Office 365 管理アクティビティ API のスキーマは、次の 2 つのレイヤーでデータ サービスとして提供されます。
共通スキーマ。 レコードの種類、作成時刻、ユーザーの種類、およびアクションなどの中心的な Office 365 監査概念へアクセスするためのインターフェースであり、同時にコア ディメンション (ユーザー ID など)、場所の詳細情報 (クライアント IP アドレスなど)、およびサービス固有のプロパティ (オブジェクト ID など) を提供します。 これにより一貫性がある統一ビューが確立され、いくつかの最上位ビューで適切なパラメーターを指定して、すべての Office 365 監査データを抽出できます。さらに、学習のコストを大幅に削減する、すべてのデータ ソース向けの固定スキーマも提供されます。 共通スキーマは、Exchange、SharePoint、Azure Active Directory、Viva Engage、OneDrive など、各製品チームが所有する製品データから取得されます。 [オブジェクト ID] フィールドは、Microsoft 365 製品チームがサービス固有のプロパティを追加するために拡張できます。
サービス固有のスキーマ。 共通スキーマの上に構築され、Microsoft 365 サービス固有の属性のセットを提供します。たとえば、SharePoint スキーマ、OneDrive スキーマ、Exchange 管理者スキーマなどです。
Office 365 管理 API のスキーマ
この記事では、共通スキーマとサービス固有のスキーマの詳細について説明します。 次の表では、使用可能なスキーマについて説明しています。
| スキーマ名 | 説明 |
|---|---|
| 共通スキーマ | レコードの種類、ユーザー ID、クライアント IP、ユーザーの種類、およびアクションと、ユーザーのプロパティ (ユーザー ID など)、場所のプロパティ (クライアント IP など)、およびサービス固有のプロパティ (オブジェクト ID など) といったコア ディメンションを抽出するためのビューです。 |
| Copilot スキーマ | イベントには、アクティビティが行われた Microsoft 365 サービスの Copilot と対話する方法とタイミング、および操作中にアクセスされた Microsoft 365 に格納されているファイルへの参照が含まれます。 |
| SharePoint 基本スキーマ | 共通スキーマを、すべての SharePoint 監査データに固有のプロパティで拡張します。 |
| SharePoint ファイルの操作 | SharePoint 基本スキーマを、ファイル アクセスと SharePoint での操作に固有のプロパティで拡張します。 |
| SharePoint リストの操作 | SharePoint のリストとリスト アイテムとの対話に固有のプロパティを使用して、SharePoint Base スキーマを拡張します。 |
| SharePoint 共有スキーマ | SharePoint 基本スキーマを、ファイル共有に固有のプロパティで拡張します。 |
| SharePoint スキーマ | SharePoint 基本スキーマを、SharePoint に固有であるものの、ファイル アクセスと操作には関連がないプロパティで拡張します。 |
| Project スキーマ | SharePoint 基本スキーマを、プロジェクトに固有のプロパティで拡張します。 |
| Exchange 管理者スキーマ | 共通スキーマを、すべての Exchange 管理者監査データに固有のプロパティで拡張します。 |
| Exchange メールボックス スキーマ | 共通スキーマを、すべての Exchange メールボックス監査データに固有のプロパティで拡張します。 |
| OWA 認証スキーマ | 共通スキーマを、OWA 認証データに固有のプロパティで拡張します。 |
| Microsoft Entra ID 基本スキーマ | すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Entra アカウント ログオン スキーマ | Microsoft Entra ID 基本スキーマを、すべてのMicrosoft Entraログオン イベントに固有のプロパティで拡張します。 |
| Microsoft Entra ID Secure STS Logon スキーマ | Microsoft Entra ID ベース スキーマを、すべての Microsoft Entra ID Secure Token Service (STS) ログオン イベントに固有のプロパティで拡張します。 |
| Microsoft Entra スキーマ | すべてのMicrosoft Entra監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| DLP スキーマ | 共通スキーマを、データ損失防止イベントに固有のプロパティで拡張します。 |
| セキュリティ/コンプライアンス センター スキーマ | Security & Compliance Center のすべてのイベントに固有のプロパティを使用して共通スキーマを拡張します。 |
| セキュリティ/コンプライアンス アラート スキーマ | 共通スキーマを、すべてのOffice 365 セキュリティ/コンプライアンス アラートに固有のプロパティで拡張します。 |
| Viva Engage スキーマ | すべてのViva Engage イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| データ センター セキュリティ基本スキーマ | 共通スキーマを、すべてのデータ センター セキュリティ監査データに固有のプロパティで拡張します。 |
| データ センター セキュリティ コマンドレット スキーマ | データ センター セキュリティ基本スキーマを、すべてのデータ センター セキュリティ コマンドレット監査データに固有のプロパティで拡張します。 |
| Microsoft Teams スキーマ | 共通スキーマを、すべての Microsoft Teams イベントに固有のプロパティで拡張します。 |
| Microsoft Defender for Office 365 および脅威の調査と対応スキーマ | Defender for Office 365 および脅威の調査と対応のデータに固有のプロパティを使用して、共通スキーマを拡張します。 |
| 報告スキーマ | Microsoft Defender for Office 365 のユーザーおよび管理者による報告に固有のプロパティを使用して、共通スキーマを拡張します。 |
| 自動調査および対応イベント スキーマ | Office 365 自動調査および応答 (AIR) イベントに固有のプロパティを使用して、共通スキーマを拡張します。 例については、「Tech Community ブログ: Microsoft Defender for Office 365と Office 365 Management API を使用して SOC の有効性を向上させる」を参照してください。 |
| 検疫イベントスキーマ | クラウド メールボックスとMicrosoft Defender for Office 365の既定の電子メール保護のイベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| Power BI スキーマ | 共通スキーマを、すべての Power BI イベントに固有のプロパティで拡張します。 |
| Dynamics 365 スキーマ | Dynamics 365 イベントに固有のプロパティを使用して共通スキーマを拡張します。 |
| スキーマのViva Insights | すべてのMicrosoft Viva Insights イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| 検疫スキーマ | 共通スキーマを、すべての検疫イベントに固有のプロパティで拡張します。 |
| Microsoft Forms スキーマ | 共通スキーマを、すべての Microsoft Forms イベントに固有のプロパティで拡張します。 |
| MIP ラベルのスキーマ | メール メッセージに手動または自動で適用される秘密度ラベルの固有のプロパティを使用して、共通のスキーマを拡張します。 |
| 暗号化されたメッセージのポータル イベント スキーマ | 外部受信者がアクセスする暗号化されたメッセージ ポータルに固有のプロパティを使用して共通スキーマを拡張します。 |
| コミュニケーションコンプライアンス Exchange スキーマ | コミュニケーションコンプライアンス違反言語モデルに固有のプロパティを使用して、共通スキーマを拡張します。 |
| レポート スキーマ | 共通スキーマを、すべての レポート イベントに固有のプロパティで拡張します。 |
| コンプライアンス コネクタ スキーマ | データ コネクタを使用して Microsoft 以外のデータをインポートするための固有のプロパティを使用して、共通スキーマを拡張します。 |
| SystemSync スキーマ | SystemSync を介して取り込まれたデータに固有のプロパティを使用して、共通スキーマを拡張します。 |
| スキーマのViva Goals | すべてのViva Goals イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Planner スキーマ | Microsoft Planner イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Project for the web スキーマ | Microsoft Project for the web イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| パルス スキーマのViva | Common スキーマを、すべてのViva Pulse イベントに固有のプロパティで拡張します。 |
| Compliance Manager スキーマ | Compliance Manager イベントに固有のプロパティを使用して共通スキーマを拡張します。 |
| バックアップ ポリシー スキーマ | 共通スキーマを、Microsoft 365 バックアップ ポリシーに固有のプロパティで拡張します。 |
| タスク スキーマの復元 | [復元タスク] に固有のプロパティを使用して共通スキーマMicrosoft 365 バックアップ拡張します。 |
| バックアップ項目スキーマ | 共通スキーマを、Microsoft 365 バックアップ成果物に固有のプロパティで拡張します。 |
| アイテム スキーマの復元 | Microsoft 365 バックアップの復元項目に固有のプロパティを使用して、共通スキーマを拡張します。 |
| クラウド ポリシー サービス スキーマ | 共通スキーマを、すべての Cloud Policy サービス監査データに固有のプロパティで拡張します。 |
| Cloud Update プロファイル構成スキーマ | 共通スキーマを、Cloud Update プロファイル構成監査データに固有のプロパティで拡張します。 |
| Cloud Update テナント構成スキーマ | 共通スキーマを、Cloud Update テナント構成監査データに固有のプロパティで拡張します。 |
| Cloud Update デバイス構成スキーマ | Cloud Update デバイス構成監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft Entraリスク検出スキーマ | 共通スキーマを、リスク検出イベントに固有のプロパティMicrosoft Entra拡張します。 |
| Microsoft Edge WebContentFiltering スキーマ | Microsoft Edge WebContentFiltering イベントに固有のプロパティを使用して Common スキーマを拡張します。 |
| Microsoft 365 Copilot スケジュールされたプロンプト スキーマ | Microsoft 365 Copilot スケジュールされたプロンプト監査データに固有のプロパティを使用して Common スキーマを拡張します。 |
| ディレクトリ スキーマのMicrosoft Places | ディレクトリ監査データに固有のプロパティを使用して Common スキーマMicrosoft Places拡張します。 |
共通スキーマ
EntityType の名前: AuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Id | Combination GUIDEdm.Guid | はい | 監査レコードの一意識別子。 |
| RecordType | Self.AuditLogRecordType | はい | レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。 |
| CreationTime | Edm.Date | はい | 監査ログ レコードが生成されたときの協定世界時 (UTC) の日付と時刻。 |
| Operation | Edm.String | はい | ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの詳細については、「 監査ログを検索する」を参照してください。 Exchange 管理者アクティビティでは、このプロパティは、実行されたコマンドレットの名前を識別します。 DLP イベントでは、これは "DlpRuleMatch"、"DlpRuleUndo" または "DlpInfo" (後続の「DLP スキーマ」で説明) になる可能性があります。 |
| OrganizationId | Edm.Guid | はい | 組織の Office 365 テナントの GUID。 この値は、organizationが発生するOffice 365 サービスに関係なく、常に同じです。 |
| UserType | Self.UserType | はい | 操作を実行したユーザーの種類。 ユーザーの種類の詳細については、「ユーザーの種類」の表を参照してください。 |
| UserKey | Edm.String | はい | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive、Exchange でユーザーが実行したイベントのパスポート一意 ID (PUID) が設定されます。 |
| Workload | Edm.String | はい | アクティビティが発生した Office 365 サービス。 |
| ResultStatus | Edm.String | いいえ | (Operation プロパティで指定された) アクションが正常に終了したかどうかどうかを示します。 指定可能な値は Succeeded、PartiallySucceeded、または Failed です。 Exchange 管理者アクティビティでは、値は True または False のいずれかになります。 重要: ResultStatus プロパティの値は、異なるワークロードによって上書きされる可能性があります。 たとえば、MICROSOFT ENTRA ID STS ログオン イベントの場合、ResultStatus の [成功] の値は HTTP 操作が成功したことを示すだけです。ログオンが成功したことを意味するものではありません。 実際のログオンが成功したかどうかを確認するには、Microsoft Entra ID STS ログオン スキーマの LogonError プロパティを参照してください。 ログオンに失敗した場合、このプロパティの値には、失敗したログオン試行の理由が含まれます。 |
| ObjectId | Edm.string | いいえ | SharePoint および OneDrive アクティビティの場合、ユーザーがアクセスするファイルまたはフォルダーの完全なパス名。 Exchange 管理者の監査ログの場合は、コマンドレットによって変更されたオブジェクトの名前。 Cloud Policy サービスの場合、ポリシー構成のオブジェクト ID。 TrainableClassifier アクティビティの場合、ユーザーによって作成、発行、更新、または削除されたモデルの ID。 |
| UserId | Edm.string | はい | レコードがログに記録されることになった、(Operation プロパティで指定された) アクションを実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name などです。
注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| ClientIP | Edm.String | はい | アクティビティがログに記録されたときに使用されたデバイスの IPv4 または IPv6 アドレス。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、MICROSOFT ENTRA ID 関連イベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null。 |
| 範囲 | Self.AuditLogScope | いいえ | 次のいずれかのソースによって作成されたイベント:
|
| AppAccessContext | CollectionSelf.AppAccessContext | いいえ | アクションを実行したユーザーまたはサービス プリンシパルのアプリケーション コンテキスト。 |
列挙値: AuditLogRecordType - 型: Edm.Int32
AuditLogRecordType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | ExchangeAdmin | Exchange 管理者監査ログからのイベント。 |
| 2 | ExchangeItem | 単一のアイテムに対して実行されるアクション (単一の電子メール メッセージの作成や受信など) の、Exchange メールボックス監査ログからのイベント。 |
| 3 | ExchangeItemGroup | 複数のアイテムに対して実行できるアクション (1 つ以上の電子メール メッセージの移動や削除など) の、Exchange メールボックス監査ログからのイベント。 |
| 4 | SharePoint | SharePoint イベント。 |
| 6 | SharePointFileOperation | SharePoint ファイル操作イベント。 |
| 7 | OneDrive | OneDrive イベント。 |
| 8 | AzureActiveDirectory | MICROSOFT ENTRA ID イベント。 |
| 9 | AzureActiveDirectoryAccountLogon | Microsoft Entra ID OrgId ログオン イベント (非推奨)。 |
| 10 | DataCenterSecurityCmdlet | データ センター セキュリティ コマンドレット イベント。 |
| 11 | ComplianceDLPSharePoint | SharePoint と OneDrive のデータ損失保護 (DLP) イベント。 |
| 13 | ComplianceDLPExchange | 統合 DLP ポリシーを使用して構成された場合の Exchange のデータ損失防止 (DLP) イベント。 Exchange トランスポート ルールに基づく DLP イベントはサポートされていません。 |
| 14 | SharePointSharingOperation | SharePoint 共有イベント。 |
| 15 | AzureActiveDirectoryStsLogon | Microsoft Entra ID でのセキュリティで保護されたトークン サービス (STS) ログオン イベント。 |
| 16 | SkypeForBusinessPSTNUsage | Skype for Business からの公衆交換電話網 (PSTN) イベント。 |
| 17 | SkypeForBusinessUsersBlocked | Skype for Business からのブロックされたユーザー イベント。 |
| 18 | SecurityComplianceCenterEOPCmdlet | Microsoft 365 Defender ポータルからクラウド メールボックスの既定の電子メール保護でアクションを管理します。 |
| 19 | ExchangeAggregatedOperation | 集計された Exchange メールボックス監査イベント。 |
| 20 | PowerBIAudit | Power BI イベント。 |
| 21 | CRM | Dynamics 365 イベント。 |
| 22 | Viva Engage | Viva Engage イベント。 |
| 23 | SkypeForBusinessCmdlets | Skype for Business イベント。 |
| 24 | Discovery | Microsoft Purview ポータルでコンテンツ検索を実行し、電子情報開示ケースを管理することによって実行される電子情報開示アクティビティのイベント。 |
| 25 | MicrosoftTeams | Microsoft Teams のイベント。 |
| 28 | ThreatIntelligence | クラウド メールボックスとMicrosoft Defender for Office 365の既定の電子メール保護からのフィッシングおよびマルウェア イベント。 |
| 29 | MailSubmission | クラウド メールボックスとMicrosoft Defender for Office 365の既定の電子メール保護からの送信イベント。 |
| 30 | MicrosoftFlow | Microsoft Power Automate (旧称 Microsoft Flow) イベント。 |
| 31 | AeD | Advanced eDiscovery イベント。 |
| 32 | MicrosoftStream | Microsoft Stream のイベント。 |
| 33 | ComplianceDLPSharePointClassification | SharePoint の DLP 分類に関連するイベント。 |
| 34 | ThreatFinder | Microsoft Defender for Office 365 からのキャンペーン関連のイベント。 |
| 35 | Project | Microsoft Project のイベント。 |
| 36 | SharePointListOperation | SharePoint リスト イベント。 |
| 37 | SharePointCommentOperation | SharePoint コメント イベント。 |
| 38 | DataGovernance | Microsoft Purview ポータルのアイテム保持ポリシーと保持ラベルに関連するイベント。 |
| 39 | Kaizala | Kaizala イベント。 |
| 40 | SecurityComplianceAlerts | セキュリティ/コンプライアンス アラートのシグナル。 |
| 41 | ThreatIntelligenceUrl | ブロック時の安全なリンクと Microsoft Defender for Office 365 からのイベントの上書きブロック。 |
| 42 | SecurityComplianceInsights | Microsoft Defender ポータルの分析情報とレポートに関連するイベント。 |
| 43 | MIPLabel | 秘密度ラベルで (手動または自動で) タグ付けされたメール メッセージのトランスポート パイプラインでの検出に関連するイベント。 |
| 44 | VivaInsights | Viva Insights イベント。 |
| 45 | PowerAppsApp | Power Apps イベント。 |
| 46 | PowerAppsPlan | Power Apps のサブスクリプション プラン イベント。 |
| 47 | ThreatIntelligenceAtpContent | Microsoft Defender for Office 365からの SharePoint、OneDrive、Microsoft Teams内のファイルのフィッシングおよびマルウェア イベント。 |
| 48 | LabelContentExplorer | データ分類コンテンツ エクスプローラーに関係するイベント。 |
| 49 | TeamsHealthcare | Microsoft Teams for Healthcareの患者アプリに関連するイベント。 |
| 50 | ExchangeItemAggregated | MailItemsAccessed メールボックス監査アクションに関連するイベント。 |
| 51 | HygieneEvent | 送信スパム保護に関連するイベント。 |
| 52 | DataInsightsRestApiAudit | データ インサイト REST API イベント。 |
| 53 | InformationBarrierPolicyApplication | 情報障壁ポリシーの適用に関連するイベント。 |
| 54 | SharePointListItemOperation | SharePoint リスト アイテム イベント。 |
| 55 | SharePointContentTypeOperation | SharePoint リスト コンテンツ タイプ イベント。 |
| 56 | SharePointFieldOperation | SharePoint リスト フィールド イベント。 |
| 57 | MicrosoftTeamsAdmin | Teams 管理者イベント |
| 58 | HRSignal | インサイダー リスク管理ソリューションをサポートする HR データ信号に関連するイベント。 |
| 59 | MicrosoftTeamsDevice | Teams デバイス イベント。 |
| 60 | MicrosoftTeamsAnalytics | Teams 分析イベント。 |
| 61 | InformationWorkerProtection | 侵害されたユーザーのアラートに関連するイベント。 |
| 62 | Campaign | Microsoft Defender for Office 365 からのメール キャンペーンのイベント。 |
| 63 | DLPEndpoint | エンドポイント DLP イベント。 |
| 64 | AIR 調査 | 自動インシデント応答 (AIR) イベント |
| 65 | Quarantine | 検疫イベント。 |
| 66 | MicrosoftForms | Microsoft Forms イベント。 |
| 67 | ApplicationAudit | アプリケーション監査イベント。 |
| 68 | ComplianceSupervisionExchange | コミュニケーションコンプライアンス違反言語モデルによって追跡されるイベント。 |
| 69 | CustomerKeyServiceEncryption | カスタマー キーの暗号化に関連するイベント。 |
| 70 | OfficeNative | Office ドキュメントに適用される機密ラベルに関連するイベント。 |
| 71 | MipAutoLabelSharePointItem | SharePoint での自動ラベル付けイベント。 |
| 72 | MipAutoLabelSharePointPolicyLocation | SharePoint での自動ラベル付けポリシー イベント。 |
| 73 | MicrosoftTeamsShifts | Teams シフト イベント。 |
| 75 | MipAutoLabelExchangeItem | Exchange での自動ラベル付けイベント。 |
| 76 | CortanaBriefing | ブリーフィング メール イベント。 |
| 78 | WDATPAlerts | Windows Defender for Endpoint によって生成されたアラートに関連するイベント。 |
| 79 | PowerAppsResource | Microsoft Power Platform コネクタ (プレビュー) に関連するイベント。 |
| 82 | SensitivityLabelPolicyMatch | 機密ラベルでラベル付けされたファイルが開かれるか、名前が変更されたときに生成されるイベント。 |
| 83 | SensitivityLabelAction | 機密ラベルがファイルに適用、更新、または削除されたときに生成されるイベント。 |
| 84 | SensitivityLabeledFileAction | 機密ラベルでラベル付けされたファイルが開かれたとき、または名前が変更されたときに生成されるイベント。 |
| 85 | AttackSim | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー アクティビティに関連するイベント。 |
| 86 | AirManualInvestigation | 自動調査と応答 (AIR) での手動調査に関連するイベント。 |
| 87 | SecurityComplianceRBAC | セキュリティとコンプライアンスの RBAC イベント。 |
| 88 | UserTraining | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングのユーザー トレーニングに関連するイベント。 |
| 89 | AirAdminActionInvestigation | 自動調査と応答 (AIR) の管理者アクションに関連するイベント。 |
| 90 | MSTIC | Microsoft Defender for Office365 の脅威インテリジェンス イベント。 |
| 91 | PhysicalBadgingSignal | インサイダー リスク管理ソリューションをサポートする物理バッジに関連するイベント。 |
| 92 | TeamsEasyApprovals | Teams Easy Approvals に関連するイベント |
| 93 | AipDiscover | AIP スキャナー イベント |
| 94 | AipSensitivityLabelAction | AIP 秘密度ラベル イベント |
| 95 | AipProtectionAction | AIP 保護イベント |
| 96 | AipFileDeleted | AIP ファイル削除イベント |
| 97 | AipHeartBeat | AIP ハートビート イベント |
| 98 | MCASAlerts | Microsoft Cloud App Security によってトリガーされたアラートに対応するイベント。 |
| 99 | OnPremisesFileShareScannerDlp | ファイル共有の機密データのスキャンに関連するイベント。 |
| 100 | OnPremisesSharePointScannerDlp | SharePoint での機密データのスキャンに関連するイベント。 |
| 101 | ExchangeSearch | Outlook on the Web (OWA) を使用してメールボックス アイテムを検索することに関連するイベント。 |
| 102 | SharePointSearch | 組織の SharePoint ホーム サイトの検索に関連するイベント。 |
| 103 | PrivacyInsights | プライバシー分析情報イベント。 |
| 105 | MyAnalyticsSettings | MyAnalytics イベント。 |
| 106 | SecurityComplianceUserChange | ユーザーの変更または削除に関連するイベント。 |
| 107 | ComplianceDLPExchangeClassification | Exchange DLP 分類イベント。 |
| 109 | MipExactDataMatch | 完全データ一致 (EDM) 分類イベント。 |
| 113 | MS365DCustomDetection | Microsoft 365 Defender のカスタム検出アクションに関連するイベント。 |
| 147 | CoreReportingSettings | レポート設定イベント。 |
| 148 | ComplianceConnector | Microsoft Purview ポータルでデータ コネクタを使用して Microsoft 以外のデータをインポートすることに関連するイベント。 |
| 154 | OMEPortal | 外部受信者によって生成された暗号化されたメッセージ ポータル イベント ログ。 |
| 157 | MipLabelAnalyticsAuditRecord | MIP Label Analytics イベント。 |
| 164 | ScorePlatformGenericAuditRecord | データ コネクタに使用される汎用監査レコード。 |
| 174 | DataShareOperation | SystemSync 経由で取り込まれたデータの共有に関連するイベント。 |
| 181 | EduDataLakeDownloadOperation | SystemSync がレイクから取り込んだデータのエクスポートに関連するイベント。 |
| 183 | MicrosoftGraphDataConnectOperation | Microsoft Graph Data Connect によって行われる抽出に関連するイベント。 |
| 186 | PowerPagesSite | Power Pages サイトに関連するアクティビティ。 |
| 187 | PowerPlatformAdminDlp | Microsoft Power Platform DLP (プレビュー) に関連するイベント。 |
| 188 | PlannerPlan | Microsoft Plannerイベントを計画します。 |
| 189 | PlannerCopyPlan | Microsoft Plannerプラン イベントをコピーします。 |
| 190 | PlannerTask | Microsoft Planner タスク イベント。 |
| 191 | PlannerRoster | Microsoft Planner名簿および名簿メンバーシップ イベント。 |
| 192 | PlannerPlanList | Microsoft Planner プラン リスト イベント。 |
| 193 | PlannerTaskList | Microsoft Planner タスク リスト イベント。 |
| 194 | PlannerTenantSettings | Microsoft Planner テナント設定イベント。 |
| 195 | ProjectForThewebProject | Microsoft Project for the web プロジェクト イベント。 |
| 196 | ProjectForThewebTask | Microsoft Project for the web タスク イベント。 |
| 197 | ProjectForThewebRoadmap | Microsoft Project for the web ロードマップ イベント。 |
| 198 | ProjectForThewebRoadmapItem | Microsoft Project for the webロードマップ項目イベント。 |
| 199 | ProjectForThewebProjectSettings | Microsoft Project for the web プロジェクト テナント設定イベント。 |
| 200 | ProjectForThewebRoadmapSettings | Microsoft Project for the web ロードマップ テナント設定イベント。 |
| 202 | MicrosoftTodoAudit | Microsoft To Do 監査イベント。 |
| 206 | MicrosoftTeamsSensitivityLabelAction | 秘密度ラベル イベントをMicrosoft Teamsします。 |
| 216 | Viva Goals | Viva Goals イベント。 |
| 217 | MicrosoftGraphDataConnectConsent | Microsoft Graph Data Connect アプリケーションのテナント管理者によって実行される同意アクションのイベント。 |
| 218 | AttackSimAdmin | Microsoft Defender for Office 365での攻撃シミュレーション & トレーニングの管理アクティビティに関連するイベント。 |
| 230 | TeamsUpdates | Teams Updates アプリ イベント。 |
| 231 | PlannerRosterSensitivityLabel | Microsoft Planner名簿秘密度ラベル イベント。 |
| 235 | MicrosoftDefenderForIdentityAudit | ID 監査イベントのMicrosoft Defender。 |
| 237 | DefenderExpertsforXDRAdmin | エキスパート管理者アクション イベントをMicrosoft Defenderします。 |
| 251 | VfamCreatePolicy | アクセス管理ポリシー Vivaイベントを作成します。 |
| 252 | VfamUpdatePolicy | Access Management ポリシーの更新イベントをVivaします。 |
| 253 | VfamDeletePolicy | アクセス管理ポリシーの削除イベントをVivaします。 |
| 256 | PowerPlatformAdministratorActivity | Power Platform 管理者アクティビティ イベント。 |
| 257 | Windows365CustomerLockbox | Windows365 Customer Lockbox 監査イベント。 |
| 261 | CopilotInteraction | Copilot 相互作用イベント。 |
| 265 | VivaLearning | Viva Learningでのユーザー アクティビティ。 |
| 266 | VivaLearningAdmin | Viva Learningでのアクティビティを管理します。 |
| 269 | PeopleAdminSettings | People 管理設定のイベントを監査します。 |
| 275 | OWAAuth | リソースのアクセス トークンが正常に発行されたイベント。 |
| 277 | SharePointESignature | SharePoint eSignature 監査イベント。 |
| 278 | Dynamics365BusinessCentral | Dynamics 365 Business Centralのイベントを監査します。 |
| 279 | MeshWorlds | Mesh のイベントを監査します。 |
| 280 | VivaPulseResponse | パルス調査応答イベントをVivaします。 |
| 281 | VivaPulseOrganizer | パルスアンケート開催者イベントをVivaします。 |
| 282 | VivaPulseAdmin | パルス管理イベントをVivaします。 |
| 283 | VivaPulseReport | Vivaパルスは関連イベントを報告します。 |
| 284 | AIAppInteraction | サードパーティ (Microsoft 以外および非カスタムビルド) AI アプリケーションとのユーザー操作のイベントを監査します。 |
| 285 | ComplianceDLMExchange | ComplianceDLMExchange イベント。 |
| 286 | ComplianceDLMSharePoint | ComplianceDLMSharePoint イベント。 |
| 287 | ProjectForThewebAssignedToMeSettings | Microsoft Project for the webテナント設定イベントに割り当てられます。 |
| 288 | CloudPolicyService | クラウド ポリシー サービスからのイベント。 |
| 291 | SensitiveInfoDiscovered | エンドポイント デバイスの Purview オンデマンド分類からのイベント。 |
| 292 | InsiderRiskScopedUserInsights | Insider Risk Management のスコープ付きユーザー分析情報に関連するイベント。 |
| 293 | MicrosoftTeamsRetentionLabelAction | Microsoft Teamsの保持ラベルのイベントを監査します。 |
| 294 | AadRiskDetection | Microsoft Entra (以前は Azure Active Directory と呼ばれる) のリスク検出のイベントを監査します。 |
| 295 | AuditSearch | Purview 監査で検索を操作する管理者のイベントを監査します。 |
| 296 | AuditRetentionPolicy | Purview Audit でアイテム保持ポリシーを操作する管理者のイベントを監査します。 |
| 297 | AuditConfig | Purview Audit に関連する構成設定を操作する管理者の監査イベント。 |
| 298 | BackupPolicy | Microsoft 365 バックアップ ポリシーに関連するイベント。 |
| 299 | RestoreTask | Microsoft 365 バックアップ復元タスクに関連するイベント。 |
| 300 | RestoreItem | Microsoft 365 バックアップでバックアップされた成果物に関連するイベント。 |
| 301 | BackupItem | Microsoft 365 バックアップを使用して復元されるアイテムに関連するイベント。 |
| 302 | URBACAssignment | 統合 RBAC の割り当てに関連するイベント。 |
| 303 | URBACRole | 統合 RBAC ロールに関連するイベント。 |
| 304 | URBACEnableState | 統合 RBAC 状態の有効化に関連するイベント。 |
| 306 | PurviewInsiderRiskCases | Purview Insider リスク ケースに関連するイベント。 |
| 307 | PurviewInsiderRiskAlerts | Purview Insider Risk アラートに関連するイベント。 |
| 308 | InsiderRiskScopedUsers | Purview Insider Risk スコープのユーザーに関連するイベント。 |
| 310 | CreateCopilotPlugin | Copilot プラグイン作成のイベントを監査します。 |
| 311 | UpdateCopilotPlugin | Copilot プラグインを更新するためのイベントを監査します。 |
| 312 | DeleteCopilotPlugin | Copilot プラグインを削除するためのイベントを監査します。 |
| 313 | EnableCopilotPlugin | Copilot プラグインを有効にするためのイベントを監査します。 |
| 314 | DisableCopilotPlugin | Copilot プラグインを無効にするためのイベントを監査します。 |
| 315 | CreateCopilotWorkspace | Copilot ワークスペースを作成するためのイベントを監査します。 |
| 316 | UpdateCopilotWorkspace | Copilot ワークスペースを更新するためのイベントを監査します。 |
| 317 | DeleteCopilotWorkspace | Copilot ワークスペースを削除するためのイベントを監査します。 |
| 318 | EnableCopilotWorkspace | Copilot ワークスペースを有効にするためのイベントを監査します。 |
| 319 | DisableCopilotWorkspace | Copilot ワークスペースを無効にするためのイベントを監査します。 |
| 320 | CreateCopilotPromptBook | Copilot プロンプトブックを作成するためのイベントを監査します。 |
| 321 | UpdateCopilotPromptBook | Copilot プロンプトブックを更新するためのイベントを監査します。 |
| 322 | DeleteCopilotPromptBook | Copilot プロンプトブックを削除するためのイベントを監査します。 |
| 323 | EnableCopilotPromptBook | Copilot プロンプトブックを有効にするためのイベントを監査します。 |
| 324 | DisableCopilotPromptBook | Copilot プロンプトブックを無効にするためのイベントを監査します。 |
| 325 | UpdateCopilotSettings | Copilot に関連するユーザーまたはテナント設定を更新するための監査イベント。 |
| 328 | ConnectedAIAppInteraction | organizationの Microsoft テナント内に展開されているサード パーティ (Microsoft 以外の開発) AI アプリケーションとのユーザー操作に関連するイベントを監査します。 |
| 329 | PrivaPrivacyConsentOperation | Microsoft Privaでの同意に関連するイベントを監査します。 |
| 330 | PrivaPrivacyAssessmentOperation | Microsoft Privaの評価に関連するイベントを監査します。 |
| 331 | DataCatalogAccessRequests | Data Catalogアクセス要求に関連するイベントを監査します。 |
| 332 | ComplianceSettingsChange | Microsoft Purview コンプライアンス設定によってイベントが変更されます。 |
| 333 | DataSecurityInvestigation | Microsoft Purview のデータ セキュリティ調査からのイベント。 |
| 334 | TeamCopilotInteraction | ファシリテーターとのユーザー操作や、ファシリテーターがMicrosoft Teamsで実行するアクティビティの監査イベント。 |
| 335 | IRMActivityAuditTrail | Purview Insider Risk Management からのイベント。 |
| 336 | SharePointContentSecurityPolicy | SharePoint のコンテンツ セキュリティ ポリシーからのイベント。 |
| 337 | CloudUpdateProfileConfig | Cloud Update のプロファイル構成からのイベント。 |
| 338 | CloudUpdateTenantConfig | Cloud Update のテナント構成からのイベント。 |
| 339 | CloudUpdateDeviceConfig | Cloud Update のマネージド デバイス構成からのイベント。 |
| 341 | DeviceDiscoverySettingsExclusion | デバイス検出設定の除外に関連するイベント。 |
| 342 | DeviceDiscoverySettingsAuthenticatedScans | デバイス検出設定の認証済みスキャンに関連するイベント。 |
| 344 | DeviceDiscoverySettings | デバイス検出の設定に関連するイベント。 |
| 345 | USXWorkspaceOnboarding | Microsoft Defender USX でのワークスペースオンボードに関連するイベント。 |
| 346 | VivaGlintAdvancedConfiguration | Viva Glintの高度な構成に関連するイベント。 |
| 347 | VivaGlintPulseProgram | Viva Glintのパルス プログラムに関連するイベント。 |
| 348 | VivaGlintPulseProgramRespondentRate | Viva Glintにおけるパルスプログラム回答者率に関連するイベント。 |
| 349 | VivaGlintQuestion | Viva Glintの質問に関連するイベント。 |
| 350 | VivaGlintRole | Viva Glintのロールに関連するイベント。 |
| 351 | VivaGlintRubicon | Viva Glintの Rubicon に関連するイベント。 |
| 352 | VivaGlintSupportAccess | Viva Glintでのサポート アクセスに関連するイベント。 |
| 353 | VivaGlintSystem | Viva Glintのシステム アクティビティに関連するイベント。 |
| 354 | VivaGlintUser | Viva Glintのユーザー アクティビティに関連するイベント。 |
| 355 | VivaGlintUserGroup | Viva Glintのユーザー グループ アクティビティに関連するイベント。 |
| 356 | VivaGlintFeedbackProgram | Viva Glintのフィードバック プログラムに関連するイベント。 |
| 357 | FabricAudit | Microsoft Fabric に関連するイベント。 |
| 358 | TrainableClassifier | Purview データ分類からのイベント。 |
| 359 | WebContentFiltering | Microsoft Edge WebContentFiltering からのイベント。 |
| 360 | NoisyAlertPolicy | Microsoft Defenderのノイズの多いアラート ポリシーに関連するイベント。 |
| 361 | DataScanClassification | SharePoint と OneDrive の Purview オンデマンド分類からのイベント。 |
| 362 | AIInteractionsExport | AI インタラクションのエクスポートに関連するイベント。 |
| 363 | Microsoft365CopilotScheduledPrompt | Microsoft 365 Copilot スケジュールされたプロンプトからのイベント。 |
| 364 | PlacesDirectory | Microsoft Places ディレクトリからのイベント。 |
| 365 | SentinelNotebookOnLake | Sentinel Data Lake でのノートブック実行からのイベント。 |
| 366 | SentinelJob | Sentinel Data Lake のジョブに対する操作からのイベント。 |
| 367 | SentinelKQLOnLake | Sentinel Data Lake で KQL を実行したイベント。 |
| 368 | SentinelLakeOnboarding | オンボードから Sentinel データ レイクへのイベント。 |
| 369 | SentinelLakeDataOnboarding | Sentinel Data Lake へのイベントの読み込み。 |
| 370 | SentinelAITool | Microsoft Sentinel での AI ツールの操作からのイベント |
| 371 | SentinelGraph | Microsoft Sentinel の Graph に関連するイベント。 |
| 372 | CrossTenantAccessPolicy | テナント間アクセス ポリシーからのイベント。 |
| 373 | OutlookCopilotAutomation | エージェント、Copilot、またはその他の AI シナリオによって駆動される Microsoft Outlook のバックエンド自動化 (明示的なユーザー操作なし) に関連するイベント。 |
| 374 | VivaEngageNetworkAssociation | Viva Engageのネットワーク関連付けに関連するイベント。 |
| 375 | AppAdminActivity | アプリ管理者アクティビティに関連するイベント。 |
| 376 | AppSettingsAdminActivity | アプリ設定の管理者アクティビティに関連するイベント。 |
| 377 | UniversalPrintPrintJob | Microsoft ユニバーサル 印刷の印刷ジョブに関連するイベントを監査します。 |
| 378 | VivaAmplifyOutlookSensitivityLabel | Viva Amplifyの Outlook 秘密度ラベルに関連するイベント。 |
| 379 | AIInteractionsSubscription | AI インタラクション サブスクリプションに関連するイベント。 |
| 380 | AIInteractionsChangeNotification | AI インタラクション変更通知に関連するイベント。 |
| 381 | FilteringMailMetadataExtended | メール メタデータのフィルター処理に関連するイベント。 |
| 382 | OfficeRestrictedModeAction | Office 制限付きモードで実行されたアクティビティに関連するイベントを監査します。 |
| 383 | CopilotForSecurityTrigger | Security Copilot エージェントのトリガーに関連するイベント。 |
| 384 | CopilotAgentManagement | Microsoft Copilot エージェントの管理アクティビティに関連するイベント。 |
| 385 | P4AIAssessmentFabricScannerRecord | Ai Assessment Fabric スキャナーの Purview に関連するイベント。 |
| 386 | PlannerGoal | Microsoft Planner目標イベント。 |
| 387 | PlannerGoalList | Microsoft Planner目標リスト イベント。 |
列挙値: User Type - 型: Edm.Int32
ユーザーの種類
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Regular | 管理者権限のない通常のユーザー。 |
| 1 | Reserved | 使用目的ではなく予約値。 |
| 2 | Admin | Microsoft 365 organizationの管理者。 |
| 3 | DCAdmin | Microsoft データセンター管理者またはデータセンター システム アカウント。 |
| 4 | System | サーバー側ロジックによってトリガーされる監査イベント。 たとえば、Windows サービスやバックグラウンド プロセスなどです。 |
| 5 | Application | Microsoft Entra アプリケーションによってトリガーされる監査イベント。 |
| 6 | ServicePrincipal | サービス プリンシパル。 |
| 7 | CustomPolicy | 顧客が作成または管理するポリシー。 |
| 8 | SystemPolicy | Microsoft が管理するポリシーまたはシステム ポリシー。 |
| 9 | PartnerTechnician | パートナー テナントのユーザーが顧客テナントに代わって作業している ( GDAPシナリオの場合)。 |
| 10 | Guest | ゲストまたは匿名ユーザー。 |
注:
** Microsoft Entra関連イベントの場合、管理者の値は監査レコードでは使用されません。 管理者が実行したアクティビティの監査レコードは、通常のユーザー ( UserType: 0 など) がアクティビティを実行したことを示します。 UserID プロパティは、このアクティビティを実行したユーザー (通常のユーザーまたは管理者) を識別します。
列挙値: AuditLogScope - 型: Edm.Int32
AuditLogScope
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Online | このイベントは、Microsoft 365 サービスによって作成されました。 |
| 1 | Onprem | このイベントは、オンプレミスのサーバーによって作成されました。 |
複合型 AppAccessContext
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AADSessionId | Edm.String | 不要 | ユーザーの代わりにアプリによって実行された Entra サインインの Microsoft Entra SessionId。 |
| APIId | Edm.String | いいえ | リソースへのアクセスに使用される API パスウェイの ID。たとえば、Microsoft Graph API を介したアクセス。 |
| ClientAppId | Edm.String | 不要 | ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの ID。 |
| ClientAppName | Edm.String | 不要 | ユーザーの代わりにアクセスを実行したMicrosoft Entra アプリの名前。 |
| CorrelationId | Edm.String | いいえ | Microsoft 365 サービス全体で特定のユーザーのアクションを関連付けるために使用できる識別子。 |
| UniqueTokenId | Edm.String | 不要 | 要求に対してMicrosoft Entra トークンが使用可能な場合、UniqueTokenId が設定されます。 これは、大文字と小文字が区別される一意のトークンごとの識別子です。 |
| IssuedAtTime | Edm.Date | いいえ | 要求に対してMicrosoft Entra トークンが使用可能であり、このMicrosoft Entra トークンの認証がいつ行われたか示す場合は、"発行時" が設定されます。 |
SharePoint Base schema
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| サイト | Edm.Guid | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの GUID。 |
| ItemType | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" | いいえ | アクセスまたは変更されたオブジェクトの種類。 オブジェクトの種類の詳細については、「ItemType」の表を参照してください。 |
| EventSource | Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" | いいえ | SharePoint でイベントが発生したことを示します。 指定可能な値は SharePoint または ObjectModel。 |
| SourceName | Edm.String | いいえ | 監査対象の操作をトリガーしたエンティティ。 指定可能な値は、SharePoint または ObjectModel。 |
| UserAgent | Edm.String | いいえ | ユーザーのクライアントまたはブラウザーに関する情報。 この情報は、クライアントまたはブラウザーによって提供されます。 |
| MachineDomainInfo | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。 |
| MachineId | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | デバイスの同期操作に関する情報。 この情報は、要求で指定されている場合にのみ報告されます。 |
| ListItemUniqueId | Edm.Guid | いいえ | リストの一意に識別可能な項目の GUID。 この情報は、該当する場合にのみ存在します。 |
| ListID | Edm.Guid | いいえ | リストの GUID。 この情報は、該当する場合にのみ存在します。 |
| ApplicationId | Edm.String | いいえ | 操作を実行するアプリケーションの ID。 |
| ApplicationDisplayName | Edm.String | いいえ | 操作を実行するアプリケーションの表示名。 |
| IsWorkflow | Edm.Boolean | いいえ | これは、SharePoint ワークフローが監査イベントをトリガーした場合に True に設定されます。 |
列挙:ItemType - タイプ:Edm.Int32
ItemType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Invalid | アイテムは、その他の種類のアイテム (この表にリストされている) のいずれでもありません。 |
| 1 | File | アイテムはファイルです。 |
| 5 | Folder | アイテムはフォルダーです。 |
| 6 | Web | アイテムは Web です。 |
| 7 | Site | アイテムはサイトです。 |
| 8 | Tenant | アイテムはテナントです。 |
| 9 | DocumentLibrary | アイテムはドキュメント ライブラリです。 |
| 11 | Page | アイテムはページです。 |
列挙値: EventSource - 型: Edm.Int32
EventSource
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | SharePoint | イベント ソースは SharePoint です。 |
| 1 | ObjectModel | イベント ソースは ObjectModel です。 |
列挙:SharePointAuditOperation - タイプ:Edm.Int32
| メンバ名 | 説明 |
|---|---|
| AccessInvitationAccepted | 共有ファイル (またはフォルダー) の表示または編集への招待の受信者が、招待のリンクをクリックして共有ファイルにアクセスしました。 |
| AccessInvitationCreated | ユーザーは、SharePoint または OneDrive サイト上の共有ファイルまたはフォルダーを表示または編集するために、他のユーザー (organization内または外部) に招待を送信します。 イベント エントリの詳細では、共有されたファイルの名前、招待の送信先のユーザー、招待の送信者が選択した共有のアクセス許可の種類を識別します。 |
| AccessInvitationExpired | 外部のユーザーに送信した招待の期限が切れています。 既定では、組織外のユーザーに送信された招待が承諾されていない場合は、7 日後に期限が切れます。 |
| AccessInvitationRevoked | SharePoint または OneDrive のサイト管理者またはサイトまたはドキュメントの所有者は、organization外のユーザーに送信された招待を取り消します。 招待の取り下げは、招待が承諾される前にのみ行えます。 |
| AccessInvitationUpdated | SharePoint または OneDrive サイト上の共有ファイルまたはフォルダーを表示または編集するための招待を作成して別のユーザーに送信したユーザーは、招待を再送信します。 |
| AccessRequestApproved | SharePoint または OneDrive のサイト管理者またはサイトまたはドキュメントの所有者が、サイトまたはドキュメントへのアクセス要求を承認します。 |
| AccessRequestCreated | ユーザーは、SharePoint または OneDrive のサイトまたはドキュメントへのアクセスを要求します。アクセス許可がありません。 |
| AccessRequestRejected | SharePoint 内のドキュメントやサイトの管理者または所有者が、サイトまたはドキュメントへのユーザー アクセスを拒否しています。 |
| ActivationEnabled | ユーザーは、フォーム コードが含まれていないフォーム テンプレートをブラウザー対応にする、完全な信頼を要求する、モバイル デバイスでのレンダリングを有効にする、サーバー管理者が管理するデータ接続を使用する、などができます。 |
| AdministratorAddedToTermStore | 用語ストア管理者が追加されました。 |
| AdministratorDeletedFromTermStore | 用語ストア管理者が削除されました。 |
| AllowGroupCreationSet | サイト管理者または所有者は、そのアクセス許可を割り当てられたユーザーがそのサイトのグループを作成できるようにするアクセス許可レベルを SharePoint または OneDrive サイトに追加します。 |
| AppCatalogCreated | SharePoint 環境でカスタム ビジネス アプリを利用できるように、アプリ カタログが作成されました。 |
| AuditPolicyRemoved | サイト コレクションのドキュメント ライフサイクル ポリシーが削除されました。 |
| AuditPolicyUpdate | サイト コレクションのドキュメント ライフ サイクル ポリシーが更新されました。 |
| AzureStreamingEnabledSet | ビデオ ポータルの所有者が、Azure からのビデオ ストリーミングを許可されました。 |
| CollaborationTypeModified | サイト (イントラネット、エクストラネット、またはパブリックなど) で許可されているコラボレーションの種類が変更されました。 |
| ConnectedSiteSettingModified | ユーザーがプロジェクトとプロジェクト サイトの間のリンクを作成、変更、または削除したか、ユーザーが Project Web アプリのリンクの同期設定を変更します。 |
| CreateSSOApplication | ターゲット アプリケーションが Secure Store Service で作成されました。 |
| CustomFieldOrLookupTableCreated | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを作成しました。 |
| CustomFieldOrLookupTableDeleted | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを削除しました。 |
| CustomFieldOrLookupTableModified | ユーザーが Project Web アプリでユーザー設定フィールドまたはルックアップ テーブル/アイテムを変更しました。 |
| CustomizeExemptUsers | グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストをカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 この構成は、除外ユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 この結果、InfoPath フォームのインデックス作成が高速になります。 |
| DefaultLanguageChangedInTermStore* | 用語ストアで変更された言語設定。 |
| DelegateModified | ユーザーが Project Web アプリでセキュリティ デリゲートを作成または変更しました。 |
| DelegateRemoved | ユーザーが Project Web アプリでセキュリティ デリゲートを削除しました。 |
| DeleteSSOApplication | SSO アプリケーションが削除されました。 |
| eDiscoveryHoldApplied | インプレース ホールドが、コンテンツ ソースに置かれました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。 |
| eDiscoveryHoldRemoved | インプレース ホールドが、コンテンツ ソースから削除されました。 インプレース ホールドは、SharePoint で (電子情報開示センターなどの) 電子情報開示サイト コレクションを使用して管理されます。 |
| eDiscoverySearchPerformed | 電子情報開示検索は、SharePoint の電子情報開示サイト コレクションを使用して実行されました。 |
| EngagementAccepted | ユーザーは Project Web アプリでリソース エンゲージメントを受け入れます。 |
| EngagementModified | ユーザーが Project Web アプリのリソース エンゲージメントを変更します。 |
| EngagementRejected | ユーザーが Project Web アプリのリソース エンゲージメントを拒否します。 |
| EnterpriseCalendarModified | ユーザーは、Project Web アプリでエンタープライズ 予定表をコピー、変更、または削除します。 |
| EntityDeleted | ユーザーは Project Web アプリでタイムシートを削除します。 |
| EntityForceCheckedIn | ユーザーは、Project Web アプリの予定表、ユーザー設定フィールド、または参照テーブルにチェックを強制します。 |
| ExemptUserAgentSet | グローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントのリストにユーザー エージェントを追加しました。 |
| FileAccessed | ユーザーまたはシステム アカウントは、SharePoint または OneDrive サイト上のファイルにアクセスします。 システム アカウントが FileAccessed イベントを生成する場合もあります。 |
| FileCheckOutDiscarded | ユーザーはチェックアウトしたファイルを破棄します。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。 |
| FileCheckedIn | ユーザーは、SharePoint または OneDrive ドキュメント ライブラリからチェックアウトしたドキュメントをチェックインします。 |
| FileCheckedOut | ユーザーは、SharePoint または OneDrive ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。 |
| FileCopied | ユーザーは、SharePoint サイトまたは OneDrive サイトからドキュメントをコピーします。 コピーしたファイルは、サイトの別のフォルダーに保存できます。 |
| FileDeleted | ユーザーは、SharePoint サイトまたは OneDrive サイトからドキュメントを削除します。 |
| FileDeletedFirstStageRecycleBin | ユーザーは、SharePoint サイトまたは OneDrive サイトのごみ箱からファイルを削除します。 |
| FileDeletedSecondStageRecycleBin | ユーザーは、SharePoint または OneDrive サイトの第 2 段階のごみ箱からファイルを削除します。 |
| FileDownloaded | ユーザーは SharePoint または OneDrive サイトからドキュメントをダウンロードします。 |
| FileFetched | このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。 |
| FileModified | ユーザーまたはシステム アカウントは、SharePoint または OneDrive サイトにあるドキュメントのコンテンツまたはプロパティを変更します。 |
| FileMoved | ユーザーは、SharePoint サイトまたは OneDrive サイト上の現在の場所から新しい場所にドキュメントを移動します。 |
| FilePreviewed | ユーザーは、SharePoint または OneDrive サイトでドキュメントをプレビューします。 |
| FileRecycled | ユーザーはドキュメントを SharePoint または OneDrive ごみ箱に移動します。 |
| FileRenamed | ユーザーは、SharePoint または OneDrive サイト上のドキュメントの名前を変更します。 |
| FileRestored | ユーザーは、SharePoint または OneDrive サイトのごみ箱からドキュメントを復元します。 |
| FileSyncDownloadedFull | ユーザーは、OneDrive 同期 アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive から自分のコンピューターにファイルをダウンロードします。 |
| FileSyncDownloadedPartial | このイベントは、古いOneDrive 同期 アプリ (Groove.exe) と共に非推奨になりました。 |
| FileSyncUploadedFull | ユーザーは、OneDrive 同期 アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive 内のファイルに新しいファイルまたは変更をアップロードします。 |
| FileSyncUploadedPartial | このイベントは、古いOneDrive 同期 アプリ (Groove.exe) と共に非推奨になりました。 |
| FileUploaded | ユーザーは、SharePoint または OneDrive サイト上のフォルダーにドキュメントをアップロードします。 |
| FileViewed | このイベントは、FileAccessed イベントに置き換えられており、推奨されていません。 |
| FolderCopied | ユーザーは、SharePoint または OneDrive サイトから SharePoint または OneDrive の別の場所にフォルダーをコピーします。 |
| FolderCreated | ユーザーは、SharePoint または OneDrive サイトにフォルダーを作成します。 |
| FolderDeleted | ユーザーは、SharePoint サイトまたは OneDrive サイトからフォルダーを削除します。 |
| FolderDeletedFirstStageRecycleBin | ユーザーは、SharePoint または OneDrive サイトのごみ箱からフォルダーを削除します。 |
| FolderDeletedSecondStageRecycleBin | ユーザーは、SharePoint または OneDrive サイトの第 2 段階のごみ箱からフォルダーを削除します。 |
| FolderModified | ユーザーは、SharePoint または OneDrive サイト上のフォルダーを変更します。 このイベントには、フィルダーのメタデータ (タグやプロパティなど) の変更が含まれます。 |
| FolderMoved | ユーザーは SharePoint サイトまたは OneDrive サイトからフォルダーを移動します。 |
| FolderRecycled | ユーザーはフォルダーを SharePoint または OneDrive ごみ箱に移動します。 |
| FolderRenamed | ユーザーは、SharePoint または OneDrive サイト上のフォルダーの名前を変更します。 |
| FolderRestored | ユーザーは、SharePoint または OneDrive サイトのごみ箱からフォルダーを復元します。 |
| GroupAdded | サイト管理者または所有者は、SharePoint または OneDrive サイトのグループを作成するか、グループが作成されるタスクを実行します。 たとえば、ユーザーが初めてファイルを共有するリンクを作成すると、システム グループがユーザーの OneDrive サイトに追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。 |
| GroupRemoved | ユーザーは、SharePoint サイトまたは OneDrive サイトからグループを削除します。 |
| GroupUpdated | サイト管理者または所有者は、SharePoint または OneDrive サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。 |
| LanguageAddedToTermStore | 用語ストアに言語が追加されました。 |
| LanguageRemovedFromTermStore | 用語ストアから言語が削除されました。 |
| LegacyWorkflowEnabledSet | サイト管理者または所有者は、SharePoint ワークフロー タスク コンテンツ タイプをサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。 |
| LookAndFeelModified | ユーザーは、クイック 起動、ガント チャートの形式、またはグループ形式を変更します。 または、ユーザーは Project Web アプリでビューを作成、変更、または削除します。 |
| ManagedSyncClientAllowed | ユーザーが SharePoint または OneDrive サイトとの同期関係を正常に確立しました。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。 詳細については、「SharePoint Online 管理シェルの概要」を参照して、安全な受信者の一覧にあるドメインのOneDrive 同期を有効にします。 |
| MaxQuotaModified | サイトに割り当てられた上限が変更されています。 |
| MaxResourceUsageModified | サイトのリソース使用量の上限が変更されています。 |
| MySitePublicEnabledSet | SharePoint 管理者によって、ユーザーが公開 MySite を持てるようにフラグが設定されています。 |
| NewsFeedEnabledSet | サイト管理者または所有者は、SharePoint または OneDrive サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。 |
| ODBNextUXSettings | OneDrive の新しい UI が有効になりました。 |
| OfficeOnDemandSet | サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効になっており、完全にインストールされた Office アプリケーションを含むOffice 365 サブスクリプションが必要です。 |
| PageViewed | ユーザーは、SharePoint サイトまたは OneDrive サイト上のページを表示します。 これには、SharePoint サイトまたは One Drive for Business サイトのドキュメント ライブラリのファイルをブラウザーで表示することは含まれません。 |
| PeopleResultsScopeSet | サイト管理者は、SharePoint サイトの人の検索の結果ソースを作成または変更します。 |
| PermissionSyncSettingModified | ユーザーは、Project Web アプリのプロジェクト権限の同期設定を変更します。 |
| PermissionTemplateModified | ユーザーは、Project Web アプリでアクセス許可テンプレートを作成、変更、または削除します。 |
| PortfolioDataAccessed | ユーザーは、Project Web アプリのポートフォリオ コンテンツ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) にアクセスします。 |
| PortfolioDataModified | ユーザーは、Project Web アプリでポートフォリオ データ (ドライバー ライブラリ、ドライバーの優先順位付け、ポートフォリオ分析) を作成、変更、または削除します。 |
| PreviewModeEnabledSet | サイト管理者は、SharePoint サイトのドキュメント プレビューを有効にします。 |
| ProjectAccessed | ユーザーは Project Web アプリのプロジェクト コンテンツにアクセスします。 |
| ProjectCheckedIn | ユーザーは、Project Web アプリからチェックアウトしたプロジェクトをチェックインします。 |
| ProjectCheckedOut | ユーザーは、Project Web アプリにあるプロジェクトをチェックアウトします。 ユーザーが開く権限を持つプロジェクトをチェックアウトして、変更することができます。 |
| ProjectCreated | ユーザーは Project Web アプリでプロジェクトを作成します。 |
| ProjectDeleted | ユーザーは Project Web アプリでプロジェクトを削除します。 |
| ProjectForceCheckedIn | ユーザーは、Project Web アプリのプロジェクトに対してチェックを強制的に入力します。 |
| ProjectModified | ユーザーが Project Web アプリでプロジェクトを変更します。 |
| ProjectPublished | ユーザーは Project Web アプリでプロジェクトを発行します。 |
| ProjectWorkflowRestarted | ユーザーが Project Web アプリでワークフローを再起動します。 |
| PWASettingsAccessed | ユーザーは、CSOM を使用して Project Web アプリの設定にアクセスします。 |
| PWASettingsModified | ユーザーが Project Web アプリの構成を変更します。 |
| QueueJobStateModified | ユーザーは Project Web アプリでキュー ジョブを取り消すか再起動します。 |
| QuotaWarningEnabledModified | ストレージ クォータ警告が変更されました。 |
| RenderingEnabled | ブラウザーが有効なフォーム テンプレートは、InfoPath フォーム サービスによってレンダリングされます。 |
| ReportingAccessed | ユーザーが Project Web アプリのレポート エンドポイントにアクセスしました。 |
| ReportingSettingModified | ユーザーが Project Web アプリのレポート構成を変更します。 |
| ResourceAccessed | ユーザーは Project Web アプリのエンタープライズ リソース コンテンツにアクセスします。 |
| ResourceCheckedIn | ユーザーは、Project Web アプリからチェックアウトしたエンタープライズ リソースをチェックインします。 |
| ResourceCheckedOut | ユーザーは、Project Web アプリにあるエンタープライズ リソースをチェックアウトします。 |
| ResourceCreated | ユーザーは Project Web アプリでエンタープライズ リソースを作成します。 |
| ResourceDeleted | ユーザーは Project Web アプリでエンタープライズ リソースを削除します。 |
| ResourceForceCheckedIn | ユーザーは、Project Web アプリでエンタープライズ リソースのチェックを強制します。 |
| ResourceModified | ユーザーが Project Web アプリのエンタープライズ リソースを変更します。 |
| ResourcePlanCheckedInOrOut | ユーザーは Project Web アプリでリソース プランをチェックインまたはチェックアウトします。 |
| ResourcePlanModified | ユーザーが Project Web アプリのリソース プランを変更します。 |
| ResourcePlanPublished | ユーザーは Project Web アプリでリソース プランを発行します。 |
| ResourceRedacted | ユーザーは、Project Web アプリ内のすべての個人情報を削除するエンタープライズ リソースを編集します。 |
| ResourceWarningEnabledModified | リソース クォータ警告が変更されました。 |
| SSOGroupCredentialsSet | Secure Store Service でグループ資格情報が設定されました。 |
| SSOUserCredentialsSet | Secure Store Service でユーザー資格情報が設定されました。 |
| SearchCenterUrlSet | 検索センターの URL が設定されました。 |
| SecondaryMySiteOwnerSet | ユーザーがその MySite に代理所有者を追加しました。 |
| SecurityCategoryModified | ユーザーは、Project Web アプリでセキュリティ カテゴリを作成、変更、または削除します。 |
| SecurityGroupModified | ユーザーは、Project Web アプリでセキュリティ グループを作成、変更、または削除します。 |
| SendToConnectionAdded | グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、新しい [送信先] 接続を作成します。 [送信先] 接続は、ドキュメント リポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。 |
| SendToConnectionRemoved | グローバル管理者は、SharePoint 管理センターの [レコード管理] ページで、[送信先] 接続を削除します。 |
| SharedLinkCreated | ユーザーは、SharePoint または OneDrive で共有ファイルへのリンクを作成します。 このリンクは、共有ファイルにアクセスできるように他のユーザーに送信できます。 ユーザーは、共有ファイルの表示と編集を許可するリンク、またはファイルの表示だけを許可するリンクの、2 種類のリンクを作成できます。 |
| SharedLinkDisabled | ユーザーは、ファイルを共有するために作成されたリンクを (完全に) 無効にします。 |
| SharingInvitationAccepted* | ユーザーは、ファイルまたはフォルダーの共有の招待を承諾します。 このイベントは、ユーザーが他のユーザーとファイルを共有すると記録されます。 |
| SharingRevoked | ユーザーは、以前に他のユーザーと共有されていたファイルまたはフォルダーの共有を解除しました。 このイベントは、ユーザーが他のユーザーとのファイル共有を停止したときにログに記録されます。 |
| SharingSet | ユーザーは、SharePoint または OneDrive にあるファイルまたはフォルダーを、organization内の別のユーザーと共有します。 |
| SiteAdminChangeRequest | ユーザーが、SharePoint サイト コレクションのサイト コレクション管理者として追加されるように要求します。 サイト コレクション管理者は、サイト コレクションとすべてのサブサイトのフル コントロール権限を持ちます。 |
| SiteCollectionAdminAdded* | サイト コレクション管理者または所有者は、SharePoint または OneDrive サイトのサイト コレクション管理者としてユーザーを追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 |
| SiteCollectionCreated | グローバル管理者は、あなたの SharePoint 組織に新しいサイト コレクションを作成します。 |
| SitePermanentlyDeleted | SharePoint またはグローバル管理者は、SharePoint 管理 Center の削除済みサイトからサイトを完全に削除します。 |
| SiteRenamed | サイト管理者または所有者が SharePoint または OneDrive サイトの名前を変更する |
| SiteRestored | SharePoint またはグローバル管理者は、SharePoint 管理 Center の削除済みサイトからサイトを復元します。 |
| StatusReportModified | ユーザーは、Project Web アプリで状態レポートを作成、変更、または削除します。 |
| SyncGetChanges | ユーザーは、SharePoint または OneDrive のアクション トレイで [同期 ] をクリックして、ドキュメント ライブラリ内のファイルに対する変更をコンピューターに同期します。 |
| SyntexBillingSubscriptionSettingsChanged | Syntex Billing サブスクリプションの設定が変更されました。 このイベントは、Syntex 試用版の有効期限が切れるとトリガーされます。 |
| TaskStatusAccessed | ユーザーは、Project Web アプリの 1 つ以上のタスクの状態にアクセスします。 |
| TaskStatusApproved | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を承認します。 |
| TaskStatusRejected | ユーザーは、Project Web アプリの 1 つ以上のタスクの状態更新を拒否します。 |
| TaskStatusSaved | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新プログラムを保存します。 |
| TaskStatusSubmitted | ユーザーは、Project Web アプリで 1 つ以上のタスクの状態更新を送信します。 |
| TimesheetAccessed | ユーザーは Project Web アプリでタイムシートにアクセスします。 |
| TimesheetApproved | ユーザーは Project Web アプリでタイムシートを承認します。 |
| TimesheetRejected | ユーザーは Project Web アプリでタイムシートを拒否します。 |
| TimesheetSaved | ユーザーは Project Web アプリにタイムシートを保存します。 |
| TimesheetSubmitted | ユーザーが Project Web アプリで状態タイムシートを送信します。 |
| UnmanagedSyncClientBlocked | ユーザーは、organizationのドメインのメンバーではないコンピューター、またはorganization内のドキュメント ライブラリにアクセスできるドメインの一覧 (安全な受信者リストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、SharePoint または OneDrive サイトとの同期関係を確立しようとします。 同期関係は許可されていません。ユーザーのコンピューターは、ドキュメント ライブラリ上のファイルの同期、ダウンロード、アップロードがブロックされています。 |
| UpdateDisableSiteBranding | SharePoint またはグローバル管理者は、サイトのブランド化を有効または無効にします。 |
| UpdateSSOApplication | 対象アプリケーションが Secure Store Service で更新されました。 |
| UserAddedToGroup | サイト管理者または所有者は、SharePoint または OneDrive サイトのグループにユーザーを追加します。 ユーザーをグループに追加すると、そのユーザーにはグループに割り当てられたアクセス許可が付与されます。 |
| UserRemovedFromGroup | サイト管理者または所有者は、SharePoint または OneDrive サイト上のグループからユーザーを削除します。 削除された後、そのユーザーにはグループに割り当てられたアクセス許可が付与されなくなります。 |
| WorkflowModified | ユーザーは、Project Web アプリでエンタープライズ プロジェクトの種類またはワークフローのフェーズまたはステージを作成、変更、または削除します。 |
SharePoint ファイルの操作
監査ログ検索で返されるファイル イベントとページ イベントでは、このスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SiteUrl | Edm.String | はい | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。 |
| SourceRelativeUrl | Edm.String | いいえ | ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。 |
| SourceFileName | Edm.String | はい | ユーザーによりアクセスされるファイルまたはフォルダーの名前。 |
| SourceFileExtension | Edm.String | いいえ | ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 |
| DestinationRelativeUrl | Edm.String | いいえ | ファイルのコピー先または移動先フォルダーの URL。 SiteURL、DestinationRelativeURL、DestinationFileName パラメーターの値の組み合わせは、コピーされたファイルの完全なパス名である ObjectID プロパティの値と同じです。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| DestinationFileName | Edm.String | いいえ | コピーまたは移動したファイルの名前。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| DestinationFileExtension | Edm.String | いいえ | コピーまたは移動したファイルのファイル拡張子。 このプロパティは、FileCopied および FileMoved イベントに対してのみ表示されます。 |
| UserSharedWith | Edm.String | いいえ | リソースを共有したユーザー。 |
| SharingType | Edm.String | いいえ | リソースを共有したユーザーに割り当てられているアクセス許可の種類。 このユーザーは、 UserSharedWith パラメーターによって識別されます。 |
| SourceLabel | Edm.String | いいえ | ユーザー操作によって変更される前のファイルの元のラベル。 |
| DestinationLabel | Edm.String | いいえ | ユーザー操作によって変更された後のファイルの最終的なラベル。 |
| SensitivityLabelOwnerEmail | Edm.String | いいえ | 秘密度ラベルの所有者のメール アドレス。 |
| SensitivityLabelId | Edm.String | いいえ | ファイルの現在の秘密度ラベル ID。 |
SharePoint リストの操作
監査ログ検索で返される SharePoint リスト イベントでは、このスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ListTitle | Edm.String | いいえ | SharePoint リストのタイトル。 |
| ListName | Edm.String | いいえ | SharePoint リストの名前。 |
| ListUrl | Edm.String | いいえ | 含まれている Web サイトに関連するリストの URL。 |
| ListBaseType | Edm.String | いいえ | リストの基本的な種類を指定します。 |
| ListBaseTemplateType | Edm.String | いいえ | リストの基になっているリスト定義の種類。 |
| IsHiddenList | Edm.Boolean | いいえ | SharePoint リストが非表示の場合、この値は True に設定されます。 |
| IsDocLib | Edm.Boolean | いいえ | SharePoint リストがドキュメント ライブラリの種類である場合、この値は True に設定されます。 |
SharePoint 共有スキーマ
監査ログ検索で返される共有およびアクセス要求イベントでは、このスキーマが使用されます。
ファイル共有関連の SharePoint イベント。 これは、ユーザーが別のユーザーに何らかの影響があるアクションを取るという点で、ファイル関連イベントやフォルダー関連イベントとは異なります。 SharePoint 共有スキーマについては、「監査ログで共有監査を使う」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| TargetUserOrGroupName | Edm.String | いいえ | リソースを共有していたターゲット ユーザーまたはグループの UPN または名前を格納します。 |
| TargetUserOrGroupType | Edm.String | いいえ | ターゲット ユーザーまたはグループが、メンバー、ゲスト、グループ、またはパートナーであるかどうかを示します。 |
| EventData | XML コード | いいえ | グループへのユーザーの追加や編集アクセス許可の付与などの、発生した共有アクションに関する追加情報を伝達します。 |
| SiteUrl | Edm.String | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーが置かれているサイトの URL。 |
| SourceRelativeUrl | Edm.String | いいえ | ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、ObjectID プロパティの値と同じです。これは、ユーザーがアクセスするファイルの完全なパス名です。 |
| SourceFileName | Edm.String | いいえ | ユーザーによりアクセスされるファイルまたはフォルダーの名前。 |
| SourceFileExtension | Edm.String | いいえ | ユーザーがアクセスしたファイルのファイル拡張子。 このプロパティは、アクセスされたオブジェクトがフォルダーの場合には、空白になります。 |
| UniqueSharingId | Edm.String | いいえ | 共有操作に関連付けられている一意の共有 ID。 |
SharePoint スキーマ
監査ログ検索で返される SharePoint イベント (ファイル イベントとフォルダー イベントを除く) では、このスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| CustomEvent | Edm.String | いいえ | カスタム イベントのオプション文字列。 |
| EventData | Edm.String | いいえ | カスタム イベントのオプション ペイロード。 |
| ModifiedProperties | Collection(ModifiedProperty) | いいえ | このプロパティは、サイトまたはサイト コレクション管理者グループのメンバーとしてユーザーを追加するなどの、管理イベントの場合に含まれます。 プロパティには、変更されたプロパティの名前 (サイト管理者グループなど)、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザーなど)、および変更されたオブジェクトの以前の値が含まれます。 |
Project スキーマ
監査ログ検索で返される Microsoft Project for the web イベントでは、これらのスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Entity | Edm.String | はい | 監査の対象になった ProjectEntity。 |
| Action | Edm.String | はい | 取得された ProjectAction。 |
| OnBehalfOfResId | Edm.Guid | いいえ | アクションが実行されたリソース ID。 |
列挙値: Project Action - 型: Edm.Int32
Project 操作
| メンバ名 | 説明 |
|---|---|
| Accepted | ユーザーがイベントまたはワークフローを承諾しました。 |
| Accessed | ユーザーがエンティティにアクセスしました。 |
| Activated | ユーザーがエンティティ、イベント、またはワークフローをアクティブ化しました。 |
| Cancelled | ユーザーがイベントまたはワークフローをキャンセルしました。 |
| CheckedIn | ユーザーがエンティティをチェックインします。 |
| CheckedOut | ユーザーがエンティティをチェックアウトします。 |
| Copied | ユーザーがエンティティをコピーしました。 |
| Created | ユーザーがエンティティを作成しました。 |
| Deactivated | ユーザーがエンティティを非アクティブ化しました。 |
| Deleted | ユーザーがエンティティを削除しました。 |
| Exported | ユーザーがエンティティをエクスポートしました。 |
| ForceCheckedIn | ユーザーがエンティティを強制的にチェックインさせました。 |
| Modified | ユーザーがエンティティを変更しました。 |
| Published | ユーザーがエンティティを公開しました。 |
| Redacted | ユーザーがエンティティを編集しました。 |
| Rejected | ユーザーがエンティティを拒否しました。 |
| Restarted | ユーザーがイベントまたはワークフローを再起動しました。 |
| Saved | ユーザーがエンティティを保存しました。 |
| Sent | ユーザーがエンティティを送信しました。 |
| Submitted | ユーザーがレビューまたはワークフローのエンティティを送信します。 |
列挙値: Project Entity - 型: Edm.Int32
Project エンティティ
| メンバ名 | 説明 |
|---|---|
| CustomField | エンタープライズ ユーザー設定フィールドを表します。 |
| Driver | ポートフォリオのドライバーを表します。 |
| DriverPrioritization | ポートフォリオの優先順位付けを表します。 |
| Engagement | リソースのエンゲージメントを表します。 |
| EnterpriseCalendar | エンタープライズ リソース予定表を表します。 |
| EnterpriseProjectType | エンタープライズ プロジェクトの種類を表します。 |
| FiscalPeriod | 会計期間を表します。 |
| GanttChartFormat | ガント チャートの形式を表します。 |
| GroupingFormat | ビューのグループ化の書式を表します。 |
| LineClassification | タイムシート行の分類を表します。 |
| LookupTable | エンタープライズ ルックアップ テーブルを表します。 |
| PermissionTemplate | セキュリティ アクセス許可のテンプレートを表します。 |
| PortfolioAnalysis | ポートフォリオ分析を表します。 |
| Project | プロジェクトを表します。 |
| QueueJob | キュー ジョブを表します。 |
| QuickLaunch | サイド リンク バーの項目を表します。 |
| Reporting | レポートのエンドポイントを表します。 |
| Resource | エンタープライズ リソースを表します。 |
| ResourcePlan | プロジェクトに関連付けられたリソース計画を表します。 |
| SecurityCategory | セキュリティのカテゴリを表します。 |
| SecurityGroup | セキュリティ グループを表します。 |
| Setting | Project Web アプリの設定を表します。 |
| Statusing | タスクの状態の更新を表します。 |
| StatusReport | 進捗レポートを表します。 |
| TimeReportingPeriod | タイムシートの期間を表します。 |
| Timesheet | タイムシートのエンティティを表します。 |
| TimesheetAuditLog | タイムシートの監査ログを表します。 |
| TimesheetManager | タイムシートの管理者を表します。 |
| UserDelegate | 別のユーザーへのユーザー委任を表します。 |
| View | ビューの定義を表します。 |
| WorkflowPhase | ワークフローのフェーズを表します。 |
| WorkflowStage | ワークフローのステージを表します。 |
Exchange Admin schema
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| ModifiedObjectResolvedName | Edm.String | いいえ | これはコマンドレットによって変更されたオブジェクトのユーザー フレンドリ名です。 これはコマンドレットによるオブジェクトの変更の場合にのみ記録されます。 |
| パラメーター | Collection(Common.NameValuePair) | いいえ | Operations プロパティで示されているコマンドレットで使用された、すべてのパラメーターの名前と値。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | いいえ | このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたオブジェクトの以前の値が含まれます。 |
| ExternalAccess | Edm.Boolean | はい | 組織内のユーザー、Microsoft データセンター担当者またはデータセンター サービス アカウント、あるいは代理管理者により、コマンドレットが実行されたかどうかを示します。 値 False は、コマンドレットが組織内のユーザーによって実行されたことを示します。 値 True は、コマンドレットがデータセンターの担当者、データセンターのサービス アカウント、または代理管理者によって実行されたことを示します。 |
| OriginatingServer | Edm.String | いいえ | コマンドレット実行元のサーバーの名前。 |
| OrganizationName | Edm.String | いいえ | テナントの名前。 |
| DeviceId | Edm.String | 不要 | 登録済み/ドメイン参加済みデバイスでのみ使用できます。 |
| TokenObjectId | Edm.String | はい | Microsoft Entra トークンの oid 要求。 |
| TokenTenantId | Edm.String | はい | Microsoft Entra トークンの tid 要求。 |
Exchange メールボックス スキーマ
監査ログ検索で返される Exchange メールボックス イベントでは、これらのスキーマが使用されます。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| LogonType | Self.LogonType | いいえ | メールボックスにアクセスして、ログに記録された操作を実行したユーザーの種類を示します。 |
| InternalLogonType | Self.LogonType | いいえ | 内部使用のため予約済みです。 |
| MailboxGuid | Edm.String | いいえ | アクセスされたメールボックスの Exchange GUID。 |
| MailboxOwnerUPN | Edm.String | いいえ | アクセスされたメールボックスの所有者の電子メール アドレス。 |
| MailboxOwnerSid | Edm.String | いいえ | メールボックス所有者の SID。 |
| MailboxOwnerMasterAccountSid | Edm.String | 不要 | メールボックス所有者のアカウントのマスター アカウント SID。 |
| LogonUserSid | Edm.String | いいえ | 操作を実行したユーザーの SID。 |
| LogonUserDisplayName | Edm.String | いいえ | 操作を実行したユーザーのユーザー フレンドリ名。 |
| ExternalAccess | Edm.Boolean | はい | これは、ログオン ユーザーのドメインがメールボックス所有者のドメインと異なる場合は、true です。 |
| OriginatingServer | Edm.String | いいえ | これは、操作の発生場所です。 |
| OrganizationName | Edm.String | いいえ | テナントの名前。 |
| ClientInfoString | Edm.String | いいえ | 操作を実行するために使用された電子メール クライアントについての情報 (ブラウザーのバージョン、Outlook のバージョン、およびモバイル デバイスの情報など)。 |
| ClientIPAddress | Edm.String | いいえ | 操作がログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ClientMachineName | Edm.String | いいえ | Outlook クライアントをホストしているマシン名。 |
| ClientProcessName | Edm.String | いいえ | メールボックスへのアクセスに使用された電子メール クライアント。 |
| ClientVersion | Edm.String | 不要 | 電子メール クライアントのバージョン。 |
| DeviceId | Edm.String | 不要 | 登録済み/ドメイン参加済みデバイスでのみ使用できます。 |
| TokenObjectId | Edm.String | はい | Microsoft Entra トークンの oid 要求。 |
| TokenTenantId | Edm.String | はい | Microsoft Entra トークンの tid 要求。 |
列挙:LogonType - タイプ:Edm.Int32
LogonType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Owner | メールボックス所有者。 |
| 1 | Admin | 他のユーザーのメールボックスに対する管理者特権を持つユーザー。 |
| 2 | 委任 | 他のユーザーのメールボックスに対する代理人特権を持つユーザー。 |
| 3 | Transport | Microsoft データセンターのトランスポート サービス。 |
| 4 | SystemService | Microsoft データセンターのサービス アカウント。 |
| 5 | BestAccess | 内部使用のため予約済みです。 |
| 6 | DelegatedAdmin | 代理管理者。 |
ExchangeMailboxAuditGroupRecord スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Folder | Self.ExchangeFolder | いいえ | アイテムのグループが存在するフォルダー。 |
| CrossMailboxOperations | Edm.Boolean | いいえ | 操作に複数のメールボックスが関係したかどうかを示します。 |
| DestMailboxId | Edm.Guid | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの GUID を指定します。 |
| DestMailboxOwnerUPN | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者の UPN を指定します。 |
| DestMailboxOwnerSid | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックスの SID を指定します。 |
| DestMailboxOwnerMasterAccountSid | Edm.String | いいえ | CrossMailboxOperations パラメーターが True の場合にのみ設定します。 ターゲット メールボックス所有者のマスター アカウント SID の SID を指定します。 |
| DestFolder | Self.ExchangeFolder | いいえ | 移動などの操作の場合の、移動先フォルダー。 |
| Folders | Collection(Self.ExchangeFolder) | いいえ | 操作に関連したソース フォルダーに関する情報 (フォルダーが選択されて削除された場合など)。 |
| AffectedItems | Collection(Self.ExchangeItem) | いいえ | グループ内の各項目についての情報。 |
ExchangeMailboxAuditRecord スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| アイテム | Self.ExchangeItem | いいえ | 操作の実行対象のアイテムを表します。 |
| ModifiedProperties | Collection(Edm.String) | いいえ | TBD |
| SendAsUserSmtp | Edm.String | いいえ | 偽装しているユーザーの SMTP アドレス。 |
| SendAsUserMailboxGuid | Edm.Guid | いいえ | 電子メールを偽装ユーザーとして送信するためにアクセスされたメールボックスの Exchange GUID。 |
| SendOnBehalfOfUserSmtp | Edm.String | いいえ | 電子メールが代理で送信されたユーザーの SMTP アドレス。 |
| SendOnBehalfOfUserMailboxGuid | Edm.Guid | いいえ | 電子メールを代理で送信するためにアクセスされたメールボックスの Exchange GUID。 |
ExchangeItem 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | ストア ID。 |
| Subject | Edm.String | いいえ | アクセスされたメッセージの件名。 |
| ParentFolder | Edm.ExchangeFolder | いいえ | アイテムが置かれているフォルダーの名前。 |
| Attachments | Edm.String | いいえ | メッセージに添付されているすべてのアイテムの名前とファイル サイズのリスト。 |
ExchangeFolder 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | フォルダー オブジェクトのストアの ID。 |
| Path | Edm.String | いいえ | アクセスされたメッセージが置かれているメールボックス フォルダーの名前。 |
OWA 認証スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UniqueTokenIdentifier | Edm.String | 不要 | リソースの一意識別子。 |
| ResourceURL | Edm.String | 不要 | リソース URL。 |
Azure Active Directory 基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AzureActiveDirectoryEventType | Self.AzureActiveDirectoryEventType | はい | Microsoft Entra イベントの種類。 |
| ExtendedProperties | Collection(Common.NameValuePair) | いいえ | Microsoft Entra イベントの拡張プロパティ。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | いいえ | このプロパティは、管理イベント用に組み込まれています。 プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
列挙:AzureActiveDirectoryEventType - タイプ: -Edm.Int32
AzureActiveDirectoryEventType
| メンバ名 | 説明 |
|---|---|
| AccountLogon | アカウント ログイン イベント。 |
| AzureApplicationAuditEvent | Azure アプリケーション セキュリティ イベント。 |
Azure Active Directory アカウント ログオン スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| アプリケーション | Edm.String | いいえ | Office 15 などの、アカウント ログイン イベントをトリガーするアプリケーション。 |
| Client | Edm.String | いいえ | クライアント デバイス、デバイスの OS、およびアカウント ログイン イベントに使用したデバイスのブラウザーに関する詳細。 |
| LoginStatus | Edm.Int32 | はい | このプロパティは、OrgIdLogon.LoginStatus に直接由来しています。 関心の対象となるさまざまなログオン失敗のマッピングは、警告アルゴリズムによって行うことができます。 |
| UserDomain | Edm.String | はい | テナント ID 情報 (TII)。 |
列挙:CredentialType - タイプ:Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| -1 | Other | その他の認証。 |
| 0 | Password | ユーザー資格情報は、ユーザー名とパスワードです。 |
| 1 | MobilePhone | ユーザー資格情報は、携帯電話です。 |
| 2 | SecretQuestion | ユーザー資格情報は、秘密の質問です。 |
| 3 | SecurePin | ユーザー資格情報は、セキュア PIN です。 |
| 4 | SecurePinReset | ユーザー資格情報は、セキュア PIN リセットです。 |
| 11 | EasyID | ユーザー資格情報は、EasyID です。 |
| 14 | PasswordIndexCredentialType | ユーザー資格情報は、PasswordIndexCredentialType です。 |
| 16 | Device | ユーザー資格情報は、デバイスです。 |
| 17 | ForeignRealmIndex | ユーザーの資格情報は、ForeignRealmIndex です。 |
列挙:LoginType - タイプ:Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| -1 | Other | その他の i タイプ。 |
| 1 | InitialAuth | 最初の認証でログイン。 |
| 2 | CookieCopy | Cookie を使用してログイン。 |
| 3 | SilentReAuth | 自動再認証でログイン。 |
列挙:AuthenticationMethod - タイプ:Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Min | 認証方法は、Min です。 |
| 1 | Password | 認証方法は、パスワードです。 |
| 2 | Digest | 認証方法は、ダイジェストです。 |
| 3 | ProxyAuth | 認証方法は、ProxyAuth です。 |
| 4 | InfoCard | 認証方法は、InfoCard です。 |
| 5 | DAToken | 認証方法は、DAToken です。 |
| 6 | Sha1RememberMyPassword | 認証方法は、Sha1RememberMyPassword です。 |
| 7 | LMPasswordHash | 認証方法は、LMPasswordHash です。 |
| 8 | ADFSFederatedToken | 認証方法は、ADFSFederatedToken です。 |
| 9 | EID | 認証方法は、EID です。 |
| 10 | DeviceID | 認証方法は、DeviceID です。 |
| 11 | MD5 | 認証方法は、MD5 です。 |
| 12 | EncProxyPasswordHash | 認証方法は、EncProxyPasswordHash です。 |
| 13 | LWAFederation | 認証方法は、LWAFederation です。 |
| 14 | Sha1HashedPassword | 認証方法は、Sha1HashedPassword です。 |
| 15 | SecurePin | 認証方法は、セキュア PIN です。 |
| 16 | SecurePinReset | 認証方法は、セキュア PIN リセットです。 |
| 17 | SAML20PostSimpleSign | 認証方法は、SAML20PostSimpleSign です。 |
| 18 | SAML20Post | 認証方法は、SAML20Post です。 |
| 19 | OneTimeCode | 認証方法は、ワンタイム・コードです。 |
Azure Active Directory スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Actor | Collection(Self.IdentityTypeValuePair) | いいえ | アクションを実行したユーザーまたはサービス プリンシパル。 |
| ActorContextId | Edm.String | いいえ | アクターが属する組織の GUID。 |
| ActorIpAddress | Edm.String | いいえ | IPV4 または IPV6 アドレス形式の、アクターの IP アドレス。 |
| InterSystemsId | Edm.String | いいえ | Office 365 サービス内の複数のコンポーネント間でアクションを追跡する GUID。 |
| IntraSystemsId | Edm.String | いいえ | アクションを追跡するために Azure Active Directory で生成された GUID。 |
| SupportTicketId | Edm.String | いいえ | 「代理人」状態でのアクションのカスタマー サポート チケット ID。 |
| Target | Collection(Self.IdentityTypeValuePair) | いいえ | アクション (Operation プロパティで示される) の実行対象であったユーザー。 |
| TargetContextId | Edm.String | いいえ | 対象ユーザーが属する組織の GUID。 |
複合型 IdentityTypeValuePair
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | 種類を指定した ID の値。 |
| 種類 | Self.IdentityType | はい | ID の種類。 |
列挙:IdentityType - タイプ:Edm.Int32
IdentityType
| メンバ名 | 説明 |
|---|---|
| クレーム | ID は、認証目的の要求です。 |
| Name | 監査アクション アクターまたはターゲット ID の表示名。 |
| Other | アクターの ID は、Office 365 サービスによって生成された GUID の ObjectId などの、他の種類です。 |
| PUID | 監査アクション アクターまたはターゲット パスポートの固有 ID (PUID)。 |
| SPN | Office 365 サービスでアクションが実行される場合、サービス プリンシパルの ID。 |
| UPN | ユーザー プリンシパル名。 |
Azure Active Directory の Secure Token Service (STS) ログオン スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.String | いいえ | ログインを要求しているアプリケーションを表す GUID。 表示名は、Azure Active Directory グラフ API を使用して検索できます。 |
| クライアント | Edm.String | いいえ | ログインを実行するブラウザーが提供する、クライアント デバイス情報。 |
| DeviceProperties | Collection(Common.NameValuePair) | いいえ | このプロパティには、Id、表示名、OS、ブラウザー、IsCompliant、IsCompliantAndManaged、SessionId、DeviceTrustType など、さまざまなデバイスの詳細情報が含まれています。 DeviceTrustType プロパティには、次の値を設定できます。 0 - 登録Microsoft Entra 1 - Microsoft Entra参加済み 2 - ハイブリッド Microsoft Entra参加済み |
| ErrorCode | Edm.String | いいえ | ログインに失敗した場合 (Operation プロパティの値がUserLoginFailed の場合)、このプロパティには Azure Active Directory STS (AADSTS) エラー コードが含まれます。 これらのエラー コードの説明については、認証および承認のエラー コードを参照してください。
0 の値は、ログインが成功したことを示します。 |
| LogonError | Edm.String | いいえ | ログインに失敗した場合、このプロパティには、ログインに失敗した理由のユーザーが読み取り可能な説明が含まれます。 |
DLP スキーマ
Microsoft Purview のデータ損失防止 (DLP) イベントは、Exchange Online、Endpoint(devices)、SharePoint および OneDrive で使用できます。
DLP イベントは、常に共通スキーマに UserKey="DlpAgent" します。 共通スキーマの Operation プロパティの値として格納される 3 種類の DLP イベントがあります。
- DlpRuleMatch: ルールが一致したことを示します。 これらのイベントは、Exchange、Endpoint(devices)、SharePoint、OneDrive すべてに存在します。 Exchange では、誤検知と上書きの情報が含まれます。 SharePoint と OneDrive の場合、誤検知とオーバーライドによって個別のイベントが生成されます。
-
DlpRuleUndo: SharePoint と OneDrive のみ。 以前に適用されたポリシー アクションが、次のために "元に戻されました" であることを示します。
- AFalse のユーザーによる正またはオーバーライドの指定。
- ドキュメントはポリシーの対象ではなくなりました (ポリシーの変更またはドキュメント内のコンテンツの変更が原因)。
- DlpInfo: SharePoint と OneDrive のみ。 誤検知の指定を示しますが、"元に戻す" 操作は行われませんでした。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| SharePointMetaData | Self.SharePointMetadata | いいえ | 機密情報を含む SharePoint または OneDrive のドキュメントに関するメタデータについて説明します。 |
| ExchangeMetaData | Self.ExchangeMetadata | いいえ | 機密情報を含んだ電子メール メッセージに関するメタデータを記述します。 |
| EndpointMetaData | 自己。EndpointMetadata | 不要 | 機密情報を含むエンドポイント内のドキュメントに関するメタデータについて説明します |
| ExceptionInfo | Edm.String | いいえ | ポリシーが適用されなくなった理由や、エンド ユーザーが記した誤検知や上書きに関する情報を識別します。 |
| PolicyDetails | Collection(Self.PolicyDetails) | はい | DLP イベントをトリガーした 1 つ以上のポリシーに関する情報。 |
| SensitiveInfoDetectionIsIncluded | ブール型 | はい | ソース コンテンツからの機密性の高いデータ型の値や周囲のコンテキストがイベントに含まれているかどうかを示します。 Azure Active Directory では、機密性の高いデータへのアクセスは「機密情報を含む DLP ポリシー イベントの読み取り」アクセス許可が必要です。 |
電子情報開示スキーマ
電子情報開示監査スキーマは、organization内の電子情報開示プロセスに関連するアクティビティをキャプチャしてログに記録するように設計されています。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| CaseId | Edm.Guid | いいえ | 電子情報開示ケースの ID (GUID)。 |
| CaseName | Edm.String | 不要 | 電子情報開示ケースの名前。 |
| Object1Id | Edm.String | 不要 | 作成、アクセス、または変更されたオブジェクトの ID (検索、保留、レビュー セットなど)。 |
| Object1Name | Edm.String | 不要 | 作成、アクセス、または変更されたオブジェクトの名前 (検索、保留、レビュー セットなど)。 |
| Object1Type | Edm.String | 不要 | ユーザーが作成、削除、または変更した電子情報開示オブジェクトの種類。 |
| Object2Id | Edm.String | 不要 | 作成、アクセス、または変更されたオブジェクトの ID (検索、保留、レビュー セットなど)。 |
| Object2Name | Edm.String | 不要 | 作成、アクセス、または変更されたオブジェクトの名前 (検索、保留、レビュー セットなど)。 |
| Object2Type | Edm.String | 不要 | ユーザーが作成、削除、または変更した電子情報開示オブジェクトの種類。 |
| StartTime | Edm.Date | いいえ | 電子情報開示アクティビティが開始されたときの協定世界時 (UTC) の日付と時刻。 |
| EndTime | Edm.Date | いいえ | 電子情報開示アクティビティが終了した協定世界時 (UTC) の日付と時刻。 |
| UserCancelled | Edm.Boolean | いいえ | 特定のアクティビティがユーザーによって取り消されたかどうか。 |
| ItemIds | Collection(Edm.String) | いいえ | アクティビティに関連付けられている項目 ID。 |
| ItemNames | Collection(Edm.String) | いいえ | アクティビティに関連付けられている項目名。 |
| DataSources | Collection(Edm.String) | いいえ | アクティビティに関連付けられているソース ID、ソース名、場所の一覧。 |
| QueryId | Edm.String | 不要 | アクティビティに関連付けられているクエリの ID。 |
| QueryText | Edm.String | 不要 | 検索統計プロセスやレビュー プロセスに追加するなど、アクティビティに関連付けられているクエリ テキスト。 |
| QueryFiles | Collection(Edm.String) | いいえ | クエリの生成に使用される入力ファイル名。 これは、ファイル ジェスチャによる検索に固有です。 |
| Settings | Collection(Common.NameValuePair) | いいえ | 電子情報開示アクティビティに適用される設定。 |
| ExtendedProperties | Collection(Common.NameValuePair) | いいえ | 電子情報開示アクティビティに関連するその他のプロパティ。 |
| ExportName | Edm.String | 不要 | 電子情報開示エクスポートの名前。 |
| JobId | Edm.String | 不要 | 電子情報開示プロセスの GUID。 |
| RecordNumber | Edm.String | 不要 | サイズが原因で監査レコードが複数の部分に分割される場合に使用されます。 これは、分割の合計内の各パーツのシーケンスを示します。 |
SharePointMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 送信元 | Edm.String | はい | イベントをトリガーしたユーザー。 値は FileOwner、LastModifier、または LastSharer です。 |
| itemCreationTime | Edm.Date | はい | イベントがログに記録されたときの UTC の日付/タイム スタンプ。 |
| SiteCollectionGuid | Edm.Guid | はい | サイト コレクションの GUID。 |
| SiteCollectionUrl | Edm.String | はい | SharePoint サイトの名前。 |
| FileName | Edm.String | はい | パスの名前。 |
| FileOwner | Edm.String | はい | ドキュメントの所有者。 |
| FilePathUrl | Edm.String | はい | 文書の URL。 |
| DocumentLastModifier | Edm.String | はい | 最後にドキュメントを変更したユーザー。 |
| DocumentSharer | Edm.String | はい | 最後にドキュメントの共有を変更したユーザー。 |
| UniqueId | Edm.String | はい | ファイルを識別する GUID。 |
| LastModifiedTime | Edm.DateTime | はい | ドキュメントの最終更新日時に関する UTC の Timestamp。 |
| IsViewableByExternalUsers | Edm.Boolean | はい | 外部ユーザーがファイルにアクセスできるかどうかを示します。 |
ExchangeMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MessageID | Edm.String | はい | イベントをトリガーした電子メールのメッセージ ID。 |
| 送信元 | Edm.String | はい | 電子メールを送信したユーザー。 |
| 宛先 | Collection(Edm.String) | いいえ | メッセージの宛先行にあった電子メール アドレスのコレクション。 |
| CC | Collection(Edm.String) | いいえ | メッセージの CC 行にあった電子メール アドレスのコレクション。 |
| BCC | Collection(Edm.String) | いいえ | メッセージの BCC 行にあった電子メール アドレスのコレクション。 |
| 件名 | Edm.String | はい | 電子メール メッセージの件名。 |
| 送信日時 | Edm.DateTime | はい | 電子メールが送信された時の UTC の時間。 |
| RecipientCount | Edm.Int32 | はい | メッセージの宛先、CC、および BCC の各行に含まれるすべての受信者の合計数。 |
EndpointMetadata 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | いいえ | 検出された機密情報の種類に関する情報。 |
| EnforcementMode | Edm.String | はい | DLP ルールがそれぞれ audit/warn(block with override)/warn および bypass/block/allow(audit without alerts) を示す 1/2/3/4/5 に設定されているかどうかを示します。 |
| FileExtension | Edm.String | 不要 | 機密情報を含むドキュメントのファイル拡張子。 |
| FileType | Edm.String | 不要 | 機密情報を含むドキュメントのファイルの種類。 |
| DeviceName | Edm.String | 不要 | DLP ルールの一致が検出されたデバイスの名前。 |
PolicyDetails 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyId | Edm.Guid | はい | このイベントにおける DLP ポリシーの GUID。 |
| PolicyName | Edm.String | はい | このイベントにおける DLP ポリシーのフレンドリ名。 |
| ルール | Collection(Self.Rules) | はい | このイベントと一致したポリシー内のルールに関する情報。 |
ルール複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RuleId | Edm.Guid | はい | このイベントにおける DLP ルールの GUID。 |
| RuleName | Edm.String | はい | このイベントにおける DLP ルールの フレンドリ名。 |
| アクション | Collection(Edm.String) | いいえ | DLP RuleMatch イベントの結果として実行されたアクションのリスト。 |
| OverriddenActions | Collection(Edm.String) | いいえ | 以前に実行されたものの、DLPRuleUndo イベントによって取り消されたアクションのリスト。 |
| 重要度 | Edm.String | いいえ | ルールの重要度 (低、中、高) が一致します。 |
| RuleMode | Edm.String | はい | DLP ルールが強制、通知を伴う監査、または監査のみのいずれに設定されているかを示します。 |
| ConditionsMatched | Self.ConditionsMatched | いいえ | このイベントと一致したルールの条件に関する詳細。 |
ConditionsMatched 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SensitiveInformation | Collection(Self.SensitiveInformation) | いいえ | 検出された機密情報の種類に関する情報。 |
| DocumentProperties | Collection(NameValuePair) | いいえ | ルールの一致をトリガーしたドキュメント プロパティに関する情報。 |
| OtherConditions | Collection(NameValuePair) | いいえ | 一致した他のすべての条件を説明するキーと値の組み合わせリスト。 |
SensitiveInformation 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Confidence | Edm.Int | はい | 機密情報の種類のすべての一致するパターンの集計された信頼度。 |
| カウント | Edm.Int | はい | 検出された機密性の高いインスタンスの合計数。 |
| 場所 | Edm.String | いいえ | |
| SensitiveType | Edm.Guid | はい | 検出された機密性の高いデータの種類を識別する GUID。 |
| SensitiveInformationDetections | Self.SensitiveInformationDetections | いいえ | 機密情報データを含むオブジェクトの配列。一致した値と一致した値のコンテキストです。 |
| SensitiveInformationDetailed ClassificationAttributes |
Collection(SensitiveInformationDetailed ConfidenceLevelResult) |
はい | 3 つの信頼レベル (高、中、低) ごとに検出された機密情報の種類の数に関する情報。DLP ルールと一致するかどうか。 |
| SensitiveInformationTypeName | Edm.String | いいえ | 機密情報の種類の名前。 |
| UniqueCount | Edm.Int32 | はい | 一意の検出された機密性の高いインスタンスの数。 |
SensitiveInformationDetailedClassificationAttributes complex type
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Confidence | Edm.int32 | はい | 検出されたパターンの信頼度レベル。 |
| カウント | Edm.Int32 | はい | 特定の信頼度レベルで検出された機密性の高いインスタンスの数。 |
| IsMatch | Edm.Boolean | はい | 指定のカウントと DLP ルールで検出された機密の種類の信頼度レベルの結果が一致するかどうかを示します。 |
SensitiveInformationDetections complex type
DLP 機密データは、「DLP 機密データの読み取り」アクセス許可が付与されたユーザーが、アクティビティ フィード API でのみ利用できます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DetectedValues | Collection(Common.NameValuePair) | はい | 検出された機密情報の配列。 情報には、値 = 一致した値を持つキー値のペアが含まれています (例:クレジット カードの値) と Context = 一致した値を含むソース コンテンツからの抜粋。 |
| ResultsTruncated | Edm.Boolean | はい | 結果が多いためにログが切り捨てられたかどうかを示します。 |
ExceptionInfo 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 理由 | Edm.String | いいえ | For a DLPRuleUndo event, this indicates why the rule no longer applies, which can be one of 3 reasons: Override, Document Change, or Policy Change |
| FalsePositive | Edm.Boolean | いいえ | ユーザーが誤検知としてこのイベントを指定したかどうかを示します。 |
| 妥当性 | Edm.String | いいえ | ユーザーがポリシーを上書きすることにした場合、ユーザーによる指定の妥当性をここで確認できます。 |
| ルール | Collection(Edm.Guid) | いいえ | 誤検知またはオーバーライドとして指定された、またはアクションが元に戻された各ルールの GUID のコレクション。 |
セキュリティ/コンプライアンス センター スキーマ
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| StartTime | Edm.Date | いいえ | コマンドレットが実行された日時。 |
| ClientRequestId | Edm.String | 不要 | このコマンドレットをポータル操作と関連付けるために使用できる GUID。 この情報は、Microsoft サポートによってのみ使用されます。 |
| CmdletVersion | Edm.String | 不要 | 実行時のコマンドレットのビルド バージョン。 |
| EffectiveOrganization | Edm.String | いいえ | コマンドレットの影響を受けた組織の GUID。 (非推奨: このパラメーターは最終的に表示を停止します)。 |
| UserServicePlan | Edm.String | 不要 | コマンドレットを実行したユーザーに割り当てられたサービス プラン。 |
| ClientApplication | Edm.String | 不要 | コマンドレットがリモート PowerShell ではなくアプリケーションによって実行された場合、このフィールドにはアプリケーション名が含まれます。 |
| パラメーター | Edm.String | 不要 | 個人データを含まないコマンドレットで使用されたパラメーターの名前と値。 |
| NonPiiParameters | Edm.String | 不要 | 個人データを含むコマンドレットで使用されたパラメーターの名前と値。 (非推奨: このフィールドは最終的に表示されなくなり、その内容は Parameters フィールドにマージされます)。 |
セキュリティとコンプライアンスのアラート スキーマ
アラートの通知には、次のものが含まれます。
- Microsoft Defender ポータルのアラート ポリシーによって生成されたすべてのアラート。
- Microsoft Defender for Cloud Appsで生成された Microsoft 365 関連のアラート。
これらのイベントの UserId と UserKey は、常に SecurityComplianceAlerts になります。 共通スキーマの Operation プロパティの値として格納される 3 種類の警告イベントがあります。
- AlertTriggered: ポリシーが一致したため、新しいアラートが生成されます。
- AlertEntityGenerated: 新しいエンティティがアラートに追加されます。 このイベントは、Microsoft Defender ポータルのアラート ポリシーに基づいて生成されたアラートにのみ適用されます。 生成されたアラートごとに、これらのイベントが 1 つまたは複数関連付けられます。 たとえば、いずれかのユーザーが 5 分以内に 100 ファイル以上削除したときに、アラートをトリガーするポリシーが定義されているとします。 2 人のユーザーが同時にしきい値を超えた場合、AlertEntityGenerated イベントは 2 つ存在しますが、AlertTriggered イベントは 1 つだけです。
- AlertUpdated: アラートのメタデータに対して更新が行われました。 このイベントは、アラートの状態が変更されたとき (たとえば、 アクティブ から 解決済み) と、だれかがアラートにコメントを追加したときにログに記録されます。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| AlertId | Edm.Guid | はい | アラートの GUID。 |
| AlertType | Self.String | はい | アラートの種類。 アラートの種類には、次のものが含まれます。
|
| Name | Edm.String | はい | アラートの名前。 |
| PolicyId | Edm.Guid | いいえ | アラートをトリガーしたポリシーの GUID。 |
| Status | Edm.String | いいえ | アラートの状態。 状態には、次のものが含まれます。
|
| 重要度 | Edm.String | いいえ | アラートの重大度。 重大度レベルには、次のものが含まれます。
|
| カテゴリ | Edm.String | いいえ | アラートのカテゴリ。 カテゴリには、次のものが含まれます。
|
| Source | Edm.String | いいえ | アラートのソース。 ソースには、次のものが含まれます。
|
| Comments | Edm.String | いいえ | アラートが表示されたユーザーが残したコメント。 既定は、"New alert" です。 |
| Data | Edm.String | いいえ | アラートまたはアラート エンティティの詳細データ BLOB。 |
| AlertEntityId | Edm.String | いいえ | アラート エンティティの識別子。 このパラメーターは、AlertEntityGenerated イベントにのみ適用されます。 |
| EntityType | Edm.String | いいえ | アラートまたはアラート エンティティの種類。 エンティティの種類には、次のものが含まれます。
このパラメーターは、AlertEntityGenerated イベントにのみ適用されます。 |
Viva Engage スキーマ
監査ログ検索で返されるイベントViva Engageは、このスキーマを使用します。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| ActorUserId | Edm.String | いいえ | 操作を実行したユーザーの電子メール。 |
| ActorYammerUserId | Edm.Int64 | いいえ | 操作を実行したユーザーの ID。 |
| DataExportType | Edm.String | いいえ | データのエクスポートにメッセージ、メモ、ファイル、トピック、ユーザー、およびグループが含まれている場合は "data" を返します。データのエクスポートにユーザーのみが含まれている場合は "user" を返します。 |
| FileId | Edm.Int64 | いいえ | 操作中のファイルの ID。 |
| FileName | Edm.String | いいえ | 操作中のファイルの名前。 操作に関連しない場合は空白で表示されます。 |
| GroupName | Edm.String | いいえ | 操作中のグループの名前。 操作に関連しない場合は空白で表示されます。 |
| IsSoftDelete | Edm.Boolean | いいえ | ネットワークのデータ保持ポリシーが論理的な削除に設定されている場合は "true" を返します。ネットワークのデータ保持ポリシーが物理的な削除に設定されている場合は "false" を返します。 |
| MeetingId | Edm.String | 不要 | 操作内のイベント/チーム会議の ID。 |
| MessageId | Edm.Int64 | いいえ | 操作中のメッセージの ID。 |
| ModifiedProperties | Collection(ModifiedProperty) | いいえ | 変更されたプロパティの名前、変更されたオブジェクトの新しい値、および変更されたオブジェクトの以前の値が含まれます。 |
| YammerNetworkId | Edm.Int64 | いいえ | 操作を実行したユーザーのネットワーク ID。 |
| TargetObjectId | Edm.String | 不要 | 操作の対象ユーザーの Entra Id。 |
| TargetUserId | Edm.String | いいえ | 操作中のターゲット ユーザーのメール アドレス。 操作に関連しない場合は空白で表示されます。 |
| TargetYammerUserId | Edm.Int64 | いいえ | 操作中のターゲット ユーザーの ID。 |
| ThreadId | Edm.Int64 | いいえ | 操作のメッセージ スレッドの ID。 |
| VersionId | Edm.Int64 | いいえ | 操作中のファイルのバージョン ID。 |
データ センター セキュリティ基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DataCenterSecurityEventType | Self.DataCenterSecurityEventType | はい | ロック ボックス内のコマンドレット イベントのタイプ。 |
列挙:DataCenterSecurityEventType - タイプ:Edm.Int32
DataCenterSecurityEventType
| メンバ名 | 説明 |
|---|---|
| DataCenterSecurityCmdletAuditEvent | これは、コマンドレット監査タイプ イベントの列挙型の値です。 |
データ センター セキュリティ コマンドレット スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| StartTime | Edm.Date | はい | コマンドレット実行の開始時刻。 |
| EffectiveOrganization | Edm.String | はい | 昇格/コマンドレットの対象とされたテナントの名前。 |
| ElevationTime | Edm.Date | はい | イベントの開始時刻。 |
| ElevationApprover | Edm.String | はい | Microsoft 管理者の名前。 |
| ElevationApprovedTime | Edm.Date | いいえ | 昇格が承認されたときのタイムスタンプ。 |
| ElevationRequestId | Edm.Guid | はい | 昇格要求の一意識別子。 |
| ElevationRole | Edm.String | いいえ | 昇格が要求されたロール。 |
| ElevationDuration | Edm.Int32 | はい | 昇格がアクティブであった期間。 |
| GenericInfo | Edm.String | いいえ | コメントやその他の一般的な情報に使用されます。 |
Microsoft Teams スキーマ
監査ログ検索で返されるイベントMicrosoft Teamsは、これらのスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Action | Edm.String | 不要 | 共有チャネル イベントの場合、チーム招待との共有のために招待者またはチャネル所有者が実行するアクション。 |
| AddOnGuid | Edm.Guid | いいえ | イベントを生成したアドオンの一意識別子。 |
| AddOnName | Edm.String | 不要 | イベントを生成したアドオンの名前。 |
| AddOnType | Self.AddOnType | いいえ | このイベントを生成したアドオンの種類。 |
| ChannelGuid | Edm.Guid | いいえ | 監査対象のチャネルの一意識別子。 |
| ChannelName | Edm.String | いいえ | 監査対象のチャネルの名前。 |
| ChannelType | Edm.String | いいえ | 監査対象のチャネルの種類 (標準/プライベート)。 |
| ExtraProperties | Collection(Self.KeyValuePair) | いいえ | 追加のプロパティのリスト。 |
| HostedContents | Collection(Self.HostedContent) | いいえ | チャットまたはチャネル メッセージでホストされるコンテンツのコレクション。 |
| 招待者 | Edm.String | 不要 | 共有チャネル イベントの場合、チーム招待との共有の招待を承認または拒否する招待チーム所有者のUPN。 |
| メンバー | Collection(Self.MicrosoftTeamsMember) | いいえ | チーム内のユーザーの一覧。 |
| MessageId | Edm.String | いいえ | チャットまたはチャネル メッセージの識別子。 |
| MessageURLs | Edm.String | いいえ | Teams メッセージで送信される URL に表示します。 |
| メッセージ | Collection(Self.Message) | いいえ | チャットまたはチャネル メッセージのコレクション。 |
| MessageSizeInBytes | Edm.Int64 | いいえ | UTF-16 エンコードを使用したチャットまたはチャネル メッセージのサイズ (バイト単位)。 |
| 名前 | Edm.String | いいえ | 設定のイベントにのみ存在します。 変更された設定の名前。 |
| NewValue | Edm.String | いいえ | 設定のイベントにのみ存在します。 設定の新しい値。 |
| OldValue | Edm.String | いいえ | 設定のイベントにのみ存在します。 設定の以前の値。 |
| SubscriptionId | Edm.String | いいえ | Microsoft Graph 変更通知サブスクリプションの一意識別子。 |
| TabType | Edm.String | いいえ | タブ イベントにのみ存在します。 イベントを生成したタブの種類。 |
| TeamGuid | Edm.Guid | いいえ | 監査対象のチームの一意識別子。 |
| TeamName | Edm.String | いいえ | 監査対象のチームの名前。 |
MicrosoftTeamsMember complex type
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UPN | Edm.String | いいえ | ユーザーのユーザー プリンシパル名。 |
| Role | Self.MemberRoleType | いいえ | チーム内のユーザーの役割。 |
| DisplayName | Edm.String | いいえ | ユーザーの表示名。 |
列挙値: MemberRoleType - 型: Edm.Int32
MemberRoleType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Member | チームのメンバーであるユーザー。 |
| 1 | Owner | チームの所有者であるユーザー。 |
| 2 | Guest | チームのメンバーでないユーザー。 |
KeyValuePair 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| キー | Edm.String | いいえ | キーと値のペアのキー。 |
| 値 | Edm.String | いいえ | キーと値のペアの値。 |
列挙型: AddOnType - 型: Edm.Int32
AddOnType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | Bot | Microsoft Teams ボット。 |
| 2 | Connector | Microsoft Teams コネクタ。 |
| 3 | Tab | Microsoft Teams タブ。 |
HostedContent 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ID | Edm.String | はい | メッセージでホストされるコンテンツの一意の識別子。 |
| SizeInBytes | Edm.Int64 | いいえ | メッセージでホストされるコンテンツ サイズ (バイト単位)。 |
メッセージ複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AADGroupId | Edm.String | いいえ | メッセージが属する Azure Active Directory 内のグループの一意識別子。 |
| ID | Edm.String | はい | チャットまたはチャネル メッセージの一意識別子。 |
| ChannelGuid | Edm.String | 不要 | メッセージが属するチャネルの一意識別子。 |
| ChannelName | Edm.String | いいえ | メッセージが属するチャネルの名前。 |
| ChannelType | Edm.String | いいえ | メッセージが属するチャネルの種類。 |
| ChatName | Edm.String | いいえ | メッセージが属するチャットの名前。 |
| ChatThreadId | Edm.String | いいえ | メッセージが属するチャットの一意識別子。 |
| ParentMessageId | Edm.String | いいえ | 親チャットまたはチャネル メッセージの一意識別子。 |
| SizeInBytes | Edm.Int64 | いいえ | UTF-16 エンコードを使用したメッセージのサイズ (バイト単位)。 |
| TeamGuid | Edm.String | いいえ | メッセージが属するチームの一意識別子。 |
| TeamName | Edm.String | いいえ | メッセージが属するチームの名前。 |
| バージョン | Edm.String | いいえ | チャットまたはチャネル メッセージのバージョン。 |
Microsoft Defender for Office 365 および脅威の調査と対応スキーマ
Microsoft Defender for Office 365と脅威の調査と対応のイベントは、Defender for Office 365、ether が含まれている、またはアドオン サブスクリプションとして使用できる Microsoft 365 のお客様が利用できます。 たとえば、Microsoft 365 Business Premiumにはプラン 1 Defender for Office 365、Microsoft 365 A5/E5/G5 にはプラン 2 Defender for Office 365含まれます。
Defender for Office 365 フィードの各イベントは、脅威が含まれていると判断された次のイベントに対応します。
- 配信された電子メール メッセージは、 0 時間の自動消去 (ZAP) によって処理されます。
- [安全なリンク] によってクリック時に検出された URL。
- SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルによって検出されたファイル。
- 自動調査をトリガーしたアラート。
注:
脅威の調査と対応 (旧称Office 365脅威インテリジェンス) は、Defender for Office 365 プラン 2 の一部です。 詳細については、「プラン 1 とプラン 2 のチート シートDefender for Office 365」と「Defender for Office 365 サービスの説明」を参照してください。
電子メール メッセージ イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AttachmentData | Collection(Self.AttachmentData) | いいえ | イベントをトリガーした電子メール メッセージの添付ファイルに関するデータ。 |
| DetectionType | Edm.String | はい | 検出の種類。 たとえば、
ZAP 検出の種類のイベントの前には、 通常、遅延 検出の種類を持つメッセージが先行します。 |
| DetectionMethod | Edm.String | はい | Defender for Office 365によって使用される検出方法または技術。 |
| InternetMessageId | Edm.String | はい | インターネット メッセージ ID。 |
| NetworkMessageId | Edm.String | はい | Exchange Online のネットワーク メッセージ ID。 |
| P1Sender | Edm.String | はい | 電子メール サーバー間の電子メール メッセージの SMTP 送信で使用される MAIL FROM アドレス ( 5321.MailFrom アドレス、P1 送信者、またはエンベロープ送信者とも呼ばれます)。 |
| P2Sender | Edm.String | はい | 電子メール クライアントに表示される差出人アドレス ( 5322.From アドレスまたは P2 送信者とも呼ばれます)。 |
| ポリシー | Self.Policy | はい | 電子メール メッセージに関連する脅威ポリシーの種類 (スパム 対策 や フィッシング対策など) と関連するアクションの種類 ( 高信頼スパム、 スパム、 フィッシングなど)。 |
| ポリシー | Self.PolicyAction | はい | 電子メール メッセージに関連する脅威ポリシーで構成されたアクション ([ 迷惑メール フォルダーに移動 ] や [検疫] など)。 |
| 受信者 | Collection(Edm.String) | はい | 電子メール メッセージの受信者の配列。 |
| SenderIp | Edm.String | はい | メッセージを送信した IPv4 または IPv6 アドレス。 |
| 件名 | Edm.String | はい | メッセージの件名。 |
| Verdict | Edm.String | はい | メッセージの判定。 |
| MessageTime | Edm.Date | はい | メール メッセージが受信または送信された、協定世界時 (UTC) での日時。 |
| EventDeepLink | Edm.String | はい | Threat エクスプローラー またはリアルタイム検出の電子メール イベントへのディープ リンク。 |
| 配信アクション | Edm.String | はい | メール メッセージの元の配信操作。 |
| 元の配信場所 | Edm.String | はい | メール メッセージの元の配信場所。 |
| 最新の配信場所 | Edm.String | はい | イベントの時点でのメール メッセージの最新の配信場所。 |
| 方向性 | Edm.String | はい | メール メッセージが受信、送信、または内部組織のメッセージであるかどうかを識別します。 |
| ThreatsAndDetectionTech | Edm.String | はい | 脅威と対応する検出テクノロジ。 このフィールドは、スパム判定に対する最新の追加を含む、メール メッセージのすべての脅威を公開します。 たとえば、「 ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"] 」のように入力します。 さまざまな検出の脅威と検出テクノロジについては、「 検出テクノロジ」を参照してください。 |
| AdditionalActionsAndResults | Collection(Edm.String) | いいえ | ZAP や手動での修復など、メールに対して行われた追加アクション。 また、対応する結果も含まれます。 |
| コネクタ | Edm.String | いいえ | メールに関連するコネクターの名前と GUID。 |
| AuthDetails | Collection(Self.AuthDetails) | いいえ | メールに対して行われる認証チェックです。 また、SPF、DKIM、DMARC、および CompAuth の値も含まれます。 |
| SystemOverrides | Collection(Self.SystemOverrides) | いいえ | メールに適用可能なオーバーライド。 これらは、システムまたはユーザーによるオーバーライドが可能です。 |
| フィッシング信頼度レベル | Edm.String | いいえ | フィッシング判定に関連した信頼度を示します。 「標準」または「高」にすることができます。 |
注:
新しい ThreatsAndDetectionTech フィールドは、複数の判定と更新された検出テクノロジを示すので、使用することをお勧めします。 このフィールドは、Threat エクスプローラー や Advanced Hunting などの他のエクスペリエンスに表示される値と一致します。
検出技術
| 名前 | 説明 |
|---|---|
| 高度なフィルター | 機械学習に基づくフィッシング シグナル。 |
| マルウェア対策エンジン | マルウェア対策エンジンによる検出。 |
| キャンペーン | キャンペーンの一部として識別されたメッセージ。 |
| ドメインの評価 | ドメインの評価に基づく分析。 |
| ファイルのデトネーション | デトネートされた分析の間、添付ファイルが悪い可能性が見つかりました。 |
| ファイルのデトネーションの評価 | 以前のデトネーション評価が原因で、添付ファイルが悪質としてマークされました。 |
| ファイルの評価 | 添付ファイルは、評価が悪いので悪質マークを付けられました。 |
| 指紋の一致 | 以前のメッセージが原因で、そのメッセージが悪質としてマークされた。 |
| 一般的なフィルター | ルールに基づくフィッシング シグナル。 |
| 偽装ブランド | 添付ファイルのファイルの種類。 |
| 偽装ドメイン | 顧客が所有または定義しているドメインの偽装。 |
| 偽装ユーザー | 管理者によって定義された、またはメールボックス インテリジェンス経由で理解されたユーザーの偽装。 |
| メールボックス インテリジェンス偽装 | メールボックス インテリジェンスに基づく偽装。 |
| 複合分析の検出 | 複数のフィルターがこのメッセージの判定に貢献しました。 |
| スプーフィング DMARC | メッセージに対する DMARC 認証エラー。 |
| 外部ドメインになりすます | 送信者が、他のドメインのなりすましを試みしています。 |
| 組織内のなりすまし | 送信者が受信者のドメインになりすましています。 |
| URL のデトネーション | 以前の悪意のある URL のデトネーションが原因で、メッセージが悪質と見なされました。 |
| URL のデトネーションの評価 | メッセージは、悪意のある URL のデトネーションのために、悪いと見なされました。 |
| URL に悪意があるとする評価 | 悪意のある URL が原因でメッセージが悪質と見なされました。 |
AttachmentData complex type
AttachmentData
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileName | Edm.String | はい | 添付ファイルのファイル名。 |
| FileType | Edm.String | はい | 添付ファイルのファイルの種類。 |
| FileVerdict | Self.FileVerdict | はい | ファイルのマルウェア判定。 |
| MalwareFamily | Edm.String | いいえ | ファイルのマルウェア ファミリ。 |
| SHA256 | Edm.String | はい | ファイルの SHA256 ハッシュ。 |
注:
マルウェア ファミリ内では、正確な MalwareFamily 名 (HTML/フィッシング.VS! など) を確認できます。MSR) または悪意のあるペイロードを静的な文字列として指定します。 特定の名前が認識されていない場合、悪意のあるペイロードは引き続き悪意のあるメールとして扱う必要があります。
SystemOverrides 複合型
SystemOverrides
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Edm.String | いいえ | 適用された特定のオーバーライド (ETR や Safe Sender など) に関する詳細です。 |
| FinalOverride | Edm.String | いいえ | 複数のオーバーライドがある場合に、配信に影響を与えるオーバーライドを示します。 |
| 結果 | Edm.String | いいえ | メールがオーバーライドに基づいて許可またはブロックに設定されたかどうかを示します。 |
| Source | Edm.String | いいえ | オーバーライドがユーザー構成によるものか、テナント構成によるものかを示します。 |
AuthDetails 複合型
AuthDetails
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 名前 | Edm.String | いいえ | DKIM や DMARC など、特定の認証チェックの名前です。 |
| 値 | Edm.String | いいえ | 特定の認証チェックに関連する値 (True や False など)。 |
列挙値: FileVerdict - 型: Edm.Int32
FileVerdict
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Good | 脅威は検出されませんでした。 |
| 1 | Bad | 添付ファイルにマルウェアが見つかりました。 |
| -1 | Error | スキャン/分析のエラー。 |
| -2 | Timeout | スキャン/分析のタイムアウト。 |
| -3 | Pending | スキャン/分析が完了していません。 |
列挙値: Policy - 型: Edm.Int32
ポリシー タイプおよびアクション タイプ
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | スパム対策、HSPM | スパム対策ポリシーの高信頼スパム (HSPM) アクション。 |
| 2 | スパム対策、SPM | スパム対策ポリシーのスパム (SPM) アクション。 |
| 3 | スパム対策、バルク | スパム対策ポリシーの一括アクション。 |
| 4 | スパム対策、PHSH | スパム対策ポリシーのフィッシング (PHSH) アクション。 |
| 5 | フィッシング対策、DIMP | フィッシング対策ポリシーのドメイン偽装 (DIMP) アクション。 |
| 6 | フィッシング対策、UIMP | フィッシング対策ポリシーのユーザー偽装 (UIMP) アクション。 |
| 7 | フィッシング対策、SPOOF | フィッシング対策ポリシーでのスプーフィング アクション。 |
| 8 | フィッシング対策、GIMP | フィッシング対策ポリシーのメールボックス インテリジェンス アクション。 |
| 9 | マルウェア対策、AMP | マルウェア対策ポリシーのマルウェア ポリシー アクション。 |
| 10 | 安全な添付ファイル、SAP | 安全な添付ファイル ポリシーのポリシー アクション。 |
| 11 | Exchange トランスポート ルール、ETR | Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) のポリシー アクション。 |
| 12 | マルウェア対策、ZAPM | マルウェア対策ポリシーのマルウェア ポリシー アクションは、0 時間の自動消去 (ZAP) に適用されます。 |
| 13 | フィッシング対策、ZAPP | ZAP に適用されるフィッシング対策ポリシーのフィッシング ポリシー アクション。 |
| 14 | フィッシング対策、ZAPS | ZAP に適用されたスパム対策ポリシーのスパム ポリシー アクション。 |
| 15 | スパム対策、高確度フィッシング メール (HPHISH) | スパム対策ポリシーでの信頼度の高いフィッシング ポリシー アクション。 |
| 17 | スパム対策、送信スパム ポリシー (OSPM) | 送信スパム ポリシーのポリシー アクション。 |
列挙値: PolicyAction - 型: Edm.Int32
ポリシー アクション
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | MoveToJMF | ポリシー アクションは、メッセージを [迷惑メール] Email フォルダーに移動することです。 |
| 1 | AddXHeader | ポリシー アクションは、電子メール メッセージに X ヘッダーを追加することです。 |
| 2 | ModifySubject | ポリシーアクションは、脅威ポリシーによって指定された情報を使用して、電子メール メッセージの件名を変更することです。 |
| 3 | Redirect | ポリシーアクションは、脅威ポリシーで指定された電子メール アドレスに電子メール メッセージをリダイレクトすることです。 |
| 4 | Delete | メール メッセージを削除 (ドロップ) するポリシー アクション。 |
| 5 | Quarantine | メール メッセージを隔離するポリシー アクション。 |
| 6 | NoAction | メール メッセージに対してアクションを実行しないように構成されたポリシー。 |
| 7 | BccMessage | ポリシーアクションは、脅威ポリシーによって指定された電子メール アドレスへの電子メール メッセージを Bcc に対して行います。 |
| 8 | ReplaceAttachment | ポリシーアクションは、脅威ポリシーで指定された電子メール メッセージの添付ファイルを置き換えます。 |
URL time-of-click イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| UserId | Edm.String | はい | URL をクリックしたユーザーの識別子 (メール アドレスなど)。 |
| AppName | Edm.String | はい | URL がクリックされた Office 365 サービス (例: Outlook メール)。 |
| URLClickAction | Self.URLClickAction | はい | 安全なリンクのorganizationのポリシーに基づいて URL のアクションをクリックします。 |
| SourceId | Edm.String | はい | URL がクリックされたOffice 365 サービスの識別子 (たとえば、電子メールの場合、この値は Exchange Online ネットワーク メッセージ ID)。 |
| TimeOfClick | Edm.Date | はい | ユーザーが URL をクリックした、世界協定時刻 (UTC) での日時。 |
| URL | Edm.String | はい | ユーザーがクリックした URL。 |
| UserIp | Edm.String | はい | URL をクリックしたユーザーの IPv4 または IPv6 アドレス。 |
列挙値: URLClickAction - タイプ: Edm.Int32
URLClickAction
| 値 | メンバ名 | 説明 |
|---|---|---|
| 2 | Blockpage | ユーザーは 、安全なリンクによる URL への移動をブロックしました。 |
| 3 | PendingDetonationPage | ユーザーは、 安全なリンクによって爆発保留中のページを表示しました。 |
| 4 | BlockPageOverride | ユーザーは 安全なリンクによる URL への移動をブロックしましたが、ユーザーはブロックをオーバーロードして URL に移動します。 |
| 5 | PendingDetonationPageOverride | ユーザーは セーフ リンクによって爆発ページを表示しましたが、ユーザーはページをオーバーロードして URL に移動します。 |
ファイルのイベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileData | Self.FileData | はい | イベントをトリガーしたファイルに関するデータ。 |
| SourceWorkload | Self.SourceWorkload | はい | ファイルが見つかったワークロードまたはサービス (SharePoint、OneDrive、Microsoft Teamsなど) |
| DetectionMethod | Edm.String | はい | Microsoft Defender for Office 365 で検出に使用されるメソッドまたはテクノロジ。 |
| LastModifiedDate | Edm.Date | はい | ファイルが作成または最後に変更された、世界協定時刻 (UTC) での日時。 |
| LastModifiedBy | Edm.String | はい | ファイルを作成または最後に変更したユーザーの識別子 (例: メール アドレス)。 |
| EventDeepLink | Edm.String | はい | Threat エクスプローラー またはリアルタイム検出のファイル イベントへのディープ リンク。 |
FileData 複合型
FileData
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DocumentId | Edm.String | はい | SharePoint、OneDrive、または Microsoft Teams のファイルの一意の識別子。 |
| FileName | Edm.String | はい | イベントをトリガーしたファイルの名前。 |
| FilePath | Edm.String | はい | SharePoint、OneDrive、または Microsoft Teams のファイルへのパス (場所)。 |
| FileVerdict | Self.FileVerdict | はい | ファイルのマルウェア判定。 |
| MalwareFamily | Edm.String | いいえ | ファイルのマルウェア ファミリ。 |
| SHA256 | Edm.String | はい | ファイルの SHA256 ハッシュ。 |
| FileSize | Edm.String | はい | ファイルのサイズ (バイト単位)。 |
列挙値: SourceWorkload - タイプ: Edm.Int32
SourceWorkload
| 値 | メンバ名 |
|---|---|
| 0 | SharePoint |
| 1 | OneDrive |
| 2 | Microsoft Teams |
攻撃 Sim スキーマ
Defender for Office 365 プラン 2 での攻撃シミュレーションとトレーニングの詳細については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Batch ID | Edm.String | はい | 一緒に処理されるレコードのグループの一意識別子。 |
| キャンペーン ID | Edm.String | はい | 攻撃シミュレーション トレーニング キャンペーンの一意の識別子。 |
| userDisplayName | Edm.String | 不要 | 攻撃シミュレーション トレーニング キャンペーンに関与するユーザーの表示名。 |
| AttackTechnique | Edm.String | 不要 | シミュレーションで使用される攻撃手法。 |
| CampaignType | Edm.String | 不要 | 攻撃シミュレーション キャンペーンの種類。 さまざまな種類は、シミュレーション キャンペーン、トレーニング キャンペーン、シミュレーション自動化です。 |
| TimeData | Edm.Date | いいえ | キャンペーンの開始時間。 |
| EndTimeData | Edm.Date | いいえ | キャンペーンの終了時刻。 |
| AttackSimEvent | Self.AttackSimEventType | はい | イベントの種類 (ユーザー アクティビティまたはメッセージ配信状態)。 |
| ExtendedProperties | Collection(Common.NameValuePair) | はい | 監査レコードに関連付けられている追加のプロパティ。 |
Enum: AttackSimEventType - 型: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | MessageDelivered | 受信者に正常に配信されたメッセージ。 |
| 2 | MessageFailed | メッセージの配信が失敗した。 |
| 6 | CredentialEntered | フィッシング シミュレーションで資格情報を入力し、資格情報の収集、添付ファイルのリンクなどの手法を行いました。 |
| 7 | PermissionGranted | Oauth 同意許可などの手法に対して、ユーザーがフィッシング シミュレーションでアクセス許可を付与しました。 |
| 8 | LinkClicked | ユーザーがフィッシング シミュレーション URL をクリックしました。 |
| 10 | AttachmentOpened | マルウェアの添付ファイル、添付ファイル内のリンクなどの手法のためにユーザーが開いた添付ファイル。 |
| 12 | MessageRead | 受信者が開いて読み取ったメッセージ。 |
| 13 | MessageReplied | 受信者がメッセージに返信しました。 |
| 14 | MessageForwarded | 別のユーザーに転送されたメッセージ。 |
| 15 | MessageReported | 受信者によってフィッシングとして報告されたメッセージ。 |
| 16 | MessageDeleted | 受信者によって削除されたメッセージ。 |
| 17 | OutOfOffice | 受信者に対して有効になっている Outlook の自動応答。 |
| 18 | PositiveReinforcementMessageDelivered | 肯定的な強化メッセージが受信者に正常に配信されました。 |
Attack Sim 管理 スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Batch ID | Edm.String | はい | 一緒に処理されるレコードのグループの一意識別子。 |
| キャンペーン ID | Edm.String | はい | 攻撃シミュレーション トレーニング キャンペーンの一意の識別子。 |
| AttackTechnique | Edm.String | 不要 | シミュレーションで使用される攻撃手法。 |
| CampaignType | Edm.String | 不要 | 攻撃シミュレーション キャンペーンの種類。 さまざまな種類は、シミュレーション キャンペーン、トレーニング キャンペーン、シミュレーション自動化です。 |
| TimeData | Edm.Date | はい | キャンペーンの開始時間。 |
| EndTimeData | Edm.Date | はい | キャンペーンの終了時刻。 |
| AttackSimAdminEvent | Self.AttackSimAdminEventType | はい | 攻撃 SIM 管理者イベントの種類。 |
| ExtendedProperties | Collection(Common.NameValuePair) | はい | 監査レコードに関連付けられている追加のプロパティ。 |
Enum: AttackSimAdminEventType - 型: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 0 | CampaignLaunched | 攻撃シミュレーショントレーニングキャンペーンが開始されたとき。 さまざまな種類のキャンペーンは、シミュレーション、トレーニング キャンペーンです。 |
| 1 | CampaignCompleted | 攻撃シミュレーショントレーニングキャンペーンが完了したとき。 |
| 2 | CampaignReportDownloaded | 管理キャンペーン レポートをダウンロードしました。 |
| 3 | CampaignReportViewed | 管理キャンペーン レポートを表示しました。 |
| 4 | CampaignCancelled | 攻撃シミュレーションのトレーニング キャンペーンがキャンセルされたとき。 |
| 5 | CampaignScheduled | 攻撃シミュレーションのトレーニング キャンペーンがスケジュールされたとき。 |
| 6 | CampaignDeleted | 攻撃シミュレーショントレーニングキャンペーンが削除されたとき。 |
| 7 | SimulationExcluded | シミュレーションがレポートから除外されたとき。 |
| 8 | AutomationSubmitted | 自動化が送信されると、シミュレーションとペイロードの自動化が含まれます。 |
| 9 | AutomationTurnOn | 自動化が有効になっている場合は、シミュレーションとペイロードの自動化が含まれます。 |
| 10 | AutomationTurnOff | オートメーションがオフになると、シミュレーションとペイロードの自動化が含まれます。 |
| 11 | AutomationCompleted | シミュレーションの自動化が完了したとき。 |
| 12 | AutomationDeleted | オートメーションが削除されると、シミュレーションとペイロードの自動化が含まれます。 |
ユーザー トレーニング スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Batch ID | Edm.String | はい | 一緒に処理されるレコードのグループの一意識別子。 |
| キャンペーン ID | Edm.String | はい | 攻撃シミュレーション トレーニング キャンペーンの一意の識別子。 |
| コース ID | Edm.String | はい | トレーニング コースの一意の識別子。 |
| userDisplayName | Edm.String | 不要 | 攻撃シミュレーションに関与するユーザーの表示名。 |
| CampaignType | Edm.String | はい | 攻撃シミュレーション キャンペーンの種類。 さまざまな種類は、シミュレーション キャンペーン、トレーニング キャンペーン、シミュレーション自動化です。 |
| TimeData | Edm.Date | はい | キャンペーンの開始時間。 |
| EndTimeData | Edm.Date | はい | キャンペーンの終了時刻。 |
| UserTrainingEvent | Self.UserTrainingEventType | はい | ユーザー トレーニング イベントの種類。 |
| ExtendedProperties | Collection(Common.NameValuePair) | はい | 監査レコードに関連付けられている追加のプロパティ。 |
Enum: UserTrainingEventType - 型: Edm.Int32
| 値 | メンバー名 | 説明 |
|---|---|---|
| 1 | TrainingAssigned | ユーザーに割り当てられたトレーニング。 |
| 2 | TrainingUpdated | ユーザーのトレーニングが更新されました。 |
| 3 | TrainingCompleted | ユーザーがトレーニングを完了しました。 |
| 4 | TrainingPreviouslyAssigned | 以前に割り当てられたトレーニングをユーザーに割り当てた。 |
| 5 | TrainingNotCompleted | ユーザーが割り当てられたトレーニングを完了しませんでした。 |
報告スキーマ
分析のために Microsoft に誤検知または偽陰性を送信するためのイベントは、Exchange Online内のメールボックスを持つすべての組織で利用できます。 申請フィードの各イベントは、次の方法で送信された偽陽性または偽陰性に対応します。
報告イベント
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AdminSubmissionRegistered | Edm.String | いいえ | 管理者の報告が登録され、処理が承認待ちになっています。 |
| AdminSubmissionDeliveryCheck | Edm.String | いいえ | 管理者報告システムがメールのポリシーを確認しました。 |
| AdminSubmissionSubmitting | Edm.String | いいえ | 管理者報告システムがメールを送信しています。 |
| AdminSubmissionSubmitted | Edm.String | いいえ | 管理者報告システムがメールを送信しました。 |
| AdminSubmissionTriage | Edm.String | 不要 | 管理提出は、採点者によってトリアージされます。 |
| AdminSubmissionTimeout | Edm.String | 不要 | 管理送信は結果なしでタイムアウトしました。 |
| UserSubmission | Edm.String | いいえ | 報告は、エンド ユーザーからの最初の報告です。 |
| UserSubmissionTriage | Edm.String | いいえ | ユーザーによる報告はグレーダーによってトリアージ済みです。 |
| CustomSubmission | Edm.String | いいえ | ユーザーが報告したメッセージが、ユーザーが報告したメッセージ設定の設定として組織のカスタム メールボックスに送信されていました。 |
| AttackSimUserSubmission | Edm.String | いいえ | ユーザーが報告したメッセージは、実際には、フィッシング シミュレーションのトレーニング メッセージでした。 |
| AdminSubmissionTablAllow | Edm.String | 不要 | テナントの許可/ブロックリストの許可エントリは、再スキャン中に同様のメッセージに対して直ちにアクションを実行するために、提出時に作成されました。 |
| SubmissionNotification | Edm.String | いいえ | 管理者のフィードバックがエンド ユーザーに送信されます。 |
Office 365 の自動調査および対応イベント
自動調査と応答 (AIR) イベントは、プラン 2 をDefender for Office 365している Microsoft 365 のお客様 (含まれているか、アドオン サブスクリプションとして) 使用できます。 たとえば、Microsoft 365 A5/E5/G5 にはプラン 2 Defender for Office 365含まれています。
調査イベントは調査ステータスの変更に基づいてログに記録されます。 たとえば、管理者が調査の状態を [保留中のアクション] から [完了] に変更するアクションを実行すると、イベントがログに記録されます。
現在のところ、自動調査のみがログに記録されます 次の状態値がログに記録されます。
- 調査が開始しました
- 脅威は検出されませんでした
- システムによって終了されました
- 保留中のアクション
- 脅威が検出されました
- 修復済み
- 失敗
- スロットルにより終了しました
- ユーザーによって終了されました
- 実行中
主要な調査スキーマ
| 名前 | 型 | 説明 |
|---|---|---|
| InvestigationId | Edm.String | 調査 ID/GUID。 |
| InvestigationName | Edm.String | 調査の名前。 |
| InvestigationType | Edm.String | 調査の種類。 次のいずれかの値を指定できます。
(現時点では、手動調査は利用できません。 |
| LastUpdateTimeUtc | Edm.Date | 調査のための最後の更新の UTC 時刻。 |
| StartTimeUtc | Edm.Date | 調査の開始時刻。 |
| 状態 | Edm.String | 調査、実行中、保留中のアクションなどの状態。 |
| DeeplinkURL | Edm.String | Microsoft Defender ポータルでの調査へのディープ リンク URL。 |
| Actions | Collection (Edm.String) | 調査によって推奨されるアクションのコレクション。 |
| データ | Edm.String | 調査エンティティの詳細、調査に関連するアラートの情報が含まれているデータ文字列。 エンティティはデータ blob 内の個別のノードで使用できます。 |
Actions
| Field | 種類 | 説明 |
|---|---|---|
| ID | Edm.String | 操作 ID |
| ActionType | Edm.String | 電子メールの修復など、アクションの種類。 |
| ActionStatus | Edm.String | 値は次のとおりです。
|
| ApprovedBy | Edm.String | 自動承認された場合は null 値、それ以外の場合はユーザー名または ID (まもなく対応予定) |
| TimestampUtc | Edm.DateTime | アクションの状態の変更のタイムスタンプ。 |
| ActionId | Edm.String | アクションの一意識別子。 |
| InvestigationId | Edm.String | 調査のための一意の識別子。 |
| RelatedAlertIds | Collection(Edm.String) | 調査に関連するアラート。 |
| StartTimeUtc | Edm.DateTime | アクション作成のタイムスタンプ。 |
| EndTimeUtc | Edm.DateTime | アクションの最終状態の更新タイムスタンプ。 |
| リソース識別子 | Edm.String | Azure Active Directory のテナント ID で構成されます。 |
| Entities | Collection(Edm.String) | 影響を受ける 1 つ以上のエンティティをアクション別に一覧表示します。 |
| 関連するアラート ID | Edm.String | 調査に関連するアラート。 |
Entities
MailMessage (電子メール)
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "mail-message" |
| Files | Collection (Self.File) | このメッセージの添付ファイルの詳細。 |
| Recipient | Edm.String | このメール メッセージの受信者。 |
| Urls | Collection(Self.___URL) | このメール メッセージに含まれる URL。 |
| Sender | Edm.String | 送信者のメール アドレス。 |
| SenderIP | Edm.String | 送信者の IP アドレス。 |
| ReceivedDate | Edm.DateTime | このメッセージの受信日。 |
| NetworkMessageId | Edm.Guid | このメール メッセージのネットワーク メッセージ ID。 |
| InternetMessageId | Edm.String | このメール メッセージのインターネット メッセージ ID。 |
| 件名 | Edm.String | このメール メッセージの件名。 |
IP
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "ip" |
| Address | Edm.String |
127.0.0.1などの文字列としての IP アドレス。 |
URL
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "url" |
| Url | Edm.String | エンティティが指す完全な URL。 |
Mailbox (ユーザーにも相当)
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "mailbox" |
| MailboxPrimaryAddress | Edm.String | メールボックスのプライマリ アドレス。 |
| DisplayName | Edm.String | メールボックスの表示名。 |
| Upn | Edm.String | メールボックスの UPN。 |
File
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "file" |
| Name | Edm.String | パスのないファイル名。 |
| FileHashes | Collection (Edm.String) | ファイルに関連付けられているファイル ハッシュ。 |
FileHash
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "filehash" |
| Algorithm | Edm.String | ハッシュ アルゴリズムの種類は、次のいずれかの値になります。
|
| 値 | Edm.String | ハッシュ値。 |
MailCluster
| Field | 種類 | 説明 |
|---|---|---|
| Type | Edm.String | "MailCluster" 説明するエンティティの種類を決定します。 |
| NetworkMessageIds | Collection (Edm.String) | メール クラスターの一部であるメール メッセージ ID の一覧。 |
| CountByDeliveryStatus | Collections (Edm.String) | DeliveryStatus 文字列表現によるメール メッセージの数。 |
| CountByThreatType | Collections (Edm.String) | ThreatType 文字列表現によるメール メッセージの数。 |
| Threats | Collections (Edm.String) | メール クラスターに含まれているメール メッセージの脅威。 脅威にはフィッシングやマルウェアなどの値が含まれます。 |
| Query | Edm.String | メール クラスターのメッセージを識別するために使用されたクエリ。 |
| QueryTime | Edm.DateTime | クエリ時刻。 |
| MailCount | Edm.int | メール クラスターの一部であるメール メッセージの数。 |
| ソース | String | メール クラスターのソース、クラスター ソースの値。 |
検疫イベント スキーマ
検疫イベントは送信スパム保護に関係しています。 これらのイベントは、メールの送信を制限されているユーザーに関係します。 詳細については、次の記事を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 監査 | Edm.String | いいえ | 検疫イベントに関連するシステム情報。 |
| イベント | Edm.String | いいえ | 検疫イベントの種類。 このパラメーターの有効な値は、一覧表示また一覧から除外です。 |
| EventId | Edm.Int64 | いいえ | 検疫イベントの種類の ID。 |
| EventValue | Edm.String | いいえ | 影響を受けたユーザー。 |
| 理由 | Edm.String | いいえ | 検疫イベントの詳細。 |
Power BI スキーマ
「 監査ログの検索 」に記載されている Power BI イベントでは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AppName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したアプリの名前です。 |
| DashboardName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したダッシュ ボードの名前です。 |
| DataClassification | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したダッシュボードのデータの分類 (存在する場合)。 |
| DatasetName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したデータセットの名前です。 |
| MembershipInformation | Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | グループのメンバーシップ情報。 |
| OrgAppPermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 組織のアプリのアクセス許可の一覧 (組織全体、特定のユーザー、特定のグループ)。 |
| ReportName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したレポートの名前です。 |
| SharingInformation | Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待を送るユーザーについての情報。 |
| SwitchState | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | さまざまなテナント レベル切り替えの状態についての情報。 |
| WorkSpaceName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | イベントが発生したワークスペースの名前です。 |
MembershipInformationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MemberEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | グループの電子メール アドレス。 |
| 状態 | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 現在、入力されていません。 |
SharingInformationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RecipientEmail | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待の受信者の電子メール アドレス。 |
| RecipientName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 共有の招待の受信者の名前。 |
| ResharePermission | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" | いいえ | 受信者にアクセス許可が付与されています。 |
Dynamics 365 スキーマ
Dynamics 365 イベントのモデル駆動型アプリに関連するイベントの監査レコードは、基本スキーマとエンティティオペレーションスキーマの両方を使用します。 詳細については、「アクティビティログを有効にして使用する」を参照してください。
Dynamics 365 基本スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| CrmOrganizationUniqueName | Edm.String | はい | 組織の一意の名前。 |
| InstanceUrl | Edm.String | はい | インスタンスの URL。 |
| ItemUrl | Edm.String | いいえ | ログを発行しているレコードへのURL。 |
| ItemType | Edm.String | いいえ | エンティティの名前。 |
| UserAgent | Edm.String | いいえ | 組織内のユーザー GUID の一意の識別子。 |
| フィールド | Collection(Common.NameValuePair) | いいえ | 作成または更新されたプロパティのキーと値のペアを含む JSON オブジェクト。 |
Dynamics 365 エンティティ操作スキーマ
Dynamics 365 のモデル駆動型アプリからのエンティティイベントは、このスキーマを使用して、Dynamics 36 5基本スキーマに基づいて構築します。 このスキーマには、監査イベントをトリガーしたエンティティ操作に関する情報が含まれています。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EntityId | Edm.Guid | いいえ | エンティティの一意識別子。 |
| EntityName | Edm.String | はい | 組織のエンティティの名前。 エンティティの例には、contact や authenticationがあります。 |
| メッセージ | Edm.String | はい | このパラメーターには、エンティティーに関連して実行された操作が含まれています。 たとえば、新しい連絡先が作成された場合、Message プロパティの値は Create され、EntityName プロパティの対応する値は contact。 |
| クエリ | Edm.String | いいえ | FetchXML操作の実行中に使用されたフィルタークエリのパラメーター。 |
| PrimaryFieldValue | Edm.String | いいえ | エンティティのプライマリフィールドである属性の値を示します。 |
スキーマのViva Insights
監査ログ検索で返されるイベントViva Insightsは、このスキーマを使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| WpaUserRole | Edm.String | 不要 | アクションを実行したユーザーのViva Insightsロール。 |
| ModifiedProperties | コレクション (Common.ModifiedProperty) | いいえ | このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
| OperationDetails | コレクション (Common.NameValuePair) | いいえ | 変更された設定の拡張プロパティの一覧。 各プロパティには 、Name と Value があります。 |
検疫スキーマ
監査ログ検索で返される検疫イベントでは、このスキーマが使用されます。 検疫の詳細については、「 クラウド組織の検疫済みメール メッセージ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RequestType | Self.RequestType | いいえ | ユーザーによって実行された検疫要求の型。 |
| RequestSource | Self.RequestSource | いいえ | 検疫要求は、Microsoft Defender ポータル、コマンドレット、または URLlink から送信されます。 |
| NetworkMessageId | Edm.String | いいえ | 検疫されたメール メッセージのネットワーク メッセージ ID。 |
| ReleaseTo | Edm.String | いいえ | メール メッセージの受信者。 |
Enum: RequestType - Type: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Preview | 有害と識別された電子メール メッセージをプレビューするユーザー要求。 |
| 1 | Delete | 有害と識別された電子メール メッセージを削除するようにユーザーが要求します。 |
| 2 | Release | 有害と識別された電子メール メッセージをリリースするようにユーザーが要求します。 |
| 3 | Export | 有害と識別された電子メール メッセージをエクスポートするユーザー要求。 |
| 4 | ViewHeader | 有害と識別された電子メール メッセージのヘッダーを表示するようにユーザーが要求します。 |
| 5 | リリース要求 | 有害と識別された電子メール メッセージをリリースするようにユーザーが要求します。 |
Enum: RequestSource - Type: Edm.Int32
有害な可能性のある電子メール メッセージのヘッダーをプレビュー、削除、リリース、エクスポート、または表示するユーザー要求のソース。
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | SCC | Microsoft Defender ポータル。 |
| 1 | コマンドレット | コマンドレット。 |
| 2 | URLlink | リンク。 |
Microsoft Forms スキーマ
監査ログ検索で返される Microsoft Forms イベントでは、このスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FormsUserTypes | Collection(Self.FormsUserTypes) | はい | アクションを実行するユーザーの役割。 このパラメーターの値は、管理者、所有者、レスポンダー、または共同編集者です。 |
| SourceApp | Edm.String | はい | アクションが Forms Web サイトからのものなのか、他のアプリからのものなのかを示します。 |
| FormName | Edm.String | いいえ | 現在のフォームの名前。 |
| FormId | Edm.String | いいえ | 対象フォームの ID。 |
| FormTypes | Collection(Self.FormTypes) | いいえ | これが、フォーム、クイズ、またはアンケートなのかを示します。 |
| ActivityParameters | Edm.String | いいえ | アクティビティのパラメーターを含む JSON 文字列。 詳細については、「Microsoft Forms アクティビティ」を参照してください。 |
Enum: FormsUserTypes - Type: Edm.Int32
FormsUserTypes
| 値 | フォーム ユーザーの種類 | 説明 |
|---|---|---|
| 0 | 管理者 | フォームにアクセスできる管理者。 |
| 1 | Owner | フォームの所有者であるユーザー。 |
| 2 | レスポンダー | フォームに応答を送信したユーザー。 |
| 3 | 共同編集者 | フォームの所有者から提供された、フォームにログインして編集するための共同編集者リンクを使用したユーザー。 |
Enum: FormTypes - Type: Edm.Int32
FormTypes
| 値 | フォームの種類 | 説明 |
|---|---|---|
| 0 | フォーム | [新しいフォーム] オプションを使用して作成されたフォーム。 |
| 1 | クイズ | [新しいクイズ] オプションを使用して作成されたクイズ。 クイズは特殊な種類のフォームで、点数、自動および手動採点、コメントなどの追加の機能が含まれるフォームです。 |
| 2 | アンケート | [新しいアンケート] オプションを使用して作成されたアンケート。 アンケートは特殊な種類のフォームで、CMS 統合や Flow ルールのサポートなどの追加の機能が含まれるフォームです。 |
MIP ラベルのスキーマ
Microsoft Purview Information Protection ラベルのスキーマのイベントは、秘密度ラベルが適用されているトランスポート パイプラインのエージェントによって処理されたメール メッセージを Microsoft 365 が検出したときにトリガーされます。 秘密度ラベルは、手動または自動で適用され、トランスポート パイプライン内または外部に適用されている可能性があります。 秘密度ラベルは、ラベル ポリシーの自動適用により、メール メッセージに自動的に適用できます。
この監査スキーマの目的は、秘密度ラベルが適用されているすべてのメール アクティビティの合計を示すことです。 そのため、秘密度ラベルがいつどのように適用されたかに関係なく、秘密度ラベルが適用されている組織内のユーザー間で送受信されるメール メッセージごとに、監査のアクティビティが記録されます。 秘密度ラベルの詳細については、以下をご覧ください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Sender | Edm.String | いいえ | メール メッセージの差出人フィールドのメール アドレス。 |
| Receivers | Collection(Edm.String) | いいえ | メール メッセージの [宛先]、[CC]、[BCC] フィールドにあるすべてのメール アドレス。 |
| ItemName | Edm.String | いいえ | メール メッセージの件名フィールドの文字列。 |
| LabelId | Edm.Guid | いいえ | 電子メール メッセージに適用される秘密度ラベルの GUID。 |
| LabelName | Edm.String | いいえ | メール メッセージに適用される秘密度ラベルの名前。 |
| LabelAction | Edm.String | いいえ | メッセージがメールのトランスポート パイプラインに入る前にメール メッセージに適用された秘密度ラベルによって指定されたアクション。 |
| LabelAppliedDateTime | Edm.Date | いいえ | メール メッセージに秘密度ラベルが適用された日付。 |
| ApplicationMode | Edm.String | いいえ | メール メッセージに秘密度ラベルが適用された方法を指定します。 Privileged の値は、ラベルがユーザーによって手動で適用されたことを示します。 Standard の値は、ラベルがクライアント側またはサービス側のラベル付けのプロセスによって自動的に適用されたことを示します。 |
暗号化されたメッセージのポータル イベント スキーマ
暗号化されたメッセージ ポータル スキーマのイベントは、Purview Message Encryption が暗号化された電子メール メッセージに外部受信者がポータルを介してアクセスしたことを検出したときにトリガーされます。 メールは、秘密度ラベルまたは RMS テンプレートを使用して手動で暗号化されているか、トランスポート ルール、データ損失防止ポリシー、または自動ラベル付けポリシーによって自動的に暗号化されている可能性があります。
この監査スキーマの目的は、外部受信者による暗号化されたメールへのアクセスに関わるすべてのポータル アクティビティの合計を表すことです。 つまり、ポータルへのサインインを試みる受信者と、暗号化されたメールへのアクセスに関連するすべてのアクティビティについて、記録された監査アクティビティが存在する必要があるということです。 これには、暗号化が適用された日時や方法に関係なく、メールに暗号化が適用されたときに組織内のユーザーとの間で送受信されるメールが含まれます。 詳細については、「暗号化されたメッセージ ポータルログについて」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| MessageId | Edm.String | 不要 | メッセージの ID。 |
| Recipient | Edm.String | 不要 | 受信者のメール アドレス。 |
| Sender | Edm.String | 不要 | 送信者のメール アドレス。 |
| AuthenticationMethod | Self.AuthenticationMethod | 不要 | メッセージにアクセスした時の認証方法 (OTP、Yahoo、Gmail、Microsoft など)。 |
| AuthenticationStatus | Self.AuthenticationStatus | 不要 | 0: 成功、1: 失敗。 |
| OperationStatus | Self.OperationStatus | 不要 | 0: 成功、1: 失敗。 |
| AttachmentName | Edm.String | 不要 | 添付ファイルの名前。 |
| OperationProperties | Collection(Common.NameValuePair) | いいえ | 追加のプロパティ (送信された OTP パスコードの数、メールの件名など)。 |
コミュニケーションコンプライアンス Exchange スキーマ
Office 365 監査ログにリストされているコミュニケーションコンプライアンスイベントは、このスキーマを使用します。 これには、電子メールメッセージのコンテンツに、一致精度が >= 99.5% のスパム対策モデルによって識別される不快な言語が含まれている場合に生成される SupervisoryReviewOLAudit 操作の監査レコードが含まれます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ExchangeDetails | ExchangeDetails | いいえ | SupervisoryReviewOLAudit イベントをトリガーした電子メールメッセージのプロパティ。 |
Enum: ExchangeDetails - 種類: ExchangeDetails
ExchangeDetails
| メンバ名 | 型 | 説明 |
|---|---|---|
| NetworkMessageId | Edm.Guid | 電子メールメッセージのネットワークメッセージ ID。 |
| InternetMessageId | Edm.String | 電子メールメッセージのインターネットメッセージ ID。 |
| AttachmentData | コレクション (AttachmentDetails) | 電子メールメッセージに添付されたファイルに関する情報。 |
| 受信者 | Collection(Edm.String) | 電子メールメッセージのTo、Cc、Bccフィールドの電子メールアドレス。 |
| 件名 | Edm.String | 電子メールメッセージの件名フィールドのテキスト。 |
| MessageTime | Edm.Date | 電子メールメッセージが送信された日時。 |
| 送信元 | Edm.String | 電子メール メッセージの差出人フィールドのメール アドレス。 |
| 方向性 | Edm.String | 電子メールメッセージの発信ステータス。 |
Enum: AttachmentDetails - 種類: Edm.Int32
AttachmentDetails
| メンバ名 | 型 | 説明 |
|---|---|---|
| FileName | Edm.String | 電子メールメッセージに添付されたファイルの名前。 |
| FileType | Edm.String | 電子メールメッセージに添付されたファイルのファイル拡張子。 |
| SHA256 | Edm.String | 電子メールメッセージに添付されたファイルの SHA-256 ハッシュ。 |
レポート スキーマ
監査ログ検索で返されるレポート イベントでは、このスキーマが使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ModifiedProperties | コレクション (Common.ModifiedProperty) | いいえ | このプロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたプロパティの以前の値が含まれています。 |
コンプライアンス コネクタ スキーマ
コンプライアンス コネクタ スキーマのイベントは、データ コネクタによってインポートされたアイテムがスキップされるか、ユーザー メールボックスにインポートできなかった場合にトリガーされます。 詳細については、「サードパーティ データのコネクタの詳細」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| JobId | Edm.String | いいえ | これは、データ コネクタの一意の識別子です。 |
| TaskId | Edm.String | いいえ | 周期的なデータ コネクタ インスタンスの一意の識別子。 データ コネクタは、周期的な間隔でデータをインポートします。 |
| JobType | Edm.String | いいえ | データ コネクタの名前。 |
| ItemId | Edm.String | いいえ | インポートするアイテムの一意識別子 (電子メール メッセージなど)。 |
| ItemSize | Edm.Int64 | いいえ | インポートするアイテムのサイズ。 |
| SourceUserId | Edm.String | いいえ | サード パーティのデータ ソースからのユーザーの一意の識別子。 たとえば、Slack データ コネクタの場合、このプロパティは Slack ワークスペースのユーザー ID を指定します。 |
| FailureType | 自身。FailureType | いいえ | データ インポート エラーの種類を示します。 たとえば、incorrectusermappingは、サード パーティのデータ ソースと Microsoft 365の間にユーザー マッピングが見つからなかったため、アイテムがインポートされなかったことを示します。 |
| ResultMessage | Edm.String | 不要 | 重複メッセージなど、エラーの種類を示します。 |
| IsRetry | Edm.Boolean | いいえ | データ コネクタがアイテムのインポートを再試行したかどうかを示します。 |
| 添付ファイル | コレクション。添付ファイル | いいえ | サード パーティのデータ ソースから受信した添付ファイルの一覧。 |
列挙値: FailureType - 型: Edm.Int32
| 値 | メンバ名 |
|---|---|
| 0 | 既定値 |
| 1 | MailboxWrite |
添付ファイル複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| FileName | Edm.String | いいえ | 添付ファイルの名前。 |
| 詳細 | Edm.String | いいえ | 添付ファイルに関するその他の詳細。 |
SystemSync スキーマ
SystemSync スキーマのイベントは、SystemSync で取り込まれたデータが Data Lake 経由でエクスポートされるか、他のサービス経由で共有されたときにトリガーされます。
DataLakeExportOperationAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DataStoreType | DataStoreType | はい | データのダウンロード元のデータ ストアを示します。 使用可能なすべての値については、DataStoreType を参照してください。 |
| UserAction | DataLakeUserAction | はい | ユーザーがデータ ストアで実行したアクションを示します。 使用可能なすべての値については、DataLakeUserAction を参照してください。 |
| ExportTriggeredAt | Edm.DateTimeOffset | はい | データエクスポートがトリガーされたタイミングを示します。 |
| NameOfDownloadedZipFile | Edm.String | 不要 | 管理者が Data Lake からダウンロードした圧縮ファイルの名前。 |
DataShareOperationAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 招待 | DataShareInvitationType | 不要 | Data Share の受信者に送信された招待の詳細。 |
DataShareInvitationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ShareId | Edm.Guid | はい | Data Share のシステム割り当て識別子。 |
| 招待された人 | Collection(Edm.Guid) | はい | 招待が送信された管理者ユーザーの一覧。 |
| InviteeTenantId | Edm.Guid | はい | 招待の対象となるターゲット テナント。 |
| ShareName | Edm.String | はい | Data Share のシステム割り当て名。 |
| SyncFrequency | Self.SyncFrequency | はい | 共有が確立されると、データが移行先ストレージ アカウントに同期される頻度。 使用可能な値については、「SyncFrequency」を参照してください。 |
| SyncStartTime | Edm.DateTimeOffset | はい | 最初の同期の日時。 |
Enum: SyncFrequency - 型: Edm.Int32:
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | 毎時 | データが 1 時間ごとに同期されていることを示します。 |
| 1 | 毎日 | データが 1 日に 1 回同期されていることを示します。 |
Enum: DataStoreType - 型: Edm.Int32:
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | CanonicalStore | 正規ストアからデータがダウンロードされたことを示します。 |
| 1 | StagingStore | データがステージング ストアからダウンロードされたことを示します。 |
Enum: DataLakeUserAction - 型: Edm.Int32:
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | TriggerExport | 管理者ユーザーが Data Lake からのエクスポートをトリガーしました。 |
| 1 | DownloadZipFile | 管理者ユーザーがエクスポートされたデータをダウンロードしました。 |
MicrosoftGraphDataConnectOperation 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | はい | アプリケーション ID。 |
| ApplicationName | Edm.String | はい | アプリケーションの名前を示す文字列を指定します。 |
| PipelineName | Edm.String | はい | パイプライン名。 |
| PipelineRunId | Edm.Guid | いいえ | このパイプライン実行の ID。 |
| CopyActivityRunId | Edm.Guid | いいえ | ADF コピー アクティビティの ID。 |
| RunStartTime | Edm.Date | はい | 抽出の日時。 |
| RunEndTime | Edm.Date | はい | 抽出の日時。 |
| DatasetName | Edm.String | はい | 抽出されるデータセット名。 |
| DatasetColumns | Edm.String | はい | 抽出される選択した列のセット。 |
| ScopeList | Edm.String | はい | 抽出のスコープ。 |
| ScopeCountRequested | Edm.Int64 | いいえ | この抽出の要求されたスコープ数。 |
| ScopeCountDelivered | Edm.Int64 | いいえ | この抽出の配信されたスコープ数。 |
| UndeliveredScope | Edm.String | いいえ | 抽出の配信解除されたスコープ。 |
| RowCount | Edm.Int64 | いいえ | 抽出された行数。 |
| 状態 | Edm.String | はい | 抽出の状態。 |
| 理由 | Edm.String | いいえ | 失敗した場合のエラー メッセージ。 |
AipDiscover
次の表に、Azure Information Protection (AIP) スキャナー イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | 操作を実行するアプリケーションの ID。 |
| ApplicationName | 操作を実行しているアプリケーションのフレンドリ名。 Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態について説明します。 |
| DeviceName | アクティビティが発生したデバイス。 |
| ID | 現在のレコードの GUID。 |
| IsProtected | 保護されているかどうか: True/False |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は 不明、 localMedia、 リムーバブル メディア、 ファイル共有、 クラウドです。 |
| ObjectId | ファイルの完全パス (URL)。 SharePoint および OneDrive アクティビティの場合、ユーザーがアクセスするファイルまたはフォルダーの完全なパス名。 |
| 操作 | アクセスの種類について説明します。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は、organizationが発生するOffice 365 サービスに関係なく、常に同じです。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS) |
| ProcessName | 関連するプロセス名。 (Outlook、msip.app、または WinWord など)。 |
| ProductVersion | AIP クライアントのバージョン。 |
| ProtectionOwner | UPN 形式の Rights Management 所有者。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | レコードによって示される操作の種類。 監査ログ レコードの種類の詳細については、AuditLogRecordType の表を参照してください。 Log RecordType の完全な更新された一覧と完全な説明については、Office 365 Management API のブログ投稿を使用した Microsoft 365 コンプライアンス監査ログ アクティビティに関する記事を参照してください。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| 範囲 | 次のいずれかのソースによって作成されたイベント:
|
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します。 |
| SensitivityLabelId | 現在の MIP 秘密度ラベル GUID。 Get-Label を使用して、GUID の完全な値を取得します。 |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されることになった、(Operation プロパティで指定された) アクションを実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name などです。
注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive、Exchange でユーザーが実行したイベントのパスポート一意 ID (PUID) が設定されます。 |
| UserType | 操作を実行したユーザーの種類。 users. の種類の詳細については、UserType テーブルを参照してください。0 = Regular 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| バージョン | 操作中のファイルのバージョン ID。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
AipSensitivityLabelAction
次の表に、AIP 秘密度ラベル イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | Microsoft Entra アプリケーション ID に対応します。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。 |
| CreationDate | ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態を指定します。 |
| DeviceName | ユーザーのデバイスの名前。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| IsProtected | 保護されているかどうか: True/False |
| IsProtectedBefore | 変更前にコンテンツが保護されたかどうか: True/False |
| IsValid | ブール型 |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。 |
| ObjectState | オブジェクトの状態を指定します。 |
| 操作 | 監査ログの操作の種類。ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| PSComputerName | コンピューター名 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は False です。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS)。 |
| ProcessName | MIP SDK をホストするプロセス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。たとえば、 my_name@my_domain_name。 注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
AipProtectionAction
| イベント | 説明 |
|---|---|
| PSComputerName | コンピューター名 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は false です。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、「 my_name@my_domain_name 」のように入力します。 注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| 操作 | 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| ObjectState | 現在のイベントの後の Object の状態。 |
| ApplicationId | アクティビティが発生し、GUID に表示されたアプリケーション。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ProcessName | Office アプリケーションのプロセス名。 |
| プラットフォーム | アクティビティが発生したプラットフォーム。 たとえば、Windows です。 |
| DeviceName | イベントが記録されたデバイス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、 my_name@my_domain_name。 注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 これは、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ID | 現在のレコードの GUID。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| Operation | ユーザーまたは管理アクティビティの名前。 最も一般的な操作/アクティビティの詳細については、「 監査ログを検索する」を参照してください。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は、organizationが発生するOffice 365 サービスに関係なく、常に同じです。 |
| UserType | 操作を実行したユーザーの種類。 users. の種類の詳細については、UserType テーブルを参照してください。0 = Regular 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive、Exchange でユーザーが実行したイベントのパスポート一意 ID (PUID) が設定されます。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
| バージョン | 監査アクションを実行した Azure Information Protection クライアントのバージョン |
| 範囲 | スコープを指定します。 |
AipFileDeleted
| イベント | 説明 |
|---|---|
| PSComputerName | コンピューター名 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は false です。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 詳細については、 レコードの種類の完全な一覧を参照してください。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーのユーザー プリンシパル名 (UPN)。 たとえば、「 my_name@my_domain_name 」のように入力します。 注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| 操作 | 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 最も一般的な操作/アクティビティの説明。 SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| ObjectState | 現在のイベントの後の Object の状態。 |
| ApplicationId | アクティビティが発生し、GUID に表示されたアプリケーション。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。Outlook (電子メールの場合)、OWA (電子メール用)、Word (ファイル用)、Excel (ファイル用)、PowerPoint (ファイル用)。 |
| ProcessName | Office アプリケーションのプロセス名。 |
| プラットフォーム | アクティビティが発生したプラットフォーム。 たとえば、Windows です。 |
| DeviceName | イベントが記録されたデバイス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、 my_name@my_domain_name。 注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| ClientIP | アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの場合、IP アドレスはログに記録されません。ClientIP プロパティの値は null です。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。 |
| ID | 現在のレコードの GUID。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 ここでは、関連する MIP レコードの種類のみを一覧表示します。 |
| CreationTime | 監査ログ レコードが生成されたときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| Operation | ユーザーまたは管理アクティビティの名前。 最も一般的な操作/アクティビティの詳細については、「 監査ログを検索する」を参照してください。 |
| OrganizationId | 組織の Office 365 テナントの GUID。 この値は、organizationが発生するOffice 365 サービスに関係なく、常に同じです。 |
| UserType | 操作を実行したユーザーの種類。 users. の種類の詳細については、UserType テーブルを参照してください。0 = Regular 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive、Exchange でユーザーが実行したイベントのパスポート一意 ID (PUID) が設定されます。 |
| Workload | アクティビティが発生したOffice 365 サービスを格納します。 |
| バージョン | 監査アクションを実行した Azure Information Protection クライアントのバージョン |
| 範囲 | スコープを指定します。 |
AipHeartBeat
次の表に、AIP ハートビート イベントに関連する情報を示します。
| イベント | 説明 |
|---|---|
| ApplicationId | Microsoft Entra アプリケーション ID に対応します。 |
| ApplicationName | 操作を実行しているアプリケーションのアプリケーションフレンドリ名。 |
| CreationDate | ユーザーがアクティビティを実行したときにISO8601形式の協定世界時 (UTC) の日付と時刻。 |
| DataState | データの状態を指定します。 |
| DeviceName | ユーザーのデバイスの名前。 |
| ID | 認証するユーザーまたはサービスの ID。 |
| IsProtected | 保護されているかどうか: True/False |
| IsProtectedBefore | 変更前にコンテンツが保護されたかどうか: True/False |
| IsValid | ブール型 |
| 場所 | ユーザーのデバイスに関するドキュメントの場所。 使用可能な値は不明、localMedia、リムーバブル メディア、ファイル共有、クラウドです。 |
| ObjectState | オブジェクトの状態を指定します。 |
| 操作 | 監査ログの操作の種類。 ユーザーまたは管理者アクティビティの名前。 |
| PSComputerName | コンピューター名 |
| PSShowComputerName | Office 365で編集されたドキュメントの場合、値は False です。 |
| プラットフォーム | デバイス プラットフォーム (Win、OSX、Android、iOS)。 |
| ProcessName | MIP SDK をホストするプロセス。 |
| ProductVersion | 監査アクションを実行した Azure Information Protection クライアントのバージョン。 |
| ProtectionType | 保護の種類は、テンプレートまたはアドホックにすることができます。 |
| RecordType | ラベル アクションの値を表示します。 レコードによって示される操作の種類。 詳細については、レコードの種類の完全な一覧を参照してください。 |
| RunspaceId | Runspace は、コマンド ライン ユーザーが使用できるコマンド、プロバイダー、変数、関数、および言語要素の変更可能なコレクションを含む PowerShell の特定のインスタンスです。 |
| SensitiveInfoTypeData | 機密情報の種類データのデータ型を格納します。 |
| TemplateId | TemplateID パラメーターを使用して、特定のテンプレートを取得します。 Get-AipServiceTemplate コマンドレットは、Azure Information Protectionから既存または選択されているすべての保護テンプレートを取得します。 |
| UserId | レコードがログに記録されたアクション (Operation プロパティで指定) を実行したユーザーの UPN。たとえば、 my_name@my_domain_name。
注: システム アカウント (SHAREPOINT\system や NT AUTHORITY\SYSTEM など) によって実行されるアクティビティのレコードも含まれます。 SharePoint では、UserId プロパティに別の値が表示 app@sharepoint。 この値は、アクティビティを実行した "ユーザー" が、ユーザー、管理者、またはサービスに代わってorganization全体のアクション (SharePoint サイトや OneDrive アカウントの検索など) を実行するために必要なアクセス許可を SharePoint で持つアプリケーションであることを示します。 |
| UserType | 操作を実行したユーザーの種類。 users. の種類の詳細については、UserType テーブルを参照してください。0 = Regular 1 = 予約済み 2 = 管理 3 = DcAdmin 4 = System 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| UserKey | UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive、Exchange でユーザーが実行したイベントのパスポート一意 ID (PUID) が設定されます。 |
MicrosoftGraphDataConnectConsent 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ApplicationId | Edm.Guid | はい | アプリケーション ID。 |
| ApplicationVersion | Edm.String | はい | アプリケーションのバージョン。 |
| AppRegistrationTenantId | Edm.Guid | はい | アプリケーション登録テナント ID。 |
| 承認 | Edm.String | はい | 承認者のユーザー プリンシパル名。 |
| ApprovalUpdatedDateInUTC | Edm.Date | はい | 更新日時 (UTC)。 |
| ApprovalExpiryDateInUTC | Edm.Date | はい | UTC の有効期限日時。 |
| ApprovalValidDays | Edm.Int32 | はい | 承認が有効な更新からの日数。 |
| DestinationSinks | Edm.String | はい | 宛先シンク。 |
| DestinationTenantId | Edm.Guid | はい | 移行先のテナント ID。 |
| 理由 | Edm.String | 不要 | 操作を実行した管理者が提供する理由。 |
| 状態 | Edm.String | はい | 同意の状態。 |
| データセット | CollectionSelf。MGDCDataset | はい | この操作の一環として同意されたデータセットの詳細。 |
複合型 MGDCDataset
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DatasetName | Edm.String | はい | 同意操作のデータセットの名前。 |
| DatasetColumns | Edm.String | はい | 同意操作でのデータセットの列の一覧。 |
| DenyGroups | Edm.String | 不要 | 同意操作のデータセットの拒否グループの一覧。 |
| 範囲 | Edm.String | はい | 同意操作でのデータセットのスコープの種類。 使用可能な値は、 All、 List、 FilterUri です。 |
| ScopeFiltersUris | Edm.String | 不要 | 同意操作のデータセットのスコープ フィルター URI。 |
| ScopeList | Edm.String | 不要 | 同意操作のデータセットのスコープ グループ の一覧。 |
| PrivacyPolicyType | Edm.String | はい | 同意操作のデータセットのプライバシー ポリシーの種類。 使用可能な値は None と DenyList です。 |
スキーマのViva Glint
監査ログ検索で返されるイベントViva Glintは、このスキーマ (および共通スキーマ) を使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ClientUUID | Edm.String | Y | Viva Glint インスタンスのクライアント UUID。 |
| ImportType | Edm.String | N | データ インポート ソースの種類。 |
| DataDSRControl | Edm.String | N | このプラットフォーム内コントロールは、ユーザーがViva Glint プラットフォームから削除されたときにアンケート データを削除するかどうかを決定します。 |
| DiscardEmployeeIds | Edm.String | N | このプラットフォーム内コントロールは、以前に削除された従業員の従業員 ID を無視するか、Viva Glint プラットフォームに保持するかを指定します。 |
| JobName | Edm.String | N | 実行されたGlint データ アプリ ジョブの名前。 |
| ExtendedCompletionDate | Edm.Date | N | 閉じられたアンケート サイクルが延長された新しい日付。 |
| FeedBackComponentName | Edm.String | N | 360 フィードバック プログラム内の特定のコンポーネントの名前。 |
スキーマのViva Goals
監査ログ検索で返されるイベントViva Goalsは、このスキーマ (および共通スキーマ) を使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Edm.String | 不要 | Viva Goalsで発生したイベントまたはアクティビティの説明。 |
| Username | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
不要 | イベントをトリガーしたユーザーの名前。 |
| UserRole | Edm.String | 不要 | Viva Goalsでこのイベントをトリガーしたユーザーのロール。 この値は、ユーザーがorganization管理者または所有者であるかどうかを示します。 |
| OrganizationName | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
不要 | イベントがトリガーされたViva Goals内のorganizationの名前。 |
| OrganizationOwner | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
不要 | イベントが発生したViva Goalsのorganizationの所有者。 |
| OrganizationAdmins | Collection(Edm.String) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
不要 | イベントが発生したViva Goalsのorganizationの管理者。 organizationには 1 人以上の管理者が存在する場合があります。 |
| UserAgent | Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" |
不要 | イベントをトリガーしたユーザーのユーザー エージェント (ブラウザーの詳細)。 システムによって生成されたイベントの場合、UserAgent が存在しない可能性があります。 |
| ModifiedFields | Collection(Common.NameValuePair) | いいえ | 新しい値と古い値と共に変更された属性の一覧は、JSON として出力されます。 |
| ItemDetails | Collection(Common.NameValuePair) | いいえ | 変更されたオブジェクトに関する追加のプロパティ。 |
Microsoft Planner スキーマ
監査ログ検索で返される Microsoft Planner イベントでは、このスキーマが使用されます。
Microsoft Plannerは、共通スキーマの ObjectId と ResultStatus の定義を上書きします。 Microsoft Plannerの ObjectId 定義は、各 Microsoft Plannerのレコード型にバインドされ、個別に示されます。
Microsoft Plannerの ResultStatus は、次のように定義されます。
Enum: ResultStatus - 型: Edm.Int32
ResultStatus
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | 成功 | ユーザー要求は成功しました。 |
| 2 | 失敗 | 承認以外の理由により、ユーザー要求が失敗しました。 |
| 3 | AuthorizationFailure | 承認が失敗したため、要求されたユーザーは失敗しました。 |
Microsoft Plannerでは、次のレコード型を使用して Common スキーマを拡張します。
PlannerGoal レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求された目標の ID。 |
| PlanId | Edm.String | 目標を含むプランの ID。 |
PlannerPlan レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求されたプランの ID。 |
| ContainerType | 自己。ContainerType | プランに関連付けられているコンテナーの種類。 |
| ContainerId | Edm.String | プランに関連付けられているコンテナーの ID。 |
| SharedWithContainerId | Edm.String | プランへの共有アクセス権を持つコンテナーの ID。 |
| SharedWithContainerType | 自己。ContainerType | プランへの共有アクセス権を持つコンテナーの種類。 |
| SharedWithContainerAccessLevel | 自己。PlanAccessLevel | プランへの共有アクセス権を持つコンテナーに与えられるアクセス レベル。 |
Enum: ContainerType - 型 Edm.Int32
ContainerType
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Invalid | 要求されたプランが見つからない場合に使用されます。 |
| 2 | グループ | プランは Microsoft 3365 グループに関連付けられています。 |
| 3 | TeamsConversation | プランは Teams の会話に関連付けられています。 |
| 4 | OfficeDocument | プランは Office ドキュメントに関連付けられています。 |
| 5 | ロスター | プランは名簿グループに関連付けられています。 |
| 6 | Project | このプランは Microsoft Project から作成されます。 |
| 7 | User | プランはユーザーに関連付けられています。 |
| 8 | TeamsChannel | プランは Teams チャネルに関連付けられています。 |
| 10 | PlannerTask | プランは、Planner タスクに関連付けられています。 |
Enum: PlanAccessLevel - 型 Edm.Int32
PlanAccessLevel
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | ReadAccess | プランを読み取るアクセス。 |
| 2 | ReadWriteAccess | Plan への読み取りと書き込みにアクセスできます。 |
| 3 | FullAccess | プランの読み取り、書き込み、構成へのアクセス。 |
PlannerCopyPlan レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | コピーするプランの ID。 |
| OriginalPlanId | Edm.String | コピーするプランの ID。 ObjectId と同じです。 |
| OriginalContainerType | 自己。ContainerType | 元のプランに関連付けられているコンテナーの種類。 |
| OriginalContainerId | Edm.String | 元のプランに関連付けられているコンテナーの ID。 |
| NewPlanId | Edm.String | 新しいプランの ID。 操作が失敗した場合は Null。 |
| NewContainerType | 自己。ContainerType | 新しいプランに関連付けられているコンテナーの種類。 |
| NewContainerId | Edm.String | 新しいプランに関連付けられているコンテナーの ID。 |
PlannerTask レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求されたタスクの ID。 |
| PlanId | Edm.String | タスクを含むプランの ID。 |
PlannerRoster レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 要求された名簿の ID。 |
| MemberIds | Edm.String | メンバー ID のコンマ区切り文字列が名簿に変更されました。 |
PlannerGoalList レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 目標の一覧に対するビュー クエリの表現。 |
| GoalList | Edm.String | クエリされた目標 ID のコンマ区切り文字列。 |
PlannerPlanList レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | プランの一覧に対するビュー クエリの表現。 |
| PlanList | Edm.String | クエリされたプラン ID のコンマ区切りの文字列。 |
PlannerTaskList レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | タスクの一覧に対するビュー クエリの表現。 |
| TaskList | Edm.String | クエリされたタスク ID のコンマ区切りの文字列。 |
PlannerTenantSettings レコードの種類
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | JSON の元のテナント設定。 |
| TenantSettings | Edm.String | JSON の新しいテナント設定。 |
PlannerRosterSensitivityLabel レコード型
| プロパティ | 型 | 説明 |
|---|---|---|
| ObjectId | Edm.String | 秘密度ラベルの ID。 秘密度ラベルが削除された場合は Null。 |
| ロスター | Edm.String | 秘密度ラベルが変更される名簿の ID。 |
| AssignmentMethod | 自己。SensitivityLabelAssignmentMethod | 秘密度ラベルの割り当て方法。 |
Enum: SensitivityLabelAssignmentMethod - 型 Edm.Int32
SensitivityLabelAssignmentMethod
| 値 | メンバ名 | 説明 |
|---|---|---|
| 0 | Standard | 秘密度ラベルは自動的に適用されますが、特権ラベルの割り当てをオーバーライドすることはできません。 |
| 1 | 特権 | 秘密度ラベルは、ユーザーまたは管理者によって手動で適用されます。 |
| 2 | Auto | 秘密度ラベルは自動的に適用され、特権ラベルの割り当てをオーバーライドできます。 |
Microsoft Project for the web スキーマ
Microsoft Project For The Web では、次のレコードの種類を使用して 共通スキーマ が拡張されます。
ProjectForThewebProject レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectId | Edm.Guid | いいえ | 監査対象のプロジェクトの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 不要 | 追加情報。 |
ProjectForThewebTask レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectId | Edm.Guid | はい | 監査対象のプロジェクトの ID。 |
| TaskId | Edm.Guid | はい | 監査対象のタスクの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 不要 | 追加情報。 |
ProjectForThewebRoadmap レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RoadmapId | Edm.Guid | はい | 監査対象のロードマップの ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 不要 | 追加情報。 |
ProjectForThewebRoadmapItem レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RoadmapItemId | Edm.Guid | はい | 監査対象のロードマップ 項目の ID。 |
| AdditionalInfo | CollectionSelf。AdditionalInfo | 不要 | 追加情報。 |
複合型 AdditionalInfo
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EnvironmentName | Edm.String | 不要 | アクションが実行された環境の ID。 |
ProjectForThewebProjectSetting レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ProjectEnabled | Edm.Boolean | はい | Project for the webに設定された値 (1= 有効、0 が無効)。 |
ProjectForThewebRoadmapSetting レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ロードマップEnabled | Edm.Boolean | はい | ロードマップに設定された値 (1= が有効、0 が無効)。 |
ProjectForThewebAssignedToMeSetting レコードの種類
| プロパティ | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| AssignedToMeEnabled | Edm.Boolean | はい | AssignedToMe に設定された値 (1= が有効、0 が無効)。 |
パルス スキーマのViva
監査ログ検索で返されるパルス イベントVivaは、このスキーマ (および共通スキーマ) を使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventName | Edm.String | 不要 | Viva Pulse で発生したイベントまたはアクティビティの説明。 |
| PulseId | Edm.String | 不要 | パルス調査の ID。 |
| EventDetails | Collection(Common.NameValuePair) | いいえ | イベントに関するその他のプロパティ。 |
VivaPulse イベントの中には、EventDetails のさまざまなプロパティを記録するものもあります。 EventDetail に記録された各プロパティについては、表を参照してください。
| EventName | PropertName | Description |
|---|---|---|
| PulseReportShare | 受信者 | パルス調査を共有する受信者 ID の一覧。 |
| PulseCreate | 受信者 | 指定したパルス調査の参加者であるユーザー ID の一覧。 |
| PulseInvite | 受信者 | さらにパルスに招待されたユーザー ID の一覧。 |
| PulseTenantSettingsUpdate | TenantSettingName | 設定名を変更しました。 |
| PulseSubmit | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseExtendDeadline | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseCancel | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseCreateDraft | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseDeleteDraft | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseDeleteUserData | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseQuestionDeleted | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseDataExport | ExportType,ExportCompletedDate | ExportType は、データエクスポートが管理レベルか作成者レベルのエクスポートかを示します。ExportCompletedDate は、データエクスポートが完了したタイミングを指定します。 |
| PulseConfidentialConversationStarted | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseConfidentialConversationResponded | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
| PulseConfidentialConversationMessageDeleted | 該当なし | このイベントは、EventDetails にプロパティを記録しません。 |
Compliance Manager スキーマ
監査ログ検索で返されるコンプライアンス マネージャー イベントでは、このスキーマ (および共通スキーマ) も使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 詳細 | Collection(SettingsChange) | 不要 | Microsoft Purview コンプライアンス マネージャーで発生したイベントの説明。 |
さまざまな操作の詳細の SettingsChange プロパティによって取得される値については、次の表を参照してください。
| 操作 | PropertyName | Description |
|---|---|---|
| すべての操作 | Name | コンプライアンス マネージャー操作に関係する設定の名前。 |
| すべての操作 | NewValue | 新しい設定の新しい値。 |
| すべての操作 | OriginalValue | 新しい設定の元の値。 |
注:
- ロールの変更の場合、名前はロールの種類です。
- 監査レコードには、ユーザーにロールが割り当てられたり、ロールが取り消されたりするなど、イベントの変更が反映されます。
- 元の値と新しい値には、ロールが変更されたユーザーのメールが含まれます。
- ロールに変更がない場合、そのロールの種類は監査レコードに存在しません。
バックアップ ポリシー スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyID | Edm.String | はい | ポリシーの ID。 |
| EditMethodology | Edm.String | 不要 | ポリシーの作成方法/編集方法。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | いいえ | 追加される成果物の数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | いいえ | 削除される成果物の数。 |
| ServiceType | Edm.String | 不要 | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
タスク スキーマの復元
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| TaskID | Edm.String | はい | 復元タスクの ID。 |
| CreationMethodology | Edm.String | 不要 | 復元タスクの作成/編集方法。 |
| CountOfArtifactsBeingAdded | Edm.Int32 | いいえ | 追加される成果物の数。 |
| CountOfArtifactsBeingRemoved | Edm.Int32 | いいえ | 削除される成果物の数。 |
| ServiceType | Edm.String | 不要 | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
アイテム スキーマの復元
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RestoreTime | Edm.DateTime | はい | アイテムの復元先の時刻。 |
| RestoreLocationType | Edm.String | はい | アイテムの復元先の場所の種類。 |
| RestoreLocation | Edm.String | 不要 | アイテムが復元される場所。 |
| TaskID | Edm.String | はい | 復元タスクの ID。 |
| BackupItemID | Edm.String | はい | 復元するバックアップ項目の ID。 |
| ProtectionUnitID | Edm.String | はい | 復元される項目の保護ユニット ID。 |
| SuccessStatus | Edm.String | 不要 | 復元操作が成功したかどうか。 |
| BackupItemType | Edm.String | はい | バックアップ項目がサイト/アカウント/メールボックスであるかどうか。 |
| ServiceType | Edm.String | 不要 | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
バックアップ項目スキーマ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyID | Edm.String | はい | 項目が追加されるポリシーのポリシー ID。 |
| ItemID | Edm.String | はい | バックアップ項目の ID。 |
| ProtectionUnitID | Edm.String | はい | バックアップするアイテムの保護ユニット ID。 |
| ResultStatus | Edm.String | 不要 | 復元操作が成功したかどうか。 |
| BackupItemType | Edm.String | はい | バックアップ項目がサイト/アカウント/メールボックスであるかどうか。 |
| EditMethodology | Edm.String | 不要 | バックアップ項目を追加する方法。 |
| ServiceType | Edm.String | 不要 | SharePoint、Exchange、OneDriveForBusiness ポリシーのいずれであるか。 |
クラウド ポリシー サービス スキーマ
Cloud Policy サービスに関連するイベントの監査レコードは、次のように Common スキーマを拡張します。
PolicyConfigChangeAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ConfigId | Edm.String | 不要 | ポリシー構成の ID |
| ConfigName | Edm.String | 不要 | ポリシー構成の指定された名前 |
| 説明 | Edm.String | 不要 | ポリシー構成に関する説明 |
| ConfigScope | 自己。CPSScope | 不要 | ポリシー構成のスコープ |
| グループ | Collection(Common.NameValuePair) | いいえ | 構成済みグループの一覧 |
| 優先度 | Edm.Int32 | いいえ | ポリシー構成の優先度値 |
| ポリシー | Collection(Self.ポリシー) | 不要 | 構成されたポリシー設定の一覧 |
| 優先 順位 | Collection(Self.PrioritySetting) | 不要 | ポリシー構成とその優先順位の値の一覧 |
Enum: CPSScope - 型: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | Tenant | ポリシー構成のスコープは、テナント内のすべてのユーザーです。 |
| 2 | 匿名 | ポリシー構成のスコープは匿名ユーザーです。 |
| 3 | User | ポリシー構成のスコープは、構成済みのMicrosoft Entraグループ内のユーザーに限定されます。 |
複合型ポリシー
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PolicyId | Edm.String | 不要 | ポリシー設定の ID |
| PolicyName | Edm.String | 不要 | ポリシー設定の名前 |
| 値 | Edm.String | 不要 | ポリシー設定の構成済み値 |
| Settings | Collection(Self.設定) | 不要 | 構成済みの設定 |
複合型の設定
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| SettingId | Edm.String | 不要 | 設定の ID |
| SettingName | Edm.String | 不要 | 設定の名前 |
| 値 | Edm.String | 不要 | 設定値 |
複合型 PrioritySetting
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ConfigId | Edm.String | 不要 | ポリシー構成の ID |
| ConfigName | Edm.String | 不要 | ポリシー構成の指定された名前 |
| 値 | Edm.String | 不要 | ポリシー構成の構成済みの優先順位 |
クラウド更新プロファイル構成スキーマ
Cloud Update プロファイル構成関連イベントは、次のレコードの種類で共通スキーマを拡張します。
CloudUpdateProfileConfigAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ProfileName | Edm.String | はい | プロファイルの名前 |
| ProfileState | 自己。ProfileState | 不要 | プロファイルの状態 |
| 期限 | Edm.Int32 | いいえ | 構成された期限 |
| UpdateValidationState | 自己。UpdateValidationState | 不要 | 更新の検証の状態 |
| 波 | Collection(Self.Wave) | 不要 | 構成済みのウェーブを含むコレクション |
| WaveDelay | Edm.Int32 | いいえ | ウェーブ間の遅延を設定する |
Enum: ProfileState - 型: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | 有効 | プロファイルは有効でアクティブです。 |
| 2 | 無効 | プロファイルが無効になっています。 |
| 3 | 一時停止 | プロファイルは有効ですが、一時停止状態です。 |
Enum: UpdateValidationState - 型: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | 有効 | 更新の検証が有効になっています。 |
| 2 | 無効 | 更新の検証が無効になっています。 |
複合型ウェーブ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 名前 | Edm.String | 不要 | ウェーブの名前 |
| 型 | 自己。WaveType | 不要 | 管理者または自動キャッチオールウェーブによって指定されたウェーブ |
| グループ | Collection(Common.NameValuePair) | いいえ | このウェーブ用に構成されたグループのコレクション |
Enum: WaveType - 型: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | グループ | Wave は、グループを使用して管理者によって構成されました。 |
| 2 | RemainingDevices | 前のウェーブでカバーされていないプロファイルのスコープ内のすべてのデバイスを含む、自動的に作成されたウェーブ。 |
Cloud Update テナント構成スキーマ
Cloud Update テナント構成関連イベントは、次のレコードの種類で共通スキーマを拡張します。
CloudUpdateTenantConfigAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ProfileExclusionWindows | Collection(Self.ExclusionWindow) | 不要 | 構成された除外ウィンドウのコレクション |
| ExclusionList | Collection(Common.NameValuePair) | いいえ | 構成された除外のコレクション |
| TAK | Edm.String | 不要 | テナント関連付けキー |
複合型の除外ウィンドウ
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 名前 | Edm.String | 不要 | 指定された除外ウィンドウの名前 |
| StartDate | Edm.Date | いいえ | 除外ウィンドウの開始日 |
| EndDate | Edm.Date | いいえ | 除外ウィンドウの終了日 |
| グループ | Collection(Common.NameValuePair) | いいえ | 除外ウィンドウのスコープが設定されているグループのコレクション |
Cloud Update デバイス スキーマ
Cloud Update デバイス関連のイベントは、次のレコードの種類で共通スキーマを拡張します。
CloudUpdateDeviceConfigAuditRecord
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RollbackDevices | 自己。ロールバック | 不要 | ロールバックがトリガーされる |
| ChannelChangeDevices | 自己。ChannelChange | 不要 | トリガーされたチャネルの変更 |
複合型のロールバック
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| RollbackType | 自己。RollbackType | 不要 | ロールバックの種類 |
| RollbackBuildNumber | Edm.String | 不要 | ロールバック先のビルド番号 |
| デバイス | Collection(Edm.String) | いいえ | ロールバックの対象となるデバイスのコレクション |
Enum: RollbackType - 型: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | SpecificDevices | ロールバックは、デバイスの特定のサブセットを対象としていました。 |
| 2 | AllDevices | ロールバックは、プロファイルのスコープ内のすべてのデバイスを対象としていました。 |
複合型 ChannelChange
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ChannelChange | 自己。チャンネル | 不要 | 対象となる更新チャネル |
| デバイス | Collection(Edm.String) | いいえ | 対象となるデバイスのコレクション |
| グループ | Collection(Common.NameValuePair) | いいえ | ターゲット グループのコレクション |
Enum: Channel - Type: Edm.Int32
| 値 | メンバ名 | 説明 |
|---|---|---|
| 1 | MonthlyEnterpriseChannel | 月次エンタープライズ チャネル |
| 2 | CurrentChannel | 最新チャネル |
Microsoft Entraリスク検出スキーマ
監査ログ検索で返されるリスク検出イベントMicrosoft Entraは、このスキーマ (および共通スキーマ) を使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| アクティビティ | Edm.String | 不要 | リスクが検出されたアクティビティの種類。 |
| ActivityDateTime | Edm.Date | いいえ | 危険なアクティビティが発生した協定世界時 (UTC) の日付と時刻。 |
| AdditionalInfo | Edm.String | 不要 | 検出されたリスクに関する JSON 形式の追加情報。 |
| CorrelationId | Edm.String | 不要 | リスク検出に関連付けられたサインイン アクティビティを関連付けるために使用できる識別子。 |
| DetectedDateTime | Edm.Date | いいえ | リスクが検出された協定世界時 (UTC) の日付と時刻。 |
| DetectionTimingType | Edm.String | 不要 | 検出されたリスクのタイミングの種類を示します。 使用可能な値は、リアルタイムまたはオフラインです。 |
| LastUpdatedDateTime | Edm.Date | いいえ | リスク検出が最後に更新されたときの協定世界時 (UTC) の日付と時刻。 |
| 場所 | 自己。LocationType | 不要 | サインイン アクティビティが検出された場所に関する情報。 |
| RequestId | Edm.String | 不要 | リスクが検出されたサインイン アクティビティの要求 ID を示します。 リスク検出がサインインに関連付けられていない場合、このプロパティは null です。 |
| RiskDetail | Edm.String | 不要 | 検出されたリスクの詳細。 |
| RiskEventType | Edm.String | 不要 | リスクが検出されたイベントの種類。 |
| RiskId | Edm.String | 不要 | リスク検出の一意の識別子。 |
| RiskLevel | Edm.String | 不要 | 検出されたリスクのレベル。 |
| RiskState | Edm.String | 不要 | リスク検出にリンクされた危険なユーザーまたはサインインのリスク状態。 |
| Source | Edm.String | 不要 | 検出されたリスクの原因。 |
| TokenIssuerType | Edm.String | 不要 | リスク検出にリンクされたサインインのトークン発行者の種類。 |
| userDisplayName | Edm.String | 不要 | リスクが検出されたユーザーのユーザー プリンシパル名 (UPN)。 |
LocationType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| 都市 | Edm.String | 不要 | サインインが実行された都市。 |
| CountryOrRegion | Edm.String | 不要 | サインインが実行された国または地域。 |
| GeoCoordinates | 自己。GeoCoordinatesType | 不要 | サインインが実行された場所の地理座標。 |
| 状態 | Edm.String | 不要 | サインインが実行された状態。 |
GeoCoordinatesType 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| Altitude | Edm.String | 不要 | サインインが実行された場所の高度。 |
| Latitude | Edm.String | 不要 | サインインが実行された場所の緯度。 |
| Longitude | Edm.String | 不要 | サインインが実行された場所の経度。 |
Microsoft Edge WebContentFiltering スキーマ
監査ログ検索で返される Microsoft Edge WebContentFiltering イベントでは、このスキーマ (および共通スキーマ) が使用されます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| URLPath | Edm.String | はい | 参照された URL。 |
| DomainURL | Edm.String | はい | 参照されたドメイン URL。 |
| カテゴリ | Edm.String | はい | 参照された URL のカテゴリ。 |
Microsoft 365 Copilot スケジュールされたプロンプト スキーマ
監査ログ検索で返される Microsoft 365 Copilot スケジュールされたプロンプト イベントでは、このスキーマ (および共通スキーマ) も使用されます。
Copilot のスケジュールされたプロンプトを使用すると、ユーザーは Copilot プロンプトを自動化できるため、Microsoft 365 Copilot Chatで定義されたスケジュールで実行できます。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| ScenarioType | Edm.String | はい | オートメーションの名前。 |
| PromptText | Edm.String | 不要 | LLM によって実行される Copilot プロンプト。 |
| AutomationId | Edm.String | はい | Copilot プロンプトの各実行に関連するすべてのアクティビティを関連付ける一意の識別子。 |
| TriggerMode | Edm.String | 不要 | Cron 形式で表示される Copilot プロンプトが実行されるタイミングのスケジュール。 |
ディレクトリ スキーマのMicrosoft Places
監査ログ検索で返されるディレクトリ イベントMicrosoft Places、このスキーマ (および共通スキーマ) も使用します。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| PlaceType | Edm.String | 不要 | 要求によって作成/更新/削除される場所アイテムの型。 たとえば、"Building"、"Room"、"Desk"などです。 |
| パラメーター | Collection(Common.NameValuePair) | いいえ | Operations プロパティで示されているコマンドレットで使用された、すべてのパラメーターの名前と値。 |
| ModifiedProperties | Collection(Common.ModifiedProperty) | いいえ | プロパティには、変更されたプロパティの名前、変更されたプロパティの新しい値、および変更されたオブジェクトの以前の値が含まれます。 |
Microsoft Sentinel データ レイクスキーマとグラフ スキーマ
監査ログ検索で返される次の Microsoft Sentinel イベントでは、これらのスキーマ (および共通スキーマ) が使用されます。
SentinelNotebookOnLake
監査ログ アクティビティについては、「ノートブック アクティビティのMicrosoft Sentinel データ レイク」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventTime | Edm.Date | はい | Spark Notebook の実行が送信または開始されたときのタイムスタンプ。 |
| 計算 | Edm.String | 不要 | [コンピューティング] が選択されています。 |
| DatabaseName | Edm.String | 不要 | コマンドが実行されたワークスペース。 |
| TableName | Edm.String | 不要 | テーブルの名前。 |
| SessionDurationInSecs | Edm.String | はい | セッションの合計期間。 |
| SessionStartTime | Edm.Date | いいえ | セッションの開始時刻。 |
| SessionEndTime | Edm.Date | いいえ | セッションの終了時刻。 |
| KernalId | Edm.Guid | はい | Jupyter KernelId は、Notebook セッションを一意に識別します。 |
| SessionId | Edm.Guid | いいえ | Spark セッションで実行されるさまざまなコード ブロックの関連付け ID。 |
| インターフェイス | Edm.String | はい | ノートブックが実行された場所からのインターフェイス。 |
SentinelJob
監査ログ アクティビティについては、「Microsoft Sentinel データ レイク ジョブ アクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventTime | Edm.Date | はい | ジョブの操作が開始されたときのタイムスタンプ。 |
| Operation | Edm.String | はい | ジョブ操作名。 |
| ジョブの種類 | Edm.String | はい | Notebook、KQL などのジョブの種類。 |
| ジョブ ID | Edm.Guid | はい | ジョブの一意識別子。 |
| ジョブ名 | Edm.String | はい | ジョブの名前。 |
| 計算 | Edm.String | 不要 | ジョブのコンピューティング構成。 |
| Schedule | Edm.String | 不要 | ジョブに対して構成されている場合は、スケジュールの詳細。 |
| 実行 ID | Edm.Guid | いいえ | 特定のジョブ実行インスタンスの ID。 |
| JobRunStatus | Edm.String | 不要 | ジョブ実行の状態。 |
| ログ | Edm.String | 不要 | ノートブックの実行からのログ。 |
| JobExecutionDurationInSecs | Edm.Int64 | いいえ | ジョブの実行にかかる時間。 |
| JobTotalDurationInSecs | Edm.Int64 | いいえ | セッションを含むジョブ操作の合計期間。 |
| JobStartTime | Edm.Date | いいえ | ジョブの開始時刻。 |
| JobEndTime | Edm.Date | いいえ | ジョブの終了時刻。 |
| インターフェイス | Edm.String | はい | ジョブ操作が実行された場所からのインターフェイス。 |
| DatabasesRead | Collection(Edm.String) | いいえ | ジョブによって読み取られたワークスペースの一覧。 |
| DatabasesWrite | Collection(Edm.String) | いいえ | ジョブによって書き込まれたワークスペースの一覧 |
| TablesRead | Collection(Edm.String) | いいえ | ジョブによって読み取られたテーブルの一覧。 |
| TablesWrite | Collection(Edm.String) | いいえ | ジョブによって書き込まれたテーブルの一覧。 |
| クエリ | Edm.String | 不要 | ジョブで実行される KQL クエリまたはノートブック。 |
SentinelKQLOnLake
監査ログ アクティビティについては、「KQL アクティビティのMicrosoft Sentinel データ レイク」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventTime | Edm.Date | はい | KQL クエリ実行のタイムスタンプ。 |
| DatabaseName | Collection(Edm.String) | はい | KQL クエリが実行されたワークスペース。 |
| ResultTableCount | Edm.Int64 | いいえ | 出力テーブル数。 |
| QueryResponse | Edm.String | はい | KQL クエリの実行からの応答。 |
| TotalRows | Collection(Edm.Int64) | はい | クエリ実行から返される合計行数。 複数のクエリが一度に実行された場合の値の一覧。 |
| ComponentFault | Edm.String | 不要 | クエリが失敗する原因となったエンティティ。 たとえば、クエリ結果が大きすぎる場合、ComponentFault は 'Client' です。 内部エラーが発生した場合、ComponentFault は 'Server' です。 |
| FailureReason | Edm.String | 不要 | KQL クエリが失敗した場合、失敗の理由。 |
| ExecutionDuration | Edm.Int64 | はい | クエリ実行にかかる時間 (ミリ秒単位)。 |
| TotalCPU | Edm.Int64 | はい | 実行の合計 CPU 時間。 |
| MemoryPeak | Edm.Int64 | はい | KQL クエリ実行のメモリ ピーク。 |
| インターフェイス | Edm.String | はい | KQL クエリが実行されたインターフェイス。 |
| TablesRead | Collection(Edm.String) | はい | KQL クエリで読み取られたテーブルの一覧。 |
| QueryText | Edm.String | はい | スクラブされた形式で実行された KQL クエリ。 |
SentinelLakeOnboarding
監査ログ アクティビティについては、「Microsoft Sentinel データ レイクオンボード アクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| BillingAzureSubscriptionId | Edm.String | 不要 | Sentinel Data Lake 課金用に選択された Azure サブスクリプション。 |
| BillingAzureResourceGroupName | Edm.String | 不要 | Sentinel Data Lake 課金用に選択された Azure リソース グループ。 |
| TenantId | Edm.String | 不要 | レイクのセットアップまたは更新に関連付けられているテナント ID。 |
| ProvisioningStatus | Edm.String | 不要 | レイクのプロビジョニングの状態。 |
SentinelLakeDataOnboarding
| プロパティ名 | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| DataOnboardingAtSetup | Edm.String | 不要 | Sentinel Data Lake のオンボード中に取り込まれたデータ セット。 |
| テーブル | Collection(Edm.String) | いいえ | Sentinel データ レイクのオンボード中に取り込まれたテーブル名の一覧。 |
| SubscriptionsEnabled | Collection(Edm.String) | いいえ | ARG インジェストが有効になっているサブスクリプションの一覧。 |
| DataOnboardingStatus | Edm.String | 不要 | 操作の状態。 |
SentinelAITool
監査ログ アクティビティについては、「 Microsoft Sentinel AI ツールのアクティビティ」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventOccurenceTime | Edm.Date | はい | 操作のタイムスタンプ。 |
| ToolID | Edm.Guid | はい | AI ツールの識別子。 |
| ToolName | Edm.String | はい | AI ツールの名前。 |
| インターフェイス | Edm.String | はい | AI ツールが実行された場所からのインターフェイス。 |
| InputParameters | Edm.String | 不要 | ツールに指定されたパラメーター。 |
| DatabasesRead | Collection(Edm.String) | いいえ | 実行時に読み取られたデータベースの一覧。 |
| TablesRead | Collection(Edm.String) | いいえ | 実行時に読み取られたテーブルの一覧。 |
| APICalled | Collection(Edm.String) | いいえ | AI ツールによって呼び出される API。 |
| FailureReason | Edm.String | 不要 | 実行が失敗した場合、失敗の理由。 |
| TotalRows | Collection(Edm.Int64) | 不要 | 返される合計行数。 |
| DataScanned | Edm.Int64 | いいえ | スキャンされた GB の合計数。 |
| ExecutionDuration | Edm.Int64 | いいえ | クエリ実行にかかる時間 (ミリ秒単位)。 |
| TotalCpuHours | Edm.Int64 | いいえ | 実行の合計 CPU 時間。 |
| TotalSCUHours | Edm.Int64 | いいえ | 実行で使用される SCU の合計。 |
SentinelGraph
監査ログ アクティビティについては、「[Microsoft Sentinel Graph アクティビティ]/purview/audit-log-activities#microsoft-sentinel-graph-activities」を参照してください。
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| EventTime | Edm.Date | はい | 操作のタイムスタンプ。 |
| GraphName | Edm.String | はい | グラフ インスタンスの名前。 |
| 操作 | Edm.string | はい | グラフに対して実行されたアクション。 |
| OperationInput | Edm.string | いいえ | グラフ アクションのパラメーター。 |
| GraphQuery 統計 | Edm.string | いいえ | 応答メタデータのコレクション。 |
| GraphQuery の状態 | Edm.String | 不要 | グラフ上のクエリまたはアクションの応答。 |
| インターフェイス | Edm.String | はい | グラフ アクションが実行された場所からのインターフェイス。 |
Purview オンデマンド分類スキーマ
監査ログ検索で返される Microsoft Purview オンデマンド分類イベントでは、このスキーマが使用されます。
DataScanClassification スキーマ
DataScanClassification 監査スキーマは、ファイルが SharePoint または OneDrive のオンデマンド分類スキャンの一部として機密性の高いコンテンツについて評価されたときに、アクティビティをキャプチャしてログに記録するように設計されています。
| パラメーター | 型 | 必須 | 説明 |
|---|---|---|---|
| ClassificationInfo | Collection(Self.SensitiveInformation) | いいえ | スキャン後にファイルに含まれる機密情報の詳細。 |
| PolicyId | Edm.Guid | はい | オンデマンド分類スキャンの guid。 |
| ClassificationMode | Edm.Int32 | はい | 特定の分類子またはすべてのスキャンが実行されたかどうか。 |
| ClassificationPosture | Edm.Int32 | はい | スキャンの前後に検出された機密情報の比較。 |
| ClassificationResult | Edm.Int32 | はい | ファイル分類の状態。 |
| DocumentMetaData | 自己。DocumentMetadata | 不要 | 機密情報を含む SharePoint または OneDrive のドキュメントに関するメタデータについて説明します。 |
| PreviousClassificationInfo | Collection(Self.SensitiveInformation) | いいえ | スキャン後にファイルに含まれる機密情報の詳細。 |
DocumentMetaData 複合型
| パラメーター | 型 | 必須かどうか? | 説明 |
|---|---|---|---|
| itemCreationTime | Edm.Date | はい | イベントのログの記録日時に関する UTC の Datetimestamp。 |
| SiteCollectionGuid | Edm.Guid | はい | サイト コレクションの GUID。 |
| SiteCollectionUrl | Edm.String | はい | SharePoint サイトの名前。 |
| FileName | Edm.String | はい | パスの名前。 |
| FileOwner | Edm.String | はい | ドキュメントの所有者。 |
| FileOwnerEmail | Edm.String | はい | ドキュメント所有者のアドレスをEmailします。 |
| FilePathUrl | Edm.String | はい | 文書の URL。 |
| DocumentLastModifier | Edm.String | はい | 最後にドキュメントを変更したユーザー。 |
| UniqueId | Edm.String | はい | ファイルを識別する GUID。 |
| LastModifiedTime | Edm.DateTime | はい | ドキュメントの最終更新日時に関する UTC の Timestamp。 |
Enum: ClassificationMode - 型: Edm.Int32
| 値 | 説明 |
|---|---|
| 1 | テナントで構成されたすべての分類子に対して評価されたファイル。 |
| 2 | スキャンで指定された選択した分類子に対してのみ評価されるファイル。 |
Enum: ClassificationPosture - 型: Edm.Int32
| 値 | 説明 |
|---|---|
| 1 | ファイルがスキャンの前後の分類子と一致しませんでした。 |
| 2 | スキャン後に新しい分類子が見つかりませんでした。 |
| 3 | スキャン前にファイルが分類子と一致しませんでした。 スキャン後にファイルに見つかった 1 つ以上の分類子。 |
| 4 | スキャン前にファイルが一部の分類子と一致しました。 1 つ以上の分類子が一致しなくなった |
| 5 | スキャン前にファイルが一部の分類子と一致しました。 スキャン後の既存の分類子数または信頼度レベルの新しい分類子または変更。 |
Enum: ClassificationResult - Type: Edm.Int32
| 値 | 説明 |
|---|---|
| 1 | ファイル分類が正常に完了しました。 |
| 2 | ファイル分類がエラーで完了しました。 1 つ以上の分類子の評価に失敗しました。 |
| 3 | ファイル分類に失敗しました。 |