Office
Se connecter

Effectuer des recherches dans le journal d’audit dans le Centre de sécurité et conformité Office 365

Remarque : Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Vous avez besoin de déterminer si un utilisateur a consulté un document spécifique ou supprimé définitivement un élément de sa boîte aux lettres ? Dans ce cas, vous pouvez utiliser le Centre de sécurité et conformité Office 365 pour effectuer des recherches dans le journal d’audit unifié et suivre les activités utilisateur et administrateur au sein de votre organisation Office 365. Pourquoi un journal d’audit unifié ? Parce qu’il vous permet de rechercher les types suivants d’activités utilisateur et administrateur dans Office 365 :

  • activité utilisateur dans SharePoint Online et OneDrive Entreprise ;

  • activité utilisateur dans Exchange Online (enregistrement d’audit de boîte aux lettres Exchange) ;

    Important : Pour que l’activité utilisateur dans Exchange Online soit enregistrée, l’enregistrement d’audit de boîte aux lettres doit être activé pour chaque boîte aux lettres utilisateur. Pour plus d’informations, voir Activer l’audit de boîte aux lettres dans Office 365.

  • activité administrateur dans SharePoint Online ;

  • activité administrateur dans Azure Active Directory (service d’annuaire pour Office 365) ;

  • activité administrateur dans Exchange Online (journalisation d’audit de l’administrateur Exchange) ;

  • activités utilisateur et administrateur dans Sway.

  • activités de découverte électronique dans la Centre de sécurité et conformité Office 365

  • activités utilisateur et administrateur dans Power BI pour Office 365

  • activités utilisateur et administrateur dans Microsoft Teams ;

  • activités utilisateur et administrateur dans Yammer.

  • Activité utilisateur et d’administration dans Microsoft Stream

Contenu

Avant de commencer

Effectuer une recherche dans le journal d’audit

Activités auditées

Avant de commencer

Avant de commencer à effectuer une recherche dans le journal d’audit d’Office 365, veillez à lire ce qui suit.

  • Vous (ou un autre administrateur) devez activer la journalisation d’audit avant d’effectuer des recherches dans le journal d’audit Office 365. Pour cela, cliquez sur Commencer à enregistrer les activités utilisateur et administrateur sur la page Recherche dans le journal d’audit du Centre de sécurité et conformité (si ce lien n’apparaît pas, cela signifie que l’audit est déjà été activé pour votre organisation). Une fois l’audit activé, un message s’affiche, indiquant que le journal d’audit est en cours de préparation et que vous pourrez effectuer une recherche dans quelques heures, lorsque la préparation sera terminée. Vous ne devez effectuer cette opération qu’une seule fois.

    Remarque : Nous effectuons la procédure nécessaire pour activer l’audit par défaut. En attendant, vous pouvez l’activer en suivant la procédure décrite précédemment.

  • Pour pouvoir effectuer des recherches dans le journal d’audit d’Office 365, vous devez avoir le rôle Journaux d’audit en affichage seul ou Journaux d’audit dans Exchange Online. Par défaut, ces rôles sont affectés aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations du Centre d’administration Exchange. Pour permettre à un utilisateur d’effectuer des recherches dans le journal d’audit Office 365 avec le niveau minimal de privilèges, vous pouvez créer un groupe de rôles personnalisé dans Exchange Online, ajouter le rôle Journaux d’audit en affichage seul ou Journaux d’audit, puis ajouter l’utilisateur en tant que membre du nouveau groupe de rôles. Pour plus d’informations, voir Gérer des groupes de rôles.

    Important : Si vous affectez le rôle Journaux d’audit en affichage seul ou Journaux d’audit à un utilisateur via la page Autorisations du Centre de sécurité et conformité, cet utilisateur ne peut pas effectuer de recherches dans le journal d’audit d’Office 365. Vous devez affecter les autorisations dans Exchange Online. En effet, la cmdlet sous-jacente utilisée pour effectuer une recherche dans le journal d’audit est une cmdlet Exchange Online.

  • Si vous souhaitez désactiver la recherche dans le journal d’audit dans Office 365 pour votre organisation, vous pouvez exécuter la commande suivante dans une session Remote PowerShell connectée à votre organisation Exchange Online :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Pour réactiver la recherche d’audit, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Pour plus d’informations, voir Désactiver la recherche dans le journal d’audit dans Office 365.

  • Comme indiqué précédemment, la cmdlet sous-jacente utilisée pour effectuer une recherche dans le journal d’audit est une cmdlet Exchange Online, à savoir Search-UnifiedAuditLog. Cela signifie que vous pouvez utiliser cette cmdlet pour effectuer une recherche dans le journal d’audit Office 365 au lieu d’utiliser la page Recherche dans le journal d’audit du Centre de sécurité et conformité. Vous devez exécuter cette cmdlet dans PowerShell distant connecté à votre organisation Exchange Online. Pour plus d’informations, voir Search-UnifiedAuditLog.

  • Si vous voulez télécharger par programme les données du journal d’audit Office 365, nous recommandons d’utiliser l’API de gestion des activités Office 365 au lieu d’utiliser un script PowerShell. L’API de gestion des activités Office 365 est un service web REST que vous pouvez utiliser pour développer des solutions d’exploitation, de sécurité et de contrôle de la conformité pour votre organisation. Pour plus d’informations, voir Référence de l’API d’activité de gestion d’Office 365.

  • Vous pouvez rechercher les activités effectuées au cours des 90 derniers jours dans le journal d’audit Office 365.

  • Après la survenue d’un événement, l’apparition de l’entrée de journal d’audit correspondante dans les résultats de la recherche peut prendre jusqu’à 30 minutes, voir 24 heures. Le tableau suivant répertorie les délais en fonction des services dans Office 365.

    Service Office 365

    30 minutes

    24 heures

    Azure Active Directory (événements d’administrateurs)

    Coche

    Azure Active Directory (événements de connexion des utilisateurs)

    Coche

    Exchange Online

    Coche

    Microsoft Teams

    Coche

    Power BI

    Coche

    Centre de sécurité et conformité

    Coche

    SharePoint Online et OneDrive Entreprise

    Coche

    Sway

    Coche

    Yammer

    Coche

  • Azure Active Directory (Azure AD) est le service d’annuaire pour Office 365. Le journal d’audit unifié contient les activités des utilisateurs, des groupes, des applications, des domaines et des annuaires effectuées dans le Centre d’administration Office 365 ou le portail de gestion Azure. Pour consulter la liste complète des événements Azure AD, voir Événements de rapport d’audit d’Azure Active Directory.

  • Les journaux d’audit Exchange Online sont constitués de deux types d’événements : les événements Admin d’Exchange (actions effectuées par les administrateurs) et les événements de boîte aux lettres (actions effectuées par les utilisateurs des boîtes aux lettres). Notez que l’audit des boîtes aux lettres n’est pas activé par défaut. Il doit être activé pour chaque boîte aux lettres d’utilisateur pour qu’il soit possible de rechercher des événements de boîte aux lettres dans le journal d’audit Office 365. Pour plus d’informations sur l’audit de boîtes aux lettres et les actions d’audit de boîtes aux lettres qui sont enregistrées, voir Activer l’audit de boîte aux lettres dans Office 365.

  • La journalisation d’audit pour Power BI n’est pas activée par défaut. Pour rechercher des activités Power BI dans le journal d’audit Office 365, vous devez activer l’audit dans le portail d’administration Power BI. Pour obtenir des instructions, voir Audit Power BI.

    Revenir au début

Effectuer une recherche dans le journal d’audit

Pour effectuer une recherche dans le journal d’audit dans Office 365, vous devez procéder comme suit.

Étape 1 : effectuer une recherche dans le journal d’audit

Étape 2 : consulter les résultats de la recherche

Étape 3 : filtrer les résultats de la recherche

Étape 4 : exporter les résultats de la recherche dans un fichier

Étape 1 : effectuer une recherche dans le journal d’audit

  1. Accédez à la page https://protection.office.com.

    Conseil : Pour accéder au Centre de sécurité et conformité Office 365, utilisez une session de navigation privée (par opposition à standard), car cela permet d’éviter d’utiliser les informations d’identification à l’aide desquelles vous êtes actuellement connecté. Pour ouvrir une session de navigation InPrivate dans Internet Explorer ou Microsoft Edge, appuyez sur Ctrl+Maj+P. Pour ouvrir une session de navigation privée dans Google Chrome (appelée fenêtre incognito), appuyez sur Ctrl+Maj+N.

  2. Connectez-vous à Office 365 à l’aide de votre compte professionnel ou scolaire.

  3. Dans le volet gauche du Centre de sécurité et conformité, cliquez sur Recherches et examens, puis cliquez sur Recherche dans le journal d’audit.

    La page Recherche dans le journal d’audit s’affiche.

    Configurez des critères, puis cliquez sur Rechercher pour générer un rapport

    Remarque : Vous devez activer la journalisation d’audit avant d’effectuer une recherche dans le journal d’audit. Si le lien Commencer à enregistrer les activités utilisateur et administrateur apparaît, cliquez dessus pour activer l’audit. Si ce lien n’apparaît pas, l’audit est déjà été activé pour votre organisation.

  4. Configurez les critères de recherche suivants :

    1. Activités   Cliquez sur la liste déroulante pour afficher les activités que vous pouvez rechercher. Les activités utilisateur et administrateur sont organisées au sein de groupes d’activités liées. Vous pouvez sélectionner des activités spécifiques ou cliquer sur le nom d’un groupe d’activités pour sélectionner toutes les activités du groupe. Vous pouvez également cliquer sur une activité sélectionnée pour effacer la sélection. Une fois la recherche terminée, seules les entrées du journal d’audit correspondant aux activités sélectionnées apparaissent. La sélection de l’option Afficher les résultats pour toutes les activités a pour effet de présenter les résultats de toutes les activités effectuées par l’utilisateur ou le groupe d’utilisateurs sélectionnés.

      Plus de 100 activités utilisateur et administrateur sont enregistrées dans le journal d’audit d’Office 365. Cliquez sur l’onglet Activités auditées pour consulter les descriptions de chaque activité pour les différents services Office 365.

    2. Date de début et Date de fin   Les sept derniers jours sont sélectionnés par défaut. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. Les date et heure sont présentées au format UTC (temps universel coordonné). La plage de dates maximale que vous pouvez spécifier est de 90 jours. Une erreur s’affiche si la plage de dates sélectionnée est supérieure à 90 jours.

      Conseil : Si vous utilisez la plage de dates maximale de 90 jours, sélectionnez l’heure actuelle pour l’option Date de début. Dans le cas contraire, un message d’erreur indiquant que la date de début est antérieure à la date de fin apparaît. Si vous avez activé l’audit au cours des 90 derniers jours, la plage de dates maximale ne peut pas commencer avant la date à laquelle l’audit a été activé.

    3. Utilisateurs  Cliquez dans cette zone, puis sélectionnez un ou plusieurs utilisateurs pour lesquels afficher les résultats. Les entrées du journal d’audit pour l’activité sélectionnée effectuée par les utilisateurs que vous sélectionnez dans cette zone apparaissent dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et comptes de service) dans votre organisation.

    4. Fichier ou dossier   Tapez tout ou partie du nom d’un fichier ou dossier pour rechercher les activités liées au fichier ou dossier qui contient le mot clé spécifié. Vous pouvez également spécifier l’URL d’un fichier ou d’un dossier. Si vous utilisez une URL, veillez à entrer l’URL complète. Si vous ne tapez qu’une partie de l’URL, n’incluez aucun caractère spécial ou espace.

      Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers et dossiers dans votre organisation.

  5. Cliquez sur Rechercher pour effectuer la recherche à l’aide de vos critères de recherche.

    Les résultats de la recherche sont chargés, puis affichés sous Résultats quelques instants plus tard. Au terme de la recherche, le nombre de résultats trouvés s’affiche. Notez qu’un maximum de 5 000 événements peut s’afficher dans le volet Résultats, par incréments de 150. Si plus de 5 000 événements correspondent aux critères de recherche, les 5 000 événements les plus récents sont affichés.

    Le nombre de résultats affichés une fois la recherche terminée

Revenir au début

Conseils pour effectuer une recherche dans le journal d’audit

  • Vous pouvez sélectionner des activités spécifiques à rechercher en cliquant sur leur nom. Vous pouvez également rechercher toutes les activités dans un groupe (par exemple, Activités des fichiers et des dossiers) en cliquant sur le nom du groupe. Si une activité est sélectionnée, vous pouvez cliquer dessus pour annuler la sélection. Vous pouvez également utiliser la zone de recherche pour afficher les activités dont le nom contient le mot clé que vous tapez.

    Cliquez sur le nom d’un groupe d’activités pour sélectionner toutes les activités
  • Vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités pour afficher les événements du journal d’audit d’administration Exchange. Les événements consignés dans ce journal d’audit affichent un nom d’applet de commande (par exemple, Set-Mailbox) dans la colonne Activité des résultats. Pour plus d’informations, cliquez sur l’onglet Activités auditées de cette rubrique, puis sur Activités administrateur Exchange.

    De même, certaines activités d’audit n’ont pas d’élément correspondant dans la liste Activités. Si vous connaissez le nom de l’opération correspondant à ces activités, vous pouvez effectuer une recherche sur toutes les activités, puis filtrer les résultats en entrant le nom de l’opération dans la zone de la colonne Activité. Voir l’Étape 3 pour plus d’informations sur le filtrage des résultats.

  • Cliquez sur Effacer pour effacer les critères de recherche actuels. La plage de dates reprend la valeur par défaut des sept derniers jours. Vous pouvez également cliquer sur Effacer tout pour afficher les résultats correspondant à toutes les activités afin d’annuler toutes les activités sélectionnées.

  • Si 5 000 résultats sont trouvés, il est probable que plus de 5 000 événements correspondent aux critères de recherche. Pour renvoyer moins de résultats, vous pouvez affiner les critères de recherche et relancer la recherche. Vous pouvez également exporter tous les résultats de la recherche en sélectionnant Exporter les résultats > Télécharger tous les résultats.

Revenir au début

Étape 2 : consulter les résultats de la recherche

Les résultats d’une recherche dans le journal d’audit apparaissent sous Résultats sur la page Recherche dans le journal d’audit. Comme indiqué précédemment, un maximum de 5 000 événements (les plus récents) peut s’afficher, par incréments de 150. Pour afficher davantage d’événements, vous pouvez utiliser la barre de défilement du volet Résultats ou appuyer sur Maj+Fin afin d’afficher les 150 événements suivants.

Les résultats contiennent les informations suivantes sur chaque événement renvoyé par la recherche.

  • Date    Date et heure (au format UTC) auxquelles l’événement s’est produit.

  • Adresse IP    Adresse IP de l’appareil utilisé lors de l’enregistrement de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.

  • Utilisateur    Utilisateur (ou compte de service) qui a effectué l’action ayant déclenché l’événement.

  • Activité    Activité effectuée par l’utilisateur. Cette valeur correspond aux activités que vous avez sélectionnées dans la zone de liste déroulante Activités. Pour un événement figurant dans le journal d’audit de l’administrateur Exchange, la valeur dans cette colonne est une cmdlet Exchange.

  • Élément    Objet qui a été créé ou modifié suite à l’activité correspondante. Par exemple, fichier consulté ou modifié, ou compte d’utilisateur mis à jour. Certaines activités n’ont pas de valeur dans cette colonne.

  • Détails    Détails supplémentaires sur une activité. Là encore, toutes les activités n’ont pas de valeur.

Conseil : Cliquez sur un en-tête de colonne sous Résultats pour trier les résultats. Vous pouvez trier les résultats par ordre croissant ou décroissant. Cliquez sur l’en-tête Date pour trier les résultats du plus ancien au plus récent, ou du plus récent au plus ancien.

Afficher les détails d’un événement spécifique

Pour afficher des informations supplémentaires sur un événement, cliquez sur son enregistrement dans la liste des résultats de la recherche. La page Détails qui s’affiche contient les propriétés détaillées de l’enregistrement d’événement. Les propriétés affichées dépendent du service Office 365 dans lequel l’événement se produit. Pour afficher ces détails, cliquez sur Informations supplémentaires. Pour obtenir des descriptions, reportez-vous à Propriétés détaillées dans le journal d’audit Office 365.

Cliquez sur Informations supplémentaires pour afficher les propriétés détaillées de l’enregistrement d’événement du journal d’audit

Revenir au début

Étape 3 : filtrer les résultats de la recherche

Vous pouvez également filtrer les résultats d’une recherche dans le journal d’audit. Cette fonctionnalité permet de filtrer rapidement les résultats pour un utilisateur ou une activité spécifique. Vous pouvez créer une recherche large au départ, puis filtrer rapidement les résultats pour afficher des événements spécifiques. Vous pouvez ensuite affiner les critères de recherche, puis relancer la recherche pour renvoyer un jeu de résultats plus petit et concis.

Pour filtrer les résultats :

  1. Effectuez une recherche dans le journal d’audit.

  2. Lorsque les résultats sont affichés, cliquez sur Filtrer les résultats.

    Les zones de mot clé apparaissent sous chaque en-tête de colonne.

  3. Cliquez sur l’une des cases sous un en-tête de colonne et tapez un mot ou une expression, en fonction de la colonne que vous filtrez sur. Les résultats seront dynamiquement Ajustez à nouveau pour afficher les événements qui correspondent à votre filtre.

    Tapez un mot dans le filtre pour afficher les événements correspondant au filtre
  4. Pour effacer un filtre, cliquez sur le X dans la zone de filtre, ou cliquez simplement sur Masquer le filtrage.

Conseil : Pour afficher des événements dans le journal d’audit de l’administrateur Exchange, tapez un (tiret) dans la zone de filtre Activité. Cela permet d’afficher le nom des cmdlets qui figurent dans la colonne Activité des événements d’administrateur Exchange. Vous pouvez ensuite trier les noms de cmdlet par ordre alphabétique.

Revenir au début

Étape 4 : exporter les résultats de la recherche dans un fichier

Vous pouvez exporter les résultats d’une recherche dans le journal d’audit vers un fichier de valeurs séparées par des virgules (.csv) sur votre ordinateur local. Vous pouvez ouvrir ce fichier dans Microsoft Excel et utiliser des fonctionnalités telles que la recherche, le tri, le filtrage et le fractionnement d’une colonne (dont les cellules contiennent plusieurs valeurs) en plusieurs.

  1. Effectuez une recherche dans le journal d’audit, puis modifiez les critères de recherche jusqu’à obtenir les résultats souhaités.

  2. Cliquez sur Exporter les résultats, puis sélectionnez l’une des options suivantes :

    • Enregistrer les résultats chargés    Choisissez cette option pour exporter uniquement les entrées affichées sous Résultats sur la page Recherche dans le journal d’audit. Le fichier .csv téléchargé contient les mêmes colonnes (et données) que celles affichées sur la page (Date, Utilisateur, Activité, Élément et Détails). Une colonne supplémentaire (nommée Autres) contenant d’autres informations de l’entrée du journal d’audit est incluse dans le fichier .csv. Comme vous exportez les mêmes résultats que ceux chargés (et visibles) sur la page Recherche dans le journal d’audit, un maximum de 5 000 entrées est exporté.

    • Télécharger tous les résultats     Sélectionnez cette option pour exporter toutes les entrées du journal d’audit Office 365 qui remplissent les critères de recherche. Pour un grand jeu de résultats de recherche, sélectionnez cette option pour télécharger toutes les entrées du journal d’audit en plus de 5 000 résultats qui peuvent être affichés dans la page d’Audit de recherche dans un journal. Cette option télécharge les données brutes du journal d’audit dans un fichier CSV et contient des informations supplémentaires à partir de l’entrée du journal d’audit dans une colonne nommée AuditData. Il peut prendre plus de temps pour télécharger le fichier si vous choisissez cette option d’exportation, car le fichier peut être beaucoup plus volumineux que celui qui est téléchargé si vous choisissez d’option.

      Important : Vous pouvez télécharger un maximum de 50 000 entrées dans un fichier .csv à partir d’une seule recherche dans le journal d’audit. Si 50 000 résultats sont téléchargés dans le fichier .csv, vous pouvez partir du principe que plus de 50 000 événements remplissent les critères de recherche. Pour exporter davantage de résultats, essayez d’utiliser une plage de dates pour réduire le nombre d’entrées du journal d’audit. Vous devrez peut-être effectuer plusieurs recherches avec des plages de dates plus réduites pour exporter plus de 50 000 entrées.

  3. Une fois que vous avez sélectionné une option d’exportation, un message apparaît en bas de la fenêtre. Il vous invite à ouvrir le fichier .csv, à l’enregistrer dans le dossier Téléchargements ou à l’enregistrer dans un dossier spécifique.

Revenir au début

Informations supplémentaires sur l’exportation des résultats de recherche dans le journal d’audit

  • L’option télécharger tous les résultats télécharge les données brutes à partir du journal d’audit Office 365 vers un fichier CSV. Ce fichier contient les noms de colonne différente (CreationDate, ID utilisateur, opération, AuditData) que le fichier est téléchargé si vous sélectionnez l’option Enregistrer les résultats chargés. Les valeurs dans les deux fichiers CSV différents pour la même activité peuvent également être différents. Par exemple, l’activité dans la colonne Action du CSV de fichiers et peut avoir une valeur différente de la version « conviviale » qui s’affiche dans la colonne activité sur la page de recherche dans un journal d’Audit; par exemple, MailboxLogin ou utilisateur connecté à la boîte aux lettres.

  • Si vous téléchargez tous les résultats, le fichier CSV contient une colonne nommée AuditData, qui contient des informations supplémentaires sur chaque événement. Comme indiqué auparavant, cette colonne contient une propriété à plusieurs valeur pour plusieurs propriétés de l’enregistrement du journal d’audit. Chacune des paires property:value dans cette propriété à plusieurs valeur sont séparées par une virgule. Vous pouvez utiliser Power Query dans Excel pour fractionner cette colonne en plusieurs colonnes de sorte que chaque propriété aura sa propre colonne. Cela vous permettent de trier et filtrer sur un ou plusieurs de ces propriétés. Pour savoir comment procéder, voir la section « Fractionner une colonne par le délimiteur » dans Fractionner une colonne de texte (Power Query).

    Une fois que vous fractionnez la colonne AuditData, vous pouvez filtrer une colonne pour afficher les propriétés détaillées pour un type spécifique d’activité opérations.

  • Il existe une limite de caractères 3,060 pour les données qui sont affiche dans le champ AuditData pour un enregistrement d’audit. Si la limite de caractères 3,060 est dépassée, les données dans ce champ sont tronquées.

  • Lorsque vous téléchargez tous les résultats d’une requête de recherche qui contient des événements appartenant à différents Office 365 services, la colonne AuditData dans le fichier CSV contienne des différentes propriétés selon laquelle l’action de service a été effectuée dans. Par exemple, les entrées des journaux d’audit Exchange et Azure AD incluent une propriété nommée ResultStatus qui indique si l’action a réussi ou non. Cette propriété n’est pas incluse pour les événements dans SharePoint. De même, les événements SharePoint ont une propriété qui identifie le site URL pour les fichiers et dossiers des activités associées. Pour atténuer ce problème, envisagez d’utiliser selon les recherches pour exporter les résultats pour des activités à partir d’un service unique.

    Pour obtenir une description des propriétés qui sont répertoriées dans la colonne AuditData dans le fichier CSV lorsque vous téléchargez tous les résultats et le service chaque une s’applique à, consultez le journal d’audit des propriétés détaillées dans Office 365.

Revenir au début de l’article

Activités auditées

Les tableaux de cette section décrivent les activités auditées dans Office 365. Vous pouvez rechercher ces événements dans le journal d’audit dans le Centre de sécurité et conformité. Pour obtenir des instructions, cliquez sur l’onglet Effectuer une recherche dans le journal d’audit.

Ces tableaux regroupent des activités connexes ou les activités d’un service Office 365 spécifique. Les tableaux incluent le nom convivial affiché dans la liste déroulante Activités et le nom de l’opération correspondante qui apparaît dans les informations détaillées d’un enregistrement d’audit et dans le fichier .csv lorsque vous exportez les résultats de recherche. Pour consulter une description des informations détaillées, voir Propriétés détaillées dans le journal d’audit Office 365.

Pour accéder à un tableau spécifique, cliquez sur l’un des liens suivants.

Activités des fichiers et pages

Activités des dossiers

Activités de demande d’accès et de partage

Activités de synchronisation

Activités d’administration des sites

Activités de la boîte aux lettres Exchange

Activités liées au Sway

Activités d’administration des utilisateurs

Activités d’administration des groupes Azure AD

Activités d’administration des applications

Activités d’administration des rôles

Activités d’administration de l’annuaire

Activités de découverte électronique

Activités dans Power BI

Activités dans Teams Microsoft

Activités dans Yammer

Microsoft Stream

Activités administrateur Exchange

Revenir à la liste d’activités

Activités des fichiers et pages

Le tableau suivant décrit les activités des fichiers et pages dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Fichier consulté

FileAccessed

Le compte d’utilisateur ou système consulte un fichier.

(aucun)

FileAccessedExtended

Cet événement est lié à l’activité « Fichier consulté » (FileAccessed). Un événement FileAccessedExtended est consigné lorsque la même personne accède à un fichier pendant une période prolongée (jusqu’à 3 heures). L’objectif de la journalisation des événements FileAccessedExtended consiste à réduire le nombre d’événements FileAccessed enregistrés lorsqu’un fichier est consulté de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileAccessed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileAccessed initial (plus important).

Fichier archivé

FileCheckedIn

Un utilisateur archive un document qu’il a extrait d’une bibliothèque de documents.

Fichier extrait

FileCheckedOut

Un utilisateur extrait un document d’une bibliothèque de documents. Les utilisateurs peuvent extraire et modifier les documents partagés avec eux.

Fichier copié

FileCopied

Un utilisateur copie un document à partir d’un site. Le fichier copié peut être enregistré dans un autre dossier sur le site.

Fichier supprimé

FileDeleted

Un utilisateur supprime un document d’un site.

Fichier supprimé de la Corbeille

FileDeletedFirstStageRecycleBin

Un utilisateur supprime un fichier de la Corbeille d’un site.

Fichier supprimé de la Corbeille second niveau

FileDeletedSecondStageRecycleBin

Un utilisateur supprime un fichier de la Corbeille second niveau d’un site.

Détection d’un programme malveillant dans le fichier

FileMalwareDetected

Le moteur antivirus de SharePoint détecte un programme malveillant dans un fichier.

Extraction de fichier ignorée

FileCheckOutDiscarded

Un utilisateur ignore (ou annule) un fichier extrait. Les modifications qu’il a apportées au fichier le temps de son extraction sont ignorées et ne sont pas enregistrées dans la version du document dans la bibliothèque de documents.

Fichier téléchargé

FileDownloaded

Un utilisateur télécharge un document à partir d’un site.

Fichier modifié

FileModified

Le compte d’utilisateur ou système modifie le contenu ou les propriétés d’un document sur un site.

(aucun)

FileModifiedExtended

Cet événement est lié à l’activité « Fichier modifié » (FileModified). Un événement FileModifiedExtended est consigné lorsque la même personne modifie un fichier pendant une période prolongée (jusqu’à 3 heures). L’objectif de la journalisation des événements FileModifiedExtended consiste à réduire le nombre d’événements FileModified enregistrés lorsqu’un fichier est modifié de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements FileModified pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement FileModified initial (plus important).

Fichier déplacé

FileMoved

Un utilisateur déplace un document de son emplacement actuel sur un site vers un nouvel emplacement.

Recyclage de toutes les versions mineures du fichier

FileVersionsAllMinorsRecycled

L’utilisateur supprime toutes les versions mineures de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site.

Recyclage de toutes les versions du fichier

FileVersionsAllRecycled

L’utilisateur supprime toutes les versions de l’historique des versions d’un fichier. Les versions supprimées sont déplacées vers la Corbeille du site.

Recyclage d’une version du fichier

FileVersionRecycled

L’utilisateur supprime une version de l’historique des versions d’un fichier. La version supprimée est déplacée vers la Corbeille du site.

Fichier renommé

FileRenamed

Un utilisateur renomme un document sur un site.

Fichier restauré

FileRestored

Un utilisateur restaure un document à partir de la Corbeille d’un site.

Fichier téléchargé

FileUploaded

Un utilisateur charge un document vers un dossier sur un site.

Page affichée

PageViewed

Un utilisateur affiche une page sur un site. Ceci n’inclut pas l’utilisation d’un navigateur web pour afficher les fichiers dans une bibliothèque de documents.

(aucun)

PageViewedExtended

Cet événement est lié à l’activité « Page affichée » (PageViewed). Un événement PageViewedExtended est consigné lorsque la même personne affiche une page web pendant une période prolongée (jusqu’à 3 heures). L’objectif de la journalisation des événements PageViewedExtended consiste à réduire le nombre d’événements PageViewed enregistrés lorsqu’une page est affichée de manière continue. Cela permet de réduire le bruit généré par l’enregistrement de plusieurs événements PageViewed pour ce qui est en fait l’activité d’un seul et même utilisateur et vous permettre de vous concentrer sur l’événement PageViewed initial (plus important).

Revenir à la liste d’activités

Activités des dossiers

Le tableau suivant décrit les activités des dossiers dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Dossier copié

FolderCopied

Un utilisateur copie un dossier à partir d’un site vers un autre emplacement dans SharePoint ou OneDrive Entreprise.

Dossier créé

FolderCreated

Un utilisateur crée un dossier sur un site.

Dossier supprimé

FolderDeleted

Un utilisateur supprime un dossier d’un site.

Dossier supprimé de la Corbeille

FolderDeletedFirstStageRecycleBin

Un utilisateur supprime un dossier de la Corbeille sur un site.

Dossier supprimé de la Corbeille second niveau

FolderDeletedSecondStageRecycleBin

Un utilisateur supprime un dossier de la Corbeille second niveau sur un site.

Dossier modifié

FolderModified

Un utilisateur modifie un dossier sur un site. Cela inclut la modification des métadonnées du dossier (par exemple, modification des balises et propriétés).

Dossier déplacé

FolderMoved

Un utilisateur déplace un dossier vers un autre emplacement sur un site.

Dossier renommé

FolderRenamed

Un utilisateur renomme un dossier sur un site.

Dossier restauré

FolderRestored

Un utilisateur restaure un dossier supprimé de la Corbeille sur un site.

Revenir à la liste d’activités

Activités de demande d’accès et de partage

Le tableau suivant décrit les activités de demande d’accès et de partage dans SharePoint Online et OneDrive Entreprise. Pour les événements de partage, la colonne Détails sous Résultats identifie le nom de l’utilisateur ou du groupe avec lequel l’élément était partagé et si cet utilisateur ou groupe est un membre de votre organisation ou un invité. Pour plus d’informations, voir Utiliser l’audit du partage dans le journal d’audit d’Office 365.

Remarque : Les utilisateurs peuvent être des membres ou des invités en fonction de la propriété UserType de l’objet utilisateur. Un membre est généralement un employé, tandis qu’un invité est généralement un collaborateur externe à votre organisation. Lorsqu’un utilisateur accepte une invitation de partage (et ne fait pas déjà partie de votre organisation), un compte invité est créé pour lui dans l’annuaire de votre organisation. Dès lors que l’utilisateur invité a un compte dans votre annuaire, des ressources peuvent être partagées directement avec lui (sans invitation).

Nom convivial

Opération

Description

Demande d’accès acceptée

AccessRequestAccepted

Une demande d’accès à un site, un dossier ou un document a été acceptée et l’utilisateur à l’origine de la demande s’est vu octroyé l’accès.

Invitation de partage acceptée

SharingInvitationAccepted

Un utilisateur (membre ou invité) a accepté une invitation de partage et s’est vu octroyer l’accès à une ressource. Cet événement inclut des informations sur l’utilisateur invité et l’adresse de courrier utilisée pour accepter l’invitation (ils peuvent être différents). Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource).

Ajout d’un niveau d’autorisation à la collection de sites

PermissionLevelAdded

Un niveau d’autorisation a été ajouté à une collection de sites.

Utilisateur ajouté à la liaison sécurisée

AddedToSecureLink

Un utilisateur a été ajouté à la liste des entités qui peuvent utiliser ce lien de partage sécurisé.

Invitation de partage bloquée

SharingInvitationBlocked

Une invitation de partage envoyée par un utilisateur de votre organisation est bloquée par une stratégie de partage externe qui autorise ou refuse le partage externe en fonction du domaine de l’utilisateur cible. Dans ce cas, l’invitation de partage a été bloquée car :

  • Le domaine de l’utilisateur cible n’est pas inclus dans la liste des domaines autorisés.

    Ou

  • Le domaine de l’utilisateur cible est inclus dans la liste des domaines bloqués.

Pour plus d’informations sur l’autorisation ou le blocage du partage externe en fonction des domaines, voir Restreindre le partage des domaines dans SharePoint Online et OneDrive Entreprise.

Fin de l’héritage des niveaux d’autorisation

PermissionLevelsInheritanceBroken

Un élément a été modifié afin qu’il n’hérite plus des niveaux d’autorisation de son parent.

Fin de l’héritage de partage

SharingInheritanceBroken

Un élément a été modifié afin qu’il n’hérite plus des autorisations de partage de son parent.

Création d’un lien d’entreprise partageable

CompanyLinkCreated

Un utilisateur a créé un lien à l’échelle de l’entreprise vers une ressource. Les liens à l’échelle de l’entreprise ne peuvent être utilisés que par les membres de votre organisation. Ils ne peuvent pas être utilisés par les invités.

Demande d’accès créée

AccessRequestCreated

Un utilisateur demande l’accès à un site, un dossier ou un document auquel il n’est pas autorisé à accéder.

Création d’un lien anonyme

AnonymousLinkCreated

Un utilisateur a créé un lien anonyme vers une ressource. Toute personne disposant de ce lien peut accéder à la ressource sans être authentifiée.

Lien sécurisé créé

SecureLinkCreated

Un lien de partage sécurisé a été créé pour cet élément.

Invitation de partage créée

SharingInvitationCreated

Un utilisateur a partagé une ressource dans SharePoint Online ou OneDrive Entreprise avec un utilisateur qui ne figure pas dans l’annuaire de votre organisation.

Lien sécurisé supprimé

SecureLinkDeleted

Un lien de partage sécurisé a été supprimé.

Demande d’accès refusée

AccessRequestDenied

Une demande d’accès à un site, un dossier ou un document a été refusée.

Modification du niveau d’autorisation sur la collection de sites

PermissionLevelModified

Un niveau d’autorisation a été modifié sur une collection de sites.

Suppression d’un lien d’entreprise partageable

CompanyLinkRemoved

Un utilisateur a supprimé un lien à l’échelle de l’entreprise vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.

Suppression d’un lien anonyme

AnonymousLinkRemoved

Un utilisateur a supprimé un lien anonyme vers une ressource. Le lien ne peut plus être utilisé pour accéder à la ressource.

Suppression d’un niveau d’autorisation dans une collection de sites

PermissionLevelRemoved

Un niveau d’autorisation a été supprimé d’une collection de sites.

Restauration de l’héritage de partage

SharingInheritanceReset

Une modification a été apportée afin qu’un élément hérite des autorisations de partage de son parent.

Fichier, dossier ou site partagé

SharingSet

Un utilisateur (membre ou invité) a partagé un fichier, un dossier ou un site dans SharePoint ou OneDrive Entreprise avec un utilisateur figurant dans l’annuaire de votre organisation. La valeur dans la colonne Détails pour cette activité identifie le nom de l’utilisateur avec lequel la ressource a été partagée et si cet utilisateur est un membre ou un invité. Cette activité est souvent accompagnée d’un deuxième événement qui décrit la manière dont l’utilisateur s’est vu octroyer l’accès à la ressource (par exemple, en ajoutant l’utilisateur à un groupe ayant accès à la ressource).

Demande d’accès mis à jour

AccessRequestUpdated

Une demande d’accès à un élément a été mis à jour.

Mise à jour d’un lien anonyme

AnonymousLinkUpdated

Un utilisateur a mis à jour un lien anonyme vers une ressource. Le champ mise à jour est inclus dans la propriété EventData lorsque vous exportez les résultats de recherche.

Mise à jour une invitation de partage

SharingInvitationUpdated

Une invitation de partage externe a été mis à jour.

Utilisation d’un lien anonyme

AnonymousLinkUsed

Un utilisateur anonyme a consulté une ressource à l’aide d’un lien anonyme. L’identité de l’utilisateur peut être inconnue, mais vous pouvez obtenir d’autres informations telles que l’adresse IP de l’utilisateur.

Fichier, dossier ou site non partagé

SharingRevoked

Un utilisateur (membre ou invité) a cessé de partager un fichier, un dossier ou un site précédemment partagé avec un autre utilisateur.

Utilisation d’un lien d’entreprise partageable

CompanyLinkUsed

Un utilisateur a consulté une ressource à l’aide d’un lien à l’échelle de l’entreprise.

Cliquez sur lien sécurisé

SecureLinkUsed

Un utilisateur utilisé une liaison sécurisée.

Utilisateur ajouté à la liaison sécurisée

AddedToSecureLink

Un utilisateur a été ajouté à la liste des entités qui peuvent utiliser un lien de partage sécurisé.

Utilisateur supprimé de liaison sécurisée

RemovedFromSecureLink

Un utilisateur a été supprimé de la liste des entités qui peuvent utiliser un lien de partage sécurisé.

Invitation de partage retirée

SharingInvitationRevoked

Un utilisateur a retiré une invitation de partage à une ressource.

Revenir à la liste d’activités

Activités de synchronisation

Le tableau suivant répertorie les activités de synchronisation de fichiers dans SharePoint Online et OneDrive Entreprise.

Nom convivial

Opération

Description

Ordinateur autorisé à synchroniser des fichiers

ManagedSyncClientAllowed

Un utilisateur a réussi à établir une relation de synchronisation avec un site. La relation de synchronisation est établie, car l’ordinateur de l’utilisateur est membre d’un domaine qui a été ajouté à la liste de domaines (liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation.

Pour plus d’informations sur cette fonctionnalité, voir Utilisation des applets de commande Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.

Ordinateur non autorisé à synchroniser des fichiers

UnmanagedSyncClientBlocked

Un utilisateur tente d’établir une relation de synchronisation avec un site à partir d’un ordinateur qui n’est pas membre du domaine de votre organisation, ou qui est membre d’un domaine qui n’a pas été ajouté à la liste de domaines (liste des destinataires approuvés) pouvant accéder aux bibliothèques de documents dans votre organisation. La relation de synchronisation n’est pas autorisée. Par ailleurs, la synchronisation, le téléchargement et le chargement de fichiers dans une bibliothèque de documents sont bloqués sur l’ordinateur.

Pour plus d’informations sur cette fonctionnalité, voir Utilisation des applets de commande Windows PowerShell pour activer la synchronisation de OneDrive pour les domaines figurant dans la liste des destinataires approuvés.

Fichiers téléchargés sur l’ordinateur

FileSyncDownloadedFull

Un utilisateur établit une relation de synchronisation et télécharge des fichiers pour la première fois sur son ordinateur à partir d’une bibliothèque de documents.

Modifications du fichier téléchargées sur l’ordinateur

FileSyncDownloadedPartial

Un utilisateur télécharge des modifications apportées à des fichiers à partir d’une bibliothèque de documents. Cette activité indique que les modifications apportées à des fichiers dans la bibliothèque de documents ont été téléchargées sur l’ordinateur de l’utilisateur. Seules les modifications ont été téléchargées, car la bibliothèque de documents a été téléchargée précédemment par l’utilisateur (comme indiqué par l’activité Fichiers téléchargés sur l’ordinateur).

Fichiers téléchargés dans la bibliothèque de documents

FileSyncUploadedFull

Un utilisateur établit une relation de synchronisation et charge des fichiers pour la première fois à partir de son ordinateur dans une bibliothèque de documents.

Modifications du fichier téléchargées dans la bibliothèque de documents

FileSyncUploadedPartial

Un utilisateur charge des modifications apportées à des fichiers dans une bibliothèque de documents. Cet événement indique que les modifications apportées à la version locale d’un fichier à partir d’une bibliothèque de documents sont correctement chargées dans la bibliothèque de documents. Seules les modifications sont chargées, car ces fichiers ont été précédemment chargés par l’utilisateur (comme indiqué par l’activité Fichiers téléchargés dans la bibliothèque de documents).

Revenir à la liste d’activités

Activités d’administration des sites

Le tableau suivant répertorie les événements résultant des tâches d’administration des sites dans SharePoint Online.

Nom convivial

Opération

Description

Agent utilisateur exempté modifié

ExemptUserAgentSet

Un administrateur SharePoint ou général ajoute un agent utilisateur à la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint.

Administrateur de collection de site ajouté

SiteCollectionAdminAdded

Un administrateur ou propriétaire de collection de sites ajoute une personne en tant qu’administrateur de collection de sites pour un site. Les administrateurs de collection de sites disposent d’autorisations de contrôle total pour la collection de sites et tous les sous-sites.

Utilisateur ou groupe ajouté au groupe SharePoint

AddedToGroup

Un utilisateur a ajouté un membre ou un invité à un groupe SharePoint. Il s’agit peut-être d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement de partage).

Utilisateur autorisé à créer des groupes

AllowGroupCreationSet

Un administrateur ou propriétaire de site ajoute un niveau d’autorisation à un site qui permet à un utilisateur auquel cette autorisation est octroyée de créer un groupe pour ce site.

Annulation du géodéplacement d’un site

SiteGeoMoveCancelled

Un administrateur SharePoint ou général annule le géodéplacement d’un site SharePoint ou OneDrive.Les fonctionnalités multigéographiques permettent à une organisationOffice 365 de s’étendre à plusieurs régions géographiques de centre de données Office 365 appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online dans Office 365.

Modification d’une stratégie de partage

SharingPolicyChanged

Un administrateur SharePoint ou général a modifié une stratégie de partage SharePoint à l’aide du portail d’administration Office 365, du portail d’administration SharePoint ou de SharePoint Online Management Shell. Les modifications apportées aux paramètres de la stratégie de partage de votre organisation sont enregistrées. La stratégie modifiée est identifiée dans le champ ModifiedProperties des propriétés détaillées de l’enregistrement d’événement.

Modification de la stratégie d’accès aux appareils

DeviceAccessPolicyChanged

Un administrateur SharePoint ou général a modifié la stratégie relative aux appareils non gérés de votre organisation. Cette stratégie contrôle l’accès à SharePoint, OneDrive et Office 365 sur les appareils qui ne sont pas associés à votre organisation. La configuration de cette stratégie nécessite un abonnement Enterprise Mobility + Security. Pour plus d’informations, voir Contrôler l’accès à partir des appareils non gérés.

Agents utilisateurs exemptés modifiés

CustomizeExemptUsers

Un administrateur SharePoint ou général a personnalisé la liste des agents utilisateurs exemptés dans le Centre d’administration SharePoint. Vous pouvez spécifier les agents utilisateurs que vous souhaitez exempter de la réception d’une page web entière à indexer. Ainsi, lorsqu’un agent utilisateur que vous avez spécifié comme exempté rencontre un formulaire InfoPath, ce dernier est renvoyé sous forme de fichier XML, et non en tant que page web entière. Cela permet d’accélérer l’indexation des formulaires InfoPath.

Modification de la stratégie d’accès au réseau

NetworkAccessPolicyChanged

Un administrateur SharePoint ou général a modifié la stratégie d’accès basée sur l’emplacement (également appelée limite réseau approuvée) dans le Centre d’administration SharePoint ou à l’aide de SharePoint Online PowerShell. Ce type de stratégie détermine qui peut accéder aux ressources SharePoint et OneDrive de votre organisation en fonction des plages d’adresses IP autorisées que vous spécifiez. Pour plus d’informations, voir Contrôler l’accès aux données SharePoint Online et OneDrive en fonction d’emplacements réseau définis.

Géodéplacement de site effectué

SiteGeoMoveCompleted

Un géodéplacement planifié par un administrateur général de votre organisation a été effectué avec succès.Les fonctionnalités multigéographiques permettent à une organisationOffice 365 de s’étendre à plusieurs régions géographiques de centre de données Office 365 appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online dans Office 365.

Groupe créé

GroupAdded

Un administrateur ou propriétaire de site crée un groupe pour un site ou effectue une tâche à l’origine de la création d’un groupe. Par exemple, la première fois qu’un utilisateur crée un lien pour partager un fichier, un groupe système est ajouté au site OneDrive Entreprise de l’utilisateur. Cet événement peut également être le résultat de la création par un utilisateur d’un lien avec des autorisations de modification sur un fichier partagé.

Connexion Envoyé à créée

SendToConnectionAdded

Un administrateur SharePoint ou général crée une nouvelle connexion Envoyé à sur la page de gestion des enregistrements du Centre d’administration SharePoint. Une connexion Envoyé à spécifie les paramètres d’un référentiel de documents ou d’un centre des enregistrements. Lorsque vous créez une connexion Envoyé à, un organisateur de contenu peut envoyer des documents à l’emplacement spécifié.

Collection de sites créée

SiteCollectionCreated

Un administrateur SharePoint ou général crée une nouvelle collection de sites dans votre organisation SharePoint Online ou un utilisateur configure son site OneDrive Entreprise.

Groupe supprimé

GroupRemoved

Un utilisateur supprime un groupe d’un site.

Connexion Envoyé à supprimée

SendToConnectionRemoved

Un administrateur SharePoint ou général supprime une connexion Envoyé à sur la page de gestion des enregistrements du Centre d’administration SharePoint.

Site supprimé

SiteDeleted

L’administrateur de site supprime un site.

Aperçu du document activé

PreviewModeEnabledSet

Un administrateur de site active l’aperçu des documents pour un site.

Flux de travail hérité activé

LegacyWorkflowEnabledSet

Un administrateur ou propriétaire de site ajoute le type de contenu Tâche de flux de travail SharePoint2013 au site. Des administrateurs généraux peuvent également activer des flux de travail pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.

Office à la demande activé

OfficeOnDemandSet

Un administrateur de site active Office à la demande. Cela permet aux utilisateurs d’accéder à la dernière version des applications de bureau Office. Office à la demande est activé dans le Centre d’administration SharePoint et nécessite un abonnement Office 365 incluant les logiciels Office complets installés.

Flux RSS activés

NewsFeedEnabledSet

Un administrateur ou propriétaire de site active les flux RSS pour un site. Des administrateurs généraux peuvent activer les flux RSS pour l’ensemble de l’organisation dans le Centre d’administration SharePoint.

Demande d’accès modifiée définition

WebRequestAccessModified

Les paramètres de demande d’accès ont été modifiés sur un site.

Paramètre de membres peuvent partager modifié

WebMembersCanShareModified

Le Membres peuvent partager un paramètre a été modifié sur un site.

Autorisations de site modifiées

SitePermissionsModified

Un administrateur ou propriétaire de site (ou compte système) modifie le niveau d’autorisation affecté à un groupe sur un site. Cette activité est également enregistrée si toutes les autorisations sont supprimées d’un groupe.

Remarque : Cette opération est déconseillée dans SharePoint Online. Pour rechercher des événements connexes, vous pouvez rechercher d’autres activités liées à une autorisation, telles que Administrateur de collection de sites ajoutée, Utilisateur ou groupe ajouté à un groupe SharePoint, Utilisateur autorisé à créer des groupes, Groupe créé et Groupe supprimé.

Utilisateur ou groupe supprimé du groupe SharePoint

RemovedFromGroup

Un utilisateur a supprimé un membre ou un invité d’un groupe SharePoint. Il peut s’agir d’une action intentionnelle ou du résultat d’une autre activité (par exemple, événement d’annulation de partage).

Site renommé

SiteRenamed

Un administrateur ou propriétaire de site renomme un site.

Autorisations d’administrateur de site demandées

SiteAdminChangeRequest

Un utilisateur demande à être ajouté en tant qu’administrateur de collection de sites pour une collection de sites. Les administrateurs de collection de sites disposent d’autorisations de contrôle total pour la collection de sites et tous les sous-sites.

Planification du géodéplacement d’un site

SiteGeoMoveScheduled

Un administrateur SharePoint ou général planifie le géodéplacement d’un site SharePoint ou OneDrive.Les fonctionnalités multigéographiques permettent à une organisationOffice 365 de s’étendre à plusieurs régions géographiques de centre de données Office 365 appelées zones géographiques. Pour plus d’informations, voir Fonctionnalités multigéographiques de OneDrive et SharePoint Online dans Office 365.

Site hôte défini

HostSiteSet

Un administrateur SharePoint ou général modifie le site désigné pour l’hébergement de sites personnels ou OneDrive Entreprise.

Groupe mis à jour

GroupUpdated

Un administrateur ou propriétaire de site modifie les paramètres d’un groupe pour un site. Cela peut inclure la modification du nom du groupe, des autorisations d’affichage ou de modification d’appartenance au groupe, et du mode de gestion des demandes d’appartenance.

Revenir à la liste d’activités

Activités de la boîte aux lettres Exchange

Le tableau suivant répertorie les activités qui peuvent être enregistrées par la journalisation d’audit de boîte aux lettres. Les activités de boîte aux lettres effectuées par le propriétaire de la boîte aux lettres, un utilisateur délégué ou un administrateur sont consignées. Par défaut, l’audit de la boîte aux lettres n’est pas activé dans Office 365. La journalisation d’audit de la boîte aux lettres doit être activée pour chaque boîte aux lettres pour que l’activité de celle-ci soit enregistrée. Pour plus d’informations, voir Activer l’audit de boîte aux lettres dans Office 365.

Nom convivial

Opération

Description

Autorisations de boîtes aux lettres de délégué ajoutées

Ajouter-MailboxPermission

Un administrateur a attribué l’autorisation de boîte aux lettres FullAccess à un utilisateur (connu sous le nom de délégué) pour qu’il accède à la boîte aux lettres d’une autre personne. L’autorisation FullAccess permet au délégué d’ouvrir la boîte aux lettres de l’autre personne ainsi que de lire et de gérer son contenu.

Messages copiés vers un autre dossier

Copy

Un message a été copié vers un autre dossier.

Élément de boîte aux lettres créé

Create

Un élément est créé dans le dossier Calendrier, Contacts, Notes ou Tâches de la boîte aux lettres. Par exemple, une nouvelle demande de réunion est créée. Notez que la création, l’envoi ou la réception d’un message ne sont pas auditées. De même, la création d’un dossier de boîte aux lettres n’est pas auditée.

Messages supprimés du dossier Éléments supprimés

SoftDelete

Un message a été supprimé, définitivement ou non, du dossier Éléments supprimés. Ces éléments sont déplacés vers le dossier Éléments récupérables. Les messages sont également déplacés vers le dossier Éléments récupérables quand un utilisateur les sélectionne et appuie sur Maj+Suppr.

Messages déplacés vers un autre dossier

Move

Un message a été déplacé vers un autre dossier.

Messages déplacés vers le dossier Éléments supprimés

MoveToDeletedItems

Un message a été supprimé et déplacé vers le dossier Éléments supprimés.

Autorisation de dossier modifiée

UpdateFolderPermissions

Une autorisation de dossier a été modifiée. Les autorisations de dossier contrôlent quels utilisateurs de votre organisation peuvent accéder aux dossiers de boîte aux lettres et aux messages du dossier.

Messages supprimés définitivement de la boîte aux lettres

HardDelete

Un courrier a été supprimé définitivement du dossier Éléments récupérables (supprimé définitivement de la boîte aux lettres).

Autorisations de boîtes aux lettres de délégué supprimées

Supprimer-MailboxPermission

Un administrateur a supprimé l’autorisation FullAccess (qui était attribuée à un délégué) de la boîte lettres d’une personne. Une fois l’autorisation FullAccess supprimée, le délégué ne peut pas ouvrir la boîte aux lettres de cette personne ni accéder à son contenu.

Message envoyé à l’aide d’autorisations Envoyer en tant que

SendAs

Un courrier a été envoyé à l’aide de l’autorisation Envoyer en tant que. Cela signifie qu’un autre utilisateur a envoyé le courrier comme s’il provenait du propriétaire de la boîte aux lettres.

Message envoyé à l’aide d’autorisations Envoyer de la part de

SendOnBehalf

Un courrier a été envoyé à l’aide de l’autorisation Envoyer de la part de. Cela signifie qu’un autre utilisateur a envoyé le courrier de la part du propriétaire de la boîte aux lettres. Le message indique au destinataire de la part de qui le courrier a été envoyé et qui a réellement envoyé le courrier.

Accès délégué mis à jour au dossier de calendrier

UpdateCalendarDelegation

Une délégation de calendrier a été affectée à une boîte aux lettres. Délégation de calendrier indique que quelqu'un d’autre les mêmes autorisations d’organisation pour gérer le calendrier du propriétaire de la boîte aux lettres.

Message mis à jour

Update

Un message (ou ses propriétés) a été modifié.

Utilisateur connecté à la boîte aux lettres

MailboxLogin

L’utilisateur s’est connecté à sa boîte aux lettres.

(aucun)

UpdateInboxRules

Une règle de boîte de réception a été ajoutée, supprimée ou modifiée. Règles de boîte de réception sont utilisées pour traiter les messages dans la boîte de réception de l’utilisateur en fonction de conditions spécifiées et prennent des actions lorsque les conditions d’une règle sont remplies, telles que le déplacement d’un message vers un dossier spécifié ou suppression d’un message.

Pour renvoyer des entrées pour les activités de règle de boîte de réception, vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste des activités. Utilisez les zones plage de dates et la liste des utilisateurs pour affiner les résultats de recherche.

Revenir à la liste d’activités

Activités liées au Sway

Le tableau suivant répertorie les activités utilisateur et administrateur dans Sway. Sway est une application Office 365 qui permet aux utilisateurs de collecter, de mettre en forme et de partager des idées, des récits et des présentations dans un panneau web interactif. Pour plus d’informations, voir Forum aux questions sur Sway – Aide pour l’administrateur.

Nom convivial

Opération

Description

Niveau de partage du Sway modifié

SwayChangeShareLevel

Un utilisateur modifie le niveau de partage d’un Sway. Cet événement capture la modification par l’utilisateur de l’étendue du partage associé à un Sway (par exemple, public ou à l’intérieur de l’organisation).

Sway créé

SwayCreate

Un utilisateur crée un Sway.

Sway supprimé

SwayDelete

Un utilisateur supprime un Sway.

Duplication du Sway désactivée

SwayDisableDuplication

Un utilisateur désactive la duplication d’un Sway.

Sway dupliqué

SwayDuplicate

Un utilisateur duplique un Sway.

Sway modifié

SwayEdit

Un utilisateur modifie un Sway.

Duplication du Sway activée

EnableDuplication

Un utilisateur autorise la duplication d’un Sway. La possibilité pour un utilisateur d’autoriser la duplication d’un Sway est activée par défaut.

Révocation du partage du Sway

SwayRevokeShare

Un utilisateur cesse de partager un Sway en révoquant l’accès à celui-ci. La révocation de l’accès modifie les liens associés à un Sway.

Sway partagé

SwayShare

Un utilisateur a l’intention de partager un Sway. Cet événement capture l’action de l’utilisateur cliquant sur une destination de partage spécifique dans le menu de partage de Sway. L’événement n’indique pas si l’utilisateur a terminé l’action de partage.

Désactivation du partage externe du Sway

SwayExternalSharingOff

Un administrateur désactive le partage externe des Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Activation du partage externe du Sway

SwayExternalSharingOn

Un administrateur active le partage externe des Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Désactivation du service Sway

SwayServiceOff

Un administrateur désactive Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365.

Activation du service Sway

SwayServiceOn

Un administrateur active Sway pour l’ensemble de votre organisation à l’aide du Centre d’administration Office 365 (le service Sway est activé par défaut).

Sway affiché

SwayView

Un utilisateur affiche un Sway.

Revenir à la liste d’activités

Activités d’administration des utilisateurs

Le tableau suivant répertorie les activités d’administration des utilisateurs enregistrées quand un administrateur ajoute ou modifie un compte d’utilisateur via le Centre d’administration Office 365 ou le portail de gestion Azure.

Activité

Opération

Description

Utilisateur ajouté

Ajouter un utilisateur

Un compte d’utilisateur Office 365 a été créé.

Licence utilisateur modifiée

Change user license

La licence attribuée à un utilisateur a été modifiée. Pour identifier les licences modifiées, voir l’activité Utilisateur mis à jour correspondante.

Mot de passe utilisateur modifié

Change user password

Un administrateur a modifié le mot de passe d’un utilisateur.

Utilisateur supprimé

Delete user

Un compte d’utilisateur Office 365 a été supprimé.

Mot de passe utilisateur réinitialisé

Reset user password

Un administrateur a réinitialisé le mot de passe d’un utilisateur.

Propriété définie qui force l’utilisateur à changer de mot de passe.

Set force change user password

Un administrateur a défini la propriété qui force un utilisateur à modifier son mot de passe lors de sa prochaine connexion à Office 365.

Propriétés de licence définies

Propriétés de licence définies

Un administrateur modifie les propriétés d’une licence attribuée à un utilisateur.

Utilisateur mis à jour

Update user

Un administrateur modifie une ou plusieurs propriétés d’un compte d’utilisateur. Pour obtenir la liste des propriétés utilisateur qui peuvent être mises à jour, voir la section « Mettre à jour l’utilisateur » dans Événements de rapport d’audit d’Azure Active Directory.

Revenir à la liste d’activités

Activités d’administration des groupes Azure AD

Le tableau suivant répertorie les activités d’administration des groupes enregistrées quand un administrateur ou un utilisateur crée ou modifie un groupe Office 365 via le Centre d’administration Office 365 ou le portail de gestion Azure. Pour plus d’informations sur les groupes dans Office 365, voir Afficher, créer et supprimer des groupes dans le Centre d’administration Office 365.

Nom convivial

Opération

Description

Groupe ajouté

Add group

Un groupe a été créé.

Membre ajouté au groupe

Add member to group

Un membre a été ajouté à un groupe.

Groupe supprimé

Delete group

Un groupe a été supprimé.

Membre supprimé du groupe

Remove member from group

Un membre a été supprimé d’un groupe.

Groupe mis à jour

Update group

Une propriété d’un groupe a été modifiée.

Revenir à la liste d’activités

Activités d’administration des applications

Le tableau suivant répertorie les activités d’administration des applications enregistrées quand un administrateur ajoute ou modifie une application inscrite dans Azure AD. Les applications qui utilisent Azure AD pour l’authentification doivent être inscrites dans l’annuaire.

Nom convivial

Opération

Description

Entrée de délégation ajoutée

Add delegation entry

Une autorisation d’authentification a été créée/accordée à une application dans Azure AD.

Principal de service ajouté

Add service principal

Une application a été inscrite dans Azure AD. Une application est représentée par un principal de service dans l’annuaire.

Informations d’identification ajoutées à un principal de service

Add service principal credentials

Des informations d’identification ont été ajoutées à un principal de service dans Azure AD. Un principal de service représente une application dans l’annuaire.

Entrée de délégation supprimée

Remove delegation entry

Une autorisation d’authentification a été supprimée d’une application dans Azure AD.

Principal de service supprimé de l’annuaire

Remove service principal

Une application a été supprimée ou désinscrite de Azure AD. Une application est représentée par un principal de service dans l’annuaire.

Les informations d’identification ont été supprimées du principal de service

Remove service principal credentials

Des informations d’identification ont été supprimées d’un principal de service dans Azure AD. Un principal de service représente une application dans l’annuaire.

Entrée de délégation définie

Set delegation entry

Une autorisation d’authentification a été mise à jour pour une application dans Azure AD.

Revenir à la liste d’activités

Activités d’administration des rôles

Le tableau suivant répertorie les activités d’administration des rôles Azure AD journalisées quand un administrateur gère les rôles d’administrateur via le Centre d’administration Office 365 ou le portail de gestion Azure.

Nom convivial

Opération

Description

Membre ajouté au rôle

Add role member to role

Un utilisateur a été ajouté à un rôle d’administrateur dans Office 365.

Utilisateur supprimé d’un rôle d’annuaire

Remove role member from role

Un utilisateur a été supprimé d’un rôle d’administrateur dans Office 365.

Informations de contact de l’entreprise définies

Set company contact information

Les préférences de contact au niveau de l’entreprise ont été mises à jour pour votre organisation Office 365. Cela inclut les adresses de courrier pour les courriers liés à un abonnement envoyés par Office 365, ainsi que les notifications techniques relatives aux services Office 365.

Revenir à la liste d’activités

Activités d’administration de l’annuaire

Le tableau suivant répertorie les activités liées à l’annuaire et au domaine Azure AD journalisées quand un administrateur gère son organisation Office 365 via la Centre d’administration Office 365 ou le portail de gestion Azure.

Nom convivial

Opération

Description

Domaine ajouté à l’entreprise

Add domain to company

Un domaine a été ajouté à votre organisation Office 365.

Partenaire ajouté à l’annuaire

Add partner to company

Un partenaire (administrateur délégué) a été ajouté à votre organisation Office 365.

Domaine supprimé de l’entreprise

Remove domain from company

Un domaine a été supprimé de votre organisation Office 365.

Partenaire supprimé de l’annuaire

Remove partner from company

Un partenaire (administrateur délégué) a été supprimé de votre organisation Office 365.

Informations de l’entreprise définies

Set company information

Les informations de l’entreprise ont été mises à jour pour votre organisation Office 365. Cela inclut les adresses de courrier pour les courriers liés à un abonnement envoyés par Office 365, ainsi que les notifications techniques relatives aux services Office 365.

Authentification de domaine définie

Set domain authentication

Le paramètre d’authentification de domaine a été modifié pour votre organisation Office 365.

Paramètres de fédération mis à jour pour un domaine

Set federation settings on domain

Les paramètres de la fédération (partage externe) ont été modifiés pour votre organisation Office 365.

Stratégie de mot de passe définie

Set password policy

Les contraintes de longueur et de caractères applicables aux mots de passe utilisateur ont été modifiées dans votre organisation Office 365.

Synchronisation Azure AD activée

Set DirSyncEnabled flag on company

La propriété qui active un annuaire pour la synchronisation Azure AD a été définie.

Domaine mis à jour

Update domain

Les paramètres d’un domaine dans votre organisation Office 365 ont été mis à jour.

Domaine vérifié

Verify domain

La propriété d’un domaine par votre organisation a été vérifiée.

Domaine de courrier vérifié par courrier électronique

Verify email verified domain

Une vérification de courrier électronique a été effectuée pour vérifier que votre organisation est propriétaire d’un domaine.

Revenir à la liste d’activités

Activités de découverte électronique

Les activités liées à la recherche de contenu et la découverte électronique effectuées dans Centre de sécurité et conformité Office 365 ou via l’exécution des cmdlets Windows PowerShell correspondantes sont enregistrées dans le journal d’audit Office 365. Cela inclut les activités suivantes :

  • création et gestion des cas de découverte électronique ;

  • création, démarrage et modification des recherches de contenu ;

  • exécution des actions de recherche de contenu, telles que l’aperçu, l’exportation et la suppression des résultats de recherche ;

  • configuration des autorisations de filtrage de la recherche de contenu ;

  • gestion du rôle d’administrateur eDiscovery.

Pour consulter la liste et une description détaillée des activités de découverte électronique enregistrées, voir Rechercher les activités de découverte électronique dans le journal d’audit Office 365.

Remarque : Une trentaine de minutes peut être nécessaire avant que les événements résultant des activités répertoriées sous l’élément Activités de découverte électronique de la liste déroulante Activités s’affichent dans les résultats de la recherche. Inversement, 24 heures peuvent être nécessaires avant que les événements correspondant aux activités de l’applet de commande eDiscovery s’affichent dans les résultats de la recherche.

Revenir à la liste d’activités

Activités dans Power BI

Le tableau suivant répertorie les activités utilisateur et administrateur dans Power BI, qui sont enregistrées dans le journal d’audit Office 365.

Important : La journalisation d’audit pour Power BI n’est pas activée par défaut. Pour rechercher des activités Power BI dans le journal d’audit Office 365, vous devez activer l’audit dans le portail d’administration Power BI. Pour obtenir des instructions, voir Audit Power BI.

Nom convivial

Opération

Description

Ajout de membres à un groupe Power BI

AddGroupMembers

Un membre est ajouté à un espace de travail de groupe Power BI.

Jeu de données Power BI analysé

AnalyzedByExternalApplication

Un jeu de données est analysé par une application externe.

Création de tableau de bord Power BI

CreateDashboard

Un tableau de bord est créé.

Création de groupe Power BI

CreateGroup

Un groupe est créé.

Création d’un pack de contenu Power BI d’organisation

CreateOrgApp

Un pack de contenu d’organisation est créé.

Suppression de tableau de bord Power BI

DeleteDashboard

Un tableau de bord est supprimé.

Jeu de données Power BI supprimé

DeleteDataset

Un jeu de données est supprimé.

Suppression de rapport Power BI

DeleteReport

Un rapport est supprimé.

Téléchargement de rapport Power BI

DownloadReport

Un utilisateur télécharge un rapport Power BI à partir du service sur son ordinateur.

Modification de tableau de bord Power BI

EditDashboard

Un tableau de bord est renommé.

Export de données visuelles de rapport Power BI

ExportReport

Des données sont exportées à partir d’une vignette de rapport.

Export de données de vignette Power BI

ExportTile

Des données sont exportées à partir d’une vignette de tableau de bord.

Impression de tableau de bord Power BI

PrintDashboard

Un tableau de bord est imprimé.

Impression de page de rapport Power BI

PrintReport

Un rapport est imprimé.

Publication de rapport Power BI sur le web

PublishToWebReport

Un rapport est publié sur le web.

Partage de tableau de bord Power BI

ShareDashboard

Un tableau de bord est partagé.

Démarrage de la version d’évaluation de Power BI

OptInForProTrial

Un utilisateur commence un abonnement à la version d’évaluation de Power BI Pro.

Paramètres Power BI de l’organisation mis à jour

UpdatedAdminFeatureSwitch

Un administrateur a modifié un paramètre de l’organisation dans le Portail d’administration Power BI.

Affichage de tableau de bord Power BI

ViewDashboard

Un tableau de bord est affiché.

Affichage de rapport Power BI

ViewReport

Un rapport est affiché.

Revenir à la liste d’activités

Activités dans Teams Microsoft

Le tableau suivant répertorie les activités utilisateur et administrateur dans Office 365 qui sont enregistrées dans le journal d’audit Microsoft Teams. Microsoft Teams est un espace de travail basé sur la conversation instantanée dans Office 365. Il rassemble les conversations, réunions, fichiers et notes d’une équipe dans un emplacement unique. Pour plus d’informations et des liens vers des rubriques d’aide, voir :

Nom convivial

Opération

Description

Robot ajouté à une équipe

BotAddedToTeam

Un utilisateur ajoute un robot à une équipe.

Canal ajouté

ChannelAdded

Un utilisateur ajoute un canal à une équipe.

Connecteur ajouté

ConnectorAdded

Un utilisateur ajoute un connecteur à un canal.

Membres ajoutés à l’équipe

MemberAdded

Un propriétaire d’équipe ajoute un ou des membres à une équipe.

Onglet ajouté

TabAdded

Un utilisateur ajoute un onglet à un canal.

Paramètre de canal modifié

ChannelSettingChanged

L’opération ChannelSettingChanged est consignée lorsque les activités suivantes sont effectuées par un membre de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Modifie le nom d’un canal d’équipe (Channel name).

  • Modifie la description d’un canal d’équipe (Channel description).

Paramètre d’organisation modifié

TeamsTenantSettingChanged

L’opération TeamsTenantSettingChanged est enregistrée lorsque les activités suivantes sont effectuées par un administrateur global (à l’aide de la Centre d’administration Office 365 ) ; Notez que ces activités affectent les paramètres d’échelle de l’organisation Microsoft Teams. Pour plus d’informations, voir paramètres d’administration de Microsoft équipes.

Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Active ou désactive Microsoft Teams pour l’organisation (Microsoft Teams).

  • Active ou désactive l’interopérabilité entre Microsoft Teams et Skype Entreprise pour l’organisation (Skype Entreprise interoperability).

  • Active ou désactive l’affichage de l’organigramme dans les clients Microsoft Teams (Org chart view).

  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions privées (Private meeting scheduling).

  • Active ou désactive la possibilité pour les membres de l’équipe de planifier des réunions de canal (Private meeting scheduling).

  • Active ou désactive les appels vidéo pendant les réunions d’équipes (Video for Skype meetings).

  • Active ou désactive l’écran de partage pendant les rencontres Microsoft Teams pour l’organisation (Screen sharing for Skype meetings).

  • Active ou désactive la possibilité d’ajouter des images animées (appelées Giphys) aux conversations d’équipe (Animated images).

  • Modifie le paramètre d’évaluation du contenu pour l’organisation (Content rating).

    L’évaluation du contenu restreint les types d’images animées qui peuvent être affichés dans les conversations.

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images personnalisables (appelées mèmes personnalisés) à partir d’Internet aux conversations d’équipe (Customizable images from the Internet).

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des images modifiables (appelées autocollants) aux conversations d’équipe (images modifiables).

  • Active ou désactive la possibilité pour les membres de l’équipe d’utiliser des robots dans les conversations et canaux Microsoft Teams (Org-wide bots).

  • Active les robots spécifiques pour Microsoft Teams. Cela n’inclut pas T-Bot qui est le robot d’assistance de Teams disponible lorsque les robots sont activés pour l’organisation (Individual bots).

  • Active ou désactive la possibilité pour les membres de l’équipe d’ajouter des extensions ou des onglets (Extensions or tabs).

  • Active ou désactive le chargement latéral des robots propriétaires pour Microsoft Teams (Side loading of Bots).

  • Active ou désactive la possibilité pour les utilisateurs d’envoyer du courrier électronique à un canal Microsoft Teams (Channel email).

Rôle modifié de membres de l’équipe

MemberRoleChanged

Un propriétaire d’équipe modifie le rôle d’un ou plusieurs membres d’une équipe. Les valeurs suivantes indiquent le type de rôles attribué à l’utilisateur.

1    indique le rôle Propriétaire.

2    indique le rôle Membre.

3    indique le rôle Invité.

La propriété Members comprend également le nom de votre organisation et l’adresse e-mail du membre.

Paramètre d’équipe modifié

TeamSettingChanged

L’opération TeamSettingChanged est consignée lorsque les activités suivantes sont effectuées par un propriétaire de l’équipe. Pour chacune de ces activités, une description du paramètre modifié (entre parenthèses ci-dessous) s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

  • Modifie le type d’accès pour une équipe. Les équipes peuvent être définies comme publiques ou privées (Team access type).

    Quand une équipe est privée (paramètre par défaut), les utilisateurs ne peuvent ne peuvent y accéder que sur invitation. Quand une équipe est publique, n’importe qui peut la trouver.

  • Modifie la classification des informations d’une équipe (Team classification).

    Par exemple, les données d’une équipe peuvent classifiées comme ayant un impact élevé, moyen ou faible sur l’activité.

  • Modifie le nom d’une équipe (Team name).

  • Modifie la description de l’équipe (Team description).

  • Modifications apportées à un des paramètres de l’équipe. Un propriétaire de l’équipe peut accéder à ces paramètres dans un client Microsoft Teams en cliquant avec le bouton droit sur une équipe, en cliquant sur Gérer l’équipe, puis sur l’onglet Paramètres. Pour ces activités, le nom du paramètre modifié s’affiche dans la colonne Item des résultats de la recherche dans le journal d’audit.

Équipe créée

TeamCreated

Un utilisateur crée une équipe.

Canal supprimé

ChannelDeleted

Un utilisateur supprime un canal d’une équipe.

Équipe supprimée

TeamDeleted 

Un propriétaire d’équipe supprime une équipe.

Robot supprimé l’équipe

BotRemovedFromTeam

Un utilisateur supprime un robot d’une d’une équipe.

Connecteur supprimé

ConnectorRemoved

Un utilisateur supprime un connecteur d’un canal.

Membres supprimés de l’équipe

MemberRemoved

Un propriétaire d’équipe supprime un ou plusieurs membres d’une équipe.

Onglet supprimé

TabRemoved

Un utilisateur supprime un onglet d’un canal.

Connecteur mis à jour

ConnectorUpdated

Un utilisateur a modifié un connecteur dans un canal.

Onglet mis à jour

TabUpdated

Un utilisateur a modifié un onglet dans un canal.

Utilisateur connecté à Teams

TeamsSessionStarted

Un utilisateur se connecte à un client Microsoft Teams.

Revenir à la liste d’activités

Activités dans Yammer

Le tableau suivant répertorie les activités utilisateur et administrateur dans Yammer qui sont enregistrées dans le journal d’audit Office 365. Pour renvoyer des activités liées à Yammer du journal d’audit Office 365, vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités. Pour limiter les résultats de la recherche, utilisez les zones des plages de dates et la liste Utilisateurs.

Nom convivial

Opération

Description

Modification d’une stratégie de rétention des données

SoftDeleteSettingsUpdated

Un administrateur vérifié met à jour le paramètre de stratégie de rétention des données de réseau en vue d’une suppression définitive ou réversible. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Modification de configuration réseau

NetworkConfigurationUpdated

Un administrateur réseau ou vérifié modifie la configuration du réseau Yammer. Cela inclut la définition d’un intervalle pour l’exportation de données et l’activation de la conversation instantanée.

Modification des paramètres de profil réseau

ProcessProfileFields

Un administrateur réseau ou vérifié modifie les informations qui apparaissent sur les profils de membre des utilisateurs du réseau.

Modification du mode Contenu privé

SupervisorAdminToggled

Un administrateur vérifié active ou désactive le mode Contenu privé. Ce mode permet à un administrateur d’afficher les publications dans des groupes privés et les messages privés entre utilisateurs individuels (ou groupes d’utilisateurs). Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Modification de la configuration de la sécurité

NetworkSecurityConfigurationUpdated

Un administrateur vérifié met à jour la configuration de sécurité du réseau Yammer. Cela inclut la définition des stratégies d’expiration de mot de passe et les restrictions d’adresses IP. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Création de fichier

FileCreated

Un utilisateur charge un fichier.

Groupe créé

GroupCreation

Un utilisateur crée un groupe.

Groupe supprimé

GroupDeletion

Un groupe est supprimé de Yammer.

Message supprimé

MessageDeleted

Un utilisateur supprime un message.

Fichier téléchargé

FileDownloaded

Un utilisateur télécharge un fichier.

Données exportées

DataExport

Un administrateur vérifié exporte des données de réseau Yammer. Seuls des administrateurs vérifiés peuvent effectuer cette opération.

Partage de fichier

FileShared

Un utilisateur partage un fichier avec un autre utilisateur.

Suspension d’un utilisateur du réseau

NetworkUserSuspended

Un administrateur réseau ou vérifié suspend (désactive) un utilisateur de Yammer.

Utilisateur suspendu

UserSuspension

Un compte d’utilisateur est suspendu (désactivé).

Mise à jour de la description d’un fichier

FileUpdateDescription

Un utilisateur modifie la description d’un fichier.

Mise à jour d’un nom de fichier

FileUpdateName

Un utilisateur modifie le nom d’un fichier.

Affichage d’un fichier

FileVisited

Un utilisateur affiche un fichier.

Revenir à la liste d’activités

Microsoft Stream

Vous pouvez rechercher le journal d’audit pour des activités dans Microsoft Stream. Ces activités comprennent vidéo activités effectuées par les utilisateurs, les activités de canal groupe et les activités d’administration tels que la gestion des utilisateurs, gérer les paramètres d’organisation et d’exportation des rapports. Pour obtenir une description de ces activités, consultez la section « Activités enregistrées dans Microsoft Stream » dans Les journaux d’Audit dans le flux de Microsoft.

Journal d’audit de l’administrateur Exchange

La journalisation d’audit de l’administrateur Exchange (activée par défaut dans Office 365) enregistre un événement dans le journal d’audit Office 365 lorsqu’un administrateur (ou un utilisateur auquel des autorisations administratives ont été attribuées) apporte une modification dans votre organisation Exchange Online. Les modifications apportées via le Centre d’administration Exchange ou en exécutant une applet de commande dans Windows PowerShell sont enregistrées dans le journal d’audit de l’administrateur Exchange. Pour plus d’informations sur la journalisation d’audit de l’administrateur dans Exchange, voir Journalisation d’audit de l’administrateur.

Voici quelques conseils concernant la recherche d’activités dans le journal d’audit de l’administrateur Exchange :

  • Pour renvoyer des entrées du journal d’audit de l’administrateur Exchange, vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités. Pour limiter les résultats de recherche des applets de commande exécutées par un administrateur Exchange spécifique à une plage de dates déterminée, utilisez les zones des plages de dates et la liste Utilisateurs.

  • Pour afficher des événements du journal d’audit de l’administrateur Exchange, filtrez les résultats de recherche et tapez un (tiret) dans la zone de filtre Activité. Cela permet d’afficher le nom des cmdlets qui figurent dans la colonne Activité des événements d’administrateur Exchange. Vous pouvez ensuite trier les noms de cmdlet par ordre alphabétique.

    Tapez un tiret dans le champ Activités pour filtrer les événements Admin d’Exchange
  • Pour obtenir des informations sur les cmdlets exécutées, les paramètres et valeurs de paramètres utilisés et les objets affectés, vous devez exporter les résultats de recherche et sélectionner l’option Télécharger tous les résultats.

  • Vous pouvez également consulter les événements dans le journal d’audit de l’administrateur Exchange via le Centre d’administration Exchange. Pour obtenir des instructions, reportez-vous à Afficher le journal d’audit de l’administrateur.

Revenir à la liste d’activités

Revenir au début de l’article

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×