Office 365-Verwaltungsaktivitäts-API-Schema

Das Office 365-Verwaltungsaktivitäts-API-Schema wird als Datendienst auf zwei Ebenen bereitgestellt:

  • Allgemeines Schema. Die Schnittstelle für den Zugriff auf wichtige Office 365-Überwachungskonzepte wie z. B. Datensatztyp, Zeitpunkt der Erstellung, Benutzertyp und Aktion sowie für die Bereitstellung wichtiger Dimensionen (z. B. Benutzer-ID), Speicherortspezifikationen (z. B. Client-IP-Adresse) und dienstspezifischer Eigenschaften (z. B. Objekt-ID). Es werden konsistente und einheitliche Ansichten für Benutzer eingerichtet, um alle Office 365-Überwachungsdaten in wenigen Ansichten auf oberster Ebene mit den entsprechenden Parametern zu extrahieren, und es entsteht ein festes Schema für alle Datenquellen, was die Kosten des Lernens erheblich reduziert. Das allgemeine Schema wird aus den Produktdaten jedes Produktteams abgeleitet, z. B. Exchange, SharePoint, Azure Active Directory, Yammer und OneDrive for Business. Das Feld "Objekt-ID" kann von Microsoft 365-Produktteams um dienstspezifische Eigenschaften erweitert werden.

  • Dienstspezifisches Schema. Baut auf das allgemeine Schema auf, um eine Reihe von Microsoft 365-dienstspezifischen Attributen bereitzustellen; z. B. SharePoint-Schema, OneDrive for Business-Schema und Exchange-Administrator-Schema.

Office 365-Verwaltungs-API-Schemas

Dieser Artikel enthält Details zum allgemeinen Schema sowie dienstspezifische Schemas. In der folgenden Tabelle werden die verfügbaren Schemas beschrieben.

Name des Schemas Beschreibung
Allgemeines Schema Die Ansicht, um den Datensatztyp, die Benutzer-ID, die Client-IP, den Benutzertyp und die Aktion zusammen mit grundlegenden Dimensionen wie Benutzereigenschaften (z. B. Benutzer-ID), Speichereigenschaften (z. B. Client-IP) und dienstspezifischen Eigenschaften (z. B. Objekt-ID) zu extrahieren.
Copilot-Schema Zu den Ereignissen gehören, wie und wann mit Copilot zu interagieren ist, in welchem Microsoft 365-Dienst die Aktivität stattgefunden hat, sowie Verweise auf die in Microsoft 365 gespeicherten Dateien, auf die während der Interaktion zugegriffen wurde.
SharePoint-Basisschema Das allgemeine Schema wird mit den Eigenschaften für alle SharePoint-Überwachungsdaten erweitert.
SharePoint-Dateivorgänge Das SharePoint-Basisschema wird mit den Eigenschaften für den Dateizugriff und die Dateibearbeitung in SharePoint erweitert.
SharePoint-Listenvorgänge Erweitert das SharePoint-Basisschema um die Eigenschaften, die für Interaktionen mit Listen und Listenelementen in SharePoint Online spezifisch sind.
SharePoint-Freigabeschema Das SharePoint-Basisschema wird mit den Eigenschaften für die Dateifreigabe erweitert.
SharePoint-Schema Das SharePoint-Basisschema wird mit den für SharePoint spezifischen Eigenschaften erweitert, allerdings nicht in Bezug auf Dateizugriff und -bearbeitung.
Projektschema Das SharePoint-Basisschema wird mit den projektspezifischen Eigenschaften erweitert.
Exchange-Verwaltungsschema Das allgemeine Schema wird mit den für alle Exchange-Verwaltungsüberwachungsdaten spezifischen Eigenschaften erweitert.
Exchange-Postfachschema Das allgemeine Schema wird mit den für alle Exchange-Postfachüberwachungsdaten spezifischen Eigenschaften erweitert.
OWA-Authentifizierungsschema Erweitert das allgemeine Schema um die Eigenschaften, die für OWA-Authentifizierungsdaten spezifisch sind.
Microsoft Entra ID Basisschema Erweitert das allgemeine Schema um die Eigenschaften, die für alle Microsoft Entra Überwachungsdaten spezifisch sind.
Microsoft Entra Konto-Anmeldeschema Erweitert das Microsoft Entra ID Basisschema um die Eigenschaften, die für alle Microsoft Entra Anmeldeereignisse spezifisch sind.
Microsoft Entra ID Secure STS-Anmeldeschema Erweitert das Microsoft Entra ID Basisschema um die Eigenschaften, die für alle Microsoft Entra ID Secure Token Service (STS)-Anmeldeereignisse spezifisch sind.
Microsoft Entra Schema Erweitert das allgemeine Schema um die Eigenschaften, die für alle Microsoft Entra Überwachungsdaten spezifisch sind.
DLP-Schema Das allgemeine Schema wird mit den für Verhinderung von Datenverlust-Ereignisse spezifischen Eigenschaften erweitert.
Security & Compliance Center-Schema Das allgemeine Schema wird mit den für alle Security and Compliance Center-Ereignisse spezifischen Eigenschaften erweitert.
Security &Compliance-Warnung-Schema Das alle Schema wird mit den für alle Office 365-Security & Compliance-Warnungen spezifischen Eigenschaften erweitert.
Yammer-Schema Das allgemeine Schema wird mit den für alle Yammer-Ereignisse spezifischen Eigenschaften erweitert.
Rechenzentrum-Sicherheitsbasis-Schema Erweitert das allgemeine Schema mit den für alle Rechenzentrum-Sicherheitsüberwachungsdaten spezifischen Eigenschaften.
Rechenzentrum-Sicherheits-Cmdlet-Schema Das Datenzentrum-Sicherheitsbasis-Schema wird mit den für alle Rechenzentrum-Sicherheits-Cmdlet-Überwachungsdaten spezifischen Eigenschaften erweitert.
Microsoft Teams-Schema Das allgemeine Schema wird mit den für alle Microsoft Teams-Ereignisse spezifischen Eigenschaften erweitert.
Microsoft Defender für Office 365 und Threat Investigation and Response-Schema Das allgemeine Schema wird mit den für Defender für Office 365 spezifischen Eigenschaften und Daten von Threat Investigation and Response erweitert.
Übermittlungsschema Das allgemeine Schema wird mit den für Benutzer- und Administratorübermittlungen in Microsoft Defender für Office 365 spezifischen Eigenschaften erweitert.
Schema "Automatisierte Untersuchungs- und Reaktionsereignisse" Das allgemeine Schema wird um die für ‚Automatisierte Untersuchungs- und Reaktionsereignisse‘ (AIR, Automated investigation and response) in Office 365 spezifischen Eigenschaften erweitert. Ein Beispiel dazu finden Sie im Tech Community-Blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API (Verbessern der Effektivität Ihres SOC mit Microsoft Defender für Office 365 und der O365 Management-API).
Nachrichtenschutzereignis-Schema Das allgemeine Schema wird mit den für Ereignisse in Exchange Online Protection und Microsoft Defender für Office 365 spezifischen Eigenschaften erweitert.
Power BI-Schema Erweitert das allgemeine Schema um die für alle Power BI-Ereignisse spezifischen Eigenschaften.
Dynamics 365-Schema Das allgemeine Schema wird mit den für Dynamics 365-Ereignisse spezifischen Eigenschaften erweitert.
Workplace Analytics-Schema Das allgemeine Schema wird mit den für alle Microsoft Workplace Analytics-Ereignisse spezifischen Eigenschaften erweitert.
Quarantäne-Schema Erweitert das allgemeine Schema um die für alle Quarantäne-Ereignisse spezifischen Eigenschaften.
Microsoft Forms-Schema Das allgemeine Schema wird mit den für alle Microsoft Forms-Ereignisse spezifischen Eigenschaften erweitert.
MIP-Bezeichnungsschema Erweitert das allgemeine Schema um die für Vertraulichkeitsbezeichnungen spezifischen Eigenschaften, die manuell oder automatisch auf E-Mail-Nachrichten angewendet werden.
Schema der Ereignisse des Portals für verschlüsselte Nachrichten Erweitert das allgemeine Schema mit den Eigenschaften, die für das Portal für verschlüsselte Nachrichten spezifisch sind, auf das externe Empfänger zugreifen.
Exchange-Schema der Kommunikationscompliance Erweitert das allgemeine Schema um die Eigenschaften, die speziell für das Kommunikationscompliance-Modell anstößiger Sprache gelten.
Berichtsschema Das allgemeine Schema wird mit den für alle Ereignisse spezifischen Eigenschaften erweitert.
Compliance-Konnektor-Schema Erweitert das allgemeine Schema mit den Eigenschaften, die für das Importieren von Nicht-Microsoft-Daten spezifisch sind, mithilfe von Datenkonnektoren.
SystemSync-Schema Erweitert das allgemeine Schema um die Eigenschaften, die für über SystemSync erfasste Daten spezifisch sind.
Viva Goals Schema Erweitert das allgemeine Schema um die Eigenschaften, die für alle Viva Goals Ereignisse spezifisch sind.
Microsoft Planner Schema Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft Planner Ereignisse spezifisch sind.
Microsoft Project für das Web Schema Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft Project For The-Webereignisse spezifisch sind.
Viva Pulse-Schema Erweitert das Allgemeine Schema um die Eigenschaften, die für alle Viva Pulse-Ereignisse spezifisch sind.
Compliance-Manager-Schema Erweitert das allgemeine Schema um die Eigenschaften, die für Compliance Manager-Ereignisse spezifisch sind.
Sicherungsrichtlinienschema Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Richtlinien spezifisch sind.
Wiederherstellungstaskschema Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Wiederherstellungsaufgaben spezifisch sind.
Sicherungselementschema Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Artefakte spezifisch sind.
Elementschema wiederherstellen Erweitert das allgemeine Schema um die Eigenschaften, die für Microsoft 365-Backup Wiederherstellungselemente spezifisch sind.

Allgemeines Schema

EntityType Name: AuditRecord

Parameter Typ Erforderlich? Beschreibung
Id Kombination aus GUIDEdm.Guid Ja Der eindeutige Bezeichner eines Überwachungsdatensatzes.
RecordType Self.AuditLogRecordType Ja Der vom Datensatz angegebene Vorgangstyp. In der Tabelle AuditLogRecordType finden Sie weitere Informationen zu den Typen von Überwachungsprotokolldatensätzen.
CreationTime Edm.Date Ja Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als der Überwachungsprotokolldatensatz generiert wurde.
Vorgang Edm.String Ja Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter. Für Exchange-Administratoraktivitäten gibt diese Eigenschaft den Namen des Cmdlets an, das ausgeführt wurde. Für Dlp-Ereignisse kann dies "DlpRuleMatch", "DlpRuleUndo" oder "DlpInfo" sein. Eine Beschreibung finden Sie unten unter "DLP-Schema".
OrganizationId Edm.Guid Ja Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.
UserType Self.UserType Ja Der Typ des Benutzers, der den Vorgang ausgeführt hat. In der Tabelle UserType finden Sie Informationen zu den Typen von Benutzern.
UserKey Edm.String Ja Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.
Arbeitslast Edm.String Ja Der Office 365-Dienst, in dem die Aktivität stattgefunden hat.
ResultStatus Edm.String Nein Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht. Mögliche Werte sind Succeeded, PartiallySucceeded oder Failed. Für Exchange-Verwaltungsaktivitäten ist der Wert entweder True oder False.

Wichtig: Unterschiedliche Workloads können den Wert der ResultStatus-Eigenschaft außer Kraft setzen. Bei Microsoft Entra ID STS-Anmeldeereignissen gibt der Wert Succeeded für ResultStatus nur an, dass der HTTP-Vorgang erfolgreich war. Dies bedeutet nicht, dass die Anmeldung erfolgreich war. Informationen dazu, ob die tatsächliche Anmeldung erfolgreich war, finden Sie unter der LogonError-Eigenschaft im Microsoft Entra ID STS-Anmeldeschema. Wenn die Anmeldung fehlgeschlagen ist, enthält diese Eigenschaft den Grund für den fehlgeschlagenen Anmeldeversuch.
ObjectId Edm.string Nein Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat. Für Exchange-Verwaltungsüberwachungsprotokolle der Name des Objekts, das vom Cmdlet geändert wurde.
UserId Edm.string Ja Der UPN (User Principal Name) des Benutzers, der die Aktion (in der Eigenschaft "Operation" angegeben), die zu einem Eintrag geführt hat, ausgeführt hat, zum Beispiel my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
ClientIP Edm.String Ja Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.

Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird.

Außerdem wird für Microsoft Entra ID ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist null.
Bereich Self.AuditLogScope Nein Wurde dieses Ereignis von einem gehosteten Office 365-Dienst oder einem lokalen Server erstellt? Mögliche Werte sind online und onprem. Beachten Sie, dass SharePoint die einzige Arbeitslast ist, die derzeit Ereignissen aus lokalen Umgebungen an O365 sendet.
AppAccessContext CollectionSelf.AppAccessContext Nein Der Anwendungskontext für den Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat.

Enum: AuditLogRecordType - Typ: Edm.Int32

AuditLogRecordType

Wert Elementname Beschreibung
1 ExchangeAdmin Ereignisse aus dem Exchange-Administrator-Überwachungsprotokoll.
2 ExchangeItem Ereignisse aus einem Exchange-Postfachüberwachungsprotokoll für Aktionen, die für ein einzelnes Element ausgeführt wurden, z. B. das Erstellen oder Empfangen einer E-Mail-Nachricht.
3 ExchangeItemGroup Ereignisse aus einem Exchange-Postfachüberwachungsprotokoll für Aktionen, die für mehrere Elemente ausgeführt werden können, z. B. das Verschieben oder Löschen einer oder mehrerer E-Mail-Nachrichten.
4 SharePoint SharePoint-Ereignisse.
6 SharePointFileOperation SharePoint-Dateivorgangsereignisse.
7 OneDrive OneDrive for Business-Ereignisse.
8 AzureActiveDirectory Microsoft Entra ID-Ereignisse.
9 AzureActiveDirectoryAccountLogon Microsoft Entra ID OrgId-Anmeldeereignisse (veraltet).
10 DataCenterSecurityCmdlet Rechenzentrum-Sicherheits-Cmdlet-Ereignisse.
11 ComplianceDLPSharePoint DLP-Ereignisse (Data Loss Prevention, Schutz vor Datenverlust) in SharePoint und OneDrive for Business.
13 ComplianceDLPExchange DLP-Ereignisse (Data Loss Prevention, Schutz vor Datenverlust) bei Konfiguration über die Unified DLP-Richtlinie. Auf Exchange-Transportregeln basierende DLP-Ereignisse werden nicht unterstützt.
14 SharePointSharingOperation SharePoint-Freigabeereignisse.
15 AzureActiveDirectoryStsLogon Secure Token Service (STS)-Anmeldeereignisse in Microsoft Entra ID.
16 SkypeForBusinessPSTNUsage Public Switched Telephone Network (PSTN)-Ereignisse aus Skype for Business.
17 SkypeForBusinessUsersBlocked Blockierte Benutzerereignisse aus Skype for Business.
18 SecurityComplianceCenterEOPCmdlet Administratoraktionen aus dem Security & Compliance Center.
19 ExchangeAggregatedOperation Aggregierte Exchange-Postfachüberwachungsereignisse.
20 PowerBIAudit Power BI-Ereignisse.
21 CRM Dynamics 365-Ereignisse.
22 Yammer Yammer-Ereignisse.
23 SkypeForBusinessCmdlets Skype for Business-Ereignisse.
24 Discovery Ereignisse für eDiscovery-Aktivitäten, die durch die Ausführung von Inhaltssuchen und die Verwaltung von eDiscovery-Fällen im Security & Compliance Center durchgeführt werden.
25 MicrosoftTeams Ereignisse von Microsoft-Teams.
28 ThreatIntelligence Phishing- und Schadsoftwareereignisse aus Exchange Online Protection und Microsoft Defender für Office 365.
29 MailSubmission Übermittlungsereignisse aus Exchange Online Protection und Microsoft Defender für Office 365.
30 MicrosoftFlow Microsoft Power Automate-Ereignisse (vormals Microsoft Flow).
31 AeD Advanced eDiscovery-Ereignisse.
32 MicrosoftStream Microsoft Stream-Ereignisse
33 ComplianceDLPSharePointClassification Ereignisse im Zusammenhang mit DLP-Klassifizierung in SharePoint.
34 ThreatFinder Kampagnenbezogene Ereignisse von Microsoft Defender für Office 365.
35 Project Microsoft Project-Ereignisse.
36 SharePointListOperation SharePoint-Listenereignisse.
37 SharePointCommentOperation SharePoint-Kommentarereignisse.
38 DataGovernance Auf Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen im Security & Compliance Center bezogene Ereignisse
39 Kaizala Kaizala-Ereignisse.
40 SecurityComplianceAlerts Security & Compliance-Warnsignale.
41 ThreatIntelligenceUrl Zeitblockereignisse für sichere Links und Ereignisse zur Außerkraftsetzung von Blöcken aus Microsoft Defender für Office 365.
42 SecurityComplianceInsights Ereignisse im Zusammenhang mit Einblicken und Berichten im Office 365 Security & Compliance Center.
43 MIPLabel Ereignisse im Zusammenhang mit der Erkennung in der Transportpipeline von E-Mail-Nachrichten, die mithilfe von Vertraulichkeitsbezeichnungen (manuell oder automatisch) gekennzeichnet wurden.
44 WorkplaceAnalytics Workplace Analytics-Ereignisse.
45 PowerAppsApp Power Apps-Ereignisse.
46 PowerAppsPlan Abonnementplan-Ereignisse für Power Apps.
47 ThreatIntelligenceAtpContent Phishing- und Schadsoftwareereignisse für Dateien in SharePoint, OneDrive for Business und Microsoft Teams aus Microsoft Defender für Office 365.
48 LabelContentExplorer Ereignisse im Zusammenhang mit dem Inhalts-Explorer zur Datenklassifizierung.
49 TeamsHealthcare Ereignisse im Zusammenhang mit der Anwendung "Patienten" in Microsoft Teams für das Gesundheitswesen.
50 ExchangeItemAggregated Ereignisse im Zusammenhang mit der Postfachüberwachungsaktion "MailItemsAccessed".
51 HygieneEvent Ereignisse im Zusammenhang mit ausgehenden Spamschutzmaßnahmen.
52 DataInsightsRestApiAudit Ereignisse der Datenerkenntnisse-Rest-API.
53 InformationBarrierPolicyApplication Ereignisse im Zusammenhang mit der Anwendung von Richtlinien für Informationsbarrieren.
54 SharePointListItemOperation SharePoint-Listenelementereignisse.
55 SharePointContentTypeOperation SharePoint-Listeninhaltstyp-Ereignisse.
56 SharePointFieldOperation SharePoint-Listenfeldereignisse.
57 MicrosoftTeamsAdmin Teams-Administratorereignisse.
58 HRSignal Ereignisse im Zusammenhang mit HR-Datensignalen, welche die Insider-Risikomanagement-Lösung unterstützen.
59 MicrosoftTeamsDevice Teams-Geräteereignisse.
60 MicrosoftTeamsAnalytics Teams-Analyseereignisse.
61 InformationWorkerProtection Ereignisse im Zusammenhang mit Warnungen über kompromittierte Benutzer.
62 Campaign E-Mail-Kampagnen-Ereignisse von Microsoft Defender für Office 365.
63 DLPEndpoint Endpunkt-DLP-Ereignisse.
64 AirInvestigation Automated incident response (AIR) events – Automatisierte Untersuchungs- und Reaktionsereignisse.
65 Quarantine Quarantäneereignisse.
66 MicrosoftForms Microsoft Forms-Ereignisse.
67 ApplicationAudit Anwendungsprotokoll-Ereignisse.
68 ComplianceSupervisionExchange Ereignisse, die von dem Kommunikationscompliance-Modell anstößiger Sprache nachverfolgt werden.
69 CustomerKeyServiceEncryption Ereignisse im Zusammenhang mit dem Dienst zur Kundenschlüssel-Verschlüsselung.
70 OfficeNative Ereignisse im Zusammenhang mit Vertraulichkeitsbezeichnungen, die auf Office-Dokumente angewendet werden.
71 MipAutoLabelSharePointItem Ereignisse bezüglich automatischer Beschriftung in SharePoint.
72 MipAutoLabelSharePointPolicyLocation Ereignisse bezüglich der Richtlinie für die automatischer Beschriftung in SharePoint.
73 MicrosoftTeamsShifts Teams-Schichtenereignisse.
75 MipAutoLabelExchangeItem Ereignisse bezüglich automatischer Beschriftung in Exchange.
76 CortanaBriefing Briefing E-Mail-Ereignisse.
78 WDATPAlerts Ereignisse im Zusammenhang mit Warnungen, die von Windows Defender für Endpunkt generiert werden.
79 PowerAppsResource Ereignisse im Zusammenhang mit Microsoft Power Platform Connectors (Vorschau).
82 SensitivityLabelPolicyMatch Ereignisse, die generiert werden, wenn die mit einer Vertraulichkeitsbezeichnung beschriftete Datei geöffnet oder umbenannt wird.
83 SensitivityLabelAction Ereignis, das generiert wird, wenn Vertraulichkeitsbezeichnungen angewendet, aktualisiert oder von einer Datei entfernt werden.
84 SensitivityLabeledFileAction Ereignisse, die generiert werden, wenn eine mit einer Vertraulichkeitsbezeichnung beschriftete Datei geöffnet oder umbenannt wird.
85 AttackSim Ereignisse im Zusammenhang mit Benutzeraktivitäten in Angriffssimulation & Training in Microsoft Defender for Office 365.
86 AirManualInvestigation Ereignisse im Zusammenhang mit manuellen Ermittlungen in „Automatisierte Untersuchung und Antwort (AIR – Automated Investigation and Response)“.
87 SecurityComplianceRBAC Ereignisse aus RBAC-Sicherheit und -Konformität.
88 UserTraining Ereignisse im Zusammenhang mit Benutzerschulungen in Angriffssimulation & Training in Microsoft Defender for Office 365.
89 AirAdminActionInvestigation Ereignisse im Zusammenhang mit Administratoraktionen in Automatisierte Untersuchung und Reaktion (Air).
90 MSTIC Threat-Intelligence-Ereignisse in Microsoft Defender für Office 365.
91 PhysicalBadgingSignal Ereignisse im Zusammenhang mit physischen Ausweissignalen, welche die Insider-Risikomanagement-Lösung unterstützen.
93 AipDiscover AIP-Scannerereignisse
94 AipSensitivityLabelAction Ereignisse der AIP-Vertraulichkeitsbezeichnung
95 AipProtectionAction AIP-Schutzereignisse
96 AipFileDeleted Löschereignisse für AIP-Dateien
97 AipHeartBeat AIP-Taktereignisse
98 MCASAlerts Ereignisse, die Warnungen entsprechen, die von Microsoft Cloud App Security ausgelöst werden.
99 OnPremisesFileShareScannerDlp Ereignisse im Zusammenhang mit der Suche nach vertraulichen Daten in Dateifreigaben.
100 OnPremisesSharePointScannerDlp Ereignisse im Zusammenhang mit der Suche nach vertraulichen Daten in SharePoint.
101 ExchangeSearch Ereignisse im Zusammenhang mit der Verwendung von Outlook im Web (OWA) zur Suche nach Postfachelementen.
102 SharePointSearch Ereignisse im Zusammenhang mit dem Durchsuchen der SharePoint-Startseite einer Organisation.
103 PrivacyInsights Datenschutzerkenntnis-Ereignisse.
105 MyAnalyticsSettings MyAnalytics-Ereignisse.
106 SecurityComplianceUserChange Ereignisse im Zusammenhang mit dem Ändern oder Löschen eines Benutzers.
107 ComplianceDLPExchangeClassification Ereignisse bezüglich Exchange DLP-Klassifizierung.
109 MipExactDataMatch Ereignisse bezüglich der Klassifizierung zur genauen Datenübereinstimmung (EDM – Exact Data Match).
113 MS365DCustomDetection Ereignisse im Zusammenhang mit benutzerdefinierten Erkennungsaktionen in Microsoft 365 Defender.
147 CoreReportingSettings Meldet Einstellungsereignisse.
148 ComplianceConnector Ereignisse im Zusammenhang mit dem Import von Nicht-Microsoft-Daten über Datenkonnektoren im Microsoft Purview Compliance Portal.
154 OMEPortal Ereignisprotokolle des Portals für verschlüsselte Nachrichten, die von externen Empfängern generiert wurden.
164 ScorePlatformGenericAuditRecord Generischer Überwachungsdatensatz, der für Datenconnectors verwendet wird.
174 DataShareOperation Ereignisse im Zusammenhang mit der Freigabe von Daten, die über SystemSync erfasst wurden.
181 EduDataLakeDownloadOperation Ereignisse im Zusammenhang mit dem Export von Daten, die über SystemSync vom Data Lake erfasst wurden.
183 MicrosoftGraphDataConnectOperation Ereignisse im Zusammenhang mit Extraktionen, die von Microsoft Graph Data Connect durchgeführt werden.
186 PowerPagesSite Aktivitäten im Zusammenhang mit der Power Pages-Website.
187 PowerPlatformAdminDlp Ereignisse im Zusammenhang mit Microsoft Power Platform DLP (Vorschau).
188 PlannerPlan Microsoft Planner Planen von Ereignissen.
189 PlannerCopyPlan Microsoft Planner Ereignisse des Kopierplans.
190 PlannerTask Microsoft Planner Aufgabenereignisse.
191 PlannerRoster Microsoft Planner Listen- und Listenmitgliedschaftsereignisse.
192 PlannerPlanList Microsoft Planner Planlistenereignisse.
193 PlannerTaskList Microsoft Planner Aufgabenlistenereignisse.
194 PlannerTenantSettings Microsoft Planner Ereignisse für Mandanteneinstellungen.
195 ProjectForThewebProject Microsoft Project für das Web-Projektereignisse.
196 ProjectForThewebTask Microsoft Project für das Web Taskereignisse.
197 ProjectForThewebRoadmap Microsoft Project für das Web Roadmap-Ereignisse.
198 ProjectForThewebRoadmapItem Microsoft Project für das Web Roadmap-Elementereignisse.
199 ProjectForThewebProjectSettings Microsoft Project für das Web Ereignisse für Mandanteneinstellungen des Projekts.
200 ProjectForThewebRoadmapSettings Microsoft Project für das Web Roadmap ereignisse für Mandanteneinstellungen.
216 Viva Goals Viva Goals Ereignisse.
217 MicrosoftGraphDataConnectConsent Ereignisse für Zustimmungsaktionen, die von Mandantenadministratoren für Microsoft Graph Data Connect-Anwendungen ausgeführt werden.
218 AttackSimAdmin Ereignisse im Zusammenhang mit Administratoraktivitäten in Angriffssimulation & Training in Microsoft Defender for Office 365.
230 TeamsUpdates Teams Updates App-Ereignisse.
231 PlannerRosterSensitivityLabel Microsoft Planner Vertraulichkeitsbezeichnungsereignisse der Liste.
237 DefenderExpertsforXDRAdmin Microsoft Defender Expert-Administratoraktionsereignisse.
251 VfamCreatePolicy Viva Zugriffsverwaltungsrichtlinie Ereignisse erstellen.
252 VfamUpdatePolicy Viva Aktualisierungsereignisse der Zugriffsverwaltungsrichtlinie.
253 VfamDeletePolicy Viva Zugriffsverwaltungsrichtlinie löscht Ereignisse.
261 CopilotInteraction Copilot-Interaktionsereignisse.
275 OWAAuth Zugriffstoken für Die Ressource wurde erfolgreich ausgegeben.
280 VivaPulseResponse Viva Pulse-Umfrageantwortereignisse.
281 VivaPulseOrganizer Viva Veranstaltungen des Pulse-Umfrageorganisators.
282 VivaPulseAdmin Viva Pulse-Administratorereignisse.
283 VivaPulseReport Viva Pulse bezogene Ereignisse melden.
287 ProjectForThewebAssignedToMeSettings Microsoft Project für das Web mir Mandanteneinstellungsereignisse zugewiesen.
298 BackupPolicy Ereignisse im Zusammenhang mit Microsoft 365-Backup-Richtlinien.
299 RestoreTask Ereignisse im Zusammenhang mit Microsoft 365-Backup Wiederherstellungsaufgaben.
300 RestoreItem Ereignisse im Zusammenhang mit Artefakten, die mit Microsoft 365-Backup gesichert wurden.
301 BackupItem Ereignisse im Zusammenhang mit Elementen, die mithilfe von Microsoft 365-Backup wiederhergestellt werden.
332 ComplianceSettingsChange Microsoft Purview-Kompatibilitätseinstellungen ändern Ereignisse.

Enumeration: Benutzertyp – Typ: Edm.Int32

Benutzertyp

Wert Elementname Beschreibung
0 Regular Ein regulärer Benutzer ohne Administratorberechtigungen.
1 Reserved Ein reservierter Wert, nicht zur Verwendung.
2 Administrator Ein Administrator in Ihrem Microsoft 365-organization. **
3 DCAdmin Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto.
4 System Ein Überwachungsereignis, das von serverseitiger Logik ausgelöst wird. Beispielsweise Windows-Dienste oder Hintergrundprozesse.
5 Anwendung Ein Überwachungsereignis, das von einer Microsoft Entra Anwendung ausgelöst wird.
6 ServicePrincipal Ein Dienstprinzipal.
7 CustomPolicy Eine vom Kunden erstellte oder verwaltete Richtlinie.
8 SystemPolicy Eine von Microsoft verwaltete Oder Systemrichtlinie.
9 PartnerTechniker Der Benutzer eines Partnermandanten, der im Namen des Kundenmandanten (in GDAP-Szenarien ) arbeitet.
10 Gast Ein Gast oder anonymer Benutzer.

Hinweis

** Bei Microsoft Entra zugehörigen Ereignissen wird der Wert für einen Administrator nicht in einem Überwachungsdatensatz verwendet. Überwachungsdatensätze für Aktivitäten, die von Administratoren ausgeführt werden, geben an, dass ein normaler Benutzer (z. B . UserType: 0) die Aktivität ausgeführt hat. Die UserID-Eigenschaft identifiziert die Person (regulärer Benutzer oder Administrator), die diese Aktivität ausgeführt hat.

Enumeration: AuditLogScope - Typ: Edm.Int32

AuditLogScope

Wert Elementname Beschreibung
0 Online Dieses Ereignis wurde von einem gehosteten O365-Dienst erstellt.
1 Onprem Dieses Ereignis wurde von einem lokalen Server erstellt.

Komplexer AppAccessContext-Typ

Parameter Typ Erforderlich? Beschreibung
AADSessionId Edm.String Nein Die Microsoft Entra SessionId der Entra-Anmeldung, die von der App im Namen des Benutzers durchgeführt wurde.
APIId Edm.String Nein Die ID für den API-Pfad, der für den Zugriff auf die Ressource verwendet wird, z. B. Zugriff über die Microsoft Graph-API.
ClientAppId Edm.String Nein Die ID der Microsoft Entra App, die den Zugriff im Namen des Benutzers ausgeführt hat.
ClientAppName Edm.String Nein Der Name der Microsoft Entra App, die den Zugriff im Namen des Benutzers ausgeführt hat.
CorrelationId Edm.String Nein Ein Bezeichner, der verwendet werden kann, um Aktionen eines bestimmten Benutzers über Microsoft 365-Dienste hinweg zu korrelieren.
UniqueTokenId Edm.String Nein UniqueTokenId wird festgelegt, wenn das Microsoft Entra-Token für die Anforderung verfügbar ist. Dabei handelt es sich um einen eindeutigen Bezeichner pro Token, bei dem die Groß-/Kleinschreibung beachtet wird.
IssuedAtTime Edm.Date Nein "Issued At" wird festgelegt, wenn das Microsoft Entra-Token für die Anforderung verfügbar ist, und gibt an, wann die Authentifizierung für dieses Microsoft Entra Token aufgetreten ist.

SharePoint-Basisschema

Parameter Typ Erforderlich? Beschreibung
Website Edm.Guid Nein Die GUID der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet.
ItemType Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.ItemType" Nein Der Typ des Objekts, auf das zugegriffen bzw. das geändert wurde. In der Tabelle ItemType finden Sie Informationen zu den Typen von Objekten.
EventSource Edm.String String="Microsoft.Office.Audit.Schema.SharePoint.EventSource" Nein Gibt an, dass ein Ereignis in SharePoint eingetreten ist. Mögliche Werte sind SharePoint oder ObjectModel.
SourceName Edm.String Nein Die Entität, die den überwachten Vorgang ausgelöst hat. Mögliche Werte sind SharePoint oder ObjectModel.
UserAgent Edm.String Nein Informationen zum Client oder Browser des Benutzers. Diese Informationen werden vom Client oder Browser bereitgestellt.
MachineDomainInfo Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Informationen zu Synchronisierungsvorgängen von Geräten. Diese Informationen sind nur vorhanden, wenn sie in der Anforderung enthalten sind.
MachineId Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Informationen zu Synchronisierungsvorgängen von Geräten. Diese Informationen sind nur vorhanden, wenn sie in der Anforderung enthalten sind.
ListItemUniqueId Edm.Guid Nein Die GUID eines eindeutig identifizierbaren Listenelements. Diese Informationen sind nur vorhanden, wenn sie zutreffend sind.
ListId Edm.Guid Nein Die GUID der Liste. Diese Informationen sind nur vorhanden, wenn sie zutreffend sind.
ApplicationId Edm.String Nein Die ID der Anwendung, die den Vorgang ausführt.
ApplicationDisplayName Edm.String Nein Der Anzeigename der Anwendung, die den Vorgang ausführt.
IsWorkflow Edm.Boolean Nein Dies wird auf True festgelegt, wenn SharePoint-Workflows das überwachte Ereignis ausgelöst haben.

Enumeration: ItemType - Typ: Edm.Int32

ItemType

Wert Elementname Beschreibung
0 Ungültig Das Element ist keines der anderen Elementtypen (die in dieser Tabelle aufgeführt sind).
1 Datei Das Element ist eine Datei.
5 Ordner Das Element ist ein Ordner.
6 web Das Element ist ein Web.
7 Website Das Element ist eine Website.
8 Mandant Das Element ist ein Mandant.
9 DocumentLibrary Das Element ist eine Dokumentbibliothek.
11 Seite Das Element ist eine Seite.

Enumeration: EventSource - Typ: Edm.Int32

EventSource

Wert Elementname Beschreibung
0 SharePoint Die Ereignisquelle ist SharePoint.
1 ObjectModel Die Ereignisquelle ist ObjectModel.

Enumeration: SharePointAuditOperation - Typ: Edm.Int32

Elementname Beschreibung
AccessInvitationAccepted Der Empfänger einer Einladung zum Anzeigen oder Bearbeiten einer freigegebenen Datei (oder eines Ordners) hat durch Klicken auf den Link in der Einladung auf die freigegebene Datei zugegriffen.
AccessInvitationCreated Der Benutzer sendet eine Einladung an eine andere Person (innerhalb oder außerhalb seiner Organisation) zum Anzeigen oder Bearbeiten einer freigegebenen Datei oder eines Ordners auf einer SharePoint- oder OneDrive for Business-Website. Die Details des Ereigniseintrags geben Folgendes an: den Namen der Datei, die freigegeben wurde, den Benutzer, an den die Einladung gesendet wurde, und den Typ der Freigabeberechtigung, der von der Person ausgewählt wurde, die die Einladung gesendet hat.
AccessInvitationExpired Eine an einen externen Benutzer gesendete Einladung läuft ab. Standardmäßig läuft eine Einladung, die an einen Benutzer außerhalb Ihrer Organisation gesendet wurde, nach 7 Tagen ab, wenn die Einladung nicht angenommen wird.
AccessInvitationRevoked Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint oder OneDrive for Business zieht eine Einladung, die an einen Benutzer außerhalb Ihrer Organisation gesendet wurde, zurück. Eine Einladung kann nur zurückgezogen werden, bevor sie akzeptiert wurde.
AccessInvitationUpdated Der Benutzer, der eine Einladung an eine andere Person zum Anzeigen oder Bearbeiten einer freigegebenen Datei oder eines Ordners auf einer SharePoint- oder OneDrive for Business-Website erstellt hat, sendet die Einladung erneut.
AccessRequestApproved Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint oder OneDrive for Business genehmigt eine Benutzeranforderung für den Zugriff auf die Website oder das Dokument.
AccessRequestCreated Der Benutzer fordert Zugriff auf eine Website oder ein Dokument in SharePoint oder OneDrive for Business, für die bzw. das er nicht über eine Zugriffsberechtigung verfügt.
AccessRequestRejected Der Websiteadministrator oder Besitzer einer Website oder eines Dokuments in SharePoint lehnt eine Benutzeranforderung für den Zugriff auf die Website oder das Dokument ab.
ActivationEnabled Benutzer können Formularvorlagen browserfähig machen, die keinen Formularcode enthalten, keine volle Vertrauenswürdigkeit erfordern, nicht auf einem mobilen Gerät wiedergegeben werden und keine von einem Serveradministrator verwaltete Datenverbindung verwenden.
AdministratorAddedToTermStore Es wurde ein Terminologiespeicheradministrator hinzugefügt.
AdministratorDeletedFromTermStore Es wurde ein Terminologiespeicheradministrator gelöscht.
AllowGroupCreationSet Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer SharePoint oder OneDrive for Business-Website hinzu, die es einem Benutzer mit dieser Berechtigung ermöglicht, eine Gruppe für diese Website zu erstellen.
AppCatalogCreated Der App-Katalog, der erstellt wurde, um benutzerdefinierte Geschäfts-Apps für Ihre SharePoint-Umgebung bereitzustellen.
AuditPolicyRemoved Das Dokument LifeCycle-Richtlinie wurde für eine Websitesammlung entfernt.
AuditPolicyUpdate Das Dokument LifeCycle-Richtlinie wurde für eine Websitesammlung aktualisiert.
AzureStreamingEnabledSet Ein Videoportal-Besitzer hat Videostreaming aus Azure erlaubt.
CollaborationTypeModified Der für die Kollaboration auf Websites zulässige Typ (z. B. Intranet, Extranet oder Öffentlich) wurde geändert.
ConnectedSiteSettingModified Der Benutzer hat entweder die Verknüpfung zwischen einem Projekt und einer Projektwebsite erstellt, geändert oder gelöscht, oder der Benutzer ändert die Synchronisierungseinstellung auf dem Link in Project Web App.
CreateSSOApplication Die Zielanwendung, die im Secure Store Service erstellt wurde.
CustomFieldOrLookupTableCreated Der Benutzer hat ein benutzerdefiniertes Feld oder eine Nachschlagetabelle/-element in Project Web App erstellt.
CustomFieldOrLookupTableDeleted Der Benutzer hat ein benutzerdefiniertes Feld oder nachschlagende Tabelle/Element in Project Web App gelöscht.
CustomFieldOrLookupTableModified Der Benutzer hat ein benutzerdefiniertes Feld oder ein benutzerdefiniertes Nachschlagetabelle/Element in Project Web App geändert.
CustomizeExemptUsers Ein globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, wenn ein Benutzer-Agent, den Sie als ausgenommen angegeben haben, auf ein InfoPath-Formular trifft, wird das Formular als XML-Datei anstelle einer gesamten Webseite zurückgegeben. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt.
DefaultLanguageChangedInTermStore* Die Einstellung für die Standardsprache im Terminologiespeicher wurde geändert.
DelegateModified Der Benutzer hat einen Sicherheitsdelegaten in Project Web App erstellt oder geändert.
DelegateRemoved Der Benutzer hat einen Sicherheitsdelegaten in Project Web App gelöscht.
DeleteSSOApplication Eine SSO-Anwendung wurde gelöscht.
eDiscoveryHoldApplied Ein In-Situ-Speicher wurde auf einer Inhaltsquelle platziert. In-Situ-Speicher werden mit einer eDiscovery-Websitesammlung (z. B. das eDiscovery Center) in SharePoint verwaltet.
eDiscoveryHoldRemoved Ein In-Situ-Speicher wurde aus einer Inhaltsquelle entfernt. In-Situ-Speicher werden mit einer eDiscovery-Websitesammlung (z. B. das eDiscovery Center) in SharePoint verwaltet.
eDiscoverySearchPerformed Eine eDiscovery-Suche wurde mit einer eDiscovery-Websitesammlung in SharePoint ausgeführt.
EngagementAccepted Der Benutzer akzeptiert einen Ressourceneinsatz in Project Web App.
EngagementModified Der Benutzer ändert einen Ressourceneinsatz in Project Web App.
EngagementRejected Der Benutzer lehnt einen Ressourceneinsatz in Project Web App ab.
EnterpriseCalendarModified Ein Benutzer kopiert, ändert oder löscht einen Unternehmenskalender in Project Web App.
EntityDeleted Der Benutzer löscht eine Arbeitszeittabelle in Project Web App.
EntityForceCheckedIn Der Benutzer erzwingt ein Einchecken in einem Kalender, einem benutzerdefinierten Feld oder einer Nachschlagetabelle in Project Web App.
ExemptUserAgentSet Ein globaler Administrator fügt einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzu.
FileAccessed Der Benutzer oder das Systemkonto greift auf eine Datei auf einer SharePoint- oder OneDrive for Business-Website zu. Systemkonten können ebenfalls FileAccessed-Ereignisse generieren.
FileCheckOutDiscarded Der Benutzer verwirft eine ausgecheckte Datei oder macht sie rückgängig. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden.
FileCheckedIn Ein Benutzer checkt ein Dokument ein, das er aus der SharePoint- oder OneDrive for Business-Dokumentbibliothek ausgecheckt hat.
FileCheckedOut Ein Benutzer checkt ein Dokument aus, das sich in einer SharePoint- oder OneDrive for Business-Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern.
FileCopied Ein Benutzer kopiert ein Dokument von einer SharePoint- oder OneDrive for Business-Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden.
FileDeleted Ein Benutzer löscht ein Dokument von einer SharePoint- oder OneDrive for Business-Website.
FileDeletedFirstStageRecycleBin Ein Benutzer löscht ein Dokument aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website.
FileDeletedSecondStageRecycleBin Ein Benutzer löscht ein Dokument aus dem endgültigen Papierkorb der SharePoint- oder OneDrive for Business-Website.
FileDownloaded Ein Benutzer lädt ein Dokument von einer SharePoint- oder OneDrive for Business-Website herunter.
FileFetched Dieses Ereignis ist veraltet und wurde durch das FileAccessed-Ereignis ersetzt.
FileModified Ein Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments, das sich auf SharePoint- oder OneDrive for Business-Website befindet.
FileMoved Ein Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer SharePoint- oder OneDrive for Business-Website an eine neue Position.
FilePreviewed Ein Benutzer zeigt eine Vorschau eines Dokuments auf einer SharePoint- oder OneDrive for Business-Website an.
FileRecycled Der Benutzer verschiebt ein Dokument in den SharePoint- oder OneDrive-Papierkorb.
FileRenamed Ein Benutzer benennt ein Dokument auf einer SharePoint- oder OneDrive for Business-Website um.
FileRestored Ein Benutzer stellt ein Dokument aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website wieder her.
FileSyncDownloadedFull Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen.
FileSyncDownloadedPartial Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
FileSyncUploadedFull Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert.
FileSyncUploadedPartial Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
FileUploaded Ein Benutzer lädt ein Dokument auf eine SharePoint- oder OneDrive for Business-Website.
FileViewed Dieses Ereignis ist veraltet und wurde durch das FileAccessed-Ereignis ersetzt.
FolderCopied Ein Benutzer kopiert einen Ordner von einer SharePoint- oder OneDrive for Business-Website in einen anderen Speicherort von SharePoint oder OneDrive for Business.
FolderCreated Ein Benutzer erstellt einen Ordner auf einer SharePoint- oder OneDrive for Business-Website.
FolderDeleted Ein Benutzer löscht einen Ordner von einer SharePoint- oder OneDrive for Business-Website.
FolderDeletedFirstStageRecycleBin Ein Benutzer löscht einen Ordner aus dem Papierkorb der SharePoint- oder OneDrive for Business-Website.
FolderDeletedSecondStageRecycleBin Ein Benutzer löscht einen Ordner aus dem endgültigen Papierkorb der SharePoint- oder OneDrive for Business-Website.
FolderModified Ein Benutzer ändert einen Ordner auf einer SharePoint- oder OneDrive for Business-Website. Dieses Ereignis umfasst Ordner-Metadatenänderungen wie z. B. Tags und Eigenschaften.
FolderMoved Ein Benutzer verschiebt einen Ordner von einer SharePoint- oder OneDrive for Business-Website.
FolderRecycled Der Benutzer verschiebt einen Ordner in den SharePoint- oder OneDrive-Papierkorb.
FolderRenamed Ein Benutzer benennt einen Ordner auf einer SharePoint- oder OneDrive for Business-Website um.
FolderRestored Ein Benutzer stellt einen Ordner aus dem Papierkorb auf der SharePoint- oder OneDrive for Business-Website wieder her.
GroupAdded Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine SharePoint- oder OneDrive for Business-Website oder führt eine Aufgabe aus, die dazu führt, dass eine Gruppe erstellt wird. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt.
GroupRemoved Ein Benutzer löscht eine Gruppe aus einer SharePoint- oder OneDrive for Business-Website.
GroupUpdated Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine SharePoint- oder OneDrive for Business-Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören.
LanguageAddedToTermStore Eine Sprache wird zum Terminologiespeicher hinzugefügt.
LanguageRemovedFromTermStore Eine Sprache wird aus dem Terminologiespeicher gelöscht.
LegacyWorkflowEnabledSet Der Websiteadministrator oder -besitzer fügt den SharePoint-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren.
LookAndFeelModified Ein Benutzer ändert Schnellstart-, Gantt-Diagramm- oder Gruppenformate.  Oder der Benutzer erstellt, ändert oder löscht eine Ansicht in Project Web App.
ManagedSyncClientAllowed Ein Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer SharePoint- oder OneDrive for Business-Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde. Weitere Informationen finden Sie unter Verwenden von SharePoint Online PowerShell zum Aktivieren von OneDrive-Synchronisation für Domänen, die sich in der Liste der sicheren Empfänger befinden.
MaxQuotaModified Das maximale Kontingent für eine Website wurde geändert.
MaxResourceUsageModified Der maximal zulässige Ressourceneinsatz für eine Website wurde geändert.
MySitePublicEnabledSet Die Kennzeichnung, die es Benutzern ermöglicht, öffentliche "Meine Websites" zu besitzen, wurde durch den SharePoint-Administrator festgelegt.
NewsFeedEnabledSet Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine SharePoint- oder OneDrive for Business-Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren.
ODBNextUXSettings Eine neue Benutzeroberfläche für OneDrive for Business wurde aktiviert.
OfficeOnDemandSet Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Office 365-Abonnement, bei dem alle Office-Anwendungen installiert werden.
PageViewed Ein Benutzer zeigt eine Seite auf einer SharePoint- oder OneDrive for Business-Website an. Dies schließt das Anzeigen von Dokumentbibliotheksdateien einer SharePoint- oder OneDrive for Business-Website in einem Browser nicht ein.
PeopleResultsScopeSet Der Websiteadministrator erstellt oder ändert die Ergebnisquelle für Personensuchen für eine SharePoint-Website.
PermissionSyncSettingModified Der Benutzer ändert die Einstellungen für die Synchronisierung von Projektberechtigungen in Project Web App.
PermissionTemplateModified Der Benutzer erstellt, ändert oder löscht eine Berechtigungsvorlage in Project Web App.
PortfolioDataAccessed Der Benutzer greift in der Project-Web-App auf Portfolioinhalte (Treiberbibliothek, Treiberpriorisierung, Portfolioanalysen) zu.
PortfolioDataModified Der Benutzer erstellt, ändert oder löscht Portfoliodaten (Treiberbibliothek, Treiberpriorisierung, Portfolioanalysen) in der Project-Web-App.
PreviewModeEnabledSet Der Websiteadministrator aktiviert die Dokumentvorschau für eine SharePoint-Website.
ProjectAccessed Der Benutzer greift auf Projektinhalte in der Project-Web-App zu.
ProjectCheckedIn Der Benutzer checkt ein Projekt ein, das er aus einer Project-Web-App ausgecheckt hat.
ProjectCheckedOut Der Benutzer checkt ein Projekt aus, das sich in einer Project-Web-App befindet. Wenn Benutzer die Berechtigung zum Öffnen einen Projekts besitzen, können sie dieses auch auschecken und ändern.
ProjectCreated Der Benutzer erstellt ein Projekt in der Project-Web-App.
ProjectDeleted Der Benutzer löscht ein Projekt in der Project-Web-App.
ProjectForceCheckedIn Der Benutzer erzwingt ein Einchecken eines Projekts in der Project Web App.
ProjectModified Der Benutzer ändert ein Projekt in Project Web App.
ProjectPublished Der Benutzer veröffentlicht ein Projekt in der Project-Web-App.
ProjectWorkflowRestarted Der Benutzer startet einen Workflow in Project Web App neu.
PWASettingsAccessed Der Benutzer greift über CSOM auf die Project-Web-App-Einstellungen zu.
PWASettingsModified Der Benutzer ändert die Konfiguration einer Project-Web-App.
QueueJobStateModified Der Benutzer bricht einen Warteschlangenauftrag in Project Web App ab oder startet sie neu.
QuotaWarningEnabledModified Die Speicherkontingent-Warnung wurde geändert.
RenderingEnabled Browserfähige Formularvorlagen werden von InfoPath Forms Services wiedergegeben.
ReportingAccessed Der Benutzer hat in der Project-Web-App auf den Berichtsendpunkt zugegriffen.
ReportingSettingModified Der Benutzer ändert die Berichterstellungskonfiguration in Project Web App.
ResourceAccessed Der Benutzer greift auf enterprise-Ressourceninhalte in Project Web App zu.
ResourceCheckedIn Der Benutzer checkt eine Enterprise-Ressource ein, die er aus der Project-Web-App ausgecheckt hat.
ResourceCheckedOut Der Benutzer checkt eine Enterprise-Ressource aus, die sich in Project Web App befindet.
ResourceCreated Der Benutzer erstellt eine Enterprise-Ressource in Project Web App.
ResourceDeleted Der Benutzer löscht eine Enterprise-Ressource in Project Web App.
ResourceForceCheckedIn Der Benutzer erzwingt das Einchecken einer Enterprise-Ressource in Project Web App.
ResourceModified Der Benutzer ändert eine Enterprise-Ressource in Project Web App.
ResourcePlanCheckedInOrOut Ein Benutzer checkt einen Ressourcenplan in Project Web App ein oder aus.
ResourcePlanModified Der Benutzer ändert einen Ressourcenplan in Project Web App.
ResourcePlanPublished Der Benutzer veröffentlicht einen Ressourcenplan in project web app.
ResourceRedacted Der Benutzer bearbeitet eine Enterprise-Ressource und entfernt alle persönlichen Informationen in der Project-Web-App.
ResourceWarningEnabledModified Die Ressourcenkontingent-Warnung wurde geändert.
SSOGroupCredentialsSet Die Gruppenanmeldeinformationen in Secure Store Service wurden festgelegt.
SSOUserCredentialsSet Die Benutzeranmeldeinformationen in Secure Store Service wurden festgelegt.
SearchCenterUrlSet Die Suchcenter-URL wurde festgelegt.
SecondaryMySiteOwnerSet Ein Benutzer hat einen sekundären Besitzer zu seiner "Meine Website" hinzugefügt.
SecurityCategoryModified Der Benutzer erstellt, ändert oder löscht eine Sicherheitskategorie in Project Web App.
SecurityGroupModified Der Benutzer erstellt, ändert oder löscht eine Sicherheitsgruppe in Project Web App.
SendToConnectionAdded Der globale Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln.
SendToConnectionRemoved Der globale Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center.
SharedLinkCreated Ein Benutzer erstellt einen Link zu einer freigegebenen Datei in SharePoint oder OneDrive for Business. Dieser Link kann an andere Personen gesendet werden, um ihnen Zugriff auf die Datei zu gewähren. Ein Benutzer kann zwei Arten von Links erstellen: einen Link, mit dem ein Benutzer die freigegebene Datei anzeigen oder bearbeiten kann, oder einen Link, mit dem ein Benutzer die Datei nur anzeigen kann.
SharedLinkDisabled Ein Benutzer deaktiviert (dauerhaft) einen Link, der zum Freigeben einer Datei erstellt wurde.
SharingInvitationAccepted* Ein Benutzer akzeptiert eine Einladung zur Freigabe von Dateien oder Ordnern. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine Datei für andere Benutzer freigibt.
SharingRevoked Ein Benutzer hebt die Freigabe von Dateien oder Ordnern auf, die zuvor für andere Benutzer freigegeben wurden. Dieses Ereignis wird protokolliert, wenn ein Benutzer die Freigabe einer Datei für andere Benutzer aufhebt.
SharingSet Ein Benutzer gibt eine Datei oder einen Ordner in SharePoint oder OneDrive for Business für einen anderen Benutzer in der Organisation frei.
SiteAdminChangeRequest Ein Benutzer fordert an, als Websitesammlungsadministrator für eine SharePoint-Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.
SiteCollectionAdminAdded* Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine SharePoint oder OneDrive for Business-Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.
SiteCollectionCreated Der globale Administrator erstellt eine neue Websitesammlung in Ihrer SharePoint-Organisation.
SiteRenamed Der Websiteadministrator oder -besitzer benennt die SharePoint- oder OneDrive for Business-Website um.
StatusReportModified Der Benutzer erstellt, ändert oder löscht einen status Bericht in Project Web App.
SyncGetChanges Ein Benutzer klickt auf Synchronisieren in der Taskleiste Aktion in SharePoint oder OneDrive for Business, um alle Änderungen an einer Datei in einer Dokumentbibliothek auf seinem Computer zu synchronisieren.
SyntexBillingSubscriptionSettingsChanged Die Einstellungen für das Syntex-Abrechnungsabonnement wurden geändert. Dieses Ereignis wird ausgelöst, wenn eine Syntex-Testversion abläuft.
TaskStatusAccessed Der Benutzer greift auf die status einer oder mehrerer Aufgaben in Project Web App zu.
TaskStatusApproved Der Benutzer genehmigt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App.
TaskStatusRejected Der Benutzer lehnt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App ab.
TaskStatusSaved Der Benutzer speichert eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App.
TaskStatusSubmitted Der Benutzer übermittelt eine status Aktualisierung einer oder mehrerer Aufgaben in Project Web App.
TimesheetAccessed Der Benutzer greift auf eine Arbeitszeittabelle in Project Web App zu.
TimesheetApproved Der Benutzer genehmigt die Arbeitszeittabelle in der Project-Web-App.
TimesheetRejected Der Benutzer lehnt eine Arbeitszeittabelle in Project Web App ab.
TimesheetSaved Der Benutzer speichert eine Arbeitszeittabelle in Project Web App.
TimesheetSubmitted Der Benutzer übermittelt eine status Arbeitszeittabelle in Project Web App.
UnmanagedSyncClientBlocked Ein Benutzer versucht, eine Synchronisierungsbeziehung mit einer SharePoint- oder OneDrive for Business-Website von einem Computer aus herzustellen, der kein Mitglied der Domäne Ihrer Organisation ist oder Mitglied einer Domäne ist, die nicht in die Liste der Domänen übernommen wurde, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt). Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers ist für das Synchronisieren, Herunterladen oder Hochladen von Dateien der Dokumentbibliothek gesperrt. Informationen zu dieser Funktion finden Sie unter Verwenden von Windows PowerShell-Cmdlets zum Aktivieren der OneDrive-Synchronisierung für Domänen, die in der Liste der sicheren Empfänger enthalten sind.
UpdateSSOApplication Die Zielanwendung wurde im Secure Store Service aktualisiert.
UserAddedToGroup Der Websiteadministrator oder -besitzer fügt eine Person zu einer Gruppe auf einer SharePoint- oder OneDrive for Business-Website hinzu. Das Hinzufügen einer Person zu einer Gruppe gewährt dem Benutzer die Berechtigungen, die der Gruppe zugewiesen wurden.
UserRemovedFromGroup Der Websiteadministrator oder -besitzer entfernt eine Person aus einer Gruppe auf einer SharePoint- oder OneDrive for Business-Website. Nachdem die Person entfernt wurde, besitzt sie nicht mehr die Berechtigungen, die der Gruppe zugewiesen wurden.
WorkflowModified Der Benutzer erstellt, ändert oder löscht einen Enterprise-Projekttyp oder workflow phasen oder phasen in Project Web App.

SharePoint-Dateivorgänge

Die dateibezogenen SharePoint-Ereignisse, die im Abschnitt "Datei- und Ordneraktivitäten" in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführt sind, verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
SiteUrl Edm.String Ja Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet.
SourceRelativeUrl Edm.String Nein Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die Parameter SiteURL, SourceRelativeURL und SourceFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , bei der es sich um den vollständigen Pfadnamen für die Datei handelt, auf die der Benutzer zugreift.
SourceFileName Edm.String Ja Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat.
SourceFileExtension Edm.String Nein Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist.
DestinationRelativeUrl Edm.String Nein Die URL des Zielordners, in den eine Datei kopiert oder verschoben wurde. Die Kombination der Werte für die Parameter SiteURL, DestinationRelativeURL und DestinationFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , die den vollständigen Pfadnamen für die kopierte Datei darstellt. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt.
DestinationFileName Edm.String Nein Der Name der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt.
DestinationFileExtension Edm.String Nein Der Erweiterung der Datei, die kopiert oder verschoben wurde. Diese Eigenschaft wird nur bei Ereignissen "filecopied" und "filemoved" angezeigt.
UserSharedWith Edm.String Nein Der Benutzer, für den eine Ressource freigegeben wurde.
SharingType Edm.String Nein Der Typ der Freigabeberechtigungen, die dem Benutzer zugewiesen wurden, für den die Ressource freigegeben wurde. Dieser Benutzer wird durch den UserSharedWith-Parameter identifiziert.
SourceLabel Edm.String Nein Die ursprüngliche Bezeichnung der Datei, bevor sie durch eine Benutzeraktion geändert wird.
DestinationLabel Edm.String Nein Die endgültige Bezeichnung der Datei, nachdem sie durch eine Benutzeraktion geändert wurde.
SensitivityLabelOwnerEmail Edm.String Nein Die E-Mail-Adresse des Besitzers der Vertraulichkeitsbezeichnung.
SensitivityLabelId Edm.String Nein Die aktuelle Vertraulichkeitsbezeichnungs-ID der Datei.

SharePoint-Listenvorgänge

Die SharePoint-Listen und listenelementbezogenen Ereignisse, die im Abschnitt "SharePoint-Listenaktivitäten" in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführt sind, verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
ListTitle Edm.String Nein Der Titel der SharePoint-Liste.
ListName Edm.String Nein Der Name der SharePoint-Liste.
ListUrl Edm.String Nein Die URL der Liste relativ zur enthaltenden Website.
ListBaseType Edm.String Nein Gibt den Basistyp für eine Liste an.
ListBaseTemplateType Edm.String Nein Der Listendefinitionstyp, auf dem die Liste basiert.
IsHiddenList Edm.Boolean Nein Dieser Wert wird auf True festgelegt, wenn die SharePoint-Liste ausgeblendet ist.
IsDocLib Edm.Boolean Nein Dieser Wert wird auf True festgelegt, wenn die SharePoint-Liste vom Typ Dokumentbibliothek ist.

SharePoint-Freigabeschema

Die auf die Freigabe der Datei bezogenen SharePoint-Ereignisse. Sie unterscheiden sich von den datei- und ordnerbezogenen Ereignissen dahingehend, dass ein Benutzer eine Aktion ausführt, die sich auf einen anderen Benutzer auswirkt. Informationen zum SharePoint-Freigabeschema finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.

Parameter Typ Erforderlich? Beschreibung
TargetUserOrGroupName Edm.String Nein Speichert die UPN oder den Namen des Zielbenutzers oder der Gruppe, für den bzw. die eine Ressource freigegeben wurde.
TargetUserOrGroupType Edm.String Nein Gibt an, ob der Zielbenutzer oder die Gruppe ein Mitglied, ein Gast, eine Gruppe oder ein Partner ist.
EventData XML-Code Nein Bietet nachträgliche Informationen zur stattgefundenen Freigabeaktion, wie z. B. das Hinzufügen eines Benutzers zu einer Gruppe oder das Erteilen von Bearbeitungsberechtigungen.
SiteUrl Edm.String Nein Die URL der Website, auf der sich die Datei oder der Ordner, auf die bzw. den der Benutzer zugegriffen hat, befindet.
SourceRelativeUrl Edm.String Nein Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugegriffen hat. Die Kombination der Werte für die Parameter SiteURL, SourceRelativeURL und SourceFileName ist identisch mit dem Wert für die ObjectID-Eigenschaft , bei der es sich um den vollständigen Pfadnamen für die Datei handelt, auf die der Benutzer zugreift.
SourceFileName Edm.String Nein Der Name der Datei oder des Ordners, auf die der Benutzer zugegriffen hat.
SourceFileExtension Edm.String Nein Die Erweiterung der Datei, auf die der Benutzer zugegriffen hat. Diese Eigenschaft ist leer, wenn das Objekt, auf das zugegriffen wurde, ein Ordner ist.
UniqueSharingId Edm.String Nein Die eindeutige Freigabe-ID, die dem Freigabevorgang zugeordnet ist.

SharePoint-Schema

Die in Durchsuchen des Überwachungsprotokolls im Compliance Center aufgeführten SharePoint-Ereignisse (mit Ausnahme der Datei- und Ordnerereignisse) verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
CustomEvent Edm.String Nein Optionale Zeichenfolge für benutzerdefinierte Ereignisse.
EventData Edm.String Nein Optionale Nutzlast für benutzerdefinierte Ereignisse.
ModifiedProperties Collection(ModifiedProperty) Nein Diese Eigenschaft wird für Administratorereignisse einbezogen, wie z. B. das Hinzufügen eines Benutzers als Mitglied einer Website oder der Administratorgruppe einer Websitesammlung. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde (wie z. B. die Websiteadministratorgruppe), den neuen Wert der geänderten Eigenschaft (wie z. B. den Benutzer, der als Websiteadministrator hinzugefügt wurde) und den vorherigen Wert des geänderten Objekts.

Projektschema

Parameter Typ Erforderlich? Beschreibung
Entität Edm.String Ja ProjectEntity für die die Überwachung vorgesehen war.
Aktion Edm.String Ja ProjectAction, die durchgeführt wurde.
OnBehalfOfResId Edm.Guid Nein Die Ressourcen-ID, für die die Aktion durchgeführt wurde.

Enumeration: Project Action - Typ: Edm.Int32

Projektaktion

Elementname Beschreibung
Akzeptiert Ein Benutzer hat ein Ereignis oder einen Workflow akzeptiert.
Zugegriffen Der Benutzer hat auf eine Entität zugegriffen.
Aktiviert Der Benutzer hat eine Entität, ein Ereignis oder einen Workflow aktiviert.
Abgebrochen Der Benutzer hat ein Ereignis oder einen Workflow abgebrochen.
Eingecheckt Der Benutzer hat eine Entität eingecheckt.
Ausgecheckt Der Benutzer hat eine Entität ausgecheckt.
Kopiert Der Benutzer hat eine Entität kopiert.
Erstellt Der Benutzer hat eine Entität erstellt.
Deaktiviert Der Benutzer hat eine Entität deaktiviert.
Gelöscht Der Benutzer hat eine Entität gelöscht.
Exportiert Der Benutzer hat eine Entität exportiert.
ForceCheckedIn Der Benutzer hat das Einchecken einer Entität erzwungen.
Geändert Der Benutzer hat eine Entität geändert.
Veröffentlicht Der Benutzer hat eine Entität veröffentlicht.
Unkenntlich gemacht Der Benutzer hat eine Entität unkenntlich gemacht.
Abgelehnt Der Benutzer hat eine Entität abgelehnt.
Neu gestartet Ein Benutzer hat ein Ereignis oder einen Workflow neu gestartet.
Gespeichert Der Benutzer hat eine Entität gespeichert.
Gesendet Der Benutzer hat eine Entität gesendet.
Übermittelt Der Benutzer hat eine Entität zur Überprüfung oder für den Workflow übermittelt.

Enumeration: Project Entity - Typ: Edm.Int32

Projektentität

Elementname Beschreibung
CustomField Steht für ein benutzerdefiniertes Enterprise-Feld.
Driver Steht für einen Portfolio-Treiber.
DriverPrioritization Steht für eine Portfolio-Priorisierung.
Engagement Steht für eine Ressourcenverhandlung.
EnterpriseCalendar Stellt einen Enterprise-Ressourcenkalender dar.
EnterpriseProjectType Steht für einen Enterprise-Projekttyp.
FiscalPeriod Steht für einen Geschäftszeitraum.
GanttChartFormat Steht für ein Gantt-Diagramm-Format.
GroupingFormat Steht für ein Ansicht-Gruppierungsformat.
LineClassification Steht für eine Arbeitszeittabelle-Zeilenklassifikation.
LookupTable Steht für eine Enterprise-Nachschlagetabelle.
PermissionTemplate Steht für eine Sicherheitsberechtigungsvorlage.
PortfolioAnalysis Steht für einen Portfolio-Analyse.
Project Steht für ein Projekt.
QueueJob Steht für einen Auftrag in der Warteschlange.
QuickLaunch Steht für ein Element der Schnellstartleiste.
Reporting Steht für den Endpunkt des Berichtszeitraums.
Ressource Steht für die Enterprise-Ressource.
ResourcePlan Steht für einen mit dem Projekt verknüpften Ressourcenplan.
SecurityCategory Steht für eine Sicherheitskategorie.
SecurityGroup Steht für eine Sicherheitsgruppe.
Setting Stellt eine Project-Web-App-Einstellung dar.
Statusing Steht für ein Statusupdate.
StatusReport Steht für einen Statusbericht.
TimeReportingPeriod Steht für einen Zeitraum für eine Arbeitszeittabelle.
Timesheet Steht für eine Arbeitszeittabellen-Entität.
TimesheetAuditLog Steht für ein Arbeitszeittabellen-Überwachungsprotokoll.
TimesheetManager Steht für den Verwalter einer Arbeitszeittabelle.
UserDelegate Steht für die Benutzerdelegierung eines anderen Benutzers.
View Steht für eine Ansichtsdefinition.
WorkflowPhase Steht für eine Phase in einem Workflow.
WorkflowStage Steht für einen Status in einem Workflow.

Exchange-Verwaltungsschema

Parameter Typ Erforderlich Beschreibung
ModifiedObjectResolvedName Edm.String Nein Der benutzerfreundliche Name des Objekts, das vom Cmdlet geändert wurde. Dies wird nur protokolliert, wenn das Cmdlet das Objekt ändert.
Parameter Collection(Common.NameValuePair) Nein Der Name und Wert aller Parameter, die mit dem Cmdlet verwendet wurden, das in der Eigenschaft "Vorgänge" bezeichnet wurde.
ModifiedProperties Collection(Common.ModifiedProperty) Nein Diese Eigenschaft wird für Administratorereignisse einbezogen. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert des geänderten Objekts.
ExternalAccess Edm.Boolean Ja Gibt an, ob das Cmdlet von einem Benutzer Ihrer Organisation, von Mitarbeitern des Microsoft-Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde. Der Wert False gibt an, dass das Cmdlet von einer Person in Ihrer Organisation ausgeführt wurde. Der Wert True gibt an, dass das Cmdlet von Mitarbeiter des Rechenzentrums, einem Rechenzentrum-Dienstkonto oder einem delegierten Administrator ausgeführt wurde.
OriginatingServer Edm.String Nein Der Name des Servers, aus dem das Cmdlet ausgeführt wurde.
OrganizationName Edm.String Nein Der Name des Mandanten.

Exchange-Postfachschema

Parameter Typ Erforderlich Beschreibung
LogonType Self.LogonType Nein Gibt den Typ der Benutzers an, der auf das Postfach zugegriffen und die Operation, die protokolliert wurde, ausgeführt hat.
InternalLogonType Self.LogonType Nein Für die interne Verwendung reserviert.
MailboxGuid Edm.String Nein Die Exchange-GUID des Postfachs, auf das zugegriffen wurde.
MailboxOwnerUPN Edm.String Nein Die E-Mail-Adresse der Person, die das Postfach besitzt, auf das zugegriffen wurde.
MailboxOwnerSid Edm.String Nein Die SID des Postfachbesitzers.
MailboxOwnerMasterAccountSid Edm.String Nein Die Hauptkonto-SID des Postfachbesitzerkontos.
LogonUserSid Edm.String Nein Die SID des Benutzers, der den Vorgang ausgeführt hat.
LogonUserDisplayName Edm.String Nein Der benutzerfreundliche Name des Benutzers, der den Vorgang ausgeführt hat.
ExternalAccess Edm.Boolean Ja Dies gilt, wenn die Domäne für die Anmeldung des Benutzers von der Domäne des Postfachbesitzers abweicht.
OriginatingServer Edm.String Nein Dies ist der Ort, an dem der Vorgang begonnen wurde.
OrganizationName Edm.String Nein Der Name des Mandanten.
ClientInfoString Edm.String Nein Informationen zum E-Mail-Client, der zum Ausführen des Vorgangs verwendet wurde, z. B. eine Browserversion, eine Outlook-Version und Informationen zu mobilen Geräten.
ClientIPAddress Edm.String Nein Die IP-Adresse des Geräts, das verwendet wurde, als der Vorgang protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
ClientMachineName Edm.String Nein Der Name des Computers, auf dem der Outlook-Client gehostet wird.
ClientProcessName Edm.String Nein Der für den Zugriff auf das Postfach verwendete E-Mail-Client.
ClientVersion Edm.String Nein Die Version des E-Mail-Clients.

Enumeration: LogonType - Typ: Edm.Int32

LogonType

Wert Elementname Beschreibung
0 Besitzer Der Postfachbesitzer.
1 Administrator Eine Person mit Administratorberechtigungen für das Postfach einer Person.
2 Delegiert Eine Person mit Stellvertretungsberechtigungen für das Postfach einer Person.
3 Transport Ein Transportdienst im Microsoft-Rechenzentrum.
4 SystemService Ein Dienstkonto im Microsoft-Rechenzentrum.
5 BestAccess Für die interne Verwendung reserviert.
6 DelegatedAdmin Ein delegierter Administrator.

ExchangeMailboxAuditGroupRecord schema

Parameter Typ Erforderlich? Beschreibung
Ordner Self.ExchangeFolder Nein Ein Ordner, in dem sich eine Gruppe von Elementen befindet.
CrossMailboxOperations Edm.Boolean Nein Gibt an, ob der Vorgang mehr als ein Postfach umfasst.
DestMailboxId Edm.Guid Nein Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die GUID des Zielpostfachs an.
DestMailboxOwnerUPN Edm.String Nein Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die UPN des Besitzers des Zielpostfachs an.
DestMailboxOwnerSid Edm.String Nein Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die SID des Zielpostfachs an.
DestMailboxOwnerMasterAccountSid Edm.String Nein Legen Sie dies nur fest, wenn der Parameter CrossMailboxOperations True ist. Gibt die SID für die Hauptkonto-SID des Besitzers des Zielpostfachs an.
DestFolder Self.ExchangeFolder Nein Der Zielordner für Vorgänge wie Verschieben.
Ordner Collection(Self.ExchangeFolder) Nein Informationen zu den an einem Vorgang beteiligten Quellordnern; wenn z. B. Ordner ausgewählt und dann gelöscht werden.
AffectedItems Collection(Self.ExchangeItem) Nein Informationen zu jedem Element in der Gruppe.

ExchangeMailboxAuditRecord schema

Parameter Typ Erforderlich? Beschreibung
Element Self.ExchangeItem Nein Steht für das Element, für das der Vorgang ausgeführt wurde.
ModifiedProperties Collection(Edm.String) Nein Noch nicht festgelegt
SendAsUserSmtp Edm.String Nein Die SMTP-Adresse des Benutzers, der imitiert wird.
SendAsUserMailboxGuid Edm.Guid Nein Die Exchange-GUID des Postfachs, auf das zum Senden von E-Mails zugegriffen wurde.
SendOnBehalfOfUserSmtp Edm.String Nein Die SMTP-Adresse des Benutzers, in dessen Auftrag die E-Mail gesendet wird.
SendOnBehalfOfUserMailboxGuid Edm.Guid Nein Die Exchange-GUID des Postfachs, auf das zugegriffen wurde, um die E-Mail im Auftrag zu versenden.

Komplexer ExchangeItem-Typ

Parameter Typ Erforderlich? Beschreibung
Id Edm.String Ja Die Store-ID.
Betreff Edm.String Nein Die Betreffzeile der Nachricht, auf die zugegriffen wurde.
ParentFolder Edm.ExchangeFolder Nein Der Name des Ordners, in dem sich das Element befindet.
Anlagen Edm.String Nein Eine Liste mit den Namen und der Dateigröße aller Elemente, die an die Nachricht angefügt werden.

ExchangeFolder complex type

Parameter Typ Erforderlich? Beschreibung
Id Edm.String Ja Die Store-ID des Ordnerobjekts.
Pfad Edm.String Nein Der Name des Postfachordners, in dem sich die Nachricht, auf die zugegriffen wurde, befindet.

OWA-Authentifizierungsschema

Parameter Typ Erforderlich? Beschreibung
UniqueTokenIdentifier Edm.String Nein Ein eindeutiger Bezeichner für die Ressource.
ResourceURL Edm.String Nein Die Ressourcen-URL.

Azure Active Directory-Basisschema

Parameter Typ Erforderlich? Beschreibung
AzureActiveDirectoryEventType Self.AzureActiveDirectoryEventType Ja Der Typ des Microsoft Entra Ereignisses.
ExtendedProperties Collection(Common.NameValuePair) Nein Die erweiterten Eigenschaften des Microsoft Entra-Ereignisses.
ModifiedProperties Collection(Common.ModifiedProperty) Nein Diese Eigenschaft wird für Administratorereignisse einbezogen. Die Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft.

Enumeration: AzureActiveDirectoryEventType - Typ -Edm.Int32

AzureActiveDirectoryEventType

Elementname Beschreibung
AccountLogon Das Kontoanmeldeereignis.
AzureApplicationAuditEvent Das Sicherheitsereignis der Azure-Anwendung.

Azure Active Directory-Kontoanmeldeschema

Parameter Typ Erforderlich? Beschreibung
Anwendung Edm.String Nein Die Anwendung, die das Kontoanmeldeereignis auslöst, z. B. Office 15.
Client Edm.String Nein Details zum Clientgerät, dem Gerätebetriebssystem und dem Gerätebrowser, die für das Kontoanmeldeereignis verwendet wurden.
LoginStatus Edm.Int32 Ja Diese Eigenschaft wird direkt aus OrgIdLogon.LoginStatus übertragen. Die Zuordnung verschiedener interessanter Anmeldefehler kann durch Warnalgorithmen erfolgen.
UserDomain Edm.String Ja Die Mandanten-Identitätsinformationen (TII).

Enumeration: CredentialType - Typ: Edm.Int32

Wert Elementname Beschreibung
-1 Andere Weitere Authentifizierung.
0 Kennwort Die Anmeldung erfolgt über einen Benutzernamen und ein Kennwort.
1 MobilePhone Die Anmeldung erfolgt über ein Mobiltelefon.
2 SecretQuestion Die Anmeldung erfolgt über eine geheime Frage.
3 SecurePin Die Anmeldung erfolgt über eine sichere PIN.
4 SecurePinReset Die Anmeldung erfolgt über das Zurücksetzen einer sicheren PIN.
11 EasyID Die Benutzeranmeldeinformationen bestehen aus einer EasyID.
14 PasswordIndexCredentialType Die Anmeldung erfolgt über PasswordIndexCredentialType.
16 Gerät Die Anmeldung erfolgt über ein Gerät.
17 ForeignRealmIndex Die Anmeldung erfolgt über ForeignRealmIndex.

Enumeration: LoginType - Typ: Edm.Int32

Wert Elementname Beschreibung
-1 Andere Ein anderer i-Typ.
1 InitialAuth Anmeldung mit anfänglicher Authentifizierung.
2 CookieCopy Anmeldung mit Cookie.
3 SilentReAuth Anmeldung mit automatischer erneuter Authentifizierung.

Enumeration: AuthenticationMethod - Typ: Edm.Int32

Wert Elementname Beschreibung
0 Min Die Authentifizierung erfolgt über eine Min.
1 Kennwort Die Authentifizierung erfolgt über ein Kennwort.
2 Digest Die Authentifizierung erfolgt über einen Digest.
3 ProxyAuth Die Authentifizierung erfolgt über ProxyAuth.
4 InfoCard Die Authentifizierung erfolgt über InfoCard.
5 DAToken Die Authentifizierung erfolgt über ein DAToken.
6 Sha1RememberMyPassword Die Authentifizierung erfolgt über Sha1RememberMyPassword.
7 LMPasswordHash Die Authentifizierung erfolgt über LMPasswordHash.
8 ADFSFederatedToken Die Authentifizierung erfolgt über ADFSFederatedToken.
9 EID Die Authentifizierung erfolgt über EID.
10 DeviceID Die Authentifizierung erfolgt über DeviceID.
11 MD5 Die Authentifizierung erfolgt über MD5.
12 EncProxyPasswordHash Die Authentifizierung erfolgt über EncProxyPasswordHash.
13 LWAFederation Die Authentifizierung erfolgt über LWAFederation.
14 Sha1HashedPassword Die Authentifizierung erfolgt über Sha1HashedPassword.
15 SecurePin Die Authentifizierung erfolgt über eine sichere Pin.
16 SecurePinReset Die Authentifizierung erfolgt über das Zurücksetzen einer sicheren Pin.
17 SAML20PostSimpleSign Die Authentifizierung erfolgt über SAML20PostSimpleSign.
18 SAML20Post Die Authentifizierung erfolgt über SAML20Post.
19 OneTimeCode Die Authentifizierung erfolgt über einen einmalig verwendbaren Code.

Azure Active Directory-Schema

Parameter Typ Erforderlich? Beschreibung
Akteur Collection(Self.IdentityTypeValuePair) Nein Der Benutzer oder Dienstprinzipal, der die Aktion ausgeführt hat.
ActorContextId Edm.String Nein Die GUID der Organisation, der der Akteur gehört.
ActorIpAddress Edm.String Nein Die IP-Adresse des Akteurs im IPV4- oder IPV6-Adressformat.
InterSystemsId Edm.String Nein Die GUID, die die Aktionen in Komponenten innerhalb des Office 365-Dienstes nachverfolgt.
IntraSystemsId Edm.String Nein Die GUID, die vom Azure Active Directory zum Nachverfolgen der Aktion generiert wird.
SupportTicketId Edm.String Nein Die Kundensupport-Ticket-ID für die Aktion in "Aktionen im Auftrag von"-Situationen.
Ziel Collection(Self.IdentityTypeValuePair) Nein Der Benutzer, beim dem die Aktion (identifiziert durch die Eigenschaft Vorgang) ausgeführt wurde.
TargetContextId Edm.String Nein Die GUID der Organisation, der der Zielbenutzer angehört.

Complex Type IdentityTypeValuePair

Parameter Typ Erforderlich? Beschreibung
ID Edm.String Ja Der Wert der angegebenen Identität.
Typ Self.IdentityType Ja Der Typ der Identität.

Enumeration: IdentityType - Typ: Edm.Int32

IdentityType

Elementname Beschreibung
Anspruch Die Identität ist ein Anspruch zum Zweck der Autorisierung.
Name Der Anzeigename des Akteurs des Überwachungsprotokolls oder der Zielidentität.
Andere Die Identität des Akteurs ist vom Typ Andere, wie z. B. die Objekt-ID, die vom Office 365-Dienst generiert wird.
PUID Der Akteur der Überwachungsaktion oder die Ziel-Passport Unique ID (PUID).
SPN Die Identität eines Dienstprinzipals, wenn die Aktion vom Office 365-Dienst ausgeführt wird.
UPN Der Benutzerprinzipalname.

Azure Active Directory-Secure Token Service (STS)-Anmeldeschema

Parameter Typ Erforderlich? Beschreibung
ApplicationId Edm.String Nein Die GUID, die die Anwendung darstellt, von der die Anmeldung angefordert wird. Der Anzeigename kann über die Azure Active Directory Graph-API betrachtet werden.
Client Edm.String Nein Client-Geräteinformationen, die von dem Browser bereitgestellt werden, der die Anmeldung ausführt.
DeviceProperties Collection(Common.NameValuePair) Nein Diese Eigenschaft enthält verschiedene Gerätedetails, darunter ID, Anzeigename, Betriebssystem, Browser, IsCompliant, IsCompliantAndManaged, SessionId und DeviceTrustType. Die DeliverableType-Eigenschaft kann die folgenden Werte aufweisen:

0 – Microsoft Entra registriert
1 – Microsoft Entra verknüpft
2. Hybrid-Microsoft Entra eingebunden
ErrorCode Edm.String Nein Für fehlgeschlagene Anmeldungen (bei denen der Wert für die Operation-Eigenschaft "UserLoginFailed" lautet) enthält diese Eigenschaft den Azure Active Directory STS (AADSTS)-Fehlercode. Beschreibungen dieser Fehlercodes finden Sie unter Authentifizierungs- und Autorisierungsfehlercodes. Der Wert 0 zeigt eine erfolgreiche Anmeldung an.
LogonError Edm.String Nein Bei fehlgeschlagenen Anmeldungen enthält diese Eigenschaft eine benutzerlesbare Beschreibung des Grunds für den Anmeldefehler.

DLP-Schema

DLP-Ereignisse sind für Exchange Online, Endpunkte(Geräte) und SharePoint Online und OneDrive for Business verfügbar. Beachten Sie, dass DLP-Ereignisse in Exchange nur für Ereignisse basierend auf einer einheitlichen DLP-Richtlinie (z. B. über das Security & Compliance Center konfiguriert) verfügbar sind. Auf Exchange-Transportregeln basierende DLP-Ereignisse werden nicht unterstützt.

DLP-Ereignisse (Data Loss Prevention, Verhinderung von Datenverlust) enthalten immer UserKey = "DlpAgent" im allgemeinen Schema. Es gibt drei Arten von DlpEvents, die als Wert für die Operation-Eigenschaft des allgemeinen Schemas gespeichert sind:

  • DlpRuleMatch: Zeigt an, dass eine Regel abgeglichen wurde. Diese Ereignisse sind in allen Exchange,Endpoint(Devices) und SharePoint Online und OneDrive for Business vorhanden. In Exchange enthalten sie falsch positive Ergebnisse und Informationen zur Außerkraftsetzung. In SharePoint Online und OneDrive for Business generieren falsch positive Ergebnisse und Außerkraftsetzungen separate Ereignisse.

  • DlpRuleUndo: Nur in SharePoint Online und OneDrive for Business vorhanden. Gibt an, dass eine zuvor angewendete Richtlinienaktion "rückgängig" gemacht wurde – entweder aufgrund einer Identifizierung falsch positiver Ergebnisse/Außerkraftsetzung durch den Benutzer oder weil das Dokument nicht mehr der Richtlinie unterliegt (entweder aufgrund einer Richtlinienänderung oder einer Änderung des Dokumentinhalts).

  • DlpInfo: Nur in SharePoint Online und OneDrive for Business vorhanden. Gibt an, dass falsch positive Ergebnisse identifiziert wurden, aber keine Aktion "Rückgängig" durchgeführt wurde.

Parameter Typ Erforderlich Beschreibung
SharePointMetaData Self.SharePointMetadata Nein Beschreibt Metadaten über das Dokument in SharePoint oder OneDrive for Business, die vertrauliche Informationen enthalten.
ExchangeMetaData Self.ExchangeMetadata Nein Beschreibt Metadaten über die E-Mail-Nachricht, die vertrauliche Informationen enthalten.
EndpointMetaData Selbst. EndpointMetadata Nein Beschreibt Metadaten zum Dokument im Endpunkt, das die vertraulichen Informationen enthält.
ExceptionInfo Edm.String Nein Gibt Gründe an, warum eine Richtlinie nicht mehr anwendbar ist und/oder enthält vom Endbenutzer vermerkte Informationen zu falsch positiven Ergebnissen und/oder zur Außerkraftsetzung.
PolicyDetails Sammlung (Self. PolicyDetails) Ja Informationen zu 1 oder mehreren Richtlinien, die das DLP-Ereignis ausgelöst haben.
SensitiveInfoDetectionIsIncluded Boolesch Ja Gibt an, ob das Ereignis den Wert des vertraulichen Datentyps und umgebende Kontextinformationen aus dem Quellinhalt enthält. Für den Zugriff auf vertrauliche Daten wird die Berechtigung "Lesen von DLP-Richtlinienereignissen einschließlich vertraulicher Informationen" in Azure Active Directory benötigt.

Komplexer SharePointMetadata-Typ

Parameter Typ Erforderlich? Beschreibung
Von Edm.String Ja Der Benutzer, der das Ereignis ausgelöst hat. Dies ist entweder der FileOwner, LastModifier oder LastSharer.
itemCreationTime Edm.Date Ja Datumzeitstempel in UTC, wann das Ereignis protokolliert wurde.
SiteCollectionGuid Edm.Guid Ja Die GUID der Websitesammlung.
SiteCollectionUrl Edm.String Ja Die URL der SharePoint-Website.
FileName Edm.String Ja Der Name der Pfads.
FileOwner Edm.String Ja Der Besitzer des Dokuments.
FilePathUrl Edm.String Ja Die URL des Dokuments.
DocumentLastModifier Edm.String Ja Der Benutzer, der das Dokument zuletzt geändert hat.
DocumentSharer Edm.String Ja Der Benutzer, der das Dokument zuletzt freigegeben hat.
UniqueId Edm.String Ja Eine GUID, die die Datei identifiziert.
LastModifiedTime Edm.DateTime Ja Zeitstempel in UTC, wann das Dokument zuletzt geändert wurde.
IsViewableByExternalUsers Edm.Boolean Ja Bestimmt, ob ein externer Benutzer auf die Datei zugreifen kann.

Komplexer ExchangeMetadata-Typ

Parameter Typ Erforderlich? Beschreibung
MessageID Edm.String Ja Die Nachrichten-ID der E-Mail, die das Ereignis ausgelöst hat.
Von Edm.String Ja Der Benutzer, der die E-Mail-Adresse gesendet hat.
An Collection(Edm.String) Nein Eine Sammlung von E-Mail-Adressen, die in der An-Zeile der Nachricht enthalten waren.
CC Collection(Edm.String) Nein Eine Sammlung von E-Mail-Adressen, die in der CC-Zeile der Nachricht enthalten waren.
BCC Collection(Edm.String) Nein Eine Sammlung von E-Mail-Adressen, die in der BCC-Zeile der Nachricht enthalten waren.
Betreff Edm.String Ja Der Betreff der E-Mail-Nachricht.
Gesendet Edm.DateTime Ja Die Uhrzeit in UTC, wann die E-Mail gesendet wurde.
RecipientCount Edm.Int32 Ja Die Gesamtzahl aller Empfänger in den Zeilen An, CC und BCC der Nachricht.

Komplexer EndpointMetadata-Typ

Parameter Typ Erforderlich? Beschreibung
SensitiveInformation Sammlung (Self. SensitiveInformation) Nein Informationen über die Art der erkannten vertraulichen Informationen.
EnforcementMode Edm.String Ja Geben Sie an, ob die AUF 1/2/3/4/5 festgelegte DLP-Regel audit/warn(block with override)/warn bzw. bypass/block/allow(audit without alerts) darstellt.
FileExtension Edm.String Nein Die Dateierweiterung des Dokuments, das die vertraulichen Informationen enthielt.
FileType Edm.String Nein Der Dateityp des Dokuments, das die vertraulichen Informationen enthält.
DeviceName Edm.String Nein Der Name des Geräts, auf dem eine DLP-Regeleinstimmung erkannt wurde.

Komplexer PolicyDetails-Typ

Parameter Typ Erforderlich? Beschreibung
PolicyId Edm.Guid Ja Die Guid der DLP-Richtlinie für dieses Ereignis.
PolicyName Edm.String Ja Die Anzeigename der DLP-Richtlinie für dieses Ereignis.
Regeln Sammlung (Self.Rules) Ja Informationen zu den Regeln in der Richtlinie, die für dieses Ereignis abgeglichen wurden.

Komplexer Rules-Typ

Parameter Typ Erforderlich? Beschreibung
RuleId Edm.Guid Ja Die Guid der DLP-Richtlinie für dieses Ereignis.
RuleName Edm.String Ja Der Anzeigename der DLP-Richtlinie für dieses Ereignis.
Aktionen Collection(Edm.String) Nein Eine Liste der Aktionen, die als Ergebnis eines RuleMatch DLP-Ereignisses durchgeführt wurden.
OverriddenActions Collection(Edm.String) Nein Eine Liste der zuvor ausgeführten Aktionen, die jetzt aufgrund eines DLPRuleUndo-Ereignisses rückgängig gemacht wurden.
Severity Edm.String Nein Der Schweregrad (Niedrig, Mittel und Hoch) der Regelentsprechung.
RuleMode Edm.String Ja Gibt an, ob die DLP-Regel auf Erzwingen, Überwachen mit Benachrichtigen oder Nur Überwachen festgelegt wurde.
ConditionsMatched Self.ConditionsMatched Nein Details, welche Bedingungen der Regel für dieses Ereignis erfüllt wurden.

Komplexer ConditionsMatched-Typ

Parameter Typ Erforderlich? Beschreibung
SensitiveInformation Sammlung (Self. SensitiveInformation) Nein Informationen über die Art der erkannten vertraulichen Informationen.
DocumentProperties Collection(NameValuePair) Nein Informationen zu Dokumenteigenschaften, die eine Regelentsprechung ausgelöst haben.
OtherConditions Collection(NameValuePair) Nein Eine Liste der Schlüssel-Wert-Paare zur Beschreibung beliebiger anderer Kriterien, die erfüllt wurden.

Komplexer SensitiveInformation-Typ

Parameter Typ Erforderlich? Beschreibung
Confidence Edm.Int Ja Die aggregierte Konfidenz aller Musterübereinstimmungen für den Typ vertraulicher Informationen.
Anzahl Edm.Int Ja Gesamtanzahl der erkannten vertraulichen Instanzen.
Speicherort Edm.String Nein
SensitiveType Edm.Guid Ja Eine Guid, die den Typ der erkannten vertraulichen Daten bezeichnet.
SensitiveInformationDetections Self.SensitiveInformationDetections Nein Ein Array von Objekten, das vertrauliche Informationsdaten und die folgenden Details enthält: übereinstimmender Wert und Kontext des übereinstimmenden Werts.
SensitiveInformationDetailedClassificationAttributes Collection(SensitiveInformationDetailedConfidenceLevelResult) Ja Informationen über die Anzahl der erkannten Typen vertraulicher Informationen für jedes der drei Konfidenzniveaus (Hoch, Mittel und Niedrig) und ob sie der DLP-Regel entsprechen oder nicht
SensitiveInformationTypeName Edm.String Nein Name des Typs vertraulicher Informationen.
UniqueCount Edm.Int32 Ja Anzahl der verschiedenen erkannten vertraulichen Instanzen.

Komplexer Typ „SensitiveInformationDetailedClassificationAttributes“

Parameter Typ Erforderlich? Beschreibung
Confidence Edm.int32 Ja Das Konfidenzniveau des erkannten Musters wurde erkannt.
Anzahl Edm.Int32 Ja Die Anzahl der erkannten vertraulichen Instanzen für ein bestimmtes Konfidenzniveau.
IsMatch Edm.Boolean Ja Zeigt an, ob die angegebene Anzahl und das Konfidenzniveau des Typs vertraulicher Informationen zu einer Übereinstimmung mit einer DLP-Regel führt.

Komplexer SensitiveInformationDetections-Typ

Vertrauliche DLP-Daten sind nur in der Aktivitätsfeed-API für Benutzer verfügbar, denen die Berechtigung "Lesen vertraulicher DLP-Daten" erteilt wurde.

Parameter Typ Erforderlich? Beschreibung
DetectedValues Collection(Common.NameValuePair) Ja Ein Array vertraulicher Informationen, die erkannt wurden. Die Informationen enthalten Schlüssel-Wert-Paare mit Wert = übereinstimmend (z. B. Der Wert des Guthabens Karte) und Context = ein Auszug aus dem Quellinhalt, der den übereinstimmend wert enthält.
ResultsTruncated Edm.Boolean Ja Zeigt an, ob die Protokolle aufgrund einer großen Anzahl von Ergebnissen abgeschnitten wurden.

Komplexer ExceptionInfo-Typ

Parameter Typ Erforderlich? Beschreibung
Grund Edm.String Nein Bei einem DLPRuleUndo-Ereignis gibt dies an, warum die Regel nicht mehr gilt, was einer der Gründe 3 sein kann: Außerkraftsetzung, Dokumentänderung oder Änderung der Sicherheitsrichtlinie.
FalsePositive Edm.Boolean Nein Gibt an, ob der Benutzer dieses Ereignis als falsch positives Ergebnis festgelegt hat.
Begründung Edm.String Nein Wenn sich der Benutzer entscheidet, die Richtlinie außer Kraft zu setzen, werden alle Begründungen des Benutzers hier erfasst.
Regeln Collection(EDM.GUID) Nein Eine Auflistung von Guids für jede Regel, die als falsch positives Ergebnis oder Außerkraftsetzung eingestuft wurde oder für die eine Aktion rückgängig gemacht wurde.

Security & Compliance Center-Schema

Parameter Typ Erforderlich Beschreibung
StartTime Edm.Date Nein Datum und Uhrzeit der Ausführung des Cmdlets.
ClientRequestId Edm.String Nein Eine GUID, die verwendet werden kann, um dieses Cmdlet mit den Security & Compliance Center-UX-Vorgängen zu koordinieren. Diese Informationen werden nur vom Microsoft Support verwendet.
CmdletVersion Edm.String Nein Die Buildversion des Cmdlets, als es ausgeführt wurde.
EffectiveOrganization Edm.String Nein Die GUID für die vom Cmdlet betroffene Organisation. (Veraltet: Dieser Parameter wird in der Zukunft nicht mehr angezeigt.)
UserServicePlan Edm.String Nein Der Exchange Online Protection-Serviceplan, der dem Benutzer, der das Cmdlet ausgeführt hat, zugewiesen wurde.
ClientApplication Edm.String Nein Wenn das Cmdlet von einer Anwendung und nicht von einer PowerShell-Remoteinstanz ausgeführt wurde, enthält dieses Feld den Namen der Anwendung.
Parameter Edm.String Nein Der Name und der Wert für Parameter, die mit dem Cmdlet verwendet wurden und keine personenbezogenen Informationen enthalten.
NonPiiParameters Edm.String Nein Der Name und der Wert für Parameter, die mit dem Cmdlet verwendet wurden und personenbezogene Informationen enthalten. (Veraltet: Dieses Feld wird in der Zukunft nicht mehr angezeigt, und der Inhalt wird mit dem Feld "Parameter" zusammengeführt.)

Security &Compliance-Warnung-Schema

Warnsignale umfassen:

Die Benutzer-ID und der UserKey für diese Ereignisse sind immer SecurityComplianceAlerts. Es gibt drei Arten von Warnereignissen, die als Wert für die Operation-Eigenschaft des allgemeinen Schemas gespeichert sind:

  • AlertTriggered: Eine neue Warnung wird aufgrund einer Richtlinienenübereinstimmung generiert.

  • AlertEntityGenerated: Eine neue Entität wird zu einer Warnung hinzugefügt. Dieses Ereignis ist nur für Warnungen anwendbar, die basierend auf Warnungsrichtlinien im Security & Compliance Center generiert wurden. Jede generierte Warnung kann einem oder mehreren dieser Ereignisse zugeordnet werden. Beispielsweise ist eine Richtlinie so definiert, dass eine Warnung ausgelöst wird, wenn ein beliebiger Benutzer mehr als 100 Dateien in 5 Minuten löscht. Wenn zwei Benutzer in etwa der gleichen Zeit den Schwellenwert überschreiten, gibt es zwei AlertEntityGenerated-Ereignisse, aber nur ein AlertTriggered-Ereignis.

  • AlertUpdated: Eine Aktualisierung der Metadaten eine Warnung wurde vorgenommen. Dieses Ereignis wird protokolliert, wenn der Status einer Warnung geändert wird (z. B. von "Aktiv" zu "Gelöst") und wenn jemand einen Kommentar zu der Warnung hinzufügt.

Parameter Typ Erforderlich Description
AlertId Edm.Guid Ja Die GUID der Warnung.
AlertType Self.String Ja Die Art der Warnung. Zu den Warnungstypen gehören:
  • System
  • Benutzerdefiniert
Name Edm.String Ja Der Name der Warnung.
PolicyId Edm.Guid Nein Die GUID der Richtlinie, die die Warnung ausgelöst hat.
Status Edm.String Nein Der Status der Warnung. Zu den Statuswerten gehören:
  • Aktiv

  • Wird untersucht
  • Gelöst
  • Geschlossen
Severity Edm.String Nein Der Schweregrad der Warnung. Zu den Schweregraden gehören:
  • Niedrig
  • Mittel
  • Hoch
Kategorie Edm.String Nein Die Kategorie der Warnung. Zu den Kategorien gehören:
  • AccessGovernance
  • DataGovernance
  • DataLossPrevention
  • InsiderRiskManagement
  • MailFlow
  • ThreatManagement
  • Andere
Quelle Edm.String Nein Die Quelle der Warnung. Zu den Quellen gehören:
  • Office 365 Security & Compliance
  • Cloud-App-Sicherheit
Kommentare Edm.String Nein Kommentare von Benutzer, die die Warnung angezeigt haben. Standardmäßig "Neue Warnung"
Daten Edm.String Nein Der detaillierte Datenblob der Warnung oder Warnungsentität.
AlertEntityId Edm.String Nein Die ID für die Warnungsentität. Dieser Parameter ist nur für AlertEntityGenerated-Ereignisse anwendbar.
EntityType Edm.String Nein Der Typ der Warnung oder Warnungsentität. Zu den Entitätstypen gehören:
  • Benutzer
  • Empfänger
  • Absender
  • MalwareFamily
Dieser Parameter ist nur für AlertEntityGenerated-Ereignisse anwendbar.

Yammer-Schema

Die unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center aufgelisteten Yammer-Ereignisse verwenden dieses Schema.

Parameter Typ Erforderlich Beschreibung
ActorUserId Edm.String Nein Die E-Mail-Adresse des Benutzers, der den Vorgang ausgeführt hat.
ActorYammerUserId Edm.Int64 Nein Die ID des Benutzers, der den Vorgang ausgeführt hat.
DataExportType Edm.String Nein Gibt "Daten" zurück, wenn der Datenexport Nachrichten, Notizen, Dateien, Themen, Benutzer und Gruppen enthält; gibt "Benutzer" zurück, wenn der Datenexport nur Benutzer enthält.
FileId Edm.Int64 Nein Die ID der Datei innerhalb des Vorgangs.
FileName Edm.String Nein Der Name der Datei innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang.
GroupName Edm.String Nein Der Name der Gruppe innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang.
IsSoftDelete Edm.Boolean Nein Gibt „true“ zurück, wenn die Datenaufbewahrungsrichtlinie des Netzwerks auf „Vorläufiges Löschen“ festgelegt ist; gibt „false“ zurück, wenn die Datenaufbewahrungsrichtlinie des Netzwerks auf „Endgültiges Löschen“ festgelegt ist.
MessageId Edm.Int64 Nein Die ID der Nachricht innerhalb des Vorgangs.
YammerNetworkId Edm.Int64 Nein Die Netzwerk-ID des Benutzers, der den Vorgang ausgeführt hat.
TargetUserId Edm.String Nein Die E-Mail-Adresse des Zielbenutzers innerhalb des Vorgangs. Ist leer, falls nicht relevant für den Vorgang.
TargetYammerUserId Edm.Int64 Nein Die ID des Zielbenutzers innerhalb des Vorgangs.
VersionId Edm.Int64 Nein Die Versions-ID der Datei innerhalb des Vorgangs.

Rechenzentrum-Sicherheitsbasis-Schema

Parameter Typ Erforderlich? Beschreibung
DataCenterSecurityEventType Self.DataCenterSecurityEventType Ja Der Typ des Cmdlet-Ereignisses im Feld "Sperren".

Enumeration: DataCenterSecurityEventType - Typ: Edm.Int32

DataCenterSecurityEventType

Elementname Beschreibung
DataCenterSecurityCmdletAuditEvent Dies ist der Enumerationswert für das Cmdlet-Überwachungstyp-Ereignis.

Rechenzentrum-Sicherheits-Cmdlet-Schema

Parameter Typ Erforderlich? Beschreibung
StartTime Edm.Date Ja Die Startzeit der Ausführung des Cmdlets.
EffectiveOrganization Edm.String Ja Der Name des Mandanten, auf den die Erweiterung/das Cmdlet ausgelegt wurde.
ElevationTime Edm.Date Ja Die Startzeit der Erweiterung.
ElevationApprover Edm.String Ja Der Name eines Microsoft-Managers.
ElevationApprovedTime Edm.Date Nein Der Zeitstempel, wann die Erweiterung genehmigt wurde.
ElevationRequestId Edm.Guid Ja Ein eindeutiger Bezeichner für die Erweiterungsanforderung.
ElevationRole Edm.String Nein Die Rolle, für die die Erweiterung angefordert wurde.
ElevationDuration Edm.Int32 Ja Die Dauer, in der die Erweiterung aktiv war.
GenericInfo Edm.String Nein Kommentare und andere generische Informationen.

Microsoft Teams-Schema

Parameter Typ Erforderlich? Beschreibung
Aktion Edm.String Nein Bei freigegebenen Kanalereignissen die Aktion, die der Eingeladene oder der Kanalbesitzer für eine Freigabe mit Team-Einladung ausgeführt hat.
AddOnGuid Edm.Guid Nein Der eindeutige Bezeichner des Add-Ons, das das Ereignis generiert hat.
AddOnName Edm.String Nein Der Name des Add-Ons, das das Ereignis generiert hat.
AddOnType Self.AddOnType Nein Der Typ des Add-Ons, das dieses Ereignis generiert hat.
ChannelGuid Edm.Guid Nein Ein eindeutiger Bezeichner für den überwachten Kanal.
ChannelName Edm.String Nein Der Name des überwachten Kanals.
ChannelType Edm.String Nein Der Typ des zu überwachenden Kanals (Standard/privat).
ExtraProperties Collection(Self.KeyValuePair) Nein Eine Liste zusätzlicher Eigenschaften.
HostedContents Sammlung (Self.HostedContent) Nein Eine Sammlung von Inhalten, die von Chat- oder Kanalnachrichten gehostet werden.
Eingeladener Edm.String Nein Bei freigegebenen Kanalereignissen der UPN des Teambesitzers des eingeladenen Benutzers, der die Einladung für eine Freigabe mit Teameinladung annimmt oder ablehnt.
Members Collection(Self.MicrosoftTeamsMember) Nein Eine Liste der Benutzer innerhalb eines Teams.
MessageId Edm.String Nein Ein Bezeichner für eine Chat- oder Kanalnachricht.
MessageURLs Edm.String Nein Für jede URL vorhanden, die in Teams-Nachrichten gesendet wurde.
Nachrichten Sammlung (Self.Message) Nein Eine Sammlung von Chat- oder Kanalnachrichten.
MessageSizeInBytes Edm.Int64 Nein Die Größe einer Chat- oder Kanalnachricht in Bytes mit UTF-16-Codierung.
Name Edm.String Nein Nur für Einstellungsereignisse vorhanden. Der Name der geänderten Einstellung.
NewValue Edm.String Nein Nur für Einstellungsereignisse vorhanden. Neuer Wert der Einstellung.
OldValue Edm.String Nein Nur für Einstellungsereignisse vorhanden. Alter Wert der Einstellung.
SubscriptionId Edm.String Nein Ein eindeutiger Bezeichner eines Microsoft Graph-Änderungsbenachrichtigungsabonnements.
TabType Edm.String Nein Nur für Registerkartenereignisse vorhanden. Der Registerkartentyp, der das Ereignis generiert hat.
TeamGuid Edm.Guid Nein Die eindeutige ID des überwachten Teams.
TeamName Edm.String Nein Der Name des überwachten Teams.

Komplexer MicrosoftTeamsMember-Typ

Parameter Typ Erforderlich? Beschreibung
UPN Edm.String Nein Der Benutzerprinzipalname des Benutzers.
Rolle Self.MemberRoleType Nein Die Rolle des Benutzers innerhalb des Teams.
DisplayName Edm.String Nein Der Anzeigename des Benutzers.

Enumeration: MemberRoleType - Typ: Edm.Int32

MemberRoleType

Wert Elementname Beschreibung
0 Member Ein Benutzer, der Mitglied des Teams ist.
1 Besitzer Ein Benutzer, der Besitzer des Teams ist.
2 Gast Ein Benutzer, der kein Mitglied des Teams ist.

Komplexer Typ "KeyValuePair"

Parameter Typ Erforderlich? Beschreibung
Key Edm.String Nein Der Schlüssel des Schlüssel-Wert-Paars.
Value Edm.String Nein Der Wert des Schlüssel-Wert-Paars.

Enumeration: AddOnType - Typ: Edm.Int32

AddOnType

Wert Elementname Beschreibung
1 Bot Ein Microsoft Teams-Bot.
2 Connector Ein Microsoft Teams-Konnektor.
3 Tab Eine Microsoft Teams-Registerkarte.

HostedContent komplexer Typ

Parameter Typ Erforderlich? Beschreibung
Id Edm.String Ja Ein eindeutiger Bezeichner des von einer Nachricht gehosteten Inhalts.
SizeInBytes Edm.Int64 Nein Die Größe des von einer Nachricht gehosteten Inhalts in Bytes.

Komplexer Nachrichtentyp

Parameter Typ Erforderlich? Beschreibung
AADGroupId Edm.String Nein Ein eindeutiger Bezeichner der Gruppe in Azure Active Directory, zu der die Nachricht gehört.
Id Edm.String Ja Ein eindeutiger Bezeichner für die Chat- oder Kanalnachricht.
ChannelGuid Edm.String Nein Ein eindeutiger Bezeichner des Kanals, zu dem die Nachricht gehört.
ChannelName Edm.String Nein Der Name des Kanals, zu dem die Nachricht gehört.
ChannelType Edm.String Nein Der Typ des Kanals, zu dem die Nachricht gehört.
ChatName Edm.String Nein Der Name des Chats, zu dem die Nachricht gehört.
ChatThreadId Edm.String Nein Ein eindeutiger Bezeichner für den Chat, zu dem die Nachricht gehört.
ParentMessageId Edm.String Nein Ein eindeutiger Bezeichner für die übergeordnete Chat- oder Kanalnachricht.
SizeInBytes Edm.Int64 Nein Die Größe der Nachricht in Bytes mit UTF-16-Codierung.
TeamGuid Edm.String Nein Ein eindeutiger Bezeichner für den Team, zu dem die Nachricht gehört.
TeamName Edm.String Nein Der Name des Teams, zu dem die Nachricht gehört.
Version Edm.String Nein Die Version der Chat- oder Kanalnachricht.

Microsoft Defender für Office 365 und Threat Investigation and Response-Schema

Microsoft Defender für Office 365- und Threat Investigation and Response-Ereignisse stehen jetzt für Office 365-Kunden zur Verfügung, die einen Defender für Office 365 Plan 1, Defender für Office 365 Plan 2 oder ein E5-Abonnement haben. Jedes Ereignis im Defender für Office 365-Feed entspricht Folgendem, das als Bedrohung eingestuft wurde:

Hinweis

Funktionen von Microsoft Defender für Office 365 und Office 365 Threat Investigation and Response (vormals bekannt als „Office 365 Threat Intelligence“) sind nun Bestandteil von Defender für Office 365 Plan 2, mit zusätzlichen Funktionen zum Schutz vor Bedrohungen. Weitere Informationen hierzu finden Sie unter Microsoft Defender für Office 365 – Pläne und Preise und in der Defender für Office 365-Dienstbeschreibung.

E-Mail-Nachricht-Ereignisse

Parameter Typ Erforderlich? Beschreibung
AttachmentData Collection(Self.AttachmentData) Nein Daten zu Anlagen der E-Mail-Nachricht, die das Ereignis ausgelöst hat.
DetectionType Edm.String Ja Der Typ der Erkennung (z. B. Inline – erkannt zum Übermittlungszeitpunkt; Verzögert – erkannt nach Zustellung; ZAP – Nachrichten durch Automatische Bereinigung zur Nullstunde) entfernt. In der Regel geht Ereignissen mit ZAP-Erkennungstyp eine Nachricht mit dem Erkennungstyp Verzögert voraus.
DetectionMethod Edm.String Ja Die Methode oder Technologie, die von Defender für Office 365 für die Erkennung verwendet wurde.
InternetMessageId Edm.String Ja Die Internetnachrichten-ID.
NetworkMessageId Edm.String Ja Die Nachrichten-ID des Exchange Online-Netzwerks.
P1Sender Edm.String Ja Der Rückpfad des Absenders der E-Mail-Nachricht.
P2Sender Edm.String Ja Der Absenders der E-Mail-Nachricht.
Richtlinie Self.Policy Ja Der für die E-Mail-Nachricht relevante Filterrichtlinientyp (z. B. Antispam oder Antiphishing) und der zugehörige Aktionstyp (z. B. Nachricht mit hoher Spamwahrscheinlichkeit, Spam oder Phishing).
Richtlinie Self.PolicyAction Ja Die für die E-Mail-Nachricht relevante und in der Filterrichtlinie konfigurierte Aktion (z. B. In Junk-E-Mail-Ordner verschieben oder Quarantäne).
P2Sender Edm.String Ja Der Absender im Feld Von: der E-Mail-Nachricht.
Empfänger Collection(Edm.String) Ja Enthält eine Reihe von Empfängern einer E-Mail-Nachricht.
SenderIp Edm.String Ja Die IP-Adresse, die die E-Mail über Office 365 übermittelt hat. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
Betreff Edm.String Ja Die Betreffzeile der Nachricht.
Verdict Edm.String Ja Die Bewertung der Nachricht.
MessageTime Edm.Date Ja Zeitpunkt in UTC, zu dem die E-Mail empfangen oder gesendet wurde.
EventDeepLink Edm.String Ja Deep-Link zum E-Mail-Ereignis im Explorer oder Echtzeit-Berichten im Office 365 Security & Compliance Center.
Sendeaktion Edm.String Ja Die ursprüngliche Sendeaktion für die E-Mail-Nachricht.
Ursprünglicher Übermittlungsort Edm.String Ja Der ursprüngliche Übermittlungsort der E-Mail-Nachricht.
Letzter Übermittlungsort Edm.String Ja Der letzte Übermittlungsort der E-Mail-Nachricht zum Zeitpunkt des Ereignisses.
Directionality Edm.String Ja Gibt an, ob eine E-Mail-Nachricht ein- oder ausgehend war, oder ob es sich um eine organisationsinterne Nachricht handelte.
ThreatsAndDetectionTech Edm.String Ja Die Bedrohungen und die entsprechenden Erkennungstechnologien. In diesem Feld werden alle Bedrohungen einer E-Mail-Nachricht angezeigt, einschließlich des neuesten Zusatzes zur Spambewertung.  Beispiel: ["Phish: [Spoof DMARC]","Spam: [URL malicious reputation]"]. Die verschiedenen Erkennungstechnologien werden weiter unten beschrieben.
AdditionalActionsAndResults Collection(Edm.String) Nein Die zusätzlichen Aktionen, die für die E-Mail ausgeführt wurden, z. B. ZAP oder manuelle Wartung. Umfasst auch die entsprechenden Ergebnisse.
Connectors Edm.String Nein Die Namen und GUIDs der Connectors, die der E-Mail zugeordnet sind.
AuthDetails Collection(Self.AuthDetails) Nein Die Authentifizierungsprüfungen, die für die E-Mail durchgeführt werden. Umfasst auch die Werte für SPF, DKIM, DMARC und CompAuth.
SystemOverrides Collection(Self.SystemOverrides) Nein Außerkraftsetzungen, die für die E-Mail gelten. Dabei kann es sich um System- oder Benutzeraußerkraftsetzungen handelt.
Phishing-Konfidenzniveau Edm.String Nein Gibt das Konfidenzniveau an, das der Phishing-Bewertung zugeordnet ist. Kann „Normal“ oder „Hoch“ sein.

Hinweis

Wir empfehlen, das neue Feld "ThreatsAndDetectionTech" zu verwenden, da hierin mehrere Bewertungen und die aktualisierten Erkennungstechnologien angezeigt werden. Dieses Feld entspricht auch den Werten, die in anderen Erfahrungen wie dem Sicherheitsrisiken-Explorer und der erweiterten Bedrohungssuche angezeigt würden.

Erkennungstechnologien

Name Beschreibung
Erweiterter Filter Phishing-Signale auf Grundlage von maschinellem Lernen.
Anti-Malware-Engine Erkennung von Schadsoftware-Engines.
Kampagne Nachrichten, die als Teil einer Kampagne identifiziert wurden.
Domänenreputation Analyse basierend auf der Domänenreputation.
Dateidetonation Dateianlagen, die während einer Detonationsanalyse als schädlich erkannt wurden.
Reputation der Dateidetonation Aufgrund der Reputation früherer Detonation als schädlich gekennzeichnete Dateianlage.
Datei-Reputation Aufgrund von schlechter Zuverlässigkeit als schädlich gekennzeichnete Dateianlagen.
Fingerabdruckübereinstimmung Die Nachricht wurde aufgrund vorheriger Nachrichten als schädlich gekennzeichnet.
Allgemeiner Filter Phishing-Signale basierend auf Regeln.
Vorgetäuschte Marke Der Dateityp der Anlage.
Vorgetäuschte Domäne Vortäuschen von Domänen, die der Kunde besitzt oder definiert.
Vorgetäuschte Benutzeridentität Vortäuschung von Benutzeridentitäten, die vom Administrator definiert oder deren Erkennung über Mailbox Intelligence erlernt wurde.
Mailbox Intelligence-basierte Identitätsvortäuschung Identitätsvortäuschung basierend auf Mailbox Intelligence.
Erkennung durch gemischte Analysen Mehrere Filter haben zur Bewertung dieser Nachricht beigetragen.
Spoof DMARC DMARC-Authentifizierungsfehler bei Nachrichten.
Spoofing externer Domäne Der Absender versucht, eine andere Domäne zu spoofen.
Organisationsinternes Spoofing Der Absender versucht, die Empfängerdomäne zu spoofen.
URL-Detonation Die Nachricht wurde aufgrund einer vorherigen Detonation einer schädlichen URL als schlecht eingestuft.
Reputation der URL-Detonation Die Nachricht wurde aufgrund einer Detonation einer schädlichen URL als schlecht eingestuft.
URL-Reputation als schädlich eingestuft Die Nachricht wurde aufgrund einer schädlichen URL als schlecht eingestuft.

Komplexer AttachmentData-Typ

AttachmentData

Parameter Typ Erforderlich? Beschreibung
FileName Edm.String Ja Der Dateiname der Anlage.
FileType Edm.String Ja Der Dateityp der Anlage.
FileVerdict Self.FileVerdict Ja Die Bewertung der Schadsoftware der Datei.
MalwareFamily Edm.String Nein Die Familie der Schadsoftware.
SHA256 Edm.String Ja Die Datei mit der Hash-Funktion SHA256.

Hinweis

Innerhalb der Malware-Familie können Sie den genauen MalwareFamily-Namen sehen (z. B. HTML/Phish.VS! MSR) oder schädliche Nutzlast als statische Zeichenfolge. Eine schädliche Nutzlast sollte auch dann als schädliche E-Mail behandelt werden, wenn kein bestimmter Name identifiziert wurde.

Komplexer SystemOverrides-Typ

SystemOverrides

Parameter Typ Erforderlich? Beschreibung
Details Edm.String Nein Die Details zur spezifischen Außerkraftsetzung (z. B. ETR oder sicherer Absender), die angewendet wurde.
FinalOverride Edm.String Nein Gibt die Außerkraftsetzung an, die sich bei mehreren Außerkraftsetzungen auf die Übermittlung ausgewirkt hat.
Result Edm.String Nein Gibt an, ob die E-Mail basierend auf der Außerkraftsetzung auf „Zugelassen“ oder „Blockiert“ festgelegt wurde.
Quelle Edm.String Nein Gibt an, ob die Außerkraftsetzung vom Benutzer oder vom Mandanten konfiguriert wurde.

Komplexer AuthDetails-Typ

AuthDetails

Parameter Typ Erforderlich? Beschreibung
Name Edm.String Nein Der Name der spezifischen Authentifizierungsprüfung, z. B. DKIM oder DMARC.
Wert Edm.String Nein Der Wert, der der spezifischen Authentifizierungsprüfung zugeordnet ist, z. B. „True“ oder „False“.

Enumeration: FileVerdict - Typ: Edm.Int32

FileVerdict

Wert Elementname Beschreibung
0 Gut Keine Bedrohung erkannt.
1 Schlecht Malware in der Anlage gefunden.
-1 Fehler Scan-/Analysefehler.
-2 Timeout Scan-/Analyse-Timeout.
-3 Ausstehend Scan/Analyse nicht abgeschlossen.

Enum: Policy – Type: Edm.Int32

Richtlinientyp und Aktivitätstyp

Wert Elementname Beschreibung
1 Antispam, HSPM Aktion für Nachricht mit hoher Spamwahrscheinlichkeit (HSPM) in der Antispamrichtlinie.
2 Antispam, SPM Aktion für Spamnachricht (SPM) in der Antispamrichtlinie.
3 Antispam, Massensendung Aktion für Massensendungen in der Antispamrichtlinie.
4 Antispam, PHSH Aktion für Phishingnachricht (PHSH) in der Antispamrichtlinie.
5 Antiphishing, DIMP Aktion für Domänenidentitätswechsel (DIMP) in der Antiphishingrichtlinie.
6 Antiphishing, UIMP Aktion für Benutzeridentitätswechsel (UIMP) in der Antiphishingrichtlinie.
7 Antiphishing, SPOOF Aktion für Spoofing in der Antiphishingrichtlinie.
8 Antiphishing, GIMP Aktion für Mailbox Intelligence in der Antiphishingrichtlinie.
9 Antischadsoftware, AMP Schadsoftware-Richtlinienaktion in der Antischadsoftware-Richtlinie.
10 Sichere Anlage, SAP Richtlinienaktion in der Richtlinie für sichere Anlagen in Defender für Office 365.
11 Exchange-Transportregel; ETR Richtlinienaktion in der Exchange-Transportregel.
12 Antischadsoftware, ZAPM Schadsoftware-Richtlinienaktion in der auf ZAP (Automatische Bereinigung zur Nullstunde) angewendeten Antischadsoftware-Richtlinie.
13 Antiphishing, ZAPP Phishing-Richtlinienaktion in der auf ZAP angewendeten Antiphishingrichtlinie.
14 Antiphishing, ZAPS Spam-Richtlinienaktion in der auf ZAP angewendeten Antispamrichtlinie.
15 Antispam-Phishing-E-Mail mit hoher Vertrauenswürdigkeit (HPHISH) Phishing-Richtlinienaktion mit hoher Vertraulichkeit in der Antispamrichtlinie.
17 Antispamrichtlinie für ausgehende Spam-E-Mails (OSPM) Richtlinienaktion in der Filterrichtlinie für ausgehende Spam-E-Mails in Antispam.

Enum: PolicyAction – Type: Edm.Int32

Richtlinienaktion

Wert Elementname Beschreibung
0 MoveToJMF Die Richtlinienaktion besteht darin, das Element in den Junk-E-Mail-Ordner zu verschieben.
1 AddXHeader Die Richtlinienaktion besteht darin, einen X-Header zur E-Mail-Nachricht hinzuzufügen.
2 ModifySubject Die Richtlinienaktion besteht darin, dem Betreff in der E-Mail-Nachricht die in der Filterrichtlinie angegebenen Informationen hinzuzufügen.
3 Redirect Die Richtlinienaktion besteht darin, die E-Mail-Nachricht an die in der Filterrichtlinie angegebene E-Mail-Adresse umzuleiten.
4 Delete Die Richtlinienaktion besteht darin, die E-Mail-Nachricht zu löschen.
5 Quarantine Die Richtlinienaktion besteht darin, die E-Mail-Nachricht in die Quarantäne zu verschieben.
6 NoAction Die Richtlinie ist so konfiguriert, dass keine Aktionen für die E-Mail-Nachricht durchgeführt werden.
7 BccMessage Die Richtlinienaktion besteht darin, die E-Mail-Nachricht per Bcc an die in der Filterrichtlinie angegebene E-Mail-Adresse zu senden.
8 ReplaceAttachment Die Richtlinienaktion besteht darin, die Anlage in der E-Mail-Nachricht wie in der Filterrichtlinie angegeben zu ersetzen.

Ereignisse zum Zeitpunkt des Klickens auf eine URL

Parameter Typ Erforderlich? Beschreibung
UserId Edm.String Ja Bezeichner (z. B. E-Mail-Adresse) für den Benutzer, der auf die URL geklickt hat.
AppName Edm.String Ja Office 365-Dienst, von dem aus auf die URL geklickt wurde (z. B. E-Mail).
URLClickAction Self.URLClickAction Ja Klicken Sie auf die Aktion für die URL basierend auf den Richtlinien der Organisation für Sichere Links in Defender für Office 365.
SourceId Edm.String Ja Bezeichner für den Office 365-Dienst, aus dem die URL angeklickt wurde (für E-Mail ist dies z. B. die Nachrichten-ID des Exchange Online-Netzwerks).
TimeOfClick Edm.Date Ja Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer auf die URL geklickt hat.
URL Edm.String Ja Die URL, auf die der Benutzer geklickt hat.
UserIp Edm.String Ja Die IP-Adresse des Benutzer, der auf die URL geklickt hat. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.

Enum: URLClickAction – Type: Edm.Int32

URLClickAction

Wert Elementname Beschreibung
2 Blockpage Benutzer, für den das Navigieren zur URL durch Sichere Links in Defender für Office 365 blockiert wurde.
3 PendingDetonationPage Benutzer, dem die Seite zur ausstehenden Denotation durch Sichere Links in Defender für Office 365 angezeigt wird.
4 BlockPageOverride Benutzer, dem das Navigieren zur URL durch Sichere Links in Defender für Office 365 blockiert wurde. Der Benutzer hat jedoch die Sperre außer Kraft gesetzt, um zur URL zu navigieren.
5 PendingDetonationPageOverride Benutzer, dem die Seite zur ausstehenden Detonation durch Sichere Links in Defender für Office 365 angezeigt wird. Der Benutzer hat dies jedoch außer Kraft gesetzt, um zur URL zu navigieren.

Dateiereignisse

Parameter Typ Erforderlich? Beschreibung
FileData Self.FileData Ja Daten zu der Datei, die das Ereignis ausgelöst hat.
SourceWorkload Self.SourceWorkload Ja Arbeitslast oder Dienst, in der bzw. in dem die Datei gefunden wurde (z. B. SharePoint Online, OneDrive for Business oder Microsoft Teams).
DetectionMethod Edm.String Ja Die Methode oder Technologie, die von Microsoft Defender für Office 365 für die Erkennung verwendet wurde.
LastModifiedDate Edm.Date Ja Der Zeitpunkt in UTC, zu dem die Datei erstellt oder zuletzt geändert wurde.
LastModifiedBy Edm.String Ja Bezeichner (z. B. eine E-Mail-Adresse) für den Benutzer, der die Datei erstellt oder zuletzt geändert hat.
EventDeepLink Edm.String Ja Deep-Link zum Dateiereignis im Explorer oder Echtzeit-Berichten im Security & Compliance Center.

Komplexer FileData-Typ

FileData

Parameter Typ Erforderlich? Beschreibung
DocumentId Edm.String Ja Eindeutiger Bezeichner für die Datei in SharePoint, OneDrive oder Microsoft Teams.
FileName Edm.String Ja Name der Datei, die das Ereignis ausgelöst hat.
FilePath Edm.String Ja Pfad (Speicherort) zu der Datei in SharePoint, OneDrive oder Microsoft Teams
FileVerdict Self.FileVerdict Ja Die Bewertung der Schadsoftware der Datei.
MalwareFamily Edm.String Nein Die Familie der Schadsoftware.
SHA256 Edm.String Ja Die Datei mit der Hash-Funktion SHA256.
FileSize Edm.String Ja Größe der Datei in Byte.

Enum: SourceWorkload – Type: Edm.Int32

SourceWorkload

Wert Elementname
0 SharePoint Online
1 OneDrive for Business
2 Microsoft Teams

Übermittlungsschema

Übermittlungsereignisse sind für alle Office 365-Kunden verfügbar, da sie im Lieferumfang von Security enthalten sind. Dies schließt Organisationen ein, die Exchange Online Protection und Microsoft Defender für Office 365 verwenden. Jedes Ereignis im Übermittlungsfeed entspricht falsch-positiven oder falsch-negativen Ergebnissen, die übermittelt wurden als:

  • Administratorübermittlung. Nachrichten, Dateien oder URLs, die zur Analyse an Microsoft übermittelt werden.
  • Vom Benutzer gemeldetes Element. Nachrichten, die von Endbenutzern an den Administrator oder an Microsoft zur Überprüfung gemeldet wurden.

Übermittlungsereignisse

Parameter Typ Erforderlich? Beschreibung
AdminSubmissionRegistered Edm.String Nein Die Administratorübermittlung ist registriert und ihre Verarbeitung steht aus.
AdminSubmissionDeliveryCheck Edm.String Nein Das Administratorübermittlungssystem hat die E-Mail-Richtlinie überprüft.
AdminSubmissionSubmitting Edm.String Nein Das Administratorübermittlungssystem übermittelt die E-Mail.
AdminSubmissionSubmitted Edm.String Nein Das Administratorübermittlungssystem hat die E-Mail übermittelt.
AdminSubmissionTriage Edm.String Nein Die Administratorübermittlung wird durch den Grader selektiert.
AdminSubmissionTimeout Edm.String Nein Bei der Administratorübermittlung tritt ein Timeout ohne Ergebnis auf.
UserSubmission Edm.String Nein Die Übermittlung wurde zuerst von einem Endbenutzer gemeldet.
UserSubmissionTriage Edm.String Nein Die Benutzerübermittlung wird durch den Grader selektiert.
CustomSubmission Edm.String Nein Die von einem Benutzer gemeldete Nachricht wurde an das benutzerdefinierte Postfach der Organisation gesendet, wie in den Einstellungen für vom Benutzer gemeldete Nachrichten festgelegt.
AttackSimUserSubmission Edm.String Nein Die vom Benutzer gemeldete Nachricht war tatsächlich eine Phishingsimulations-Trainingsnachricht.
AdminSubmissionTablAllow Edm.String Nein Zum Zeitpunkt der Übermittlung wurde eine Zulassung erstellt, um sofort Maßnahmen für ähnliche Nachrichten zu ergreifen, während sie erneut gescannt wird.
SubmissionNotification Edm.String Nein Administratorfeedback wird an Endbenutzer gesendet.

Automatisierte Untersuchungs- und Reaktionsereignisse in Office 365

Office 365 Automated Investigation and Response (AIR)-Ereignisse (Automatisierte Untersuchung und Reaktion) stehen für Office 365-Kunden zur Verfügung, die ein Abonnement haben, in dem Microsoft Defender für Office 365 Plan 2 oder Office 365 E5 enthalten ist. Untersuchungen werden basierend einer Änderung des Untersuchungsstatus protokolliert. Wenn beispielsweise ein Administrator eine Aktion durchführt, mit der der Status einer Untersuchung von „Ausstehende Aktionen“ in „Abgeschlossen“ geändert wird, wird ein Ereignis protokolliert.

Derzeit werden nur automatisierte Untersuchungen protokolliert. (Ereignisse für manuell gestartete Untersuchungen werden in Kürze verfügbar sein.) Die folgenden Statuswerte werden protokolliert:

  • Untersuchung gestartet
  • Keine Bedrohungen gefunden
  • Vom System beendet
  • Ausstehende Aktion
  • Bedrohungen gefunden
  • Bereinigt
  • Fehlgeschlagen
  • Durch Drosselung beendet
  • Durch den Benutzer beendet
  • Wird ausgeführt

Hauptuntersuchungsschema

Name Typ Beschreibung
InvestigationId Edm.String Investigation ID/GUID
InvestigationName Edm.String Name der Untersuchung
InvestigationType Edm.String Typ der Untersuchung. Kann einen der folgenden Werte annehmen:
- Vom Benutzer gemeldete Nachrichten
- Mit ZAP behandelte Schadsoftware
- Mit ZAP behandeltes Phishing
- URL-Bewertungsänderung

(Manuelle Untersuchungen stehen derzeit nicht zur Verfügung, werden aber in Kürze verfügbar sein.)

LastUpdateTimeUtc Edm.Date UTC-Uhrzeit der letzten Aktualisierung einer Untersuchung
StartTimeUtc Edm.Date Startzeit einer Untersuchung
Status Edm.String Stande der Untersuchung, laufende, ausstehende Aktionen usw.
DeeplinkURL Edm.String Deep-Link-URL einer Untersuchung im Office 365 Security & Compliance Center
Aktionen Auflistung (Edm.String) Auflistung der von einer Untersuchung empfohlenen Aktionen
Daten Edm.String Die Datenzeichenfolge, die weitere Details zu den Untersuchungsentitäten sowie Informationen zu Warnungen, die mit der Untersuchung zusammenhängen, enthält. Entitäten sind in einem separaten Knoten innerhalb des Daten-BLOBs verfügbar.

Aktionen

Feld Typ Beschreibung
ID Edm.String Action ID
ActionType Edm.String Der Typ der Aktion, z. b. E-Mail-Gegenmaßnahme
ActionStatus Edm.String Gültige Werte schließen ein:
- Ausstehend
- Wird ausgeführt
- Warten auf Ressource
- Abgeschlossen
- Fehlgeschlagen
ApprovedBy Edm.String Null, wenn automatisch genehmigt; andernfalls der username/ID (in Kürze verfügbar)
TimestampUtc: Edm.DateTime Der Zeitstempel der Änderung des Aktivitätsstatus
ActionId Edm.String Eindeutiger Bezeichner der Aktion
InvestigationId Edm.String Eindeutiger Bezeichner einer Untersuchung
RelatedAlertIds Collection(Edm.String) Benachrichtigungen im Zusammenhang mit einer Untersuchung
StartTimeUtc Edm.DateTime Zeitstempel der Erstellung einer Aktion
EndTimeUtc Edm.DateTime Finaler Aktivitätsstatus-Zeitstempel einer Aktion
Ressourcen-Bezeichner Edm.String Besteht aus der Azure Active Directory-Mandanten-ID.
Entitäten Collection(Edm.String) Liste einer oder mehrerer durch eine Aktion betroffener Entitäten
Zugehörige Benachrichtigungs-IDs Edm.String Benachrichtigung im Zusammenhang mit einer Untersuchung

Entitäten

MailMessage (E-Mail)

Feld Typ Beschreibung
Typ Edm.String „mail-message“
Dateien Auflistung (Self.File) Details zu den Dateien, die Anlagen dieser Nachricht sind
Empfänger Edm.String Der Empfänger dieser Nachricht
URLs Auflistung (Self.URL) Die URLs, die in dieser E-Mail enthalten sind
Absender Edm.String Die E-Mail-Adresse des Absenders
SenderIp Edm.String Die IP-Adresse des Absenders
ReceivedDate Edm.DateTime Das Datum, an dem die Nachricht empfangen wurde
NetworkMessageId Edm.Guid Die Netzwerk-Nachrichten-ID dieser E-Mail
InternetMessageId Edm.String Die Internetnachrichten-ID dieser E-Mail
Betreff Edm.String Der Betreff dieser Nachricht

IP

Feld Typ Beschreibung
Typ Edm.String „ip“
Adresse Edm.String Die IP-Adresse als Zeichenfolge, wie z. b. 127.0.0.1

URL

Feld Typ Beschreibung
Typ Edm.String „url“
Url Edm.String Die vollständige URL, auf die eine Entität verweist

Postfach (entspricht dem Benutzer)

Feld Typ Beschreibung
Typ Edm.String „mailbox“
MailboxPrimaryAddress Edm.String Die primäre Adresse des Postfachs
DisplayName Edm.String Der Anzeigename des Postfachs
UPN Edm.String Der UPN des Postfachs

Datei

Feld Typ Beschreibung
Typ Edm.String „file“
Name Edm.String Der Dateiname ohne Pfad
FileHashes Auflistung (Edm.String) Die Dateihashes, die der Datei zugeordnet sind

FileHash

Feld Typ Beschreibung
Typ Edm.String „filehash“
Algorithmus Edm.String Der Hash-Algorithmustyp kann einen der folgenden Werte annehmen:
- Unbekannt
- MD5
- SHA1
- SHA256
- SHA256AC
Wert Edm.String Der Hashwert

MailCluster

Feld Typ Beschreibung
Typ Edm.String "MailCluster"
Bestimmt den Typ der zu in Frage stehenden Entität
NetworkMessageIds Auflistung (Edm.String) Liste der E-Mail-IDs, die Teil des E-Mail-Clusters sind
CountByDeliveryStatus Auflistungen (Edm.String) Anzahl E-Mails nach DeliveryStatus-Zeichenfolgendarstellung
CountByThreatType Auflistungen (Edm.String) Anzahl E-Mails nach ThreatType-Zeichenfolgendarstellung
Risiken Auflistungen (Edm.String) Die Bedrohungen durch E-Mails, die Teil des E-Mail-Clusters sind. Zu den Bedrohungen gehören Werte wie Phishing und Schadsoftware.
Query Edm.String Die Abfrage, die verwendet wurde, um die Nachrichten des E-Mail-Clusters zu identifizieren
QueryTime Edm.DateTime Die Abfragezeit
MailCount Edm.int Die Anzahl der E-Mails, die Teil des E-Mail-Clusters sind.
Source Zeichenfolge Die Quelle des Mail-Clusters; der Wert der Cluster-Quelle.

Nachrichtenschutzereignis-Schema

Nachrichtenschutzereignisse beziehen sich auf den ausgehenden Spamschutz. Diese Ereignisse beziehen sich auf Benutzer, die nicht zum Senden von E-Mails berechtigt sind. Weitere Informationen finden Sie unter:

Parameter Typ Erforderlich? Beschreibung
Überwachung Edm.String Nein Systeminformationen im Zusammenhang mit dem Nachrichtenschutzereignis.
Ereignis Edm.String Nein Der Typ des Nachrichtenschutzereignisses. Die Werte für diesen Parameter sind gelistet oder nicht gelistet.
EventId Edm.Int64 Nein Die ID des Nachrichtenschutzereignistyps.
EventValue Edm.String Nein Der betroffene Benutzer.
Grund Edm.String Nein Details zu dem Nachrichtenschutzereignis.

Power BI-Schema

Die unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter aufgelisteten Power BI-Ereignisse verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
AppName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name der App, in der das Ereignis aufgetreten ist.
DashboardName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name des Dashboards, in dem das Ereignis aufgetreten ist.
DataClassification Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Die Datenklassifizierung, sofern vorhanden, für das Dashboard, in dem das Ereignis aufgetreten ist.
DatasetName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name des Datasets, in dem das Ereignis aufgetreten ist.
MembershipInformation Collection(MembershipInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Mitgliedschaftsinformationen zu der Gruppe.
OrgAppPermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Berechtigungsliste für eine Organisations-App (gesamte Organisation, bestimmte Benutzer oder bestimmte Gruppen).
ReportName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name des Berichts, in dem das Ereignis aufgetreten ist.
SharingInformation Collection(SharingInformationType) Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Informationen zu der Person, an die eine Einladung zur Freigabe gesendet wird.
SwitchState Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Informationen zum Status der verschiedener Mandantenebenenoptionen.
WorkSpaceName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name des Arbeitsbereichs, in dem das Ereignis aufgetreten ist.

Komplexer Typ „MembershipInformationType“

Parameter Typ Erforderlich? Beschreibung
MemberEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Die E-Mail-Adresse der Gruppe.
Status Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Derzeit nicht ausgefüllt.

Komplexer Typ „SharingInformationType“

Parameter Typ Erforderlich? Beschreibung
RecipientEmail Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Die E-Mail-Adresse des Empfängers einer Freigabeeinladung.
RecipientName Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Der Name des Empfängers einer Freigabeeinladung.
ResharePermission Edm.String Term="Microsoft.Office.Audit.Schema.PIIFlag" Bool="true" Nein Die dem Empfänger erteilte Berechtigung.

Dynamics 365-Schema

Bei den Überwachungseinträgen für Ereignisse im Zusammenhang mit modellgesteuerten Apps in Dynamics 365-Ereignissen wird sowohl ein Basis- als auch ein Entitätenvorgangsschema verwendet. Weitere Informationen finden Sie unter Aktivieren und Verwenden der Aktivitätenprotokollierung.

Dynamics 365-Basisschema

Parameter Typ Erforderlich? Beschreibung
CrmOrganizationUniqueName Edm.String Ja Der eindeutige Name der Organisation.
InstanceUrl Edm.String Ja Die URL zur Instanz.
ItemUrl Edm.String Nein Die URL zum Datensatz, der das Protokoll ausgibt.
ItemType Edm.String Nein Der Name der Entität.
UserAgent Edm.String Nein Der eindeutige Bezeichner der Benutzer-GUID in der Organisation.
Fields Collection(Common.NameValuePair) Nein Ein JSON-Objekt mit den Schlüssel/Wert-Paaren der Eigenschaft, die erstellt oder aktualisiert wurden.

Dynamics 365-Entitätenvorgangsschema

Entitätenereignisse aus modellgesteuerten Apps in Dynamics 365 verwenden dieses Schema, um auf dem Dynamics 365-Basisschema aufzubauen. Dieses Schema enthält Informationen über den Entitätenvorgang, der das überprüfte Ereignis ausgelöst hat.

Parameter Typ Erforderlich? Beschreibung
EntityId Edm.Guid Nein Der eindeutige Bezeichner der Entität.
EntityName Edm.String Ja Der Name der Entität in der Organisation. Beispiel für Entitäten sind contact oder authentication.
Message Edm.String Ja Dieser Parameter enthält den Vorgang, der im Zusammenhang mit der Entität durchgeführt wurde. Wenn beispielsweise ein neuer Kontakt erstellt wurde, ist Create der Wert der Message-Eigenschaft und der entsprechende Wert der EntityName-Eigenschaft ist contact.
Abfrage Edm.String Nein Die Parameter der Filterabfrage, die beim Ausführen des FetchXML-Vorgangs verwendet wurden.
PrimaryFieldValue Edm.String Nein Gibt den Wert des Attributs an, das das Primärfeld der Entität darstellt.

Workplace Analytics-Schema

Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten WorkPlace Analytics-Ereignisse verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
WpaUserRole Edm.String Nein Die Workplace Analytics-Rolle des Benutzers, der die Aktion ausgeführt hat.
ModifiedProperties Sammlung (Common.ModifiedProperty) Nein Diese Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft.
OperationDetails Collection (Common.NameValuePair) Nein Eine Liste der erweiterten Eigenschaften für die geänderte Einstellung. Jede Eigenschaft besitzt einen Namen und einen Wert.

Quarantäne-Schema

Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten Quarantäne-Ereignisse verwenden dieses Schema. Weitere Informationen zur Quarantäne finden Sie unter In Quarantäne stellen von E-Mail-Nachrichten in Office 365.

Parameter Typ Erforderlich? Beschreibung
RequestType Self.RequestType Nein Die Art der Quarantäneanforderung, die von einem Benutzer ausgeführt wurde.
RequestSource Self.RequestSource Nein Die Quelle einer Quarantäneanforderung kann vom Security & Compliance Center (SCC), einem Cmdlet oder einem URLlink stammen.
NetworkMessageId Edm.String Nein Die Netzwerknachrichten-ID einer in Quarantäne befindlichen E-Mail-Nachricht.
ReleaseTo Edm.String Nein Der Empfänger der E-Mail-Nachricht.

Enum: RequestType - Type: Edm.Int32

Wert Elementname Beschreibung
0 Vorschau Hierbei handelt es sich um eine Anforderung von einem Benutzer zur Vorschau einer E-Mail-Nachricht, die als schädlich eingestuft wurde.
1 Löschen Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Löschen einer E-Mail-Nachricht, die als schädlich eingestuft wurde.
2 Freigabe Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Freigeben einer E-Mail-Nachricht, die als schädlich eingestuft wurde.
3 Exportieren Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Exportieren einer E-Mail-Nachricht, die als schädlich eingestuft wurde.
4 ViewHeader Hierbei handelt es sich um eine Anforderung von einem Benutzer zum Anzeigen der Kopfzeile einer E-Mail-Nachricht, die als schädlich eingestuft wurde.
5 Release-Anforderung Hierbei handelt es sich um eine Freigabeanforderung eines Benutzers zur Freigabe einer als schädlich erachteten E-Mail-Nachricht.

Enum: RequestSource - Type: Edm.Int32

Wert Elementname Beschreibung
0 SCC Das Security & Compliance Center (SCC) ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen.
1 Cmdlet Ein Cmdlet ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen.
2 URLlink Dies ist die Quelle, von der die Anforderung eines Benutzers stammen kann, eine potenziell gefährliche E-Mail-Nachricht in einer Vorschau anzuzeigen, sie zu löschen, freizugeben, zu exportieren oder ihre Kopfzeile anzuzeigen.

Microsoft Forms-Schema

Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgelisteten Microsoft Forms-Ereignisse verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
FormsUserTypes Collection(Self.FormsUserTypes) Ja Die Rolle des Benutzers, der die Aktion ausgeführt hat. Die Werte für diesen Parameter sind Administrator, Besitzer, Responder oder Mitautor.
SourceApp Edm.String Ja Gibt an, ob die Aktion von der Forms-Website oder einer anderen App ausgeführt wird.
FormName Edm.String Nein Name des aktuellen Formulars.
FormId Edm.String Nein Die ID des Zielformulars.
FormTypes Collection(Self.FormTypes) Nein Gibt an, ob es sich um ein Formular, ein Quiz oder eine Umfrage handelt.
ActivityParameters Edm.String Nein JSON-Zeichenfolge mit Aktivitätsparametern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

Enumeration: FormsUserTypes – Typ: Edm.Int32

FormsUserTypes

Wert Formular-Benutzertyp Beschreibung
0 Administrator Ein Administrator, der Zugriff auf das Formular hat.
1 Besitzer Ein Benutzer, der Besitzer des Formulars ist.
2 Responder Ein Benutzer, der eine Antwort auf ein Formular gesendet hat.
3 Koautor Ein Benutzer, der einen Link für die Zusammenarbeit verwendet hat, der vom Besitzer eines Formulars für die Anmeldung und die Bearbeitung eines Formulars bereitgestellt wurde.

Enumeration: FormTypes – Typ: Edm.Int32

FormTypes

Wert Formulartypen Beschreibung
0 Formular Formulare, die mit der Option "Neues Formular" erstellt wurden.
1 Quiz Quizze, die mit der Option „Neues Quiz“ erstellt wurden. Bei einem Quiz handelt es sich um eine spezielle Art von Formular, das zusätzliche Funktionen für Punktwerte, automatische und manuelle Benotung, Kommentare usw. enthält.
2 Umfrage Umfragen, die mit der Option "Neue Umfrage" erstellt wurden. Bei einer Umfrage handelt es sich um eine spezielle Art von Formular, das zusätzliche Funktionen wie CMS-Integration und Unterstützung für Flussregeln enthält.

MIP-Bezeichnungsschema

Ereignisse im Microsoft Purview Information Protection-Etikettenschema werden ausgelöst, wenn Microsoft 365 eine von Agenten in der Transportpipeline verarbeitete E-Mail-Nachricht erkennt, der eine Sensibilitätskennzeichnung zugewiesen wurde. Die Vertraulichkeitsbezeichnung wurde kann manuell oder automatisch sowie innerhalb oder außerhalb der Transportpipeline angewendet worden sein. Vertraulichkeitsbezeichnungen können durch Richtlinien für die automatische Anwendung von Bezeichnungen automatisch auf E-Mail-Nachrichten angewendet werden.

Dieses Überwachungsschema dient zur Darstellung der Summe aller E-Mail-Aktivitäten mit Vertraulichkeitsbezeichnungen. Anders ausgedrückt: Für jede E-Mail-Nachricht mit einer Vertraulichkeitsbezeichnung, die an Benutzer oder von Benutzern in der Organisation gesendet wird, sollte es eine aufgezeichnete Überwachungsaktivität geben. Weitere Informationen zu Vertraulichkeitsbezeichnungen finden Sie unter

Parameter Typ Erforderlich? Beschreibung
Absender Edm.String Nein Die E-Mail-Adresse im Feld "Von" der E-Mail-Nachricht.
Empfänger Collection(Edm.String) Nein Alle E-Mail-Adressen in den Feldern "An", "Cc" und "Bcc" der E-Mail-Nachricht.
ItemName Edm.String Nein Die Zeichenfolge im Feld "Betreff" der E-Mail-Nachricht.
LabelId Edm.Guid Nein Die GUID der auf die E-Mail-Nachricht angewendeten Vertraulichkeitsbezeichnung.
LabelName Edm.String Nein Der Name der auf die E-Mail-Nachricht angewendeten Vertraulichkeitsbezeichnung.
LabelAction Edm.String Nein Die durch die Vertraulichkeitsbezeichnung angegebenen Aktionen, die vor Eintreten der Nachricht in die E-Mail-Transportpipeline auf die E-Mail-Nachricht angewendet wurden.
LabelAppliedDateTime Edm.Date Nein Das Datum, an dem die Vertraulichkeitsbezeichnung auf die E-Mail-Nachricht angewendet wurde.
ApplicationMode Edm.String Nein Gibt an, wie die Vertraulichkeitsbezeichnung auf die E-Mail-Nachricht angewendet wurde. Der Privileged-Wert gibt an, dass die Bezeichnung manuell von einem Benutzer angewendet wurde. Der Wert Standard gibt an, dass die Bezeichnung durch einen clientseitigen oder dienstseitigen Bezeichnungsprozess automatisch angewendet wurde.

Schema der Ereignisse des Portals für verschlüsselte Nachrichten

Ereignisse für das Schema des Portals für verschlüsselte Nachrichten werden ausgelöst, wenn die Purview-Nachrichtenverschlüsselung erkennt, dass ein externer Empfänger über das Portal auf eine verschlüsselte E-Mail-Nachricht zugreift. Die E-Mail wurde möglicherweise manuell mit einer Vertraulichkeitsbezeichnung oder einer RMS-Vorlage oder automatisch durch eine Transportregel, eine Richtlinie zur Verhinderung von Datenverlust oder eine Richtlinie für die automatische Bezeichnung verschlüsselt.

Dieses Überwachungsschema soll die Summe aller Portalaktivitäten darstellen, die den Zugriff auf die verschlüsselten E-Mails durch externe Empfänger beinhalten. Mit anderen Worten, es sollte eine aufgezeichnete Überwachungsaktivität für einen Empfänger, der versucht, sich beim Portal anzumelden, und alle Aktivitäten im Zusammenhang mit dem Zugriff auf die verschlüsselten E-Mails vorhanden sein. Dies schließt E-Mails ein, die an oder von Benutzern in der Organisation gesendet wurden, wenn die Verschlüsselung auf die E-Mail angewendet wurde, unabhängig davon, wann oder wie die Verschlüsselung angewendet wurde. Weitere Informationen finden Sie unterInformationen zu Protokollen des Portals für verschlüsselte Nachrichten.

Parameter Typ Erforderlich? Beschreibung
MessageId Edm.String Nein Die ID der Nachricht.
Empfänger Edm.String Nein E-Mail-Adresse des Empfängers.
Absender Edm.String Nein E-Mail-Adresse des Absenders.
AuthenticationMethod Self.AuthenticationMethod Nein Authentifizierungsmethode beim Zugriff auf die Nachricht, d. h. OTP, Yahoo, Gmail, Microsoft.
AuthenticationStatus Self.AuthenticationStatus Nein 0 – Erfolg, 1- Fehler.
OperationStatus Self.OperationStatus Nein 0 – Erfolg, 1- Fehler.
AttachmentName Edm.String Nein Name der Anlage.
OperationProperties Collection(Common.NameValuePair) Nein Zusätzliche Eigenschaften, d. h. Anzahl der gesendeten OTP-Kennungen, E-Mail-Betreff usw.

Exchange-Schema der Kommunikationscompliance

Die im Office 365-Überwachungsprotokoll aufgeführten Kommunikationscompliance-Ereignisse verwenden dieses Schema. Dazu gehören Überwachungsdatensätze für den SupervisoryReviewOLAudit-Vorgang, der generiert wird, wenn der Inhalt der E-Mail-Nachricht anstößige Sprache enthält, die von Antispammodellen mit einer Übereinstimmungsgenauigkeit von >= 99,5% erkannt wurde.

Parameter Typ Erforderlich? Beschreibung
ExchangeDetails ExchangeDetails Nein Eigenschaften der E-Mail-Nachricht, die das SupervisoryReviewOLAudit-Ereignis ausgelöst hat.

Enum: ExchangeDetails – Type: ExchangeDetails

ExchangeDetails

Elementname Type Beschreibung
NetworkMessageId Edm.Guid Die Netzwerknachrichten-ID der E-Mail-Nachricht.
InternetMessageId Edm.String Die Internetnachrichten-ID der E-Mail-Nachricht.
AttachmentData Collection(AttachmentDetails) Informationen zu Dateien, die an die E-Mail-Nachricht angefügt sind.
Empfänger Collection(Edm.String) Die E-Mail-Adressen in den Feldern "An", "Cc" und "Bcc" der E-Mail-Nachricht.
Betreff Edm.String Der Text im Feld "Betreff" der E-Mail-Nachricht.
MessageTime Edm.Date Das Datum und die Uhrzeit, zu der die E-Mail-Nachricht gesendet wurde.
Von Edm.String Die E-Mail-Adresse im Feld "Von" der E-Mail-Nachricht.
Directionality Edm.String Der Herkunftsstatus der E-Mail-Nachricht.

Enum: AttachmentDetails – Type: Edm.Int32

AttachmentDetails

Elementname Type Beschreibung
FileName Edm.String Der Name der an die E-Mail-Nachricht angefügten Datei.
FileType Edm.String Die Dateierweiterung der an die E-Mail-Nachricht angefügten Datei.
SHA256 Edm.String Der SHA-256-Hash der an die E-Mail-Nachricht angefügten Datei.

Berichtsschema

Die unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center aufgeführten Berichtsereignisse verwenden dieses Schema.

Parameter Typ Erforderlich? Beschreibung
ModifiedProperties Sammlung (Common.ModifiedProperty) Nein Diese Eigenschaft enthält den Namen der Eigenschaft, die geändert wurde, den neuen Wert der geänderten Eigenschaft und den vorherigen Wert der geänderten Eigenschaft.

Compliance-Konnektor-Schema

Ereignisse im Compliance-Konnektor-Schema werden ausgelöst, wenn Elemente, die von einem Datenkonnektor importiert werden, übersprungen oder nicht in Benutzerpostfächer importiert werden konnten. Näheres erfahren Sie unter Informationen zu Konnektoren für Drittanbieterdaten.

Parameter Typ Erforderlich? Beschreibung
JobId Edm.String Nein Dies ist ein eindeutiger Bezeichner des Datenkonnektors.
TaskId Edm.String Nein Eindeutiger Bezeichner der periodischen Datenkonnektorinstanz. Datenkonnektoren importieren in regelmäßigen Intervallen Daten.
JobType Edm.String Nein Der Name des Datenkonnektors.
ItemId Edm.String Nein Eindeutiger Bezeichner des Elements, das importiert wird (z. B. eine E-Mail-Nachricht).
ItemSize Edm.Int64 Nein Die Größe des zu importierenden Elements.
SourceUserId Edm.String Nein Der eindeutige Bezeichner des Benutzers aus der Datenquelle eines Drittanbieters. Für einen Slack-Datenkonnektor gibt diese Eigenschaft beispielsweise die Benutzer-ID im Slack-Arbeitsbereich an.
FailureType Selbst. FailureType Nein Gibt den Typ des Datenimportfehlers an. Der Wert incorrectusermapping gibt beispielsweise an, dass das Element nicht importiert wurde, da keine Benutzerzuordnung zwischen der Drittanbieterdatenquelle und Microsoft 365 gefunden wurde.
ResultMessage Edm.String Nein Gibt den Typ des Fehlers an, z. B. ein Nachrichtenduplikat.
IsRetry Edm.Boolean Nein Gibt an, ob der Datenkonnektor erneut versucht hat, das Element zu importieren.
Anlagen Collection.Attachment Nein Eine Liste der Anlagen, die von der Drittanbieterdatenquelle empfangen wurden.

Enum: FailureType – Typ: Edm.Int32

Wert Elementname
0 Default
1 MailboxWrite

Komplexer Anlagentyp

Parameter Typ Erforderlich? Beschreibung
FileName Edm.String Nein Der Name der Anlage.
Details Edm.String Nein Weitere Details zur Anlage.

SystemSync-Schema

Ereignisse im SystemSync-Schema werden ausgelöst, wenn die von SystemSync erfassten Daten entweder über Data Lake exportiert oder über andere Dienste freigegeben werden.

DataLakeExportOperationAuditRecord

Parameter Typ Erforderlich? Beschreibung
DataStoreType DataStoreType Ja Gibt an, aus welchem Datenspeicher die Daten heruntergeladen wurden. Alle möglichen Werte finden Sie unter DataStoreType.
UserAction DataLakeUserAction Ja Gibt an, welche Aktion der Benutzer für den Datenspeicher ausgeführt hat. Alle möglichen Werte finden Sie in DataLakeUserAction.
ExportTriggeredAt Edm.DateTimeOffset Ja Gibt an, wann der Datenexport ausgelöst wurde.
NameOfDownloadedZipFile Edm.String Nein Der Name der komprimierten Datei, die der Administrator aus Data Lake heruntergeladen hat.

DataShareOperationAuditRecord

Parameter Typ Erforderlich? Beschreibung
Einladung DataShareInvitationType Nein Details der Einladung, die an den Empfänger der Datenfreigabe gesendet wurde.

Komplexer DataShareInvitationType-Typ

Parameter Typ Erforderlich? Beschreibung
ShareId Edm.Guid Ja Vom System zugewiesener Bezeichner für die Datenfreigabe.
Eingeladene Personen Collection(EDM.GUID) Ja Liste der Administratorbenutzer, an welche die Einladung gesendet wurde.
InviteeTenantId Edm.Guid Ja Der Zielmandant, für den die Einladung vorgesehen ist.
ShareName Edm.String Ja Vom System zugewiesener Name für die Datenfreigabe.
SyncFrequency Self.SyncFrequency Ja Häufigkeit, mit der die Daten mit dem Zielspeicherkonto synchronisiert werden, nachdem die Freigabe eingerichtet wurde. Mögliche Werte finden Sie unter SyncFrequency.
SyncStartTime Edm.DateTimeOffset Ja Datum und Uhrzeit der ersten Synchronisierung.

Enumeration: SyncFrequency – Typ: Edm.Int32

Wert Elementname Beschreibung
0 Stündlich Gibt an, dass die Daten stündlich synchronisiert werden.
1 Täglich Gibt an, dass die Daten einmal pro Tag synchronisiert werden.

Enumeration: DataStoreType – Typ: Edm.Int32

Wert Elementname Beschreibung
0 CanonicalStore Gibt an, dass Daten aus dem Canonical-Speicher heruntergeladen werden.
1 StagingStore Gibt an, dass Daten aus dem Staging-Speicher heruntergeladen werden.

Enumeration: DataLakeUserAction – Typ: Edm.Int32

Wert Elementname Beschreibung
0 TriggerExport Der Administratorbenutzer hat den Export aus Data Lake ausgelöst.
1 DownloadZipFile Der Administratorbenutzer hat die exportierten Daten heruntergeladen.

Komplexer Typ “MicrosoftGraphDataConnectOperation“

Parameter Typ Erforderlich? Beschreibung
ApplicationId Edm.Guid Ja Die Anwendungs-ID.
ApplicationName Edm.String Ja Der Anwendungsname.
PipelineName Edm.String Ja Der Pipelinename.
PipelineRunId Edm.Guid Nein Die ID dieses Pipelinelaufs.
CopyActivityRunId Edm.Guid Nein Die ID der ADF-Kopieraktivität.
RunStartTime Edm.Date Ja Datum und Uhrzeit der Extraktion.
RunEndTime Edm.Date Ja Datum und Uhrzeit der Extraktion.
DatasetName Edm.String Ja Der zu extrahierende Datasetname.
DatasetColumns Edm.String Ja Der Satz ausgewählter Spalten, die extrahiert werden.
ScopeList Edm.String Ja Der Bereich der Extraktion.
ScopeCountRequested Edm.Int64 Nein Die Anzahl der angeforderten Bereiche für diese Extraktion.
ScopeCountDelivered Edm.Int64 Nein Die Anzahl der bereitgestellten Bereiche für diese Extraktion.
UndeliveredScope Edm.String Nein Der nicht zugestellte Bereich der Extraktion.
RowCount Edm.Int64 Nein Die Anzahl der abzurufenden Zeilen.
Status Edm.String Ja Der Extraktionsstatus.
Grund Edm.String Nein Die Fehlermeldung im Falle eines Fehlers.

AipDiscover

Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Scannerereignissen (Azure Information Protection).

Ereignis Beschreibung
ApplicationId Die ID der Anwendung, die den Vorgang ausführt.
ApplicationName Anzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei).
ClientIP Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde.
DataState Beschreibt den Status der Daten.
DeviceName Das Gerät, auf dem die Aktivität stattgefunden hat.
Id GUID des aktuellen Datensatzes.
IsProtected Ob geschützt: True/False
Standort Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Die möglichen Werte sind unknown, localMedia, removableMedia, fileshare und cloud.
ObjectId Vollständiger Dateipfad (URL). Für SharePoint- und OneDrive for Business-Aktivitäten der vollständige Pfadname der Datei oder des Ordners, auf die bzw. den der Benutzer zugegriffen hat.
Vorgang Beschreibt den Zugriffstyp.
OrganizationId Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.
Plattform Geräteplattform (Win, OSX, Android, iOS)
ProcessName Der relevante Prozessname, z. B. Outlook, msip.app, WinWord.
ProductVersion Version des AIP-Clients.
ProtectionOwner Rights Management-Besitzer im UPN-Format.
ProtectionType Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein.
RecordType Der vom Datensatz angegebene Vorgangstyp. In der Tabelle AuditLogRecordType finden Sie weitere Informationen zu den Typen von Überwachungsprotokolldatensätzen. Eine vollständige aktualisierte Liste und eine vollständige Beschreibung des Protokolldatensatztyps finden Sie im Blogbeitrag Microsoft 365 Compliance-Überwachungsprotokollaktivitäten über die O365-Verwaltungs-API. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet.
Bereich Wurde dieses Ereignis von einem gehosteten Office 365-Dienst oder einem lokalen Server erstellt? Mögliche Werte sind online und onprem. Beachten Sie, dass SharePoint die einzige Arbeitslast ist, die derzeit Ereignissen aus lokalen Umgebungen an O365 sendet.
SensitiveInfoTypeData Speichert den Datentyp der Daten vom Typ "Vertrauliche Informationen".
SensitivityLabelId Die aktuelle GUID der MIP-Vertraulichkeitsbezeichnung. Verwenden Sie cmdlt Get-Label, um die vollständigen Werte der GUID abzurufen.
TemplateId TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab.
UserId Der UPN (Benutzerprinzipalname) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
UserKey Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.
UserType Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType.
0 = Normal
1 = Reserviert
2 = Admin
3 = DcAdmin
4 = Systeml
5 = Anwendung
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
Version Die Versions-ID der Datei innerhalb des Vorgangs.
Arbeitslast Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist.

AipSensitivityLabelAction

Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Vertraulichkeitsbezeichnungsereignissen.

Ereignis Beschreibung
ApplicationId Entspricht der Microsoft Entra Anwendungs-ID.
ApplicationName Anwendungsanzeigename der Anwendung, die den Vorgang ausführt.
CreationDate Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Benutzer die Aktivität ausgeführt hat.
DataState Gibt den Status der Daten an.
DeviceName Der Name des Geräts des Benutzers.
Identität Die Identität des zu authentifizierden Benutzers oder Diensts.
IsProtected Ob geschützt: True/False
IsProtectedBefore Ob der Inhalt vor der Änderung geschützt wurde: True/False
IsValid Boolesch
Standort Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Mögliche Werte sind "unknown", "localMedia", "removableMedia", "fileshare" und "cloud".
ObjectState Gibt den Zustand des Objekts an.
Vorgang Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Administratoraktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten finden Sie unter
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identität Die Identität des zu authentifizierden Benutzers oder Diensts.
PSComputerName Computername
PSShowComputerName Der Wert für dokumentierte Bearbeitungen in Office 365 ist False.
Plattform Geräteplattform (Win, OSX, Android, iOS). 
ProcessName Prozess, der das MIP SDK hostet.
ProductVersion Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat.
ProtectionType Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen.
RunspaceId Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen.
SensitiveInfoTypeData Speichert den Datentyp der Daten vom Typ vertraulicher Informationen.
TemplateId TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab.
UserId Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name.

Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen.

AipProtectionAction

Ereignis Beschreibung
PSComputerName Name des Computers
RunspaceId Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen.
PSShowComputerName Der Wert ist false für eine dokumentierte bearbeitung in Office 365.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen.
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde.
UserId Der Benutzerprinzipalname (UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die zur Protokollierung des Datensatzes geführt hat. Beispiel: my_name@my_domain_name.

Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
Vorgang Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identität Die Identität des zu authentifizierden Benutzers oder Diensts.
ObjectState Status des Objekts nach dem aktuellen Ereignis.
ApplicationId Die Anwendung, in der die Aktivität stattgefunden hat und in der GUID angezeigt wird.
ApplicationName Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei).
ProcessName Prozessname der Office-Anwendung.
Plattform Die Plattform, auf der die Aktivität stattgefunden hat. Beispiel: Windows.
DeviceName Gerät, auf dem das Ereignis aufgezeichnet wurde.
ProductVersion Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat.
UserId Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name.

Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
ClientIP Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
Id GUID des aktuellen Datensatzes.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet.
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde.
Vorgang Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter.
OrganizationId Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.
UserType Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType.
0 = Normal
1 = Reserviert
2 = Admin
3 = DcAdmin
4 = Systeml
5 = Anwendung
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.
Arbeitslast Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist.
Version Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat
Bereich Gibt den Bereich an.

AipFileDeleted

Ereignis Beschreibung
PSComputerName Name des Computers
RunspaceId Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen.
PSShowComputerName Der Wert ist false für eine dokumentierte bearbeitung in Office 365.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen.
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde.
UserId Der Benutzerprinzipalname (UPN) des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die zur Protokollierung des Datensatzes geführt hat. Beispiel: my_name@my_domain_name.

Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
Vorgang Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der häufigsten Vorgänge/Aktivitäten.
SensitivityLabelApplied
SensitivityLabelUpdated
SensitivityLabelRemoved
SensitivityLabelPolicyMatched
SensitivityLabeledFileOpened.
Identität Die Identität des zu authentifizierden Benutzers oder Diensts.
ObjectState Status des Objekts nach dem aktuellen Ereignis.
ApplicationId Die Anwendung, in der die Aktivität stattgefunden hat und in der GUID angezeigt wird.
ApplicationName Anwendungsanzeigename der Anwendung, die den Vorgang ausführt. Outlook (für E-Mail), OWA (für E-Mail), Word (für Datei), Excel (für Datei), PowerPoint (für Datei).
ProcessName Prozessname der Office-Anwendung.
Plattform Die Plattform, auf der die Aktivität stattgefunden hat. Beispiel: Windows.
DeviceName Gerät, auf dem das Ereignis aufgezeichnet wurde.
ProductVersion Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat.
UserId Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name.

Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
ClientIP Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt. Bei einigen Diensten ist der in dieser Eigenschaft angezeigte Wert möglicherweise die IP-Adresse einer vertrauenswürdigen Anwendung (z.B. Office in den Web-Apps), die anstelle eines Benutzers in den Dienst einruft und nicht die IP-Adresse des Geräts, das von der Person, die die Aktivität ausgeführt hat, verwendet wird. Außerdem wird für Azure Active Directory-bezogene Ereignisse die IP-Adresse nicht protokolliert, und der Wert für die ClientIP-Eigenschaft ist NULL. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
Id GUID des aktuellen Datensatzes.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Hier werden nur die relevanten MIP-Datensatztypen aufgelistet.
CreationTime Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Überwachungsprotokolldatensatz generiert wurde.
Vorgang Der Name der Benutzer- oder Verwaltungsaktivität. Eine Beschreibung der am häufigsten verwendeten Vorgänge und Aktivitäten, finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365-Schutzcenter.
OrganizationId Die GUID für den Office 365-Mandanten Ihrer Organisation. Dieser Wert ist für Ihre Organisation, unabhängig vom Office 365-Dienst, in dem er verwendet wird, immer gleich.
UserType Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType.
0 = Normal
1 = Reserviert
2 = Admin
3 = DcAdmin
4 = Systeml
5 = Anwendung
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.
Arbeitslast Speichert den Office 365 Dienst, in dem die Aktivität aufgetreten ist.
Version Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat
Bereich Gibt den Bereich an.

AipHeartBeat

Die folgende Tabelle enthält Informationen im Zusammenhang mit AIP-Heartbeatereignissen.

Ereignis Beschreibung
ApplicationId Entspricht der Microsoft Entra Anwendungs-ID.
ApplicationName Anwendungsanzeigename der Anwendung, die den Vorgang ausführt.
CreationDate Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC) in ISO8601 Format, als der Benutzer die Aktivität ausgeführt hat.
DataState Gibt den Status der Daten an.
DeviceName Der Name des Geräts des Benutzers.
Identität Die Identität des zu authentifizierden Benutzers oder Diensts.
IsProtected Ob geschützt: True/False
IsProtectedBefore Ob der Inhalt vor der Änderung geschützt wurde: True/False
IsValid Boolesch
Standort Die Position des Dokuments in Bezug auf das Gerät des Benutzers. Mögliche Werte sind "unknown", "localMedia", "removableMedia", "fileshare" und "cloud".
ObjectState Gibt den Zustand des Objekts an.
Vorgang Der Vorgangstyp für das Überwachungsprotokoll. Der Name der Benutzer- oder Administratoraktivität. Eine Beschreibung der gängigsten Vorgänge/Aktivitäten:
PSComputerName Computername
PSShowComputerName Der Wert für dokumentierte Bearbeitungen in Office 365 ist False.
Plattform Geräteplattform (Win, OSX, Android, iOS). 
ProcessName Prozess, der das MIP SDK hostet.
ProductVersion Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat.
ProtectionType Der Schutztyp kann vorlagen- oder ad-hoc-Typ sein.
RecordType Zeigt den Wert von Bezeichnungsaktion an. Der vom Datensatz angegebene Vorgangstyp. Weitere Informationen finden Sie in der vollständigen Liste der Datensatztypen.
RunspaceId Der Runspace ist eine bestimmte instance von PowerShell, die änderbare Sammlungen von Befehlen, Anbietern, Variablen, Funktionen und Sprachelementen enthält, die dem Befehlszeilenbenutzer zur Verfügung stehen.
SensitiveInfoTypeData Speichert den Datentyp der Daten vom Typ vertraulicher Informationen.
TemplateId TemplateID-Parameter zum Abrufen einer bestimmten Vorlage. Das Cmdlet Get-AipServiceTemplate ruft alle vorhandenen oder ausgewählten Schutzvorlagen aus Azure Information Protection ab.
UserId Der UPN des Benutzers, der die Aktion ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde; beispiel: my_name@my_domain_name. Beachten Sie, dass auch von Systemkonten ausgeführte Datensätze (wie SHAREPOINT\system oder NT AUTHORITY\SYSTEM) enthalten sind. In SharePoint ist eine weitere Wertanzeige in der UserId-Eigenschaft "app@sharepoint". Dies zeigt an, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt, die in SharePoint über die erforderlichen Berechtigungen verfügt, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Diensts auszuführen. Weitere Informationen finden Sie unter app@sharepoint Benutzer in Überwachungsdatensätzen.
UserType Der Typ des Benutzers, der den Vorgang ausgeführt hat. Ausführliche Informationen zu den Benutzertypen finden Sie in der Tabelle UserType.
0 = Normal
1 = Reserviert
2 = Admin
3 = DcAdmin
4 = Systeml
5 = Anwendung
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
UserKey Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Diese Eigenschaft wird mit der Passport Unique ID (PUID) bei Ereignissen ausgefüllt, die von Benutzern in SharePoint, OneDrive for Business und Exchange ausgeführt werden.

Komplexer MicrosoftGraphDataConnectConsent-Typ

Parameter Typ Erforderlich? Beschreibung
ApplicationId Edm.Guid Ja Die Anwendungs-ID.
ApplicationVersion Edm.String Ja Die Anwendungsversion.
AppRegistrationTenantId Edm.Guid Ja Die Mandanten-ID der Anwendungsregistrierung.
Genehmiger Edm.String Ja Der Benutzerprinzipalname der genehmigenden Person.
ApprovalUpdatedDateInUTC Edm.Date Ja Die Uhrzeit des Updatedatums in UTC.
ApprovalExpiryDateInUTC Edm.Date Ja Die Uhrzeit des Ablaufdatums in UTC.
ApprovalValidDays Edm.Int32 Ja Die Anzahl der Tage nach dem Update, für die die Genehmigung gültig ist.
DestinationSinks Edm.String Ja Die Zielsenken.
DestinationTenantId Edm.Guid Ja Die Zielmandanten-ID.
Grund Edm.String Nein Der Grund, der vom Administrator angegeben wurde, der den Vorgang ausgeführt hat.
State Edm.String Ja Der Zustimmungszustand.
Datasets CollectionSelf. MGDCDataset Ja Details zu den Datasets, denen im Rahmen dieses Vorgangs zugestimmt wurde.

Komplexer Typ MGDCDataset

Parameter Typ Erforderlich? Beschreibung
DatasetName Edm.String Ja Der Name des Datasets im Zustimmungsvorgang.
DatasetColumns Edm.String Ja Die Liste der Spalten für das Dataset im Zustimmungsvorgang.
DenyGroups Edm.String Nein Die Liste der Ablehnungsgruppen für das Dataset im Zustimmungsvorgang.
Bereich Edm.String Ja Die Bereichstypen für das Dataset im Zustimmungsvorgang. Mögliche Werte sind All, List und FilterUri.
ScopeFiltersUris Edm.String Nein Der Bereichsfilter-URI für das Dataset im Zustimmungsvorgang.
ScopeList Edm.String Nein Die Bereichsgruppenliste für das Dataset im Zustimmungsvorgang.
PrivacyPolicyType Edm.String Ja Die Datenschutzrichtlinientypen für das Dataset im Zustimmungsvorgang. Mögliche Werte sind None und DenyList.

Viva Goals Schema

Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Viva Goals dieses Schema (zusätzlich zum allgemeinen Schema) verwenden. Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Viva Goals finden Sie unter Überwachungsprotokollaktivitäten.

Parameter Typ Erforderlich? Beschreibung
Detail Edm.String Nein Eine Beschreibung des Ereignisses oder der Aktivität, das in Viva Goals aufgetreten ist.
Benutzername Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Nein Der Name des Benutzers, der das Ereignis ausgetrickt hat.
UserRole Edm.String Nein Die Rolle des Benutzers, der dieses Ereignis in Viva Goals. Dies wird Erwähnung, wenn der Benutzer ein organization Administrator oder Besitzer ist.
OrganizationName Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Nein Der Name des organization in Viva Goals, in dem das Ereignis ausgelöst wurde.
OrganizationOwner Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Nein Der Besitzer des organization in Viva Goals, in dem das Ereignis aufgetreten ist.
OrganisationAdmins Collection(Edm.String)
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Nein Die Administratoren des organization in Viva Goals, in dem das Ereignis aufgetreten ist. Im organization kann ein oder mehrere Administratoren vorhanden sein.
UserAgent Edm.String
Term="Microsoft.Office.Audit.Schema.PIIFlag"
Bool="true"
Nein Der Benutzer-Agent (Browserdetails) des Benutzers, der das Ereignis selektiert hat. UserAgent ist im Fall eines vom System generierten Ereignisses möglicherweise nicht vorhanden.
ModifiedFields Collection(Common.NameValuePair) Nein Eine Liste der Attribute, die zusammen mit den neuen und alten Werten geändert wurden, die als JSON ausgegeben werden.
ItemDetails Collection(Common.NameValuePair) Nein Zusätzliche Eigenschaften zu dem objekt, das geändert wurde.

Microsoft Planner Schema

Microsoft Planner überschreibt die Definition von ObjectId und ResultStatus im allgemeinen Schema. die ObjectId-Definition von Microsoft Planner ist an den Datensatztyp jedes Microsoft Planner gebunden und wird einzeln dargestellt.

Der ResultStatus von Microsoft Planner wird wie folgt definiert.

Enumeration: ResultStatus – Typ: Edm.Int32

ResultStatus

Wert Elementname Beschreibung
1 Erfolgreich Die Benutzeranforderung war erfolgreich.
2 Versagen Die Benutzeranforderung ist aus anderen Gründen als der Autorisierung fehlgeschlagen.
3 AuthorizationFailure Der angeforderte Benutzer ist aufgrund einer fehlgeschlagenen Autorisierung fehlgeschlagen.

Microsoft Planner erweitert das allgemeine Schema um die folgenden Datensatztypen.

PlannerPlan-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String ID des angeforderten Plans.
ContainerType Selbst. ContainerType Typ des Containers, der dem Plan zugeordnet ist.
ContainerId Edm.String ID des Containers, der dem Plan zugeordnet ist.
SharedWithContainerId Edm.String ID des Containers mit freigegebenem Zugriff auf den Plan.
SharedWithContainerType Selbst. ContainerType Typ des Containers mit freigegebenem Zugriff auf den Plan.
SharedWithContainerAccessLevel Selbst. PlanAccessLevel Zugriffsebene für container mit freigegebenem Zugriff auf den Plan.

Enumeration: ContainerType – Typ Edm.Int32

ContainerType

Wert Elementname Beschreibung
0 Ungültig Wird verwendet, wenn der angeforderte Plan nicht gefunden wird.
2 Gruppe Der Plan ist einer M365-Gruppe zugeordnet.
3 TeamsConversation Der Plan ist einer Teams-Unterhaltung zugeordnet.
4 OfficeDocument Der Plan ist einem Office-Dokument zugeordnet.
5 Liste Der Plan ist einer Listengruppe zugeordnet.
6 Project Der Plan stammt aus Microsoft Project.

Enumeration: PlanAccessLevel – Geben Sie Edm.Int32 ein.

PlanAccessLevel

Wert Elementname Beschreibung
1 ReadAccess Zugriff auf Den Plan lesen
2 ReadWriteAccess Zugriff auf Lese- und Schreibzugriff auf Plan
3 FullAccess Zugriff auf Lese-, Schreib- und Konfigurationsplan

PlannerCopyPlan-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String ID des zu kopierenden Plans.
OriginalPlanId Edm.String ID des zu kopierenden Plans. Identisch mit ObjectId.
OriginalContainerType Selbst. ContainerType Typ des Containers, der dem ursprünglichen Plan zugeordnet ist.
OriginalContainerId Edm.String ID des Containers, der dem ursprünglichen Plan zugeordnet ist.
NewPlanId Edm.String ID des neuen Plans. NULL, wenn der Vorgang fehlgeschlagen ist.
NewContainerType Selbst. ContainerType Typ des Containers, der dem neuen Plan zugeordnet ist.
NewContainerId Edm.String ID des Containers, der dem neuen Plan zugeordnet ist.

PlannerTask-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String ID der angeforderten Aufgabe.
PlanId Edm.String ID des Plans, der die Aufgabe enthält.

PlannerRoster-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String ID der angeforderten Liste.
MemberIds Edm.String Eine durch Trennzeichen getrennte Zeichenfolge von Member-IDs wurde in die Liste geändert.

PlannerPlanList-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String Eine Darstellung der Ansichtsabfrage für eine Liste von Plänen.
PlanList Edm.String Eine durch Trennzeichen getrennte Zeichenfolge mit abgefragten Plan-IDs.

PlannerTaskList-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String Eine Darstellung der Ansichtsabfrage für eine Liste von Aufgaben.
PlanList Edm.String Eine durch Trennzeichen getrennte Zeichenfolge der abgefragten Aufgaben-IDs.

PlannerTenantSettings-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String Ursprüngliche Mandanteneinstellungen in JSON.
TenantSettings Edm.String Neue Mandanteneinstellungen in JSON.

PlannerRosterSensitivityLabel-Datensatztyp

Properties Typ Beschreibung
ObjectId Edm.String ID der Vertraulichkeitsbezeichnung. Null, wenn die Vertraulichkeitsbezeichnung entfernt wird.
Liste Edm.String ID der Liste, in die die Vertraulichkeitsbezeichnung geändert wird.
AssignmentMethod Selbst. SensitivityLabelAssignmentMethod Die Zuweisungsmethode der Vertraulichkeitsbezeichnung.

Enumeration: SensitivityLabelAssignmentMethod – Typ Edm.Int32

SensitivityLabelAssignmentMethod

Wert Elementname Beschreibung
0 Standard Die Vertraulichkeitsbezeichnung wird automatisch angewendet, darf aber keine privilegierte Bezeichnungszuweisung außer Kraft setzen.
1 Privilegiert Die Vertraulichkeitsbezeichnung wird manuell von einem Benutzer oder einem Administrator angewendet.
2 Auto Die Vertraulichkeitsbezeichnung wird automatisch angewendet und darf eine privilegierte Bezeichnungszuweisung überschreiben.

Microsoft Project für das Web Schema

Microsoft Project For The Web erweitert das allgemeine Schema um die folgenden Datensatztypen.

ProjectForThewebProject-Datensatztyp

Properties Typ Erforderlich? Beschreibung
ProjectId Edm.Guid Nein ID des überwachten Projekts.
AdditionalInfo CollectionSelf. AdditionalInfo Nein Zusatzinformation.

ProjectForThewebTask-Datensatztyp

Properties Typ Erforderlich? Beschreibung
ProjectId Edm.Guid Ja ID des überwachten Projekts.
TaskId Edm.Guid Ja ID des überwachten Tasks.
AdditionalInfo CollectionSelf. AdditionalInfo Nein Zusatzinformation.

ProjectForThewebRoadmap-Datensatztyp

Properties Typ Erforderlich? Beschreibung
RoadmapId Edm.Guid Ja ID der zu überwachenden Roadmap.
AdditionalInfo CollectionSelf. AdditionalInfo Nein Zusatzinformation.

ProjectForThewebRoadmapItem-Datensatztyp

Properties Typ Erforderlich? Beschreibung
RoadmapItemId Edm.Guid Ja ID des zu überwachenden Roadmapelements.
AdditionalInfo CollectionSelf. AdditionalInfo Nein Zusatzinformation.

Komplexer Typ AdditionalInfo

Parameter Typ Erforderlich? Beschreibung
EnvironmentName Edm.String Nein ID der Umgebung, in der die Aktion ausgeführt wurde.

ProjectForThewebProjectSetting-Datensatztyp

Properties Typ Erforderlich? Beschreibung
ProjectEnabled Edm.Boolean Ja Der Wert, der für Project für das Web festgelegt wurde (1 = aktiviert, 0 deaktiviert).

ProjectForThewebRoadampSetting-Datensatztyp

Properties Typ Erforderlich? Beschreibung
RoadmapEnabled Edm.Boolean Ja Der Wert, der für Roadmap festgelegt wurde (1 = aktiviert, 0 deaktiviert).

ProjectForThewebAssignedToMeSetting-Datensatztyp

Properties Typ Erforderlich? Beschreibung
AssignedToMeEnabled Edm.Boolean Ja Der Wert, der für AssignedToMe festgelegt wurde (1 = aktiviert, 0 deaktiviert).

Viva Pulse-Schema

Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Viva Pulse verwenden dieses Schema (zusätzlich zum allgemeinen Schema). Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Viva Pulse finden Sie unter Überwachungsprotokollaktivitäten.

Parameter Typ Erforderlich? Beschreibung
EventName Edm.String Nein Eine Beschreibung des Ereignisses oder der Aktivität, die in Viva Pulse aufgetreten ist.
PulseId Edm.String Nein Id der Pulsumfrage.
EventDetails Collection(Common.NameValuePair) Nein Zusätzliche Eigenschaften zum Ereignis.

Einige der VivaPulse-Ereignisse zeichnen unterschiedliche Eigenschaften in EventDetails auf. Jede in EventDetail aufgezeichnete Eigenschaft wird in der Tabelle beschrieben.

EventName PropertName Beschreibung
PulseReportShare Empfänger Liste der Empfänger-IDs, mit denen die Pulsumfrage geteilt wird.
PulseCreate Empfänger Liste der Benutzer-IDs, die Teilnehmer der Spcified Pulse-Umfrage sind.
PulseInvite Empfänger Liste der Benutzer-IDs, die zusätzlich zum Pulse eingeladen werden.
PulseTenantSettingsUpdate TenantSettingName Der Name der Einstellungen wurde geändert.
PulseSubmit Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.
PulseExtendDeadline Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.
PulseCancel Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.
PulseCreateDraft Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.
PulseDeleteDraft Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.
PulseDeleteUserData Nicht zutreffend Dieses Ereignis zeichnet keine Eigenschaft in EventDetails auf.

Compliance-Manager-Schema

Die Überwachungsdatensätze für Ereignisse im Zusammenhang mit Microsoft Purview Compliance Manager verwenden dieses Schema (zusätzlich zum allgemeinen Schema). Ausführliche Informationen dazu, wie Sie im Complianceportal nach überwachungsprotokollen suchen können, finden Sie unter Durchsuchen des Überwachungsprotokolls im Security & Compliance Center. Ausführliche Informationen zum Erfassen von Ereignissen und Aktivitäten im Zusammenhang mit Compliance Manager finden Sie unter Überwachungsprotokollaktivitäten.

Parameter Typ Erforderlich? Beschreibung
Details Collection(SettingsChange) Nein Eine Beschreibung des Ereignisses, das für einen Microsoft Purview Compliance Manager aufgetreten ist.

Werte, die von EinstellungenÄnderungseigenschaften in Details für verschiedene Vorgänge verwendet werden, werden in der folgenden Tabelle beschrieben.

Vorgang PropertyName Beschreibung
Alle Vorgänge Name Name der Einstellung, die am Compliance-Manager-Vorgang beteiligt ist
Alle Vorgänge NewValue Neuer Wert für die neuen Einstellungen.
Alle Vorgänge OriginalValue Ursprünglicher Wert für die neue Einstellung.

Bitte beachten Sie :

  1. Bei Rollenänderungen ist der Name der Rollentyp.
  2. Der Überwachungsdatensatz würde die Änderung des Ereignisses widerspiegeln, z. B. dass dem Benutzer eine Rolle oder eine gesperrte Rolle zugewiesen wird.
  3. Der ursprüngliche und der neue Wert enthalten die E-Mails des Benutzers, für den sich die Rolle geändert hat.
  4. Falls es keine Änderung an der Rolle gibt, wäre dieser Rollentyp nicht im Überwachungsdatensatz vorhanden.

Schema der Sicherungsrichtlinie

Parameter Typ Erforderlich? Beschreibung
PolicyID Edm.String Ja Die ID der Richtlinie.
EditMethodology Edm.String Nein Wie die Richtlinie erstellt/bearbeitet wurde.
CountOfArtifactsBeingAdded Edm.Int32 Nein Anzahl der hinzugefügten Artefakte.
CountOfArtifactsBeingRemoved Edm.Int32 Nein Anzahl der zu entfernenden Artefakte.
ServiceType Edm.String Nein Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt.

Wiederherstellungstaskschema

Parameter Typ Erforderlich? Beschreibung
TaskID Edm.String Ja Die ID des Wiederherstellungstasks.
CreationMethodology Edm.String Nein Wie der Wiederherstellungstask erstellt/bearbeitet wurde.
CountOfArtifactsBeingAdded Edm.Int32 Nein Anzahl der hinzugefügten Artefakte.
CountOfArtifactsBeingRemoved Edm.Int32 Nein Anzahl der zu entfernenden Artefakte.
ServiceType Edm.String Nein Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt.

Elementschema wiederherstellen

Parameter Typ Erforderlich? Beschreibung
RestoreTime Edm.DateTime Ja Zeit, in der das Element wiederhergestellt wird.
RestoreLocationType Edm.String Ja Standorttyp, in dem das Element wiederhergestellt wird.
RestoreLocation Edm.String Nein Speicherort, an dem das Element wiederhergestellt wird.
TaskID Edm.String Ja Die ID des Wiederherstellungstasks.
BackupItemID Edm.String Ja ID des Sicherungselements, das wiederhergestellt wird.
ProtectionUnitID Edm.String Ja Schutzeinheits-ID des Elements, das wiederhergestellt wird.
SuccessStatus Edm.String Nein Gibt an, ob der Wiederherstellungsvorgang erfolgreich war.
BackupItemType Edm.String Ja Gibt an, ob es sich bei dem Sicherungselement um einen Standort, ein Konto oder ein Postfach handelt.
ServiceType Edm.String Nein Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt.

Sicherungselementschema

Parameter Typ Erforderlich? Beschreibung
PolicyID Edm.String Ja Richtlinien-ID der Richtlinie, zu der das Element hinzugefügt wird.
ItemID Edm.String Ja ID des Sicherungselements.
ProtectionUnitID Edm.String Ja Schutzeinheits-ID des Elements, das gesichert wird.
ResultStatus Edm.String Nein Gibt an, ob der Wiederherstellungsvorgang erfolgreich war.
BackupItemType Edm.String Ja Gibt an, ob es sich bei dem Sicherungselement um einen Standort, ein Konto oder ein Postfach handelt.
EditMethodology Edm.String Nein Wie das Sicherungselement hinzugefügt werden soll.
ServiceType Edm.String Nein Ob es sich um eine SharePoint-, Exchange- oder OneDriveForBusiness-Richtlinie handelt.