Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365

Vous avez besoin de déterminer si un utilisateur a consulté un document spécifique ou supprimé définitivement un élément de sa boîte aux lettres ? Dans ce cas, vous pouvez utiliser le Centre de sécurité et conformité Office 365 pour effectuer des recherches dans le journal d’audit unifié et suivre les activités utilisateur et administrateur au sein de votre organisation Office 365. Pourquoi un journal d’audit unifié ? Parce qu’il vous permet de rechercher les types suivants d’activités utilisateur et administrateur dans Office 365 :

  • activité utilisateur dans SharePoint Online et OneDrive Entreprise ;

  • activité utilisateur dans Exchange Online (enregistrement d’audit de boîte aux lettres Exchange) ;

    Important : Pour que l’activité utilisateur dans Exchange Online soit enregistrée, l’enregistrement d’audit de boîte aux lettres doit être activé pour chaque boîte aux lettres utilisateur. Pour plus d’informations, voir Activer l’audit de boîte aux lettres dans Office 365.

  • activité administrateur dans SharePoint Online ;

  • activité administrateur dans Azure Active Directory (service d’annuaire pour Office 365) ;

  • activité administrateur dans Exchange Online (journalisation d’audit de l’administrateur Exchange) ;

  • activités utilisateur et administrateur dans Sway.

  • activités utilisateur et administrateur dans Power BI pour Office 365

  • activités utilisateur et administrateur dans Microsoft Teams ;

  • activités utilisateur et administrateur dans Yammer.

Avant de commencer à effectuer une recherche dans le journal d’audit d’Office 365, veillez à lire ce qui suit.

  • Vous (ou un autre administrateur) devez activer la journalisation d’audit avant d’effectuer des recherches dans le journal d’audit Office 365. Pour cela, cliquez sur Commencer à enregistrer les activités utilisateur et administrateur sur la page Recherche dans le journal d’audit du Centre de sécurité et conformité (si ce lien n’apparaît pas, cela signifie que l’audit est déjà été activé pour votre organisation). Une fois l’audit activé, un message s’affiche, indiquant que le journal d’audit est en cours de préparation et que vous pourrez effectuer une recherche dans quelques heures, lorsque la préparation sera terminée. Vous ne devez effectuer cette opération qu’une seule fois.

    Remarque : Nous effectuons la procédure nécessaire pour activer l’audit par défaut. En attendant, vous pouvez l’activer en suivant la procédure décrite précédemment.

  • Pour pouvoir effectuer des recherches dans le journal d’audit d’Office 365, vous devez avoir le rôle Journaux d’audit en affichage seul ou Journaux d’audit dans Exchange Online. Par défaut, ces rôles sont affectés aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations du Centre d’administration Exchange. Pour permettre à un utilisateur d’effectuer des recherches dans le journal d’audit Office 365 avec le niveau minimal de privilèges, vous pouvez créer un groupe de rôles personnalisé dans Exchange Online, ajouter le rôle Journaux d’audit en affichage seul ou Journaux d’audit, puis ajouter l’utilisateur en tant que membre du nouveau groupe de rôles. Pour plus d’informations, voir Gérer des groupes de rôles.

    Important : Si vous affectez le rôle Journaux d’audit en affichage seul ou Journaux d’audit à un utilisateur via la page Autorisations du Centre de sécurité et conformité, cet utilisateur ne peut pas effectuer de recherches dans le journal d’audit d’Office 365. Vous devez affecter les autorisations dans Exchange Online. En effet, la cmdlet sous-jacente utilisée pour effectuer une recherche dans le journal d’audit est une cmdlet Exchange Online.

  • Si vous souhaitez désactiver la recherche dans le journal d’audit dans Office 365 pour votre organisation, vous pouvez exécuter la commande suivante dans une session Remote PowerShell connectée à votre organisation Exchange Online :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Pour réactiver la recherche d’audit, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Pour plus d’informations, voir Désactiver la recherche dans le journal d’audit dans Office 365.

  • Comme indiqué précédemment, la cmdlet sous-jacente utilisée pour effectuer une recherche dans le journal d’audit est une cmdlet Exchange Online, à savoir Search-UnifiedAuditLog. Cela signifie que vous pouvez utiliser cette cmdlet pour effectuer une recherche dans le journal d’audit Office 365 au lieu d’utiliser la page Recherche dans le journal d’audit du Centre de sécurité et conformité. Vous devez exécuter cette cmdlet dans PowerShell distant connecté à votre organisation Exchange Online. Pour plus d’informations, voir Search-UnifiedAuditLog.

  • Si vous voulez télécharger par programme les données du journal d’audit Office 365, nous recommandons d’utiliser l’API de gestion des activités Office 365 au lieu d’utiliser un script PowerShell. L’API de gestion des activités Office 365 est un service web REST que vous pouvez utiliser pour développer des solutions d’exploitation, de sécurité et de contrôle de la conformité pour votre organisation. Pour plus d’informations, consultez Référence de l’API d’activité de gestion d’Office 365.

  • Vous pouvez rechercher les activités effectuées au cours des 90 derniers jours dans le journal d’audit Office 365.

  • Après la survenue d’un événement, l’apparition de l’entrée de journal d’audit correspondante dans les résultats de la recherche peut prendre jusqu’à 30 minutes, voir 24 heures. Le tableau suivant répertorie les délais en fonction des services dans Office 365.

    Service Office 365

    30 minutes

    24 heures

    SharePoint Online et OneDrive Entreprise

    Coche

    Exchange Online

    Coche

    Azure Active Directory (événements de connexion des utilisateurs)

    Coche

    Azure Active Directory (événements d’administrateurs)

    Coche

    Sway

    Coche

    Power BI

    Coche

    Yammer

    Coche

    Centre de sécurité et conformité

    Coche

    Microsoft Teams

    Coche

  • Comme indiqué précédemment, Azure Active Directory (Azure AD) est le service d’annuaire pour Office 365. Le journal d’audit unifié contient les activités des utilisateurs, des groupes, des applications, des domaines et des annuaires effectuées dans le Centre d’administration Office 365 ou le portail de gestion Azure. Pour consulter la liste complète des événements Azure AD, voir Événements de rapport d’audit d’Azure Active Directory.

Revenir au début

Pour effectuer une recherche dans le journal d’audit dans Office 365, vous devez procéder comme suit.

Étape 1 : effectuer une recherche dans le journal d’audit

Étape 2 : consulter les résultats de la recherche

Étape 3 : filtrer les résultats de la recherche

Étape 4 : exporter les résultats de la recherche dans un fichier

Étape 1 : effectuer une recherche dans le journal d’audit

  1. Accédez à la page https://protection.office.com.

  2. Connectez-vous à Office 365 à l’aide de votre compte scolaire ou professionnel.

  3. Dans le volet gauche, cliquez sur Recherches et examens, puis sur Recherche dans le journal d’audit.

    La page Recherche dans le journal d’audit s’affiche.

    Configurez des critères, puis cliquez sur Rechercher pour générer un rapport

    Remarque : Comme indiqué précédemment, vous devez activer la journalisation d’audit avant d’effectuer une recherche dans le journal d’audit. Si le lien Commencer à enregistrer les activités utilisateur et administrateur apparaît, cliquez dessus pour activer l’audit. Si ce lien n’apparaît pas, l’audit est déjà été activé pour votre organisation.

  4. Configurez les critères de recherche suivants :

    1. Activités   Cliquez sur la liste déroulante pour afficher les activités que vous pouvez rechercher. Les activités utilisateur et administrateur sont organisées au sein de groupes d’activités liées. Vous pouvez sélectionner des activités spécifiques ou cliquer sur le nom d’un groupe d’activités pour sélectionner toutes les activités du groupe. Vous pouvez également cliquer sur une activité sélectionnée pour effacer la sélection. Une fois la recherche terminée, seules les entrées du journal d’audit correspondant aux activités sélectionnées apparaissent. La sélection de l’option Afficher les résultats pour toutes les activités a pour effet de présenter les résultats de toutes les activités effectuées par l’utilisateur ou le groupe d’utilisateurs sélectionnés.

      Plus de 100 activités utilisateur et administrateur sont enregistrées dans le journal d’audit d’Office 365. Pour consulter la liste des descriptions de chaque activité pour les différents services Office 365, cliquez sur l’onglet Activités auditées dans cette rubrique.

    2. Date de début et Date de fin   Les sept derniers jours sont sélectionnés par défaut. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. Les date et heure sont présentées au format UTC (temps universel coordonné). La plage de dates maximale que vous pouvez spécifier est de 90 jours. Une erreur s’affiche si la plage de dates sélectionnée est supérieure à 90 jours.

      Conseil : Si vous utilisez la plage de dates maximale de 90 jours, sélectionnez l’heure actuelle pour l’option Date de début. Dans le cas contraire, un message d’erreur indiquant que la date de début est antérieure à la date de fin apparaît. Si vous avez activé l’audit au cours des 90 derniers jours, la plage de dates maximale ne peut pas commencer avant la date à laquelle l’audit a été activé.

    3. Utilisateurs  Cliquez dans cette zone, puis sélectionnez un ou plusieurs utilisateurs pour lesquels afficher les résultats. Les entrées du journal d’audit pour l’activité sélectionnée effectuée par les utilisateurs que vous sélectionnez dans cette zone apparaissent dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et comptes de service) dans votre organisation.

    4. Fichier, dossier ou site   Tapez tout ou partie du nom d’un fichier ou dossier pour rechercher les activités liées au fichier ou dossier dont le nom contient le mot clé spécifié. Vous pouvez également spécifier tout ou partie d’une URL pour afficher les entrées liées aux activités sur les objets figurant dans l’URL spécifiée. Notez que les caractères spéciaux, tels que les barres obliques (/), les barres obliques inverses (\), les tirets (-) et les traits de soulignement (_) ne sont pas pris en charge dans une requête de recherche. Veillez à remplacer les caractères spéciaux par une espace. Par exemple, pour rechercher l’activité dans un site OneDrive Entreprise, tel que https://contoso-mysharepoint.com/personal/coralied_contoso_onmicrosoft_com, vous pouvez entrer la requête suivante dans ce champ de recherche : personal sarad contoso.

      Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers, dossiers et URL dans votre organisation.

  5. Cliquez sur Rechercher pour effectuer la recherche à l’aide de vos critères de recherche.

    Les résultats de recherche sont chargés, puis affichés sous Résultats après un moment. Une fois la recherche terminée, le nombre de résultats détectés est affiché. Notez qu’un maximum de 1 000 événements sont affichés. Si plus de 1 000 événements correspondent aux critères de recherche, les 1 000 événements les plus récents sont affichés.

    Le nombre de résultats affichés une fois la recherche terminée

Revenir au début

Conseils pour effectuer une recherche dans le journal d’audit

  • Vous pouvez sélectionner des activités spécifiques à rechercher en cliquant sur leur nom. Vous pouvez également rechercher toutes les activités dans un groupe (par exemple, Activités des fichiers et des dossiers) en cliquant sur le nom du groupe. Si une activité est sélectionnée, vous pouvez cliquer dessus pour annuler la sélection. Vous pouvez également utiliser la zone de recherche pour afficher les activités dont le nom contient le mot clé que vous tapez.

    Cliquez sur le nom d’un groupe d’activités pour sélectionner toutes les activités
  • Vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités pour afficher les entrées du journal d’audit de l’administrateur Exchange. Les événements consignés dans ce journal d’audit affichent un nom de cmdlet (par exemple, Set-Mailbox) dans la colonne Activité des résultats. Pour plus d’informations, cliquez sur l’onglet Activités auditées dans cette rubrique, puis sur Activités administrateur Exchange.

  • Cliquez sur Effacer pour effacer les critères de recherche actuels. La plage de dates reprend la valeur par défaut des sept derniers jours. Vous pouvez également cliquer sur Effacer tout pour afficher les résultats correspondant à toutes les activités afin d’annuler toutes les activités sélectionnées.

  • Si 1 000 résultats sont détectés, vous pouvez supposer que plus de 1 000 événements correspondent aux critères de recherche. Pour renvoyer moins de résultats, vous pouvez affiner les critères de recherche et relancer la recherche. Vous pouvez également exporter tous les résultats de recherche en sélectionnant Exporter les résultats > Télécharger tous les résultats.

Revenir au début

Étape 2 : consulter les résultats de la recherche

Les résultats d’une recherche dans le journal d’audit apparaissent sous Résultats sur la page Recherche dans le journal d’audit. Un maximum de 1 000 événements (les plus récents) sont affichés. Les résultats contiennent les informations suivantes sur chaque événement renvoyé par la recherche.

  • Date    Date et heure (au format UTC) auxquelles l’événement s’est produit.

  • Adresse IP    Adresse IP de l’appareil utilisé lors de l’enregistrement de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.

  • Utilisateur    Utilisateur (ou compte de service) qui a effectué l’action ayant déclenché l’événement.

  • Activité    Activité effectuée par l’utilisateur. Cette valeur correspond aux activités que vous avez sélectionnées dans la zone de liste déroulante Activités. Pour un événement figurant dans le journal d’audit de l’administrateur Exchange, la valeur dans cette colonne est une cmdlet Exchange.

  • Élément    Objet qui a été créé ou modifié suite à l’activité correspondante. Par exemple, fichier consulté ou modifié, ou compte d’utilisateur mis à jour. Certaines activités n’ont pas de valeur dans cette colonne.

  • Détails    Détails supplémentaires sur une activité. Là encore, toutes les activités n’ont pas de valeur.

Conseil : Cliquez sur un en-tête de colonne sous Résultats pour trier les résultats. Vous pouvez trier les résultats par ordre croissant ou décroissant. Cliquez sur l’en-tête Date pour trier les résultats du plus ancien au plus récent, ou du plus récent au plus ancien.

Afficher les détails d’un événement spécifique

Vous pouvez afficher davantage d’informations sur un événement en cliquant sur l’enregistrement de l’événement dans la liste des résultats de recherche. La page Détails qui s’affiche contient les propriétés détaillées de l’enregistrement d’événement. Les propriétés affichées dépendent du service Office 365 dans lequel l’événement se produit. Pour afficher des détails supplémentaires, cliquez sur Plus d’informations.

Revenir au début

Étape 3 : filtrer les résultats de la recherche

Vous pouvez également filtrer les résultats d’une recherche dans le journal d’audit. Cette fonctionnalité permet de filtrer rapidement les résultats pour un utilisateur ou une activité spécifique. Vous pouvez créer une recherche large au départ, puis filtrer rapidement les résultats pour afficher des événements spécifiques. Vous pouvez ensuite affiner les critères de recherche, puis relancer la recherche pour renvoyer un jeu de résultats plus petit et concis.

Pour filtrer les résultats :

  1. Effectuez une recherche dans le journal d’audit.

  2. Lorsque les résultats sont affichés, cliquez sur Filtrer les résultats.

    Les zones de mot clé apparaissent sous chaque en-tête de colonne.

  3. Cliquez sur une des zones sous un en-tête de colonne et tapez un mot ou une expression, en fonction de la colonne qui fait l’objet du filtrage. Les résultats sont réajustés dynamiquement pour afficher les événements qui correspondent à votre filtre.

    Tapez un mot dans le filtre pour afficher les événements correspondant au filtre
  4. Pour effacer un filtre, cliquez sur le X dans la zone de filtre, ou cliquez simplement sur Masquer le filtrage.

Conseil : Pour afficher des événements dans le journal d’audit de l’administrateur Exchange, tapez un (tiret) dans la zone de filtre Activité. Cela permet d’afficher le nom des cmdlets qui figurent dans la colonne Activité des événements d’administrateur Exchange. Vous pouvez ensuite trier les noms de cmdlet par ordre alphabétique.

Revenir au début

Étape 4 : exporter les résultats de la recherche dans un fichier

Vous pouvez exporter les résultats d’une recherche dans le journal d’audit vers un fichier de valeurs séparées par des virgules (.csv) sur votre ordinateur local. Vous pouvez ouvrir ce fichier dans Microsoft Excel et utiliser des fonctionnalités telles que la recherche, le tri, le filtrage et le fractionnement d’une colonne (dont les cellules contiennent plusieurs valeurs) en plusieurs.

  1. Effectuez une recherche dans le journal d’audit, puis modifiez les critères de recherche jusqu’à obtenir les résultats souhaités.

  2. Cliquez sur Exporter les résultats, puis sélectionnez l’une des options suivantes :

    • Enregistrer les résultats chargés    Choisissez cette option pour exporter uniquement les entrées affichées sous Résultats sur la page Recherche dans le journal d’audit. Le fichier .csv téléchargé contient les mêmes colonnes (et données) que celles affichées sur la page (Date, Utilisateur, Activité, Élément et Détails). Une colonne supplémentaire (nommée Plus) est incluse dans le fichier .csv qui contient davantage d’informations de l’entrée du journal d’audit. Comme vous exportez les mêmes résultats que ceux chargés (et visibles) sur la page Recherche dans le journal d’audit, 1 000 entrées au maximum sont exportées.

    • Télécharger tous les résultats    Choisissez cette option pour exporter toutes les entrées du journal d’audit Office 365 qui correspondent aux critères de recherche. Pour un ensemble conséquent de résultats de recherche, choisissez cette option pour télécharger toutes les entrées du journal d’audit en plus des 1 000 résultats qui apparaissent sur la page Recherche dans le journal d’audit. Cette option permet de télécharger les données brutes du journal d’audit dans un fichier .csv, et englobe des informations supplémentaires de l’entrée du journal d’audit dans la colonne Détails. Le téléchargement du fichier peut prendre plus de temps si vous choisissez cette option d’exportation, car le fichier peut-être plus volumineux que celui téléchargé à l’aide de l’autre option.

      Important : Vous pouvez télécharger un maximum de 50 000 entrées dans un fichier .csv à partir d’une seule recherche dans le journal d’audit. Si 50 000 résultats sont téléchargés dans le fichier .csv, vous pouvez partir du principe que plus de 50 000 événements remplissent les critères de recherche. Pour exporter davantage de résultats, essayez d’utiliser une plage de dates pour réduire le nombre d’entrées du journal d’audit. Vous devrez peut-être effectuer plusieurs recherches avec des plages de dates plus réduites pour exporter plus de 50 000 entrées.

  3. Une fois que vous avez sélectionné une option d’exportation, un message apparaît en bas de la fenêtre. Il vous invite à ouvrir le fichier .csv, à l’enregistrer dans le dossier Téléchargements ou à l’enregistrer dans un dossier spécifique.

Revenir au début

Informations supplémentaires sur l’exportation des résultats de recherche dans le journal d’audit

  • L’option Télécharger tous les résultats télécharge les données brutes du journal d’audit Office 365 dans un fichier .csv. Les noms de colonne qui apparaissent dans ce fichier (Heure, Utilisateur, Action, Détails) diffèrent de ceux figurant dans le fichier téléchargé si vous sélectionnez l’option Enregistrer les résultats chargés. Les valeurs dans les deux fichiers .csv peuvent également différer pour une même activité. Par exemple, l’activité dans la colonne Action du fichier .csv peut avoir une valeur différente de la version « conviviale » qui apparaît dans la colonne Activité de la page Recherche dans le journal d’audit (par exemple, MailboxLogin et Utilisateur connecté à la boîte aux lettres).

  • Si vous téléchargez tous les résultats, le fichier .csv contient une colonne nommée Détails, qui inclut des informations supplémentaires sur chaque événement. Comme indiqué précédemment, cette colonne contient une propriété à valeurs multiples pour différentes propriétés de l’enregistrement du journal d’audit. Les paires property:value dans cette propriété à valeurs multiples sont séparées par une virgule. Vous pouvez utiliser Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes de telle sorte que chaque propriété ait sa propre colonne. Cela vous permettra d’utiliser une ou plusieurs de ces propriétés pour trier et filtrer les valeurs. Pour savoir comment procéder, voir la section « Fractionner une colonne par le délimiteur » dans Fractionner une colonne de texte (Power Query).

    Après avoir fractionné la colonne Détails, vous pouvez filtrer sur la colonne Action pour afficher les propriétés détaillées pour un type d’activité spécifique.

  • Lorsque vous téléchargez tous les résultats d’une requête de recherche contenant les événements de différents services Office 365, la colonne Détails du fichier .csv contient différentes propriétés selon le service dans lequel l’action a été effectuée. Par exemple, les entrées des journaux d’audit Exchange et Azure AD incluent une propriété nommée ResultStatus qui indique si l’action a réussi ou non. Cette propriété n’est pas incluse pour les événements dans SharePoint. De même, les événements SharePoint ont une propriété qui identifie l’URL de site pour les activités liées aux fichiers et aux dossiers. Pour modifier ce comportement, vous pouvez utiliser des recherches différentes pour exporter les résultats des activités d’un service.

    Pour obtenir une description des propriétés répertoriées dans la colonne Détails du fichier .csv lorsque vous téléchargez tous les résultats, et du service auquel s’applique chacune d’elles, voir Propriétés détaillées dans le journal d’audit Office 365.

Revenir au début

Les tableaux de cette section décrivent les activités auditées dans Office 365. Vous pouvez rechercher ces événements dans le journal d’audit dans le Centre de sécurité et conformité. Pour obtenir des instructions, cliquez sur l’onglet Effectuer une recherche dans le journal d’audit.

Ces tableaux regroupent des activités connexes ou les activités d’un service Office 365 spécifique. Les tableaux incluent le nom convivial affiché dans la liste déroulante Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier .csv lorsque vous exportez les résultats de recherche. Pour accéder à un tableau spécifique, cliquez sur l’un des liens suivants.

Activités des fichiers et pages

Activités des dossiers

Activités de demande d’accès et de partage

Activités de synchronisation

Activités d’administration des sites

Activités de la boîte aux lettres Exchange

Activités liées au Sway

Activités d’administration des utilisateurs

Activités d’administration des groupes Azure AD

Activités d’administration des applications

Activités d’administration des rôles

Activités d’administration de l’annuaire

Activités de découverte électronique

Activités dans Power BI

Activités dans Teams Microsoft

Activités dans Yammer

Activités administrateur Exchange

Activités des fichiers et pages

Le tableau suivant décrit les activités des fichiers et pages dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Fichier consulté

FileAccessed

Le compte d’utilisateur ou système consulte un fichier.

(aucun)

FileAccessedExtended

Cet événement est lié à l’activité « Fichier consulté » (FileAccessed). Un événement FileAccessedExtended est consigné lorsque la même personne accède à un fichier pendant une période prolongée (jusqu'à 3 heures). L’objectif de la journalisation des événements FileAccessedExtended consiste à réduire le nombre d’événements FileAccessed enregistrés lorsqu’un fichier est consulté de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileAccessed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileAccessed initial (plus important).

Fichier archivé

FileCheckedIn

Un utilisateur archive un document qu’il a extrait d’une bibliothèque de documents.

Fichier extrait

FileCheckedOut

Un utilisateur extrait un document d’une bibliothèque de documents. Les utilisateurs peuvent extraire et modifier les documents partagés avec eux.

Fichier copié

FileCopied

Un utilisateur copie un document à partir d’un site. Le fichier copié peut être enregistré dans un autre dossier sur le site.

Fichier supprimé

FileDeleted

Un utilisateur supprime un document d’un site.

Fichier supprimé de la Corbeille

FileDeletedFirstStageRecycleBin

Un utilisateur supprime un fichier de la Corbeille sur un site.

Fichier supprimé de la Corbeille second niveau

FileDeletedSecondStageRecycleBin

Un utilisateur supprime un fichier de la Corbeille second niveau sur un site.

Extraction de fichier ignorée

FileCheckOutDiscarded

Un utilisateur ignore (ou annule) un fichier extrait. Les modifications qu’il a apportées au fichier le temps de son extraction sont ignorées et ne sont pas enregistrées dans la version du document dans la bibliothèque de documents.

Fichier téléchargé

FileDownloaded

Un utilisateur télécharge un document à partir d’un site.

Fichier modifié

FileModified

Le compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document sur un site.

(aucun)

FileModifiedExtended

Cet événement est lié à l’activité « Fichier modifié » (FileModified). Un événement FileModifiedExtended est consigné lorsque la même personne modifie un fichier pendant une période prolongée (jusqu'à 3 heures). L’objectif de la journalisation des événements FileModifiedExtended consiste à réduire le nombre d’événements FileModified enregistrés lorsqu’un fichier est modifié de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileModified pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileModified initial (plus important).

Fichier déplacé

FileMoved

Un utilisateur déplace un document de son emplacement actuel sur un site vers un nouvel emplacement.

Fichier renommé

FileRenamed

Un utilisateur renomme un document sur un site.

Fichier restauré

FileRestored

Un utilisateur restaure un document à partir de la Corbeille d’un site.

Fichier téléchargé

FileUploaded

Un utilisateur charge un document vers un dossier sur un site.

Page affichée

PageViewed

Un utilisateur affiche une page sur un site. Ceci n’inclut pas l’utilisation d’un navigateur web pour afficher les fichiers dans une bibliothèque de documents.

(aucun)

PageViewedExtended

Cet événement est lié à l’activité « Page affichée » (PageViewed). Un événement PageViewedExtended est consigné lorsque la même personne affiche une page web pendant une période prolongée (jusqu'à 3 heures). L’objectif de la journalisation des événements PageViewedExtended consiste à réduire le nombre d’événements PageViewed enregistrés lorsqu’une page est affichée de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements PageViewed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement PageViewed initial (plus important).

Revenir au début

Activités des dossiers

Le tableau suivant décrit les activités des dossiers dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Dossier copié

FolderCopied

Un utilisateur copie un dossier à partir d’un site vers un autre emplacement dans SharePoint ou OneDrive Entreprise.

Dossier créé

FolderCreated

Un utilisateur crée un dossier sur un site.

Dossier supprimé

FolderDeleted

Un utilisateur supprime un dossier d’un site.

Dossier supprimé de la Corbeille

FolderDeletedFirstStageRecycleBin

Un utilisateur supprime un dossier de la Corbeille sur un site.

Dossier supprimé de la Corbeille second niveau

FolderDeletedSecondStageRecycleBin

Un utilisateur supprime un dossier de la Corbeille second niveau sur un site.

Dossier modifié

FolderModified

Un utilisateur modifie un dossier sur un site. Cela inclut la modification des métadonnées du dossier (par exemple, modification des balises et propriétés).

Dossier déplacé

FolderMoved

Un utilisateur déplace un dossier vers un autre emplacement sur un site.

Dossier renommé

FolderRenamed

Un utilisateur renomme un dossier sur un site.

Dossier restauré

FolderRestored

Un utilisateur restaure un dossier supprimé de la Corbeille sur un site.

Revenir au début

Activités de demande d’accès et de partage

Le tableau suivant décrit les activités de demande d’accès et de partage dans SharePoint Online et OneDrive Entreprise. Pour les événements de partage, la colonne Détails sous Résultats identifie le nom de l’utilisateur ou du groupe avec lequel l’élément était partagé et si cet utilisateur ou groupe est un membre de votre organisation ou un invité. Pour plus d’informations, voir Utiliser l’audit du partage dans le journal d’audit d’Office 365.

Remarque : Les utilisateurs peuvent être des membres ou des invités en fonction de la propriété UserType de l’objet utilisateur. Un membre est généralement un employé, tandis qu’un invité est généralement un collaborateur externe à votre organisation. Lorsqu’un utilisateur accepte une invitation de partage (et ne fait pas déjà partie de votre organisation), un compte invité est créé pour lui dans l’annuaire de votre organisation. Dès lors que l’utilisateur invité a un compte dans votre annuaire, des ressources peuvent être partagées directement avec lui (sans invitation).

Nom convivial

Opération

Description

Demande d’accès acceptée

AccessRequestAccepted

Une demande d’accès à un site, un dossier ou un document a été acceptée et l’utilisateur à l’origine de la demande s’est vu octroyé l’accès.

Invitation de partage acceptée

SharingInvitationAccepted

Un utilisateur (membre ou invité) a accepté une invitation de partage et s’est vu octroyer l’accès à une ressource. Cet événement inclut des informations sur l’utilisateur invité et l’adresse de courrier utilisée pour accepter l’invitation (ils peuvent être différents). Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource).

Invitation de partage bloquée

SharingInvitationBlocked

À déterminer

Création d’un lien d’entreprise partageable

CompanyLinkCreated

Un utilisateur a créé un lien à l’échelle de l’entreprise vers une ressource. Les liens à l’échelle de l’entreprise ne peuvent être utilisés que par les membres de votre organisation. Ils ne peuvent pas être utilisés par les invités.

Demande d’accès créée

AccessRequestCreated

Un utilisateur demande l’accès à un site, un dossier ou un document auquel il n’est pas autorisé à accéder.

Création d’un lien anonyme

AnonymousLinkCreated

Un utilisateur a créé un lien anonyme vers une ressource. Toute personne disposant de ce lien peut accéder à la ressource sans être authentifiée.

Invitation de partage créée

SharingInvitationCreated

Un utilisateur a partagé une ressource dans SharePoint Online ou OneDrive Entreprise avec un utilisateur qui ne figure pas dans l’annuaire de votre organisation.

Demande d’accès refusée

AccessRequestDenied

Une demande d’accès à un site, un dossier ou un document a été refusée.

Suppression d’un lien d’entreprise partageable

CompanyLinkRemoved

Un utilisateur a supprimé un lien à l’échelle de l’entreprise vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.

Suppression d’un lien anonyme

AnonymousLinkRemoved

Un utilisateur a supprimé un lien anonyme vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.

Fichier, dossier ou site partagé

SharingSet

Un utilisateur (membre ou invité) a partagé un fichier, un dossier ou un site dans SharePoint ou OneDrive Entreprise avec un utilisateur figurant dans l’annuaire de votre organisation. La valeur dans la colonne Détails pour cette activité identifie le nom de l’utilisateur avec lequel la ressource a été partagée et si cet utilisateur est un membre ou un invité. Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource).

Mise à jour d’un lien anonyme

AnonymousLinkUpdated

Un utilisateur a mis à jour un lien anonyme vers une ressource. Le champ mise à jour est inclus dans la propriété EventData lorsque vous exportez les résultats de recherche.

Utilisation d’un lien anonyme

AnonymousLinkUsed

Un utilisateur anonyme a consulté une ressource à l’aide d’un lien anonyme. L’identité de l’utilisateur peut être inconnue, mais vous pouvez obtenir d’autres informations telles que l’adresse IP de l’utilisateur.

Fichier, dossier ou site non partagé

SharingRevoked

Un utilisateur (membre ou invité) a cessé de partager un fichier, un dossier ou un site précédemment partagé avec un autre utilisateur.

Utilisation d’un lien d’entreprise partageable

CompanyLinkUsed

Un utilisateur a consulté une ressource à l’aide d’un lien à l’échelle de l’entreprise.

Invitation de partage retirée

SharingInvitationRevoked

Un utilisateur a retiré une invitation de partage à une ressource.

Revenir au début

Activités de synchronisation

Le tableau suivant répertorie les activités de synchronisation de fichiers dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Ordinateur autorisé à synchroniser des fichiers

ManagedSyncClientAllowed

Un utilisateur a réussi à établir une relation de synchronisation avec un site. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation.

Pour plus d’informations sur cette fonctionnalité, voir Utilisation des applets de commande Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.

Ordinateur non autorisé à synchroniser des fichiers

UnmanagedSyncClientBlocked

Un utilisateur tente d’établir une relation de synchronisation avec un site à partir d’un ordinateur qui n’est pas membre du domaine de votre organisation, ou qui est membre d’un domaine qui n’a pas été ajouté à la liste de domaines (liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation. La relation de synchronisation n’est pas autorisée. Par ailleurs, la synchronisation, le téléchargement et le chargement de fichiers dans une bibliothèque de documents sont bloqués sur l’ordinateur.

Pour plus d’informations sur cette fonctionnalité, voir Utilisation des applets de commande Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.

Fichiers téléchargés sur l’ordinateur

FileSyncDownloadedFull

Un utilisateur établit une relation de synchronisation et télécharge des fichiers pour la première fois sur son ordinateur à partir d’une bibliothèque de documents.

Modifications du fichier téléchargées sur l’ordinateur

FileSyncDownloadedPartial

Un utilisateur télécharge des modifications apportées à des fichiers à partir d’une bibliothèque de documents. Cette activité indique que les modifications apportées à des fichiers dans la bibliothèque de documents ont été téléchargées sur l’ordinateur de l’utilisateur. Seules les modifications ont été téléchargées, car la bibliothèque de documents a été téléchargée précédemment par l’utilisateur (comme indiqué par l’activité Fichiers téléchargés sur l’ordinateur).

Fichiers téléchargés dans la bibliothèque de documents

FileSyncUploadedFull

Un utilisateur établit une relation de synchronisation et charge des fichiers pour la première fois à partir de son ordinateur dans une bibliothèque de documents.

Modifications du fichier téléchargées dans la bibliothèque de documents

FileSyncUploadedPartial

Un utilisateur charge des modifications apportées à des fichiers dans une bibliothèque de documents. Cet événement indique que les modifications apportées à la version locale d’un fichier à partir d’une bibliothèque de documents sont correctement chargées dans la bibliothèque de documents. Seules les modifications sont chargées, car ces fichiers ont été précédemment chargés par l’utilisateur (comme indiqué par l’activité Fichiers téléchargés dans la bibliothèque de documents).

Revenir au début

Activités d’administration des sites

Le tableau suivant répertorie les événements résultant des tâches d’administration des sites dans SharePoint Online.

Nom convivial

Opération

Description

Agent utilisateur exempté modifié

ExemptUserAgentSet

Un administrateur général ajoute un agent utilisateur à la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint.

Administrateur de collection de site ajouté

SiteCollectionAdminAdded

Un administrateur ou propriétaire de collection de sites ajoute une personne en tant qu’administrateur de collection de sites pour un site. Les administrateurs de collection de sites disposent d’autorisations de contrôle total pour la collection de sites et tous les sous-sites.

Utilisateur ou groupe ajouté au groupe SharePoint

AddedToGroup

Un utilisateur a ajouté un membre ou un invité à un groupe SharePoint. Il s’agit peut-être d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement de partage).

Utilisateur autorisé à créer des groupes

AllowGroupCreationSet

Un administrateur ou propriétaire de site ajoute un niveau d’autorisation à un site qui permet à un utilisateur auquel cette autorisation est octroyée de créer un groupe pour ce site.

Agents utilisateurs exemptés modifiés

CustomizeExemptUsers

Un administrateur général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous voulez exempter de la réception d’une page web entière à indexer. Par conséquent, quand un agent utilisateur que vous avez spécifié comme exempté rencontre un formulaire InfoPath, celui-ci est renvoyé sous la forme d’un fichier XML, plutôt que d’une page web entière. Cela permet d’accélérer l’indexation des formulaires InfoPath.

Modification d’une stratégie de partage

SharingPolicyChanged

Un administrateur a modifié une stratégie de partage SharePoint à l’aide du portail d’administration Office 365, du portail d’administration SharePoint ou de SharePoint Online Management Shell. Les modifications apportées aux paramètres de la stratégie de partage de votre organisation sont enregistrées. La stratégie modifiée est identifiée dans la propriété de champ ModifiedProperty lorsque vous exportez les résultats de recherche.

Groupe créé

GroupAdded

Un administrateur ou propriétaire de site crée un groupe pour un site ou effectue une tâche à l’origine de la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive Entreprise de l’utilisateur. Cet événement peut également être le résultat de la création par un utilisateur d’un lien avec des autorisations de modification sur un fichier partagé.

Connexion Envoyé à créée

SendToConnectionAdded

Un administrateur général crée une nouvelle connexion Envoyé à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint. Une connexion Envoyé à spécifie les paramètres d’un référentiel de documents ou d’un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut soumettre des documents à l’emplacement spécifié.

Collection de sites créée

SiteCollectionCreated

Un administrateur général crée une nouvelle collection de sites dans votre organisation SharePoint Online.

Groupe supprimé

GroupRemoved

Un utilisateur supprime un groupe d’un site.

Connexion Envoyé à supprimée

SendToConnectionRemoved

Un administrateur général supprime une connexion Envoyé à sur la page de gestion des enregistrements dans le Centre d’administration SharePoint.

Site supprimé

SiteDeleted

L’administrateur de site supprime un site.

Aperçu du document activé

PreviewModeEnabledSet

Un administrateur de site active l’aperçu des documents pour un site.

Flux de travail hérité activé

LegacyWorkflowEnabledSet

Un administrateur ou propriétaire de site ajoute le type de contenu Tâche de flux de travail SharePoint2013 au site. Des administrateurs généraux peuvent également activer des flux de travail pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.

Office à la demande activé

OfficeOnDemandSet

Un administrateur de site active Office à la demande. Cela permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. Office à la demande est activé dans le Centre d’administration SharePoint et nécessite un abonnement Office 365 incluant les logiciels Office complets installés.

Flux RSS activés

NewsFeedEnabledSet

Un administrateur ou propriétaire de site active les flux RSS pour un site. Des administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.

Autorisations de site modifiées

SitePermissionsModified

Un administrateur ou propriétaire de site (ou compte système) modifie le niveau d’autorisation affecté à un groupe sur un site. Cette activité est également enregistrée si toutes les autorisations sont supprimées d’un groupe.

Remarque : Cette opération est déconseillée dans SharePoint Online. Pour rechercher des événements connexes, vous pouvez rechercher d’autres activités liées à une autorisation, telles que Administrateur de collection de sites ajoutée, Utilisateur ou groupe ajouté à un groupe SharePoint, Utilisateur autorisé à créer des groupes, Groupe créé et Groupe supprimé.

Utilisateur ou groupe supprimé du groupe SharePoint

RemovedFromGroup

Un utilisateur a supprimé un membre ou un invité d’un groupe SharePoint. Il peut s’agir d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement d’annulation de partage).

Site renommé

SiteRenamed

Un administrateur ou propriétaire de site renomme un site.

Autorisations d’administrateur de site demandées

SiteAdminChangeRequest

Un utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites. Les administrateurs de collection de sites disposent d’autorisations de contrôle total pour la collection de sites et tous les sous-sites.

Site hôte défini

HostSiteSet

Un administrateur général modifie le site désigné pour l’hébergement des sites personnels ou OneDrive Entreprise.

Groupe mis à jour

GroupUpdated

Un administrateur ou propriétaire de site modifie les paramètres d’un groupe pour un site. Cela peut inclure la modification du nom du groupe, des autorisations d’affichage ou de modification d’appartenance au groupe, et du mode de gestion des demandes d’appartenance.

Revenir au début

Activités de la boîte aux lettres Exchange

Le tableau suivant répertorie les activités qui peuvent être enregistrées par la journalisation d’audit de boîte aux lettres. Les activités de boîte aux lettres effectuées par le propriétaire de la boîte aux lettres, un utilisateur délégué ou un administrateur sont consignées. Par défaut, l’audit de la boîte aux lettres n’est pas activé dans Office 365. La journalisation d’audit de la boîte aux lettres doit être activée pour chaque boîte aux lettres pour que l’activité de celle-ci soit enregistrée. Pour plus d’informations, voir Activer l’audit de boîte aux lettres dans Office 365.

Nom convivial

Opération

Description

Messages copiés vers un autre dossier

Copy

Un message a été copié vers un autre dossier.

Messages créés ou reçus

Create

Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création du message ou dossier n’est pas auditée.

Messages supprimés du dossier Éléments supprimés

SoftDelete

Un message a été supprimé, définitivement ou non, du dossier Éléments supprimés. Ces éléments sont déplacés vers le dossier Éléments récupérables. Les messages sont également déplacés vers le dossier Éléments récupérables quand un utilisateur les sélectionne et appuie sur Maj+Suppr.

Messages déplacés vers un autre dossier

Move

Un message a été déplacé vers un autre dossier.

Messages déplacés vers le dossier Éléments supprimés

MoveToDeletedItems

Un message a été supprimé et déplacé vers le dossier Éléments supprimés.

Messages supprimés définitivement de la boîte aux lettres

HardDelete

Un courrier a été supprimé définitivement du dossier Éléments récupérables (supprimé définitivement de la boîte aux lettres).

Message envoyé à l’aide d’autorisations Envoyer en tant que

SendAs

Un courrier a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cela signifie qu’un autre utilisateur a envoyé le courrier comme s’il provenait du propriétaire de la boîte aux lettres.

Message envoyé à l’aide d’autorisations Envoyer de la part de

SendOnBehalf

Un courrier a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le courrier de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le courrier a été envoyé et qui a réellement envoyé le courrier.

Message mis à jour

Update

Un message (ou ses propriétés) a été modifié.

Utilisateur connecté à la boîte aux lettres

MailboxLogin

L’utilisateur s’est connecté à sa boîte aux lettres.

Revenir au début

Activités liées au Sway

Le tableau suivant répertorie les activités utilisateur et administrateur dans Sway. Sway est une application Office 365 qui permet aux utilisateurs de collecter, de mettre en forme et de partager des idées, des récits et des présentations dans un panneau web interactif. Pour plus d’informations, voir Forum aux questions sur Sway – Aide pour l’administrateur.

Nom convivial

Opération

Description

Niveau de partage du Sway modifié

SwayChangeShareLevel

Un utilisateur modifie le niveau de partage d’un Sway. Cet événement capture la modification par l’utilisateur de l’étendue du partage associé à un Sway (par exemple, public ou à l’intérieur de l’organisation).

Sway créé

SwayCreate

Un utilisateur crée un Sway.

Sway supprimé

SwayDelete

Un utilisateur supprime un Sway.

Duplication du Sway désactivée

SwayDisableDuplication

Un utilisateur désactive la duplication d’un Sway.

Sway dupliqué

SwayDuplicate

Un utilisateur duplique un Sway.

Sway modifié

SwayEdit

Un utilisateur modifie un Sway.

Duplication du Sway activée

EnableDuplication

Un utilisateur autorise la duplication d’un Sway. La possibilité pour un utilisateur d’autoriser la duplication d’un Sway est activée par défaut.

Révocation du partage du Sway

SwayRevokeShare

Un utilisateur cesse de partager un Sway en révoquant l’accès à celui-ci. La révocation de l’accès modifie les liens associés à un Sway.

Sway partagé

SwayShare

Un utilisateur a l’intention de partager un Sway. Cet événement capture l’action de l’utilisateur cliquant sur une destination de partage spécifique dans le menu de partage de Sway. L’événement n’indique pas si l’utilisateur a terminé l’action de partage.

Désactivation du partage externe du Sway

SwayExternalSharingOff

Un administrateur désactive le partage externe des Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Activation du partage externe du Sway

SwayExternalSharingOn

Un administrateur active le partage externe des Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Désactivation du service Sway

SwayServiceOff

Un administrateur désactive Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Activation du service Sway

SwayServiceOn

Un administrateur active Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365 (le service Sway est activé par défaut).

Sway affiché

SwayView

Un utilisateur affiche un Sway.

Revenir au début

Activités d’administration des utilisateurs

Le tableau suivant répertorie les activités d’administration des utilisateurs enregistrées quand un administrateur ajoute ou modifie un compte d’utilisateur via le Centre d’administration Office 365 ou le portail de gestion Azure.

Activité

Opération

Description

Utilisateur ajouté

Ajouter un utilisateur

Un compte d’utilisateur Office 365 a été créé.

Licence utilisateur modifiée

Change user license

La licence attribuée à un utilisateur a été modifiée. Pour identifier les licences modifiées, voir l’activité Utilisateur mis à jour correspondante.

Mot de passe utilisateur modifié

Change user password

Un administrateur a modifié le mot de passe d’un utilisateur.

Utilisateur supprimé

Delete user

Un compte d’utilisateur Office 365 a été supprimé.

Mot de passe utilisateur réinitialisé

Reset user password

Un administrateur a réinitialisé le mot de passe d’un utilisateur.

Propriété définie qui force l’utilisateur à changer de mot de passe.

Set force change user password

Un administrateur a défini la propriété qui force un utilisateur à modifier son mot de passe lors de sa prochaine connexion à Office 365.

Propriétés de licence définies

Propriétés de licence définies

Un administrateur modifie les propriétés d’une licence attribuée à un utilisateur.

Utilisateur mis à jour

Update user

Un administrateur modifie une ou plusieurs propriétés d’un compte d’utilisateur. Pour obtenir la liste des propriétés utilisateur qui peuvent être mises à jour, voir la section « Mettre à jour l’utilisateur » dans Événements de rapport d’audit d’Azure Active Directory.

Revenir au début

Activités d’administration des groupes Azure AD

Le tableau suivant répertorie les activités d’administration des groupes enregistrées quand un administrateur ou un utilisateur crée ou modifie un groupe Office 365 via le Centre d’administration Office 365 ou le portail de gestion Azure. Pour plus d’informations sur les groupes dans Office 365, voir Afficher, créer et supprimer des groupes dans le Centre d’administration Office 365.

Nom convivial

Opération

Description

Groupe ajouté

Add group

Un groupe a été créé.

Membre ajouté au groupe

Add member to group

Un membre a été ajouté à un groupe.

Groupe supprimé

Delete group

Un groupe a été supprimé.

Membre supprimé du groupe

Remove member from group

Un membre a été supprimé d’un groupe.

Groupe mis à jour

Update group

Une propriété d’un groupe a été modifiée.

Revenir au début

Activités d’administration des applications

Le tableau suivant répertorie les activités d’administration des applications enregistrées quand un administrateur ajoute ou modifie une application inscrite dans Azure AD. Les applications qui utilisent Azure AD pour l’authentification doivent être inscrites dans l’annuaire.

Nom convivial

Opération

Description

Entrée de délégation ajoutée

Add delegation entry

Une autorisation d’authentification a été créée/accordée à une application dans Azure AD.

Principal de service ajouté

Add service principal

Une application a été inscrite dans Azure AD. Une application est représentée par un principal de service dans l’annuaire.

Informations d’identification ajoutées à un principal de service

Add service principal credentials

Des informations d’identification ont été ajoutées à un principal de service dans Azure AD. Un principal de service représente une application dans l’annuaire.

Entrée de délégation supprimée

Remove delegation entry

Une autorisation d’authentification a été supprimée d’une application dans Azure AD.

Principal de service supprimé de l’annuaire

Remove service principal

Une application a été supprimée ou désinscrite de Azure AD. Une application est représentée par un principal de service dans l’annuaire.

Les informations d’identification ont été supprimées du principal de service

Remove service principal credentials

Des informations d’identification ont été supprimées d’un principal de service dans Azure AD. Un principal de service représente une application dans l’annuaire.

Entrée de délégation définie

Set delegation entry

Une autorisation d’authentification a été mise à jour pour une application dans Azure AD.

Revenir au début

Activités d’administration des rôles

Le tableau suivant répertorie les activités d’administration des rôles Azure AD journalisées quand un administrateur gère les rôles d’administrateur via le Centre d’administration Office 365 ou le portail de gestion Azure.

Nom convivial

Opération

Description

Membre ajouté au rôle

Add role member to role

Un utilisateur a été ajouté à un rôle d’administrateur dans Office 365.

Utilisateur supprimé d’un rôle d’annuaire

Remove role member from role

Un utilisateur a été supprimé d’un rôle d’administrateur dans Office 365.

Informations de contact de l’entreprise définies

Set company contact information

Les préférences de contact au niveau de l’entreprise ont été mises à jour pour votre organisation Office 365. Cela inclut les adresses de courrier pour les courriers liés à un abonnement envoyés par Office 365, ainsi que les notifications techniques relatives aux services Office 365.

Revenir au début

Activités d’administration de l’annuaire

Le tableau suivant répertorie les activités liées à l’annuaire et au domaine Azure AD journalisées quand un administrateur gère son organisation Office 365 via la Centre d’administration Office 365 ou le portail de gestion Azure.

Nom convivial

Opération

Description

Domaine ajouté à l’entreprise

Add domain to company

Un domaine a été ajouté à votre organisation Office 365.

Partenaire ajouté à l’annuaire

Add partner to company

Un partenaire (administrateur délégué) a été ajouté à votre organisation Office 365.

Domaine supprimé de l’entreprise

Remove domain from company

Un domaine a été supprimé de votre organisation Office 365.

Partenaire supprimé de l’annuaire

Remove partner from company

Un partenaire (administrateur délégué) a été supprimé de votre organisation Office 365.

Informations de l’entreprise définies

Set company information

Les informations de l’entreprise ont été mises à jour pour votre organisation Office 365. Cela inclut les adresses de courrier pour les courriers liés à un abonnement envoyés par Office 365, ainsi que les notifications techniques relatives aux services Office 365.

Authentification de domaine définie

Set domain authentication

Le paramètre d’authentification de domaine a été modifié pour votre organisation Office 365.

Paramètres de fédération mis à jour pour un domaine

Set federation settings on domain

Les paramètres de la fédération (partage externe) ont été modifiés pour votre organisation Office 365.

Stratégie de mot de passe définie

Set password policy

Les contraintes de longueur et de caractères applicables aux mots de passe utilisateur ont été modifiées dans votre organisation Office 365.

Synchronisation Azure AD activée

Set DirSyncEnabled flag on company

La propriété qui active un annuaire pour la synchronisation Azure AD a été définie.

Domaine mis à jour

Update domain

Les paramètres d’un domaine dans votre organisation Office 365 ont été mis à jour.

Domaine vérifié

Verify domain

La propriété d’un domaine par votre organisation a été vérifiée.

Domaine de courrier vérifié par courrier électronique

Verify email verified domain

Une vérification de courrier électronique a été effectuée pour vérifier que votre organisation est propriétaire d’un domaine.

Revenir au début

Activités de découverte électronique

Les activités liées à la recherche de contenu et la découverte électronique effectuées dans Centre de sécurité et conformité Office 365 ou via l’exécution des cmdlets Windows PowerShell correspondantes sont enregistrées dans le journal d’audit Office 365. Cela inclut les activités suivantes :

  • création et gestion des cas de découverte électronique ;

  • création, démarrage et modification des recherches de contenu ;

  • exécution des actions de recherche de contenu, telles que l’aperçu, l’exportation et la suppression des résultats de recherche ;

  • configuration des autorisations de filtrage de la recherche de contenu ;

  • gestion du rôle d’administrateur eDiscovery.

Pour consulter la liste et une description détaillée des activités de découverte électronique enregistrées, voir Rechercher les activités de découverte électronique dans le journal d’audit Office 365.

Revenir au début

Activités dans Power BI

Le tableau suivant répertorie les activités utilisateur et administrateur dans Power BI, qui sont enregistrées dans le journal d’audit Office 365.

Nom convivial

Opération

Description

Ajout de membres à un groupe Power BI

AddGroupMembers

Un membre est ajouté à un espace de travail de groupe Power BI.

Jeu de données Power BI analysé

AnalyzedByExternalApplication

Un jeu de données est analysé par une application externe.

Création de tableau de bord Power BI

CreateDashboard

Un tableau de bord est créé.

Création de groupe Power BI

CreateGroup

Un groupe est créé.

Création d’un pack de contenu Power BI d’organisation

CreateOrgApp

Un pack de contenu d’organisation est créé.

Suppression de tableau de bord Power BI

DeleteDashboard

Un tableau de bord est supprimé.

Suppression de jeux de données Power BI

DeleteDataset

Un jeu de données est supprimé.

Suppression de rapport Power BI

DeleteReport

Un rapport est supprimé.

Téléchargement de rapport Power BI

DownloadReport

Un utilisateur télécharge un rapport Power BI à partir du service sur son ordinateur.

Modification de tableau de bord Power BI

EditDashboard

Un tableau de bord est renommé.

Export de données visuelles de rapport Power BI

ExportReport

Des données sont exportées à partir d’une vignette de rapport.

Export de données de vignette Power BI

ExportTile

Des données sont exportées à partir d’une vignette de tableau de bord.

Impression de tableau de bord Power BI

PrintDashboard

Un tableau de bord est imprimé.

Impression de page de rapport Power BI

PrintReport

Un rapport est imprimé.

Publication de rapport Power BI sur le web

PublishToWebReport

Un rapport est publié sur le web.

Partage de tableau de bord Power BI

ShareDashboard

Un tableau de bord est partagé.

Démarrage de la version d’évaluation de Power BI

OptInForProTrial

Un utilisateur commence un abonnement à la version d’évaluation de Power BI Pro.

Paramètres Power BI de l’organisation mis à jour

UpdatedAdminFeatureSwitch

Un administrateur a modifié un paramètre de l’organisation dans le Portail d’administration Power BI.

Affichage de tableau de bord Power BI

ViewDashboard

Un tableau de bord est affiché.

Affichage de rapport Power BI

ViewReport

Un rapport est affiché.

Revenir au début

Activités dans Teams Microsoft

Le tableau suivant répertorie les activités utilisateur et administrateur dans Office 365 qui sont enregistrées dans le journal d’audit Microsoft Teams. Microsoft Teams est un espace de travail basé sur la conversation instantanée dans Office 365. Il rassemble les conversations, réunions, fichiers et notes d’une équipe dans un emplacement unique. Pour plus d’informations et des liens vers des rubriques d’aide, voir :

Nom convivial

Opération

Description

Robot ajouté à une équipe

BotAddedToTeam

Un utilisateur ajoute un robot à une équipe.

Canal ajouté

ChannelAdded

Un utilisateur ajoute un canal à une équipe.

Connecteur ajouté

ConnectorAdded

Un utilisateur ajoute un connecteur à un canal.

Onglet ajouté

TabAdded

Un utilisateur ajoute un onglet à un canal.

Paramètre modifié (ancien)

SettingChanged

L’utilisation de l’opération SettingChanged sera déconseillée très prochainement. Cette opération a été consignée lorsque les paramètres de canal, d’organisation et d’équipe ont été modifiés.

Veuillez utiliser les activités Paramètre de canal modifié, Paramètre d’organisation modifié et Paramètre d’équipe modifié pour rechercher des événements qui ont été précédemment consignés lorsque vous avez recherché l’opération SettingChanged dans le journal d’audit.

Paramètre de canal modifié

ChannelSettingChanged

L’opération ChannelSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Modifie le nom d’un canal d’équipe (Channel name).

  • Modifie la description d’un canal d’équipe (Channel description).

Paramètre d’organisation modifié

OrganizationSettingChanged

L’opération OrganizationSettingChanged est consignée lorsque les activités suivantes sont effectuées par un administrateur général (à l’aide du Centre d’administration Office 365). Notez que ces activités affectent les paramètres de Microsoft Teams à l’échelle de l’organisation. Pour plus d’informations, voir Paramètres de l’administrateur de Microsoft Teams.

Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Active ou désactive Microsoft Teams pour l’organisation (Microsoft Teams).

  • Active ou désactive l’interopérabilité entre Microsoft Teams et Skype Entreprise pour l’organisation (Skype Entreprise interoperability).

  • Active ou désactive l’affichage de l’organigramme dans les clients Microsoft Teams (Org chart view).

  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions privées (Private meeting scheduling).

  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions de canal (Private meeting scheduling).

  • Active ou désactive les appels vidéo pendant les réunions d’équipes (Video for Skype meetings).

  • Active ou désactive l’écran de partage pendant les rencontres Microsoft Teams pour l’organisation (Screen sharing for Skype meetings).

  • Active ou désactive la possibilité d’ajouter des images animées (appelées Giphys) aux conversations d’équipe (Animated images).

  • Modifie le paramètre d’évaluation du contenu pour l’organisation (Content rating).

    L’évaluation du contenu restreint les types d’images animées qui peuvent être affichés dans les conversations.

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images personnalisables (appelées mèmes personnalisés) à partir d’Internet aux conversations d’équipe (Customizable images from the Internet).

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images modifiables (appelées autocollants) aux conversations d’équipe (images modifiables).

  • Active ou désactive la possibilité pour les membres de l’équipe d’utiliser des robots dans les conversations et canaux Microsoft Teams (Org-wide bots).

  • Active les robots spécifiques pour Microsoft Teams. Cela n’inclut pas T-Bot qui est le robot d’assistance de Teams disponible lorsque les robots sont activés pour l’organisation (Individual bots).

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des extensions ou des onglets (Extensions or tabs).

  • Active ou désactive le chargement latéral des robots propriétaires pour Microsoft Teams (Side loading of Bots).

  • Active ou désactive la possibilité pour les utilisateurs d’envoyer du courrier électronique à un canal Microsoft Teams (Channel email).

Paramètre d’équipe modifié

TeamSettingChanged

L’opération TeamSettingChanged est consignée lorsque les activités suivantes sont effectuées par un administrateur de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Modifie le type d’accès pour une équipe. Les équipes peuvent être définies comme publiques ou privées (Team access type).

    Quand une équipe est privée (paramètre par défaut), les utilisateurs ne peuvent ne peuvent y accéder que sur invitation. Quand une équipe est publique, n’importe qui peut la trouver.

  • Modifie la classification des informations d’une équipe (Team classification).

    Par exemple, les données d’une équipe peuvent classifiées comme ayant un impact élevé, moyen ou faible sur l’activité.

  • Modifie le nom d’une équipe (Team name).

  • Modifie la description de l’équipe (Team description).

Équipe créée

TeamCreated

Un utilisateur crée une équipe.

Canal supprimé

ChannelDeleted

Un utilisateur supprime un canal d’une équipe.

Équipe supprimée

TeamDeleted 

Un administrateur d’équipe supprime une équipe.

Robot supprimé l’équipe

BotRemovedFromTeam

Un utilisateur supprime un robot d’une d’une équipe.

Connecteur supprimé

ConnectorRemoved

Un utilisateur supprime un connecteur d’un canal.

Onglet supprimé

TabRemoved

Un utilisateur supprime un onglet d’un canal.

Utilisateur connecté à Teams

TeamsSessionStarted

Un utilisateur se connecte à un client Microsoft Teams.

Revenir au début

Activités dans Yammer

Le tableau suivant répertorie les activités utilisateur et administrateur dans Yammer qui sont enregistrées dans le journal d’audit Office 365. Pour renvoyer des activités liées à Yammer du journal d’audit Office 365, vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités. Pour limiter les résultats de la recherche, utilisez les zones des plages de dates et la liste Utilisateurs.

Nom convivial

Opération

Description

Modification d’une stratégie de rétention des données

SoftDeleteSettingsUpdated

Un administrateur vérifié met à jour le paramètre de stratégie de rétention des données de réseau en vue d’une suppression définitive ou réversible. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Modification de configuration réseau

NetworkConfigurationUpdated

Un administrateur réseau ou vérifié modifie la configuration du réseau Yammer. Cela inclut la définition d’un intervalle pour l’exportation de données et l’activation de la conversation instantanée.

Modification des paramètres de profil réseau

ProcessProfileFields

Un administrateur réseau ou vérifié modifie les informations qui apparaissent sur les profils de membre des utilisateurs du réseau.

Modification du mode Contenu privé

SupervisorAdminToggled

Un administrateur vérifié active ou désactive le mode Contenu privé. Ce mode permet à un administrateur d’afficher les publications dans des groupes privés et les messages privés entre utilisateurs individuels (ou groupes d’utilisateurs). Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Modification de la configuration de la sécurité

NetworkSecurityConfigurationUpdated

Un administrateur vérifié met à jour la configuration de sécurité du réseau Yammer. Cela inclut la définition des stratégies d’expiration de mot de passe et les restrictions d’adresses IP. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Création de fichier

FileCreated

Un utilisateur charge un fichier.

Groupe créé

GroupCreation

Un utilisateur crée un groupe.

Groupe supprimé

GroupDeletion

Un groupe est supprimé de Yammer.

Message supprimé

MessageDeleted

Un utilisateur supprime un message.

Fichier téléchargé

FileDownloaded

Un utilisateur télécharge un fichier.

Données exportées

DataExport

Un administrateur vérifié exporte des données de réseau Yammer. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Partage de fichier

FileShared

Un utilisateur partage un fichier avec un autre utilisateur.

Suspension d’un utilisateur du réseau

NetworkUserSuspended

Un administrateur réseau ou vérifié suspend (désactive) un utilisateur de Yammer.

Utilisateur suspendu

UserSuspension

Un compte d’utilisateur est suspendu (désactivé).

Mise à jour de la description d’un fichier

FileUpdateDescription

Un utilisateur modifie la description d’un fichier.

Mise à jour d’un nom de fichier

FileUpdateName

Un utilisateur modifie le nom d’un fichier.

Affichage d’un fichier

FileVisited

Un utilisateur affiche un fichier.

Revenir au début

Journal d’audit de l’administrateur Exchange

La journalisation d’audit de l’administrateur Exchange (activée par défaut dans Office 365) enregistre un événement dans le journal d’audit Office 365 quand un administrateur (ou un utilisateur auquel des autorisations d’administration ont été attribuées) apporte une modification dans votre organisation Exchange Online. Les modifications apportées via le Centre d’administration Exchange ou en exécutant une applet de commande dans Windows PowerShell sont enregistrées dans le journal d’audit de l’administrateur Exchange. Pour plus d’informations sur la journalisation d’audit de l’administrateur dans Exchange, voir Journalisation d’audit de l’administrateur. Voici quelques conseils concernant la recherche d’activités dans le journal d’audit de l’administrateur Exchange :

  • Pour renvoyer des entrées du journal d’audit de l’administrateur Exchange, vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités. Pour limiter les résultats de recherche des applets de commande exécutées par un administrateur Exchange spécifique à une plage de dates déterminée, utilisez les zones des plages de dates et la liste Utilisateurs.

  • Pour afficher des événements du journal d’audit de l’administrateur Exchange, filtrez les résultats de recherche et tapez un (tiret) dans la zone de filtre Activité. Cela permet d’afficher le nom des cmdlets qui figurent dans la colonne Activité des événements d’administrateur Exchange. Vous pouvez ensuite trier les noms de cmdlet par ordre alphabétique.

    Tapez un tiret dans le champ Activités pour filtrer les événements Admin d’Exchange
  • Pour obtenir des informations sur les cmdlets exécutées, les paramètres et valeurs de paramètres utilisés et les objets affectés, vous devez exporter les résultats de recherche et sélectionner l’option Télécharger tous les résultats.

Revenir au début

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×