Attività del log di controllo

Le tabelle di questo articolo descrivono le attività controllate in Microsoft 365. È possibile cercare queste attività eseguendo una ricerca nel log di controllo nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview.

Queste tabelle raggruppano le attività correlate o le attività di un determinato servizio. Le tabelle includono il nome descrittivo visualizzato nell'elenco a discesa Attività (o disponibili in PowerShell) e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca. Per le descrizioni delle informazioni dettagliate, vedere Proprietà dettagliate del log di controllo.

Consiglio

Selezionare uno dei collegamenti nell'elenco In questo articolo nella parte superiore di questo articolo per passare direttamente a una tabella di prodotti specifica.

Attività di amministrazione applicazioni

Nella tabella seguente sono elencate le attività di amministratore dell'applicazione registrate quando un amministratore aggiunge o modifica un'applicazione registrata in Microsoft Entra ID. Tutte le applicazioni che si basano su Microsoft Entra ID per l'autenticazione devono essere registrate nella directory.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Nome descrittivo Operazione Descrizione
Voce di delega aggiunta Aggiunta di una voce di delega. È stata creata o concessa un'autorizzazione di autenticazione a un'applicazione in Microsoft Entra ID.
Entità servizio aggiunta Aggiunta di un'entità servizio. Un'applicazione è stata registrata in Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory.
Credenziali aggiunte a un'entità servizio Aggiunta delle credenziali dell'entità servizio. Le credenziali sono state aggiunte a un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory.
Voce di delega rimossa Rimozione della voce di delega. Un'autorizzazione di autenticazione è stata rimossa da un'applicazione in Microsoft Entra ID.
Entità servizio rimossa dalla directory Rimozione di un'entità servizio. Un'applicazione è stata eliminata/annullata dalla Microsoft Entra ID. Un'applicazione è rappresentata da un'entità servizio nella directory.
Credenziali rimosse da un'entità servizio Rimozione delle credenziali dell'entità servizio. Le credenziali sono state rimosse da un'entità servizio in Microsoft Entra ID. Un'entità servizio rappresenta un'applicazione nella directory.
Voce di delega impostata Impostazione della voce di delega. Un'autorizzazione di autenticazione è stata aggiornata per un'applicazione in Microsoft Entra ID.

Attività e-mail di Briefing

La tabella seguente elenca le attività nel messaggio di posta elettronica di Briefing registrate nel log di controllo di Microsoft 365. Per ulteriori informazioni sulle e-mail di Briefing, vedere:

Nome descrittivo Operazione Descrizione
Impostazioni sulla privacy dell'organizzazione aggiornate UpdatedOrganizationBriefingSettings L'amministratore aggiorna le impostazioni sulla privacy dell'organizzazione per le e-mail di Briefing.
Impostazioni sulla privacy dell'utente aggiornate UpdatedUserBriefingSettings L'amministratore aggiorna le impostazioni sulla privacy dell'utente per le e-mail di Briefing.

Attività di conformità delle comunicazioni

La tabella seguente elenca le attività relative alla conformità delle comunicazioni registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Informazioni su Conformità delle comunicazioni Microsoft Purview.

Nota

Queste attività sono disponibili quando si usa il cmdlet di PowerShell Search-UnifiedAuditLog . Queste attività non sono disponibili nell'elenco a discesa Attività .

Nome descrittivo Operazione Descrizione
Aggiornamento criteri SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted Un amministratore di conformità delle comunicazioni ha eseguito un aggiornamento dei criteri.
Corrispondenza criteri SupervisionRuleMatch Un utente ha inviato un messaggio che corrisponde alla condizione di un criterio.
Tag applicato ai messaggi SupervisoryReviewTag I tag vengono applicati ai messaggi o i messaggi vengono risolti.

Attività di Compliance Manager

Nella tabella seguente sono elencate le operazioni e le attività registrate quando un amministratore gestisce le impostazioni in Compliance Manager. Per altre informazioni, vedere Informazioni su Compliance Manager.

Nome descrittivo Operazione Descrizione
Modifica dei ruoli ComplianceManagerRolesChange Un amministratore ha modificato i ruoli per gli utenti.
Modifica del livello di automazione del tenant ComplianceManagerAutomationLevelChange Un amministratore ha modificato il livello di automazione per il tenant in tutte le azioni.
Test della modifica dell'automazione dell'origine ComplianceManagerAutomationChange Un amministratore ha modificato le impostazioni di automazione dell'origine di test.

Attività di Esplora contenuto

La tabella seguente elenca le attività di Esplora contenuto registrate nel log di controllo. Esplora contenuto, accessibile tramite lo strumento Classificazioni dati nel portale di Microsoft Purview e nel portale di conformità. Per altre informazioni, vedere Utilizzo di Esplora contenuto di classificazione dei dati.

Nome descrittivo Operazione Descrizione
Elemento a cui è stato effettuato l'accesso LabelContentExplorerAccessedItem Un amministratore o un utente che fa parte del gruppo di ruoli Visualizzatore contenuto di Esplora contenuto usa Esplora contenuto per visualizzare un messaggio di posta elettronica o un documento di SharePoint/OneDrive.

Attività copilot

Nella tabella seguente sono elencate le attività di Microsoft 365 Copilot e Microsoft Copilot registrate nel log di controllo. Copilot è accessibile tra i servizi Microsoft. Le attività includono come e quando gli utenti interagiscono con Copilot. Questo include il servizio Microsoft in cui si è svolta l'attività e fa riferimento ai file a cui si accede durante l'interazione. Per altre informazioni sugli eventi di interazione copilot e un esempio di schema, vedere Panoramica degli eventi di interazione copilot.

Per accedere al testo dalla richiesta dell'utente durante l'interazione, vedere Ricerca contenuto o visualizzare l'evento di interazione con intelligenza artificiale da Esplora attività in Microsoft Purview Hub IA.

Per altre informazioni sul controllo e altre opzioni di gestione della conformità per Copilot, vedere Microsoft Purview supporta la gestione della conformità per Copilot.

Nome descrittivo Operazione Descrizione
Creazione di un nuovo plug-in Copilot CreateCopilotPlugin Un utente (o amministratore o sistema per conto di un utente) ha creato un nuovo plug-in Copilot.
Creazione di un nuovo promptbook copilot CreateCopilotPromptBook Un utente (o amministratore o sistema per conto di un utente) ha creato un nuovo promptbook in Copilot.
Eliminato un plug-in Copilot DeleteCopilotPlugin Un utente (o amministratore o sistema per conto di un utente) ha eliminato un plug-in Copilot.
Eliminazione di un promptbook copilot DeleteCopilotPromptBook Un utente (o amministratore o sistema per conto di un utente) ha eliminato un promptbook copilot.
Disabilitato un plug-in Copilot DisableCopilotPlugin Un utente (o amministratore o sistema per conto di un utente) ha disabilitato un plug-in Copilot.
Disabilitato un promptbook copilot DisableCopilotPromptBook Un utente (o amministratore o sistema per conto di un utente) ha disabilitato un promptbook copilot.
Abilitato un plug-in Copilot EnableCopilotPlugin Un utente (o amministratore o sistema per conto di un utente) ha abilitato un plug-in Copilot.
Abilitazione di un promptbook copilot EnableCopilotPromptBook Un utente (o amministratore o sistema per conto di un utente) ha abilitato un promptbook copilot.
Interagire con Copilot CopilotInteraction Un utente (o amministratore o sistema per conto di un utente) ha immesso richieste in Copilot.
Aggiornamento di un'impostazione del plug-in Copilot UpdateCopilotPlugin Un utente (o amministratore o sistema per conto di un utente) ha aggiornato un'impostazione del plug-in Copilot.
Aggiornamento di un'impostazione del promptbook copilot UpdateCopilotPromptBook Un utente (o amministratore o sistema per conto di un utente) ha aggiornato un'impostazione del promptbook copilot.
Aggiornamento di un'impostazione copilot UpdateCopilotSettings Un amministratore (o sistema per conto di un amministratore) ha aggiornato un'impostazione copilot.

Attività di amministrazione directory

La tabella seguente elenca Microsoft Entra directory e le attività correlate al dominio registrate quando un amministratore gestisce l'organizzazione nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Nome descrittivo Operazione Descrizione
Dominio aggiunto a società Aggiunta di un dominio alla società. È stato aggiunto un dominio all'organizzazione.
Partner aggiunto alla directory Aggiunta di un partner alla società. È stato aggiunto un partner (amministratore delegato) all'organizzazione.
Dominio rimosso da società Rimozione di un dominio dalla società. È stato rimosso un dominio dall'organizzazione.
Partner rimosso dalla directory Rimozione di un partner dalla società. È stato rimosso un partner (amministratore delegato) dall'organizzazione.
Informazioni sulla società impostate Impostazione delle informazioni sulla società. Sono state aggiornate le informazioni sulla società per l'organizzazione. Include gli indirizzi di posta elettronica per la posta elettronica relativa alla sottoscrizione inviata da Microsoft 365 e le notifiche tecniche sui servizi di Microsoft 365.
Impostazione dell'autenticazione del dominio Impostazione dell'autenticazione dominio. È stata modificata l'impostazione di autenticazione del dominio per l'organizzazione.
Impostazioni della federazione aggiornate per un dominio Configurazione delle impostazioni di federazione nel dominio. Sono state modificate le impostazioni di federazione (condivisione esterna) per l'organizzazione.
Criteri password impostati Impostazione dei criteri password. Sono stati modificati i vincoli di lunghezza e caratteri per le password utente nell'organizzazione.
Attivato Azure AD Sync Impostazione del flag DirSyncEnabled. È stata impostata la proprietà che abilita una directory per Azure AD Sync.
Dominio aggiornato Aggiornamento di un dominio. Sono state aggiornate le impostazioni di un dominio nell'organizzazione.
Dominio verificato Verifica di un dominio. È stato verificato che l'organizzazione è il proprietario di un dominio.
Posta elettronica verificata in dominio verificato Verifica del dominio tramite la verifica di posta elettronica. È stata usata la verifica tramite posta elettronica per verificare che l'organizzazione sia il proprietario di un dominio.

Attività di revisione per l'eliminazione

Nella tabella seguente sono elencate le attività eseguite da un revisore dell'eliminazione quando un elemento ha raggiunto la fine del periodo di conservazione configurato oppure un elemento è stato spostato automaticamente nella fase di eliminazione successiva o eliminato definitivamente a seguito dell'applicazione automatica.

Nome descrittivo Operazione Descrizione
Dismissione approvata ApproveDisposal Per l'approvazione manuale: un revisore dell'eliminazione ha approvato l'eliminazione dell'elemento per spostarlo nella fase di eliminazione successiva. Se l'elemento era nella sola o ultima fase della revisione dell'eliminazione, l'approvazione dell'eliminazione ha contrassegnato l'elemento come idoneo per l'eliminazione definitiva.

Per l'applicazione automatica: non è stata eseguita alcuna azione manuale entro il periodo di tempo di applicazione automatica configurato, in modo che l'elemento venga spostato automaticamente alla fase di eliminazione successiva. Se l'elemento si trovava nell'unica o ultima fase di revisione dell'eliminazione, l'elemento diventa automaticamente idoneo per l'eliminazione permanente.
Periodo di conservazione esteso ExtendRetention Un revisore dell'eliminazione ha esteso il periodo di conservazione dell'elemento.
Elemento rietichettato RelabelItem Un revisore dell'eliminazione ha rietichettato l'etichetta di conservazione.
Revisori aggiunti AddReviewer Un revisore dell'eliminazione ha aggiunto uno o più utenti alla fase di revisione dell'eliminazione corrente.

Attività di eDiscovery

Attività correlate a Ricerca contenuto ed eDiscovery (per Microsoft Purview eDiscovery (Standard) e Microsoft Purview eDiscovery (Premium)) eseguite nel portale di Microsoft Purview, Portale di conformità di Microsoft Purview o eseguendo i cmdlet di PowerShell corrispondenti vengono registrati nel log di controllo. Gli eventi vengono registrati quando gli amministratori o i responsabili di eDiscovery (o qualsiasi autorizzazione eDiscovery assegnata dall'utente) eseguono le seguenti attività Ricerca contenuto ed eDiscovery (Standard) nei portali:

  • Creazione e gestione di casi di eDiscovery (Standard) ed eDiscovery (Premium).
  • Creazione, avvio e modifica di ricerche di contenuto.
  • Esecuzione di azioni di ricerca, ad esempio l'anteprima, l'esportazione e l'eliminazione dei risultati della ricerca.
  • Gestione dei responsabili e dei set di revisione in eDiscovery (Premium).
  • Configurazione del filtro delle autorizzazioni per Ricerca contenuto.
  • Gestione del ruolo di amministratore di eDiscovery.

Per altre informazioni sulla ricerca nel log di controllo, sulle autorizzazioni necessarie e sull'esportazione dei risultati della ricerca, vedere Cercare nel log di controllo.

Nota

Sono necessari fino a 30 minuti prima che le attività risultanti dalle attività elencate in attività eDiscovery e le attività eDiscovery (Premium) nell'elenco a discesa Attività vengano visualizzate nei risultati della ricerca. Invece, per visualizzare nei risultati della ricerca gli eventi corrispondenti provenienti dalle attività dei cmdlet di eDiscovery sono necessarie fino a 24 ore.

Attività Di ricerca contenuto ed eDiscovery (Standard)

Nella tabella seguente vengono descritte le attività Ricerca contenuto ed eDiscovery (Standard) registrate quando un amministratore o un manager di eDiscovery esegue un'attività correlata a eDiscovery tramite il portale di conformità. Alcune attività eseguite in eDiscovery (Premium) possono essere restituite quando si cercano attività in questo elenco.

Nota

Le attività di eDiscovery descritte in questa sezione forniscono informazioni simili alle attività del cmdlet eDiscovery descritte nella sezione successiva. È consigliabile usare le attività di eDiscovery descritte in questa sezione perché verranno visualizzate nei risultati della ricerca nel log di controllo entro 30 minuti. La visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.

Nome descrittivo Operazione Cmdlet corrispondente Descrizione
Aggiunta di un membro al caso di eDiscovery
CaseMemberAdded
Add-ComplianceCaseMember
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie.
Ricerca di contenuto modificata
SearchUpdated
Set-ComplianceSearch
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto o la modifica della query di ricerca.
Modifica dell'appartenenza dell'amministratore di eDiscovery
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione CaseAdminAdded.
Modifica del caso di eDiscovery
CaseUpdated
Set-ComplianceCase
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso.
Modifica dell'appartenenza al caso di eDiscovery
CaseMemberUpdated
Update-ComplianceCaseMember
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione CaseMemberAdded o CaseMemberRemoved.
Filtro delle autorizzazioni di ricerca modificato
SearchPermissionUpdated
Set-ComplianceSecurityFilter
È stato modificato un filtro delle autorizzazioni di ricerca.
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery
HoldUpdated
Set-CaseHoldRule
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query.
Elemento di anteprima della ricerca contenuto scaricato
PreviewItemDownloaded
N/D
Un utente ha scaricato un elemento nel computer locale (selezionando il collegamento Scarica elemento originale ) durante l'anteprima dei risultati della ricerca.
Elemento di anteprima della ricerca contenuto elencato
PreviewItemListed
N/D
Un utente ha selezionato Anteprima risultati ricerca per visualizzare la pagina dei risultati della ricerca di anteprima, che elenca fino a 1.000 elementi dai risultati di una ricerca.
Ricerca contenuto creata
SearchCreated
New-ComplianceSearch
È stata creata una nuova ricerca di contenuto.
Amministratore di eDiscovery creato
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione.
Creazione di un caso di eDiscovery
CaseAdded
New-ComplianceCase
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi.
Filtro delle autorizzazioni di ricerca create
SearchPermissionCreated
New-ComplianceSecurityFilter
È stato creato un filtro per le autorizzazioni di ricerca.
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery
HoldCreated
New-CaseHoldRule
È stato creato un blocco basato su query associato a un caso di eDiscovery.
Ricerca contenuto eliminato
SearchRemoved
Remove-ComplianceSearch
È stata eliminata una ricerca di contenuto esistente.
Amministratore di eDiscovery eliminato
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Un amministratore di eDiscovery è stato eliminato dall'organizzazione.
Caso di eDiscovery eliminato
CaseRemoved
Remove-ComplianceCase
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato.
Filtro delle autorizzazioni di ricerca eliminate
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
È stato eliminato un filtro delle autorizzazioni di ricerca.
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery
HoldRemoved
Remove-CaseHoldRule
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa.
Esportazione scaricata della ricerca di contenuto
SearchExportDownloaded
N/D
Un utente ha scaricato i risultati di una ricerca di contenuto nel computer locale. È necessario avviare un'esportazione avviata dell'attività di ricerca del contenuto prima di scaricare i risultati della ricerca.
Risultati in anteprima della ricerca di contenuto
RicercaAnteprima
N/D
Un utente ha visualizzato in anteprima i risultati di una ricerca di contenuto.
Risultati eliminati della ricerca di contenuto
SearchResultsPurged
New-ComplianceSearchAction
Un utente ha eliminato i risultati di una ricerca contenuto eseguendo il comando New-ComplianceSearchAction -Purge .
Rimozione dell'analisi della ricerca di contenuto
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
È stata eliminata un'azione di preparazione della ricerca di contenuto (per preparare i risultati della ricerca per eDiscovery (Premium).) Se l'azione di preparazione aveva meno di due settimane, i risultati della ricerca preparati per eDiscovery (Premium) sono stati eliminati dall'area di archiviazione di Microsoft Azure. Se l'azione di preparazione è stata precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di preparazione corrispondente.
Rimozione dell'esportazione della ricerca di contenuto
RemovedSearchExported
Remove-ComplianceSearchAction
Un'azione di esportazione di ricerca contenuto è stata eliminata. Se l'azione di esportazione aveva meno di due settimane, i risultati della ricerca caricati nell'area di archiviazione di Microsoft Azure sono stati eliminati. Se l'azione di esportazione era precedente a 2 settimane, questo evento indica che è stata eliminata solo l'azione di esportazione corrispondente.
Membro rimosso dal caso eDiscovery
CaseMemberRemoved
Remove-ComplianceCaseMember
Un utente è stato rimosso come membro di un caso di eDiscovery.
Rimossi i risultati di anteprima della ricerca di contenuto
RemovedSearchPreviewed
Remove-ComplianceSearchAction
È stata eliminata un'azione di anteprima della ricerca di contenuto.
Rimozione dell'azione di eliminazione eseguita nella ricerca di contenuto
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Un'azione di eliminazione della ricerca di contenuto è stata eliminata.
Rimozione del report di ricerca
SearchReportRemoved
Remove-ComplianceSearchAction
Un'azione di esportazione del report di ricerca contenuto è stata eliminata.
Analisi avviata della ricerca di contenuto
SearchResultsSentToZoom
New-ComplianceSearchAction
I risultati di una ricerca di contenuto sono stati preparati per l'analisi in eDiscovery (Premium).
Ricerca contenuto avviata
SearchStarted
Start-ComplianceSearch
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando il portale di conformità, la ricerca viene avviata automaticamente.
Avvio dell'esportazione della ricerca di contenuto
SearchExported
New-ComplianceSearchAction
Un utente ha esportato i risultati di una ricerca di contenuto.
Report di esportazione avviato
SearchReport
New-ComplianceSearchAction
Un utente ha esportato un report di ricerca contenuto.
Ricerca contenuto arrestata
SearchStopped
Stop-ComplianceSearch
Un utente ha arrestato una ricerca di contenuto.
(nessuno) CaseViewed Get-ComplianceCase Un utente ha visualizzato un caso di eDiscovery (Standard) nel portale di conformità. Il record di controllo per questo evento include il nome del caso visualizzato.
(nessuno) SearchViewed Get-ComplianceSearch Un utente ha visualizzato una ricerca contenuto nel portale di conformità accedendo alla ricerca nella scheda Ricerche in un caso di eDiscovery (Standard) o accedendo alla ricerca contenuto nella pagina Ricerca contenuto . Il record di controllo per questo evento include l'identità della ricerca visualizzata.
(nessuno) ViewedSearchExported Get-ComplianceSearchAction -Export Un utente ha visualizzato un'esportazione ricerca contenuto nel portale di conformità accedendo all'esportazione nella scheda Esportazioni nella pagina Ricerca contenuto . Questa attività viene registrata anche quando un utente visualizza un'esportazione associata a un caso eDiscovery (Standard).
(nessuno) ViewedSearchPreviewed Get-ComplianceSearchAction -Preview Un utente ha visualizzato in anteprima i risultati di una ricerca contenuto nel portale di conformità. Questa attività viene registrata anche quando un utente visualizza in anteprima i risultati di una ricerca associata a un caso eDiscovery (Standard).

Attività di eDiscovery (Premium)

Nella tabella seguente vengono descritte le attività di eDiscovery (Premium) registrate nel log di controllo. Queste attività possono essere usate per tenere traccia dell'avanzamento dell'attività in un caso di eDiscovery (Premium).

Nome descrittivo Operazione Descrizione
Aggiungere dati a un altro insieme da rivedere AddWorkingSetQueryToWorkingSet L'utente ha aggiunto i documenti di un insieme da rivedere a un altro insieme da rivedere.
Aggiunti dati a un insieme da rivedere AddQueryToWorkingSet L'utente ha aggiunto i risultati della ricerca da una ricerca di contenuto associata a un caso di eDiscovery (Premium) a un set di revisioni.
Sono stati aggiunti dati non di Microsoft 365 a un insieme da rivedere AddNonOffice365DataToWorkingSet L'utente ha aggiunto dati non di Microsoft 365 a un insieme da rivedere.
Aggiunta di documenti con correzione a un insieme da rivedere AddRemediatedData L'utente carica i documenti con errori di indicizzazione corretti in un insieme da rivedere.
Dati analizzati nell'insieme da rivedere RunAlgo L'utente ha eseguito l'analisi dei documenti in un set di revisione.
Documento con annotazioni nell'insieme da rivedere AnnotateDocument L'utente ha annotato un documento in un insieme da rivedere. L'annotazione include la correzione del contenuto di un documento.
Set di carichi confrontati LoadComparisonJob L'utente ha confrontato due set di carichi diversi in insieme da rivedere. Un set di carichi si verifica quando i dati di una ricerca di contenuto associata al caso vengono aggiunti a un insieme da rivedere.
Documenti corretti convertiti in PDF BurnJob L'utente ha convertito in file PDF tutti i documenti corretti di un insieme da rivedere.
Creato insieme da rivedere CreateWorkingSet L'utente ha creato un insieme da rivedere.
Ricerca insieme da rivedere creata CreateWorkingSetSearch L'utente ha creato una query di ricerca che consente di cercare i documenti in un insieme da rivedere.
Creato tag CreateTag L'utente ha creato un gruppo di tag in un insieme da rivedere. Un gruppo di tag può contenere uno o più tag figlio. Questi tag vengono usati per contrassegnare i documenti nell'insieme da rivedere.
Ricerca insieme da rivedere eliminata DeleteWorkingSetSearch Un utente ha eliminato una query di ricerca in un insieme da rivedere.
Tag eliminato DeleteTag L'utente ha eliminato un tag o un gruppo di tag in un insieme da rivedere.
Documento scaricato DownloadDocument L'utente ha scaricato un documento da un insieme da rivedere.
Tag modificato UpdateTag L'utente ha modificato un tag in un insieme da rivedere.
Esportati documenti da un insieme da rivedere ExportJob L'utente ha esportato dei documenti da un insieme da rivedere.
Impostazione caso modificata UpdateCaseSettings L'utente ha modificato le impostazioni per un caso. Le impostazioni per il caso includono le informazioni sul caso, le autorizzazioni di accesso e le impostazioni che controllano il comportamento di ricerca e analisi.
Ricerca insieme da rivedere modificata UpdateWorkingSetSearch Un utente ha modificato una query di ricerca in un insieme da rivedere.
Visualizzazione dell'anteprima della ricerca dell'insieme da rivedere PreviewWorkingSetSearch Un utente ha visualizzato in anteprima i risultati di una query di ricerca in un insieme da rivedere.
Corretti i documenti con errori ErrorRemediationJob L'utente corregge i file che contengono errori di indicizzazione.
Documento con tag TagFiles L'utente contrassegna un documento in un insieme da rivedere.
Contrassegnati i risultati di una query TagJob Un utente contrassegna tutti i documenti che corrispondono ai criteri della query di ricerca in un insieme da rivedere.
Documento visualizzato nell'insieme da rivedere ViewDocument L'utente ha visualizzato un documento in un insieme da rivedere.

Attività dei cmdlet di eDiscovery

Nella tabella seguente sono elencati i record del log di controllo dei cmdlet registrati quando un amministratore o un utente esegue un'attività correlata a eDiscovery usando il portale di conformità o eseguendo il cmdlet corrispondente in PowerShell sicurezza & conformità. Le informazioni dettagliate nel record del log di controllo sono diverse per le attività dei cmdlet elencate in questa tabella e per le attività di eDiscovery descritte nella sezione precedente.

Come indicato in precedenza, la visualizzazione delle attività dei cmdlet di eDiscovery nei risultati della ricerca nel log di controllo può richiedere fino a 24 ore.

Consiglio

I cmdlet nella colonna Operazione nella tabella seguente sono collegati all'argomento della Guida corrispondente relativo ai cmdlet in TechNet. Passare all'argomento della Guida del cmdlet per una descrizione dei parametri disponibili per ogni cmdlet. Il parametro e il valore del parametro usati con un cmdlet sono inclusi nella voce del log di controllo per ogni attività del cmdlet eDiscovery registrata.

Nome descrittivo Operazione (cmdlet) Descrizione
Blocco creato nel caso di eDiscovery
New-CaseHoldPolicy
È stato creato un blocco per un caso di eDiscovery. È possibile creare un blocco con o senza specificare un'origine di contenuto. Se vengono specificate origini di contenuto, vengono identificate nella voce del log di controllo.
Blocco eliminato dal caso di eDiscovery
Remove-CaseHoldPolicy
È stato eliminato un blocco associato a un caso di eDiscovery. L'eliminazione di un blocco rilascia tutti i percorsi del contenuto dal blocco. L'eliminazione del blocco comporta anche l'eliminazione delle regole di blocco maiuscole e minuscole associate al blocco (vedere Remove-CaseHoldRule).
Blocco modificato nel caso di eDiscovery
Set-CaseHoldPolicy
È stato modificato un blocco associato a un eDiscovery. Le possibili modifiche includono l'aggiunta o la rimozione di percorsi di contenuto o la disattivazione (disabilitazione) del blocco.
Query di ricerca creata per il blocco di maiuscole e minuscole di eDiscovery
New-CaseHoldRule
È stato creato un blocco basato su query associato a un caso di eDiscovery.
Query di ricerca eliminata per il blocco di maiuscole e minuscole di eDiscovery
Remove-CaseHoldRule
È stato eliminato un blocco basato su query associato a un caso di eDiscovery. La rimozione della query dal blocco è spesso il risultato dell'eliminazione di un blocco. Quando viene eliminata una query di blocco o di blocco, vengono rilasciati i percorsi del contenuto che erano in attesa.
Modifica della query di ricerca per il blocco di maiuscole/minuscole di eDiscovery
Set-CaseHoldRule
È stato modificato un blocco basato su query associato a un caso di eDiscovery. Le possibili modifiche includono la modifica della query o dell'intervallo di date per un blocco basato su query.
Creazione di un caso di eDiscovery
New-ComplianceCase
È stato creato un caso di eDiscovery. Quando viene creato un caso, è sufficiente assegnargli un nome. Altre attività correlate al caso, ad esempio l'aggiunta di membri, la creazione di blocchi e la creazione di ricerche di contenuto associate al caso, comportano la registrazione di eventi aggiuntivi.
Caso di eDiscovery eliminato
Remove-ComplianceCase
È stato eliminato un caso di eDiscovery. Qualsiasi blocco associato al caso deve essere rimosso prima che il caso possa essere eliminato.
Modifica del caso di eDiscovery
Set-ComplianceCase
È stato modificato un caso di eDiscovery. Le modifiche includono la chiusura di un caso aperto o la riapertura di un caso chiuso.
Aggiunta di un membro al caso di eDiscovery
Add-ComplianceCaseMember
Un utente è stato aggiunto come membro di un caso di eDiscovery. Come membro di un caso, un utente può eseguire varie attività correlate ai casi a seconda che gli siano state assegnate le autorizzazioni necessarie.
Membro rimosso dal caso eDiscovery
Remove-ComplianceCaseMember
Un utente è stato rimosso come membro di un caso di eDiscovery.
Modifica dell'appartenenza al caso di eDiscovery
Update-ComplianceCaseMember
L'elenco di appartenenza di un caso di eDiscovery è stato modificato. Questa attività viene registrata quando tutti i membri vengono sostituiti con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo membro, viene registrata l'operazione Add-ComplianceCaseMember o Remove-ComplianceCaseMember .
Ricerca contenuto creata
New-ComplianceSearch
È stata creata una nuova ricerca di contenuto.
Ricerca contenuto eliminato
Remove-ComplianceSearch
È stata eliminata una ricerca di contenuto esistente.
Ricerca di contenuto modificata
Set-ComplianceSearch
È stata modificata una ricerca di contenuto esistente. Le modifiche possono includere l'aggiunta o la rimozione di percorsi di contenuto in cui viene eseguita la ricerca e la modifica della query di ricerca.
Ricerca contenuto avviata
Start-ComplianceSearch
È stata avviata una ricerca di contenuto. Quando si crea o si modifica una ricerca di contenuto usando la GUI del portale di conformità, la ricerca viene avviata automaticamente. Se si crea o si modifica una ricerca usando il cmdlet New-ComplianceSearch o Set-ComplianceSearch , è necessario eseguire il cmdlet Start-ComplianceSearch per avviare la ricerca.
Ricerca contenuto arrestata
Stop-ComplianceSearch
Una ricerca di contenuto in esecuzione è stata arrestata.
Azione di ricerca contenuto creata
New-ComplianceSearchAction
È stata creata un'azione di ricerca del contenuto. Le azioni di ricerca del contenuto includono l'anteprima dei risultati della ricerca, l'esportazione dei risultati della ricerca, la preparazione dei risultati della ricerca per l'analisi in eDiscovery (Premium) e l'eliminazione definitiva di elementi che corrispondono ai criteri di ricerca di una ricerca di contenuto.
Azione di ricerca contenuto eliminato
Remove-ComplianceSearchAction
Un'azione di ricerca contenuto è stata eliminata.
Filtro delle autorizzazioni di ricerca create
New-ComplianceSecurityFilter
È stato creato un filtro per le autorizzazioni di ricerca.
Filtro delle autorizzazioni di ricerca eliminate
Remove-ComplianceSecurityFilter
È stato eliminato un filtro delle autorizzazioni di ricerca.
Filtro delle autorizzazioni di ricerca modificato
Set-ComplianceSecurityFilter
È stato modificato un filtro delle autorizzazioni di ricerca.
Amministratore di eDiscovery creato
Add-eDiscoveryCaseAdmin
Un utente è stato aggiunto come amministratore di eDiscovery nell'organizzazione.
Amministratore di eDiscovery eliminato
Remove-eDiscoveryCaseAdmin
Un amministratore di eDiscovery è stato eliminato dall'organizzazione.
Modifica dell'appartenenza dell'amministratore di eDiscovery
Update-eDiscoveryCaseAdmin
L'elenco degli amministratori di eDiscovery nell'organizzazione è stato modificato. Questa attività viene registrata quando l'elenco degli amministratori di eDiscovery viene sostituito con un gruppo di nuovi utenti. Se viene aggiunto o rimosso un singolo utente, viene registrata l'operazione Add-eDiscoveryCaseAdmin o Remove-eDiscoveryCaseAdmin .
(nessuno) Get-ComplianceCase
Questa attività viene registrata quando un utente visualizza un elenco di casi di eDiscovery (Standard) o eDiscovery (Premium). Questa attività viene registrata anche quando un utente visualizza un caso specifico in eDiscovery (Standard). Quando un utente visualizza un caso specifico, il record di controllo include l'identità del caso visualizzato. Se l'utente ha visualizzato solo un elenco di casi, il record di controllo non contiene un'identità del caso.
(nessuno) Get-ComplianceSearch Questa attività viene registrata quando un utente visualizza un elenco di ricerche di contenuto o ricerche associate a un caso eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza una ricerca contenuto specifica o visualizza una ricerca specifica associata a un caso eDiscovery (Standard). Quando un utente visualizza una ricerca specifica, il record di controllo include l'identità della ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di ricerche, il record di controllo non contiene un'identità di ricerca.
(nessuno) Get-ComplianceSearchAction Questa attività viene registrata quando un utente visualizza un elenco di azioni di ricerca di conformità (ad esempio esportazioni, anteprime o ripuliture) o azioni associate a un caso di eDiscovery (Standard). Questa attività viene registrata anche quando un utente visualizza un'azione di ricerca di conformità specifica (ad esempio un'esportazione) o visualizza un'azione specifica associata a un caso eDiscovery (Standard). Quando un utente visualizza un'azione di ricerca, il record di controllo include l'identità dell'azione di ricerca visualizzata. Se l'utente ha visualizzato solo un elenco di azioni, il record di controllo non contiene un'identità di azione.

Proprietà dettagliate per le attività di eDiscovery

Nella tabella seguente vengono descritte le proprietà incluse nella pagina a comparsa per un'attività di eDiscovery elencata nei risultati della ricerca. Queste proprietà sono incluse anche nel file CSV quando si esportano i risultati della ricerca nel log di controllo. Un record del log di controllo per un'attività di eDiscovery non includerà tutte le proprietà dettagliate elencate nella tabella seguente.

Consiglio

Quando si esportano i risultati della ricerca, il file CSV contiene una colonna denominata AudtiData, che contiene le proprietà dettagliate descritte nella tabella seguente in una proprietà multivalore. È possibile usare la funzionalità Power Query in Excel per suddividere questa colonna in più colonne in modo che ogni proprietà abbia una propria colonna. In questo modo sarà possibile ordinare e filtrare in base a una o più di queste proprietà. Per altre informazioni, vedere Cercare nel log di controllo.

Proprietà Descrizione
Caso
Identità (GUID) del caso di eDiscovery creato, modificato o eliminato.
ClientApplication
Le attività dei cmdlet di eDiscovery hanno un valore EMC per questa proprietà. Ciò indica che l'attività è stata eseguita usando la GUI del portale di conformità o eseguendo il cmdlet in PowerShell.
ClientIP
Indirizzo IP del dispositivo usato durante la registrazione dell'attività. L'indirizzo IP viene visualizzato in formato IPv4 o IPv6.
ClientRequestId
Per le attività di eDiscovery, questa proprietà è in genere vuota.
CmdletVersion
Numero di build per la versione del portale di conformità in esecuzione nell'organizzazione.
CreationTime
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata completata l'attività eDiscovery.
EffectiveOrganization
Nome dell'organizzazione di Microsoft 365.
ExchangeLocations
Il Exchange Online cassette postali incluse in una ricerca di contenuto o sospese in un caso di eDiscovery.
Esclusioni
Cassette postali o posizioni del sito escluse da una ricerca di contenuto o da un blocco in un caso di eDiscovery.
ExtendedProperties
Proprietà aggiuntive da una ricerca di contenuto, un'azione di ricerca di contenuto o un blocco in un caso di eDiscovery, ad esempio il GUID dell'oggetto e i parametri cmdlet e cmdlet corrispondenti usati quando è stata eseguita l'attività.
Id
ID della voce del report. L'ID identifica in modo univoco la voce del log di controllo.
NonPIIParameters
Elenco dei parametri (senza valori) usati con il cmdlet identificato nella proprietà Operation. I parametri elencati in questa proprietà sono gli stessi elencati nella proprietà Parameters.
ObjectId
GUID o nome dell'oggetto , ad esempio una ricerca contenuto o un caso eDiscovery (Standard) creato, accessibile, modificato o eliminato dall'attività elencata nella proprietà Operation. Questo oggetto viene identificato anche nella colonna Item nei risultati della ricerca del log di controllo.
ObjectType
Tipo di oggetto eDiscovery creato, eliminato o modificato dall'utente; Ad esempio, un'azione di ricerca di contenuto (anteprima, esportazione o eliminazione), un caso di eDiscovery o una ricerca di contenuto.
Operazione
Nome dell'operazione che corrisponde all'attività di eDiscovery eseguita.
OrganizationId
GUID per l'organizzazione di Microsoft 365.
Parametri
Nome e valore per i parametri usati con il cmdlet corrispondente.
PublicFolderLocations
I percorsi delle cartelle pubbliche in Exchange Online inclusi in una ricerca di contenuto o messi in attesa in un caso di eDiscovery.
Query
Query di ricerca associata all'attività, ad esempio una ricerca di contenuto o un blocco basato su query.
RecordType
Tipo di operazione indicato dal record. Il valore 18 indica un evento correlato a un'attività elencata nella sezione attività del cmdlet eDiscovery . Il valore 24 indica un evento correlato a un'attività elencata nella sezione attività di eDiscovery .
ResultStatus
Indica se l'azione (specificata nella proprietà Operation) ha avuto esito positivo o meno.
SecurityComplianceCenterEventType
Indica che l'attività è un evento del portale di conformità. Tutte le attività di eDiscovery avranno un valore pari a 0 per questa proprietà.
SharepointLocations
Siti di SharePoint Online inclusi in una ricerca di contenuto o sospesi in un caso di eDiscovery.
StartTime
Data e ora dell'ora UTC (Coordinated Universal Time) in cui è stata avviata l'attività eDiscovery.
UserId
L'utente che ha eseguito l'attività (specificata nella proprietà Operation) che ha generato la registrazione del record. Anche i record per l'attività di eDiscovery eseguita dagli account di sistema (ad esempio NT AUTHORITY\SYSTEM) sono inclusi nel log di controllo.
UserKey
ID alternativo per l'utente identificato nella proprietà UserId. Per le attività di eDiscovery, il valore di questa proprietà è in genere lo stesso della proprietà UserId.
UserServicePlan
Sottoscrizione usata dall'organizzazione. Per le attività di eDiscovery, questa proprietà è in genere vuota.
Usertype
Tipo di utente che ha eseguito l'operazione. I valori seguenti indicano il tipo di utente.
0 Un utente normale. 2 Amministratore dell'organizzazione. 3 Un amministratore del data center Microsoft o un account di sistema del data center. 4 Un account di sistema. 5 Un'applicazione. 6 Un'entità servizio.
Versione
Indica il numero di versione dell'attività (identificata dalla proprietà Operation) registrata.
Carico di lavoro
Servizio in cui si è verificata l'attività. Per le attività di eDiscovery, il valore è SecurityComplianceCenter.

Attività del portale messaggi crittografati

I registri di accesso sono disponibili per i messaggi crittografati tramite il portale di messaggi crittografati, che consente all'organizzazione di determinare quando i messaggi devono essere letti e inoltrati dai destinatari esterni. Per altre informazioni sull'abilitazione e l'uso dei registri attività del portale dei messaggi crittografati, vedere Registri attività del portale dei messaggi crittografati.

Ogni voce di controllo per un messaggio rilevato contiene i campi seguenti:

  • MessageID: contiene l'ID del messaggio rilevato. Identificatore di chiave usato per seguire un messaggio attraverso il sistema.
  • Destinatario: elenco di tutti gli indirizzi di posta elettronica del destinatario.
  • Mittente: indirizzo di posta elettronica di origine.
  • AuthenticationMethod: descrive il metodo di autenticazione per l'accesso al messaggio, ad esempio OTP, Yahoo, Gmail o Microsoft.
  • AuthenticationStatus: contiene un valore che indica che l'autenticazione ha avuto esito positivo o negativo.
  • OperationStatus: indica se l'operazione indicata ha avuto esito positivo o negativo.
  • AttachmentName: nome dell'allegato.
  • OperationProperties: elenco di proprietà facoltative. Ad esempio, il numero di passcode OTP inviati o l'oggetto del messaggio di posta elettronica.

Attività di amministrazione di Exchange

La registrazione di controllo dell'amministratore di Exchange, abilitata per impostazione predefinita in Microsoft 365, registra un evento nel log di controllo quando un amministratore (o un utente a cui sono state assegnate autorizzazioni amministrative) apporta una modifica nell'organizzazione di Exchange Online. Le modifiche apportate mediante l'interfaccia di amministrazione di Exchange o eseguendo un cmdlet in PowerShell per Exchange Online vengono registrate nel log di controllo di amministrazione di Exchange. I cmdlet che iniziano con i verbi Get-, Search-oTest- non vengono registrati nel log di controllo. Per informazioni dettagliate sulla registrazione di controllo dell'amministratore in Exchange, vedere Registrazione di controllo dell'amministratore.

Importante

Alcuni cmdlet di Exchange Online che non sono stati registrati nel log di controllo di amministrazione di Exchange o nel log di controllo. Molti di questi cmdlet sono correlati alla gestione del servizio Exchange Online e sono eseguiti dal personale del centro dati Microsoft o dagli account di servizio. Questi cmdlet non vengono registrati perché comportano un gran numero di eventi di controllo "fastidiosi". Se è presente un cmdlet di Exchange Online che non viene controllato, inviare una richiesta di modifica della struttura (DCR) al Supporto tecnico Microsoft.

Di seguito sono forniti alcuni suggerimenti per la ricerca delle attività di amministrazione di Exchange durante la ricerca nel log di controllo:

  • Usare le caselle relative all'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca per i cmdlet eseguiti da uno specifico amministratore di Exchange in un determinato intervallo di date.
  • Per visualizzare gli eventi dal log di controllo dell'amministratore di Exchange, selezionare la colonna Attività per ordinare i nomi dei cmdlet in ordine alfabetico.
  • Per ottenere informazioni sul cmdlet eseguito, sui parametri e sui valori dei parametri usati e sugli oggetti interessati, è possibile esportare i risultati della ricerca e selezionare l'opzione Scarica tutti i risultati. Per ulteriori informazioni, vedere Esportare, configurare e visualizzare i record del log di controllo.
  • È anche possibile usare il comando Search-UnifiedAuditLog -RecordType ExchangeAdminin PowerShell di Exchange Online per restituire solo i record di controllo del log di controllo dell'amministratore di Exchange. Dopo l'esecuzione di un cmdlet di Exchange per la voce del log di controllo corrispondente, la restituzione dei risultati della ricerca potrebbe richiedere fino a 30 minuti. Per altre informazioni, vedere Search-UnifiedAuditLog. Per informazioni sull'esportazione dei risultati della ricerca restituiti dal cmdlet Search-UnifiedAuditLog in un file CSV, vedere la sezione "Suggerimenti per l'esportazione e la visualizzazione del log di controllo in Esportare, configurare e visualizzare i record del log di controllo .

Attività su cassette postali di Exchange

La tabella seguente elenca le attività che possono essere registrate tramite la registrazione di controllo delle cassette postali. Le attività delle cassette postali eseguite dal proprietario della cassetta postale, da un utente delegato o da un amministratore vengono registrate automaticamente nel log di controllo per un massimo di 180 giorni. L'amministratore può disattivare la registrazione di controllo delle cassette postali per tutti gli utenti dell'organizzazione. In questo caso non vengono registrate azioni di cassette postali per alcun utente. Per altre informazioni, vedere Gestire il controllo delle cassette postali.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

È anche possibile cercare le attività delle cassette postali utilizzando il cmdlet Search-MailboxAuditLog in PowerShell di Exchange Online.

Nome descrittivo Operazione Descrizione
Elementi delle cassette postali accessibili MailItemsAccessed I messaggi di una cassetta postale sono stati letti o aperti. Per questa attività i record di controllo vengono attivati nei casi seguenti: quando un client di posta elettronica, ad esempio Outlook, esegue un'operazione di binding sui messaggi oppure quando i protocolli di posta, ad esempio Exchange ActiveSync o IMAP, sincronizzano gli elementi in una cartella di posta elettronica. L'analisi dei record di controllo per questa attività è utile per l'analisi di un account di posta elettronica compromesso.
Aggiunte autorizzazioni delegate per le cassette postali Add-MailboxPermission Un amministratore ha assegnato l'autorizzazione FullAccess per la cassetta postale a un utente (noto come delegato) alla cassetta postale di un'altra persona. L'autorizzazione FullAccess consente al delegato di aprire la cassetta postale di un'altra persona e di leggere e gestire il contenuto della cassetta postale. Il record di controllo per questa attività viene generato anche quando un account di sistema nel servizio Microsoft 365 esegue periodicamente attività di manutenzione per conto dell'organizzazione. Un'attività comune eseguita da un account di sistema è l'aggiornamento delle autorizzazioni per le cassette postali di sistema. Per ulteriori informazioni, vedere Gli account di sistema nei record di controllo delle cassette postali di Exchange.
Aggiunto o rimosso un utente con accesso delegato alla cartella del calendario UpdateCalendarDelegation Un utente è stato aggiunto o rimosso come delegato al calendario della cassetta postale di un altro utente. La delega del calendario assegna a un altro utente nella stessa organizzazione le autorizzazioni per la gestione del calendario del proprietario della cassetta postale.
Aggiunte autorizzazioni alla cartella AddFolderPermissions È stata aggiunta un'autorizzazione per una cartella. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Messaggi copiati in un'altra cartella Copy Un messaggio è stato copiato in un'altra cartella.
Elemento della cassetta postale creato Creare Viene creato un elemento nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione, l'invio o la ricezione di un messaggio non viene controllata, Inoltre, la creazione di una cartella della cassetta postale non viene verificata.
Creata una nuova regola della posta in arrivo in Outlook Web App New-InboxRule Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato una regola di posta in arrivo in Outlook Web App.
Messaggi eliminati dalla cartella Posta eliminata SoftDelete Un messaggio è stato eliminato definitivamente oppure è stato eliminato dalla cartella Posta eliminata. Questi elementi vengono spostati nella cartella Elementi ripristinabili. I messaggi vengono spostati nella cartella Elementi ripristinabili anche quando un utente li seleziona e preme MAIUSC+CANC.
Messaggio con etichetta come record ApplyRecordLabel Un messaggio è stato classificato come record. Si verifica quando un'etichetta di conservazione che classifica il contenuto come record viene applicata manualmente o automaticamente a un messaggio.
Messaggi spostati in un'altra cartella Move Un messaggio è stato spostato in un'altra cartella.
Messaggi spostati nella cartella Posta eliminata MoveToDeletedItems Un messaggio è stato eliminato e spostato nella cartella Posta eliminata.
Autorizzazione cartella modificata UpdateFolderPermissions Un'autorizzazione per una cartella è stata cambiata. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Regola della posta in arrivo modificata da Outlook Web App Set-InboxRule Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha modificato una regola di posta in arrivo in Outlook Web App.
Messaggi ripuliti dalla cassetta postale HardDelete Un messaggio è stato eliminato dalla cartella Elementi ripristinabili (eliminato in modo definitivo dalla cassetta postale).
Rimosse autorizzazioni delegate per le cassette postali Remove-MailboxPermission Un amministratore ha rimosso l'autorizzazione FullAccess (che era assegnata a un delegato) dalla cassetta postale di una persona. Dopo aver rimosso l'autorizzazione FullAccess, il delegato non riesce ad aprire la cassetta postale dell'altra persona o ad accedere a qualsiasi suo contenuto.
Autorizzazioni rimosse dalla cartella RemoveFolderPermissions Un'autorizzazione per una cartella è stata rimossa. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.
Messaggio inviato Send Un messaggio è stato inviato, inoltrato o ha ricevuto risposta.
Messaggio inviato con autorizzazioni Invia come SendAs Un messaggio è stato inviato con l'autorizzazione SendAs, Ciò significa che un altro utente ha inviato il messaggio come se provenisse dal proprietario della cassetta postale.
Messaggio inviato con autorizzazioni Invia per conto di SendOnBehalf Un messaggio è stato inviato con l'autorizzazione SendOnBehalf, Ciò significa che un altro utente ha inviato il messaggio per conto del proprietario della cassetta postale. Il messaggio indica al destinatario per conto di chi è stato inviato e chi effettivamente lo ha inviato.
Regole della posta in arrivo aggiornate dal client di Outlook UpdateInboxRules Il proprietario di una cassetta postale o un altro utente con accesso alla cassetta postale ha creato, modificato o eliminato una regola di posta in arrivo usando il client di Outlook.
Messaggio aggiornato Update Un messaggio o le relative proprietà sono state modificate.
Utente connesso a cassetta postale MailboxLogin Accesso effettuato dall'utente alla propria cassetta postale.
Messaggio con etichetta come record Un utente ha applicato un'etichetta di conservazione a un messaggio di posta elettronica e tale etichetta è configurata in modo da contrassegnare l'elemento come record.

Account di sistema nei record di controllo delle cassette postali di Exchange

Nei record di controllo per alcune attività delle cassette postali (in particolare Add-MailboxPermissions), è possibile notare che l'utente che ha eseguito l'attività (ed è identificato nei campi User e UserId) è NT AUTHORITY\SYSTEM o NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost). Ciò indica che l'"utente" che ha eseguito l'attività era un account di sistema nel servizio Exchange nel cloud Microsoft. Questo account di sistema spesso esegue attività di manutenzione pianificate per conto dell'organizzazione. Ad esempio, un'attività di controllo comune eseguita dall'account NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) consiste nell'aggiornare le autorizzazioni per DiscoverySearchMailbox, che è una cassetta postale di sistema. Lo scopo di questo aggiornamento è verificare che l'autorizzazione FullAccess (che è l'impostazione predefinita) sia assegnata al gruppo di ruoli Gestione individuazione per DiscoverySearchMailbox. Garantisce che gli amministratori di eDiscovery possano eseguire le attività necessarie nell'organizzazione.

Un altro account utente di sistema che può essere identificato in un record di controllo per Add-MailboxPermission è Administrator@apcprd03.prod.outlook.com. Questo account del servizio è incluso anche nei record di controllo delle cassette postali correlati alla verifica e all'aggiornamento dell'autorizzazione FullAccess assegnato al gruppo di ruoli Gestione individuazione per la cassetta postale di sistema DiscoverySearchMailbox. In particolare, i record di controllo che identificano l'account vengono in genere attivati quando il Administrator@apcprd03.prod.outlook.com personale del supporto Tecnico Microsoft esegue uno strumento di diagnostica del controllo degli accessi in base al ruolo per conto dell'organizzazione.

Attività su file e pagine

La tabella seguente descrive le attività su file e pagine in SharePoint Online e OneDrive for Business.

Nome descrittivo Operazione Descrizione
File aperto FileAccessed Un utente o un account di sistema esegue l'accesso a un file. Quando un utente accede a un file, l'evento FileAccessed non viene registrato di nuovo per lo stesso utente per lo stesso file per i cinque minuti successivi.
(nessuno) FileAccessedExtended Elemento correlato all'attività "File aperto" (FileAccessed). Un evento FileAccessedExtended viene registrato quando la stessa persona accede in modo continuativo a un file per un periodo prolungato (fino a 3 ore).

Lo scopo della registrazione di eventi FileAccessedExtended è di ridurre il numero di eventi FileAccessed registrati quando si accede a un file in modo continuativo. Ciò consente di ridurre il numero di record FileAccessed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileAccessed iniziale (e più importante).
Etichetta di conservazione modificata per un file ComplianceSettingChanged È stata applicata o rimossa un'etichetta di conservazione da un documento. Questo evento viene generato quando un'etichetta di conservazione viene applicata manualmente o automaticamente a un messaggio.
Stato del record modificato in bloccato LockRecord Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato bloccato. Ciò significa che non è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.
Stato del record modificato in sbloccato UnlockRecord Lo stato del record di un'etichetta di conservazione che classifica un documento come record è stato sbloccato. Ciò significa che è possibile modificare o eliminare il documento. Solo gli utenti a cui è assegnata almeno l'autorizzazione di collaboratore per un sito possono cambiare lo stato di un documento.
File archiviato FileCheckedIn Un utente archivia un documento estratto da una raccolta documenti.
File estratto FileCheckedOut Un utente estrae un documento da una raccolta documenti. Gli utenti possono estrarre e apportare modifiche ai documenti condivisi con loro.
File copiato FileCopied Un utente copia un documento da un sito. Il file copiato può essere salvato in un'altra cartella nel sito.
File eliminato FileDeleted Un utente elimina un documento da un sito.
File eliminato dal Cestino FileDeletedFirstStageRecycleBin L'utente elimina un file dal Cestino di un sito.
File eliminato dal Cestino di secondo livello FileDeletedSecondStageRecycleBin L'utente elimina un file dal Cestino di secondo livello di un sito.
File eliminato contrassegnato come record RecordDelete Un documento o messaggio di posta elettronica contrassegnato come record è stato eliminato. Un elemento viene considerato record se all’elemento è applicata un'etichetta di conservazione che contrassegna il contenuto come record.
È stata rilevata una mancata corrispondenza della riservatezza del documento DocumentSensitivityMismatchDetected Un utente carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito. Ad esempio, un documento con etichetta Riservato viene caricato in un sito con etichetta Generale.

Questo evento non viene attivato se il documento ha un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. Per altre informazioni sulla priorità dell'etichetta di riservatezza, vedere Priorità dell'etichetta (l’ordine è importante).
Malware rilevato nel file FileMalwareDetected Il motore antivirus di SharePoint rileva malware in un file.
Estrazione file rimossa FileCheckOutDiscarded L'utente rimuove (o annulla) un file estratto. Ciò significa che eventuali modifiche apportate al file al momento dell'estrazione vengono eliminate e non vengono salvate nella versione del documento nella raccolta documenti.
File scaricato FileDownloaded Un utente scarica un documento da un sito.
File modificato FileModified Un utente o un account di sistema modifica il contenuto o le proprietà di un documento in un sito. Il sistema attende cinque minuti prima di registrare un altro evento FileModified quando lo stesso utente modifica il contenuto o le proprietà dello stesso documento.
(nessuno) FileModifiedExtended Elemento correlato all'attività "File modificato" (FileModified). Un evento FileModifiedExtended viene registrato quando la stessa persona modifica in modo continuativo un file per un periodo prolungato (fino a 3 ore).

Lo scopo della registrazione di eventi FileModifiedExtended è di ridurre il numero di eventi FileModified registrati quando si modifica un file in modo continuativo. Ciò consente di ridurre il numero di record FileModified per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento FileModified iniziale (e più importante).
File spostato FileMoved Un utente sposta un documento dalla posizione corrente in un sito a una nuova posizione.
(nessuno) FilePreviewed L'utente visualizza in anteprima i file in un sito di SharePoint Online o di OneDrive for Business. Questi eventi si verificano in genere in volumi elevati in base a una singola attività, ad esempio la visualizzazione di una raccolta immagini.
Query di ricerca eseguita SearchQueryPerformed Un account utente o di sistema esegue una ricerca in SharePoint o in OneDrive for Business. Alcuni scenari comuni in cui un account del servizio esegue una query di ricerca includono l'applicazione di un criterio di conservazione e blocchi di eDiscovery a siti e account OneDrive e l'applicazione automatica di etichette di conservazione o riservatezza al contenuto del sito. Per abilitare la registrazione per questa attività, vedere Introduzione alle soluzioni di controllo.
Un file è stato riciclato FileRecycled L'utente sposta un file nel Cestino di SharePoint.
Una cartella è stata riciclata FolderRecycled L'utente sposta una cartella nel Cestino di SharePoint.
Tutte le versioni secondarie di un file vengono spostate nel Cestino FileVersionsAllMinorsRecycled L'utente elimina tutte le versioni secondarie dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito.
Tutte le versioni di un file vengono spostate nel Cestino FileVersionsAllRecycled L'utente elimina tutte le versioni dalla cronologia delle versioni di un file. Le versioni eliminate vengono spostate nel Cestino del sito.
La versione di un file viene spostata nel Cestino FileVersionRecycled L'utente una versione dalla cronologia delle versioni di un file. La versione eliminata viene spostata nel Cestino del sito.
File rinominato FileRenamed Un utente rinomina un documento in un sito.
File ripristinato FileRestored Un utente ripristina un documento dal Cestino di un sito.
File caricato FileUploaded Un utente carica un documento in una cartella in un sito.
Pagina visualizzata PageViewed Utente visualizza una pagina in un sito, ma non usa un Web browser per visualizzare i file presenti in una raccolta documenti. Quando un utente visualizza una pagina, l'evento PageViewed non viene registrato di nuovo per lo stesso utente per la stessa pagina per i cinque minuti successivi.
(nessuno) PageViewedExtended Elemento correlato all'attività "Pagina visualizzata" (PageViewed). Un evento PageViewedExtended viene registrato quando la stessa persona visualizza in modo continuativo una pagina Web per un periodo prolungato (fino a 3 ore).

Lo scopo della registrazione di eventi PageViewedExtended è di ridurre il numero di eventi PageViewed registrati quando si visualizza una pagina Web in modo continuativo. Ciò consente di ridurre il numero di record PageViewed per un'attività utente sostanzialmente identica e consente di concentrarsi sull'evento PageViewed iniziale (e più importante).
Visualizzazione segnalata dal client ClientViewSignaled Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha segnalato che la pagina indicata è stata visualizzata dall'utente. Questa attività viene spesso registrata dopo un evento PagePrefetched per una pagina.

NOTA: poiché gli eventi ClientViewSignaled sono segnalati dal client, anziché dal server, è possibile che l'evento non sia registrato dal server e che quindi non compaia nel log di controllo. È anche possibile che le informazioni nel record di controllo non siano attendibili. Tuttavia, dato che l'identità dell'utente viene convalidata mediante il token usato per creare il segnale, l'identità dell'utente riportata nel record di controllo corrispondente è accurata. Il sistema attende cinque minuti prima di registrare lo stesso evento quando il client dello stesso utente segnala che la pagina è stata visualizzata di nuovo dall'utente.
(nessuno) PagePrefetched Il client di un utente (ad esempio un sito Web o un'app per dispositivi mobili) ha richiesto la pagina indicata per migliorare le prestazioni in caso di esplorazione da parte dell'utente. Questo evento viene registrato per indicare che il contenuto della pagina è stato servito al client dell'utente. Questo evento non indica definitivamente che l'utente è passato alla pagina.

Quando il contenuto della pagina viene visualizzato dal client (come richiesto dall'utente), è necessario generare un evento ClientViewSignaled. Non tutti i client supportano l'indicazione di un prefetch, pertanto alcune attività preletturate potrebbero invece essere registrate come eventi PageViewed.

Domande frequenti sugli eventi FileAccessed e FilePreviewed

È possibile che attività non utente attivino record di controllo FilePreviewed che contengono un agente utente come "OneDriveMpc-Transform_Thumbnail"?

Non sono noti scenari in cui le azioni non utente generano eventi come questi. Azioni utente come l'apertura di una scheda del profilo utente (selezionando il nome o l'indirizzo di posta elettronica in un messaggio in Outlook sul web) genererebbero eventi simili.

Le chiamate a OneDriveMpc-Transform_Thumbnail vengono sempre attivate intenzionalmente dall'utente?

No. Ma eventi simili possono essere registrati come risultato della prelettura del browser.

Se viene visualizzato un evento FilePreviewed derivante da un indirizzo IP registrato Microsoft, significa che l'anteprima è stata visualizzata sullo schermo del dispositivo dell'utente?

No. L'evento potrebbe essere stato registrato come risultato della prelettura del browser.

Esistono scenari in cui un utente che visualizza l'anteprima di un documento genera eventi FileAccessed?

Sia gli eventi FilePreviewed che FileAccessed indicano che una chiamata utente ha portato a una lettura del file (o a una lettura del rendering dell'anteprima del file). Mentre questi eventi devono essere allineati all'intento anteprima vs accesso, la distinzione dell'evento non garantisce l'intento dell'utente.

L'utente app@sharepoint nei record di controllo

Nei record di controllo relativi ad alcune attività di file (e altre attività correlate a SharePoint) l'utente che ha eseguito l'attività, identificato nei campi User e UserId, è app@sharepoint. Questo indica che l'utente che ha eseguito l'attività è in realtà un'applicazione. In questo caso, in SharePoint all'applicazione sono state concesse le autorizzazioni per eseguire le azioni a livello di organizzazione, ad esempio cercare un sito di SharePoint o un account di OneDrive, per conto di un utente, un amministratore o un servizio. Questo processo di assegnazione delle autorizzazioni a un'applicazione viene definito accesso di tipo solo app di SharePoint. Questo indica che l'autenticazione presentata a SharePoint per eseguire un'azione è stata eseguita da un'applicazione, anziché da un utente. Questo è il motivo per cui in determinati record di controllo è presente l'utente app@sharepoint. Per altre informazioni, vedere Concedere l'accesso di tipo solo app di SharePoint.

Ad esempio, app@sharepoint spesso viene identificato come utente per gli eventi "La query di ricerca è stata eseguita" e "File aperto". Il motivo è che un'applicazione con accesso di tipo solo app di SharePoint nell'organizzazione esegue query di ricerca e accede ai file durante l'applicazione di criteri di conservazione a siti e account di OneDrive.

Ecco alcuni altri scenari in cui è possibile identificare app@sharepoint in un record di controllo come utente che ha eseguito un'attività:

  • Gruppi di Microsoft 365. Quando un utente o un amministratore crea un nuovo gruppo, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint. Queste attività vengono eseguite da un'applicazione per conto dell'utente che ha creato il gruppo.
  • Microsoft Teams. Analogamente a Gruppi di Microsoft 365, vengono generati record di controllo per la creazione di una raccolta siti, l'aggiornamento di elenchi e l'aggiunta di membri a un gruppo di SharePoint quando si crea un team.
  • Funzionalità di conformità. Quando un amministratore implementa le funzionalità di conformità, ad esempio i criteri di conservazione, i blocchi di eDiscovery e l'applicazione automatica delle etichette di riservatezza.

In questi e altri scenari si noterà anche che sono stati creati più record di controllo usando app@sharepoint come utente specificato in un intervallo di tempo breve, spesso a pochi secondi di distanza l'uno dall'altro. Questo indica anche che probabilmente sono stati attivati dalla stessa attività avviata dall'utente. Anche i campi ApplicationDisplayName e EventData nel record di controllo possono essere utili per identificare lo scenario o l'applicazione che ha generato l'evento.

Attività su cartelle

La tabella seguente descrive le attività di cartella in SharePoint Online e OneDrive for Business. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo Operazione Descrizione
Cartella copiata FolderCopied L'utente copia una cartella da un sito in un'altra posizione in SharePoint o OneDrive for Business.
Cartella creata FolderCreated L'utente crea una cartella in un sito.
Cartella eliminata FolderDeleted L'utente elimina una cartella da un sito.
Cartella eliminata dal Cestino FolderDeletedFirstStageRecycleBin L'utente elimina una cartella dal Cestino di un sito.
Cartella eliminata dal Cestino di secondo livello FolderDeletedSecondStageRecycleBin L'utente elimina una cartella dal Cestino di secondo livello di un sito.
Cartella modificata FolderModified L'utente modifica una cartella in un sito. Vengono modificati anche i metadati della cartella, ad esempio tag e proprietà.
Cartella spostata FolderMoved L'utente sposta una cartella in una posizione diversa in un sito.
Cartella rinominata FolderRenamed L'utente rinomina una cartella in un sito.
Cartella ripristinata FolderRestored L'utente ripristina una cartella eliminata dal Cestino di un sito.

Attività barriere informative

La tabella seguente elenca le attività relative alle barriere informative registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle barriere informative, vedere Ulteriori informazioni sulle barriere informative in Microsoft 365.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Modifica dell'impostazione di AppBypassInformationBarrier per il tenant AppBypassInformationBarrier Un amministratore di SharePoint o globale ha modificato l'accesso alle app per i siti di SharePoint.
Modalità barriera delle informazioni applicata al sito SiteIBModeSet Un amministratore di SharePoint o globale ha applicato una modalità al sito.
Segmenti applicati al sito SiteIBSegmentsSet Un amministratore di SharePoint o globale, oppure il proprietario di un sito ha aggiunto uno o più segmenti di barriere informative a un sito.
Modifica della modalità barriera delle informazioni del sito SiteIBModeChanged Un amministratore di SharePoint o globale ha aggiornato la modalità del sito.
Segmenti di sito modificati SiteIBSegmentsChanged Un amministratore di SharePoint o globale ha modificato uno o più segmenti di barriere informative per un sito.
Barriere informative disabilitate per SharePoint e OneDrive SPOIBIsDisabled Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione.
Barriere informative abilitate per SharePoint e OneDrive SPOIBIsEnabled Un amministratore di SharePoint o globale ha disabilitato le barriere informative per SharePoint e OneDrive nell'organizzazione.
Report informazioni dettagliate sulle barriere informative completato InformationBarriersInsightsReportCompleted Il sistema completa la compilazione del report informazioni dettagliate sulle barriere.
Report informazioni dettagliate sulle barriere informative Su cui è stata eseguita una query nella sezione OneDrive InformationBarriersInsightsReportOneDriveSectionQueried Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per gli account OneDrive.
Report informazioni dettagliate sulle barriere informative pianificato InformationBarriersInsightsReportSchedule Un amministratore pianifica il report informazioni dettagliate sulle barriere.
Report informazioni dettagliate sulle barriere informative su SharePoint su cui è stata eseguita una query InformationBarriersInsightsReportSharePointSectionQueried Un amministratore esegue una query sul report informazioni dettagliate sulle barriere per i siti di SharePoint.
Segmento rimosso dal sito SiteIBSegmentsRemoved Un amministratore di SharePoint o globale ha rimosso uno o più segmenti di barriere informative da un sito.

Microsoft Defender per endpoint attività di impostazioni generali

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni generali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle impostazioni Microsoft Defender per endpoint, vedere Configurare le impostazioni generali di Defender per endpoint.

Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Pacchetto offboarding scaricato DownloadOffboardingPkg Scaricato il pacchetto usato per rimuovere i dispositivi da Defender per endpoint.
Pacchetto di onboarding scaricato DownloadOnboardingPkg Scaricato il pacchetto usato per eseguire l'onboarding dei dispositivi in Defender per endpoint.
Conservazione dei dati modificata ChangeDataRetention Modifica delle impostazioni di conservazione dei dati per Defender per endpoint.
Impostare le funzionalità avanzate SetAdvancedFeatures Sono state modificate le funzionalità avanzate in Defender per endpoint, consentendo controlli più precisi durante un evento imprevisto. Nel log di controllo di Microsoft 365 vengono registrate solo le impostazioni per le funzionalità avanzate disponibili a livello generale.

Microsoft Defender per endpoint le attività relative alle impostazioni degli indicatori

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni degli indicatori registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli indicatori Microsoft Defender per endpoint, vedere Gestire gli indicatori.

Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Indicatore aggiunto AddIndicator È stato creato un nuovo indicatore di compromissione che è possibile usare per tenere traccia di attacchi ed eventi.
Indicatore modificato EditIndicator Modifica di un indicatore di compromissione.
Indicatore eliminato DeleteIndicator È stato rimosso un indicatore di compromissione.

attività di Microsoft Defender per endpoint azioni di risposta

Nella tabella seguente sono elencate le attività per le azioni di risposta Microsoft Defender per endpoint, inclusa la risposta live, registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle azioni di risposta Microsoft Defender per endpoint, vedere Eseguire azioni di risposta in un dispositivo.

Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Pacchetto di indagine raccolto CollectInvestigationPackage Informazioni raccolte su un dispositivo usato per comprendere gli strumenti e le tecniche di attacco.
Esecuzione dell'analisi antivirus RunAntiVirusScan Esecuzione Microsoft Defender'analisi antivirus in un dispositivo.
Esecuzione di app con restrizioni RestrictAppExecution Impedire l'esecuzione di un'app dannosa.
Rimosse le restrizioni per le app RemoveAppRestrictions Consentire l'esecuzione di un'app.
Dispositivo isolato IsolateDevice Isolamento di un dispositivo dalla rete, per evitare che gli attacchi si diffondano.
Rilasciato dall'isolamento ReleaseFromIsolation È stato aggiunto di nuovo un dispositivo isolato alla rete.
File arrestato e in quarantena StopAndQuarantineFile È stato messo in quarantena un file sospetto per un'ulteriore analisi.
File scaricato DownloadFile Scaricato un file sospetto per ulteriori indagini.
Dispositivo offboarded DeviceOffBoarding È stato rimosso un dispositivo da Defender per endpoint.
API di risposta in tempo reale in esecuzione RunLiveResponseApi È stata aperta una sessione di risposta dinamica tramite una chiamata API, aprendo una shell remota in un dispositivo.
Log raccolti LogsCollection Informazioni di log raccolte su Defender per endpoint.
Ran get Live response file link (Collegamento al file di risposta in tempo reale) LiveResponseGetFile È stata aperta una sessione di risposta live, aprendo una shell remota in un dispositivo.
Sessione di risposta in tempo reale in esecuzione RunLiveResponseSession È stata eseguita una sessione di risposta live, aprendo una shell remota in un dispositivo.

Microsoft Defender per endpoint le attività delle impostazioni dei ruoli

Nella tabella seguente sono elencate le attività per Microsoft Defender per endpoint impostazioni del ruolo registrate nel log di controllo di Microsoft 365. Per altre informazioni sui ruoli in Microsoft Defender per endpoint, vedere Creare e gestire ruoli per il controllo degli accessi in base al ruolo.

Per visualizzare Microsoft Defender per endpoint attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
AddRole Aggiunta del ruolo Aggiunta di nuovi ruoli di sicurezza e autorizzazioni.
EditRole Ruolo modificato Ruoli di sicurezza e autorizzazioni modificati.
DeleteRole Ruolo eliminato Sono stati rimossi i ruoli di sicurezza e le autorizzazioni.

Microsoft Defender per le attività degli esperti

La tabella seguente elenca le attività in Microsoft Defender Experts registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli esperti Microsoft Defender, vedere Informazioni su Microsoft Defender Experts for XDR e Informazioni su Microsoft Defender Experts for Hunting

Nome descrittivo Operazione Descrizione
Autorizzazione dell'analista di Defender Experts creata DefenderExpertsAnalystPermissionCreated Un amministratore ha concesso una o più autorizzazioni di ruolo agli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce.
Autorizzazione dell'analista di Defender Experts modificata DefenderExpertsAnalystPermissionModified Un amministratore ha modificato le autorizzazioni del ruolo per gli analisti di Defender Experts per analizzare gli eventi imprevisti o correggere le minacce.

attività Microsoft Defender per identità

Nella tabella seguente sono elencate le attività per Microsoft Defender per identità registrate nel log di controllo di Microsoft 365.

Per visualizzare Microsoft Defender per identità attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Tag di entità aggiornati TaggingConfigurationUpdated Un tag è stato aggiunto o rimosso da un'entità.
Aggiunta della configurazione delle esclusioni ExclusionConfigurationAdded È stata aggiunta un'esclusione globale per un avviso o per un'entità.
Configurazione delle esclusioni aggiornate ExclusionConfigurationUpdated Un'esclusione globale è stata aggiornata per un avviso o per un'entità.
Configurazione delle esclusioni eliminate ExclusionConfigurationDeleted Un'esclusione globale è stata eliminata per un avviso o per un'entità.
Configurazione aggiornata della soglia di avviso WorkspaceAlertThresholdLevelUpdated La configurazione delle soglie degli avvisi è stata aggiornata.
Avviso di sicurezza scaricato Excel AlertExcelDownloaded Il file di Excel dettagliato di un avviso è stato scaricato.
Aggiunta dell'azione di correzione RemediationActionAdded È stata aggiunta un'azione di correzione alla coda.
Azione di correzione aggiornata RemediationActionUpdated È stata completata un'azione di correzione.
Configurazione del sensore aggiornata SensorConfigurationUpdated La configurazione di un sensore è stata aggiornata.
Aggiunta del sensore SensorCreated È stato aggiunto un nuovo sensore.
Sensore rimosso SensorDeleted Un sensore è stato eliminato.
Chiave di distribuzione del sensore recuperata SensorDeploymentAccessKeyReceived La chiave di accesso dei sensori è stata recuperata.
Chiave di distribuzione del sensore rigenerato SensorDeploymentAccessKeyUpdated La chiave di accesso dei sensori è stata rigenerata.
Copertura controller di dominio scaricata In Excel DomainControllerCoverageExcelDownloaded Il file di Excel di copertura del controller di dominio è stato scaricato.
Aggiornamento della configurazione dell'account dei servizi directory DirectoryServicesAccountConfigurationUpdated Il set di account dei servizi directory è stato modificato.
Aggiornamento della configurazione dell'azione di correzione RemediationActionConfigurationUpdated Il set Gestisci account azione è stato modificato.
Configurazione aggiornata della correzione delle entità EntityRemediatorConfigurationUpdated La modalità Gestisci account azione è stata modificata.
Problema di integrità aggiornato MonitoringAlertUpdated È stato modificato un problema di integrità.
Report scaricato ReportDownloaded È stato scaricato un report.
Configurazione aggiornata del reporter ReporterConfigurationUpdated La pianificazione di un report è stata modificata.
Configurazione dell'inoltro syslog aggiornato SyslogServiceConfigurationUpdated La configurazione di inoltro syslog è stata modificata.
Configurazione aggiornata delle notifiche di sicurezza NotificationConfigurationUpdated La configurazione delle notifiche degli avvisi di sicurezza o dei problemi di integrità è stata modificata.
Aggiunta del destinatario della notifica di avviso AlertNotificationsRecipientAdded Un destinatario è stato aggiunto alla configurazione della notifica degli avvisi di sicurezza.
Destinatario della notifica di avviso eliminato AlertNotificationsRecipientDeleted Un destinatario è stato rimosso dalla configurazione della notifica degli avvisi di sicurezza.
Aggiunta del destinatario della notifica dei problemi di integrità MonitoringAlertNotificationRecipientAdded Un destinatario è stato aggiunto alla configurazione di notifica dei problemi di integrità.
Destinatario di notifica dei problemi di integrità eliminati MonitoringAlertNotificationRecipientDeleted Un destinatario è stato rimosso dalla configurazione della notifica problemi di integrità.
Configurazione VPN aggiornata VpnConfigurationUpdated La configurazione VPN (radius accounting) è stata modificata.
Aggiornamento della configurazione del controllo degli accessi in base al ruolo unificato URbacAuthorizationStatusChanged La configurazione Controllo di accesso basata su ruoli unificata è stata modificata.
Area di lavoro creata WorkspaceCreated L'area di lavoro è stata creata.
Area di lavoro eliminata WorkspaceDeleted L'area di lavoro è stata eliminata.

Microsoft Defender XDR attività di rilevamento personalizzate

Nella tabella seguente sono elencate le attività di rilevamento personalizzate per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft Defender XDR rilevamenti personalizzati, vedere Creare e gestire regole di rilevamento personalizzate.

Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Regola di rilevamento personalizzata creata CreateCustomDetection È stata creata una nuova regola di rilevamento personalizzata.
Regola di rilevamento personalizzata modificata EditCustomDetection È stata modificata una regola di rilevamento personalizzata.
Stato della regola di rilevamento personalizzata modificata ChangeCustomDetectionRuleStatus Una regola di rilevamento personalizzata è stata disattivata o attivata.
È stata eseguita una regola di rilevamento personalizzata RunCustomDetection È stata eseguita manualmente una regola di rilevamento personalizzata.
Regola di rilevamento personalizzata eliminata DeleteCustomDetection È stata rimossa una regola di rilevamento personalizzata.

Microsoft Defender XDR attività impreviste

La tabella seguente elenca le attività degli eventi imprevisti per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sugli eventi imprevisti in Microsoft Defender XDR, vedere Panoramica degli eventi imprevisti.

Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Aggiunta di un commento all'evento imprevisto AddCommentToIncident. Aggiunta di un commento all'evento imprevisto.
Utente assegnato all'evento imprevisto AssignUserToIncident Utente assegnato all'evento imprevisto.
Utente non assegnato all'evento imprevisto UnAssignUserFromIncident Utente non assegnato all'evento imprevisto.
Stato degli eventi imprevisti aggiornati UpdateIncidentStatus Stato eventi imprevisti aggiornati.
Modificare la classificazione degli eventi imprevisti EditIncidentClassification Modificare la classificazione degli eventi imprevisti.
Aggiunta di tag all'evento imprevisto AddTagsToIncident Aggiunta di tag all'evento imprevisto.
Tag rimossi dall'evento imprevisto RemoveTagsFromIncident Tag rimossi dall'evento imprevisto.

attività delle regole di eliminazione Microsoft Defender XDR

Nella tabella seguente sono elencate le attività per le regole di eliminazione per Microsoft Defender XDR registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle regole di eliminazione in Microsoft Defender XDR, vedere Gestire le regole di eliminazione.

Per visualizzare Microsoft Defender XDR attività, è necessario abilitare il log di controllo unificato nel portale di Microsoft Defender XDR. Per altre informazioni, vedere Abilitare il log di controllo unificato.

Nome descrittivo Operazione Descrizione
Regola di eliminazione creata CreateSuppressionRule Regola di eliminazione degli avvisi creata.
Regola di eliminazione modificata EditSuppressionRule Regola di eliminazione degli avvisi eliminata.
Regola di eliminazione abilitata EnableSuppressionRule Regola di eliminazione degli avvisi abilitata.
Regola di eliminazione disabilitata DisableSuppressionRule Regola di eliminazione degli avvisi disabilitata.
Regola di eliminazione eliminata DeleteSuppressionRule Regola di eliminazione degli avvisi eliminata.

Microsoft Entra attività di amministrazione del gruppo

La tabella seguente elenca le attività di amministrazione gruppi registrate quando un amministratore o un utente crea o modifica un gruppo di Microsoft 365 oppure quando un amministratore crea un gruppo di sicurezza usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure. Per ulteriori informazioni sui gruppi in Microsoft 365, vedere Visualizzare, creare ed eliminare nell’interfaccia di amministrazione di Microsoft 365.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Nome descrittivo Operazione Descrizione
Gruppo aggiunto Aggiunta di un gruppo. È stato creato un gruppo.
Membro aggiunto a gruppo Aggiunta di un membro al gruppo. È stato aggiunto un membro a un gruppo.
Gruppo eliminato Eliminazione di un gruppo. È stato eliminato un gruppo.
Membro rimosso da gruppo Rimozione di un membro dal gruppo. È stato rimosso un membro da un gruppo.
Gruppo aggiornato Aggiornamento di un gruppo. È stata modificata una proprietà di un gruppo.

Attività di Microsoft Fabric

È possibile eseguire una ricerca nel log di controllo per le attività in Power BI. Per informazioni sulle impostazioni di controllo, vedere Impostazioni del tenant di controllo e utilizzo.

La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365. Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore. Per istruzioni, vedere Attivare il controllo.

Attività di Microsoft Forms

Le tabelle in questa sezione indicano le attività dell'utente e dell'amministratore in Microsoft Forms registrate nel registro di controllo. Microsoft Forms è uno strumento per la creazione di moduli, test e sondaggi usato per raccogliere dati a scopo di analisi. Dove indicato di seguito nelle descrizioni, alcune operazioni contengono parametri di attività aggiuntivi.

Se un'attività Forms viene eseguita da un coautore o da un risponditore anonimo, viene registrata in modo leggermente diverso. Per altre informazioni, vedere la sezione Attività di Forms eseguite da coautori e partecipanti anonimi.

Nome descrittivo Operazione Descrizione
Commento creato CreateComment Il proprietario del modulo aggiunge un commento o il punteggio a un test.
Modulo creato CreateForm Il proprietario del modulo crea un nuovo modulo.

Proprietà DataMode: la stringa indica che il modulo corrente è impostato per la sincronizzazione con una cartella di lavoro Excel nuova o esistente se il valore della proprietà è uguale a DataSync. Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente.
Modulo modificato EditForm Il proprietario del modulo modifica un modulo, ad esempio creando, eliminando o modificando una domanda. La proprietà EditOperation:string indica il nome dell'operazione di modifica. Le operazioni possibili sono:
- CreateQuestion
- CreateQuestionChoice
- DeleteQuestion
- DeleteQuestionChoice
- DeleteFormImage
- DeleteQuestionImage
- UpdateQuestion
- UpdateQuestionChoice
- UploadFormImage/Bing/Onedrive
- UploadQuestionImage
- ChangeTheme

FormImage include qualsiasi posizione all'interno di Forms in cui l'utente può caricare un'immagine, ad esempio in una query o come tema di sfondo.
Modulo spostato MoveForm Il proprietario del modulo sposta un modulo.

La proprietà DestinationUserId:stringa indica l'ID utente della persona che ha spostato il modulo. La proprietà NewFormId:stringa è il nuovo ID per il modulo appena copiato. Proprietà IsDelegateAccess: booleano che indica che l'azione di spostamento del modulo corrente viene eseguita tramite la pagina del delegato amministratore.
Modulo eliminato DeleteForm Il proprietario del modulo elimina un modulo. Include SoftDelete (uso dell'opzione Elimina e spostamento del modulo nel Cestino) e HardDelete (svuotamento del Cestino).
Modulo visualizzato (fase di progettazione) ViewForm Il proprietario del modulo apre un modulo esistente per la modifica.

Property AccessDenied: booleano che indica che l'accesso al modulo corrente è negato a causa del controllo delle autorizzazioni. Proprietà FromSummaryLink: booleano che indica che la richiesta corrente proviene dalla pagina del collegamento di riepilogo.
Modulo visualizzato in anteprima PreviewForm Il proprietario del modulo visualizza un modulo in anteprima usando la funzione Anteprima.
Modulo esportato ExportForm Il proprietario del modulo esporta i risultati in Excel.

La proprietà ExportFormat:stringa indica se il file di Excel è scaricato oppure online.
Condivisione del modulo per la copia consentita AllowShareFormForCopy Il proprietario del modulo crea un collegamento a un modello per condividere il modulo con altri utenti. Questo evento viene registrato quando il proprietario del modulo seleziona per generare l'URL del modello.
Condivisione del modulo per la copia non consentita DisallowShareFormForCopy Il proprietario del modulo elimina il collegamento al modello.
Coautore del modulo aggiunto AddFormCoauthor Un utente usa un collegamento per la collaborazione per aiutare nella progettazione o nella visualizzazione delle risposte. Questo evento viene registrato quando un utente usa un URL di collaborazione (non quando viene generato l'URL di collaborazione).
Coautore del modulo rimosso RemoveFormCoauthor Il proprietario del modulo elimina un collegamento per la collaborazione.
Pagina di risposta visualizzata ViewRuntimeForm L'utente ha aperto una pagina di risposta per la visualizzazione. Questo evento viene registrato indipendentemente dal fatto che l'utente invii o meno una risposta.
Risposta creata CreateResponse Simile alla ricezione di una nuova risposta. Un utente ha inviato una risposta a un modulo.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.

Per un risponditore anonimo, la proprietà ResponderId è Null.
Risposta aggiornata UpdateResponse Il proprietario del modulo ha aggiornato un commento o il punteggio di un test.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.

Per un risponditore anonimo, la proprietà ResponderId è Null.
Tutte le risposte eliminate DeleteAllResponses Il proprietario del modulo elimina tutti i dati delle risposte.
Risposta eliminata DeleteResponse Il proprietario del modulo elimina una risposta.

La proprietà ResponseId:stringa indica la risposta eliminata.
Risposte visualizzate ViewResponses Il proprietario del modulo visualizza l'elenco aggregato di risposte.

La proprietà ViewType:stringa indica se il proprietario del modulo visualizza i dati in dettaglio o in forma aggregata
Risposta visualizzata ViewResponse Il proprietario del modulo visualizza una risposta specifica.

Le proprietà ResponseId:stringa e ResponderId:stringa indicano quale risultato viene visualizzato.

Per un risponditore anonimo, la proprietà ResponderId è Null.
Collegamento di riepilogo creato GetSummaryLink Il proprietario del modulo crea un collegamento ai risultati di riepilogo per condividere i risultati.
Collegamento di riepilogo eliminato DeleteSummaryLink Il proprietario del modulo elimina il collegamento ai risultati di riepilogo.
Stato di phishing modulo aggiornato UpdatePhishingStatus Questo evento viene registrato ogni volta che viene modificato il valore dettagliato dello stato di sicurezza interno, indipendentemente dal fatto che sia stato modificato lo stato di sicurezza finale, ad esempio il modulo ora è chiuso o aperto. Ciò significa che potrebbero comparire eventi duplicati senza il cambiamento dello stato di sicurezza finale. I possibili valori di stato per l'evento sono:
- Rimuovi
- Rimuovi da amministratore
- Amministratore sbloccato
- Bloccato automaticamente
- Sbloccato automaticamente
- Cliente segnalato
- Reimpostare cliente segnalato
Stato di phishing utente aggiornato UpdateUserPhishingStatus Questo evento viene registrato ogni volta che viene modificato il valore per lo stato di sicurezza degli utenti. Il valore dello stato dell'utente nel record di controllo è Confermato come phisher quando l'utente ha creato un modulo di phishing che è stato rimosso dal team di sicurezza online di Microsoft. Se un amministratore sblocca l'utente, il valore dello stato dell'utente è impostato su Reimposta come utente normale.
Invito a Forms Pro inviato ProInvitation L'utente seleziona per attivare una versione di valutazione Pro.
Impostazione modulo aggiornata UpdateFormSetting Il proprietario del modulo aggiorna una o più impostazioni del modulo.

Proprietà FormSettingName: la stringa che indica il nome delle impostazioni sensibili aggiornate. Proprietà NewFormSettings: la stringa che indica il nome delle impostazioni aggiornate e il nuovo valore. Proprietà thanksYouMessageContainsLink:booleano che indica che il messaggio di ringraziamento aggiornato contiene un collegamento URL.
Impostazione utente aggiornata UpdateUserSetting Il proprietario del modulo aggiorna un'impostazione utente.

La proprietà UserSettingName:stringa indica il nome e il nuovo valore dell'impostazione
Moduli elencati ListForms Il proprietario del modulo sta visualizzando un elenco di moduli.

La proprietà ViewType:stringa indica la visualizzazione esaminata dal proprietario del modulo: tutti i moduli, condivisi con l'utente o moduli dei gruppi
Risposta inviata SubmitResponse Un utente invia una risposta a un modulo.

La proprietà IsInternalForm:booleano indica se il partecipante si trova nella stessa organizzazione del proprietario del modulo.
Impostazione Chiunque può rispondere abilitata AllowAnonymousResponse Il proprietario del modulo attiva l'impostazione che consente a chiunque di rispondere al modulo.
Impostazione Chiunque può rispondere disabilitata DisallowAnonymousResponse Il proprietario del modulo disattiva l'impostazione che consente a chiunque di rispondere al modulo.
Impostazione Persone specifiche possono rispondere abilitata EnableSpecificResponse Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo.
Impostazione Persone specifiche possono rispondere disabilitata DisableSpecificResponse Il proprietario del modulo diattiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di rispondere al modulo.
Risponditore specifico aggiunto AddSpecificResponder Il proprietario del modulo aggiunge un nuovo utente o gruppo all'elenco dei risponditori specifici.
Risponditore specifico rimosso RemoveSpecificResponder Il proprietario del modulo rimuove un utente o un gruppo dall'elenco dei risponditori specifici.
Collaborazione disabilitata DisableCollaboration Il proprietario del modulo disattiva l'impostazione di collaborazione nel modulo.
Collaborazione nell'account aziendale o dell'istituto di istruzione di Office 365 abilitata EnableWorkOrSchoolCollaboration Il proprietario del modulo attiva l'impostazione che consente agli utenti con un account aziendale o dell'istituto di istruzione di Microsoft 365 di visualizzare e modificare il modulo.
Collaborazione delle persone dell'organizzazione abilitata EnableSameOrgCollaboration Il proprietario del modulo attiva l'impostazione che consente agli utenti dell'organizzazione corrente di visualizzare e modificare il modulo.
Collaborazione di persone specifiche abilitata EnableSpecificCollaboaration Il proprietario del modulo attiva l'impostazione che consente solo a utenti o gruppi specifici dell'organizzazione corrente di visualizzare e modificare il modulo.
Connesso a cartella di lavoro di Excel ConnectToExcelWorkbook Il modulo è stato connesso a una cartella di lavoro di Excel.

Proprietà ExcelWorkbookLink: la stringa indica l'ID della cartella di lavoro di Excel associata del modulo corrente.
È stata creata una raccolta CollectionCreated Il proprietario del modulo ha creato una raccolta.
È stata aggiornata una raccolta CollectionUpdated Il proprietario del modulo ha aggiornato una proprietà della raccolta.
La raccolta è stata eliminata dal Cestino CollectionHardDeleted Il proprietario del modulo ha eliminato definitivamente una raccolta dal Cestino.
La raccolta è stata spostata nel Cestino CollectionSoftDeleted Il proprietario del modulo ha spostato una raccolta nel Cestino.
È stata rinominata una raccolta CollectionRenamed Il proprietario del modulo ha modificato il nome di una raccolta.
È stato spostato un modulo nella raccolta MovedFormIntoCollection Il proprietario del modulo ha spostato un modulo in una raccolta.
È stato spostato un modulo all'esterno della raccolta MovedFormOutofCollection Il proprietario del modulo ha spostato un modulo fuori da una raccolta.

Attività di Forms eseguite da coautori e partecipanti anonimi

Forms supporta la collaborazione quando i moduli vengono progettati e durante l'analisi delle risposte. Un collaboratore di moduli è noto come coautore. I coautori possono eseguire tutte le operazioni eseguibili da un proprietario del modulo, tranne l'eliminazione o lo spostamento di un modulo. Forms consente anche di creare un modulo a cui è possibile rispondere in modo anonimo. Questo significa che non è necessario che il partecipante sia connesso all'organizzazione per rispondere a un modulo.

La tabella seguente descrive le attività di controllo e le informazioni del record di controllo relative alle attività eseguite dai coautori e dai partecipanti anonimi.

Tipo di attività Utente interno o esterno ID utente registrato Organizzazione a cui si è connessi Tipo di utente Forms
Attività di creazione condivisa Interno UPN Organizzazione del proprietario del modulo Coautore
Attività di creazione condivisa Esterno UPN
Organizzazione del coautore
Coautore
Attività di creazione condivisa Esterno urn:forms:coauthor#a0b1c2d3@forms.office.com
La seconda parte dell'ID è un hash, che varia in base ai diversi utenti
Organizzazione del proprietario del modulo
Coautore
Attività di risposta Esterno UPN
Organizzazione del partecipante
Partecipante
Attività di risposta Esterno urn:forms:external#a0b1c2d3@forms.office.com
La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti
Organizzazione del proprietario del modulo Partecipante
Attività di risposta Anonimo urn:forms:anonymous#a0b1c2d3@forms.office.com
La seconda parte dell'ID utente è un hash, che varia in base ai diversi utenti
Organizzazione del proprietario del modulo Partecipante

Microsoft Graph Data Connect

Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Graph Data Connect registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Nome descrittivo Operazione Descrizione
Approvato o negato un'app ConsentModificationRequest Un utente ha eseguito una richiesta di modifica del consenso.
Estrazione eseguita DataAccessRequestOperation Un utente ha eseguito un'estrazione. I set di dati dei partner e le esecuzioni ISV sono esclusi.

attività Microsoft Planner

Nella tabella seguente sono elencate le attività utente e amministratore in Microsoft Planner registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Nota

L'attività del portfolio in Planner viene registrata con l'attività di roadmap Web di Microsoft Project. Per informazioni dettagliate, vedere la sezione Attività di Microsoft Project per il Web.

Nome descrittivo Operazione Descrizione
Leggere un piano PlanRead Un piano viene letto da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ContainerType indica ContainerType.Invalid e ContainerId indica Null.
Creazione di un piano PlanCreated Un piano viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, ContainerType indica ContainerType.Invalid e ContainerId indica Null.
Modifica di un piano PlanModified Un piano viene modificato da un utente o da un'app.
Eliminazione di un piano PlanDeleted Un piano viene eliminato da un utente o da un'app.
Copiato un piano PlanCopied Un piano viene copiato da un utente o da un'app. Se l'operazione di copia è ResultStatus.Failure o ResultStatus.Failure, newPlanId indica null, newContainerType indica ContainerType.Invalid e newContainerId indica Null.
Leggere un'attività TaskRead Un'attività viene letta da un utente o da un'app. Se l'operazione di lettura è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanId indica null.
Creazione di un'attività TaskCreated Un'attività viene creata da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null e PlanId indica Null.
Modifica di un'attività TaskModified Un'attività viene modificata da un utente o da un'app.
Eliminazione di un'attività TaskDeleted Un'attività viene eliminata da un utente o da un'app.
Assegnazione di un'attività TaskAssigned L'assegnatario di un'attività viene modificato da un utente o da un'app. Può trattarsi di un'attività non assegnata che viene assegnata o di un'attività assegnata con un nuovo assegnatario.
Completato un'attività TaskCompleted Un'attività viene contrassegnata come completata da un utente o da un'app.
Creazione di un elenco RosterCreated Un elenco di utenti viene creato da un utente o da un'app. Se l'operazione di creazione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica null, MemberIds indica una stringa vuota.
Eliminazione di un elenco RosterDeleted Un roster viene eliminato da un utente o da un'app.
Aggiunta di uno o più membri a un elenco RosterMemberAdded Uno o più membri viene aggiunto a un roster. Se l'operazione di aggiunta è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati.
Rimozione di uno o più membri in un elenco RosterMemberDeleted Uno o più membri vengono rimossi da un roster. Se l'operazione di rimozione è ResultStatus.Failure o ResultStatus.AuthorizationFailure, MemberIds indica l'elenco degli ID membro tentati.
Leggere un elenco di piani PlanListRead Un elenco di piani viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, PlanList indica una stringa vuota.
Leggere un elenco di attività TaskListRead Un elenco di attività viene sottoposto a query da un utente o da un'app. Se l'operazione di query è ResultStatus.Failure o ResultStatus.AuthorizationFailure, TaskList indica una stringa vuota.
Impostazioni del tenant aggiornate TenantSettingsUpdated Le impostazioni del tenant vengono aggiornate da un amministratore tenant. Se l'operazione di aggiornamento è ResultStatus.Failure o ResultStatus.AuthorizationFailure, ObjectId indica le impostazioni originali e TenantSettings indica il tentativo di impostazione del tenant.
Aggiornamento dell'etichetta di riservatezza di un elenco RosterSensitivityLabelUpdated Un utente o un'app aggiorna l'etichetta di riservatezza di un elenco.

Attività di Microsoft Power Apps

È possibile eseguire una ricerca nel log di controllo per le attività in Power Apps. Queste attività includono la creazione, l'avvio e la pubblicazione di un'app. Anche l'assegnazione di autorizzazioni alle app è controllata. Per una descrizione di tutte le attività di Power Apps, vedere Registrazione delle attività per Power Apps.

Nota

Gli eventi di controllo dei criteri di avviso (avviso di protezione) (RecordType:45) non sono attualmente supportati per PowerApps.

Attività di Microsoft Power Automate

È possibile eseguire una ricerca nel log di controllo per le attività in Power Automate (prima denominato Microsoft Flow). Queste attività includono la creazione, la modifica e l'eliminazione di flussi e la modifica delle autorizzazioni di flusso. Per informazioni sul controllo per le attività di Power Automate, vedere il blog Eventi di controllo di Power Automate ora disponibili nel portale di conformità.

Attività di Microsoft Project per il Web

È possibile cercare nel log di controllo le attività in Microsoft Project per il Web. Microsoft Project per il Web è basato su Microsoft Dataverse e ha un progetto Power App associato. Per abilitare il controllo per gli scenari in cui l'utente usa Microsoft Dataverse o Project Power App, vedere le linee guida della scheda Controllo delle impostazioni di sistema . Per un elenco delle entità correlate a Project per il Web, vedere le linee guida Esporta dati utente da Project per il Web.

Per informazioni su Microsoft Project per il Web, vedere Microsoft Project per il Web.

Nota

Per il controllo degli eventi per le attività di Microsoft Project per il Web è necessaria una licenza Project - Piano 1 a pagamento (o superiore).

Nome descrittivo Operazione Descrizione
Progetto creato ProjectCreated Un progetto viene creato da un utente o un'app.
Roadmap creata RoadmapCreata Un roadmap o un portfolio viene creato da un utente o un'app.
Elemento della roadmap creato RoadmapItemCreated Un elemento di roadmap o portfolio viene creato da un utente o un'app.
Attività creata TaskCreated Un'attività viene creata da un utente o un'app.
Progetto eliminato ProjectDeleted Un progetto viene eliminato da un utente o un'app.
Roadmap eliminata RoadmapDeleted Una roadmap o un portfolio viene eliminato da un utente o un'app.
Elemento della roadmap eliminato RoadmapItemDeleted Un elemento di roadmap o portfolio viene eliminato da un utente o un'app.
Attività eliminata TaskDeleted Un'attività viene eliminata da un utente o da un'app.
Accesso al progetto ProjectAccessed Un progetto viene letto o app.
Pagina iniziale del progetto a cui si accede ProjectListAccessed Un elenco di progetti e/o roadmap viene sottoposto a query da un utente.
Roadmap accessibile RoadmapAccessed Una roadmap o un portfolio viene letto da un utente o da un'app.
Elemento della roadmap a cui si accede RoadmapItemAccessed Un elemento di roadmap o portfolio viene letto da un utente o un'app.
Attività a cui si accede TaskAccessed Un'attività viene letta da un utente o un'app.
Impostazioni del progetto aggiornate ProjectForTheWebProjectSettings Le impostazioni del progetto vengono aggiornate da un amministratore.
Roadmap aggiornata RoadmapUpdated Una roadmap o un portfolio viene modificato da un utente o un'app.
Elemento della roadmap aggiornato RoadmapItemUpdated Un elemento di roadmap o portfolio viene modificato da un utente o un'app.
Impostazioni della roadmap aggiornate ProjectForTheWebRoadmaptSettings Le impostazioni della roadmap o del portfolio vengono aggiornate da un amministratore.
Attività aggiornata TaskUpdated Un'attività viene modificata da un utente o un'app.
Progetto aggiornato ProjectUpdated Un progetto viene modificato da un utente o un'app.

Microsoft Purview Audit attività della soluzione

Nella tabella seguente sono elencate le attività associate alle soluzioni di controllo nel portale di Microsoft Purview, nella Portale di conformità di Microsoft Purview e nella API Graph Ricerca di controllo. Queste attività vengono controllate nel carico di lavoro SecurityComplianceCenter . Per altre informazioni, vedere Cercare nel log di controllo.

Le attività di ricerca ed esportazione di controllo eseguite con Search-UnifiedAuditLog non vengono controllate.

Nome descrittivo Operazione Descrizione
Ricerca di controllo creata AuditSearchCreated Viene inviata una nuova richiesta di ricerca di controllo.
Ricerca di controllo completata AuditSearchCompleted Un processo di ricerca di controllo è stato completato.
Ricerca di controllo annullata AuditSearchCancelled Un processo di ricerca di controllo viene annullato.
Ricerca di controllo eliminata AuditSearchDeleted Un processo di ricerca di controllo viene eliminato.
Controllare il processo di esportazione della ricerca creato AuditSearchExportJobCreated Viene creato un processo di esportazione per esportare i risultati della ricerca di una query di ricerca di controllo.
Controllo del processo di esportazione della ricerca completato AuditSearchExportJobCompleted Il processo di esportazione per esportare i risultati della ricerca di una query di ricerca di controllo viene completato.
Controllare i risultati dell'esportazione della ricerca scaricati AuditSearchExportResultsDownloaded I risultati della ricerca da una query di ricerca di controllo sono stati scaricati.

Attività di governance di Microsoft Purview

Nella tabella seguente sono elencate le attività di governance di Microsoft Purview registrate nel log di controllo di Microsoft 365. Per altre informazioni, vedere Soluzioni di governance di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Asset o entità creata EntityCreated Un nuovo asset o entità viene creato o aggiunto a un asset esistente.
Classificazione aggiunta ClassificationAdded Aggiungere classificazioni all'entità asset.
Definizione di classificazione creata ClassificationDefinitionCreated Creare un tipo di classificazione.
Definizione di classificazione eliminata ClassificationDefinitionDeleted Eliminare un tipo di classificazione.
Definizione di classificazione aggiornata ClassificationDefinitionUpdated Aggiornare un tipo di classificazione.
Classificazione eliminata ClassificationDeleted Eliminare le classificazioni dall'entità asset.
Classificazione aggiornata ClassificationUpdated Aggiornare le classificazioni per l'entità asset.
Entità eliminata EntityDeleted Un asset o un'entità viene eliminato da un asset esistente.
Entità aggiornata EntityUpdated Include: aggiornamento degli attributi, aggiornamento degli attributi aziendali, informazioni sulla raccolta (include solo l'ID raccolta), aggiornamento dei contatti, customAttributes, gerarchia, homeId, etichette, sourceDetails
Termine glossario assegnato GlossaryTermAssigned Assegnare termini all'entità asset.
Termine glossario creato GlossaryTermCreated Creare un termine.
Termine glossario eliminato GlossaryTermDeleted Eliminare un termine.
Termine del glossario disassociato GlossaryTermDisassociated Disassociare i termini dall'entità asset.
Termine del glossario aggiornato GlossaryTermUpdated Aggiornare un termine.
Etichetta di riservatezza modificata SensitivityLabelChanged L'etichetta di riservatezza viene aggiunta/aggiornata/eliminata.

Attività di Microsoft Stream

È possibile eseguire una ricerca nel log di controllo per le attività in Microsoft Stream. Queste attività includono le attività video eseguite dagli utenti, le attività dei canali del gruppo e le attività amministrative, ad esempio la gestione degli utenti, la gestione delle impostazioni dell'organizzazione e l'esportazione dei report. Per una descrizione di queste attività, vedere la sezione "Azioni registrate in Stream" in Log di controllo di Microsoft Stream.

Attività di Microsoft Teams

Nella tabella seguente sono elencate le attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. È possibile eseguire una ricerca nel log di controllo per le attività di utenti e amministratori in Microsoft Teams. Teams è un'area di lavoro basata su chat di Microsoft 365. Raggruppa conversazioni, riunioni, file e note in un'unica posizione. Per indicazioni più dettagliate sulla ricerca, vedere Cercare gli eventi in Microsoft Teams nel log di controllo.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Aggiunta di un bot al team BotAddedToTeam Un utente aggiunge un bot al team.
Aggiunta di un canale ChannelAdded Un utente aggiunge un canale al team.
Aggiunta di un connettore ConnectorAdded Un utente aggiunge un connettore a un canale.
Aggiunta di dettagli sulla riunione di Teams 9 MeetingDetail Teams ha aggiunto informazioni su una riunione, tra cui l'ora di inizio, l'ora di fine e l'URL per partecipare alla riunione.
Aggiunta di informazioni sui partecipanti alla riunione 9 MeetingParticipantDetail Teams ha aggiunto informazioni sui partecipanti a una riunione, tra cui l'ID utente di ogni partecipante, l'ora in cui un partecipante ha partecipato alla riunione e l'ora in cui un partecipante ha lasciato la riunione.
Aggiunti membri 6, 8 MemberAdded Il proprietario di un team aggiunge membri a un team, a un canale oppure a una chat di gruppo.
Aggiunta di una scheda TabAdded Un utente aggiunge una scheda a un canale.
Etichetta di riservatezza applicata SensitivityLabelApplied Un utente o un organizzatore della riunione ha applicato un'etichetta di riservatezza a una riunione di Teams.
Impostazione del canale cambiata ChannelSettingChanged L'operazione ChannelSettingChanged viene registrata quando vengono eseguite le attività seguenti dal membro di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Modifica il nome di un canale del team (nome canale)
  • Descrizione delle modifiche di un canale del team (descrizione del canale)
Impostazione dell'organizzazione cambiata TeamsTenantSettingChanged L'operazione TeamsTenantSettingChanged viene registrata quando le attività seguenti vengono eseguite da un amministratore globale nel interfaccia di amministrazione di Microsoft 365. Queste attività influiscono sulle impostazioni di Teams a livello di organizzazione. Per altre informazioni, vedere Gestire le impostazioni di Teams per l'organizzazione.
Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Abilita o disabilita Teams per l'organizzazione (Microsoft Teams).
  • Abilita o disabilita l'interoperabilità tra Microsoft Teams e Skype for Business per l'organizzazione (interoperabilità Skype for Business).
  • Abilita o disabilita la visualizzazione dell'organigramma nei client di Microsoft Teams (visualizzazione Organigramma).
  • Abilita o disabilita la possibilità per i membri del team di pianificare riunioni private (pianificazione di riunioni private).
  • Abilita o disabilita la possibilità per i membri del team di pianificare riunioni del canale (pianificazione delle riunioni del canale).
  • Abilita o disabilita le videochiamate nelle riunioni di Teams (video per riunioni Skype).
  • Abilita o disabilita la condivisione dello schermo nei meetup di Microsoft Teams per l'organizzazione (condivisione dello schermo per le riunioni Skype).
  • Abilita o disabilita la possibilità di aggiungere immagini animate (chiamate Giphys) alle conversazioni di Teams (immagini animate).
  • Modifica l'impostazione di classificazione del contenuto per l'organizzazione (classificazione del contenuto). La classificazione del contenuto limita il tipo di immagini animate che possono essere visualizzate nelle conversazioni.
  • Abilita o disabilita la possibilità per i membri del team di aggiungere immagini personalizzabili (chiamate meme personalizzati) da Internet alle conversazioni del team (immagini personalizzabili da Internet).
  • Abilita o disabilita la possibilità per i membri del team di aggiungere immagini modificabili (denominate adesivi) alle conversazioni del team (immagini modificabili).
  • Abilita o disabilita la possibilità per i membri del team di usare bot nelle chat e nei canali di Microsoft Teams (bot a livello di organizzazione).
  • Abilita bot specifici per Microsoft Teams. Non include T-Bot, vale a dire il bot di supporto di Teams che è disponibile quando i bot sono abilitati per l'organizzazione (bot singoli).
  • Abilita o disabilita la possibilità per i membri del team di aggiungere estensioni o schede (estensioni o schede).
  • Abilita o disabilita il sideload dei bot proprietari per Microsoft Teams (caricamento laterale dei bot).
  • Abilita o disabilita la possibilità per gli utenti di inviare messaggi di posta elettronica a un canale di Microsoft Teams (posta elettronica del canale).
Ruolo modificato dei membri del team MemberRoleChanged Un proprietario del team cambia il ruolo dei membri di un team. I valori seguenti indicano il tipo di ruolo assegnato all'utente.

1 - Indica il ruolo Membro.
2 - Indica il ruolo Proprietario.
3 - Indica il ruolo Guest.

La proprietà Members include anche il nome dell'organizzazione e l'indirizzo di posta elettronica del membro.
Impostazione del team cambiata TeamSettingChanged L'operazione TeamSettingChanged viene registrata quando vengono eseguite le attività seguenti dal proprietario di un team. Per ognuna di queste attività, viene visualizzata una descrizione dell'impostazione modificata (visualizzata tra parentesi) nella colonna Elemento nei risultati della ricerca nel log di controllo.
  • Modifica il tipo di accesso per un team. Teams può essere impostato come privato o pubblico (tipo di accesso al team). Quando un team è privato (impostazione predefinita), gli utenti possono accedervi solo su invito. Quando un team è pubblico, è individuabile da tutti gli utenti.
  • Modifica la classificazione delle informazioni di un team (classificazione team). Ad esempio, i dati del team possono essere classificati come a impatto aziendale elevato, medio o basso.
  • Modifica il nome di un team (nome del team).
  • Modifica la descrizione del team (descrizione del team).
  • Modifiche apportate alle impostazioni del team. Per accedere a queste impostazioni, un proprietario del team può fare clic con il pulsante destro del mouse su un team, selezionare Gestisci team e quindi selezionare la scheda Impostazioni . Per queste attività, il nome dell'impostazione modificata viene visualizzato nella colonna Elemento nei risultati della ricerca del log di controllo.
Etichetta di riservatezza modificata SensitivityLabelChanged Un utente ha modificato un'etichetta di riservatezza in una riunione di Teams.
Creazione di una chat 1 ChatCreato È stata creata una chat di Teams.
Team creato TeamCreated Un utente crea un team.
Eliminato un messaggio 2 MessageDeleted È stato eliminato un messaggio in una chat o in un canale.
Eliminato tutte le app dell'organizzazione DeletedAllOrganizationApps Sono state eliminate tutte le app dell'organizzazione dal catalogo.
App eliminata AppDeletedFromCatalog Un'app è stata eliminata dal catalogo.
Canale eliminato ChannelDeleted Un utente elimina un canale da un team.
Team eliminato TeamDeleted Un proprietario del team elimina un team.
Modifica di un messaggio con un collegamento URL in Teams MessageEditedHasLink Un utente modifica un messaggio e vi aggiunge un collegamento URL in Teams.
Messaggi esportati 1,2 MessaggiEsportati Sono stati esportati messaggi di chat o di canale.
Registrazioni esportate 1 RecordingExported Le registrazioni chat sono state esportate.
Trascrizioni esportate 1 TrascrizioniEsportate Le trascrizioni della chat sono state esportate.
Non è stato possibile convalidare l'invito al canale condiviso 3 Invalidazione non riuscita Un utente risponde a un invito a un canale condiviso, ma la convalida dell'invito non è riuscita.
Chat recuperata 1 ChatRetrieved È stata recuperata una chat di Microsoft Teams.
Recupero di tutto il contenuto ospitato di un messaggio1 MessageHostedContentsListed Tutto il contenuto ospitato in un messaggio, ad esempio immagini o frammenti di codice, è stato recuperato.
App installata AppInstalled È stata installata un'app.
Azione eseguita sulla scheda PerformedCardAction Un utente ha intrapreso un'azione su una scheda adattiva all'interno di una chat. Le schede adattive vengono in genere usate dai bot per consentire la visualizzazione avanzata di informazioni e interazioni nelle chat.

Nota: Solo le azioni di input inline in una scheda adattiva all'interno di una chat saranno disponibili nel log di controllo. Ad esempio, quando un utente invia una risposta di polling in una conversazione del canale su una scheda adattiva generata da un bot di polling. Le azioni utente, ad esempio "Visualizza risultato", che aprirà una finestra di dialogo o le azioni utente all'interno dei dialoghi non saranno disponibili nel log di controllo.
Pubblicato un nuovo messaggio 1, 6, 8 MessageSent È stato pubblicato un nuovo messaggio in una chat o in un canale.
App pubblicata AppPublishedToCatalog Un'app è stata aggiunta al catalogo.
Leggere un messaggio 1 MessageRead È stato recuperato un messaggio di una chat o di un canale.
Leggere il contenuto ospitato di un messaggio 1 MessageHostedContentRead Il contenuto ospitato in un messaggio, ad esempio un'immagine o un frammento di codice, è stato recuperato.
Rimozione del bot dal team BotRemovedFromTeam Un utente rimuove un bot dal team.
Rimozione di un connettore ConnectorRemoved Un utente rimuove un connettore da un canale.
Membri rimossi 8 MemberRemoved Il proprietario di un team rimuove i membri da un team, da un canale o da una chat di gruppo.
Rimozione dell'etichetta di riservatezza SensitivityLabelRemoved Un utente ha rimosso un'etichetta di riservatezza da una riunione di Teams.
Rimozione della condivisione del canale del team 3 TerminatedSharing Condivisione disabilitata per un canale condiviso da parte di un team o di un proprietario del canale.
Condivisione ripristinata del canale del team 3 SharingRestored Condivisione riabilitare la condivisione di un team o di un proprietario del canale per un canale condiviso.
Rimozione di una scheda TabRemoved Un utente rimuove una scheda da un canale.
Risposta all'invito per il canale condiviso 3 InviteeResponded Un utente ha risposto a un invito al canale condiviso.
Risposta all'invito al canale condiviso 3 ChannelOwnerResponded Un proprietario del canale ha risposto a una risposta di un utente che ha risposto a un invito al canale condiviso.
Messaggi recuperati 1 MessagesListed I messaggi da una chat o da un canale sono stati recuperati.
Inviato un messaggio con un collegamento URL in Teams MessageCreatedHasLink Un utente invia un messaggio contenente un collegamento URL in Teams.
Notifica di modifica inviata per la creazione del messaggio 1 MessageCreatedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un nuovo messaggio.
Notifica di modifica inviata per l'eliminazione del messaggio 1 MessageDeletedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio eliminato.
Notifica di modifica inviata per l'aggiornamento del messaggio 1 MessageUpdatedNotification È stata inviata una notifica di modifica per notificare a un'applicazione listener sottoscritta un messaggio aggiornato.
Invito inviato per il canale condiviso 3 InviteSent Un proprietario o un membro del canale invia un invito a un canale condiviso. Gli inviti ai canali condivisi possono essere inviati a utenti esterni all'organizzazione se i criteri del canale sono configurati per condividere il canale con utenti esterni.
Sottoscritto alle notifiche di modifica dei messaggi 1 SubscribedToMessages È stata creata una sottoscrizione da un'applicazione listener per ricevere notifiche di modifica per i messaggi.
App disinstallata AppUninstalled Un'app è stata disinstallata.
App aggiornata AppUpdatedInCatalog Un'app è stata aggiornata nel catalogo.
Aggiornamento di una chat 1 ChatUpdated È stata aggiornata una chat di Teams.
Aggiornamento di un messaggio 1 MessageUpdated È stato aggiornato un messaggio di una chat o di un canale.
Connettore aggiornato ConnectorUpdated Un utente ha modificato un connettore in un canale.
Scheda aggiornata TabUpdated Un utente ha modificato una scheda in un canale.
App aggiornata AppUpgraded Un'app è stata aggiornata alla versione più recente nel catalogo.
Utente connesso a Teams TeamsSessionStarted Un utente accede a un client di Microsoft Teams. Questo evento non acquisisce le attività di aggiornamento del token.
Nuovo messaggio pubblicato 3,4,6, 8 MessageSent È stato pubblicato un nuovo messaggio in una chat o in un canale.

Nota

1 Un record di controllo per questo evento viene registrato solo quando l'operazione viene eseguita chiamando un API Graph Microsoft. Se l'operazione viene eseguita nel client di Teams, non verrà registrato un record di controllo
2 Questo evento è disponibile solo in Audit (Premium). Ciò significa che agli utenti deve essere assegnata la licenza appropriata prima che questi eventi vengano registrati nel log di controllo. Per altre informazioni sulle attività disponibili solo in Audit (Premium), vedere Audit (Premium) in Microsoft Purview. Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.
3 Questo evento è in anteprima pubblica.
4Questo evento viene generato per la chat solo se sono presenti utenti guest, federati e/o anonimi.
5 Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC), Government Community Cloud High (GCC-High) e Department of Defense (DoD).
6 Questo evento è incluso in tutti i tenant partecipanti per le chat federate.
7 Questo evento include informazioni sul dominio partecipanti per le chat federate 1:1.
8 Questo evento è incluso in tutte le conversazioni di chat tra utenti esterni di Teams gestiti da un'organizzazione e utenti esterni di Teams non gestiti da un'organizzazione.
9 Questo evento non è attualmente disponibile nelle organizzazioni Government Community Cloud (GCC) e Department of Defense (DoD).

Attività di Microsoft Teams per il settore sanitario

Se l'organizzazione usa l'applicazione Pazienti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'utilizzo dell'app. Se l'ambiente è configurato per supportare l'app Pazienti, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.

Attività di Microsoft Teams per l’assistenza sanitaria nell'elenco di selezione Attività.

Per una descrizione delle attività dell'app Pazienti, vedere Log di controllo per l'app Pazienti.

Attività di Turni di Microsoft Teams

La tabella seguente elenca l'app Shift nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Turni in Microsoft Teams, è possibile cercare le attività correlate all'utilizzo dell'app nel log di controllo. Se l'ambiente è configurato per supportare le app Turni, nell'elenco di selezione Attività è disponibile un altro gruppo di attività correlato.

Nome descrittivo Operazione Descrizione
Aggiunta del gruppo di pianificazione ScheduleGroupAdded Un utente aggiunge correttamente un nuovo gruppo di pianificazione alla pianificazione.
Gruppo di pianificazione modificato ScheduleGroupEdited Un utente modifica correttamente un gruppo di pianificazione.
Gruppo di pianificazione eliminato ScheduleGroupDeleted Un utente elimina correttamente un gruppo di pianificazione dalla pianificazione.
Programma ritirato ScheduleWithdrawn Un utente ritira correttamente una pianificazione pubblicata.
Spostamento aggiunto MaiuscAggiungi Un utente aggiunge correttamente un turno.
Spostamento modificato ShiftEdited Un utente modifica correttamente un turno.
Spostamento eliminato ShiftDeleted Un utente elimina correttamente un turno.
Aggiunta del time off TimeOffAdded Un utente aggiunge correttamente il time off alla pianificazione.
Time off modificato TimeOffEdited Un utente modifica correttamente il time off.
Time off eliminato TimeOffDeleted Un utente elimina correttamente il time off.
Aggiunta del turno aperto OpenShiftAdded Un utente aggiunge correttamente un turno aperto a un gruppo di pianificazione.
Spostamento aperto modificato OpenShiftEdited Un utente modifica correttamente un turno aperto in un gruppo di pianificazione.
Spostamento aperto eliminato OpenShiftDeleted Un utente elimina correttamente un turno aperto da un gruppo di pianificazione.
Pianificazione condivisa ScheduleShared Un utente ha condiviso correttamente una pianificazione del team per un intervallo di date.
Clocking in using Time clock ClockedIn Un utente esegue correttamente l'orologio usando l'orologio.
Clocked out using Time clock ClockedOut Un utente esegue correttamente l'timeout usando l'orologio.
Interruzione avviata con l'orologio BreakStarted Un utente avvia correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Interruzione terminata con l'orologio temporale BreakEnded Un utente termina correttamente un'interruzione durante una sessione di clock dell'ora attiva.
Aggiunta della voce Orologio TimeClockEntryAdded Un utente aggiunge correttamente una nuova voce dell'orologio orario manuale nel foglio presenze.
Voce Orologio modificato TimeClockEntryEdited A user successfully edits a Time clock entry on Time Sheet.
Voce ora eliminata TimeClockEntryDeleted Un utente elimina correttamente una voce orologio nel foglio presenze.
Aggiunta della richiesta di spostamento RequestAdded Un utente ha aggiunto una richiesta di spostamento.
Risposta alla richiesta di spostamento RequestRespondedTo Un utente ha risposto a una richiesta di spostamento.
Richiesta di spostamento annullata RequestCancelled Un utente ha annullato una richiesta di spostamento.
Impostazione della pianificazione modificata ScheduleSettingChanged Un utente modifica un'impostazione in Turni impostazioni.
Aggiunta dell'integrazione della forza lavoro WorkforceIntegrationAdded L'app Turni è integrata con un sistema di terze parti.
Messaggio disattivato accettato OffShiftDialogAccepted Un utente riconosce il messaggio fuori turno per accedere a Teams dopo l'orario di turno.

Attività di Aggiornamenti di Microsoft Teams

La tabella seguente elenca Aggiornamenti'app nelle attività di Microsoft Teams registrate nel log di controllo di Microsoft 365. Se l'organizzazione usa l'app Aggiornamenti in Microsoft Teams, è possibile cercare nel log di controllo le attività correlate all'uso dell'app Aggiornamenti. Se l'ambiente è configurato per supportare Aggiornamenti app, nell'elenco Selezione attività è disponibile un gruppo di attività aggiuntivo per queste attività.

Nome descrittivo Operazione Descrizione
Creare una richiesta di aggiornamento CreateUpdateRequest Un utente crea correttamente una richiesta di aggiornamento.
Modificare una richiesta di aggiornamento EditUpdateRequest Un utente apre la procedura guidata di modifica della richiesta e seleziona Salva per confermare e salvare eventuali modifiche oppure abilita o disabilita direttamente la richiesta di aggiornamento.
Inviare un aggiornamento SubmitUpdate Un utente invia correttamente un aggiornamento.
Visualizzare i dettagli di un aggiornamento ViewUpdate Un utente visualizza i dettagli dell'aggiornamento.

Attività di Microsoft To Do

Nella tabella seguente sono elencate le attività di Microsoft To Do registrate nel log di controllo di Microsoft 365. Per altre informazioni su Microsoft To Do, vedere Supporto per Microsoft To Do.

Nota

Gli eventi di controllo per le attività di Microsoft To Do richiedono una licenza Project - Piano 1 a pagamento (o superiore) oltre alla licenza di Microsoft 365 pertinente che include i diritti a Audit (Premium).

Nome descrittivo Operazione Descrizione
Collegamento di condivisione accettato nella cartella AcceptedSharingLinkOnFolder Collegamento di condivisione accettato per una cartella.
Allegato creato AttachmentCreated È stato creato un allegato per un'attività.
Allegato aggiornato AttachmentUpdated Un allegato è stato aggiornato.
Allegato eliminato AttachmentDeleted Un allegato è stato eliminato.
Collegamento di condivisione cartelle condiviso FolderSharingLinkShared È stato creato un collegamento di condivisione per una cartella.
Entità collegata eliminata LinkedEntityDeleted Un'entità collegata è stata eliminata.
Entità collegata aggiornata LinkedEntityUpdated È stata aggiornata un'entità collegata.
Entità collegata creata LinkedEntityCreated È stata creata un'entità collegata dell'attività.
Attività secondaria creata SubTaskCreated È stata creata una sottoattività.
SubTask deleted SubTaskDeleted È stata eliminata una sottoattività.
SubTask aggiornato SubTaskUpdated È stata aggiornata una sottoattività.
Attività creata TaskCreated È stata creata un'attività.
Attività eliminata TaskDeleted Un'attività è stata eliminata.
Lettura attività TaskRead Un'attività è stata letta.
Attività aggiornata TaskUpdated Un'attività è stata aggiornata.
TaskList creato TaskListCreated È stato creato un elenco di attività.
TaskList read TaskListRead È stato letto un elenco di attività.
TaskList aggiornato TaskListUpdated È stato aggiornato un elenco di attività.
Utente invitato UserInvited Utente invitato a una cartella.

attività Microsoft Viva Insights

Viva Insights fornisce informazioni dettagliate sul modo in cui i gruppi collaborano all'interno dell'organizzazione. Nella tabella seguente sono elencate le attività eseguite dagli utenti a cui è assegnato il ruolo Di amministratore o i ruoli Analista in Viva Insights. Gli utenti a cui è stato assegnato il ruolo di analista hanno accesso completo a tutte le caratteristiche del servizio e usano il prodotto per eseguire l'analisi. Gli utenti a cui è stato assegnato il ruolo Amministratore possono configurare le impostazioni di privacy e le impostazioni predefinite del sistema e possono preparare, caricare e verificare i dati dell'organizzazione in Viva Insights. Per altre informazioni, vedere Introduzione a Microsoft Viva Insights.

Nome descrittivo Operazione Descrizione
Collegamento OData accessibile AccessedOdataLink L'analista ha avuto accesso al collegamento a OData per una query.
Aggiunta dell'accesso delegato AddDelegates Un utente ha aggiunto l'accesso delegato per informazioni dettagliate sull'organizzazione o per il dashboard copilot.
Query annullata CanceledQuery L'analista ha annullato una query in esecuzione.
Esclusione riunione creata MeetingExclusionCreated L'analista ha creato una regola di esclusione delle riunioni.
Risultato eliminato DeletedResult L'analista ha eliminato il risultato di una query.
Report scaricato DownloadedReport L'analista ha scaricato il file dei risultati di una query.
Query eseguita ExecutedQuery L'analista ha eseguito una query.
Rimozione dell'accesso delegato RemoveDelegates Un utente ha rimosso l'accesso delegato per informazioni dettagliate sull'organizzazione o per il dashboard copilot.
Impostazione di accesso ai dati aggiornata UpdatedDataAccessSetting L'amministratore ha aggiornato le impostazioni di accesso ai dati.
Impostazione privacy aggiornata UpdatedPrivacySetting Amministrazione impostazioni di privacy aggiornate, ad esempio le dimensioni minime del gruppo.
Dati dell'organizzazione caricati UploadedOrgData L'amministratore ha caricato il file di dati dell'organizzazione.
Utente connesso* UserLoggedIn Un utente ha eseguito l'accesso all’account utente Microsoft 365.
Utente disconnesso* UserLoggedOff Un utente si è disconnesso dall'account utente Microsoft 365.
Pagina Esplora visualizzata ViewedExplore L'analista ha visualizzato le visualizzazioni in una o più schede della pagina Esplora.

Nota

*quando un utente accede viene creato un evento di attività di accesso e disconnessione Microsoft Entra. Questa attività viene registrata anche se non è Viva Insights attivata nell'organizzazione. Per altre informazioni sulle attività di accesso degli utenti, vedere Log di accesso in Microsoft Entra ID.

Attività di approfondimento personale

La tabella seguente elenca le attività in informazioni dettagliate personali registrate nel log di controllo di Microsoft 365. Per altre informazioni sulle informazioni dettagliate personali, vedere Amministrazione guida per informazioni dettagliate personali.

Nome descrittivo Operazione Descrizione
Updated organization MyAnalytics settings UpdatedOrganizationMyAnalyticsSettings Amministrazione aggiorna le impostazioni a livello di organizzazione per informazioni dettagliate personali.
Updated user MyAnalytics settings UpdatedUserMyAnalyticsSettings Amministrazione aggiorna le impostazioni utente per informazioni dettagliate personali.

Attività in quarantena

La tabella seguente elenca le attività in quarantena che è possibile cercare nel log di audit. Per altre informazioni sulla quarantena, vedere Messaggi di posta elettronica in quarantena.

Nome descrittivo Operazione Descrizione
Messaggio in quarantena eliminato QuarantineDeleteMessage Un amministratore o un utente ha eliminato un messaggio di posta elettronica considerato dannoso.
Richiesta di rilascio del messaggio di quarantena negata QuarantineReleaseRequestDeny Rifiuto amministratore per una richiesta di rilascio da parte di un utente per un messaggio di posta elettronica considerato dannoso.
Messaggio in quarantena esportato QuarantineExport Un amministratore o un utente ha esportato un messaggio di posta elettronica considerato dannoso.
Messaggio in quarantena in anteprima QuarantinePreview Un amministratore o un utente ha visualizzato in anteprima un messaggio di posta elettronica considerato dannoso.
Messaggio di quarantena rilasciato QuarantineRelease Un amministratore o un utente ha rilasciato un messaggio di posta elettronica dalla quarantena considerato dannoso.
Messaggio di quarantena della richiesta di rilascio QuarantineReleaseRequest Un utente ha richiesto il rilascio di un messaggio di posta elettronica considerato dannoso.
Intestazione del messaggio di quarantena visualizzata QuarantineViewHeader Un amministratore o un utente ha visualizzato l'intestazione un messaggio di posta elettronica considerato dannoso.

Attività relative ai report

La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.

Nome descrittivo Operazione Descrizione
Impostazioni di privacy dei report sull'utilizzo aggiornate UpdateUsageReportsPrivacySetting L'amministratore ha aggiornato le impostazioni di privacy per i report sull'utilizzo.

Attività su criteri di conservazione ed etichette di conservazione

Nella tabella seguente vengono descritte le attività di configurazione per i criteri di conservazione e le etichette di conservazione dei dati al momento della creazione, della riconfigurazione o dell'eliminazione.

Nome descrittivo Operazione Descrizione
Appartenenza ad ambito adattivo modificata ApplicableAdaptiveScopeChange Utenti, siti o gruppi sono stati aggiunti o rimossi dall'ambito adattivo. Queste modifiche sono i risultati dell'esecuzione della query dell'ambito. Poiché le modifiche vengono avviate dal sistema, l'utente segnalato viene visualizzato come identificatore univoco universale (GUID) anziché come account utente.
Impostazioni configurate per un criterio di conservazione NewRetentionComplianceRule L'amministratore ha configurato le impostazioni di conservazione per un nuovo criterio di conservazione. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet New-RetentionComplianceRule.
Ambito adattivo creato NewAdaptiveScope L'amministratore ha creato un ambito adattivo.
Etichetta di conservazione creata NewComplianceTag L'amministratore ha creato una nuova etichetta di conservazione.
Criterio di conservazione creato NewRetentionCompliancePolicy L'amministratore ha creato un nuovo criterio di conservazione.
Ambito adattivo eliminato RemoveAdaptiveScope L'amministratore ha eliminato un ambito adattivo.
Impostazioni eliminate per un criterio di conservazione RemoveRetentionComplianceRule
L'amministratore ha eliminato le impostazioni di configurazione di un criterio di conservazione. Molto probabilmente, questa attività viene registrata quando un amministratore elimina un criterio di conservazione o esegue il cmdlet Remove-RetentionComplianceRule.
Etichetta di conservazione eliminata RemoveComplianceTag L'amministratore ha eliminato un'etichetta di conservazione.
Criterio di conservazione eliminato RemoveRetentionCompliancePolicy
L'amministratore ha eliminato un criterio di conservazione.
Opzione del record normativo abilitata per le etichette di conservazione
SetRestrictiveRetentionUI L'amministratore ha eseguito il cmdlet set-RegulatoryComplianceUI in modo che un amministratore possa selezionare l'opzione di configurazione dell'interfaccia utente per un'etichetta di conservazione che consente di contrassegnare il contenuto come record normativo.
Elemento di posta elettronica conservato in modo proattivo ExchangeDataProactivelyPreserved La protezione adattiva ha applicato automaticamente un'etichetta di conservazione per conservare un elemento in Exchange.
File conservato in modo proattivo SharePointDataProactivelyPreserved La protezione adattiva ha applicato automaticamente un'etichetta di conservazione per conservare un elemento in SharePoint o OneDrive.
Ambito adattivo aggiornato SetAdaptiveScope L'amministratore ha modificato la descrizione o la query per un ambito adattivo esistente.
Impostazioni aggiornate per un criterio di conservazione SetRetentionComplianceRule L'amministratore ha modificato le impostazioni di conservazione per un criterio di conservazione esistente. Le impostazioni di conservazione specificano per quanto tempo devono essere conservati gli elementi e cosa accade alla scadenza del periodo di conservazione, ad esempio eliminazione degli elementi, archiviazione oppure conservazione e poi eliminazione. Questa attività corrisponde anche all'esecuzione del cmdlet Set-RetentionComplianceRule.
Etichetta di conservazione aggiornata SetComplianceTag L'amministratore ha aggiornato un'etichetta di conservazione esistente.
Criterio di conservazione aggiornato SetRetentionCompliancePolicy L'amministratore ha aggiornato un criterio di conservazione esistente. Gli aggiornamenti che attivano questo evento includono l'aggiunta o l'esclusione di percorsi di contenuto ai quali applicare il criterio di conservazione.

Attività di amministrazione ruoli

La tabella seguente elenca Microsoft Entra attività di amministrazione dei ruoli registrate quando un amministratore gestisce i ruoli di amministratore nel interfaccia di amministrazione di Microsoft 365 o nel portale di gestione di Azure.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Nome descrittivo Operazione Descrizione
Membro aggiunto a ruolo Aggiunta membro a un ruolo. È stato aggiunto un utente a un ruolo di amministratore in Microsoft 365.
Utente rimosso da un ruolo della directory Rimozione di un membro dal ruolo. È stato rimosso un utente da un ruolo di amministratore in Microsoft 365.
Impostazione delle informazioni di contatto aziendali Impostazione delle informazioni di contatto aziendali. Sono state aggiornare le preferenze di contatto a livello aziendale per l'organizzazione. Le informazioni includono indirizzi e-mail per messaggi correlati all'abbonamento inviati da Microsoft 365, nonché notifiche tecniche relative ai servizi.

Attività relative ai tipi di informazioni riservate

Nella tabella seguente vengono descritti gli eventi di controllo per le attività che comportano la creazione e l'aggiornamento di tipi di informazioni sensibili.

Nome descrittivo Operazione Descrizione
Nuovo tipo di informazioni riservate creato CreateRulePackage/EditRulePackage* È stato creato un nuovo tipo di informazioni riservate. Sono inclusi tutti i SIT creati copiando un'istanza predefinita di SIT.

Nota: questa attività si presenta sotto le attività di controllo 'Created rule package' o 'Edited rule package'.

Modifica di un tipo di informazioni riservate EditRulePackage È stato modificato un tipo di informazioni riservate esistente. Possono essere incluse operazioni come l'aggiunta/rimozione di un modello e la modifica della regex/parola chiave associata al tipo di informazioni riservate.

Nota: Questa attività si presenta sotto l'attività di controllo "Pacchetto di regole modificate".

Eliminato un tipo di informazioni riservate EditRulePackage/RemoveRulePackage È stato eliminato un tipo di informazioni riservate esistente.

Nota: Questa attività si presenta sotto l'attività di controllo "Pacchetto regola modificato" o "Pacchetto di regole rimosso".

Attività sulle etichette di riservatezza

Nella tabella seguente sono elencati gli eventi risultanti dall'uso di etichette di riservatezza con siti ed elementi gestiti da Microsoft Purview. Gli elementi includono documenti, messaggi di posta elettronica ed eventi del calendario. Per i criteri di etichettatura automatica, gli elementi includono anche file e asset di dati schematizzati in Microsoft Purview Data Map.

Nome descrittivo Operazione Descrizione
Etichetta di riservatezza applicata al sito SiteSensitivityLabelApplied Un'etichetta di riservatezza è stata applicata a un sito di SharePoint o a un sito di Teams non connesso al gruppo.
Etichetta di riservatezza rimossa dal sito SiteSensitivityLabelRemoved Un'etichetta di riservatezza è stata rimossa da un sito di SharePoint o da un sito di Teams non connesso al gruppo.
Etichetta di riservatezza applicata al file FileSensitivityLabelApplied

SensitivityLabelApplied
Un'etichetta di riservatezza è stata applicata a un elemento usando app di Microsoft 365, Office per il web o criteri di etichettatura automatica.

Le operazioni per questa attività sono diverse a seconda di come è stata applicata l'etichetta:
- Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelApplied)
- App di Microsoft 365 (SensitivityLabelApplied)
Etichetta di riservatezza applicata a un file modificata FileSensitivityLabelChanged

SensitivityLabelUpdated
A un elemento è stata applicata un'etichetta di riservatezza diversa.

Le operazioni per questa attività sono diverse a seconda di come è stata modificata l'etichetta:
- Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelChanged)
- Microsoft 365 app (SensitivityLabelUpdated)
È stata modificata l'etichetta di riservatezza di un sito SiteSensitivityLabelChanged È stata applicata un'etichetta di riservatezza diversa a un sito di SharePoint o a un sito di Teams non connesso al gruppo.
Etichetta di riservatezza rimossa dal file FileSensitivityLabelRemoved

SensitivityLabelRemoved
Un'etichetta di riservatezza è stata rimossa da un elemento usando app di Microsoft 365, Office per il web, criteri di etichettatura automatica o il cmdlet Unlock-SPOSensitivityLabelEncryptedFile.

Le operazioni per questa attività sono diverse a seconda di come è stata rimossa l'etichetta:
- Office per il web o un criterio di etichettatura automatica (FileSensitivityLabelRemoved)
- App di Microsoft 365 (SensitivityLabelRemoved)

Informazioni aggiuntive sul controllo per le etichette di riservatezza:

Attività dell'elenco di SharePoint

La tabella seguente descrive le attività correlate al momento in cui gli utenti interagiscono con gli elenchi e gli elementi elenco in SharePoint Online. I record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo Operazione Descrizione
Elenco creato ListCreated Un utente ha creato un elenco SharePoint.
Colonna elenco creata ListColumnCreated Un utente ha creato una colonna elenco di SharePoint. Una colonna elenco è una colonna associata a uno o più elenchi SharePoint.
Tipo di contenuto elenco creato ListContentTypeCreated Un utente ha creato un tipo di contenuto elenco. Un tipo di contenuto elenco è un tipo di contenuto associato a uno o più elenchi SharePoint.
Elemento elenco creato ListItemCreated Un utente ha creato un elemento in un elenco di SharePoint esistente.
Colonna sito creata SiteColumnCreated Un utente ha creato una colonna sito di SharePoint. Una colonna sito è una colonna non associata a un elenco. Una colonna sito è anche una struttura di metadati che può essere usata da qualsiasi elenco in un determinato Web.
Tipo di contenuto del sito creato Sito ContentType creato Un utente ha creato un tipo di contenuto del sito. Un tipo di contenuto del sito è un tipo di contenuto associato al sito padre.
Elenco eliminato ListDeleted Un utente ha eliminato un elenco SharePoint.
Colonna elenco eliminata Colonna elenco eliminata Un utente ha eliminato una colonna elenco SharePoint.
Tipo di contenuto elenco eliminato ListContentTypeDeleted Un utente ha eliminato un tipo di contenuto elenco.
Elemento elenco eliminato Elemento elenco eliminato Un utente ha eliminato un elemento elenco SharePoint.
Colonna sito eliminata SiteColumnDeleted Un utente ha eliminato una colonna sito SharePoint.
Tipo di contenuto del sito eliminato SiteContentTypeDeleted Un utente ha eliminato un tipo di contenuto del sito.
Elemento elenco riciclato ListItemRecycled Un utente ha spostato una elemento elenco di SharePoint nel Cestino.
Elenco ripristinato ListRestored Un utente ha ripristinato un elenco di SharePoint dal Cestino.
Elemento elenco ripristinato ListItemRestored Un utente ha ripristinato un elemento elenco di SharePoint dal Cestino.
Elenco aggiornato ListUpdated Un utente ha aggiornato un elenco di SharePoint modificando una o più proprietà.
Colonna elenco aggiornata ListColumnUpdated Un utente ha aggiornato una colonna elenco di SharePoint modificando una o più proprietà.
Tipo di contenuto elenco aggiornato ListContentTypeUpdated Un utente ha aggiornato un tipo di contenuto elenco modificando una o più proprietà.
Elemento elenco aggiornato ListItemUpdated Un utente ha aggiornato un elemento elenco di SharePoint modificando una o più proprietà.
Visualizzazione elenco aggiornata ListViewUpdated Un utente ha aggiornato una visualizzazione elenco di SharePoint modificando una o più proprietà.
Colonna sito aggiornata SiteColumnUpdated Un utente ha aggiornato una colonna sito di SharePoint modificando una o più proprietà.
Tipo di contenuto del sito aggiornato SiteContentTypeUpdated Un utente ha aggiornato un tipo di contenuto del sito modificando una o più proprietà.

Attività di richiesta di accesso e condivisione

La tabella seguente descrive le attività di richiesta di condivisione e accesso dell'utente in SharePoint Online e OneDrive for Business. Per gli eventi di condivisione, la colonna Dettagli in Risultati identifica il nome dell'utente o del gruppo con cui l'elemento è stato condiviso e indica se l'utente o il gruppo è un membro o un guest nell'organizzazione. Per altre informazioni, vedere Usare il controllo della condivisione nel log di controllo.

Nota

Gli utenti possono essere membri o guest in base alla proprietà UserType dell'oggetto utente. Un membro è in genere un dipendente, mentre un guest è in genere un collaboratore esterno all'organizzazione. Quando un utente accetta un invito alla condivisione (e non fa già parte dell'organizzazione), viene creato un account guest per tale utente nella directory dell'organizzazione. Dopo che l'utente guest ha ottenuto un account nella directory, le risorse possono essere condivise direttamente con lui, senza che sia necessario un invito.

Nome descrittivo Operazione Descrizione
È stato aggiunto un livello di autorizzazione alla raccolta siti PermissionLevelAdded Un livello di autorizzazione è stato aggiunto a una raccolta siti.
Richiesta di accesso approvata AccessRequestAccepted Una richiesta di accesso a un sito, una cartella o un documento è stata accettata e all'utente richiedente è stato concesso l'accesso.
Invito alla condivisione accettato SharingInvitationAccepted Un utente (membro o guest) ha accettato un invito alla condivisione e ha ottenuto l'accesso a una risorsa. Questo evento include informazioni sull'utente che è stato invitato e sull'indirizzo di posta elettronica usato per accettare l'invito (i due elementi potrebbero essere diversi). Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio aggiungendo l'utente a un gruppo che ha accesso alla risorsa.
Invito alla condivisione bloccato SharingInvitationBlocked Un invito alla condivisione inviato da un utente dell'organizzazione viene bloccato da criteri di condivisione esterna che consentono o impediscono la condivisione esterna in base al dominio dell'utente di destinazione. In questo caso, l'invito alla condivisione è stato bloccato perché:
Il dominio dell'utente di destinazione non è incluso nell'elenco dei domini consentiti.
Oppure
Il dominio dell'utente di destinazione è incluso nell'elenco dei domini bloccati.
Per altre informazioni su come consentire o bloccare la condivisione esterna in base ai domini, vedere Condivisione di domini con restrizioni in SharePoint Online e OneDrive for Business.
Richiesta di accesso creata AccessRequestCreated Un utente richiede l'accesso a un sito, una cartella o un documento per il quale non ha le autorizzazioni.
Creato un collegamento condivisibile nell'organizzazione CompanyLinkCreated Un utente ha creato un collegamento a livello aziendale a una risorsa. i collegamenti a livello aziendale possono essere usati solo dai membri dell'organizzazione. Non possono essere usati dai guest.
Creato un collegamento anonimo AnonymousLinkCreated Un utente ha creato un collegamento anonimo a una risorsa. Chiunque usi questo collegamento può accedere alla risorsa senza necessità di autenticazione.
Collegamento sicuro creato SecureLinkCreated È stato creato un collegamento di condivisione sicuro per questo elemento.
Invito alla condivisione creato SharingInvitationCreated Un utente ha condiviso una risorsa in SharePoint Online o OneDrive for Business con un utente che non fa parte della directory dell'organizzazione.
Collegamento sicuro eliminato SecureLinkDeleted È stato eliminato un collegamento di condivisione sicuro.
Richiesta di accesso rifiutata AccessRequestDenied Una richiesta di accesso a un sito, una cartella o un documento è stata negata.
Rimosso un collegamento condivisibile nell'organizzazione CompanyLinkRemoved Un utente ha rimosso un collegamento a livello aziendale a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa.
Rimosso un collegamento anonimo AnonymousLinkRemoved Un utente ha rimosso un collegamento anonimo a una risorsa. Il collegamento non può più essere usato per accedere alla risorsa.
File, cartella o sito condiviso SharingSet Un utente (membro o guest) ha condiviso un file, una cartella o un sito in SharePoint o OneDrive for Business con un utente che fa parte della directory dell'organizzazione. Il valore nella colonna Dettagli per questa attività identifica il nome dell'utente con cui la risorsa è stata condivisa e indica se l'utente è un membro o un guest.

Questa attività è spesso accompagnata da un secondo evento che descrive come è stato concesso all'utente l'accesso alla risorsa, ad esempio, aggiungendo l'utente a un gruppo che ha accesso alla risorsa.
Richiesta di accesso aggiornata AccessRequestUpdated Una richiesta di accesso a un elemento è stata aggiornata.
Aggiornato un collegamento anonimo AnonymousLinkUpdated Un utente ha aggiornato un collegamento anonimo a una risorsa. Il campo aggiornato è incluso nella proprietà EventData quando si esportano i risultati della ricerca.
Invito alla condivisione aggiornato SharingInvitationUpdated È stato aggiornato un invito alla condivisione esterna.
Usato un collegamento anonimo AnonymousLinkUsed Un utente anonimo ha eseguito l'accesso a una risorsa usando un collegamento anonimo. L'identità dell'utente potrebbe essere sconosciuta, ma è possibile ottenere altri dettagli, ad esempio il suo indirizzo IP.
File, cartella o sito non più condiviso SharingRevoked Un utente (membro o guest) ha annullato la condivisione di un file, una cartella o un sito che in precedenza era stato condiviso con un altro utente.
Usato un collegamento condivisibile nell'organizzazione CompanyLinkUsed Un utente ha eseguito l'accesso a una risorsa usando un collegamento a livello aziendale.
Collegamento sicuro utilizzato SecureLinkUsed Un utente ha usato un collegamento sicuro.
Utente aggiunto al collegamento sicuro AddedToSecureLink Un utente è stato aggiunto all'elenco di entità che possono usare un collegamento di condivisione sicuro.
Utente rimosso dal collegamento sicuro RemovedFromSecureLink Un utente è stato rimosso dall'elenco di entità che possono usare un collegamento di condivisione sicuro.
Invito alla condivisione ritirato SharingInvitationRevoked Un utente ha ritirato un invito alla condivisione per una risorsa.

Attività di amministrazione siti

Nella tabella seguente sono elencati gli eventi derivanti da attività di amministrazione in SharePoint Online. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Aggiunta la posizione dei dati consentita AllowedDataLocationAdded Un amministratore globale o di SharePoint ha aggiunto una posizione di dati consentita in un ambiente multi-geografico.
Agente utente esente aggiunto ExemptUserAgentSet L'amministratore di SharePoint o l'amministratore globale aggiunge un agente utente all'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint.
Amministratore dell'area geografica aggiunto GeoAdminAdded Un amministratore globale o di SharePoint ha aggiunto un utente come amministratore geografico di una posizione.
Utente autorizzato a creare gruppi AllowGroupCreationSet Un proprietario o un amministratore del sito aggiunge un livello di autorizzazione a un sito che consente a un utente a cui viene assegnata tale autorizzazione di creare un gruppo per tale sito.
È stato annullato lo spostamento geografico di un sito SiteGeoMoveCancelled Un amministratore globale o di SharePoint annulla correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Criterio di condivisione cambiato SharingPolicyChanged Un amministratore globale o di SharePoint ha modificato i criteri di condivisione di SharePoint usando l'interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di SharePoint o SharePoint Online Management Shell. Qualsiasi modifica alle impostazioni dei criteri di condivisione dell'organizzazione verrà registrata. Il criterio modificato viene identificato nel campo ModifiedProperties nelle proprietà dettagliate del record dell'evento.
I criteri di accesso per i dispositivi sono stati modificati DeviceAccessPolicyChanged Un amministratore di SharePoint o globale ha cambiato i criteri dei dispositivi non gestiti per l'organizzazione. Questo criterio controlla l'accesso a SharePoint, OneDrive e Microsoft 365 da dispositivi che non fanno parte dell'organizzazione. La configurazione di questo criterio richiede un abbonamento Enterprise Mobility + Security. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti.
Agenti utente esenti cambiati CustomizeExemptUsers L'amministratore globale o SharePoint ha personalizzato l'elenco di agenti utente esenti nell'interfaccia di amministrazione di SharePoint. È possibile specificare quali agenti utente esentare dalla ricezione di un'intera pagina Web da indicizzare. Ciò significa che quando un agente utente specificato come esente rileva un modulo di InfoPath, il modulo viene restituito come file XML anziché come intera pagina Web. In questo modo l'indicizzazione dei moduli di InfoPath risulta più veloce.
Sono stati modificati i criteri di accesso alla rete NetworkAccessPolicyChanged Un amministratore di SharePoint o globale ha cambiato i criteri di accesso basati sulla posizione, denominati anche limite di rete attendibile, nell'interfaccia di amministrazione di SharePoint oppure usando PowerShell di SharePoint Online. Questi criteri controllano chi può accedere alle risorse di SharePoint e OneDrive nell'organizzazione in base a intervalli di indirizzi IP specificati dall'utente. Per altre informazioni, vedere Controllare l'accesso ai dati di SharePoint Online e OneDrive in base a determinati percorsi di rete.
Processo di migrazione completato MigrationJobCompleted Un processo di migrazione è stato completato correttamente.
Spostamento geografico di un sito completato SiteGeoMoveCompleted Uno spostamento geografico di un sito, pianificato da un amministratore globale dell'organizzazione, è stato completato correttamente. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Connessione Inviato a creata SendToConnectionAdded L'amministratore di SharePoint o globale crea una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint. Una connessione di invio specifica le impostazioni per un archivio documenti o un centro record. Quando si crea una connessione di invio, un Content Organizer può inviare documenti alla posizione specificata.
Raccolta siti creata SiteCollectionCreated Un amministratore SharePoint o globale crea una raccolta siti nell'organizzazione di SharePoint Online o un utente esegue il provisioning del sito di OneDrive for Business.
Sito hub orfano eliminato HubSiteOrphanHubDeleted Un amministratore SharePoint o globale ha eliminato un sito hub orfano, ossia un sito hub a cui non sono associati siti. È probabile che l'hub orfano sia causato dall'eliminazione del sito hub originale.
Connessione Inviato a eliminata SendToConnectionRemoved L'amministratore SharePoint o globale elimina una nuova connessione Invia a nella pagina Gestione record nell'interfaccia di amministrazione di SharePoint.
Sito eliminato SiteDeleted L'amministratore del sito elimina un sito.
Anteprima documento abilitata PreviewModeEnabledSet Un amministratore del sito abilita l'anteprima dei documenti per un sito.
Flusso di lavoro legacy abilitato LegacyWorkflowEnabledSet Un proprietario o un amministratore del sito aggiunge il tipo di contenuto Attività flusso di lavoro di SharePoint 2013 al sito. Gli amministratori globali possono anche abilitare i flussi di lavoro per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.
Office su richiesta abilitato OfficeOnDemandSet Un amministratore del sito abilita Office su richiesta, che consente agli utenti di accedere alla versione più recente delle applicazioni desktop di Office. Office su richiesta viene abilitato nell'interfaccia di amministrazione di SharePoint e richiede un abbonamento a Microsoft 365, che include le applicazioni Office complete installate.
Origine dei risultati abilitata per ricerche in Persone PeopleResultsScopeSet Un amministratore del sito crea l'origine dei risultati per le ricerche in Persone per un sito.
Feed RSS abilitati NewsFeedEnabledSet Un proprietario o un amministratore del sito abilita i feed RSS per un sito. Gli amministratori globali possono abilitare i feed RSS per l'intera organizzazione nell'interfaccia di amministrazione di SharePoint.
Sito unito al sito hub HubSiteJoined Il proprietario di un sito associa il sito a un sito hub.
Quota raccolta siti modificata SiteCollectionQuotaModified L'amministratore del sito modifica la quota per una raccolta siti.
Sito hub registrato HubSiteRegistered Un amministratore SharePoint o globale crea un sito hub. Il risultato è che il sito viene registrato come sito hub.
Rimossa la posizione dei dati consentita AllowedDataLocationDeleted Un amministratore SharePoint o globale ha rimosso una posizione di dati consentita in un ambiente multi-geografico.
Amministratore dell'area geografica rimosso GeoAdminDeleted Un amministratore SharePoint o globale ha aggiunto un utente come amministratore geografico di una posizione.
Sito rinominato SiteRenamed Un proprietario o un amministratore del sito rinomina un sito.
Spostamento geografico di un sito pianificato SiteGeoMoveScheduled Un amministratore SharePoint o globale programma correttamente uno spostamento geografico di un sito SharePoint o OneDrive. La funzionalità Multi-Geo Capabilities consente a un'organizzazione di utilizzare più aree geografiche dei data center di Microsoft, note anche come geo. Per altre informazioni, vedere Multi-Geo Capabilities in OneDrive e SharePoint Online.
Sito host impostato HostSiteSet Un amministratore di SharePoint o globale cambia il sito designato per ospitare siti di OneDrive for Business o personali.
Impostare una quota di archiviazione per una posizione geografica GeoQuotaAllocated Un amministratore SharePoint o globale ha configurato una quota di archiviazione per una posizione geografica in un ambiente multi-geografico.
Sito separato dal sito hub HubSiteUnjoined Il proprietario di un sito annulla l'associazione del sito a un sito hub.
Registrazione sito hub annullata HubSiteUnregistered Un amministratore SharePoint o globale annulla la registrazione di un sito come sito hub. Quando si annulla la registrazione di un sito hub, quest'ultimo non funziona più come sito hub.

Attività relative alle autorizzazioni del sito

La tabella seguente elenca gli eventi correlati all'assegnazione di autorizzazioni in SharePoint e all'uso dei gruppi per concedere (e revocare) l'accesso ai siti. Come illustrato in precedenza, i record di controllo per alcune attività di SharePoint indicano che l'utente app@sharepoint ha eseguito l'attività per conto dell'utente o dell'amministratore che ha avviato l'azione. Per altre informazioni, vedere L'utente app@sharepoint nei record di controllo.

Nome descrittivo Operazione Descrizione
Amministratore raccolta siti aggiunto SiteCollectionAdminAdded Un proprietario o un amministratore della raccolta siti aggiunge una persona come amministratore della raccolta siti per un sito. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari. Questa attività viene registrata anche quando un amministratore concede a se stesso l'accesso all'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint o usando l'interfaccia di amministrazione di Microsoft 365).
Utente o gruppo aggiunto al gruppo di SharePoint AddedToGroup Un utente ha aggiunto un membro o un guest a un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di condivisione.
L'ereditarietà dei livelli di autorizzazione è stata interrotta PermissionLevelsInheritanceBroken Un elemento è stato modificato in modo che non erediti più i livelli di autorizzazione dal relativo padre.
L'ereditarietà di condivisione è stata interrotta SharingInheritanceBroken Un elemento è stato modificato in modo che non erediti più le autorizzazioni di condivisione dal relativo padre.
Gruppo creato GroupAdded Un proprietario o un amministratore del sito crea un gruppo per un sito oppure esegue un'attività che comporta la creazione di un gruppo. Ad esempio, la prima volta che un utente crea un collegamento per condividere un file, un gruppo di sistema viene aggiunto al sito OneDrive for Business dell'utente. Questo evento può anche risultare dalla creazione, da parte di un utente, di un collegamento con autorizzazioni di modifica per un file condiviso.
Gruppo eliminato GroupRemoved Un utente elimina un gruppo da un sito.
Impostazioni richieste di accesso modificate WebRequestAccessModified Le impostazioni richieste di accesso sono state modificate in un sito.
Impostazione "I membri possono condividere" modificata WebMembersCanShareModified L'impostazione I membri possono condividere è stata modificata in un sito.
È stato modificato un livello di autorizzazione in una raccolta siti PermissionLevelModified Un livello di autorizzazione è stato modificato in una raccolta siti.
Autorizzazioni sito modificate SitePermissionsModified Un proprietario o un amministratore del sito (o un account di sistema) modifica il livello di autorizzazioni assegnato a un gruppo in un sito. Questa attività viene registrata anche se vengono rimosse tutte le autorizzazioni da un gruppo.

NOTA: questa operazione è deprecata in SharePoint Online. Per trovare gli eventi correlati, è possibile cercare altre attività relative alle autorizzazioni, ad esempio Amministratore raccolta siti aggiunto, Utente o gruppo aggiunto a gruppo di SharePoint, Utente autorizzato a creare gruppi, Gruppo creato e Gruppo eliminato.
È stato rimosso un livello di autorizzazione dalla raccolta siti PermissionLevelRemoved Un livello di autorizzazione è stato rimosso da una raccolta siti.
Amministratore raccolta siti rimosso SiteCollectionAdminRemoved Un proprietario o un amministratore della raccolta siti rimuove una persona come amministratore della raccolta siti per un sito. Anche questa attività viene registrata quando un amministratore rimuove se stesso dall'elenco degli amministratori per l'account OneDrive di un utente (modificando il profilo utente nell'interfaccia di amministrazione di SharePoint). Per riportare questa attività nei risultati della ricerca nel log di controllo, è necessario cercare tutte le attività.
Utente o gruppo rimosso dal gruppo di SharePoint RemovedFromGroup Un utente ha rimosso un membro o un guest da un gruppo di SharePoint. Questa operazione può essere stata intenzionale oppure è il risultato di un'altra attività, ad esempio un evento di annullamento della condivisione.
Autorizzazioni di amministrazione sito richieste SiteAdminChangeRequest Un utente richiede di essere aggiunto come amministratore della raccolta siti per una raccolta. Gli amministratori della raccolta siti hanno autorizzazioni di controllo completo per la raccolta siti e tutti i siti secondari.
L'ereditarietà di condivisione è stata ripristinata SharingInheritanceReset È stata apportata una modifica che consente a un elemento di ereditare le autorizzazioni di condivisione dal relativo padre.
Gruppo aggiornato GroupUpdated Un proprietario o un amministratore del sito modifica le impostazioni di un gruppo per un sito. Questo può includere la modifica del nome del gruppo, degli utenti autorizzati a visualizzare o modificare l'appartenenza al gruppo e della modalità di gestione delle richieste di appartenenza.

Attività di sincronizzazione

La tabella seguente descrive le attività di sincronizzazione file in SharePoint Online e OneDrive for Business.

Nome descrittivo Operazione Descrizione
Computer autorizzato a sincronizzare i file ManagedSyncClientAllowed Un utente ha stabilito una relazione di sincronizzazione con un sito. La relazione di sincronizzazione viene eseguita correttamente perché il computer dell'utente fa parte di un dominio che è stato aggiunto all'elenco dei domini (denominato elenco destinatari attendibili) che possono accedere alle raccolte documenti all'interno dell'organizzazione.

Per altre informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.
Computer non autorizzato a sincronizzare i file UnmanagedSyncClientBlocked L'utente tenta di stabilire una relazione di sincronizzazione con un sito da un computer che non è membro del dominio dell'organizzazione o è membro di un dominio che non è stato aggiunto all'elenco di domini (denominato elenco destinatari sicuri) che possono accedere alle raccolte documenti nell'organizzazione. La relazione di sincronizzazione non è consentita e al computer dell'utente viene impedito di sincronizzare, scaricare o caricare file in una raccolta documenti.

Per informazioni su questa funzionalità, vedere Usare i cmdlet di PowerShell per abilitare la sincronizzazione di OneDrive per i domini presenti nell'elenco Destinatari attendibili.
File scaricati nel computer FileSyncDownloadedFull L'utente scarica un file nel computer da una raccolta documenti di SharePoint o OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe).
Modifiche ai file scaricate nel computer FileSyncDownloadedPartial Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe).
File caricati nella raccolta documenti FileSyncUploadedFull L'utente carica un nuovo file o le modifiche a un file nella raccolta documenti di SharePoint o in OneDrive for Business tramite l'app di sincronizzazione OneDrive (OneDrive.exe).
Modifiche ai file caricate nella raccolta documenti FileSyncUploadedPartial Questo evento è stato deprecato insieme all'app di sincronizzazione OneDrive for Business precedente (Groove.exe).

Attività di SystemSync

La tabella seguente elenca le attività relative ai report sull'utilizzo registrate nel log di audit di Microsoft 365.

Nome descrittivo Operazione Descrizione
Condivisione dati creato DataShareCreated Quando l'esportazione dei dati viene creata dall'utente.
Condivisione dati eliminata correttamente. DataShareDeleted Quando l'esportazione dei dati viene eliminata dall'utente.
Generare una copia dei dati lake GenerateCopyOfLakeData Quando viene generata la copia di Lake Data.
Scarica la copia dei dati Lake DownloadCopyOfLakeData Quando viene scaricata la copia di Lake Data.

Attività di amministrazione utenti

La tabella seguente elenca le attività di amministrazione utenti registrate quando un amministratore aggiunge o modifica un account utente usando l'interfaccia di amministrazione di Microsoft 365 o il portale di gestione di Azure.

Nota

I nomi delle operazioni elencati nella colonna Operazione nella tabella seguente contengono un punto ( . ). È necessario includere il punto nel nome dell'operazione se si specifica l'operazione in un comando di PowerShell durante la ricerca del log di audit, la creazione dei criteri di conservazione dell'audit, la creazione di criteri di avviso o avvisi per le attività. Assicurarsi inoltre di usare le virgolette inglesi chiuse (" ") per contenere il nome dell'operazione.

Attività Operazione Descrizione
Utente aggiunto Aggiunta utente. È stato creato un account utente.
Licenza utente modificata Modifica della licenza utente. La licenza assegnata a un utente è stata modificata. Per visualizzare le licenze modificate, vedere l'attività Utente aggiornato corrispondente.
Password utente cambiata Modifica della password utente. Un utente ha cambiato la password. La reimpostazione della password in modalità self-service deve essere abilitata nell'organizzazione, per tutti gli utenti o per utenti selezionati, per consentire agli utenti di reimpostare la password. È anche possibile tenere traccia dell'attività di reimpostazione della password self-service in Microsoft Entra ID. Per altre informazioni, vedere Opzioni di creazione di report per Microsoft Entra gestione delle password.
Utente eliminato Eliminazione utente. È stato eliminato un account utente.
Reimpostazione della password utente Reimpostazione della password utente. Un amministratore ha reimpostato la password per un utente.
Impostata una proprietà che impone all'utente di cambiare la password Impostazione forzatura per la modifica delle password utente. Un amministratore ha impostato la proprietà che forza l'utente a cambiare la password al successivo accesso a Microsoft 365.
Impostazione delle proprietà della licenza Impostazione delle proprietà della licenza. Un amministratore modifica le proprietà di una licenza assegnata a un utente.
Utente aggiornato Aggiornamento di un utente. Un amministratore modifica una o più proprietà di un account utente. Per un elenco delle proprietà utente che è possibile aggiornare, vedere la sezione "Aggiorna attributi utente" in Microsoft Entra eventi del report di controllo.

attività Viva Goals

Nella tabella seguente sono elencate le attività utente e amministratore in Viva Goals registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Cercare i dettagli del log di controllo per cercare i log di controllo dal portale di Microsoft Purview e dal portale di conformità. L'utente deve essere un amministratore globale o avere le autorizzazioni di lettura di controllo per accedere ai log di controllo. È possibile utilizzare il filtro Attività per cercare attività specifiche ed elencare tutte le attività Viva Goals che è possibile scegliere "VivaGoals" nel filtro Tipo di record. È anche possibile usare le caselle dell'intervallo di date e l'elenco Utenti per restringere ulteriormente i risultati della ricerca.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Organizzazione creata Organizzazione creata Amministrazione o l'utente ha creato una nuova organizzazione in Viva Goals.
Aggiunta dell'utente Aggiunta dell'utente Un nuovo utente è stato aggiunto a un'organizzazione in Viva Goals.
Utente disattivato Utente disattivato Un utente è stato disattivato in un'organizzazione.
Utente eliminato Utente eliminato Un utente è stato eliminato da un'organizzazione in Viva Goals.
Utente connesso Utente connesso L'utente ha eseguito l'accesso a Viva Goals.
Aggiunta del team Aggiunta del team Un nuovo team è stato creato all'interno di un'organizzazione in Viva Goals.
Team aggiornato Team aggiornato Un team all'interno di un'organizzazione in Viva Goals è stato modificato o aggiornato.
Team eliminato Team eliminato Un team all'interno di un'organizzazione in Viva Goals è stato eliminato dall'utente.
Dati esportati Dati esportati Un utente ha esportato un elenco di OKR o un elenco di utenti in un'organizzazione in Viva Goals.
Goals criteri aggiornati Goals criteri aggiornati L'amministratore globale ha modificato i criteri o le impostazioni a livello di tenant in Viva Goals. Ad esempio, l'amministratore globale ha configurato chi può creare organizzazioni in Viva Goals.
Impostazioni dell'organizzazione aggiornate Impostazioni dell'organizzazione aggiornate L'utente (in genere proprietari o amministratori dell'organizzazione) ha aggiornato le impostazioni specifiche dell'organizzazione in Viva Goals.
Integrazioni dell'organizzazione aggiornate Integrazioni dell'organizzazione aggiornate L'utente (in genere proprietari o amministratori dell'organizzazione) ha configurato un'integrazione di terze parti o aggiornato un'integrazione di terze parti esistente per un'organizzazione in Viva Goals.
OKR o Progetto creato OKR o Progetto creato L'utente ha creato un OKR o un progetto in Viva Goals.
OKR o Progetto aggiornato OKR o Progetto aggiornato Un OKR/Progetto è stato modificato o è stato effettuato un check-in dall'utente o un'integrazione in Viva Goals.
OKR o Progetto eliminato OKR o Progetto eliminato L'utente ha eliminato un OKR o un progetto.
Dashboard creato Dashboard creato L'utente ha creato un nuovo dashboard in Viva Goals
Dashboard aggiornato Dashboard aggiornato L'utente ha aggiornato un dashboard in Viva Goals
Dashboard eliminato Dashboard eliminato L'utente ha eliminato un dashboard in Viva Goals.

attività Viva Engage

Nella tabella seguente sono elencate le attività utente e amministratore in Viva Engage registrate nel log di controllo. Per restituire le attività correlate Viva Engage dal log di controllo, è necessario selezionare Mostra risultati per tutte le attività nell'elenco Attività. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.

Nota

Alcune attività di controllo Viva Engage sono disponibili solo in Audit (Premium). Questo significa che agli utenti deve essere assegnata la licenza appropriata prima di registrare queste attività nel registro di controllo. Per altre informazioni, vedere Audit (Premium). Per i requisiti di licenza di Audit (Premium), vedere Soluzioni di controllo in Microsoft 365.

Nella tabella seguente le attività di Audit (Premium) sono evidenziate con un asterisco (*).

Nome descrittivo Operazione Descrizione
Criteri di conservazione dei dati modificati SoftDeleteSettingsUpdated L'amministratore verificato aggiorna l'impostazione per i criteri di conservazione dei dati di rete per l'eliminazione definitiva o l'eliminazione temporanea. Solo gli amministratori verificati possono eseguire questa operazione.
Configurazione di rete modificata NetworkConfigurationUpdated L'amministratore di rete o verificato modifica la configurazione della rete Viva Engage. Imposta anche l'intervallo per l'esportazione dei dati e l'attivazione della chat.
Impostazioni del profilo di rete modificate ProcessProfileFields L'amministratore di rete o verificato modifica le informazioni visualizzate nei profili dei membri per gli utenti della rete.
Modalità per il contenuto privato modificata SupervisorAdminToggled L'amministratore verificato attiva o disattiva la modalità contenuto privato . Questa modalità consente a un amministratore di visualizzare i post nei gruppi privati e i messaggi privati scambiati tra singoli utenti o gruppi di utenti. Solo gli amministratori verificati possono eseguire questa operazione.
Configurazione della sicurezza modificata NetworkSecurityConfigurationUpdated L'amministratore verificato aggiorna la configurazione di sicurezza della rete Viva Engage. Imposta anche i criteri di scadenza della password e le limitazioni per gli indirizzi IP. Solo gli amministratori verificati possono eseguire questa operazione.
File creato FileCreated L'utente carica un file.
Gruppo creato GroupCreation Un utente crea un gruppo.
Un messaggio è stato creato MessageCreation L’utente crea un messaggio.
Gruppo eliminato GroupDeletion Un gruppo viene eliminato da Viva Engage.
Messaggio eliminato MessageDeleted L'utente elimina un messaggio.
File scaricato FileDownloaded L'utente scarica un file.
Dati esportati DataExport L'amministratore verificato esporta Viva Engage dati di rete. Solo gli amministratori verificati possono eseguire questa operazione.
Impossibile accedere alla community CommunityAccessFailure L’utente non è riuscito ad accedere a una community.
Impossibile accedere al file FileAccessFailure L’utente non è riuscito ad accedere al file.
Impossibile accedere al messaggio MessageAccessFailure L’utente non è riuscito ad accedere al messaggio.
Risposta al messaggio MarkedMessageChanged L'utente ha reagito a un messaggio.
Rimuovere l'argomento curato* RemoveCuratedTopic L'utente rimuove un argomento curato.
File condiviso FileShared L'utente condivide un file con un altro utente.
Utente di rete sospeso NetworkUserSuspended L'amministratore di rete o verificato sospende (disattiva) un utente da Viva Engage.
Utente sospeso UserSuspension L'account utente viene sospeso (disattivato).
Descrizione del file aggiornata FileUpdateDescription L'utente modifica la descrizione di un file.
Nome file aggiornato FileUpdateName L'utente modifica il nome di un file.
Messaggio aggiornato MessageUpdated L’utente aggiorna un messaggio.
File visualizzato FileVisited L'utente visualizza un file.
Messaggio visualizzato MessageViewed L'utente visualizza un messaggio.

attività pulse Viva

Nella tabella seguente sono elencate le attività utente e amministratore in Viva Pulse registrate per il controllo. La tabella include il nome descrittivo visualizzato nella colonna Attività e il nome dell'operazione corrispondente visualizzata nelle informazioni dettagliate di un record di controllo e nel file CSV quando si esportano i risultati della ricerca.

Cercare i dettagli del log di controllo per cercare i log di controllo dal portale di Microsoft Purview e dal portale di conformità. L'utente deve essere un amministratore globale o avere le autorizzazioni di lettura di controllo per accedere ai log di controllo. È possibile utilizzare il filtro Attività per cercare attività specifiche ed elencare tutte le attività Viva Pulse, è possibile scegliere VivaPulse nel filtro Tipo di record. È anche possibile usare le caselle dell'intervallo di date e l'elenco Utenti per restringere ulteriormente i risultati della ricerca.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.

Nome descrittivo Operazione Descrizione
Risposta inviata dall'utente a un sondaggio a impulsi PulseSubmit Amministrazione o il feedback fornito dall'utente per una richiesta di feedback Viva Pulse.
L'utente ha creato un sondaggio Pulse PulseCreate Viene creata una nuova richiesta di feedback Viva Pulse.
L'utente ha esteso la scadenza del sondaggio a impulsi PulseExtendDeadline La scadenza per la richiesta di feedback pulse Viva esistente è stata estesa.
L'utente ha invitato altri utenti al sondaggio Pulse PulseInvite Altri utenti sono stati invitati a una richiesta di feedback esistente Viva Pulse.
L'utente ha annullato un sondaggio Pulse PulseCancel L'utente ha annullato un sondaggio Pulse.
L'utente ha condiviso un report pulse PulseShareResults Viva risultato del feedback pulse è stato condiviso con gli utenti.
L'utente ha creato una bozza pulse PulseCreateDraft L'utente ha creato una bozza pulse.
L'utente ha eliminato una bozza pulse PulseDeleteDraft L'utente ha eliminato una bozza pulse.
Amministrazione eliminato i dati di un utente PulseDeleteUserData Amministrazione eliminato i dati di un utente.
Amministrazione impostazioni aggiornate del tenant PulseTenantSettingsUpdate Amministrazione aggiornato un'impostazione dell'organizzazione per Viva Pulse.

Windows 365 attività Customer Lockbox

Nella tabella seguente sono elencate le attività utente e amministratore in Windows 365 Customer Lockbox registrate nel log di controllo. Per restituire Windows 365 attività correlate a Customer Lockbox dal log di controllo, selezionare Windows365CustomerLockbox in Tipi di record. Usare le caselle dell'intervallo di date e l'elenco Utenti per limitare i risultati della ricerca.

Nome descrittivo Operazione Descrizione
Attivare la correzione del dispositivo Attivare la correzione del dispositivo Attivare la correzione del dispositivo.
Caricare la cartella nel BLOB Caricare la cartella nel BLOB Comprimere e caricare la cartella del dispositivo del cliente nel BLOB.
Controllare i criteri di esecuzione di PowerShell Controllare i criteri di esecuzione di PowerShell Controllare i criteri di esecuzione di PowerShell.
Installare l'agente Desktop remoto Installare l'agente Desktop remoto Installare l'agente Desktop remoto nel dispositivo dell'utente.
Eseguire l'estensione AADJ ibrida Eseguire l'estensione AADJ ibrida Eseguire l'estensione AADJ ibrida nel dispositivo dell'utente.
Creare una richiesta VmExtension Creare una richiesta VmExtention Crea richieste di estensione della macchina virtuale per eseguire l'estensione della macchina virtuale per eseguire script personalizzati nel dispositivo del cliente.
Trigger orchestrator Trigger orchestrator Attivare l'agente di orchestrazione per l'utente.
Attivare un'azione generica di SaaF Attivare un'azione generica di SaaF Attivare l'azione del dispositivo (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) per l'utente.
Attivare un'azione generica Attivare un'azione generica Attivare l'azione del dispositivo per l'utente.
Attivare un'azione generica con le opzioni Attivare un'azione generica con le opzioni Attivare l'azione del dispositivo con parametri di opzione, più potente di quello dell'azione generica del trigger.
Creare nuovi elementi di lavoro (Utilità di pianificazione) Creare nuovi elementi di lavoro (Utilità di pianificazione) Creare nuovi elementi di lavoro, ad esempio Provisioning, Deprovision, Reprovision e così via.
Operazione post-azione remota Operazione post-azione remota Dopo l'azione remota, oltre al polling del risultato tramite l'operazione GetActions.
Comandi di esecuzione OCE nella macchina virtuale Comandi di esecuzione OCE nella macchina virtuale Eseguire i comandi in base a tenantID, deviceID list e script.
Crea richiesta LogCollection Crea richiesta LogCollection Creare una richiesta di raccolta log per Cloud PC.
Attivare il controllo Canary dell'agente CMD. Attivare il controllo Canary dell'agente CMD. Attivare il controllo Canary dell'agente CMD su un dispositivo specifico.
Eseguire AppHealthPlugin Eseguire AppHealthPlugin Eseguire AppHealthPlugin.
Agente CMD di backfill Operazione AddDevicesToBackfill Eseguire il backfill dell'agente CMD nel PC cloud.
Reinstallare l'agente CMD Operazione AddDevicesToReinstall Reinstallare l'agente CMD su richiesta.
Reinstallare in blocco l'agente CMD Operazione TriggerClientAgentCheckBulkAction Reinstallare in blocco l'agente CMD su richiesta.
Creare un'operazione di azione remota in ActionModeratorService Creare un'operazione di azione remota in ActionModeratorService Creare un'azione remota in base a tenantID, workspaceID, actionType, actionParameters.