Das Überwachungsprotokoll zeichnet eDiscovery-Aktivitäten auf, die Sie im Microsoft Purview-Portal oder in PowerShell ausführen. Informationen zum Suchen nach eDiscovery-Aktivitäten finden Sie unter Suchen nach eDiscovery-Aktivitäten im Überwachungsprotokoll.
eDiscovery-Aktivitäten
In der folgenden Tabelle werden die eDiscovery-Aktivitäten beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Microsoft Purview-Portal ausführt. Einige Aktivitäten, die in der klassischen eDiscovery-Benutzeroberfläche ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie nach Aktivitäten in dieser Liste suchen.
Hinweis
Wir haben das Feld client-IP für alle Aktivitäten implementiert, die in der neuen eDiscovery-Benutzeroberfläche ausgeführt werden. Um aktivitäten, die in der neuen Benutzeroberfläche ausgeführt werden, von denen in der klassischen Benutzeroberfläche zu unterscheiden, überprüfen Sie, ob das Feld client-IP im Überwachungseintrag vorhanden ist. (In der folgenden Abbildung ist der erste Eintrag der eDiscovery-Fall, der in der neuen modernen ux gelöscht wurde, und die anderen beiden Einträge ohne IP-Adressen sind klassische ux).)
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Favorit hinzugefügt | FavoriteSet | Der Benutzer legt einen Fall auf "Favorit" fest. |
| Purview-Suche hinzugefügt | PurviewSearchAdded | Eine neue Suche wurde erstellt. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID und den Suchnamen, die erstellt wurden. |
| Überprüfungssatz hinzugefügt | ReviewSetAdded | Der Benutzer hat einen Prüfdateisatz erstellt. |
| Gespeicherte Suche für einen Überprüfungssatz hinzugefügt | ReviewSetSavedSearchAdded | Der Benutzer hat gespeicherte Filter in einem Überprüfungssatz erstellt. Die Überwachungsaktivität umfasst den Namen des Prüfsatzes, den Namen der gespeicherten Filter und die verwendete Abfrage. |
| Tagvorlage hinzugefügt | TagTemplateAdded | Vom Benutzer erstellte Tagvorlage in den eDiscovery-Einstellungen. |
| Beispielansicht abgebrochen | SampleViewCancelled | Der Benutzer hat die Beispielansicht abgebrochen. Die Überwachungsaktivität umfasst den Namen, die ID, die Abfrage und die zugehörigen Einstellungen der abgebrochenen Suche. |
| Statistikansicht abgebrochen | StatisticsViewCancelled | Der Benutzer hat die Statistikansicht abgebrochen. Die Überwachungsaktivität umfasst den Namen, die ID, die Abfrage und die zugehörigen Einstellungen der abgebrochenen Suche. |
| eDiscovery-Fall geändert | CaseUpdated | Ein eDiscovery-Fall wurde aktualisiert. |
| Geänderter Halteraum im eDiscovery-Fall | HoldUpdated | "Hold" wurde geändert oder bearbeitet. Diese Überwachungsaktivität umfasst den Aufbewahrungsnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die geändert wurden. |
| Geschlossener eDiscovery-Fall | CaseClosed | Ein eDiscovery-Fall wurde geschlossen. |
| Kopierter Überprüfungssatz | ReviewSetCopied | Der Benutzer löst den Prozess "Zu einem anderen Überprüfungssatz hinzufügen" aus. |
| eDiscovery-Fall erstellt | CaseAdded | Ein neuer eDiscovery-Fall wurde hinzugefügt. |
| Erstellter Halteraum im eDiscovery-Fall | HoldCreated | Ein neuer Halteraum wurde erstellt. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID und den Aufbewahrungsnamen, die erstellt wurden. |
| eDiscovery-Fall gelöscht | CaseRemoved | Ein eDiscovery-Fall wurde gelöscht. Sie müssen alle dem Fall zugeordneten Haltevorgänge entfernen, bevor Sie den Fall löschen können. |
| Gelöschte Datei für die Purview-Suche | PurviewSearchDeleteFile | Der Benutzer hat eine Datei aus einer Suche gelöscht. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID, den Suchnamen, die Such-ID und die ID der Datei, die der Benutzer gelöscht hat. |
| Gelöschter Halteraum im eDiscovery-Fall | HoldRemoved | Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. |
| Purview-Suche gelöscht | PurviewSearchDeleted | Eine Suche wurde gelöscht. Diese Aktivität umfasst den Namen der gelöschten Groß-/Kleinschreibung, die Fall-ID und den Suchnamen. |
| Exportauftrag für die Purview-Suche gelöscht | PurviewSearchExportJobDeleted | Ein Export aus der Suche wurde gelöscht. Diese Aktivität umfasst den Namen des gelöschten Exports, die Fallinformationen, in denen der Export enthalten ist, den Benutzer und den Löschzeitstempel. |
| Entfernter Favorit | FavoriteRemoved | Der Benutzer hat einen Fall aus den Favoriten entfernt. |
| Gespeicherte Suche für einen Überprüfungssatz entfernt | ReviewSetSavedSearchRemoved | Der Benutzer hat gespeicherte Filter in einem Überprüfungssatz gelöscht. |
| Tagvorlage entfernt | TagTemplateRemoved | Der Benutzer hat eine Tagvorlage in den eDiscovery-Einstellungen entfernt. Die Überwachungsaktivität enthält den Namen und die Objekt-ID der entfernten Tagvorlage. |
| eDiscovery-Fall erneut geöffnet | CaseReopened | Ein eDiscovery-Fall wurde erneut geöffnet. |
| Wiederholungsverteilungssynchronisierung zum Halten | HoldRetryDistributionSync | Der Benutzer hat die "Wiederholungsrichtlinie" in einem Halteraum ausgelöst. |
| Abgerufene Aktionen für alle Überprüfungssätze | GetActionsForAllReviewSets | Der Benutzer hat eine Liste der Aktionen angezeigt, die allen Überprüfungssätzen in einem Fall zugeordnet sind. |
| Alle Aktionen für den Haltevorgang abgerufen | GetActionsForAllHolds | Der Benutzer hat eine Liste der Aktionen angezeigt, die allen Haltebereichen in einem Fall zugeordnet sind. Die Überwachungsaktivität umfasst den Fallnamen, die ID, den Haltenamen, die ID und den Namen der Liste der Aktionen. |
| Alle Aktionen für die Suche abgerufen | GetActionsForSearch | Der Benutzer hat eine Liste von Aktionen (z. B. Exporten) angezeigt, die einer Suche zugeordnet sind. Die Überwachungsaktivität umfasst den Fallnamen, die ID, den Suchnamen, die ID und den Namen der Liste der Aktionen. |
| Alle Aktionen für alle Exporte abgerufen | GetActionsForAllExports | Der Benutzer hat eine Liste der Exporte in einem Fall angezeigt. Die Überwachungsaktivität umfasst den Fallnamen, die ID, die Falleinstellungen und die Liste der angezeigten Exportnamen. |
| Alle Aktionen für Die Groß-/Kleinschreibung wurden abgerufen. | GetActionsForCase | Der Benutzer hat eine Liste der Aktionen (z. B. Exporte) angezeigt, die einem eDiscovery-Fall zugeordnet sind. |
| Alle Aktionen für das Halten abgerufen | GetActionsForHold | Der Benutzer hat eine Liste der Aktionen angezeigt, die einem Haltefeld zugeordnet sind. |
| Alle Aktionen für den Überprüfungssatz abgerufen | GetActionsForReviewSet | Der Benutzer hat eine Liste der Aktionen (z. B. Exporte) angezeigt, die einem Überprüfungssatz zugeordnet sind. Die Überwachungsaktivität umfasst den Fallnamen, die ID, den Namen des Prüfsatzes, die ID und den Namen der Liste der Aktionen. |
| Einzelne Aktion für Die Groß-/Kleinschreibung wurde abgerufen. | GetSingleActionForCase | Der Benutzer hat eine einzelne Aktion angezeigt, die einem eDiscovery-Fall zugeordnet ist. Beispielsweise hat der Benutzer den Exportprozess im Prozess-Manager angezeigt. Die Überwachungsaktivität umfasst den Fallnamen, die ID und die Einstellungen sowie die ID, die dem Prozess zugeordnet sind. |
| Einzelne Aktion für den Haltevorgang abgerufen | GetSingleActionForHold | Der Benutzer hat eine einzelne Aktion angezeigt, die einem Haltezeichen zugeordnet ist. |
| Einzelne Aktion für Den Prüfsatz abgerufen | GetSingleActionForReviewSet | Der Benutzer hat eine einzelne Aktion angezeigt, die einem Überprüfungssatz zugeordnet ist. |
| Einzelne Aktion für die Suche abgerufen | GetSingleActionForSearch | Der Benutzer hat eine einzelne Aktion angezeigt, die einer Suche zugeordnet ist. Beispielsweise hat der Benutzer den Exportprozess im Prozess-Manager der Suche angezeigt. Die Überwachungsaktivität umfasst den Fallnamen, die ID und die Einstellungen sowie die ID, die dem Prozess zugeordnet sind. |
| Neuen Algo-Auftrag übermittelt | AlgoJobSubmitted | Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt. |
| Übermittelter neuer Brennauftrag | BurnJobSubmitted | Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert. |
| Übermittelte Purview-Suche zum Überprüfungssatzauftrag hinzufügen | PurviewSearchAddToReviewSetJobSubmitted | Der Benutzer hat bei einer Suche einen Prozess zum Hinzufügen zum Überprüfungssatz ausgelöst. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die der Suche zugeordnet waren. Sie enthält auch relevante Ergänzungen zum Überprüfen der verwendeten Prozesseinstellungen. |
| Übermittelter Exportauftrag für die Purview-Suche | PurviewSearchExportJobSubmitted | Der Benutzer hat einen "Export"-Prozess aus einer Suche ausgelöst. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die der Suche zugeordnet waren. Es enthält auch relevante verwendete Exportprozesseinstellungen und den Exportnamen. |
| Beispielauftrag für die übermittelte Purview-Suche | PurviewSearchSampleJobSubmitted | Der Benutzer hat bei einer Suche einen Prozess zum Generieren eines Beispiels ausgelöst. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die der Suche zugeordnet waren. Es enthält auch relevante verwendete Beispielprozesseinstellungen. |
| Übermittelter Purview-Suchstatistikauftrag | PurviewSearchStatisticsJobSubmitted | Der Benutzer hat bei einer Suche einen Prozess zum Generieren von Statistiken ausgelöst. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die der Suche zugeordnet waren. Es enthält auch relevante verwendete Einstellungen für den Statistikprozess. |
| Exportauftrag für übermittelte Überprüfungssätze | ReviewSetExportJobSubmitted | Exportierte Dokumente aus einem Überprüfungssatz. Diese Überwachungsaktivität umfasst den Namen des Prüfsatzes, die Liste der zu exportierenden Dokument-IDs und relevante Einstellungen für den Exportprozess. |
| Markierte Dokumente nach ID für einen Überprüfungssatz | ReviewSetDocumentsTaggedById | Benutzer haben Tags auf bestimmte Dokumente in einem Überprüfungssatz angewendet. Die Überwachungsaktivität umfasst den Fallnamen, den Namen des Prüfsatzes und die Liste der markierten Elemente. |
| Markierte Dokumente nach Abfrage für einen Überprüfungssatz | ReviewSetDocumentsTaggedByQuery | Der Benutzer hat Tags auf bestimmte Dokumente in einem Überprüfungssatz angewendet, nachdem er nach Abfrage gefiltert wurde. Die Überwachungsaktivität umfasst den Fallnamen, den Namen des Prüfsatzes und die Liste der markierten Elemente. |
| Aktualisierte Fallmitglieder | CaseMembersUpdated | Die Fallmitgliedschaft wurde aktualisiert. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen sind. |
| Aktualisierte Falleinstellungen | CaseSettingsUpdated | Der Benutzer hat die Einstellungen für einen Fall geändert. Falleinstellungen umfassen Fallinformationen, Premium-Featurezugriff, Fallberechtigungen und Einstellungen, die das Such- und Analyseverhalten steuern. |
| Aktualisierte Notizen für einen Überprüfungssatz | ReviewSetNotesUpdated | Der Benutzer hat die Notiz für ein Überprüfungssatzdokument aktualisiert. |
| Aktualisierte Purview-Suche | PurviewSearchUpdated | Die Suche wurde geändert oder bearbeitet. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte, die geändert wurden. |
| Aktualisierter Überprüfungssatz | ReviewSetUpdated | Der Benutzer hat den Überprüfungssatz aktualisiert, z. B. den Namen und die Beschreibung des Prüfsatzes. |
| Aktualisierte Anmerkung zum Prüfsatz | ReviewSetAnnotationsUpdated | Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. Diese Überwachungsaktivität enthält den Namen des Überprüfungssatzes und andere Informationen, z. B. die mit Anmerkungen versehene Dokument-ID. |
| Aktualisierte gespeicherte Suche für einen Überprüfungssatz | ReviewSetSavedSearchUpdated | Der Benutzer hat gespeicherte Filter in einem Überprüfungssatz geändert. Die Überwachungsaktivität umfasst den Namen des Prüfsatzes, den Namen der gespeicherten Filter und die verwendete Abfrage. |
| Aktualisierte Tagvorlage | TagTemplateUpdated | Der Benutzer hat eine Tagvorlage in den eDiscovery-Einstellungen aktualisiert. Die Überwachungsaktivität enthält den Namen und die Objekt-ID der aktualisierten Tagvorlage. |
| Aktualisierte Tags | TagsUpdated | Vom Benutzer aktualisierte Überprüfungssatztags in einem Fall. |
| Aktualisierte Tags für eine Tagvorlage | TagTemplateTagsUpdated | Benutzer hat Tags für eine Tagvorlage aktualisiert. Die Überwachungsaktivität enthält den Namen und die ID der aktualisierten Tagvorlagentags. |
| Aktualisierte Mandanteneinstellungen | TenantSettingsUpdated | Benutzer hat die organization Einstellungen von eDiscovery aktualisiert. |
| Hochgeladene Datei für die Purview-Suche | PurviewSearchUploadFile | Der Benutzer hat eine Datei zur Suche nach Datei hochgeladen. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID, den Suchnamen, die Such-ID und den Namen der Datei, die der Benutzer hochgeladen hat. |
| Angezeigter Analysebericht zu Anlagen zum Überprüfen von Sätzen | AlgoGetReviewSetAttachmentsReport | Vom Benutzer angezeigter Analyseanlagebericht. Diese Überwachungsaktivität umfasst den Namen und die ID des Fall- und Überprüfungssatzes. |
| Angezeigter Bericht zu Analyseüberprüfungssatzdokumenten | AlgoGetReviewSetDocumentsReport | Bericht zu vom Benutzer angezeigten Analysedokumenten. |
| Angezeigter E-Mail-Bericht zur Überprüfungsgruppe der Analyse | AlgoGetReviewSetEmailsReport | Vom Benutzer angezeigter Analyse-E-Mail-Bericht. |
| Angezeigter Analysebericht zum Überprüfungssatz | AlgoGetReviewSetReport | Vom Benutzer angezeigter Analysebericht in einem Überprüfungssatz. Diese Überwachungsaktivität umfasst den Namen und die ID des Fall- und Überprüfungssatzes sowie den Berichtstyp. |
| Angezeigter Bericht zum Analyseüberprüfungssatz nach Dateityp | AlgoGetReviewSetReportByFileType | Diagramm des vom Benutzer angezeigten Analyseberichts nach Dateityp. |
| Angezeigter Analyseüberprüfungssatzbericht nach Quelle | AlgoGetReviewSetReportBySource | Vom Benutzer angezeigtes Analysedokument nach Quelle. Diese Überwachungsaktivität umfasst den Namen und die ID des Fall- und Überprüfungssatzes. |
| Angezeigte Fallmetadaten | CaseMetadataViewed | Metadaten zu einem eDiscovery-Fall wurden angezeigt. |
| Angezeigte Falleinstellungen | CaseSettingsViewed | Der Benutzer hat die Einstellungen für einen Fall angezeigt. Falleinstellungen umfassen Fallinformationen, Premium-Featurezugriff, Fallberechtigungen und Einstellungen, die das Such- und Analyseverhalten steuern. |
| Anzeigen von Datenverarbeitungsfehlern für einen Überprüfungssatz | ReviewSetDataProcessingErrorViewed | Der Benutzer hat Verarbeitungsfehler in einem Überprüfungssatz angezeigt. |
| Angezeigte Standardfalleinstellungen | CaseSettingsDefaultViewed | Angezeigte Standardeinstellung für Groß-/Kleinschreibung. |
| Angezeigter eDiscovery-Fall | CaseViewed | Ein Benutzer hat einen eDiscovery-Fall im Microsoft Purview-Portal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen, die Falleinstellungen und die Fall-ID des angezeigten Falls. |
| Angezeigte eDiscovery-Fallliste | CaseListViewed | Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery-Fällen angezeigt hat. Der Überwachungsdatensatz enthält den Namen und die ID der Fälle, die in der Liste der Fälle angezeigt wurden. |
| Liste der angezeigten Favoriten | FavoriteListViewed | Der Benutzer hat eine Liste der bevorzugten Fälle angezeigt. |
| Angezeigter Halteraum | HoldViewed | Der Benutzer hat einen Haltebereich in einem Fall angezeigt. Diese Überwachungsaktivität umfasst den Aufbewahrungsnamen und die ID, die der Benutzer angezeigt hat. Es enthält auch die spezifischen Datenquellen und Abfragewerte innerhalb des Haltebereichs, der vom Benutzer angezeigt wurde. |
| Angezeigte Aufbewahrungsliste | HoldListViewed | Der Benutzer hat die Halteliste in einem Fall angezeigt. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID und die Liste der Haltebereiche Name und ID, die der Benutzer angezeigt hat. |
| Angezeigte Haltehalteergebnisse | HoldResultsViewed | Die Ergebnisse des Vom Benutzer angezeigten Halteraums. Die Überwachungsaktivität umfasst den Fallnamen, die Fall-ID, den Haltenamen und die Halte-ID. |
| Angezeigte status | HoldStatusViewed | Die status des benutzerseitig angezeigten Halteraums. Die Überwachungsaktivität umfasst den Fallnamen, die Fall-ID, den Haltenamen und die Halte-ID. |
| Wird angezeigt, wenn die Analyseeinstellungen geändert werden | AlgoIsSettingChanged | Diese Überwachungsaktivität umfasst den Namen und die ID des Fall- und Überprüfungssatzes. |
| Angezeigte Ladeanzahl in Groß-/Kleinschreibung | LoadCountInCaseViewed | Der Benutzer hat die Anzahl der Lastsätze in einem Fall angezeigt. |
| Angezeigte Ladeliste | LoadListViewed | Der Benutzer hat eine Liste der Lastsätze im Überprüfungssatz angezeigt. |
| Angezeigte Purview-Suche | PurviewSearchViewed | Der Benutzer hat eine bestimmte Suche angezeigt. Diese Überwachungsaktivität umfasst den Suchnamen, die ID sowie die spezifischen Datenquellen und Abfragewerte innerhalb der Suche, die vom Benutzer angezeigt wurden. |
| Angezeigte Purview-Suchliste | PurviewSearchListViewed | Der Benutzer hat die Suchliste in einem Fall angezeigt. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID sowie die Liste der Suchnamen und die ID, die der Benutzer angezeigt hat. |
| Angezeigter Abfragebericht für einen Überprüfungssatz | ReviewSetQueryReportViewed | Vom Benutzer angezeigtes Abfragerepot in einem Überprüfungssatz. |
| Angezeigtes Überprüfungssatzdokument | ReviewSetDocumentViewed | Der Benutzer hat ein Dokument in einem Überprüfungssatz angezeigt. Diese Überwachungsaktivität umfasst den Fallnamen, die Fall-ID, den Namen des Prüfsatzes, die Prüfsatz-ID und andere Informationen wie die ID des angezeigten Dokuments. |
| Angezeigte Überprüfungssatzliste | ReviewSetListViewed | Der Benutzer hat die Liste der Überprüfungssätze in einem Fall angezeigt. |
| Zusammenfassung des Überprüfungssatzes angezeigt | ReviewSetSummaryViewed | Der Benutzer hat die Übersicht über einen Überprüfungssatz angezeigt. |
| Angezeigte Beispielergebnisse | SampleResultsViewed | Suchbeispielergebnisansicht des Benutzers angezeigt. |
| Angezeigte Beispiel-status | SampleStatusViewed | Die status der Suchbeispielansicht des Benutzers angezeigt. Die Überwachungsaktivität umfasst den Namen, die ID, die Abfrage und die zugehörigen Einstellungen der Suche. |
| Angezeigte gespeicherte Suchliste für einen Überprüfungssatz | ReviewSetSavedSearchListViewed | Der Benutzer hat eine Liste der gespeicherten Filter in einem Überprüfungssatz angezeigt. Die Überwachungsaktivität enthält den Namen des Überprüfungssatzes und den Namen der Liste der angezeigten gespeicherten Filter. |
| Anzahl der angezeigten Suchvorgänge für einen Überprüfungssatz | ReviewSetSearchCountViewed | Der Benutzer hat eine Suche innerhalb eines Überprüfungssatzes ausgeführt und die zurückgegebene Anzahl angezeigt. Die Überwachungsaktivität umfasst den Fallnamen, den Namen des Prüfsatzes und die Anzahl der in den Suchergebnissen zurückgegebenen Elemente. |
| Angezeigte Suchoptionen für einen Überprüfungssatz | ReviewSetSearchOptionsViewed | Der Benutzer hat die Einstellungen eines Überprüfungssatzes angezeigt. Die Überwachungsaktivität enthält den Fallnamen und den Namen des Prüfsatzes. |
| Angezeigte Suchergebnisse für einen Überprüfungssatz | ReviewSetSearchRun | Der Benutzer hat eine Suche innerhalb eines Überprüfungssatzes ausgeführt. Die Überwachungsaktivität umfasst den Fallnamen, den Namen des Prüfsatzes und die Liste der elemente, die in den Suchergebnissen zurückgegeben werden. |
| Angezeigte Statistikergebnisse | StatisticsResultsViewed | Suchstatistikergebnisse wurden vom Benutzer angezeigt. |
| Angezeigte Statistiken status | StatisticsStatusViewed | Die status der Suchstatistikansicht wurde vom Benutzer angezeigt. Die Überwachungsaktivität umfasst den Namen, die ID, die Abfrage und die zugehörigen Einstellungen der Suche. |
| Angezeigte Tagvorlagenliste | TagTemplateListViewed | Der Benutzer hat die Liste der Tagvorlagen in den eDiscovery-Einstellungen angezeigt. Die Überwachungsaktivität enthält die Liste der angezeigten Tagvorlagen. |
| Angezeigte Tags | TagsViewed | Vom Benutzer angezeigte Überprüfungssatztags in einem Fall. |
| Angezeigte Tags für eine Tagvorlage | TagTemplateTagsViewed | Vom Benutzer angezeigte Tags für eine Tagvorlage. Die Überwachungsaktivität enthält den Namen und die ID der angezeigten Tagvorlagentags. |
| Angezeigte Mandanteneinstellungen | TenantSettingsViewed | Der Benutzer hat die organization Einstellungen von eDiscovery angezeigt. Die Überwachungsaktivität enthält Informationen zu den Einstellungswerten. |
Detaillierte Eigenschaften für eDiscovery-Aktivitäten
In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht jede detaillierte Eigenschaft, die in der folgenden Tabelle aufgeführt ist.
Tipp
Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können die Power Query-Funktion in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Mit diesem Setup können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
| Eigenschaft | Beschreibung |
|---|---|
| CaseId | Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde. |
| CaseName | Der Name des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde. |
| ClientApplication | eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dieser Wert gibt an, dass die Aktivität mithilfe der Benutzeroberfläche des Microsoft Purview-Portals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde. |
| ClientIP | Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. |
| ClientRequestId | Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
| CmdletVersion | Die Buildnummer für die Version des Microsoft Purview-Portals, die in Ihrem organization ausgeführt wird. |
| CreationTime | Das Erstellungsdatum und die Erstellungszeit in koordinierter Weltzeit (UTC) für die Aktivität. |
| DataSources | Eine Liste der Quell-ID, des Quellnamens und der Standortdetails, die der Aktivität zugeordnet sind. |
| EffectiveOrganization | Der Name des Microsoft 365-organization. |
| ExportName | Name des eDiscovery-Exports. |
| ExtendedProperties | Zusätzliche Eigenschaften im Zusammenhang mit der eDiscovery-Aktivität. Wenn beispielsweise Fallmember aktualisiert werden, enthält dieses Feld die aktualisierten Fallmemberinformationen. oder wenn die Beschreibung des Prüfsatzes aktualisiert wird, enthält dieses Feld die aktualisierte Beschreibung des Prüfsatzes, die vom Benutzer aktualisiert wurde. |
| ID | Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig. |
| Element | Der Name des Elements, das der Aktivität zugeordnet ist. Dieses Feld enthält beispielsweise den Namen des Dokuments, das angezeigt wird, wenn ein Benutzer ein Überprüfungssatzdokument anzeigt. |
| JobId | Die GUID des eDiscovery-Prozesses. |
| ObjectId | Die GUID des Objekts (z. B. ein Such-, Halte- oder Überprüfungssatz), das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, aufgerufen oder geändert wurde. |
| ObjectName | Der Name des Objekts (z. B. ein Such-, Halte- oder Überprüfungssatz), das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, aufgerufen oder geändert wurde. |
| ObjectType | Der Typ des erstellten, gelöschten oder geänderten eDiscovery-Objekts. Beispielsweise wird eine Suchaktion (Beispielergebnisse generieren oder einen Export aus der Suche auslösen) in diesem Feld als Suchen aufgeführt. |
| Vorgang | Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht. |
| OrganizationId | Die GUID für Ihre Microsoft 365-organization. |
| QueryFiles | Der Name der Eingabedatei, die zum Generieren der Abfrage verwendet wird. Diese Eigenschaft ist spezifisch für die Dateisuche. |
| QueryId | Die GUID der Abfrage, die der Aktivität zugeordnet ist. |
| QueryText | Der Abfragetext, der der Aktivität zugeordnet ist, z. B. ein Suchstatistikprozess oder das Hinzufügen zum Überprüfungsprozess. |
| RecordType | Der vom Datensatz angegebene Vorgangstyp. |
| ResultStatus | Ob die Aktion (in der Operation-Eigenschaft angegeben) erfolgreich war oder nicht. |
| Einstellungen | Einstellungen, die auf die eDiscovery-Aktivität angewendet werden. |
| StartTime | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde. |
| UserCancelled | Gibt an, ob die bestimmte Aktivität vom Benutzer abgebrochen wurde. |
| UserId | Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. |
| UserKey | Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch. |
| UserServicePlan | Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer. |
| UserType | Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an. 0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal. |
| Version | Die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft), die protokolliert wird. |
| Arbeitslast | Der Dienst, in dem die Aktivität aufgetreten ist. |
Portalaktivitäten für verschlüsselte Nachrichten
Ihr organization kann über das Portal für verschlüsselte Nachrichten auf Protokolle für verschlüsselte Nachrichten zugreifen. Mithilfe dieser Protokolle können Sie ermitteln, wann Ihre externen Empfänger Nachrichten lesen und weiterleiten. Weitere Informationen zum Aktivieren und Verwenden von Aktivitätsprotokollen im Portal für verschlüsselte Nachrichten finden Sie unter Aktivitätsprotokoll des Portals für verschlüsselte Nachrichten.
Jeder Überwachungseintrag für eine nachverfolgte Nachricht enthält die folgenden Felder:
- MessageID: Enthält die ID der Nachricht, die nachverfolgt wird. Der Schlüsselbezeichner, der verwendet wird, um einer Nachricht durch das System zu folgen.
- Empfänger: Liste aller Empfänger-E-Mail-Adressen.
- Absender: Die ursprüngliche E-Mail-Adresse.
- AuthenticationMethod: Beschreibt die Authentifizierungsmethode für den Zugriff auf die Nachricht, z. B. OTP, Yahoo, Gmail oder Microsoft.
- AuthenticationStatus: Enthält einen Wert, der angibt, dass die Authentifizierung erfolgreich war oder fehlgeschlagen ist.
- OperationStatus: Gibt an, ob der angegebene Vorgang erfolgreich war oder fehlgeschlagen ist.
- AttachmentName: Name der Anlage.
- OperationProperties: Eine Liste optionaler Eigenschaften. Beispielsweise die Anzahl der gesendeten OTP-Kennungen oder der E-Mail-Betreff.
Exchange-Administratoraktivitäten
Die Exchange-Administratorüberwachungsprotokollierung (die in Microsoft 365 standardmäßig aktiviert ist) protokolliert ein Ereignis im Überwachungsprotokoll, wenn ein Administrator (oder ein benutzerseitig zugewiesener Administrator) eine Änderung an Ihrem Exchange Online organization vornimmt. Änderungen, die im Exchange Admin Center oder durch Ausführen eines Cmdlets in der Exchange Online PowerShell vorgenommen werden, werden im Exchange-Administratorüberwachungsprotokoll erfasst. Cmdlets, die mit den Verben Get-, Search- oder Test- beginnen, werden nicht im Überwachungsprotokoll protokolliert. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung.
Wichtig
Einige Exchange Online Cmdlets werden nicht im Exchange-Administratorüberwachungsprotokoll (oder im Überwachungsprotokoll) protokolliert. Viele dieser Cmdlets beziehen sich auf die Verwaltung des Exchange Online-Diensts und werden von Microsoft-Rechenzentrumsmitarbeitern oder -Dienstkonten ausgeführt. Diese Cmdlets werden nicht protokolliert, weil die große Anzahl von Überwachungsereignissen zu großem „Rauschen“ führen würde. Wenn es ein Exchange Online Cmdlet gibt, das nicht überwacht wird, übermitteln Sie eine Entwurfsänderungsanforderung (Design Change Request, DCR) an Microsoft-Support.
Nachfolgend finden Sie einige Tipps für die Suche nach Exchange-Administratoraktivitäten beim Durchsuchen des Überwachungsprotokolls:
- Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.
- Um Ereignisse aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen, wählen Sie die Spalte Aktivität aus, um die Cmdlet-Namen in alphabetischer Reihenfolge zu sortieren.
- Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, können Sie die Suchergebnisse exportieren, indem Sie die Option Alle Ergebnisse herunterladen auswählen. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
- Sie können auch den Befehl
Search-UnifiedAuditLog -RecordType ExchangeAdminin der Exchange Online PowerShell verwenden, um nur Überwachungsdatensätze aus dem Exchange-Administratorüberwachungsprotokoll zurückzugeben. Nach der Ausführung eines Exchange-Cmdlets kann es bis zu 30 Minuten dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen zurückgegeben wird. Weitere Informationen finden Sie unter Search-UnifiedAuditLog. Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.
Exchange-Postfachaktivitäten
In der folgenden Tabelle sind die im Microsoft 365-Überwachungsprotokoll aufgezeichneten Aktivitäten aufgeführt. Die Postfachüberwachungsprotokollierung protokolliert automatisch Postfachaktivitäten, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator im Überwachungsprotokoll für bis zu 180 Tage ausgeführt werden. Ein Administrator kann die Postfachüberwachungsprotokollierung für alle Benutzer in Ihrem organization deaktivieren. In diesem Fall werden für alle Benutzer Postfachaktivitäten nicht protokolliert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.
Wichtig
Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Sie können auch mithilfe des Cmdlets Search-UnifiedAuditLog in Exchange Online PowerShell nach Postfachaktivitäten suchen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Zugegriffene Postfachelemente | MailItemsAccessed | Nachrichten wurden gelesen oder es wurde im Postfach darauf zugegriffen. Überwachungsdatensätze für diese Aktivität werden auf eine von zwei Arten ausgelöst: Wenn ein E-Mail-Client (wie z.Bb. Outlook) einen Bindungsvorgang für Nachrichten ausführt oder wenn E-Mail-Protokolle (wie Exchange ActiveSync oder IMAP) Elemente in einem E-Mail-Ordner synchronisieren. Die Analyse von Überwachungsdatensätzen für diese Aktivität ist hilfreich bei der Untersuchung eines kompromittierten E-Mail-Kontos. |
| Postfachberechtigungen für Stellvertretung hinzugefügt | Add-MailboxPermission | Ein Administrator hat einem Benutzer die Postfachberechtigung „FullAccess“ für das Postfach einer anderen Person zugewiesen (auch „Stellvertretung“ genannt). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten. Der Überwachungsdatensatz für diese Aktivität wird auch generiert, wenn ein Systemkonto im Microsoft 365-Dienst regelmäßig Wartungsaufgaben im Auftrag Ihrer Organisation ausführt. Eine gängige Aufgabe, die von einem Systemkonto ausgeführt wird, ist das Aktualisieren der Berechtigungen für Systempostfächer. Weitere Informationen finden Sie unter Systemkonten in Postfachüberwachungsdatensätzen von Exchange. |
| Benutzer mit Stellvertretungszugriff auf den Kalenderordner hinzugefügt oder entfernt | UpdateCalendarDelegation | Ein Benutzer wurde als Stellvertretung für den Kalender eines anderen Benutzers hinzugefügt oder entfernt. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. |
| Berechtigungen für Ordner hinzugefügt | AddFolderPermissions | Eine Ordnerberechtigung wurde hinzugefügt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. |
| Nachrichten in anderen Ordner kopiert | Copy | Eine Nachricht wurde in einen anderen Ordner kopiert. |
| Erstelltes Postfachelement | Erstellen | Ein Element wird im „Kalender“, in den „Kontakten“, den „Notizen“ oder im „Aufgabenordner“ des Postfachs erstellt. Ein Beispiel: Es wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. |
| Neue Posteingangsregel in der Outlook Web App erstellt | New-InboxRule | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel erstellt. |
| Nachrichten aus Ordner „Gelöschte Elemente“ gelöscht | SoftDelete | Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner „Wiederherstellbare Elemente“ verschoben, wenn ein Benutzer diese auswählt undUMSCHALT+ENTF drückt. |
| Nachricht als Datensatz bezeichnen | Ein Benutzer hat eine Aufbewahrungsbezeichnung auf eine E-Mail-Nachricht angewendet, und diese Bezeichnung ist so konfiguriert, dass das Element als Datensatz gekennzeichnet wird. | |
| Nachricht als Datensatz klassifiziert | ApplyRecordLabel | Eine Nachricht wurde als Datensatz klassifiziert. Tritt auf, wenn eine Aufbewahrungsbezeichnung, die Inhalte als Datensatz klassifiziert, manuell oder automatisch auf eine Nachricht angewendet wird. |
| Ordnerberechtigung geändert | ModifyFolderPermissions | Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Postfachordner und die Nachrichten in diesen Ordnern zugreifen können. |
| Posteingangsregel in Outlook Web App geändert | Set-InboxRule | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel geändert. |
| Nachrichten in anderen Ordner verschoben | Move | Eine Nachricht wurde in einen anderen Ordner verschoben. |
| Nachrichten in Ordner "Gelöschte Elemente" verschoben | MoveToDeletedItems | Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. |
| Nachrichten aus Postfach gelöscht | HardDelete | Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt). |
| Postfachberechtigungen für Stellvertretung entfernt | Remove-MailboxPermission | Ein Administrator hat die Berechtigung „FullAccess“ (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung „FullAccess“ entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen. |
| Ordnerberechtigung entfernt | RemoveFolderPermissions | Eine Ordnerberechtigung wurde entfernt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. |
| Gesendete Nachricht | Senden | Eine Nachricht wurde gesendet, beantwortet oder weitergeleitet. |
| Nachricht mit Berechtigungen vom Typ "Senden als" gesendet | SendAs | Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. |
| Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet | SendOnBehalf | Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Die Nachricht, an die der Empfänger gesendet wurde, an den die Nachricht im Namen von gesendet wurde, und der die Nachricht tatsächlich gesendet hat. |
| Posteingangsregeln des Outlook-Clients aktualisiert | UpdateInboxRules | Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat unter Verwendung des Outlook-Clients eine Posteingangsregel erstellt, geändert oder entfernt. |
| Nachricht aktualisiert | Update | Eine Nachricht oder ihre Eigenschaften wurden geändert. |
| Benutzer am Postfach angemeldet | MailboxLogin | Der Benutzer hat sich bei seinem Postfach angemeldet. |
Systemkonten in Postfachüberwachungsdatensätzen von Exchange
In Überwachungsdatensätzen für einige Postfachaktivitäten (insbesondere Add-MailboxPermissions) bemerken Sie möglicherweise, dass der Benutzer, der die Aktivität ausgeführt hat (und in den Feldern User und UserId identifiziert wird) NT AUTHORITY\SYSTEM oder NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost) ist. Dieses Systemkonto im Exchange-Dienst in der Microsoft-Cloud führt geplante Wartungsaufgaben im Namen Ihrer organization aus. Beispielsweise aktualisiert eine häufige überwachte Aktivität, die vom Konto NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) ausgeführt wird, die Berechtigungen für die DiscoverySearchMailbox, bei der es sich um ein Systempostfach handelt. Mit diesem Update soll überprüft werden, ob die FullAccess-Berechtigung (die als Standardeinstellung gilt) der Rollengruppe "Discoveryverwaltung" für DiscoverySearchMailbox zugewiesen ist. Dieses Update stellt sicher, dass eDiscovery-Administratoren die erforderlichen Aufgaben in ihren organization ausführen können.
Ein weiteres Systembenutzerkonto, das möglicherweise in einem Überwachungsdatensatz für Add-MailboxPermission identifiziert wird, ist Administrator@apcprd03.prod.outlook.com. Dieses Dienstkonto ist auch in Postfachüberwachungsdatensätzen enthalten, die sich auf die Überprüfung und Aktualisierung der FullAccess-Berechtigung beziehen, die der Rollengruppe Ermittlungsverwaltung für das DiscoverySearchMailbox-Systempostfach zugewiesen ist. Insbesondere Überwachungsdatensätze, die das Konto identifizieren, werden in der Administrator@apcprd03.prod.outlook.com Regel ausgelöst, wenn Microsoft-Supportmitarbeiter ein diagnosetool für die rollenbasierte Zugriffssteuerung im Namen Ihrer organization ausführen.
Datei- und Seitenaktivitäten
In der folgenden Tabelle werden die Datei- und Seitenaktivitäten in SharePoint und OneDrive beschrieben, die das Microsoft 365-Überwachungsprotokoll aufzeichnet.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| (kein) | FileAccessedExtended | Diese Aktivität bezieht sich auf die Aktivität "Aufgerufene Datei" (FileAccessed). Ein FileAccessedExtended-Ereignis wird protokolliert, wenn dieselbe Person über einen längeren Zeitraum (bis zu drei Stunden) kontinuierlich auf eine Datei zugreift. Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Dieser Ansatz trägt dazu bei, das Rauschen mehrerer FileAccessed-Datensätze für die im Wesentlichen dieselbe Benutzeraktivität zu reduzieren, und ermöglicht Es Ihnen, sich auf das anfängliche (und wichtigere) FileAccessed-Ereignis zu konzentrieren. |
| (keine) | FileModifiedExtended | Diese Aktivität bezieht sich auf die Aktivität "Geänderte Datei" (FileModified). Ein FileModifiedExtended-Ereignis wird protokolliert, wenn dieselbe Person eine Datei über einen längeren Zeitraum (bis zu drei Stunden) kontinuierlich ändert. Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Dieser Ansatz trägt dazu bei, das Rauschen mehrerer FileModified-Datensätze für die im Wesentlichen dieselbe Benutzeraktivität zu reduzieren, und ermöglicht Es Ihnen, sich auf das anfängliche (und wichtigere) FileModified-Ereignis zu konzentrieren. |
| (keine) | FilePreviewed | Benutzer zeigen Dateien auf einer SharePoint- oder OneDrive-Website in der Vorschau an. Diese Ereignisse treten in der Regel in großem Umfang basierend auf einer einzelnen Aktivität auf, z. B. der Anzeige einer Bildergalerie. |
| (keine) | PagePrefetched | Der Client eines Benutzers (z. B. website oder mobile App) fordert die angegebene Seite an, um die Leistung zu verbessern, wenn der Benutzer zu ihr naviziert. Dieses Ereignis wird protokolliert, um anzugeben, dass der Seiteninhalt dem Client des Benutzers bereitgestellt wird. Dieses Ereignis ist kein definitiver Hinweis darauf, dass der Benutzer zu der Seite navigiert ist. Wenn der Client den Seiteninhalt (gemäß der Anforderung des Benutzers) rendert, sollte er ein ClientViewSignaled-Ereignis generieren. Nicht alle Clients unterstützen die Angabe eines Vorabrufs, und daher können einige vorab abgerufene Aktivitäten stattdessen als PageViewed-Ereignisse protokolliert werden. |
| (keine) | PageViewedExtended | Diese Aktivität bezieht sich auf die Aktivität "Angezeigte Seite" (PageViewed). Ein PageViewedExtended-Ereignis wird protokolliert, wenn dieselbe Person eine Webseite für einen längeren Zeitraum (bis zu drei Stunden) kontinuierlich anzeigt. Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Dieser Ansatz trägt dazu bei, das Rauschen mehrerer PageViewed-Datensätze für die im Wesentlichen dieselbe Benutzeraktivität zu reduzieren, und ermöglicht Es Ihnen, sich auf das anfängliche (und wichtigere) PageViewed-Ereignis zu konzentrieren. |
| Dateizugriff | FileAccessed | Der Benutzer oder das Systemkonto greift auf eine Datei zu. Sobald ein Benutzer auf eine Datei zugreift, protokolliert das System das FileAccessed-Ereignis für denselben Benutzer und die gleiche Datei für die nächsten fünf Minuten nicht mehr. |
| Datensatzstatus in "gesperrt" geändert | LockRecord | Der Datensatz status einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, ist gesperrt. Dies status bedeutet, dass das Dokument nicht geändert oder gelöscht wurde. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern. |
| Datensatzstatus in "nicht gesperrt" geändert | UnlockRecord | Der Datensatz status einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wird entsperrt. Dies status bedeutet, dass das Dokument geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern. |
| Geänderte Aufbewahrungsbezeichnung für eine Datei | ComplianceSettingChanged | Eine Aufbewahrungsbezeichnung wird auf ein Dokument angewendet oder daraus entfernt. Dieses Ereignis wird ausgelöst, wenn eine Aufbewahrungsbezeichnung manuell oder automatisch auf eine Nachricht angewendet wird. |
| Datei eingecheckt | FileCheckedIn | Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat. |
| Datei ausgecheckt | FileCheckedOut | Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können Dokumente, die für sie freigegeben werden, auschecken und Änderungen vornehmen. |
| Datei kopiert | FileCopied | Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden. |
| Datei gelöscht | FileDeleted | Der Benutzer löscht ein Dokument von einer Website. |
| Datei aus Papierkorb gelöscht | FileDeletedFirstStageRecycleBin | Der Benutzer löscht eine Datei aus dem Papierkorb einer Website. |
| Datei aus endgültigem Papierkorb gelöscht | FileDeletedSecondStageRecycleBin | Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb einer Website. |
| Gelöschte Datei als Datensatz gekennzeichnet | RecordDelete | Ein Dokument oder eine E-Mail, die als Datensatz markiert wurde, wird gelöscht. Ein Element wird als Datensatz betrachtet, wenn eine Aufbewahrungsbezeichnung, die Elemente als Datensatz kennzeichnet, auf das Element angewendet wird. |
| Konflikt in Bezug auf die Vertraulichkeitskennzeichnung eines Dokuments | DocumentSensitivityMismatchDetected | Der Benutzer lädt ein Dokument auf eine Website hoch, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument weist eine Vertraulichkeitsbezeichnung mit höherer Priorität als die Vertraulichkeitsbezeichnung der Website auf. So wird beispielsweise ein Dokument, das als vertraulich bezeichnet wird, auf eine Website hochgeladen, die mit "Allgemein" bezeichnet ist. Dieses Ereignis wird nicht ausgelöst, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität hat als die auf die Website angewendete Vertraulichkeitsbezeichnung. So wird beispielsweise ein Dokument, das als Allgemein bezeichnet wird, auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. Weitere Informationen über die Priorität von Vertraulichkeitsbezeichnungen finden Sie unter Priorität der Bezeichnungen (Reihenfolge wesentlich). |
| Malware in einer Datei erkannt | FileMalwareDetected | Der SharePoint-Virenschutz erkennt Schadsoftware in einer Datei. |
| Auschecken einer Datei verworfen | FileCheckOutDiscarded | Der Benutzer verwirft (oder rückgängig) eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden. |
| Datei heruntergeladen | FileDownloaded | Der Benutzer lädt ein Dokument von einer Website herunter. |
| Datei geändert | FileModified | Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments auf einer Website. Das System wartet fünf Minuten, bevor ein anderes FileModified-Ereignis protokolliert wird, wenn derselbe Benutzer den Inhalt oder die Eigenschaften desselben Dokuments ändert. |
| Datei verschoben | FileMoved | Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort. |
| Suchabfrage durchgeführt | SearchQueryPerformed | Ein Benutzer- oder Systemkonto führt eine Suche in SharePoint oder OneDrive durch. Zu den gängigen Szenarien, in denen ein Dienstkonto eine Suchabfrage ausführt, gehören das Anwenden einer eDiscovery-Aufbewahrungs- und Aufbewahrungsrichtlinie auf Websites und OneDrive-Konten sowie das automatische Anwenden von Aufbewahrungs- oder Vertraulichkeitsbezeichnungen auf Websiteinhalte. Informationen zum Aktivieren der Protokollierung für diese Aktivität finden Sie unter Erste Schritte mit Überwachungslösungen. |
| Eine Datei in den Papierkorb verschoben | FileRecycled | Der Benutzer verschiebt eine Datei in den SharePoint-Papierkorb. |
| Ein Ordner in den Papierkorb verschoben | FolderRecycled | Der Benutzer verschiebt einen Ordner in den SharePoint-Papierkorb. |
| Alle Nebenversionen einer Datei in den Papierkorb verschoben | FileVersionsAllMinorsRecycled | Benutzer löscht alle Nebenversionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben. |
| Alle Versionen der Datei in den Papierkorb | FileVersionsAllRecycled | Benutzer löscht alle Versionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben. |
| Dateiversion in den Papierkorb | FileVersionRecycled | Benutzer löscht eine Version aus dem Versionsverlauf einer Datei. Die gelöschte Version wird in den Papierkorb der Website verschoben. |
| Datei umbenannt | FileRenamed | Der Benutzer benennt ein Dokument um. |
| Datei wiederhergestellt | FileRestored | Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her. |
| Datei hochgeladen | FileUploaded | Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch. |
| Aufruf wird vom Client signalisiert | ClientViewSignaled | Der Client eines Benutzers (z. B. website oder mobile App) signalisiert, dass die angegebene Seite vom Benutzer angezeigt wird. Diese Aktivität wird häufig nach einem PagePrefetched-Ereignis für eine Seite protokolliert. HINWEIS: Da ClientViewSignaled-Ereignisse vom Client und nicht vom Server signalisiert werden, ist es möglich, dass das Ereignis vom Server nicht protokolliert wird und daher nicht im Überwachungsprotokoll angezeigt wird. Es ist auch möglich, dass Informationen im Überwachungsdatensatz nicht vertrauenswürdig sind. Da die Identität des Benutzers aber durch das Token überprüft wird, mit dem das Signal erstellt wurde, ist die im entsprechenden Überwachungsdatensatz aufgelistete Identität des Benutzers korrekt. Das System wartet fünf Minuten, bevor es dasselbe Ereignis protokolliert, wenn der Client desselben Benutzers signalisiert, dass die Seite vom Benutzer erneut angezeigt wird. |
| Seite angezeigt | PageViewed | Der Benutzer zeigt eine Seite auf einer Website an. Diese Aktivität umfasst nicht die Verwendung eines Webbrowsers zum Anzeigen von Dateien, die sich in einer Dokumentbibliothek befinden. Sobald ein Benutzer eine Seite anzeigt, protokolliert das System das PageViewed-Ereignis für denselben Benutzer und die gleiche Seite für die nächsten fünf Minuten nicht mehr. |
Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“
Könnten Nicht-Benutzer-Aktivitäten FilePreviewed-Überwachungsdatensätze auslösen, die einen Benutzer-Agent wie „OneDriveMpc-Transform_Thumbnail“ enthalten?
Szenarien, in denen Nichtbenutzeraktionen Ereignisse wie diese generieren, sind uns nicht bekannt. Benutzeraktionen wie das Öffnen eines Benutzerprofils Karte (durch Auswählen des Namens oder der E-Mail-Adresse in einer Nachricht in Outlook im Web) generieren ähnliche Ereignisse.
Werden Aufrufe des OneDriveMpc-Transform_Thumbnail immer absichtlich vom Benutzer ausgelöst?
Nein Der Vorabruf des Browsers kann jedoch zu ähnlichen Ereignissen führen.
Wenn wir ein FilePreviewed-Ereignis sehen, das von einer bei Microsoft registrierten IP-Adresse stammt, bedeutet dies, dass die Vorschau auf dem Bildschirm des Benutzergeräts angezeigt wurde?
Nein. Der Vorabruf des Browsers kann das Ereignis protokollieren.
Gibt es Szenarien, in denen ein Benutzer, der die Vorschau eines Dokuments anzeigt, FileAccessed-Ereignisse generiert?
Sowohl das „FilePreviewed“- als auch das „FileAccessed“-Ereignis weist darauf hin, dass der Aufruf eines Benutzers das Lesen der Datei ausgelöst hat (oder das Lesen des Renderings einer Miniaturansicht der Datei). Obwohl diese Ereignisse für die Ausrichtung der Vorschau und der Zugriffsabsicht vorgesehen sind, ist die Ereignisunterscheidung keine Garantie für die Absicht des Benutzers.
Der app@sharepoint Benutzer in Überwachungsdatensätzen
In Überwachungsdatensätzen für einige Dateiaktivitäten (und andere SharePoint-bezogene Aktivitäten) stellen Sie möglicherweise fest, dass der Benutzer, der die Aktivität ausgeführt hat (in den Feldern User und UserId angegeben) app@sharepoint ist. Dieser Benutzer bedeutet, dass eine Anwendung die Aktivität ausgeführt hat. In diesem Fall wurden der Anwendung Berechtigungen in SharePoint erteilt, um organization aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Namen eines Benutzers, Administrators oder Diensts auszuführen. Dieser Vorgang zur Erteilung von Berechtigungen für eine Anwendung heißt "Nur SharePoint-App-Zugriff". Dieser Benutzer bedeutet, dass eine Anwendung anstelle eines Benutzers die Authentifizierung für SharePoint zum Ausführen einer Aktion angezeigt hat. Dies ist der Grund, warum in manchen Überwachungsdatensätzen der "app@sharepoint"-Benutzer angegeben wird. Weitere Informationen finden Sie unter Gewähren des "Nur SharePoint-App"-Zugriffs.
"app@sharepoint" wird beispielsweise häufig als Benutzer bei Ereignissen wie ausgeführte Suchabfragen und Dateizugriffe angegeben. Der Grund dafür ist, dass eine Anwendung mit "Nur SharePoint-App"-Zugriff in Ihrer Organisation Suchabfragen ausführt und auf Dateien zugreift, wenn Aufbewahrungsrichtlinien auf Websites und OneDrive-Konten angewendet werden.
Im Folgenden finden Sie einige weitere Szenarien, in denen app@sharepoint in einem Überwachungsdatensatz als der Benutzer identifiziert werden können, der eine Aktivität ausgeführt hat:
- Microsoft 365-Gruppen. Wenn ein Benutzer oder Administrator eine neue Gruppe erstellt, werden Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert. Eine Anwendung führt diese Aufgaben im Namen des Benutzers aus, der die Gruppe erstellt hat.
- Microsoft Teams: Bei der Erstellung eines Teams werden ähnlich wie bei Microsoft 365-Gruppen Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert.
- Kompatibilitätsfeatures. Wenn ein Administrator Compliancefeatures implementiert, z. B. Aufbewahrungsrichtlinien, eDiscovery-Haltebereiche und automatisches Anwenden von Vertraulichkeitsbezeichnungen.
In diesen und anderen Szenarien können Sie auch feststellen, dass mehrere Überwachungsdatensätze mit app@sharepoint als der angegebene Benutzer innerhalb eines kurzen Zeitrahmens erstellt wurden, oft innerhalb weniger Sekunden voneinander. Dieses Muster bedeutet auch, dass sie wahrscheinlich von derselben vom Benutzer initiierten Aufgabe ausgelöst wurden. Außerdem können Die Felder ApplicationDisplayName und EventData im Überwachungsdatensatz Ihnen helfen, das Szenario oder die Anwendung zu identifizieren, die das Ereignis ausgelöst hat.
Ordneraktivitäten
In der folgenden Tabelle werden die Ordneraktivitäten in SharePoint und OneDrive beschrieben, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Ordner kopiert | FolderCopied | Der Benutzer kopiert einen Ordner von einer Website an einen anderen Speicherort in SharePoint oder OneDrive. |
| Ordner erstellt | FolderCreated | Der Benutzer erstellt einen Ordner auf einer Website. |
| Ordner gelöscht | FolderDeleted | Der Benutzer löscht einen Ordner von einer Website. |
| Ordner aus Papierkorb gelöscht | FolderDeletedFirstStageRecycleBin | Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website. |
| Ordner aus endgültigem Papierkorb gelöscht | FolderDeletedSecondStageRecycleBin | Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website. |
| Ordner geändert | FolderModified | Der Benutzer ändert einen Ordner auf einer Website. Diese Aktion umfasst das Ändern der Ordnermetadaten, z. B. das Ändern von Tags und Eigenschaften. |
| Ordner verschoben | FolderMoved | Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website. |
| Ordner umbenannt | FolderRenamed | Der Benutzer benennt einen Ordner auf einer Website um. |
| Ordner wiederhergestellt | FolderRestored | Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her. |
Informationsbarrierenaktivitäten
In der folgenden Tabelle sind die Aktivitäten in Informationsbarrieren aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Informationsbarrieren finden Sie unter Informationen zu Informationsbarrieren in Microsoft 365.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Angewendeter Informationsbarrieremodus auf die Website | SiteIBModeSet | Ein SharePoint- oder globaler Administrator hat einen Modus auf die Website angewendet. |
| Angewendete Segmente auf die Website | SiteIBSegmentsSet | Ein SharePoint-Administrator, ein globaler Administrator oder ein Websitebesitzer hat einer Website ein oder mehrere Informationsbarrierensegmente hinzugefügt. |
| AppBypassInformationBarrier-Einstellung für den Mandanten geändert | AppBypassInformationBarrier | Ein SharePoint- oder globaler Administrator hat den Zugriff auf Apps für SharePoint-Websites geändert. |
| Geänderter Informationsbarrieremodus der Website | SiteIBModeChanged | Ein SharePoint- oder globaler Administrator hat den Modus der Website aktualisiert. |
| Geänderte Segmente der Website | SiteIBSegmentsChanged | Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente für eine Website geändert. |
| Deaktivierte Informationsbarrieren für SharePoint und OneDrive | SPOIBIsDisabled | Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert. |
| Aktivierte Informationsbarrieren für SharePoint und OneDrive | SPOIBIsEnabled | Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert. |
| Bericht zu Erkenntnissen zu Informationsbarrieren abgeschlossen | InformationBarriersInsightsReportCompleted | Das System schließt die Erstellung des Berichts zu Erkenntnissen zu Informationsbarrieren ab. |
| OneDrive-Abschnitt "Informationsbarrieren–Erkenntnisse" abgefragt | InformationBarriersInsightsReportOneDriveSectionQueried | Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für OneDrive-Konten ab. |
| Bericht zu Erkenntnissen zu Informationsbarrieren geplant | InformationBarriersInsightsReportSchedule | Ein Administrator plant den Bericht zu Erkenntnissen zu Informationsbarrieren. |
| SharePoint-Abschnitt des Berichts "Erkenntnisse zu Informationsbarrieren" abgefragt | InformationBarriersInsightsReportSharePointSectionQueried | Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für SharePoint-Websites ab. |
| Segment vom Standort entfernt | SiteIBSegmentsRemoved | Ein SharePoint- oder globaler Administrator entfernt ein oder mehrere Segmente von Informationsbarrieren von einer Website. |
Microsoft 365 Apps Admin Services-Cloudupdateaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Konfigurationsänderungen und ausgelöste Aktionen im Cloud Update-Dienst aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Gerätekonfiguration aktualisiert | updateddeviceconfiguration | Eine Aktion für ein gerät, das von CloudUpdate verwaltet wird, wurde ausgelöst. Diese Aktion umfasst das Auslösen eines Rollbacks, das Fortsetzen eines Rollbacks eines Geräts oder das Ändern des Updatekanals. |
| Profilkonfiguration aktualisiert | updatedprofileconfiguration | Die Konfiguration eines Cloudupdateprofils wurde geändert. Diese Änderung umfasst Aktualisierungen des Profilzustands, Festlegen eines Stichtags, Aktivierung der Updateüberprüfung sowie konfigurierte Wellen und Wellenverzögerung. |
| Mandantenkonfiguration aktualisiert | updatedtenantconfiguration | Die organization konfiguration des Cloudupdates wurde geändert. Diese Änderung umfasst Updates von Ausschlüssen, Ausschlussfenstern und das Generieren eines neuen Mandantenzuordnungsschlüssels (Tenant Association Key, TAK). |
Microsoft 365 Apps Admin Services-Cloudrichtlinienaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Richtlinienkonfigurationsänderungen im Cloudrichtliniendienst aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Richtlinienkonfiguration erstellt | CreatedPolicyConfig | Eine neue Richtlinienkonfiguration wurde erstellt. |
| Konfiguration der gelöschten Richtlinie | DeletedPolicyConfig | Eine Richtlinienkonfiguration wurde gelöscht. |
| Aktualisierte Richtlinienkonfiguration | UpdatedPolicyConfig | Eine vorhandene Richtlinienkonfiguration wurde aktualisiert, z. B. durch Hinzufügen, Ändern oder Entfernen von Richtlinieneinstellungen oder durch Ändern des Namens, der Beschreibung oder des Bereichs der Richtlinienkonfiguration. |
| Aktualisierte Richtlinienkonfigurationspriorität | UpdatedPolicyConfigPriority | Die Priorität einer Richtlinienkonfiguration wurde geändert. |
Microsoft 365-Backup Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Microsoft 365-Backup aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Microsoft 365-Backup soll sicherstellen, dass die Daten Ihrer organization immer geschützt und leicht wiederherstellbar sind. Weitere Informationen zu Microsoft 365-Backup finden Sie unter Übersicht über Microsoft 365-Backup.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Aktivieren einer Sicherungsrichtlinie | BackupPolicyActivated | Eine Microsoft 365-Backup Richtlinie wird aus einem inaktiven Zustand aktiviert. |
| Aktivierte Entwurfswiederherstellung | RestoreTaskActivated | Ein Entwurfswiederherstellungstask für Microsoft 365-Backup wird aktiviert. Dies ist ein zeitintensiver Vorgang. |
| Sicherungselement erstellt | BackupItemAdded | Ein oder mehrere Sicherungselemente werden einer Microsoft 365-Backup Richtlinie hinzugefügt. |
| Sicherungselement entfernt | BackupItemRemoved | Ein oder mehrere Sicherungselemente werden aus einer Microsoft 365-Backup Richtlinie entfernt. |
| Offboardsicherungselement abbrechen | CancelOffboardBackupItem | Offboarding für ein Sicherungselement abgebrochen. |
| Abgeschlossene Wiederherstellungsaufgabe | RestoreTaskCompleted | Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup abgeschlossen. |
| Erstellter Entwurfswiederherstellungstask | DraftRestoreTaskCreated | Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup erstellt. Standardmäßig wird die Wiederherstellungsaufgabe als Entwurf erstellt. |
| Neue Sicherungsrichtlinie erstellt | NewBackupPolicyCreated | Eine neue Microsoft 365-Backup-Richtlinie wurde von einem globalen Admin erstellt. Standardmäßig wird eine Sicherungsrichtlinie in einem inaktiven Zustand erstellt. |
| Eine Sicherungsrichtlinie wurde gelöscht. | BackupPolicyDeleted | Eine Microsoft 365-Backup Richtlinie wird gelöscht. |
| Wiederherstellungsaufgabe "Entwurf" gelöscht | DraftRestoreTaskDeleted | Eine Entwurfswiederherstellung wird in Microsoft 365-Backup gelöscht. |
| Bearbeiten einer Sicherungsrichtlinie | BackupPolicyEdited | Eine Microsoft 365-Backup Richtlinie wurde aktualisiert. Sie können eine Sicherungsrichtlinie aktualisieren, indem Sie eine der folgenden Aktionen ausführen: 1. Umbenennen der Richtlinie. 2. Fügen Sie mindestens eine Schutzeinheit hinzu. 3. Entfernen einer oder mehrerer Schutzeinheiten. |
| Wiederherstellungsaufgabe für bearbeiteten Entwurf | DraftRestoreTaskEdited | Eine Entwurfswiederherstellung wird in Microsoft 365-Backup bearbeitet. |
| Offboarden des Sicherungselements | OffboardBackupItem | Das Sicherungselement ist offboarding. |
| Angehaltene Sicherungsrichtlinie | BackupPolicyPaused | Eine Microsoft 365-Backup Richtlinie wird im aktiven Zustand angehalten. |
| Programmgesteuertes Sicherungselement | GetBackupItem | Der Benutzer fordert die Schutzeinheit an, die programmgesteuert mit Microsoft 365-Backup gesichert wird. |
| Programmgesteuertes Abrufen von Details zur Sicherungsrichtlinie | ViewBackupPolicyDetails | Auf Details einer Microsoft 365-Backup Richtlinie wird programmgesteuert zugegriffen. |
| Programmgesteuertes Abrufen von Details zur Wiederherstellungsaufgabe | GetRestoreTaskDetails | Ein Benutzer fordert Details der Wiederherstellungsaufgabe anhand seines Bezeichners in Microsoft 365-Backup an. |
| Programmgesteuerte Liste aller Sicherungsrichtlinien | ListAllBackupPolicies | Ein Benutzer ruft programmgesteuert die Liste aller Sicherungsrichtlinien ab, die mithilfe von Microsoft 365-Backup gesichert wurden. |
| Programmgesteuerte Liste der Sicherungselemente in Sicherungsrichtlinien | ListAllBackupItemsInPolicies | Eine Liste aller Schutzeinheiten, die in einer Sicherungsrichtlinie in Microsoft 365-Backup vorhanden sind, wird programmgesteuert angefordert. |
| Programmgesteuertes Abrufen der Liste der Sicherungselemente im Mandanten | ListAllBackupItemsInTenant | Ein Benutzer ruft programmgesteuert eine Liste aller Schutzeinheiten im organization ab, die mithilfe von Microsoft 365-Backup gesichert wurden. |
| Programmgesteuertes Abrufen der Liste der Sicherungselemente in workload | ListAllBackupItemsInWorkload | Ein Benutzer erhält programmgesteuert eine Liste aller Schutzeinheiten in der Workload (SharePoint, OneDrive oder Exchange), die mithilfe von Microsoft 365-Backup gesichert wurden. |
| Programmgesteuertes Abrufen der Liste der Wiederherstellungselemente im Wiederherstellungstask | GetAllRestoreArtifactsInTask | Ein Benutzer ruft programmgesteuert alle Artefakte in einer Wiederherstellungsaufgabe in Microsoft 365-Backup ab. |
| Programmgesteuerte Liste der Wiederherstellungspunkte | ListAllRestorePoints | Ein Benutzer erhält programmgesteuert alle Wiederherstellungspunkte in Microsoft 365-Backup. Wiederherstellungspunkte stellen den Zeitstempel dar, wenn ein Artefakt geschützt ist (gemäß Schutzrichtlinie). Nur globale Administratoren haben Zugriff. |
| Programmgesteuerte Liste der Wiederherstellungsaufgaben | ListAllRestoreTasks | Ein Benutzer ruft programmgesteuert die Liste der vorhandenen Wiederherstellungssitzungen in Microsoft 365-Backup ab. Diese Liste enthält die Wiederherstellungssitzung, die für jeden Im organization registrierten Diensttyp erstellt wurde. |
| Wiederherstellen der Elementwiederherstellung abgeschlossen | BackupItemRestoreCompleted | Die Wiederherstellung eines Elements, das von Microsoft 365-Backup gesichert wurde, ist abgeschlossen. |
| Wiederherstellungselement wurde ausgelöst | BackupItemRestoreTriggered | Die Wiederherstellung wird für ein Element ausgelöst, das mit Microsoft 365-Backup gesichert wurde. |
Microsoft 365 Copilot-Administratoraktivitäten
In der folgenden Tabelle sind Administratoraktivitäten im Zusammenhang mit Microsoft 365 Copilot und Microsoft 365 Copilot Chat aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Sie können auf Copilot über Microsoft-Dienste zugreifen. Das Überwachungsprotokoll zeichnet Aktivitäten auf, die zeigen, wie und wann Benutzer mit Copilot interagieren. Diese Informationen umfassen den Microsoft-Dienst, in dem die Aktivität stattgefunden hat, und Verweise auf die Dateien, auf die während der Interaktion zugegriffen wurde.
Informationen zum Zugreifen auf den Text über die Eingabeaufforderung des Benutzers während der Interaktion finden Sie unter Inhaltssuche oder Anzeigen des KI-Interaktionsereignisses im Aktivitäts-Explorer in Datensicherheitstatus-Management für KI.
Weitere Informationen zur Überwachung und anderen Complianceverwaltungsoptionen für Microsoft 365 Copilot finden Sie unter Verwenden von Microsoft Purview zum Verwalten von Datensicherheit & Compliance für Microsoft 365 Copilot & Microsoft 365 Copilot Chat.
Weitere Informationen zu Ereignissen im Zusammenhang mit Benutzerinteraktionen mit KI finden Sie unter Überwachungsprotokolle für Copilot- und KI-Aktivitäten.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen eines neuen Copilot-Plug-Ins | CreatePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt. |
| Ein neues Copilot-Promptbook erstellt | CreatePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt. |
| Ein Copilot-Plug-In wurde gelöscht. | DeletePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht. |
| Ein Copilot-Promptbook wurde gelöscht. | DeletePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht. |
| Deaktivieren eines Copilot-Plug-Ins | DisableCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert. |
| Deaktivieren eines Copilot-Eingabeaufforderungsbuchs | DisablePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert. |
| Aktivieren eines Copilot-Plug-Ins | EnablePlugin | Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert. |
| Aktivieren eines Copilot-Eingabeaufforderungsbuchs | EnablePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert. |
| Interagiert mit Copilot | CopilotInteraction | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Aufforderungen in Copilot eingegeben. |
| Einstellung eines Copilot-Plug-Ins aktualisiert | UpdatePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert. |
| Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert | UpdatePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert. |
| Eine Copilot-Einstellung wurde aktualisiert. | UpdateTenantSettings | Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert. |
Geplante Microsoft 365 Copilot-Eingabeaufforderungen
Copilot Scheduled Prompts ermöglicht Es Benutzern, Copilot-Eingabeaufforderungen so zu automatisieren, dass sie nach einem definierten Zeitplan im Microsoft 365 Copilot-Chat ausgeführt werden. In der folgenden Tabelle sind die im Microsoft 365-Überwachungsprotokoll aufgezeichneten Aktivitäten aufgeführt. Administratoren können dieses Feature in Ihrem organization verwalten. Weitere Informationen finden Sie unter Verwalten geplanter Eingabeaufforderungen für Microsoft 365 Copilot.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen einer geplanten Eingabeaufforderung | ScheduledPromptCreated | Ein Benutzer hat eine Copilot-Eingabeaufforderung aus Microsoft 365 Copilot Chat (Office.com Chat) geplant. |
| Eine geplante Eingabeaufforderung wurde gelöscht. | ScheduledPromptDeleted | Ein Benutzer löscht eine geplante Eingabeaufforderung aus dem Verwaltungsfenster. Die Eingabeaufforderung wird aus der Liste entfernt und nicht mehr ausgeführt. |
| Ausführen einer geplanten Eingabeaufforderung | ScheduledPromptExecute | Wird zu Beginn jeder geplanten Ausführung protokolliert. Es wird nicht bestätigt, dass die Eingabeaufforderung abgeschlossen wurde. |
Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint allgemeinen Einstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu den Einstellungen Microsoft Defender for Endpoint finden Sie unter Konfigurieren allgemeiner Defender für Endpunkt-Einstellungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Geänderte Datenaufbewahrung | ChangeDataRetention | Die Datenaufbewahrungseinstellungen für Defender für Endpunkt wurden bearbeitet. |
| Heruntergeladenes Offboardingpaket | DownloadOffboardingPkg | Das Paket zum Entfernen von Geräten aus Defender für Endpunkt wurde heruntergeladen. |
| Heruntergeladenes Onboardingpaket | DownloadOnboardingPkg | Das Paket für das Onboarding von Geräten in Defender für Endpunkt wurde heruntergeladen. |
| Festlegen erweiterter Features | SetAdvancedFeatures | Erweiterte Features in Defender für Endpunkt wurden geändert, sodass während eines Incidents präzisere Kontrollen möglich sind. Nur Einstellungen für erweiterte Features, die allgemein verfügbar sind, werden im Microsoft 365-Überwachungsprotokoll protokolliert. |
Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Microsoft Defender for Endpoint Indikatoren finden Sie unter Verwalten von Indikatoren.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Indikator hinzugefügt | AddIndicator | Es wurde ein neuer Indikator für die Kompromittierung erstellt, der zum Nachverfolgen von Angriffen und Ereignissen verwendet wird. |
| Gelöschter Indikator | DeleteIndicator | Ein Indikator für die Kompromittierung wurde entfernt. |
| Bearbeiteter Indikator | EditIndicator | Es wurde ein Gefährdungsindikator bearbeitet. |
Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Antwortaktionen aufgeführt, einschließlich Liveantworten, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Microsoft Defender for Endpoint Antwortaktionen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Gesammeltes Untersuchungspaket | CollectInvestigationPackage | Gesammelte Informationen zu einem Gerät, das verwendet wird, um Angriffstools und -techniken zu verstehen. |
| Gesammelte Protokolle | LogsCollection | Gesammelte Protokollinformationen zu Defender für Endpunkt. |
| Datei heruntergeladen | DownloadFile | Eine verdächtige Datei zur weiteren Untersuchung heruntergeladen. |
| Isoliertes Gerät | IsolateDevice | Isolierte ein Gerät aus dem Netzwerk, um die Ausbreitung von Angriffen zu verhindern. |
| Offboarded device (Offboarded Device) | DeviceOffBoarding | Ein Gerät wurde aus Defender für Endpunkt entfernt. |
| Antivirusscan ausgeführt | RunAntiVirusScan | Microsoft Defender Antivirus-Überprüfung auf einem Gerät ausgeführt. |
| Link "Liveantwortdatei abrufen" ausgeführt | LiveResponseGetFile | Öffnete eine Liveantwortsitzung und öffnete eine Remoteshell auf einem Gerät. |
| Ausgeführte Liveantwort-API | RunLiveResponseApi | Öffnete eine Liveantwortsitzung über einen API-Aufruf und öffnete eine Remoteshell auf einem Gerät. |
| Liveantwortsitzung ausgeführt | RunLiveResponseSession | Führte eine Liveantwortsitzung aus und öffnete eine Remoteshell auf einem Gerät. |
| Aus der Isolation freigegeben | ReleaseFromIsolation | Ein isoliertes Gerät wurde dem Netzwerk wieder hinzugefügt. |
| App-Einschränkungen entfernt | RemoveAppRestrictions | Zulassen, dass eine App ausgeführt wird. |
| Eingeschränkte App-Ausführung | RestrictAppExecution | Verhindern, dass eine schädliche App ausgeführt wird. |
| Beendete und unter Quarantäne gestellte Datei | StopAndQuarantineFile | Verdächtige Datei zur weiteren Analyse unter Quarantäne stellen. |
Microsoft Defender for Endpoint von Einstellungen für Rollen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Rolleneinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Rollen in Microsoft Defender for Endpoint finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Rolle hinzugefügt | AddRole | Neue Sicherheitsrolle und -berechtigungen hinzugefügt. |
| Gelöschte Rolle | DeleteRole | Sicherheitsrollen und -berechtigungen wurden entfernt. |
| Bearbeitete Rolle | EditRole | Bearbeitete Sicherheitsrollen und Berechtigungen. |
aktivitäten von Microsoft Defender for Experts
In der folgenden Tabelle sind die Aktivitäten in Microsoft Defender Experts aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Microsoft Defender Experts finden Sie unter Informationen zu Microsoft Defender Experts for XDR und Informationen zu Microsoft Defender Experts for Hunting.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellte Defender Experts-Analystenberechtigung | DefenderExpertsAnalystPermissionCreated | Ein Administrator hat Defender Experts-Analysten mindestens eine Rollenberechtigung erteilt, um Vorfälle zu untersuchen oder Bedrohungen zu beheben. |
| Defender Experts-Analystenberechtigung geändert | DefenderExpertsAnalystPermissionModified | Ein Administrator hat die Rollenberechtigungen für Defender Experts-Analysten geändert, um Vorfälle zu untersuchen oder Bedrohungen zu beheben. |
aktivitäten Microsoft Defender for Identity
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Identity aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Empfänger von Warnungsbenachrichtigungen hinzugefügt | AlertNotificationsRecipientAdded | Der Benachrichtigungskonfiguration für Sicherheitswarnungen wurde ein Empfänger hinzugefügt. |
| Konfiguration von Ausschlüssen hinzugefügt | ExclusionConfigurationAdded | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität hinzugefügt. |
| Empfänger der Benachrichtigung über Integritätsprobleme hinzugefügt | MonitoringAlertNotificationRecipientAdded | Der Benachrichtigungskonfiguration für Integritätsprobleme wurde ein Empfänger hinzugefügt. |
| Wartungsaktion hinzugefügt | RemediationActionAdded | Der Warteschlange wurde eine Korrekturaktion hinzugefügt. |
| Sensor hinzugefügt | SensorCreated | Ein neuer Sensor wurde hinzugefügt. |
| Erstellter Arbeitsbereich | WorkspaceCreated | Der Arbeitsbereich wurde erstellt. |
| Empfänger von Benachrichtigungen für gelöschte Warnungen | AlertNotificationsRecipientDeleted | Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Sicherheitswarnungen entfernt. |
| Konfiguration gelöschter Ausschlüsse | ExclusionConfigurationDeleted | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität gelöscht. |
| Benachrichtigungsempfänger für gelöschte Integritätsprobleme | MonitoringAlertNotificationRecipientDeleted | Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Integritätsprobleme entfernt. |
| Gelöschter Arbeitsbereich | Arbeitsbereich Gelöscht | Der Arbeitsbereich wurde gelöscht. |
| Heruntergeladene Domänencontrollerabdeckung in Excel | DomainControllerCoverageExcelDownloaded | Die Excel-Datei für die Domänencontrollerabdeckung wurde heruntergeladen. |
| Bericht heruntergeladen | BerichtHerunterladen | Ein Bericht wurde heruntergeladen. |
| Heruntergeladene Sicherheitswarnung Excel | AlertExcelDownloaded | Die detaillierte Excel-Datei einer Warnung wurde heruntergeladen. |
| Bereitstellungsschlüssel für den neu generierten Sensor | SensorDeploymentAccessKeyUpdated | Der Sensorzugriffsschlüssel wurde neu generiert. |
| Sensor entfernt | SensorDeleted | Ein Sensor wurde gelöscht. |
| Abgerufener Sensorbereitstellungsschlüssel | SensorDeploymentAccessKeyReceived | Der Zugriffsschlüssel der Sensoren wurde abgerufen. |
| Konfiguration des Warnungsschwellenwerts aktualisiert | WorkspaceAlertThresholdLevelUpdated | Die Konfiguration der Schwellenwerte für Warnungen wurde aktualisiert. |
| Konfiguration des Verzeichnisdienstkontos aktualisiert | DirectoryServicesAccountConfigurationUpdated | Die festgelegten Verzeichnisdienstkonten wurden geändert. |
| Aktualisierte Entitätswartungskonfiguration | EntityRemediatorConfigurationUpdated | Der Modus Aktionskonten verwalten wurde geändert. |
| Aktualisierte Entitätstags | TaggingConfigurationUpdated | Ein Tag wurde einer Entität hinzugefügt oder daraus entfernt. |
| Konfiguration von Ausschlüssen aktualisiert | ExclusionConfigurationUpdated | Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität aktualisiert. |
| Aktualisiertes Integritätsproblem | MonitoringAlertUpdated | Ein Integritätsproblem wurde geändert. |
| Aktualisierte Wartungsaktion | RemediationActionUpdated | Eine Korrekturaktion wurde abgeschlossen. |
| Konfiguration der Wartungsaktion aktualisiert | RemediationActionConfigurationUpdated | Der Festgelegte Aktionskonten verwalten wurde geändert. |
| Aktualisierte Reporterkonfiguration | ReporterConfigurationUpdated | Die Planung eines Berichts wurde geändert. |
| Aktualisierte Sicherheitsbenachrichtigungskonfiguration | NotificationConfigurationUpdated | Die Benachrichtigungskonfiguration für Sicherheitswarnungen oder Integritätsprobleme wurde geändert. |
| Aktualisierte Sensorkonfiguration | SensorConfigurationUpdated | Die Konfiguration eines Sensors wurde aktualisiert. |
| Aktualisierter Sensoraktivierungsmodus | SensorActivationMethodConfigurationUpdated | Der Aktivierungsmodus der Sensoren wurde geändert. |
| Aktualisierte Syslog-Weiterleitungskonfiguration | SyslogServiceConfigurationUpdated | Die Syslog-Weiterleitungskonfiguration wurde geändert. |
| Aktualisierte Einheitliche RBAC-Konfiguration | URbacAuthorizationStatusChanged | Die Konfiguration der einheitlichen rollenbasierten Access Control wurde geändert. |
| Aktualisierte VPN-Konfiguration | VpnConfigurationUpdated | Die VPN-Konfiguration (Radius-Buchhaltung) wurde geändert. |
Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten
In der folgenden Tabelle sind die benutzerdefinierten Erkennungsaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Microsoft Defender XDR benutzerdefinierten Erkennungen finden Sie unter Erstellen und Verwalten benutzerdefinierter Erkennungsregeln.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Geänderte benutzerdefinierte Erkennungsregel status | ChangeCustomDetectionRuleStatus | Eine benutzerdefinierte Erkennungsregel wurde deaktiviert oder aktiviert. |
| Benutzerdefinierte Erkennungsregel erstellt | CreateCustomDetection | Eine neue benutzerdefinierte Erkennungsregel wurde erstellt. |
| Benutzerdefinierte Erkennungsregel wurde gelöscht. | DeleteCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde entfernt. |
| Bearbeitete benutzerdefinierte Erkennungsregel | EditCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde geändert. |
| Benutzerdefinierte Erkennungsregel ausgeführt | RunCustomDetection | Eine benutzerdefinierte Erkennungsregel wurde manuell ausgeführt. |
Microsoft Defender XDR Incidentaktivitäten
In der folgenden Tabelle sind die Incidentaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu Incidents in Microsoft Defender XDR finden Sie unter Übersicht über Vorfälle.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Kommentar zu Incident hinzugefügt | AddCommentToIncident. | Kommentar zum Incident hinzugefügt. |
| Tags zu Incident hinzugefügt | AddTagsToIncident | Dem Incident wurden Tags hinzugefügt. |
| Dem Incident zugewiesener Benutzer | AssignUserToIncident | Dem Incident zugewiesener Benutzer. |
| Bearbeiten der Incidentklassifizierung | EditIncidentClassification | Bearbeiten der Incidentklassifizierung. |
| Tags aus Incident entfernt | RemoveTagsFromIncident | Tags aus dem Incident entfernt. |
| Nicht zugewiesener Benutzer zum Incident | UnAssignUserFromIncident | Nicht zugewiesener Benutzer zum Incident. |
| Aktualisierte incidents status | UpdateIncidentStatus | Aktualisierte incidents status. |
Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln
In der folgenden Tabelle sind die Aktivitäten für Unterdrückungsregeln für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu Unterdrückungsregeln in Microsoft Defender XDR finden Sie unter Verwalten von Unterdrückungsregeln.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellte Unterdrückungsregel | CreateSuppressionRule | Warnungsunterdrückungsregel wurde erstellt. |
| Gelöschte Unterdrückungsregel | DeleteSuppressionRule | Warnungsunterdrückungsregel gelöscht. |
| Unterdrückungsregel deaktiviert | DisableSuppressionRule | Warnungsunterdrückungsregel deaktiviert. |
| Bearbeitete Unterdrückungsregel | EditSuppressionRule | Warnungsunterdrückungsregel gelöscht. |
| Aktivierte Unterdrückungsregel | EnableSuppressionRule | Warnungsunterdrückungsregel aktiviert. |
Microsoft Edge WebContentFiltering-Aktivitäten
In der folgenden Tabelle sind die Browseraktivitäten in Microsoft Edge aufgeführt, die im Microsoft 365-Überwachungsprotokoll für das WebContentFiltering-Feature aufgezeichnet wurden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der .csv-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Im Überwachungsprotokoll durchsuchen wird beschrieben, wie Sie die Überwachungsprotokolle im Microsoft Purview-Portal durchsuchen können. Benutzer müssen ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Verwenden Sie den Filter Aktivitäten, um nach bestimmten Aktivitäten zu suchen. Um alle WebContentFiltering-Aktivitäten aufzulisten, wählen Sie webContentFiltering im Filter Datensatztyp aus. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse bei Bedarf weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Zulässige URL-Navigation in Microsoft Edge | URLNavigationAllowed | Der Benutzer hat eine URL durchsucht. |
| Blockierte URL-Navigation in Microsoft Edge | URLNavigationBlocked | Die durchsuchte URL wird durch die WebContentFiltering-Richtlinie blockiert. |
gruppenverwaltungsaktivitäten Microsoft Entra
In der folgenden Tabelle sind Gruppenverwaltungsaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden, wenn ein Administrator oder Benutzer eine Microsoft 365-Gruppe erstellt oder ändert oder wenn ein Administrator eine Sicherheitsgruppe mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals erstellt. Weitere Informationen zu Gruppen in Microsoft 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Microsoft 365 Admin Center.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Gruppe hinzugefügt | AddGroup | Eine Gruppe wurde erstellt. |
| Mitglied zur Gruppe hinzugefügt | AddMemberToGroup. | Ein Mitglied wurde zu einer Gruppe hinzugefügt. |
| Gruppe gelöscht | Gruppe löschen. | Eine Gruppe wurde gelöscht. |
| Mitglied aus Gruppe entfernt | RemoveMemberFromGroup. | Ein Mitglied wurde aus einer Gruppe entfernt. |
| Gruppe aktualisiert | UpdateGroup. | Eine Eigenschaft einer Gruppe wurde geändert. |
Microsoft Entra Aktivitäten zur Risikoerkennung
In der folgenden Tabelle sind Aktivitäten zur Risikoerkennung aufgeführt, die bei Verwendung von Microsoft Entra ID Protection im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zur Risikoerkennung finden Sie unter Informationen zu Risikoerkennungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erkennung kompromittierter Anmeldungen | CompromisedSignIn | Anmelderisikoerkennungen stellen die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung nicht der autorisierte Besitzer des Kontos ist. |
| Erkennung kompromittierter Benutzer | CompromisedUser | Benutzerrisikoerkennungen können ein legitimes Benutzerkonto als gefährdet kennzeichnen, wenn ein potenzieller Bedrohungsakteur Zugriff auf ein Konto erhält, indem er seine Anmeldeinformationen kompromittiert oder eine Art von anormalen Benutzeraktivitäten erkennt. |
Microsoft Fabric-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Power BI durchsuchen. Informationen zu Überwachungseinstellungen finden Sie unter Überwachungs- und Nutzungsmandanteneinstellungen.
Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen. Anweisungen finden Sie unter Aktivieren der Überwachung.
Microsoft Forms-Aktivitäten
Die folgende Tabelle zeigt die Benutzer- und Administratoraktivitäten in Microsoft Forms, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Microsoft Forms ist ein Formular-, Quiz- und Umfragetool, mit dem Sie Daten für die Analyse sammeln können. Einige Vorgänge enthalten zusätzliche Aktivitätsparameter, wie in den Beschreibungen angegeben.
Wenn ein Mitautor oder ein anonymer Antwortender eine Forms Aktivität ausführt, zeichnet das Überwachungsprotokoll dies etwas anders auf. Weitere Informationen hierzu finden Sie im Abschnitt Forms-Aktivitäten, die von Mitautoren und anonymen Antwortenden durchgeführt werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Formular-Koautor hinzugefügt | AddFormCoauthor | Ein Benutzer verwendet einen Link für die Zusammenarbeit, um das Formular zu entwerfen oder Antworten anzuzeigen. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine Zusammenarbeits-URL verwendet (nicht, wenn die Zusammenarbeits-URL zum ersten Mal generiert wird). |
| Spezifischer Antwortender hinzugefügt | AddSpecificResponder | Der Formularbesitzer fügt der Liste der spezifischen Antwortenden einen neuen Benutzer oder eine neue Gruppe hinzu. |
| Freigabe von Formularkopie zulassen | AllowShareFormForCopy | Der Formularbesitzer erstellt einen Vorlagen-Link, um das Formular für andere Benutzer freizugeben. Dieses Ereignis wird protokolliert, wenn der Formularbesitzer auswählt, um die Vorlagen-URL zu generieren. |
| Mit Excel-Arbeitsmappe verbunden | ConnectToExcelWorkbook | Das Formular wurde mit einer Excel-Arbeitsmappe verbunden. Die Eigenschaft ExcelWorkbookLink:string ist die zugeordnete Excel-Arbeitsmappen-ID des aktuellen Formulars. |
| Eine Sammlung wurde erstellt | CollectionCreated | Der Formularbesitzer hat eine Sammlung erstellt. |
| Ersteller Kommentar | CreateComment | Der Formularbesitzer fügt Kommentare oder Bewertungen zu einem Quiz hinzu. |
| Erstelltes Formular | CreateForm | Der Besitzer erstellt ein neues Formular. Property DataMode:string ist das aktuelle Formular für die Synchronisierung mit einer neuen oder vorhandenen Excel-Arbeitsmappe festgelegt, wenn der Eigenschaftswert gleich DataSync ist. Die Eigenschaft ExcelWorkbookLink:string ist die zugeordnete Excel-Arbeitsmappen-ID des aktuellen Formulars. |
| Erstellte Antwort | CreateResponse | Ähnlich wie beim Empfang einer neuen Antwort. Ein Benutzer hat eine Antwort an ein Formular gesendet. Property ResponseId:string und Property ResponderId:string ist das Angezeigte Ergebnis. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
| Erstellter Zusammenfassungs-Link | GetSummaryLink | Der Formularbesitzer erstellt einen Zusammenfassungs-Link, um Ergebnisse freizugeben. |
| Alle Antworten gelöscht | DeleteAllResponses | Der Formularbesitzer löscht alle Antwortdaten. |
| Die Sammlung wurde aus dem Papierkorb gelöscht | CollectionHardDeleted | Der Formularbesitzer hat eine Sammlung aus dem Papierkorb endgültig gelöscht. |
| Gelöschtes Formular | DeleteForm | Der Formularbesitzer löscht ein Formular. Diese Aktion umfasst SoftDelete (Löschoption verwendet und Formular in den Papierkorb verschoben) und HardDelete (Papierkorb wird geleert). |
| Gelöschte Antwort | DeleteResponse | Der Formularbesitzer löscht eine Antwort. Property ResponseId:string ist die Antwort, die gelöscht wird. |
| Gelöschte Zusammenfassungs-Link | DeleteSummaryLink | Der Formularbesitzer löscht den Link für die Zusammenfassungsergebnisse. |
| Einstellung für "Jeder kann antworten" deaktiviert | DisallowAnonymousResponse | Der Formularbesitzer deaktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten. |
| "Zusammenarbeit" deaktiviert | DisableCollaboration | Der Formularbesitzer deaktiviert die Einstellung der Zusammenarbeit im Formular. |
| Einstellung für "Bestimmte Personen können antworten" deaktiviert | DisableSpecificResponse | Der Formularbesitzer deaktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten. |
| Freigabe von Formularkopie nicht zulassen | DisallowShareFormForCopy | Der Formularbesitzer löscht den Vorlagen-Link. |
| Bearbeitetes Formular | EditForm | Der Formularbesitzer bearbeitet ein Formular, z. B. das Erstellen, Entfernen oder Bearbeiten einer Frage. Die Eigenschaft EditOperation:string ist der Name des Bearbeitungsvorgangs. Mögliche Vorgänge sind: – CreateQuestion – CreateQuestionChoice – DeleteQuestion – DeleteQuestionChoice – DeleteFormImage – DeleteQuestionImage – UpdateQuestion – UpdateQuestionChoice – UploadFormImage/Bing/Onedrive – UploadQuestionImage – ChangeTheme FormImage enthält jeden Ort innerhalb Forms, an dem der Benutzer ein Bild hochladen kann, z. B. in einer Abfrage oder als Hintergrunddesign. |
| Einstellung für "Jeder kann antworten" aktiviert | AllowAnonymousResponse | Der Formularbesitzer aktiviert die Einstellung, sodass jeder auf das Formular reagieren kann. |
| "Zusammenarbeit mit Office 365-Arbeits- oder Schulkonten" aktiviert | EnableWorkOrSchoolCollaboration | Der Formularbesitzer aktiviert die Einstellung, die es Benutzern mit einem Microsoft 365-Geschäfts- oder Schulkonto ermöglicht, das Formular anzuzeigen und zu bearbeiten. |
| "Zusammenarbeit von Personen in meiner Organisation" aktiviert | EnableSameOrgCollaboration | Der Formularbesitzer aktiviert die Einstellung, die es Benutzern in der aktuellen Organisation ermöglicht, das Formular anzuzeigen und zu bearbeiten. |
| Einstellung für "Bestimmte Personen können antworten" aktiviert | EnableSpecificResponse | Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten. |
| "Zusammenarbeit bestimmter Personen" aktiviert | EnableSpecificCollaboaration | Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, das Formular anzuzeigen und zu bearbeiten. |
| Exportiertes Formular | ExportForm | Der Formularbesitzer exportiert Ergebnisse nach Excel. Property ExportFormat:string ist, wenn die Excel-Datei Download oder Online ist. |
| Aufgelistete Formulare | ListForms | Der Formularbesitzer zeigt eine Liste der Formulare an. Property ViewType:string ist die Ansicht, die der Formularbesitzer betrachtet: Alle Forms, Für mich freigegeben oder Gruppe Forms |
| Ein Formular wurde in die Sammlung verschoben | MovedFormIntoCollection | Der Formularbesitzer hat ein Formular in eine Sammlung verschoben. |
| Ein Formular wurde aus der Sammlung verschoben | MovedFormOutofCollection | Der Formularbesitzer hat ein Formular aus einer Sammlung verschoben. |
| Die Sammlung wurde in den Papierkorb verschoben | CollectionSoftDeleted | Der Formularbesitzer hat eine Sammlung in den Papierkorb verschoben. |
| Formular verschoben | MoveForm | Der Formularbesitzer verschiebt ein Formular. Die Eigenschaft DestinationUserId:string ist die Benutzer-ID der Person, die das Formular verschoben hat. Eigenschafts NewFormId: Zeichenfolge ist die neue ID für das neu kopierte Formular. Die Eigenschaft IsDelegateAccess:boolean ist, dass die aktuelle Aktion zum Verschieben von Formularen über die Administratordelegatseite ausgeführt wird. |
| Formular in der Vorschau | PreviewForm | Der Formularbesitzer kann eine Vorschau eines Formulars mithilfe der Vorschaufunktion anzeigen. |
| Formular-Koautor entfernt | RemoveFormCoauthor | Der Formularbesitzer löscht einen Link für die Zusammenarbeit. |
| Bestimmter Antwortender entfernt | RemoveSpecificResponder | Der Formularbesitzer entfernt einen Benutzer oder eine Gruppe aus der Liste der spezifischen Antwortenden. |
| Eine Sammlung wurde umbenannt | CollectionRenamed | Der Formularbesitzer hat den Namen einer Sammlung geändert. |
| Versendete Forms-Pro-Einladung | ProInvitation | Der Benutzer wählt aus, eine Pro-Testversion zu aktivieren. |
| Gesendete Antwort | SubmitResponse | Ein Benutzer sendet eine Antwort auf ein Formular. Die Eigenschaft IsInternalForm:boolean ist, wenn sich der Antwortgeber innerhalb desselben organization wie der Formularbesitzer befindet. |
| Eine Sammlung wurde aktualisiert | CollectionUpdated | Der Formularbesitzer hat eine Sammlungseigenschaft aktualisiert. |
| Aktualisierter Phishing-Status von Formularen | UpdatePhishingStatus | Dieses Ereignis wird protokolliert, wenn der detaillierte Wert für die interne Sicherheits-status geändert wurde, unabhängig davon, ob sich diese Änderung auf den endgültigen Sicherheitsstatus auswirkt (z. B. ist das Formular jetzt Geschlossen oder Geöffnet). Diese Änderung kann zu doppelten Ereignissen ohne endgültige Änderung des Sicherheitszustands führen. Zu den möglichen Statuswerten für dieses Ereignis gehören: – Take Down – Take Down by Admin – Admin Unblocked – Auto Blocked – Auto Unblocked – Customer Reported – Reset Customer Reported |
| Aktualisierte Formulareinstellung | UpdateFormSetting | Der Formularbesitzer aktualisiert eine oder mehrere Formulareinstellungen. Die Eigenschaft FormSettingName:string wird für den Namen vertraulicher Einstellungen aktualisiert. Die Eigenschaft NewFormSettings:string ist der Name und der neue Wert der Einstellungen. Eigenschaft thankYouMessageContainsLink:boolean is updated thank-you message contains a URL link. |
| Aktualisierte Antwort | UpdateResponse | Der Formularbesitzer hat einen Kommentar oder eine Bewertung in einem Quiz aktualisiert. Property ResponseId:string und Property ResponderId:string ist das Angezeigte Ergebnis. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
| Updated user phishing status | UpdateUserPhishingStatus | Dieses Ereignis wird protokolliert, wenn sich der Wert für die Benutzersicherheit status ändert. Der Wert des Benutzers status im Überwachungsdatensatz lautet Bestätigt als Phisher, wenn der Benutzer ein Phishingformular erstellt hat, das das Microsoft Online-Sicherheitsteam heruntergenommen hat. Wenn ein Administrator die Sperrung des Benutzers aufhebt, wird der Wert des Benutzerstatus auf Reset as Normal Userfestgelegt. |
| Aktualisierte Benutzereinstellung | UpdateUserSetting | Der Formularbesitzer aktualisiert eine Benutzereinstellung. Property UserSettingName:string ist der Name und der neue Wert der Einstellung. |
| Angezeigtes Formular (Entwurfszeit) | ViewForm | Der Formularbesitzer öffnet ein vorhandenes Formular für die Bearbeitung. Property AccessDenied:Boolean is access of current form is denied due to permission check. Die Eigenschaft FromSummaryLink:boolean is current request stammt von der Zusammenfassungslinkseite. |
| Angezeigte Antwort | ViewResponse | Der Formularbesitzer zeigt eine bestimmte Antwort an. Property ResponseId:string und Property ResponderId:string ist das Angezeigte Ergebnis. Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL. |
| Angezeigte Antwortseite | ViewRuntimeForm | Der Benutzer hat eine Antwortseite geöffnet, um sie anzuzeigen. Dieses Ereignis wird protokolliert, und zwar unabhängig davon, ob der Benutzer eine Antwort absendet oder nicht. |
| Angezeigte Antworten | ViewResponses | Der Formularbesitzer zeigt die aggregierte Liste der Antworten an. Property ViewType:string gibt an, ob der Formularbesitzer Detail oder Aggregat anzeigt. |
Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden
Forms unterstützt die Zusammenarbeit beim Entwerfen von Formularen und beim Analysieren von Antworten. Ein Mitwirkender an einem Formular wird als Koautor bezeichnet. Koautoren können alles erledigen, was der Besitzer eines Formulars tun kann, außer das Löschen oder Verschieben eines Formulars. Forms ermöglichen Ihnen außerdem, ein Formular zu erstellen, auf das anonym geantwortet werden kann. Dies bedeutet, dass der Antwortende nicht bei Ihrer Organisation angemeldet sein muss, um auf ein Formular zu antworten.
In der folgenden Tabelle werden die Überwachungsaktivitäten und -informationen beschrieben, die im Microsoft 365-Überwachungsprotokoll für Aktivitäten aufgezeichnet werden, die von Mitautoren und anonymen Antwortenden ausgeführt werden.
| Aktivitätstyp | Interner oder externer Benutzer | Protokollierte Benutzer-ID | Angemeldet bei Organisation | Forms-Benutzertyp |
|---|---|---|---|---|
| Gemeinsame Dokumenterstellung | Extern | urn:forms:coauthor#a0b1c2d3@forms.office.com(Der zweite Teil der ID ist ein Hash, der sich für verschiedene Benutzer unterscheidet) |
Organisation des Formularbesitzers |
Koautor |
| Gemeinsame Dokumenterstellung | Extern | UPN |
Organisation des Koautors |
Koautor |
| Gemeinsame Dokumenterstellung | Intern | UPN | Organisation des Formularbesitzers | Koautor |
| Antwortaktivitäten | Anonym | urn:forms:anonymous#a0b1c2d3@forms.office.com(Der zweite Teil der Benutzer-ID ist ein Hash, der sich für verschiedene Benutzer unterscheidet) |
Organisation des Formularbesitzers | Antwortender |
| Antwortaktivitäten | Extern | urn:forms:external#a0b1c2d3@forms.office.com(Der zweite Teil der Benutzer-ID ist ein Hash, der sich für verschiedene Benutzer unterscheidet) |
Organisation des Formularbesitzers | Antwortender |
| Antwortaktivitäten | Extern | UPN |
Organisation des Antwortenden |
Responder |
Microsoft Graph Data Connect
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Graph Data Connect aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Genehmigt oder verweigert eine App | ConsentModificationRequest | Ein Benutzer hat eine Zustimmungsänderungsanforderung ausgeführt. |
| Extraktion ausgeführt | DataAccessRequestOperation | Ein Benutzer hat eine Extraktion ausgeführt. Partnerdatasets und ISV-Ausführungen sind ausgeschlossen. |
Microsoft Places Directory-Aktivitäten
In der folgenden Tabelle sind die Administratoraktivitäten in Microsoft Places Verzeichnis aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen eines Orts | CreatedPlace | Ein Administrator hat einen Vorgang zum Erstellen von Orten ausgeführt. |
| Einen Ort gelöscht | DeletedPlace | Ein Administrator hat einen Vorgang zum Löschen von Orten ausgeführt. |
| Aktualisiert einen Ort | UpdatedPlace | Ein Administrator hat einen Vorgang zum Aktualisieren von Orten ausgeführt. |
Microsoft Planner-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Planner aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Hinweis
Die Portfolioaktivität in Planner wird mit der Microsoft Project für Web-Roadmap-Aktivität protokolliert. Weitere Informationen finden Sie im Abschnitt Microsoft Project für das Web-Aktivitäten.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Mitglied zu einer Liste hinzugefügt | RosterMemberAdded | Ein Mitglied wurde einer Liste hinzugefügt. Wenn der Add-Vorgang "ResultStatus.Failure" oder " ResultStatus.AuthorizationFailure" war, handelt es sich bei den MemberIds um eine Liste versuchter Member-IDs. |
| Aufgabe zugewiesen | TaskAssigned | Der Zugewiesene einer Aufgabe wurde von einem Benutzer oder einer App geändert. Dies kann eine nicht zugewiesene Aufgabe sein, die zugewiesen wird, oder eine zugewiesene Aufgabe mit einem neuen Zugewiesenen. |
| Abgeschlossen einer Aufgabe | TaskCompleted | Eine Aufgabe wurde von einem Benutzer oder einer App als abgeschlossen markiert. |
| Kopiert einen Plan | PlanKopiert | Ein Plan wurde von einem Benutzer oder einer App kopiert. Wenn der Kopiervorgang ein ResultStatus.Failure oder ResultStatus.Failure war, ist newPlanId NULL, newContainerType ist ContainerType.Invalid und newContainerId ist NULL. |
| Erstellen eines Ziels | GoalCreated | Ein Ziel wurde von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist die ObjectId NULL und PlanId ist NULL. |
| Erstellen eines Plans | PlanCreated | Ein Plan wurde von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist die ObjectId NULL, ContainerType ist ContainerType.Invalid und ContainerId ist NULL. |
| Erstellen einer Liste | RosterCreated | Eine Liste wurde von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist die ObjectId NULL, MemberIds eine leere Zeichenfolge. |
| Erstellen einer Aufgabe | TaskCreated | Eine Aufgabe wurde von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist die ObjectId NULL und PlanId ist NULL. |
| Ein Ziel wurde gelöscht. | GoalDeleted | Ein Ziel wurde von einem Benutzer oder einer App gelöscht. |
| Einen Plan gelöscht | PlanDeleted | Ein Plan wurde von einem Benutzer oder einer App gelöscht. |
| Eine Liste wurde gelöscht. | RosterDeleted | Eine Liste wurde von einem Benutzer oder einer App gelöscht. |
| Eine Aufgabe wurde gelöscht. | TaskDeleted | Eine Aufgabe wurde von einem Benutzer oder einer App gelöscht. |
| Ändern eines Ziels | GoalModified | Ein Ziel wurde von einem Benutzer oder einer App geändert. |
| Ändern eines Plans | PlanModified | Ein Plan wurde von einem Benutzer oder einer App geändert. |
| Ändern einer Aufgabe | TaskModified | Eine Aufgabe wurde von einem Benutzer oder einer App geändert. |
| Lesen eines Ziels | GoalRead | Ein Ziel wurde von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang "ResultStatus.Failure" oder " ResultStatus.AuthorizationFailure" war, ist die PlanId NULL. |
| Lesen einer Liste der Ziele | GoalListRead | Eine Liste der Ziele wurde von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist GoalList eine leere Zeichenfolge. |
| Lesen einer Liste von Plänen | PlanListRead | Eine Liste von Plänen wurde von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist PlanList eine leere Zeichenfolge. |
| Lesen einer Liste von Aufgaben | TaskListRead | Eine Liste von Aufgaben wurde von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist TaskList eine leere Zeichenfolge. |
| Lesen eines Plans | PlanRead | Ein Plan wurde von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist ContainerTypeContainerType.Invalid und ContainerId ist NULL. |
| Lesen einer Aufgabe | TaskRead | Eine Aufgabe wurde von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang "ResultStatus.Failure" oder " ResultStatus.AuthorizationFailure" war, ist PlanId NULL. |
| Ein Mitglied aus einer Liste entfernt | RosterMemberDeleted | Ein Mitglied wurde aus einer Liste entfernt. Wenn der Entfernungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure war, ist MemberIds die Liste der versuchten Member-IDs. |
| Vertraulichkeitsbezeichnung einer Liste aktualisiert | RosterSensitivityLabelUpdated | Ein Benutzer oder eine App aktualisiert die Vertraulichkeitsbezeichnung einer Liste. |
| Aktualisierte Mandanteneinstellungen | TenantSettingsUpdated | Organisationseinstellungen werden von einem organization-Administrator aktualisiert. Wenn der Aktualisierungsvorgang "ResultStatus.Failure" oder "ResultStatus.AuthorizationFailure" war, entspricht die ObjectId den ursprünglichen Einstellungen, und TenantSettings ist der versuchte organization Einstellungen. |
Microsoft Power Apps-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Power Apps durchsuchen. Diese Aktivitäten umfassen das Erstellen, Starten und Veröffentlichen einer App. Das Zuweisen von Berechtigungen zu Apps wird ebenfalls überwacht. Eine Beschreibung aller Power Apps-Aktivitäten finden Sie unter Aktivitätsprotokollierung für Power Apps.
Hinweis
Überwachungsereignisse von Warnungsrichtlinien (Schutzwarnung) (RecordType:45) werden derzeit für PowerApps nicht unterstützt.
Microsoft Power Automate-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Power Automate (früher Microsoft Flow) durchsuchen. Diese Aktivitäten umfassen das Erstellen, Bearbeiten und Löschen von Flows sowie das Ändern von Flow-Berechtigungen.
Microsoft Project für das Web-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Project für das Web durchsuchen. Microsoft Project für das Web basiert auf Microsoft Dataverse und verfügt über eine zugeordnete Project Power App. Informationen zum Aktivieren der Überwachung für Szenarien, in denen der Benutzer Microsoft Dataverse oder project Power App verwendet, finden Sie unter Anleitung zur Überwachung der Systemeinstellungen . Eine Liste der Entitäten im Zusammenhang mit Project für das Web finden Sie im Leitfaden Exportieren von Benutzerdaten aus Project für das Web.
Informationen zu Microsoft Project für das Web finden Sie unter Microsoft Project für das Web.
Hinweis
Die Überwachung von Ereignissen für Microsoft Project für das Web-Aktivitäten erfordert eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll aufgezeichneten Microsoft Project für Webaktivitäten aufgeführt:
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Projekt erstellt | ProjectCreated | Ein Projekt wurde von einem Benutzer oder einer App erstellt. |
| Roadmap erstellt | RoadmapCreated | Eine Roadmap oder ein Portfolio wurde von einem Benutzer oder einer App erstellt. |
| Erstelltes Roadmapelement | RoadmapItemCreated | Eine Roadmap oder ein Portfolioelement wurde von einem Benutzer oder einer App erstellt. |
| Erstellte Aufgabe | TaskCreated | Eine Aufgabe wurde von einem Benutzer oder einer App erstellt. |
| Gelöschtes Projekt | ProjectDeleted | Ein Projekt wurde von einem Benutzer oder einer App gelöscht. |
| Gelöschte Roadmap | RoadmapDeleted | Eine Roadmap oder ein Portfolio wurde von einem Benutzer oder einer App gelöscht. |
| Gelöschtes Roadmapelement | RoadmapItemDeleted | Ein Roadmap- oder Portfolioelement wurde von einem Benutzer oder einer App gelöscht. |
| Gelöschte Aufgabe | TaskDeleted | Eine Aufgabe wurde von einem Benutzer oder einer App gelöscht. |
| Zugriff auf Projekt | ProjectAccessed | Ein Projekt wurde von einem Benutzer oder einer App gelesen. |
| Zugriff auf die Projektstartstarts | ProjectListAccessed | Ein Benutzer hat eine Liste von Projekten und/oder Roadmaps abgefragt. |
| Zugriff auf die Roadmap | RoadmapAccessed | Eine Roadmap oder ein Portfolio wurde von einem Benutzer oder einer App gelesen. |
| Zugriff auf Roadmap-Element | RoadmapItemAccessed | Eine Roadmap oder ein Portfolioelement wurde von einem Benutzer oder einer App gelesen. |
| Zugriff auf die Aufgabe | TaskAccessed | Eine Aufgabe wurde von einem Benutzer oder einer App gelesen. |
| Aktualisiertes Projekt | ProjectUpdated | Ein Projekt wurde von einem Benutzer oder einer App geändert. |
| Aktualisierte Projekteinstellungen | ProjectForTheWebProjectSettings | Ein Administrator hat die Projekteinstellungen aktualisiert. |
| Aktualisierte Roadmap | RoadmapUpdated | Eine Roadmap oder ein Portfolio wurde von einem Benutzer oder einer App geändert. |
| Aktualisiertes Roadmapelement | RoadmapItemUpdated | Ein Roadmap- oder Portfolioelement wurde von einem Benutzer oder einer App geändert. |
| Aktualisierte Roadmapeinstellungen | ProjectForTheWebRoadmaptSettings | Ein Administrator hat die Roadmap oder die Portfolioeinstellungen aktualisiert. |
| Aktualisierte Aufgabe | TaskUpdated | Eine Aufgabe wurde von einem Benutzer oder einer App geändert. |
Microsoft Purview Audit Von Lösungsaktivitäten
In der folgenden Tabelle sind Aktivitäten im Zusammenhang mit Überwachungslösungen im Microsoft Purview-Portal und im Graph-API für die Überwachungssuche aufgeführt. Die Workload SecurityComplianceCenter überwacht diese Aktivitäten. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Überwachungs-Such- und Exportaktivitäten, die Search-UnifiedAuditLog verwenden, werden nicht überwacht.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Überwachen der Suche abgebrochen | AuditSearchCancelled | Ein Überwachungssuchauftrag wurde abgebrochen. |
| Überwachungssuche abgeschlossen | AuditSearchCompleted | Ein Überwachungssuchauftrag wurde abgeschlossen. |
| Überwachungssuche erstellt | AuditSearchCreated | Eine neue Überwachungssuchanforderung wurde übermittelt. |
| Überwachungssuche gelöscht | AuditSearchDeleted | Ein Überwachungssuchauftrag wurde gelöscht. |
| Überwachen des Abgeschlossenen Exportauftrags für die Suche | AuditSearchExportJobCompleted | Der Exportauftrag zum Exportieren der Suchergebnisse einer Überwachungssuchabfrage wurde abgeschlossen. |
| Überwachen des erstellten Exportauftrags für die Suche | AuditSearchExportJobCreated | Ein Exportauftrag wurde erstellt, um die Suchergebnisse einer Überwachungssuchabfrage zu exportieren. |
| Heruntergeladene Suchergebnisse überwachen | AuditSearchExportResultsDownloaded | Die Suchergebnisse aus einer Überwachungssuchabfrage wurden heruntergeladen. |
Microsoft Purview-Governanceaktivitäten
In der folgenden Tabelle sind microsoft Purview-Governanceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen finden Sie unter Microsoft Purview-Governancelösungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Ressource oder Entität erstellt | EntityCreated | Ein neues Medienobjekt oder eine neue Entität wurde erstellt oder einer vorhandenen Ressource hinzugefügt. |
| Klassifizierung hinzugefügt | KlassifizierungHinzuadded | Klassifizierungen zur Ressourcenentität hinzugefügt. |
| Klassifizierungsdefinition erstellt | ClassificationDefinitionCreated | Es wurde ein Klassifizierungstyp erstellt. |
| Klassifizierungsdefinition gelöscht | ClassificationDefinitionDeleted | Ein Klassifizierungstyp wurde gelöscht. |
| Klassifizierungsdefinition aktualisiert | ClassificationDefinitionUpdated | Ein Klassifizierungstyp wurde aktualisiert. |
| Klassifizierung gelöscht | ClassificationDeleted | Klassifizierungen aus der Ressourcenentität gelöscht. |
| Klassifizierung aktualisiert | ClassificationUpdated | Aktualisierte Klassifizierungen für die Ressourcenentität. |
| Entität gelöscht | EntityDeleted | Ein Medienobjekt oder eine Entität wurde aus einem vorhandenen Medienobjekt gelöscht. |
| Entität aktualisiert | EntityUpdated | Umfasst: Attributaktualisierung, Geschäftsattributaktualisierung, Sammlungsinformationen (nur Sammlungs-ID enthalten), Kontakte aktualisieren, customAttributes, hierarchy, homeId, Bezeichnungen, sourceDetails |
| Glossarbegriff zugewiesen | GlossarTermAssigned | Zugewiesene Begriffe zur Ressourcenentität. |
| Glossarbegriff erstellt | GlossaryTermCreated | Einen Begriff erstellt. |
| Glossarbegriff gelöscht | GlossarTermDeleted | Ein Begriff wurde gelöscht. |
| Glossarbegriff getrennt | GlossarTermDisassociated | Nicht zugeordnete Begriffe zur Ressourcenentität. |
| Glossarbegriff aktualisiert | GlossarTermUpdated | Ein Begriff wurde aktualisiert. |
| Vertraulichkeitsbezeichnung geändert | SensitivityLabelChanged | Vertraulichkeitsbezeichnung wurde hinzugefügt, aktualisiert oder gelöscht. |
Microsoft Purview On-Demand-Klassifizierungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten aus der Bedarfsklassifizierung von Microsoft Purview aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zur Bedarfsklassifizierung finden Sie unter Informationen zur Bedarfsklassifizierung in Microsoft Purview.
Hinweis
Diese Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Ihnen muss die entsprechende Lizenz zugewiesen werden, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Klassifizierte Datei als Teil einer bedarfsgesteuerten Klassifizierungsüberprüfung | DataScanClassification | Die Datei wurde im Rahmen einer bedarfsgesteuerten Klassifizierungsüberprüfung für SharePoint oder OneDrive auf vertrauliche Inhalte ausgewertet. |
| Klassifizierte Datei auf dem Gerät im Rahmen einer bedarfsgesteuerten Klassifizierungsüberprüfung | SensitiveInfoDiscovered | Die Datei wurde im Rahmen einer bedarfsgesteuerten Klassifizierungsüberprüfung für Endpunktgeräte auf vertrauliche Inhalte ausgewertet. |
| Deklassifizierte Datei im Rahmen einer bedarfsgesteuerten Klassifizierungsüberprüfung | DataScanDeClassification | Die Datei stimmt nicht mehr mit den Typen vertraulicher Informationen überein, die in der entsprechenden bedarfsgesteuerten Klassifizierungsüberprüfung definiert sind, die für SharePoint- oder OneDrive-Speicherorte ausgelöst wurde. |
Microsoft Security Copilot-Agent-Verwaltung
In der folgenden Tabelle sind die Agent-Verwaltungsvorgänge in Security Copilot aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Diese Aktivitäten charakterisieren Aktivitäten für Agents und die Komponenten, die für ihre Funktion erforderlich sind, z. B. Trigger. Weitere Informationen zur Security Copilot-Agent-Verwaltung finden Sie unter Übersicht über Microsoft Security Copilot-Agents.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Einen neuen Security Copilot-Agent erstellt | CreateCopilotAgent | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat einen neuen Security Copilot-Agent erstellt. |
| Einen neuen Security Copilot-Agent-Trigger erstellt | CreateCopilotforSecurityAgentTrigger | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt. |
| Löschen eines Security Copilot-Agents | DeleteCopilotAgent | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat einen Security Copilot-Agent gelöscht. |
| Einen Security Copilot-Agent-Trigger gelöscht | DeleteCopilotForSecurityAgentTrigger | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat einen Security Copilot Trigger gelöscht. |
| Aktualisiert eine Security Copilot Agent-Einstellung | UpdateCopilotAgent | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Security Copilot-Agent-Einstellung aktualisiert. |
| Aktualisieren eines Security Copilot-Agent-Triggers | UpdateCopilotforSecurityAgentTrigger | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Security Copilot-Agent-Triggereinstellung aktualisiert. |
Microsoft Security Copilot Interaktionen
In der folgenden Tabelle sind die Arten von Benutzerinteraktionen mit KI-Komponenten in Security Copilot aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Diese Vorgänge stellen individuelle Eingabeaufforderungen, eingebettete Erfahrungen oder agentische Workflows dar. Weitere Informationen zu Security Copilot Interaktionen finden Sie unter Eingabeaufforderungen in Security Copilot und Microsoft Security Copilot-Agents – Übersicht.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Interagiert mit Copilot | CopilotInteraction | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Eingabeaufforderungen in Copilot oder an einem Agent eingegeben. |
Microsoft Security Copilot-Plattformverwaltung
In der folgenden Tabelle sind verwaltungsvorgänge eines Security Copilot und deren Komponenten aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Diese Vorgänge stellen Mandanten- oder Arbeitsbereichseinstellungen oder KI-Komponenten wie Plug-Ins und Promptbooks dar. Weitere Informationen zu den Verwaltungselementen von Security Copilot finden Sie unter Was ist Microsoft Security Copilot?
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen eines neuen Copilot-Plug-Ins | CreatePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt. |
| Ein neues Copilot-Promptbook erstellt | CreatePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt. |
| Ein Copilot-Plug-In wurde gelöscht. | DeletePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht. |
| Ein Copilot-Promptbook wurde gelöscht. | DeletePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht. |
| Deaktivieren eines Copilot-Plug-Ins | DisableCopilotPlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert. |
| Deaktivieren eines Copilot-Eingabeaufforderungsbuchs | DisablePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert. |
| Aktivieren eines Copilot-Plug-Ins | EnablePlugin | Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert. |
| Aktivieren eines Copilot-Eingabeaufforderungsbuchs | EnablePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert. |
| Einstellung eines Copilot-Plug-Ins aktualisiert | UpdatePlugin | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert. |
| Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert | UpdatePromptBook | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert. |
| Eine Copilot-Einstellung wurde aktualisiert. | UpdateTenantSettings | Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert. |
Aktivitäten des Microsoft Sentinel-KI-Tools
In der folgenden Tabelle sind die aktivitäten im Zusammenhang mit dem KI-Tool in Microsoft Sentinel-Data Lake aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu MCP-Tools in Microsoft Sentinel-Data Lake finden Sie unter Toolsammlung in Microsoft Sentinel MCP-Server.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Abgeschlossene Ausführung des KI-Tools | SentinelAIToolRunCompleted | Sentinel KI-Toolausführung abgeschlossen |
| Ki-Tool erstellt | SentinelAIToolCreated | Benutzer erstellt ein Sentinel KI-Tool |
| Ausführung des KI-Tools gestartet | SentinelAIToolRunStarted | Gestartete Ausführung des Sentinel-KI-Tools |
Microsoft Sentinel-Data Lake Notebookaktivitäten
In der folgenden Tabelle sind die Notebookaktivitäten in Microsoft Sentinel Data Lake aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu Notebooks in Microsoft Sentinel-Data Lake finden Sie unter Verwenden von Notebooks in Microsoft Sentinel-Data Lake.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Eine benutzerdefinierte Tabelle wurde gelöscht. | CustomTableDelete | Der Benutzer hat eine Tabelle im Rahmen seiner Notebookausführung gelöscht. |
| Aus Tabelle lesen | TableRead | Benutzer lesen eine Tabelle im Rahmen der Notebookausführung. |
| Gestartete Sitzung | SessionStarted | Der Benutzer hat eine Notebooksitzung gestartet. |
| Beendete Sitzung | SessionStopped | Der Benutzer hat eine Notebooksitzung beendet. |
| In eine benutzerdefinierte Tabelle geschrieben | CustomTableWrite | Der Benutzer hat im Rahmen seiner Notebookausführung in eine Tabelle geschrieben. |
Microsoft Sentinel-Data Lake von Auftragsaktivitäten
In der folgenden Tabelle sind die Auftragsaktivitäten in Microsoft Sentinel-Data Lake aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Aufträgen in Microsoft Sentinel-Data Lake finden Sie unter Erstellen und Verwalten von Jupyter Notebook-Aufträgen (Vorschau) und Erstellen von KQL-Aufträgen im Microsoft Sentinel-Data Lake (Vorschau).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Abgeschlossen eines Auftragsausführungs-Adhoc | JobRunAdhocCompleted | Die Ausführung des Adhoc-Auftrags wurde abgeschlossen. |
| Abschluss einer geplanten Auftragsausführung | JobRunScheduledCompleted | Geplante Auftragsausführung abgeschlossen. |
| Erstellter Auftrag | JobCreated | Ein Auftrag wird erstellt. |
| Eine benutzerdefinierte Tabelle wurde gelöscht. | CustomTableDelete | Im Rahmen einer Auftragsausführung wurde die benutzerdefinierte Tabelle gelöscht. |
| Gelöschter Auftrag | JobDeleted | Ein Auftrag wird gelöscht. |
| Deaktivierter Auftrag | JobDisabled | Der Auftrag ist deaktiviert. |
| Aktivierter Auftrag | JobEnabled | Ein deaktivierter Auftrag wird wieder aktiviert. |
| Ausführen eines Auftrags adhoc | JobRunAdhoc | Der Auftrag wird manuell ausgelöst und die Ausführung gestartet. |
| Ausführen eines Auftrags nach Zeitplan | JobRunScheduled | Die Auftragsausführung wird aufgrund eines Zeitplans ausgelöst. |
| Aus Tabelle lesen | TableRead | Im Rahmen der Auftragsausführung wird eine Tabelle gelesen. |
| Eine Auftragsausführung wurde beendet. | JobRunStopped | Der Benutzer bricht eine laufende Auftragsausführung manuell ab oder beendet sie. |
| Aktualisierter Auftrag | JobUpdated | Auftragsdefinition und/oder Konfigurations- und Zeitplandetails des Auftrags, falls aktualisiert. |
| In eine benutzerdefinierte Tabelle geschrieben | CustomTableWrite | Im Rahmen der Auftragsausführung wurden Daten in eine benutzerdefinierte Tabelle geschrieben. |
Microsoft Sentinel-Data Lake KQL-Aktivitäten
In der folgenden Tabelle sind die KQL-Aktivitäten in Microsoft Sentinel-Data Lake aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Weitere Informationen zu KQL in Microsoft Sentinel-Data Lake finden Sie unter KQL und die Microsoft Sentinel-Data Lake (Vorschau).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Abgeschlossene KQL-Abfrage | KQLQueryCompleted | Der Benutzer führt interaktive Abfragen über KQL für Daten in seiner Microsoft Sentinel-Data Lake aus. |
Microsoft Sentinel-Data Lake Onboardingaktivitäten
In der folgenden Tabelle sind die im Microsoft 365-Überwachungsprotokoll aufgezeichneten Microsoft Sentinel-Data Lake-Onboardingaktivitäten aufgeführt. Weitere Informationen zum Onboarding in Microsoft Sentinel-Data Lake finden Sie unter Onboarding in Microsoft Sentinel-Data Lake (Vorschau).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Geändertes Abonnement von Sentinel Lake | SentinelLakeSubscriptionChanged | Der Benutzer hat die Abrechnungsabonnement-ID oder die Ressourcengruppe geändert, die dem Data Lake zugeordnet ist. |
| Onboarding von Daten für Sentinel Lake | SentinelLakeDefaultDataOnboarded | Während des Onboardings werden die Standarddaten für das Onboarding protokolliert. |
| Einrichten von Sentinel Lake | SentinelLakeSetup | Zum Zeitpunkt des Onboardings ist Sentinel Data Lake eingerichtet, und die Details werden protokolliert. |
Microsoft Sentinel Graph-Aktivitäten
In der folgenden Tabelle sind die Graphaktivitäten in Microsoft Sentinel aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu Microsoft Sentinel Graph finden Sie unter Was ist Microsoft Sentinel Graph? (Vorschau).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen eines Diagrammszenarios | GraphScenarioCreated | Der Benutzer hat einen Graphen instance für ein vordefiniertes Diagrammszenario erstellt. |
| Ein Diagrammszenario wurde gelöscht. | GraphScenarioDeleted | Der Benutzer hat einen Graphen instance für ein vordefiniertes Diagrammszenario gelöscht oder deaktiviert. |
| Ausführen einer Graphabfrage | GraphQueryRun | Der Benutzer hat eine Graphabfrage ausgeführt. |
Microsoft Stream-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Stream durchsuchen. Diese Aktivitäten umfassen Videoaktivitäten, die von Benutzern ausgeführt werden, Gruppenkanalaktivitäten und Administratoraktivitäten, beispielsweisedas Verwalten von Benutzern und Organisationseinstellungen sowie das Exportieren von Berichten. Eine Beschreibung dieser Aktivitäten finden Sie im Abschnitt "Aktionen, die in Stream protokolliert werden" in den Überwachungsprotokollen in Microsoft Stream.
Microsoft Teams-Aktivitäten
In der folgenden Tabelle sind microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Teams durchsuchen. Microsoft Teams ist ein Arbeitsbereich in Microsoft 365, der das Chatten ermöglicht. Hier werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams an einem Ort zusammengeführt. Ausführlichere Suchanleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Nachricht annehmen | UserAccepted | Akzeptieren Sie eine neue Nachricht von einer Person, die nie Kontakt zu hergestellt hat. |
| Bot zum Team hinzugefügt | BotAddedToTeam | Ein Benutzer fügt einem Team einen Bot hinzu. |
| Kanal hinzugefügt | ChannelAdded | Ein Benutzer fügt einem Team einen Kanal hinzu. |
| Connector hinzugefügt | ConnectorAdded | Ein Benutzer fügt einen Connector zu einem Kanal hinzu. |
| Details zu Teams-Besprechung 9 hinzugefügt | MeetingDetail | Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit, der URL für die Teilnahme an der Besprechung und der Aufzeichnung der Start-/Stoppzeit für die Besprechung. |
| Informationen zu Besprechungsteilnehmern hinzugefügt 9 | MeetingParticipantDetail | Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt, die Zeit, an der ein Teilnehmer die Besprechung verlassen hat, und die Start-/Stoppzeit einer Besprechungsaufzeichnung durch den Benutzer. Sie können auch Protokolle mit Zeitstempeln und Informationen zu Folgenden anzeigen: – Wer einer Besprechung beigetreten ist – Ort der Bildschirmfreigabe – Wer hat die Bildschirmfreigabe gestartet? – Zeitpunkt der Bildschirmfreigabe – Beim Beenden der Bildschirmfreigabe – Wenn die Steuerung "Take", "Give" oder "Request" aktiviert wurde – Wenn diese Kontrollanforderungen akzeptiert wurden – Wer hat diese Kontrollanforderungen akzeptiert? – Für wen der Inhalt freigegeben wurde |
| Mitglieder hinzugefügt 6, 8 | MemberAdded | Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu. |
| Registerkarte hinzugefügt | TabAdded | Ein Benutzer fügt einem Kanal eine Registerkarte hinzu. |
| Angewendete Vertraulichkeitsbezeichnung | SensitivityLabelApplied | Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet. |
| Genehmigte Anforderung | ApprovedRequest | Nachdem der Benutzer die Details der Genehmigungsanforderung angezeigt hat, hat er sie genehmigt. |
| Benutzer blockieren | UserBlocked | Blockieren des Sendens von Nachrichten an Sie durch einen Benutzer. |
| Genehmigungsanforderung abgebrochen | CanceledApprovalRequest | Der Benutzer hat eine genehmigungsanforderung abgebrochen, die er gestellt hat. |
| Asynchron abgebrochene Genehmigung | CancelledApprovalAsync | Der Benutzer bricht eine Genehmigungsanforderung asynchron ab. |
| Kanaleinstellung geändert | ChannelSettingChanged | Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
| Organisationseinstellung geändert | TeamsTenantSettingChanged | Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
| Rolle von Mitgliedern im Team geändert | MemberRoleChanged | Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist. 1 – Die Rolle "Mitglied". 2 : Die Rolle "Besitzer". 3 – Die Gastrolle. Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds. |
| Geänderte Vertraulichkeitsbezeichnung | SensitivityLabelChanged | Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert. |
| Teameinstellung geändert | TeamSettingChanged | Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
|
| Erstellen von organisationsbezogenen vorlagenbezogenen instance | CreateOrgScopedTemplateInstance | Der Benutzer hat eine organization bereichsbezogene Vorlage instance erstellt. |
| Erstellen einer teamweit gültigen Vorlage instance | CreateTeamScopedTemplateInstance | Der Benutzer hat eine teambezogene Vorlage instance erstellt. |
| Erstellen einer Updateanforderung | CreateUpdateRequest | Der Benutzer hat eine neue Updatevorlage erstellt. |
| Erstellen eines Chats 1, 6 | ChatCreated | Ein Teams-Chat wurde erstellt. |
| Genehmigung erstellt | CreatedApproval | Der Benutzer hat eine neue Genehmigungsanforderung erstellt. |
| asynchrone Genehmigung erstellt | CreatedApprovalAsync | Der Benutzer erstellt asynchron eine neue Genehmigungsanforderung. |
| Erstellter Exportauftrag | CreatedExportJob | Der Benutzer hat einen Exportauftrag erstellt. |
| Bereitstellung erstellt | CreatedProvisioning | Vom Benutzer erstellte Bereitstellung von CDS (Common Data Service) instance. |
| Team erstellt | TeamCreated | Ein Benutzer erstellt ein Team. |
| Updateanforderung löschen | DeleteUpdateRequest | Der Benutzer löscht eine Updatevorlage. |
| Nachricht gelöscht 2 | MessageDeleted | Eine Nachricht in einem Chat oder Kanal wurde gelöscht. |
| Alle organization-Apps gelöscht | DeletedAllOrganizationApps | Alle organization Apps aus dem Katalog gelöscht. |
| Gelöschte App | AppDeletedFromCatalog | Eine App wurde aus dem Katalog gelöscht. |
| Kanal gelöscht | ChannelDeleted | Ein Benutzer löscht einen Kanal aus einem Team. |
| Team gelöscht | TeamDeleted | Ein Teambesitzer löscht ein Team. |
| Erkannter Identitätswechselversuch | TeamsImpersonation erkannt | Es wird festgestellt, dass ein externer Nachrichtenabsender eine potenzielle Identitätswechselaktivität hat. |
| Datei heruntergeladen | DownloadedFile | Vom Benutzer heruntergeladene Datei, die an eine Genehmigungsanforderung angefügt ist. |
| Bearbeiten von organisationsbezogenen Vorlagen instance | EditOrgScopedTemplateInstance | Der Benutzer hat eine organization bereichsbezogene Vorlage instance bearbeitet. |
| Bearbeiten von teamweit gültigen Vorlagen instance | EditTeamScopedTemplateInstance | Der Benutzer hat eine teambezogene Vorlage instance bearbeitet. |
| Updateanforderung bearbeiten | EditUpdateRequest | Der Benutzer öffnet den Vorlagenbearbeitungs-Assistenten und wählt die Schaltfläche Speichern aus, um alle Aktualisierungen zu bestätigen oder Vorlagen zu aktivieren/zu deaktivieren. |
| Bearbeiten einer Nachricht mit einem URL-Link in Teams | MessageEditedHasLink | Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu. |
| Bearbeitete Genehmigungsanforderung | EditedApprovalRequest | Der Benutzer hat eine Bearbeitungsaktion für eine Genehmigungsanforderung ausgeführt. |
| Exportierte Nachrichten 1,2 | MessagesExported | Chat- oder Kanalnachrichten wurden exportiert. |
| Exportierte Aufzeichnungen 1 | RecordingExported | Chataufzeichnungen wurden exportiert. |
| Exportierte Transkripte 1 | TranscriptsExported | Chattranskripte wurden exportiert. |
| Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3 | FailedValidation | Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen. |
| Alle gehosteten Inhalte einer Nachrichtabgerufen 1 | MessageHostedContentsListed | Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen. |
| Abgerufener Chat 1 | ChatRetrieved | Ein Microsoft Teams-Chat wurde abgerufen. |
| Abrufen von organisationsbezogenen Vorlagen instance | GetOrgScopedTemplateInstance | Der Benutzer hat eine organization bereichsbezogene Vorlage instance abgerufen. |
| Abrufen von teamweit gültigen Vorlagen instance | GetTeamScopedTemplateInstance | Der Benutzer hat eine teambezogene Vorlage instance abgerufen. |
| Asynchroner Vorgang | GotAsyncOperation | Der Benutzer hat eine Entität für einen asynchronen Vorgang erhalten. |
| App installiert | AppInstalled | Eine App wurde installiert. |
| Aktion für Karte ausgeführt | PerformenCardAction | Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen. Anmerkung: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", mit dem ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar. |
| Auffüllen von KI-generierten Notizen im Chat | AINotesUpdate | KI-generierte Notizen wurden für einen Gruppenchat aufgefüllt. |
| Auffüllen von KI generierter Notizen in Livebesprechungen | LiveNotesUpdate | KI-generierte Notizen wurden für eine Livebesprechung aufgefüllt. |
| Neue Nachricht veröffentlicht 3,4,6, 8 | MessageSent | Eine neue Nachricht wurde in einem Chat oder Kanal gepostet. |
| Veröffentlichte App | AppPublishedToCatalog | Dem Katalog wurde eine App hinzugefügt. |
| Lesen einer Nachricht 1 | MessageRead | Eine Nachricht eines Chats oder Kanals wurde abgerufen. |
| Lesen des gehosteten Inhalts einer Nachricht 1 | MessageHostedContentRead | Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen. |
| Neu zugewiesene Genehmigungsanforderung | ReassignedApprovalRequest | Der Benutzer hat einem anderen Benutzer erneut eine Genehmigungsanforderung zugewiesen. |
| Abgelehnte Genehmigungsanforderung | RejectedApprovalRequest | Nachdem der Benutzer die Details der Genehmigungsanforderung angezeigt hat, hat er sie abgelehnt. |
| Bot aus Team entfernt | BotRemovedFromTeam | Ein Benutzer entfernt einen Bot aus einem Team. |
| Connector entfernt | ConnectorRemoved | Ein Benutzer entfernt einen Connector aus einem Kanal. |
| Entfernte Mitglieder 6, 8 | MemberRemoved | Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat. |
| Vertraulichkeitsbezeichnung entfernt | SensitivityLabelRemoved | Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt. |
| Freigabe von Teamkanal 3 entfernt | TerminatedSharing | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert. |
| Registerkarte entfernt | TabRemoved | Ein Benutzer entfernt eine Registerkarte aus einem Kanal. |
| Antwort auf Genehmigung | RespondedToApproval | Der Benutzer hat eine Aktion für eine Genehmigungsanforderung ausgeführt. |
| Auf Einladung für den freigegebenen Kanal 3 geantwortet | EingeladeneAntworten | Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet. |
| Antwort der eingeladenen Person auf freigegebenen Kanal 3 | ChannelOwnerResponded | Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat. |
| Antwort mit benutzerdefinierter Antwort | RespondedWithCustomResponse | Der Benutzer hat mit einem benutzerdefinierten Antworttext auf eine Genehmigungsanforderung geantwortet. |
| Freigabe von Teamkanal 3 wiederhergestellt | SharingRestored | Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert. |
| Abgerufene Nachrichten 1 | MessagesListed | Nachrichten aus einem Chat oder Kanal wurden abgerufen. |
| Freigegebene vertrauliche Inhalte | SensitiveContentShared | Protokolliert, wenn die Option Vertrauliche Inhalte während einer Bildschirmfreigabebesprechung erkennen für eine Teams-Besprechung aktiviert ist und innerhalb dieser Besprechung vertrauliche Inhalte (z. B. Gutschriften Karte Nummern, Bankkontonummern, Sozialversicherungsnummern und ähnliche Identifikationsnummern) während einer Bildschirmfreigabesitzung auf dem Bildschirm angezeigt werden. Weitere Informationen finden Sie unter Verwalten, ob Besprechungen in Ihrem organization vertrauliche Inhalte während der Bildschirmfreigabe erkennen können. |
| Senden einer Nachricht mit einem URL-Link in Teams | MessageCreatedHasLink | Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams. |
| Gesendete Änderungsbenachrichtigung zur Nachrichtenerstellung 1 | MessageCreatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen. |
| Gesendete Änderungsbenachrichtigung zum Löschen von Nachrichten 1 | MessageDeletedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen. |
| Gesendete Änderungsbenachrichtigung für Meldungsupdate 1 | MessageUpdatedNotification | Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen. |
| Gesendete Einladung für den freigegebenen Kanal 3 | InviteSent | Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist. |
| Update übermitteln | SubmitUpdate | Der Benutzer hat ein neues Update übermittelt. |
| Nachrichtenänderungsbenachrichtigungen abonniert 1 | SubscribedToMessages | Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen. |
| Teams Admin-Aktion | TeamsAdminAction | Wird protokolliert, wenn ein Teams-Administrator Aktionen wie das Aktualisieren, Hinzufügen oder Löschen von Teams-bezogenen Einstellungen oder Konfigurationen mithilfe von Administratortools wie PowerShell, Admin Center, API usw. ausführt. |
| Threaderstellung untersucht | CreateThreadProbe | Ein Benutzer hat überprüft, ob er einen Chat mit Benutzern in Ihrer organization erstellen kann. Die folgenden Eigenschaften werden für jede dieser Aktivitäten aufgefüllt: Aktivität: Der Name dieser Aktivität, CreateThreadProbe. CorrelationId: Eindeutiger Anforderungsbezeichner für das Überwachungsprotokoll. CreationTime: Der Zeitpunkt, zu dem das Überwachungsprotokoll erstellt wurde. ExtraProperties**: Enthält ein einzelnes Schlüssel-Wert-Paar, das die Umgebung beschreibt, in der die Testanforderung initiiert wurde. ID: Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig. OrganizationId: Die GUID für Ihre Microsoft 365-organization. ParticipantInfo: Enthält eine Liste der ObjectId- und tenantId-Paare, die die Gruppe der Zielbenutzer beschreiben, für die der initiierende Benutzer (UserKey-Benutzer) den Test initiiert hat. Anders ausgedrückt: Dies sind die Benutzer, mit denen der initiierende Benutzer einen Thread erstellen möchte. Enthält nur Benutzer aus Ihrem organization. RecordType: Der Typ des Vorgangs, der durch den Datensatz angegeben wird. UserID: Der Benutzerprinzipalname des Benutzers, der den Test initiiert hat. UserKey: GUID des Benutzers, der den Test initiiert hat. UserSIPDomain: Die SIP-Domäne des Benutzers, der den Test initiiert hat. UserTenantId: Der Mandant des Benutzers, der den Test initiiert hat. UserType: Der Typ des Benutzers, der den Test initiiert hat. Akzeptiert nur den Wert 0, der einen regulären AAD-Benutzer darstellt. Version: Die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft), die protokolliert wird. Workload: Der Dienst, in dem die Aktivität aufgetreten ist. |
| Benutzerblockierung aufheben | UserUnblocked | Heben Sie die Blockierung eines Benutzers auf, der zuvor blockiert wurde. |
| Deinstallierte App | AppUninstalled | Eine App wurde deinstalliert. |
| Chat aktualisiert 1 | ChatUpdated | Ein Teams-Chat wurde aktualisiert. |
| Nachricht aktualisiert 1 | MessageUpdated | Eine Nachricht eines Chats oder Kanals wurde aktualisiert. |
| Aktualisierte App | AppUpdatedInCatalog | Eine App wurde im Katalog aktualisiert. |
| Asynchron aktualisierte Genehmigungsanforderung | UpdatedApprovalRequestAsync | Der Benutzer hat asynchron eine Aktion für eine Genehmigungsanforderung ausgeführt. |
| Connector aktualisiert | ConnectorUpdated | Ein Benutzer hat in einem Kanal einen Connector geändert. |
| Registerkarte aktualisiert | TabUpdated | Ein Benutzer hat in einem Kanal eine Registerkarte geändert. |
| Aktualisierte App | AppUpgradeed | Eine App wurde im Katalog auf die neueste Version aktualisiert. |
| Benutzer bei Teams angemeldet | TeamsSessionStarted | Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten. |
| Genehmigungsanforderung anzeigen | ViewApprovalRequest | Der Benutzer stellt eine Anforderung zum Anzeigen einer Genehmigungsanforderung. |
| Update anzeigen | ViewUpdate | Der Benutzer zeigt die Details des Updates an. |
| Angezeigte Genehmigungsanforderung | ViewedApprovalRequest | Der Benutzer zeigt die Details der Genehmigungsanforderung entweder aus dem adaptiven Karte oder innerhalb der App an. |
| Angezeigte Genehmigung mit zusätzlichem Feld | ViewedApprovalWithAdditionalField | Der Benutzer zeigt die Details der Genehmigungsanforderung an, die mindestens ein bearbeitbares Textfeld enthält. |
| Angezeigte Genehmigung mit Gruppenanforderung | ViewedApprovalWithGroupRequest | Der Benutzer zeigt die Details der Genehmigungsanforderung an, in der eine Gruppe enthalten ist. |
Hinweis
1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert.
2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
3 Dieses Ereignis befindet sich in der öffentlichen Vorschau.
4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind.
5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten.
7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats.
8 Dieses Ereignis ist in allen Chatunterhaltungen zwischen externen Teams-Benutzern enthalten, die von einem organization verwaltet werden, und externen Teams-Benutzern, die nicht von einem organization verwaltet werden.
9 Dieses Ereignis ist derzeit in Government Community Cloud (GCC) nicht verfügbar, ist jedoch in Den Organisationen Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
Microsoft Teams-Aktivitäten im Gesundheitswesen
Wenn Ihr organization die Patientenanwendung in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Patienten-App durchsuchen. Wenn Ihre Umgebung für die Unterstützung der Patienten-App konfiguriert ist, ist eine zusätzliche Aktivitätsgruppe für diese Aktivitäten in der Auswahlliste Aktivitäten verfügbar.
Eine Beschreibung der Patienten-App-Aktivitäten finden Sie unter Überwachungsprotokolle für die Patienten-App.
Microsoft Teams Schichten-Aktivitäten
In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll aufgezeichneten Aktivitäten für die Schicht-App in Microsoft Teams aufgeführt. Wenn Ihr organization die Schichten-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Wenn Ihre Umgebung für die Unterstützung von Schichten-Apps konfiguriert ist, enthält die Auswahlliste Aktivitäten eine zusätzliche Aktivitätsgruppe für diese Aktivitäten.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Meldung "Außerhalb der Schicht akzeptiert" | OffShiftDialogAccepted | Ein Benutzer hat die Off-Shift-Nachricht bestätigt, um nach der Schicht auf Teams zuzugreifen. |
| Offene Schicht hinzugefügt | OpenShiftAdded | Ein Benutzer hat einer Planungsgruppe eine offene Schicht hinzugefügt. |
| Planungsgruppe hinzugefügt | ScheduleGroupAdded | Ein Benutzer hat dem Zeitplan eine neue Planungsgruppe hinzugefügt. |
| Hinzugefügte Verschiebung | ShiftAdded | Ein Benutzer hat eine Schicht hinzugefügt. |
| Schichtanforderung hinzugefügt | RequestAdded | Ein Benutzer hat eine Schichtanforderung hinzugefügt. |
| Zeituhreintrag hinzugefügt | TimeClockEntryAdded | Ein Benutzer hat einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzugefügt. |
| Hinzugefügte Freizeit | TimeOffAdded | Ein Benutzer hat dem Zeitplan freizeit hinzugefügt. |
| Mitarbeiterintegration hinzugefügt | WorkforceIntegrationAdded | Die Schichten-App ist in ein Drittanbietersystem integriert. |
| Abgebrochene Schichtanforderung | RequestCancelled | Ein Benutzer hat eine Schichtanforderung abgebrochen. |
| Geänderte Zeitplaneinstellung | ScheduleSettingChanged | Ein Benutzer hat eine Einstellung in den Einstellungen für Schichten geändert. |
| Getaktet mithilfe der Zeituhr | ClockedIn | Ein Benutzer, der mit der Zeituhr eingetaktet wurde. |
| Ausgetaktet mithilfe der Zeituhr | ClockedOut | Ein Benutzer hat die Zeituhr verwendet. |
| Geöffnete Schicht gelöscht | OpenShiftDeleted | Ein Benutzer hat eine offene Schicht aus einer Planungsgruppe gelöscht. |
| Gelöschte Zeitplanungsgruppe | ScheduleGroupDeleted | Ein Benutzer hat eine Zeitplanungsgruppe aus dem Zeitplan gelöscht. |
| Gelöschte Schicht | SHIFTDeleted | Ein Benutzer hat eine Schicht gelöscht. |
| Gelöschter Zeituhreintrag | TimeClockEntryDeleted | Ein Benutzer hat einen Zeituhreintrag auf der Arbeitszeittabelle gelöscht. |
| Löschzeit | TimeOffDeleted | Ein Benutzer hat die Freizeit gelöscht. |
| Bearbeitete offene Schicht | OpenShiftEdited | Ein Benutzer hat eine offene Schicht in einer Planungsgruppe bearbeitet. |
| Bearbeitete Zeitplanungsgruppe | ScheduleGroupEdited | Ein Benutzer hat eine Planungsgruppe bearbeitet. |
| Bearbeitete Schicht | ShiftEdited | Ein Benutzer hat eine Schicht bearbeitet. |
| Bearbeiteter Zeituhreintrag | TimeClockEntryEdited | Ein Benutzer hat einen Zeituhreintrag auf der Arbeitszeittabelle bearbeitet. |
| Bearbeitete Freizeit | TimeOffEdited | Eine vom Benutzer bearbeitete Freizeit. |
| Beendigung der Pause mithilfe der Zeituhr | BreakEnded | Ein Benutzer hat eine Pause während einer aktiven Time Clock-Sitzung beendet. |
| Antwort auf Schichtanforderung | RequestRespondedTo | Ein Benutzer hat auf eine Schichtanforderung geantwortet. |
| Freigegebener Zeitplan | ScheduleShared | Ein Benutzer hat einen Teamzeitplan für einen Datumsbereich freigegeben. |
| Pause mithilfe der Zeituhr gestartet | BreakStarted | Ein Benutzer hat während einer aktiven Time Clock-Sitzung eine Pause gestartet. |
| Zeitplan zurückgezogen | ScheduleWithdrawn | Ein Benutzer hat einen veröffentlichten Zeitplan zurückgezogen. |
Microsoft Teams Updates-Aktivitäten
In der folgenden Tabelle sind aktivitäten für die Updates-App in Microsoft Teams aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Wenn Ihr organization die Updates-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Updates-App durchsuchen. Wenn Ihre Umgebung für die Unterstützung Updates Apps konfiguriert ist, enthält die Auswahlliste Aktivitäten eine zusätzliche Aktivitätsgruppe für diese Aktivitäten.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen einer Updateanforderung | CreateUpdateRequest | Ein Benutzer hat eine Updateanforderung erstellt. |
| Bearbeiten einer Updateanforderung | EditUpdateRequest | Ein Benutzer öffnet den Workflow zur Bearbeitung von Anforderungen und wählt Speichern aus, um alle Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt. |
| Übermitteln eines Updates | SubmitUpdate | Ein Benutzer hat ein Update übermittelt. |
| Anzeigen der Details eines Updates | ViewUpdate | Ein Benutzer zeigt die Details des Updates an. |
Microsoft To Do-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Microsoft To Do aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Weitere Informationen zu Microsoft To Do finden Sie unter Support für Microsoft To Do.
Hinweis
Um Ereignisse für Microsoft To Do-Aktivitäten zu überwachen, benötigen Sie zusätzlich zur relevanten Microsoft 365-Lizenz, die Berechtigungen auf Audit (Standard) enthält, eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Akzeptierter Freigabelink im Ordner | AcceptedSharingLinkOnFolder | Akzeptierter Freigabelink für einen Ordner. |
| Anlage erstellt | AttachmentCreated | Für eine Aufgabe wurde eine Anlage erstellt. |
| Anlage gelöscht | AttachmentDeleted | Eine Anlage wurde gelöscht. |
| Anlage aktualisiert | AttachmentUpdated | Eine Anlage wurde aktualisiert. |
| Ordnerfreigabelink freigegeben | FolderSharingLinkShared | Es wurde ein Freigabelink für einen Ordner erstellt. |
| Verknüpfte Entität erstellt | LinkedEntityCreated | Eine verknüpfte Entität der Aufgabe wurde erstellt. |
| Verknüpfte Entität gelöscht | LinkedEntityDeleted | Eine verknüpfte Entität wurde gelöscht. |
| Verknüpfte Entität aktualisiert | LinkedEntityUpdated | Eine verknüpfte Entität wurde aktualisiert. |
| SubTask erstellt | SubTaskCreated | Ein Teilvorgang wurde erstellt. |
| SubTask gelöscht | SubTaskDeleted | Ein Teilvorgang wurde gelöscht. |
| SubTask aktualisiert | SubTaskUpdated | Ein Teilvorgang wurde aktualisiert. |
| Aufgabe erstellt | TaskCreated | Eine Aufgabe wurde erstellt. |
| Aufgabe gelöscht | TaskDeleted | Eine Aufgabe wurde gelöscht. |
| Aufgabenlesevorgang | TaskRead | Eine Aufgabe wurde gelesen. |
| Aufgabe aktualisiert | TaskUpdated | Eine Aufgabe wurde aktualisiert. |
| TaskList erstellt | TaskListCreated | Eine Aufgabenliste wurde erstellt. |
| TaskList lesen | TaskListRead | Eine Aufgabenliste wurde gelesen. |
| TaskList aktualisiert | TaskListUpdated | Eine Aufgabenliste wurde aktualisiert. |
| Eingeladener Benutzer | UserInvited | Eingeladener Benutzer in einen Ordner. |
Microsoft Viva Insights Aktivitäten
Viva Insights bietet Einblicke in die Zusammenarbeit von Gruppen in Ihren organization. In der folgenden Tabelle sind aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden, denen Benutzer die Rollen Administrator oder Analyst in Viva Insights ausführen. Benutzern, denen die Rolle des Analysten zugewiesen ist, haben Vollzugriff auf alle Dienstfunktionen und können das Produkt für Analysen verwenden. Benutzer, denen die Administratorrolle zugewiesen ist, können Datenschutzeinstellungen und Systemstandardeinstellungen konfigurieren und Organisationsdaten in Viva Insights vorbereiten, hochladen und überprüfen. Weitere Informationen finden Sie unter Einführung in Microsoft Viva Insights.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Auf OData-Link zugegriffen | AccessedOdataLink | Analyst hat auf für eine Abfrage auf den OData-Link zugegriffen. |
| Delegatzugriff hinzugefügt | AddDelegates | Ein Benutzer hat Stellvertretungszugriff für organization Insights oder Copilot Dashboard hinzugefügt. |
| Abfrage abgebrochen | CanceledQuery | Ein Analyst hat eine laufende Abfrage abgebrochen. |
| Besprechungsausschluss erstellt | MeetingExclusionCreated | Ein Analytiker hat eine Ausschlussregel Besprechungen erstellt. |
| Ergebnis gelöscht | DeletedResult | Ein Analyst hat ein Abfrageergebnis gelöscht. |
| Bericht heruntergeladen | DownloadedReport | Ein Analyst hat eine Abfrageergebnisdatei heruntergeladen. |
| Abfrage ausgeführt | ExecutedQuery | Ein Analyst hat eine Abfrage ausgeführt. |
| Geänderte CXO-Einstellungen | ModifiedCXOSettings | Dieses Ereignis protokolliert die Zuweisung oder Entfernung von Benutzern/Gruppen für den Zugriff auf das Microsoft 365 Copilot-Dashboard. |
| Geänderte Ausschlussliste mithilfe der Entra-Gruppe | ModifiedExclusionListUsingEntraGroup | Dieses Ereignis protokolliert Änderungen an der Ausschlussliste mithilfe der Entra-Gruppe im Copilot-Dashboard. |
| Minimale Gruppengröße geändert | ModifiedMinimumGroupSize | Dieses Ereignis protokolliert Änderungen an der Mindestgruppengröße des organization, um Erkenntnisse im Copilot-Dashboard zu generieren und Viva Insights erweiterten Analyse zu ermöglichen. |
| Delegatzugriff entfernt | RemoveDelegates | Ein Benutzer hat den Stellvertretungszugriff für organization Insights oder Copilot Dashboard entfernt. |
| Datenzugriffseinstellungen aktualisiert | UpdatedDataAccessSetting | Ein Administrator hat die Datenzugriffseinstellungen aktualisiert. |
| Organisationsdaten hochgeladen | UploadedOrgData | Ein Administrator hat eine Organisationsdatendatei hochgeladen. |
| Angemeldeter Benutzer* | UserLoggedIn | Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto angemeldet ist. |
| Explore angezeigt | ViewedExplore | Ein Analyst hat Visualisierungen in einer oder mehreren Explore-Registerkarten angezeigt. |
Hinweis
*Ein Microsoft Entra Anmeldeaktivitätsereignis wird erstellt, wenn sich ein Benutzer anmeldet. Diese Aktivität wird auch protokolliert, wenn Sie Viva Insights in Ihrem organization nicht aktivieren. Weitere Informationen zu Benutzeranmeldungsaktivitäten finden Sie unter Anmeldeprotokolle in Microsoft Entra-ID.
Persönliche Insights-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in persönlichen Erkenntnissen aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zu persönlichen Erkenntnissen finden Sie unter Admin Leitfaden für persönliche Einblicke.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Aktualisierte MyAnalytics-Einstellungen für die Organisation | UpdatedOrganizationMyAnalyticsSettings | Admin organization Einstellungen für persönliche Erkenntnisse aktualisiert. |
| Aktualisierte MyAnalytics-Einstellungen für Benutzer | UpdatedUserMyAnalyticsSettings | Admin aktualisiert die Benutzereinstellungen für persönliche Erkenntnisse. |
Quarantäneaktivitäten
In der folgenden Tabelle sind die Quarantäneaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Weitere Informationen zur Quarantäne finden Sie unter Isolierte E-Mail-Nachrichten.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Gelöschte Quarantänenachricht | QuarantineDeleteMessage | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht gelöscht, die schädlich war. |
| Anforderung zur Freigabe von Nachrichten unter Quarantäne verweigert | QuarantineReleaseRequestDeny | Eine Administratorverweigerung für eine Releaseanforderung eines Benutzers für eine E-Mail-Nachricht, die schädlich war. |
| Exportierte Quarantänenachricht | QuarantineExport | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht exportiert, die schädlich war. |
| In der Vorschau angezeigte Quarantänenachricht | QuarantinePreview | Ein Administrator oder Benutzer hat eine Vorschau einer E-Mail-Nachricht angezeigt, die schädlich war. |
| Releaseanforderungsquarantänenachricht | QuarantineReleaseRequest | Ein Benutzer hat die Freigabe einer E-Mail-Nachricht angefordert, die schädlich war. |
| Veröffentlichte Quarantänenachricht | QuarantineRelease | Ein Administrator oder Benutzer hat eine E-Mail-Nachricht aus der Quarantäne freigegeben, die schädlich war. |
| Angezeigte Kopfzeile einer Nachricht in der Quarantäne | QuarantineViewHeader | Ein Administrator oder Benutzer hat die Kopfzeile einer schädlichen E-Mail-Nachricht angezeigt. |
Berichtsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Nutzungsberichte aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Datenschutzeinstellungen für Nutzungsberichte aktualisiert | UpdateUsageReportsPrivacySetting | Der Administrator hat die Datenschutzeinstellungen für Nutzungsberichte aktualisiert. |
Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten
In der folgenden Tabelle sind die Konfigurationsaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll für Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen aufgezeichnet werden, wenn Sie sie erstellen, neu konfigurieren oder löschen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Mitgliedschaft im adaptiven Bereich geändert | ApplicableAdaptiveScopeChange | Benutzer, Websites oder Gruppen wurden dem adaptiven Bereich hinzugefügt oder daraus entfernt. Diese Änderungen ergeben sich aus der Ausführung der Abfrage des Bereichs. Da die Änderungen vom System initiiert werden, wird der gemeldete Benutzer als GUID und nicht als Benutzerkonto angezeigt. |
| Einstellungen für eine Aufbewahrungsrichtlinie konfiguriert | NewRetentionComplianceRule | Der Administrator hat die Aufbewahrungseinstellungen für eine neue Aufbewahrungsrichtlinie konfiguriert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets New-RetentionComplianceRule. |
| Adaptiver Bereich erstellt | NewAdaptiveScope | Der Administrator hat einen adaptiven Bereich erstellt. |
| Aufbewahrungsbezeichnung erstellt | NewComplianceTag | Der Administrator hat eine neue Aufbewahrungsbezeichnung erstellt. |
| Aufbewahrungsrichtlinie erstellt | NewRetentionCompliancePolicy | Der Administrator hat eine neue Aufbewahrungsrichtlinie erstellt. |
| Adaptiver Bereich gelöscht | RemoveAdaptiveScope | Der Administrator hat einen adaptiven Bereich gelöscht. |
| Aufbewahrungsbezeichnung gelöscht | RemoveComplianceTag | Der Administrator hat eine Aufbewahrungsbezeichnung gelöscht. |
| Aufbewahrungsrichtlinie gelöscht | RemoveRetentionCompliancePolicy |
Der Administrator hat eine Aufbewahrungsrichtlinie gelöscht. |
| Einstellungen für eine Aufbewahrungsrichtlinie gelöscht | RemoveRetentionComplianceRule |
Der Administrator hat die Konfigurationseinstellungen einer Aufbewahrungsrichtlinie gelöscht. Höchstwahrscheinlich wird diese Aktivität protokolliert, wenn ein Administrator eine Aufbewahrungsrichtlinie löscht oder das Cmdlet Remove-RetentionComplianceRule ausführt. |
| Option "Regulatorischer Datensatz" für Aufbewahrungsbezeichnungen aktiviert |
SetRestrictiveRetentionUI | Der Administrator hat das Cmdlet Set-RegulatoryComplianceUI ausgeführt, sodass ein Administrator die Option für die Benutzeroberflächenkonfiguration für eine Aufbewahrungsbezeichnung auswählen kann, um Inhalte als regulatorischen Datensatz zu kennzeichnen. |
| Proaktiv beibehaltenes E-Mail-Element | ExchangeDataProactivelyPreserved | Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in Exchange beizubehalten. |
| Proaktiv beibehaltene Datei | SharePointDataProactivelyPreserved | Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in SharePoint oder OneDrive beizubehalten. |
| Adaptiver Bereich aktualisiert | SetAdaptiveScope | Der Administrator hat die Beschreibung oder Abfrage für einen vorhandenen adaptiven Bereich geändert. |
| Aufbewahrungsbezeichnung aktualisiert | SetComplianceTag | Der Administrator hat eine vorhandene Aufbewahrungsbezeichnung aktualisiert. |
| Aufbewahrungsrichtlinie aktualisiert | SetRetentionCompliancePolicy | Der Administrator hat eine vorhandene Aufbewahrungsrichtlinie aktualisiert. Updates, die dieses Ereignis auslösen, sind beispielsweise das Hinzufügen oder Ausschließen von Inhaltsspeicherorten, auf die die Aufbewahrungsrichtlinie angewendet ist. |
| Einstellungen für eine Aufbewahrungsrichtlinie aktualisiert | SetRetentionComplianceRule | Der Administrator hat die Aufbewahrungseinstellungen für eine vorhandene Aufbewahrungsrichtlinie geändert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets Set-RetentionComplianceRule. |
Rollenverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Aktivitäten zur Rollenverwaltung aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden, wenn ein Administrator Administratorrollen im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Mitglied zu Rolle hinzugefügt | Mitglied zu Rolle hinzufügen. | Ein Benutzer wurde einer Administratorrolle in Microsoft 365 hinzugefügt. |
| Benutzer aus einer Directory-Rolle entfernt | Mitglied aus Rolle entfernen. | Ein Benutzer wurde aus einer Administratorrolle in Microsoft 365 entfernt. |
| Kontaktinformationen für Unternehmen festgelegt | Kontaktinformationen für Unternehmen festlegen. | Die Kontakteinstellungen auf Unternehmensebene für Ihre Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Microsoft 365 gesendet werden, sowie technische Benachrichtigungen zu Diensten. |
Aktivitäten vertraulicher Informationstypen
In der folgenden Tabelle sind die Überwachungsereignisse für Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden, wobei vertrauliche Informationstypen erstellt und aktualisiert werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Neuer vertraulicher Informationstyp erstellt | CreateRulePackage/EditRulePackage* | Ein neuer vertraulicher Informationstyp wurde erstellt. Diese Informationen umfassen alle SITs, die durch Kopieren eines standardmäßigen SIT erstellt wurden. Hinweis: Diese Aktivität wird unter den Überwachungsaktivitäten "Erstelltes Regelpaket" oder "Bearbeitetes Regelpaket" angezeigt. |
| Ein vertraulicher Informationstyp wurde gelöscht. | EditRulePackage/RemoveRulePackage | Ein vorhandener vertraulicher Informationstyp wurde gelöscht. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" oder "Regelpaket entfernt" angezeigt. |
| Bearbeiten eines vertraulichen Informationstyps | EditRulePackage | Ein vorhandener vertraulicher Informationstyp wurde bearbeitet. Diese Informationen können Vorgänge wie das Hinzufügen oder Entfernen eines Musters und das Bearbeiten des regex oder Schlüsselwort (keyword) umfassen, die dem Typ vertraulicher Informationen zugeordnet sind. Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" angezeigt. |
Vertraulichkeitsbezeichnungsaktivitäten
In der folgenden Tabelle sind ereignisse aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden, die sich aus der Verwendung von Vertraulichkeitsbezeichnungen mit Containern und Elementen ergeben, die von Microsoft Purview verwaltet werden. Container umfassen SharePoint-Websites, Teams-Websites und Loop Arbeitsbereiche. Zu den Elementen gehören Dokumente, E-Mails, Kalenderereignisse, Loop Komponenten und Seiten sowie Copilot-Seiten. Für Richtlinien zur automatischen Bezeichnung enthalten Elemente auch Dateien und Datenressourcen in Microsoft Purview Data Map.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Vertraulichkeitsbezeichnung wurde auf Datei angewendet | FileSensitivityLabelApplied SensitivityLabelApplied |
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, dem Detailbereich in einer SharePoint-Dokumentbibliothek oder über die Registerkarte Dateien in Teams oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung angewendet wurde: – Office für das Web, Detailbereich in einer SharePoint-Dokumentbibliothek oder auf der Registerkarte "Dateien" in Teams oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelApplied) – Microsoft 365-Apps (SensitivityLabelApplied) |
| Vertraulichkeitsbezeichnung wurde auf Website angewendet | SiteSensitivityLabelApplied | Eine Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website, eine Teams-Website, die nicht mit einer Gruppe verbunden ist, oder auf einen Loop Arbeitsbereich angewendet. |
| Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert | FileSensitivityLabelChanged SensitivityLabelUpdated |
Auf ein Element wurde eine andere Vertraulichkeitsbezeichnung angewendet. Die Vorgänge für diese Aktivität unterscheiden sich abhängig davon, wie die Bezeichnung geändert wurde: – Office für das Web, Detailbereich in einer SharePoint-Dokumentbibliothek oder auf der Registerkarte Dateien in Teams oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelChanged) – Microsoft 365-Apps (SensitivityLabelUpdated) |
| Vertraulichkeitsbezeichnung auf einer Website geändert | SiteSensitivityLabelChanged | Eine andere Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website, eine Teams-Website ohne Gruppenverbindung oder einen Loop Arbeitsbereich angewendet. |
| Fehler beim Anwenden der Dateiempfindlichkeitsbezeichnung | FileSensitivityLabelAppliedFailed | Eine Vertraulichkeitsbezeichnung konnte nicht mithilfe von Office für das Web, dem Detailbereich in einer SharePoint-Dokumentbibliothek oder über die Registerkarte Dateien in Teams oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet werden. |
| Fehler beim Ändern der Dateiempfindlichkeitsbezeichnung | FileSensitivityLabelChangedFailed | Eine andere Vertraulichkeitsbezeichnung konnte nicht mithilfe von Office für das Web, dem Detailbereich in einer SharePoint-Dokumentbibliothek oder über die Registerkarte Dateien in Teams oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet werden. |
| Fehler beim Entfernen der Vertraulichkeitsbezeichnung für Dateien | FileSensitivityLabelRemovedFailed | Eine Vertraulichkeitsbezeichnung konnte nicht mithilfe von Office für das Web, dem Detailbereich in einer SharePoint-Dokumentbibliothek oder von der Registerkarte Dateien in Teams oder einer Richtlinie für automatische Bezeichnungen aus einem Element entfernt werden. |
| Vertraulichkeitsbezeichnung wurde von Datei entfernt | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, dem Detailbereich in einer SharePoint-Dokumentbibliothek oder der Registerkarte Dateien in Teams, einer Richtlinie für automatische Bezeichnungen oder dem Cmdlet Unlock-SPOSensitivityLabelEncryptedFile aus einem Element entfernt. Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung entfernt wurde: – Office für das Web, Detailbereich in einer SharePoint-Dokumentbibliothek oder auf der Registerkarte Dateien in Teams oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelRemoved) – Microsoft 365-Apps (SensitivityLabelRemoved) |
| Vertraulichkeitsbezeichnung wurde von Website entfernt | SiteSensitivityLabelRemoved | Eine Vertraulichkeitsbezeichnung wurde von einer SharePoint-Website, einer Teams-Website, die nicht mit einer Gruppe verbunden ist, oder einem Loop Arbeitsbereich entfernt. |
Die folgende Tabelle enthält Beschreibungen für Werte, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden, das in der FailureReason-Eigenschaft für Überwachungsaktivitäten enthalten ist, bei denen Fehler protokolliert werden, um Vertraulichkeitsbezeichnungen anzuwenden, zu ändern oder zu entfernen. Diese Eigenschaften sind für andere Aktivitäten mit Vertraulichkeitsbezeichnungen nicht verfügbar:
| FailureReason-Eigenschaft | Beschreibung der Eigenschaft |
|---|---|
| CannotOverrideCurrentLabel | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da die derzeit angewendete Vertraulichkeitsbezeichnung eine höhere Priorität hat. |
| DowngradeJustificationTextMissing | Die Vertraulichkeitsbezeichnung wurde der Datei nicht zugewiesen, da für diesen Vorgang Begründungstext erforderlich ist. |
| FileEncrypted | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da sie verschlüsselt ist. |
| FileExtensionNotSupported | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da der Dateityp für diesen Vorgang nicht unterstützt wird. |
| FileLockedOrCheckedOut | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da sie gesperrt oder ausgecheckt ist. |
| FileNotFound | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da sie nicht verfügbar ist. |
| FileNotSupported | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da sie diesen Vorgang nicht unterstützt. |
| FileTooLarge | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da sie zu groß ist, um diesen Vorgang zu unterstützen. |
| InvalidArgument | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da einige Parameter, die zum Ausführen dieses Vorgangs bereitgestellt werden, ungültig sind. |
| LabelIdNotFound | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da die angegebene Vertraulichkeitsbezeichnung nicht verfügbar oder ungültig ist. |
| LabelNotSupported | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da die angegebene Vertraulichkeitsbezeichnung nicht unterstützt wird. |
| LabelOperationsDisabled | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da der Vertraulichkeitsbezeichnungsvorgang für die Datei deaktiviert ist. |
| MinorVersionLimitExceed | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da das Versionslimit überschritten wurde. |
| UnauthorizedAccessException | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da der aktuelle Benutzer nicht zum Ausführen dieses Vorgangs autorisiert ist. |
| Unknown | Aufgrund eines internen Fehlers wurde der Datei keine Vertraulichkeitsbezeichnung zugewiesen. |
| ZeroByteFileError | Der Datei wurde keine Vertraulichkeitsbezeichnung zugewiesen, da der Vorgang nicht für eine Null-Byte-Datei ausgeführt werden kann. |
Zusätzliche Überwachungsinformationen für Vertraulichkeitsbezeichnungen:
- Wenn Sie Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen und daher Teams-Websites verwenden, die mit einer Gruppe verbunden sind, werden die Bezeichnungen mit der Gruppenverwaltung in Microsoft Entra ID überwacht. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.
- Wenn Sie Vertraulichkeitsbezeichnungen für Teams-Besprechungseinladungen und Teams-Besprechungsoptionen und Chats verwenden, finden Sie weitere Informationen unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
- Wenn Sie Vertraulichkeitsbezeichnungen mit Power BI verwenden, finden Sie weitere Informationen unter Überwachen des Schemas für Vertraulichkeitsbezeichnungen in Power BI.
- Wenn Sie Vertraulichkeitsbezeichnungen mit Microsoft Defender für Cloud-Apps verwenden, lesen Sie Steuern verbundener Apps und die Bezeichnungsinformationen für Dateigovernanceaktionen.
SharePoint-Listen Aktivitäten
In der folgenden Tabelle werden Aktivitäten beschrieben, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden, wenn Benutzer mit Listen und Listenelementen in SharePoint interagieren. Überwachungsdatensätze für einige SharePoint-Aktivitäten zeigen, dass der app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Liste erstellt | ListCreated | Ein Benutzer hat eine SharePoint-Liste erstellt. |
| Listenspalte erstellt | ListColumnCreated | Ein Benutzer hat eine Listenspalte in einer SharePoint-Liste erstellt. Eine Listenspalte ist eine Spalte, die mit einer oder mehreren SharePoint-Listen verbunden ist. |
| Listeninhaltstyp erstellt | ListContentTypeCreated | Ein Benutzer hat einen Listeninhaltstyp erstellt. Eine Listeninhaltstyp ist ein Inhaltstyp, der mit einer oder mehreren SharePoint-Listen verbunden ist. |
| Listenelement erstellt | ListItemCreated | Ein Benutzer hat ein Element in einer vorhandenen SharePoint-Liste erstellt. |
| Websitespalte erstellt | SiteColumnCreated | Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste erstellt. Eine Websitespalte ist eine Spalte, die keiner Liste angefügt ist. Eine Websitespalte ist auch eine Metadatenstruktur, die von jeder Liste in einem bestimmten Web verwendet werden kann. |
| Websiteinhaltstyp erstellt | Site ContentTypeCreated | Ein Benutzer hat einen Websiteinhaltstyp erstellt. Bei einem Websiteinhaltstyp handelt es sich um einen Inhaltstyp, der mit der übergeordneten Website verknüpft ist. |
| Liste gelöscht | ListDeleted | Ein Benutzer hat eine SharePoint-Liste gelöscht. |
| Listenspalte gelöscht | ListColumnDeleted | Ein Benutzer hat eine SharePoint-Listenspalte gelöscht. |
| Listeninhaltstyp gelöscht | ListContentTypeDeleted | Ein Benutzer hat einen Listeninhaltstyp gelöscht. |
| Listenelement gelöscht | ListItemDeleted | Ein Benutzer hat ein Listenelement einer SharePoint-Liste gelöscht. |
| Websitespalte gelöscht | SiteColumnDeleted | Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste gelöscht. |
| Websiteinhaltstyp gelöscht | SiteContentTypeDeleted | Ein Benutzer hat einen Websiteinhaltstyp gelöscht. |
| Listenelement in den Papierkorb verschoben | ListItemRecycled | Ein Benutzer hat ein SharePoint-Listenelement in den Papierkorb verschoben. |
| Liste wiederhergestellt | ListRestored | Ein Benutzer hat eine SharePoint-Liste aus dem Papierkorb wiederhergestellt. |
| Listenelement wiederhergestellt | ListItemRestored | Ein Benutzer hat ein SharePoint-Listenelement aus dem Papierkorb wiederhergestellt. |
| Liste aktualisiert | ListUpdated | Ein Benutzer hat eine SharePoint-Liste aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
| Listenspalte aktualisiert | ListColumnUpdated | Ein Benutzer hat eine SharePoint-Listenspalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
| Listeninhaltstyp aktualisiert | ListContentTypeUpdated | Ein Benutzer hat einen Listeninhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
| Listenelement aktualisiert | ListItemUpdated | Ein Benutzer hat ein SharePoint-Listenelement aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
| Aktualisierte Listenansicht | ListViewUpdated | Ein Benutzer hat eine SharePoint-Listenansicht durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
| Websitespalte aktualisiert | SiteColumnUpdated | Ein Benutzer hat eine SharePoint-Websitespalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert. |
| Websiteinhaltstyp aktualisiert | SiteContentTypeUpdated | Ein Benutzer hat einen Websiteinhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat. |
Freigabe- und Zugriffsanforderungsaktivitäten
In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll aufgezeichneten Benutzerfreigabe- und Zugriffsanforderungsaktivitäten in SharePoint und OneDrive aufgeführt. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation ist. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.
Hinweis
Benutzer können entweder Mitglieder oder Gäste sein, basierend auf der UserType-Eigenschaft des Benutzerobjekts. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Sobald der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen direkt für den Benutzer freigegeben werden (ohne dass eine Einladung erforderlich ist).
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Zugriffsanforderung akzeptiert | AccessRequestAccepted | Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde Zugriff gewährt. |
| Akzeptierte Freigabeeinladung | SharingInvitationAccepted | Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat. |
| Berechtigungsstufe zu Websitesammlung hinzugefügt | PermissionLevelAdded | Eine Berechtigungsstufe wurde zu einer Websitesammlung hinzugefügt. |
| Freigabeeinladung gesperrt | SharingInvitationBlocked | Eine von einem Benutzer in Ihrer Organisation gesendete Freigabeeinladung wird aufgrund einer Richtlinie für externe Freigabe blockiert, die die externe Freigabe auf Basis der Domäne des Empfängers zulässt oder verweigert. In diesem Fall wurde die Freigabeeinladung blockiert, weil: Die Domäne des Zielbenutzers nicht in der Liste der zulässigen Domänen enthalten ist. Oder: Die Domäne des Zielbenutzers in der Liste der blockierten Domänen enthalten ist. Weitere Informationen zum Zulassen oder Blockieren externer Freigaben basierend auf Domänen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint und OneDrive. |
| Unternehmensweit teilbarer Link erstellt | CompanyLinkCreated | Ein Benutzer hat einen unternehmensweit teilbaren Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern in Ihrem organization verwendet werden. Sie können nicht von Gästen genutzt werden. |
| Zugriffsanforderung erstellt | AccessRequestCreated | Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt. |
| Anonymer Link erstellt | AnonymousLinkCreated | Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen. |
| Sicherer Link erstellt | SecureLinkCreated | Für dieses Element wurde ein sicherer Freigabelink erstellt. |
| Freigabeeinladung erstellt | SharingInvitationCreated | Der Benutzer hat eine Ressource in SharePoint oder OneDrive für einen Benutzer freigegeben, der sich nicht im Verzeichnis Ihrer organization befindet. |
| Sicherer Link gelöscht | SecureLinkDeleted | Ein sicherer Freigabelink wurde gelöscht. |
| Zugriffsanforderung verweigert | AccessRequestDenied | Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert. |
| Unternehmensweit teilbarer Link entfernt | CompanyLinkRemoved | Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden. |
| Anonymer Link entfernt | AnonymousLinkRemoved | Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden. |
| Datei, Ordner oder Website freigegeben | SharingSet | Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive für einen Benutzer im Verzeichnis Ihres organization freigegeben. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt. Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde. So kann beispielsweise der Benutzer einer Gruppe hinzugefügt werden, die Zugriff auf die Ressource hat. |
| Freigabe von Datei, Ordner oder Website aufgehoben | SharingRevoked | Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde. |
| Zugriffsanforderung aktualisiert | AccessRequestUpdated | Eine Zugriffsanforderung für ein Element wurde aktualisiert. |
| Anonymer Link aktualisiert | AnonymousLinkUpdated | Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen. |
| Freigabeeinladung aktualisiert | SharingInvitationUpdated | Eine externe Freigabeeinladung wurde aktualisiert. |
| Unternehmensweit teilbarer Link verwendet | CompanyLinkUsed | Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen. |
| Anonymer Link verwendet | AnonymousLinkUsed | Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen. |
| Sicherer Link verwendet | SecureLinkUsed | Ein Benutzer hat einen sicheren Link verwendet. |
| Benutzer zu sicherem Link hinzugefügt | AddedToSecureLink | Ein Benutzer wurde der Liste der Entitäten hinzugefügt, die einen sicheren Freigabelink verwenden können. |
| Benutzer wurde aus „sicherer Link“ entfernt | RemovedFromSecureLink | Ein Benutzer wurde von der Liste der Entitäten entfernt, die einen sicheren Freigabelink verwenden können. |
| Freigabeeinladung zurückgezogen | SharingInvitationRevoked | Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen. |
Websiteverwaltungsaktivitäten
In der folgenden Tabelle sind Ereignisse aufgeführt, die sich aus Websiteverwaltungsaufgaben in SharePoint ergeben und im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Zulässigen Datenspeicherort festgelegt | AllowedDataLocationAdded | Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multigeo-Umgebung hinzugefügt. |
| Ausgenommener Benutzer-Agent hinzugefügt | ExemptUserAgentSet | Ein SharePoint- oder globaler Administrator hat einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzugefügt. |
| Geografischer Standort-Administrator hinzugefügt | GeoAdminAdded | Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts hinzugefügt. |
| Benutzer das Erstellen von Gruppen gestattet | AllowGroupCreationSet | Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet. |
| Verschiebung der Websitegeografie abgebrochen | SiteGeoMoveCancelled | Ein SharePoint- oder globaler Administrator hat eine geografische Verschiebung einer SharePoint- oder OneDrive-Website abgebrochen. Mit der Multigeo-Funktion kann eine organization mehrere Geografische Regionen des Microsoft-Rechenzentrums umfassen, die als geos bezeichnet werden. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint. |
| Freigaberichtlinie geändert | SharingPolicyChanged | Ein SharePoint- oder globaler Administrator hat eine SharePoint-Freigaberichtlinie mithilfe der Microsoft 365 Admin Center, des SharePoint Admin Centers oder der SharePoint-Verwaltungsshell geändert. Änderungen an den Einstellungen in der Freigaberichtlinie in Ihrem organization werden protokolliert. Die geänderte Richtlinie wird im Feld ModifiedProperties in den Detailinformationen des Ereignisdatensatzes aufgeführt. |
| Zugriffsrichtlinie des Geräts geändert | DeviceAccessPolicyChanged | Ein SharePoint- oder globaler Administrator hat die Richtlinie für nicht verwaltete Geräte in Ihrer Organisation geändert. Diese Richtlinie steuert den Zugriff auf SharePoint, OneDrive und Microsoft 365 von Geräten, die Ihrer Organisation nicht beigetreten sind. Zum Konfigurieren dieser Richtlinie ist ein Enterprise Mobility + Security-Abonnement erforderlich. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten. |
| Ausgenommene Benutzer-Agents geändert | CustomizeExemptUsers | Ein SharePoint- oder globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, dass das Formular als XML-Datei und nicht als gesamte Webseite zurückgegeben wird, wenn ein Benutzer-Agent, den Sie als Ausnahme angegeben haben, auf ein InfoPath-Formular trifft. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt. |
| Netzwerkzugriffsrichtlinie geändert | NetworkAccessPolicyChanged | Ein SharePoint- oder globaler Administrator hat die standortbasierte Zugriffsrichtlinie (auch als vertrauenswürdige Netzwerkgrenze bezeichnet) im SharePoint Admin Center oder mithilfe von SharePoint PowerShell geändert. Dieser Richtlinientyp steuert, wer basierend auf von Ihnen festgelegten autorisierten IP-Adressbereichen Zugriff auf SharePoint- und OneDrive-Ressourcen in Ihrer Organisation hat. Weitere Informationen finden Sie unter Steuern des Zugriffs auf SharePoint- und OneDrive-Daten basierend auf dem Netzwerkspeicherort. |
| Abgeschlossener Migrationsauftrag | MigrationJobCompleted | Ein Migrationsauftrag wurde abgeschlossen. |
| Verschiebung der Websitegeografie abgeschlossen | SiteGeoMoveCompleted | Eine Standortverschiebung, die von einem globalen Administrator in Ihrem organization geplant abgeschlossen wurde. Mit der Multigeo-Funktion kann eine organization mehrere Geografische Regionen des Microsoft-Rechenzentrums umfassen, die als geos bezeichnet werden. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint. |
| Senden-an-Verbindung erstellt | SendToConnectionAdded | Ein SharePoint- oder globaler Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln. |
| Websitesammlung erstellt | SiteCollectionCreated | Ein SharePoint- oder globaler Administrator erstellt eine Websitesammlung in Ihrem SharePoint-organization oder ein Benutzer stellt seine OneDrive-Website zur Verfügung. |
| Verwaiste Hub-Website gelöscht | HubSiteOrphanHubDeleted | Ein SharePoint- oder globaler Administrator hat eine verwaiste Hub-Website gelöscht. Es handelt sich dabei um eine Hub-Website, der keine Websites zugeordnet sind. Ein verwaister Hub ist wahrscheinlich durch den Löschvorgang der ursprünglichen Hub-Website entstanden. |
| Senden-an-Verbindung gelöscht | SendToConnectionRemoved | Ein SharePoint- oder globaler Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. |
| Website gelöscht | SiteDeleted | Der Websiteadministrator löscht eine Website. |
| Dokumentvorschau aktiviert | PreviewModeEnabledSet | Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website. |
| Älterer Workflow aktiviert | LegacyWorkflowEnabledSet | Der Websiteadministrator oder -besitzer fügt den SharePoint 2013-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können auch Workflows für die gesamte organization im SharePoint Admin Center aktivieren. |
| Office on Demand aktiviert | OfficeOnDemandSet | Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Microsoft 365-Abonnement, bei dem alle Office-Anwendungen installiert werden. |
| Ergebnisquelle für Personensuchen aktiviert | PeopleResultsScopeSet | Der Websiteadministrator erstellt die Ergebnisquelle für Personensuchen für eine Website. |
| RSS-Feeds aktiviert | NewsFeedEnabledSet | Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren. |
| Website mit Hub-Website verbunden | HubSiteJoined | Der Besitzer einer Website verknüpft seine Website mit einer Hub-Website. |
| Websitesammlungskontingent geändert | SiteCollectionQuotaModified | Der Websiteadministrator ändert das Kontingent für eine Websitesammlung. |
| Website endgültig löschen | SitePermanentlyDeleted | Ein SharePoint- oder globaler Administrator löscht eine Website endgültig aus SharePoint Admin Center Gelöschte Websites. |
| Hub-Website registriert | HubSiteRegistered | Ein SharePoint- oder globaler Administrator erstellt eine Hub-Website. Das Ergebnis: Die Website ist als Hub-Website registriert. |
| Zulässigen Datenspeicherort entfernt | AllowedDataLocationDeleted | Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multigeo-Umgebung entfernt. |
| Geografischer Standort-Administrator entfernt | GeoAdminDeleted | Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts entfernt. |
| Website umbenannt | SiteRenamed | Der Websiteadministrator oder -besitzer benennt eine Website um. |
| Site wiederherstellen | SiteRestored | Ein SharePoint- oder globaler Administrator stellt eine Website aus SharePoint Admin Center Gelöschte Websites wieder her. |
| Verschiebung der Websitegeografie geplant | SiteGeoMoveScheduled | Ein SharePoint- oder globaler Administrator hat eine geografische Verschiebung der SharePoint- oder OneDrive-Website geplant. Mit der Multigeo-Funktion kann eine organization mehrere Geografische Regionen des Microsoft-Rechenzentrums umfassen, die als geos bezeichnet werden. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint. |
| Hostwebsite festgelegt | HostSiteSet | Ein SharePoint- oder globaler Administrator ändert die angegebene Website so, dass persönliche oder OneDrive-Websites gehostet werden. |
| Ein Speicherkontingent für einen geografischen Standort wurde konfiguriert | GeoQuotaAllocated | Ein SharePoint- oder globaler Administrator hat das Speicherkontingent für einen geografischen Standort in einer Multigeo-Umgebung konfiguriert. |
| Website von der Hub-Website gelöst | HubSiteUnjoined | Der Besitzer einer Website löst seine Website von einer Hub-Website. |
| Registrierung einer Hub-Website entfernt | HubSiteUnregistered | Ein SharePoint- oder globaler Administrator hat die Registrierung seiner Website als Hub-Website entfernt. Wenn die Registrierung einer Hub-Website aufgehoben wird, funktioniert sie nicht mehr als Hub-Website. |
| Aktualisieren der DisableSiteBranding-Konfiguration | UpdateDisableSiteBranding | Ein SharePoint- oder globaler Administrator aktiviert oder deaktiviert das Websitebranding. |
Websiteberechtigungsaktivitäten
Die folgende Tabelle enthält Ereignisse im Zusammenhang mit dem Zuweisen von Berechtigungen in SharePoint und der Verwendung von Gruppen zum Gewähren (und Widerrufen) des Zugriffs auf Websites, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Websitesammlungsadministrator hinzugefügt | SiteCollectionAdminAdded | Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst Zugriff auf das OneDrive-Konto eines Benutzers gewährt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center oder mithilfe des Microsoft 365 Admin Centers). |
| Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt | AddedToGroup | Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Diese Aktion kann beabsichtigt sein oder das Ergebnis einer anderen Aktivität, z. B. eines Freigabeereignisses. |
| Vererbung der Berechtigungsstufe unterbrochen | PermissionLevelsInheritanceBroken | Ein Element wurde geändert, sodass es die Berechtigungsstufen nicht mehr vom übergeordneten Element erbt. |
| Vererbung der Freigabe unterbrochen | SharingInheritanceBroken | Ein Element wurde geändert, sodass es die Freigabeberechtigung nicht mehr vom übergeordneten Element erbt. |
| Gruppe erstellt | GroupAdded | Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird der OneDrive-Website des Benutzers eine Systemgruppe hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt. |
| Gruppe gelöscht | GroupRemoved | Der Benutzer löscht eine Gruppe von einer Website. |
| Einstellung „Mitglieder können teilen“ geändert | WebMembersCanShareModified | Die Einstellung Mitglieder können freigeben wurde auf einer Website geändert. |
| Zugriffsanforderungseinstellungen geändert | WebRequestAccessModified | Die Einstellungen für die Zugriffsanforderungseinstellungen wurden auf einer-Website geändert. |
| Berechtigungsstufe in Websitesammlung geändert | PermissionLevelModified | Eine Berechtigungsstufe in einer Websitesammlung wurde geändert. |
| Websiteberechtigungen geändert | SitePermissionsModified | Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden. HINWEIS: Dieser Vorgang ist in SharePoint veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht. |
| Berechtigungsstufe aus einer Websitesammlung gelöscht | PermissionLevelRemoved | Eine Berechtigungsstufe wurde aus einer Websitesammlung gelöscht. |
| Websitesammlungsadministrator entfernt | SiteCollectionAdminRemoved | Der Websitesammlungsadministrator oder -besitzer entfernt eine Person als Websitesammlungsadministrator für eine Website. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst von der Liste der Websitesammlungsadministratoren eines OneDrive-Kontos eines Benutzers entfernt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center). Um diese Aktivität in den Suchergebnissen des Überwachungsprotokolls zurückzugeben, müssen Sie nach allen Aktivitäten suchen. |
| Benutzer oder Gruppe aus SharePoint-Gruppe entfernt | RemovedFromGroup | Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Diese Aktion kann beabsichtigt sein oder das Ergebnis einer anderen Aktivität sein, z. B. ein Ereignis zum Aufheben der Freigabe. |
| Website-Administratorberechtigungen angefordert | SiteAdminChangeRequest | Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. |
| Vererbung der Freigabe wiederhergestellt | SharingInheritanceReset | Eine Änderung wurde vorgenommen, sodass ein Element die Freigabeberechtigung vom übergeordneten Element erbt. |
| Gruppe aktualisiert | GroupUpdated | Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Diese Änderung kann den Namen der Gruppe, die Personen, die die Gruppenmitgliedschaft anzeigen oder bearbeiten können, und die Behandlung von Mitgliedschaftsanforderungen umfassen. |
Synchronisierungsaktivitäten
In der folgenden Tabelle sind Dateisynchronisierungsaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll für SharePoint und OneDrive aufgezeichnet wurden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Computer zum Synchronisieren von Dateien zugelassen | ManagedSyncClientAllowed | Der Benutzer hat eine Synchronisierungsbeziehung mit einer Website eingerichtet. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde. Weitere Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind. |
| Computer für Synchronisieren von Dateien blockiert | UnmanagedSyncClientBlocked | Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus herzustellen, der nicht Mitglied der Domäne Ihres organization ist oder Mitglied einer Domäne ist, die nicht der Liste der Domänen (liste der sicheren Empfänger) hinzugefügt wurde, die auf Dokumentbibliotheken in Ihrem organization zugreifen können. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers wird daran gehindert, Dateien in einer Dokumentbibliothek zu synchronisieren, herunterzuladen oder hochzuladen. Informationen zu dieser Funktion finden Sie unter Verwenden von PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste sicherer Empfänger enthalten sind. |
| Dateiänderungen auf Computer heruntergeladen | FileSyncDownloadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive-Synchronisation-App (Groove.exe) veraltet. |
| Dateien auf Computer heruntergeladen | FileSyncDownloadedFull | Der Benutzer hat eine Datei aus einer SharePoint-Dokumentbibliothek oder OneDrive mithilfe OneDrive-Synchronisation-App (OneDrive.exe) auf seinen Computer heruntergeladen. |
| Dateiänderungen in Dokumentbibliothek hochgeladen | FileSyncUploadedPartial | Dieses Ereignis ist zusammen mit der alten OneDrive-Synchronisation-App (Groove.exe) veraltet. |
| Dateien in Dokumentbibliothek hochgeladen | FileSyncUploadedFull | Der Benutzer hat mithilfe OneDrive-Synchronisation App (OneDrive.exe) eine neue Datei oder Änderungen an einer Datei in die SharePoint-Dokumentbibliothek oder OneDrive hochgeladen. |
SystemSync-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten für SystemSync aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Data Share erstellt | DataShareCreated | Wenn der Benutzer den Datenexport erstellt hat. |
| Data Share gelöscht | DataShareDeleted | Wenn der Benutzer den Datenexport gelöscht hat. |
| Kopie von Lake Data herunterladen | DownloadCopyOfLakeData | Wenn die Kopie von Lake Data heruntergeladen wird. |
| Generieren einer Kopie von Lake Data | GenerateCopyOfLakeData | Wenn die Kopie von Lake Data generiert wird. |
Trainierbare Klassifiziereraktivitäten
In der folgenden Tabelle sind die Aktivitäten für trainierbare Klassifizierer aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Erstellen eines Purview-Datenklassifizierungsmodells | ModellErstellen | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues trainierbares Modell in Purview-Datenklassifizierung erstellt. |
| Purview-Datenklassifizierungsmodell gelöscht | ModelUpdate | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues trainierbares Modell in Der Purview-Datenklassifizierung aktualisiert. |
| Veröffentlichtes Purview-Datenklassifizierungsmodell | ModelPublish | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues trainierbares Modell in Purview-Datenklassifizierung veröffentlicht. |
| Aktualisiertes Purview-Datenklassifizierungsmodell | ModelDelete | Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues trainierbares Modell in Purview-Datenklassifizierung gelöscht. |
Benutzerverwaltungsaktivitäten
In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet werden, wenn ein Administrator ein Benutzerkonto mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals hinzufügt oder ändert.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
| Aktivität | Vorgang | Beschreibung |
|---|---|---|
| Benutzer hinzugefügt | Benutzer hinzufügen. | Ein Benutzerkonto wird erstellt. |
| Benutzerlizenz geändert | Benutzerlizenz ändern. | Die einem Benutzer zugewiesene Lizenz wurde geändert. Informationen dazu, welche Lizenzen geändert wurden, finden Sie in der entsprechenden Aktualisierten Benutzeraktivität . |
| Benutzerkennwort geändert | Benutzerkennwort ändern. | Ein Benutzer ändert sein Kennwort. Das Zurücksetzen von Kennwörtern durch den Benutzer muss (für alle oder ausgewählte Benutzer) in Ihrer Organisation aktiviert sein, damit Benutzer ihr Kennwort zurücksetzen können. Sie können auch die Self-Service-Kennwortzurücksetzungsaktivität in Microsoft Entra-ID nachverfolgen. Weitere Informationen finden Sie unter Berichterstellungsoptionen für Microsoft Entra Kennwortverwaltung. |
| Benutzer gelöscht | Benutzer löschen. | Ein Benutzerkonto wurde gelöscht. |
| Benutzerkennwort zurücksetzen | Benutzerkennwort zurücksetzen. | Der Administrator setzt das Kennwort für einen Benutzer zurück. |
| Lizenzeigenschaften festgelegt | Lizenzeigenschaften festlegen. | Der Administrator hat die Eigenschaften einer Lizenz geändert, die einem Benutzer zugewiesen ist. |
| Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt | Erzwungene Änderung des Benutzerkennworts festlegen. | Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Microsoft 365 zu ändern. |
| Benutzer aktualisiert | Benutzer aktualisieren. | Ein Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" in Microsoft Entra Überwachungsberichtsereignissen. |
Viva Glint Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Glint aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der .csv-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen des Überwachungsprotokolls erläutert, wie Sie im Microsoft Purview-Portal nach Überwachungsprotokollen suchen können. Für den Zugriff auf Überwachungsprotokolle müssen Sie ein globaler Administrator sein oder über Leseberechtigungen für Die Überwachung verfügen. Verwenden Sie den Filter Aktivitäten, um nach bestimmten Aktivitäten zu suchen und alle Viva Glint Aktivitäten aufzulisten, indem Sie vivaGlint im Filter Datensatztyp auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer , um die Suchergebnisse weiter einzugrenzen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Unternehmens-Admin hinzugefügt | AddCompanyAdmin | Der Rolle "Unternehmen Admin" wurde ein Benutzer hinzugefügt. |
| Supportbenutzer hinzugefügt | AddSupportUser | Der Rolle Supportbenutzer wurde ein Benutzer hinzugefügt. |
| Zugewiesene Benutzerrolle | AssignRole | Ein Benutzer wird einer neuen Rolle zugewiesen. |
| Geänderte Clientdetails | ClientDetailsChanged | Änderungsaktivität in Viva Glint Allgemeinen Einstellungen oder Erweiterte Konfiguration: Details. |
| Angemeldetes Unternehmen Admin | AdminLogin | Ein Bei Viva Glint angemeldeter Unternehmensbenutzer Admin. |
| Unternehmen Admin abgemeldet | AdminLogout | Ein Unternehmensbenutzer Admin sich bei Viva Glint abgemeldet. |
| Benutzerrolle erstellt | RoleCreated | Glint Aktivität zum Erstellen von Benutzerrollen. |
| Supportzugriff gelöscht | GlintSupportAccessDeleted | Ein Benutzer wurde aus der Rolle Supportbenutzer entfernt. |
| Gelöschtes System | GlintSystemDeleted | Das Viva Glint System wurde gelöscht. |
| Gelöschter Benutzer | GlintUserDeleted | Viva Glint Benutzerlöschaktivität. |
| Erweiterter Konfigurationszugriff deaktiviert | UserAdvConfigDisabled | Ein Unternehmens-Admin Benutzer hat den Erweiterten Konfigurationszugriff in Viva Glint deaktiviert. |
| Erweiterter Konfigurationszugriff aktiviert | UserAdvConfigEnabled | Ein Unternehmens-Admin Benutzer hat den Erweiterten Konfigurationszugriff in Viva Glint aktiviert. |
| Ausgeführter Data Apps-Auftrag | GlintDataAppsJobRun | Viva Glint Erweiterte Konfigurationsdaten-App und Upload-Aktivität. |
| Exportiertes Glint 360-Feedback | GlintFeedbackProgramExport | Viva Glint Datenexportaktivität des 360-Feedbackprogramms. |
| Exportierte Glint Listen | GlintUserGroupExport | Exportaktivität der Verteilerliste. |
| Exportierte Glint Personen | GlintUserExport | Glint Personen Datenexportaktivität. |
| Exportierte Glint Pulse Program Response Rate | GlintPulseProgramRespondentRateExport | Glint Aktivität zum Export der Impulsprogramm-Antwortrate. |
| Exportierte Glint Fragebibliothek | GlintQuestionExport | Glint Bibliotheksexportaktivität fragen. |
| Exportiertes Glint Umfrageprogramm | GlintPulseProgramExport | Glint Aktivität zum Exportieren von Inhalten im Umfrageprogramm. |
| Exportierte Glint-Benutzerrolle | GlintRoleExport | Glint Datenexportaktivität der Benutzerrolle. |
| Exportierte rohe Umfragedaten | RawSurveyReponseExport | Exportaktivität für unformatierte Umfrageantwortdaten. |
| Exportierte Benutzerdaten | UserDataExport | Mitarbeiterdatenexportaktivität. |
| Importiertes Glint 360-Feedback | GlintFeedbackProgramImport | 360 Datenimportaktivität des Feedbackprogramms. |
| Importierte Glint SFTP | GlintRubiconImport | SFTP-Importaktivität für Mitarbeiterdaten. |
| Importierte Glint Benutzerdaten | GlintUserImport | Aktivität zum Importieren von Mitarbeiterdaten. |
| Importierte Glint-Benutzerrolle | GlintRoleImport | Benutzerrolle Mitarbeiterdatenaktivität. |
| Unternehmens-Admin entfernt | RemoveCompanyAdmin | Ein Benutzer wurde aus der Rolle "Unternehmen Admin" entfernt. |
| Erneut geöffnete Umfrage | SurveyReopen | Eine geschlossene Viva Glint Umfrage wurde wieder geöffnet. |
| Festlegen des DsR-Steuerelements für Daten | DataDsrControlSet | Benutzerdatensteuerelemente für das Löschen von Umfragedaten in der Aktualisierungsaktivität "Allgemeine Einstellungen". |
| Festlegen des Verwerfens von Mitarbeiter-IDs | DiscardingEmployeeIdsSet | Benutzerdatensteuerelemente für die Wiederverwendung der Mitarbeiter-ID in der Aktualisierungsaktivität "Allgemeine Einstellungen". |
| Nicht zugewiesene Benutzerrolle | UnassignRole | Ein Benutzer wird aus einer Rolle entfernt. |
| Angezeigt als | ViewAs | Die "Ansicht als" einer anderen Benutzeraktivität der Administratoren. |
Viva Goals Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Goals aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen des Überwachungsprotokolls erläutert, wie Sie im Microsoft Purview-Portal nach Überwachungsprotokollen suchen können. Für den Zugriff auf Überwachungsprotokolle müssen Sie ein globaler Administrator sein oder über Leseberechtigungen für Die Überwachung verfügen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen. Um alle Viva Goals Aktivitäten aufzulisten, wählen Sie vivaGoals im Filter Datensatztyp aus. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Dashboard erstellt | Dashboard erstellt | Der Benutzer hat auf Viva Goals eine neue Dashboard erstellt. |
| Dashboard gelöscht | Dashboard gelöscht | Der Benutzer hat einen Dashboard am Viva Goals gelöscht. |
| Dashboard aktualisiert | Dashboard aktualisiert | Benutzer hat einen Dashboard auf Viva Goals aktualisiert |
| Exportierte Daten | Exportierte Daten | Ein Benutzer hat eine Liste von OKRs oder eine Liste von Benutzern in einem organization auf Viva Goals exportiert. |
| Goals Richtlinie aktualisiert | Goals Richtlinie aktualisiert | Der globale Administrator hat die Richtlinie oder Einstellungen auf organization Ebene auf Viva Goals geändert. Der globale Administrator hat beispielsweise konfiguriert, wer Organisationen auf Viva Goals erstellen kann. |
| OKR oder Projekt erstellt | OKR oder Projekt erstellt | Der Benutzer hat ein OKR oder Projekt auf Viva Goals erstellt. |
| OKR oder Projekt gelöscht | OKR oder Projekt gelöscht | Der Benutzer hat ein OKR oder Ein Projekt gelöscht. |
| OKR oder Projekt aktualisiert | OKR oder Projekt aktualisiert | Ein OKR/Projekt wurde geändert oder ein Check-In vom Benutzer oder eine Integration auf Viva Goals vorgenommen. |
| Organisation erstellt | Organisation erstellt | Admin oder der Benutzer hat eine neue organization auf Viva Goals erstellt. |
| Organisationsintegrationen aktualisiert | Organisationsintegrationen aktualisiert | Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat eine Drittanbieterintegration konfiguriert oder eine vorhandene Integration von Drittanbietern für eine organization auf Viva Goals aktualisiert. |
| Organisationseinstellungen aktualisiert | Organisationseinstellungen aktualisiert | Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat organization spezifischen Einstellungen auf Viva Goals aktualisiert. |
| Team hinzugefügt | Team hinzugefügt | Innerhalb eines organization wurde am Viva Goals ein neues Team erstellt. |
| Team gelöscht | Team gelöscht | Ein Team innerhalb einer organization auf Viva Goals wurde vom Benutzer gelöscht. |
| Team aktualisiert | Team aktualisiert | Ein Team innerhalb eines organization auf Viva Goals wurde geändert oder aktualisiert. |
| Benutzer hinzugefügt | Benutzer hinzugefügt | Einem organization wurde am Viva Goals ein neuer Benutzer hinzugefügt. |
| Benutzer deaktiviert | Benutzer deaktiviert | Ein Benutzer wurde in einem organization deaktiviert. |
| Benutzer gelöscht | Benutzer gelöscht | Ein Benutzer wurde aus einem organization am Viva Goals gelöscht. |
| Angemeldeter Benutzer | Angemeldeter Benutzer | Der Benutzer hat sich bei Viva Goals angemeldet. |
Viva Engage Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Engage aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Um Viva Engage bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben, wählen Sie Ergebnisse für alle Aktivitäten anzeigen in der Liste Aktivitäten aus. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
Hinweis
Einige Viva Engage Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
In der folgenden Tabelle sind Überwachungsaktivitäten (Premium) mit einem Sternchen (*) hervorgehoben.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Unternehmenskommunikator hinzugefügt | AddUserRole | Ein Benutzer wird als Unternehmenskommunikator zugewiesen. |
| Geänderte benutzerdefinierte Nutzungsrichtlinie | UsagePolicyUpdated | Ein Mandantenadministrator aktualisiert eine benutzerdefinierte Nutzungsrichtlinie. |
| Datenaufbewahrungsrichtlinie geändert | SoftDeleteSettingsUpdated | Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültig Löschen" oder "Vorläufig Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
| Netzwerkkonfiguration geändert | NetworkConfigurationUpdated | Netzwerk oder verifizierter Administrator ändert die Konfiguration des Viva Engage Netzwerks. Diese Änderung umfasst das Festlegen des Intervalls für das Exportieren von Daten und das Aktivieren des Chats. |
| Netzwerkprofileinstellungen geändert | ProcessProfileFields | Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden. |
| Modus für private Inhalte geändert | SupervisorAdminToggled | Der überprüfte Administrator aktiviert oder deaktiviert den Modus für private Inhalte . In diesem Modus kann ein Administrator die Beiträge in privaten Gruppen und die zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschten privaten Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
| Sicherheitskonfiguration geändert | NetworkSecurityConfigurationUpdated | Der überprüfte Administrator aktualisiert die Sicherheitskonfiguration des Viva Engage Netzwerks. Dieses Update umfasst das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
| Unterhaltung geschlossen | CloseConversation | Der Viva Engage Thread wurde geschlossen, hinderte Benutzer daran, darauf zu antworten. Diese Aktion ist für einen Administrator, einen Unternehmenskommunikator oder einen Benutzerdelegat verfügbar. |
| Unterhaltung geöffnet | OpenConversation | Die Viva Engage Threadkonversation wurde geöffnet, sodass Benutzer auf den Thread antworten können. Diese Aktion steht einem Administrator, einer Unternehmenskommunikation oder einem Benutzerdelegat zur Verfügung. |
| Erstellen eines Segments | SegmentCreated | Admin erstellt eine Segmentierung. |
| Datei erstellt | FileCreated | Ein Benutzer lädt eine Datei hoch. |
| Gruppe erstellt | GroupCreation | Der Benutzer erstellt eine Gruppe. |
| Nachricht erstellt | MessageCreation | Der Benutzer erstellt eine Nachricht. |
| Löschen eines Segments | SegmentDeleted | Admin löscht eine Segmentierung. |
| Gruppe gelöscht | GroupDeletion | Eine Gruppe wird aus Viva Engage gelöscht. |
| Nachricht gelöscht | MessageDeleted | Ein Benutzer löscht eine Nachricht. |
| Herunterladen von Segmentierungsadministratorberichten | SegmentationReportDownloaded | Admin Berichte werden heruntergeladen |
| Datei heruntergeladen | FileDownloaded | Ein Benutzer lädt eine Datei herunter. |
| Exportierter Ereignisinhalt | EventContentExported | Ereignisorganisator exportiert Ereignisfragen, Antworten, Reaktion und Aufstimmanzahl in eine CSV-Datei. Diese Aktion ist nur für Eventorganisatoren verfügbar, nur Für Mitorganisatoren. Netzwerkadministratoren können dieses Feature für das gesamte Netzwerk in den Engage Administratoreinstellungen deaktivieren. |
| Daten exportiert | DataExport | Überprüfter Administrator exportiert Viva Engage Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden. |
| Fehler beim Zugriff auf Datei | FileAccessFailure | Der Benutzer konnte nicht auf eine Datei zugreifen. |
| Fehler beim Zugriff auf die Gruppe | GroupAccessFailure | Der Benutzer konnte nicht auf eine Gruppe zugreifen. |
| Fehler beim Zugreifen auf den Thread | ThreadAccessFailure | Der Benutzer konnte nicht auf einen Nachrichtenthread zugreifen. |
| Generieren von Segmentierungsadministratorberichten | SegmentationReportGenerated | Admin Benutzer löst eine Berichtsgenerierung aus. |
| Auf Nachricht reagiert | MarkedMessageChanged | Der Benutzer hat auf eine Nachricht reagiert. |
| Kuratiertes Thema entfernen* | RemoveCuratedTopic | Der Benutzer entfernt ein kuratiertes Thema. |
| Unternehmenskommunikator entfernt | RemoveUserRole | Ein Benutzer wird aus der Rolle "Unternehmenskommunikator" entfernt. |
| Datei freigegeben | FileShared | Ein Benutzer gibt eine Datei für einen anderen Benutzer frei. |
| Netzwerkbenutzer gesperrt | NetworkUserSuspended | Ein Netzwerkadministrator oder ein überprüfter Administrator hält einen Benutzer von Viva Engage an (deaktiviert). |
| Benutzer gesperrt | UserSuspension | Ein Benutzerkonto wird gesperrt (deaktiviert). |
| Zustimmung zur Mandantennutzungsrichtlinie | UsagePolicyAcceptance | Ein Benutzer akzeptiert eine organization spezifische Nutzungsrichtlinie. |
| Thread stummgeschaltet | AdminThreadMuted | Ein Thread wurde durch einen Administrator oder eine Überwachungswarnung (Systembenutzer) stummgeschaltet. Eine Überwachungswarnung tritt auf, wenn ein Thread für ein bestimmtes Design gekennzeichnet ist (vom Administrator festgelegt) und vom System automatisch stummgesetzt wird. |
| Thread Unmuted | AdminThreadUnmuted | Admin einen Thread ohne Stummschaltung. |
| Dateibeschreibung aktualisiert | FileUpdateDescription | Ein Benutzer ändert die Beschreibung einer Datei. |
| Dateiname aktualisiert | FileUpdateName | Ein Benutzer ändert den Namen einer Datei. |
| Nachricht aktualisiert | MessageUpdated | Der Benutzer aktualisiert eine Nachricht. |
| Aktualisierte Rollenzuweisung für Network Admin | NetworkAdminUpdated | Ein Benutzer wird entweder höhergestuft oder zur Rolle Netzwerk Admin herabgestuft. |
| Aktualisierte Rollenzuweisung für verifizierte Admin | NetworkVerifiedAdminUpdated | Ein Benutzer wird entweder höhergestuft oder zur Rolle "Verifizierter Admin" herabgestuft. |
| Datei angezeigt | FileVisited | Ein Benutzer zeigt eine Datei an. |
| Angezeigter Thread | ThreadViewed | Der Benutzer zeigt einen Nachrichtenthread an. |
Viva Pulse-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Pulse aufgeführt, die im Microsoft 365-Überwachungsprotokoll aufgezeichnet wurden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen des Überwachungsprotokolls erläutert, wie Sie im Microsoft Purview-Portal nach Überwachungsprotokollen suchen können. Für den Zugriff auf Überwachungsprotokolle müssen Sie ein globaler Administrator sein oder über Leseberechtigungen für Die Überwachung verfügen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen. Um alle Viva Pulse-Aktivitäten aufzulisten, wählen Sie vivaPulse im Filter Datensatztyp aus. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Admin die Daten eines Benutzers gelöscht | PulseDeleteUserData | Admin die Daten eines Benutzers gelöscht. |
| Admin aktualisierten Mandanteneinstellungen | PulseTenantSettingsUpdate | Admin eine organization-Einstellung für Viva Pulse aktualisiert. |
| Vertrauliche Unterhaltung gestartet | PulseConfidentialConversationStarted | Autor hat eine vertrauliche Unterhaltung gestartet. |
| Unterhaltungsnachricht gelöscht | PulseConfidentialConversationMessageDeleted | Der Benutzer hat eine Unterhaltungsnachricht gelöscht. |
| Konversationsantwort hinzugefügt | PulseConfidentialConversationResponded | Autor oder Empfänger hat auf eine Unterhaltung geantwortet. |
| Der Benutzer hat eine Pulse-Umfrage abgebrochen. | PulseCancel | Der Benutzer hat eine Pulse-Umfrage abgebrochen. |
| Der Benutzer hat einen Pulse-Entwurf erstellt. | PulseCreateDraft | Der Benutzer hat einen Pulse-Entwurf erstellt. |
| Der Benutzer hat eine Pulse-Umfrage erstellt. | PulseCreate | Es wird eine neue Viva Pulse-Feedbackanforderung erstellt. |
| Der Benutzer hat einen Pulse-Entwurf gelöscht. | PulseDeleteDraft | Der Benutzer hat einen Pulse-Entwurf gelöscht. |
| Benutzer hat eine Frage für Die Bibliothek gelöscht. | PulseQuestionDeleted | Der Benutzer hat eine Frage für die Pulse-Fragebibliothek entfernt. |
| Benutzer hat seine Frist für die Pulsumfrage verlängert | PulseExtendDeadline | Der Benutzer hat die Frist für die bestehende Viva Pulse-Feedbackanfrage verlängert. |
| Benutzer hat zusätzliche Benutzer zur Pulse-Umfrage eingeladen | PulseInvite | Der Benutzer hat weitere Benutzer zu einer vorhandenen Viva Pulse-Feedbackanfrage eingeladen. |
| Benutzeranforderung für einen Impulsdatenexport | PulseDataExport | Admin oder Autor einen Impulsexportvorgang anfordern. |
| Ein Benutzer hat einen Pulsbericht geteilt | PulseShareResults | Benutzer haben Viva Pulse-Feedbackergebnisse mit anderen Benutzern geteilt. |
| Vom Benutzer übermittelte Antwort auf eine Pulsumfrage | PulseSubmit | Admin oder Benutzer haben Feedback zu einer Viva Pulse-Feedbackanfrage bereitgestellt. |
Windows 365 Kunden-Lockbox-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Windows 365 Kunden-Lockbox aufgeführt, die das Microsoft 365-Überwachungsprotokoll aufzeichnet. Wählen Sie windows365CustomerLockbox unter Datensatztypen aus, um Windows 365 Kunden-Lockbox-bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
| Anzeigename | Vorgang | Beschreibung |
|---|---|---|
| Backfill CMD-Agent | AddDevicesToBackfill-Vorgang | Backfill CMD-Agent auf Cloud-PC. |
| Masseninstallation des CMD-Agents | TriggerClientAgentCheckBulkAction-Vorgang | Masseninstallation des CMD-Agents bei Bedarf. |
| Überprüfen der PowerShell-Ausführungsrichtlinie | Überprüfen der PowerShell-Ausführungsrichtlinie | Überprüfen Sie die PowerShell-Ausführungsrichtlinie. |
| LogCollection-Anforderung erstellen | LogCollection-Anforderung erstellen | Erstellen Sie eine Protokollsammlungsanforderung für Cloud-PC. |
| Erstellen neuer Arbeitselemente (Scheduler) | Erstellen neuer Arbeitselemente (Scheduler) | Erstellen Sie neue Arbeitselemente, z. B. Bereitstellen, Aufheben der Bereitstellung, Erneute Bereitstellung und andere. |
| Erstellen eines Remoteaktionsvorgangs in ActionModeratorService | Erstellen eines Remoteaktionsvorgangs in ActionModeratorService | Erstellen Sie eine Remoteaktion nach tenantID, workspaceID, actionType, actionParameters. |
| Erstellen einer VmExtension-Anforderung | Erstellen einer VmExtention-Anforderung | Erstellt VM-Erweiterungsanforderungen zum Ausführen der VM-Erweiterung, um benutzerdefinierte Skripts auf dem Kundengerät auszuführen. |
| Ausführen von AppHealthPlugin | Ausführen von AppHealthPlugin | Führen Sie AppHealthPlugin aus. |
| Installieren des RD-Agents | Installieren des RD-Agents | Installieren Sie den RD-Agent auf dem Gerät des Benutzers. |
| OCE-Ausführungsbefehle auf einem virtuellen Computer | OCE-Ausführungsbefehle auf einem virtuellen Computer | Führen Sie Befehle nach tenantID, deviceID list und script aus. |
| Remoteaktionsvorgang nach der Remoteaktion | Remoteaktionsvorgang nach der Remoteaktion | Nach der Remoteaktion plus Abrufen des Ergebnisses per GetActions-Vorgang. |
| Erneutes Installieren des CMD-Agents | AddDevicesToReinstall-Vorgang | Installieren Sie den CMD-Agent bei Bedarf neu. |
| Ausführen einer hybriden AADJ-Erweiterung | Ausführen einer hybriden AADJ-Erweiterung | Führen Sie die hybride AADJ-Erweiterung auf dem Gerät des Benutzers aus. |
| Auslösen der Canary-Überprüfung des CMD-Agents. | Auslösen der Canary-Überprüfung des CMD-Agents. | Auslösen der Canary-Überprüfung des CMD-Agents auf einem bestimmten Gerät. |
| Auslösen der Gerätewartung | Auslösen der Gerätewartung | Lösen Sie die Gerätewartung aus. |
| Generische Aktion auslösen | Generische Aktion auslösen | Lösen Sie die Geräteaktion für den Benutzer aus. |
| Auslösen einer generischen Aktion durch SaaF | Auslösen einer generischen Aktion durch SaaF | Auslösen einer Geräteaktion (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) für den Benutzer. |
| Auslösen einer generischen Aktion mit Optionen | Auslösen einer generischen Aktion mit Optionen | Auslösen einer Geräteaktion mit Optionsparametern, die leistungsfähiger sind als die generische Triggeraktion. |
| Triggerorchestrator | Triggerorchestrator | Triggerorchestrator für den Benutzer. |
| Hochladen des Ordners in ein Blob | Hochladen des Ordners in ein Blob | Komprimieren Sie den Ordner des Kundengeräts, und laden Sie diesen in ein Blob hoch. |