搜尋 Office 365 安全性與合規性中心的稽核記錄

您需要尋找是否有使用者已檢視特定文件或清除信箱中的項目嗎?如果需要,您可以使用 Office 365 安全性與合規性中心搜尋整合的稽核記錄,以檢視您的 Office 365 組織中的使用者和系統管理員活動。為何是透過整合的稽核記錄?因為您可以在 Office 365 中搜尋下列類型的使用者和系統管理員活動:

  • SharePoint Online 和商務用 OneDrive 中的使用者活動

  • Exchange Online 中的使用者活動 (Exchange 信箱稽核記錄)

    重要: 您必須開啟每個使用者信箱的信箱稽核記錄,才能記錄 Exchange Online 中的使用者活動。如需詳細資訊,請參閱啟用 Office 365 中的信箱稽核

  • SharePoint Online 中的系統管理活動

  • Azure Active Directory (Office 365 的目錄服務) 中的系統管理活動

  • Exchange Online 中的系統管理員活動 (Exchange 系統管理員稽核記錄)

  • Sway 中的使用者和系統管理員活動

  • Power BI for Office 365 中的使用者和系統管理員活動

  • Microsoft Teams 中的使用者和系統管理員活動

  • Yammer 中的使用者和系統管理員活動

在您開始搜尋 Office 365 稽核記錄前,請務必閱讀下列項目。

  • 您 (或其他系統管理員) 必須先開啟稽核記錄,才能開始搜尋 Office 365 稽核記錄。只要按一下安全性與合規性中心 [稽核記錄搜尋] 頁面上的 [開始記錄使用者和系統管理員活動],即可開啟此功能 (如果您沒有看到此連結,表示貴組織已開啟稽核)。開啟此功能後,就會顯示一則訊息,表示正在準備稽核記錄,而您可以在準備完成 (約幾小時) 後執行搜尋。此操作只需執行一次。

    附註: 我們還在設法開啟預設稽核功能。在那之前,您可以如上述方法來開啟該功能。

  • 您必須在 Exchange Online 中被指派為 [僅限檢視稽核記錄] 或 [稽核記錄] 角色,才能搜尋 Office 365 稽核記錄。根據預設,會將這些角色指派給 Exchange 系統管理中心 [權限] 頁面上的 [合規性管理] 和 [組織管理] 角色群組。若要提供使用者能夠搜尋 Office 365 稽核記錄的最低權限等級,您可以在 Exchange Online 中建立自訂角色群組、新增 [僅限檢視稽核記錄] 或 [稽核記錄] 角色,然後將使用者加入這個新的角色群組成為其中的成員。如需詳細資訊,請參閱管理 Exchange Online 中的角色群組

    重要: 如果您在安全性與合規性中心的 [權限] 頁面上將 [僅限稽核記錄] 或 [稽核記錄] 角色指派給使用者,使用者將無法搜尋 Office 365 稽核記錄。您必須在 Exchange Online 中指派權限。這是因為用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet。

  • 如果您想要關閉貴組織在 Office 365 中的稽核記錄搜尋功能,您可以在與 Exchange Online 組織連線的遠端 PowerShell 中執行下列命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    若要再次開啟稽核搜尋,您可以在 Exchange Online PowerShell 中執行下列命令:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    如需詳細資訊,請參閱關閉 Office 365 中的稽核記錄搜尋

  • 如先前所述,用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet,也就是 Search-UnifiedAuditLog。這表示您可以使用此 Cmdlet 來搜尋 Office 365 稽核記錄,而不是使用安全性與合規性中心中的 [稽核記錄搜尋] 頁面。您必須在連線到 Exchange Online 組織的遠端 PowerShell,執行此 Cmdlet。如需詳細資訊,請參閱 Search-UnifiedAuditLog

  • 如果您想要以程式設計方式從 Office 365 稽核記錄下載資料,我們建議您使用 Office 365 管理活動 API,而非使用 PowerShell 指令碼。Office 365 管理活動 API 是一個 REST Web 服務,可用於為貴組織開發作業、安全性以及合規性的監控解決方案。如需詳細資訊,請參閱 Office 365 管理活動 API 參考

  • 您可以搜尋 Office 365 稽核記錄尋找在過去 90 天中執行的活動。

  • 發生事件後,對應的稽核記錄項目最多可能需要 30 分鐘或 24 小時才會顯示在搜尋結果中。下列表格顯示不同 Office 365 服務的所需時間。

    Office 365 服務

    30 分鐘

    24 小時

    SharePoint Online 和商務用 OneDrive

    核取記號

    Exchange Online

    核取記號

    Azure Active Directory (使用者登入事件)

    核取記號

    Azure Active Directory (系統管理員事件)

    核取記號

    Sway

    核取記號

    Power BI

    核取記號

    Yammer

    核取記號

    安全性與合規性中心

    核取記號

    Microsoft Teams

    核取記號

  • 如先前所述,Azure Active Directory (Azure AD) 是 Office 365 的目錄服務。整合的稽核記錄包含 Office 365 系統管理中心或 Azure 管理入口網站中執行的使用者、群組、應用程式、網域及目錄活動。如需 Azure AD 事件的完整清單,請參閱 Azure Active Directory 稽核報告事件

回到頁首

下列是搜尋 Office 365 中的稽核記錄之流程。

步驟 1:執行稽核記錄搜尋

步驟 2:檢視搜尋結果

步驟 3:篩選搜尋結果

步驟 4:將搜尋結果匯出至檔案

步驟 1:執行稽核記錄搜尋

  1. 移至 https://protection.office.com

  2. 使用公司或學校帳戶登入 Office 365。

  3. 在左窗格中,按一下 [搜尋和調查],然後按一下 [稽核記錄搜尋]。

    [稽核記錄搜尋] 頁面隨即顯示。

    設定準則,然後按一下 [搜尋] 即可執行報告

    附註: 如先前所解說,您必須先開啟稽核記錄功能,才能執行稽核記錄搜尋。如果顯示 [開始記錄使用者和系統管理員活動] 連結,請按一下它以開啟稽核 (如果您沒有看到此連結,表示貴組織已開啟稽核)。

  4. 設定下列搜尋準則:

    1. 活動:按一下下拉式清單以顯示您可以搜尋的活動。使用者和系統管理員活動會歸類成各種相關活動的群組。您可以選取特定活動,或者也可以按一下活動群組名稱以選取該群組中的所有活動。您也可以按一下選定的活動以清除選取。執行搜尋後,只會顯示選定活動的稽核記錄項目。選取 [顯示所有活動的結果] 將會顯示選定使用者或使用者群組所執行的所有活動之結果。

      Office 365 稽核記錄中會記錄超過 100 個使用者和系統管理員活動。請按一下本主題中的 [已稽核活動] 索引標籤,以查看不同 Office 365 服務中各項活動描述的清單。

    2. 開始日期結束日期:根據預設會選取過去七天。選取日期和時間範圍,以顯示該期間內已發生的事件。日期和時間以國際標準時間 (UTC) 格式表示。您可以指定的最大日期範圍為 90 天。如果選定的日期範圍大於 90 天,則會顯示錯誤。

      提示: 如果您使用的是 90 天的最大日期範圍,請為 [開始日期] 選取目前的時間。否則,您會收到一則表示開始日期早於結束日期的錯誤。如果您已開啟過去 90 天中的稽核,最大日期範圍不能在開啟稽核的日期之前開始。

    3. 使用者:在此方塊中按一下,然後選取要顯示搜尋結果的一或多個使用者。結果清單會顯示您在此方塊中選取的使用者所執行的選定活動之稽核記錄項目。若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。

    4. 檔案、資料夾或網站:輸入整個檔案或資料夾名稱的一部分,以搜尋含有特定關鍵字之資料夾的檔案相關活動。您也可以指定 URL 或 URL 的一部分,以顯示指定 URL 路徑中任何物件之相關活動的項目。請注意,搜尋查詢不支援斜線 (/)、反斜線 (\)、虛線 (-),和底線 (_) 等特殊字元。請務必使用空格取代特殊字元。例如,若要搜尋商務用 OneDrive 網站 (如 https://contoso-mysharepoint.com/personal/sarad_contoso_onmicrosoft_com) 中的活動,您可以在此搜尋欄位中輸入下列查詢:personal sarad contoso

      若要傳回貴組織中所有檔案、資料夾及 URL 的項目,請將此方塊保留空白。

  5. 按一下 [搜尋] 以使用您的搜尋準則執行搜尋。

    搜尋結果隨即載入,幾分鐘後搜尋結果會顯示於 [結果] 底下。完成搜尋時,就會顯示找到的結果數目。請注意,最多將會顯示 1000 個事件;如果有超過 1000 個事件符合搜尋準則,則會顯示最新的 1000 個事件。

    搜尋完成後,會顯示結果數目。

回到頁首

搜尋稽核記錄的祕訣

  • 您可以按一下活動名稱,以選取要搜尋的特定活動。或者您也可以按一下群組名稱,以搜尋群組中的所有活動 (例如 [檔案和資料夾活動])。如果已選取活動,您可以按一下它以取消選取。您也可以使用搜尋方塊顯示含有您輸入的關鍵字之活動。

    按一下活動群組名稱以選取所有活動
  • 您必須在 [活動] 清單中選取 [顯示所有活動的結果],才能顯示來自 Exchange 系統管理員稽核記錄的項目。來自此稽核記錄的事件會在結果的 [活動] 欄中顯示 Cmdlet 名稱 (例如 Set-Mailbox)。如需詳細資訊,請按一下本主題中的 [已稽核活動] 索引標籤,然後再按一下 [Exchange 系統管理員活動]。

  • 按一下 [清除] 以清除目前的搜尋準則。日期範圍會回到過去七天的預設值。您也可以按一下 [全部清除以顯示所有活動的結果],以取消所有選定的活動。

  • 如果找到 1000 個結果,您可能可以假設有超過 1000 個符合搜尋準則的事件。您可以縮小搜尋準則的範圍,並重新執行搜尋以傳回更少的結果,或者也可以選取 [匯出結果] > [下載所有結果],以匯出所有搜尋結果。

回到頁首

步驟 2:檢視搜尋結果

稽核記錄搜尋的結果會顯示在 [稽核記錄搜尋] 頁面的 [結果] 底下。最多將會顯示 1000 個 (最新) 事件。結果會包含搜尋所傳回之每個事件的下列相關資訊。

  • 日期:事件發生時的日期和時間 (以 UTC 格式顯示)。

  • IP 位址:記錄活動時所使用的裝置之 IP 位址。IP 位址會以 IPv4 或 IPv6 位址格式顯示。

  • 使用者:執行觸發事件的動作之使用者 (或服務帳戶)。

  • 活動:使用者執行的活動。這個值對應您在 [活動] 下拉式清單中選取的活動。若是來自 Exchange 系統管理員稽核記錄的事件,此欄中的這個值則是 Exchange Cmdlet。

  • 項目:已建立或修改以做為對應活動的結果之物件。例如,已檢視或修改的檔案或已更新的使用者帳戶。並非所有活動在此欄中都有值。

  • 詳細資料:有關活動的其他詳細資料。同樣地,並非所有活動都會有值。

提示: 按一下 [結果] 底下的欄標頭以將結果排序。您可以將結果排序為由 A 至 Z 或由 Z 至 A。按一下 [日期] 標頭以將結果排序為由最舊至最新或由最新至最舊。

檢視特定事件的詳細資料

您可以按一下搜尋結果清單中的事件記錄,以檢視更多事件相關的詳細資料。含有來自事件記錄的詳細屬性之 [詳細資料] 頁面隨即顯示。顯示的屬性視發生事件之 Office 365 服務而定。若要顯示其他詳細資料,請按一下 [更多資訊]。

回到頁首

步驟 3:篩選搜尋結果

除了排序,您也可以篩選稽核記錄搜尋的結果。這是一個可協助您快速篩選特定使用者或活動的結果之絕佳功能。您一開始可以建立廣泛的搜尋,然後再快速篩選結果以查看特定事件。接著,您可以縮小搜尋準則的範圍,然後重新執行搜尋以傳回一組更小、更精簡的結果。

若要篩選結果:

  1. 執行稽核記錄搜尋。

  2. 當顯示結果時,按一下 [篩選結果]。

    關鍵字方塊隨即顯示在每個欄標頭底下。

  3. 按一下欄標頭底下的其中一個方塊,然後輸入字詞或片語 (視您正在篩選的欄而定)。結果將動態重新調整為顯示與您的篩選相符之事件。

    在篩選中輸入一個單字以顯示符合篩選的事件
  4. 若要清除篩選,請按一下篩選方塊中的 [X],或直接按一下 [隱藏篩選]。

提示: 若要顯示來自 Exchange 系統管理員稽核記錄的事件,請在 [活動] 篩選方塊中輸入 (破折號)。系統會顯示那些顯示於 Exchange 系統管理員事件 [活動] 欄中的 Cmdlet 名稱。接著,您可以將 Cmdlet 名稱依字母順序排序顯示。

回到頁首

步驟 4:將搜尋結果匯出至檔案

您可以將稽核記錄搜尋之結果匯出至您的本機電腦上的逗號分隔值 (CSV) 檔案。您可以在 Microsoft Excel 中開啟此檔案,並使用搜尋、排序、篩選,以及將單一欄 (含有多重值儲存格) 分割為多個欄等功能。

  1. 執行稽核記錄搜尋,然後修改搜尋準則,直到您獲得想要的結果為止。

  2. 按一下 [匯出結果],然後選取下列其中一個選項:

    • 儲存載入的結果:選擇此選項以僅匯出顯示在 [稽核記錄搜尋] 頁面的 [結果] 底下之項目。下載的 CSV 檔案會包含與頁面 (日期、使用者、活動、項目及詳細資料) 上顯示的相同欄 (及資料)。CSV 檔案中包括一個其他欄 (命名為 [更多]),含有更多來自稽核記錄項目的資訊。因為您正在匯出 [稽核記錄搜尋] 頁面上所載入的相同結果 (且可檢視),最多會匯出 1000 個項目。

    • 下載所有結果:選擇此選項以從符合搜尋準則的 Office 365 稽核記錄匯出所有項目。針對大量的搜尋結果,選擇此選項除了可下載 [稽核記錄搜尋] 頁面上顯示的 1000 個結果以外,還會從稽核記錄下載所有項目。此選項會從稽核記錄下載原始資料至 CSV 檔案,並且在一個命名為 [詳細資料] 的欄中包含來自稽核記錄項目的其他資訊。如果您選擇此匯出選項,下載檔案可能需要較久的時間。這是因為如果您選擇其他選項,檔案可能會遠大於下載的檔案。

      重要: 您可以從單一稽核記錄搜尋下載最多 50,000 個項目至 CSV 檔案。如果已下載 50,000 個項目至 CSV 檔案,您可能可以假設有超過 50,000 個符合搜尋準則的事件。若要匯出的內容超過此限制,請嘗試使用日期範圍來縮小稽核記錄項目的數量。您可能需要使用較小的日期範圍執行多次搜尋,以匯出 50,000 個以上的項目。

  3. 選取匯出選項後,視窗底部就會顯示一則訊息,提示您開啟 CSV 檔案、將它儲存至 [下載] 資料夾,或將它儲存至特定資料夾。

回到頁首

有關匯出稽核記錄搜尋結果的更多資訊

  • [下載所有結果] 選項會從 Office 365 稽核記錄下載原始資料至 CSV 檔案。如果您選取 [儲存載入的結果] 選項,此檔案會包含與下載的檔案不同之欄名稱 (時間、使用者、動作、詳細資料)。在兩個不同的 CSV 檔案中,相同活動的值可能也會不一樣。例如,CSV 檔案的 [動作] 欄中的活動,可能會有與 [稽核記錄搜尋] 頁面的 [活動] 欄中顯示的「使用者易記」版本不同的值;例如 MailboxLoginUser signed in to mailbox

  • 如果您下載所有結果,CSV 檔案會包含一個命名為 [詳細資料] 的欄,含有每個事件相關的其他資訊。如先前所述,此欄包含來自稽核記錄檔的記錄之多個屬性的多重值屬性。此多重值屬性中的每個 property:value 配對是以逗號分隔。您可以使用 Excel 中的 Power Query 將此欄分割為多個欄,以讓每個屬性都有自己的欄。這樣您就可以排序及篩選一或多個屬性。若要了解此做法,請參閱分割欄的文字 (Power Query) 中的<以分隔符號分割欄>一節。

    分割 [詳細資料] 欄後,您可以在 [動作] 欄篩選,以顯示特定活動類型的詳細屬性。

  • 當您從包含來自不同 Office 365 服務的事件之搜尋查詢下載所有結果時,CSV 檔案中的 [詳細資料] 欄會包含不同的屬性,視在何種服務中執行動作而定。例如,來自 Exchange 和 Azure AD 稽核記錄的項目包括命名為 ResultStatus 的屬性,它會指出執行的動作是否成功。SharePoint 中的事件不包括此屬性。同樣地,SharePoint 事件有一個識別網站 URL 中的檔案和資料夾相關活動之屬性。若要減少此行為,請考慮使用不同的搜尋,以匯出來自單一服務的活動之結果。

    如需下載所有結果時 CSV 檔案的 [詳細資料] 欄中列出的屬性描述,以及各個適用的服務,請參閱 Office 365 稽核記錄中的詳細屬性

回到頁首

本節中的各表格說明的是 Office 365 中已稽核的活動。您可以透過搜尋安全性與合規性中心中的稽核記錄來搜尋這些事件。請按一下 [搜尋稽核記錄] 索引標籤以取得逐步指示。

這些表格會將相關的活動或來自特定 Office 365 服務的活動集合成一個群組。這些表格包括 [活動] 下拉式清單中顯示的易記名稱,以及在匯出搜尋結果時出現在稽核記錄和 CSV 檔案的詳細資訊中對應作業的名稱。按一下下列其中一項連結,以移至特定表格。

檔案和頁面活動

資料夾活動

共用及存取要求活動

同步處理活動

網站系統管理活動

Exchange 信箱活動

Sway 活動

使用者系統管理活動

Azure AD 群組系統管理活動

應用程式系統管理活動

角色系統管理活動

目錄系統管理活動

電子文件探索活動

Power BI 活動

Microsoft Teams 活動

Yammer 活動

Exchange 系統管理員活動

檔案和頁面活動

下表說明 SharePoint Online 和商務用 OneDrive 中的檔案和頁面活動。

易記名稱

作業

描述

已存取檔案

FileAccessed

使用者或系統帳戶存取檔案。

(無)

FileAccessedExtended

這與「已存取檔案」(FileAccessed) 活動相關聯。當相同人員持續存取某個檔案一段時間 (最多 3 小時),便會記錄 FileAccessedExtended 事件。記錄 FileAccessedExtended 事件的目的在於減少持續存取某個檔案時,記錄 FileAccessed 事件的數目。這有助於減少多個 FileAccessed 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) FileAccessed 事件。

已簽入檔案

FileCheckedIn

使用者簽入他們從文件庫簽出的文件。

已簽出檔案

FileCheckedOut

使用者簽出位於文件庫中的文件。使用者可以簽出及變更與他們共用的文件。

已複製檔案

FileCopied

使用者複製網站中的文件。已複製的檔案可以儲存至該網站上的其他資料夾。

已刪除檔案

FileDeleted

使用者刪除網站中的文件。

已刪除資源回收筒中的檔案

FileDeletedFirstStageRecycleBin

使用者從網站的資源回收筒中刪除檔案。

已刪除第二階段資源回收筒中的檔案

FileDeletedSecondStageRecycleBin

使用者從網站的第二階段資源回收筒中刪除檔案。

已捨棄檔案簽出

FileCheckOutDiscarded

使用者捨棄 (或復原) 已簽出的檔案。這表示會捨棄使用者在簽出時對檔案所做的任何變更,而且不會儲存至文件庫中的文件版本。

下載的檔案

FileDownloaded

使用者從網站下載文件。

已修改檔案

FileModified

使用者或系統帳戶修改位於網站上的文件之內容或屬性。

(無)

FileModifiedExtended

這與「已修改檔案」(FileModified) 活動相關聯。當相同人員持續修改某個檔案一段時間 (最多 3 小時),便會記錄 FileModifiedExtended 事件。記錄 FileModifiedExtended 事件的目的在於減少持續修改某個檔案時,記錄 FileModified 事件的數目。這有助於減少多個 FileModified 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) FileModified 事件。

已移動檔案

FileMoved

使用者將文件從它在網站上目前的位置移動至新的位置。

已重新命名檔案

FileRenamed

使用者重新命名網站上的文件。

已還原檔案

FileRestored

使用者從網站的資源回收筒還原文件。

已上傳檔案

FileUploaded

使用者將文件上傳至網站上的資料夾。

已檢視頁面

PageViewed

使用者檢視網站上的檔案。這不包括使用網頁瀏覽器檢視文件庫中的檔案。

(無)

PageViewedExtended

這與「已檢視頁面」(PageViewed) 活動相關聯。當相同人員持續檢視某個網頁一段時間 (最多 3 小時),便會記錄 PageViewedExtended 事件。記錄 PageViewedExtended 事件的目的在於減少持續檢視某個頁面時,記錄 PageViewed 事件的數目。這有助於減少多個 PageViewed 記錄的干擾,以了解哪些基本上是同樣的使用者活動,並讓您專注在初始 (且更重要的) PageViewed 事件。

回到頁首

資料夾活動

下表說明 SharePoint Online 和商務用 OneDrive 中的資料夾活動。

易記名稱

作業

描述

已複製資料夾

FolderCopied

使用者從網站複製資料夾至 SharePoint 或商務用 OneDrive 中的另一個位置。

已建立資料夾

FolderCreated

使用者在網站上建立資料夾。

已刪除資料夾

FolderDeleted

使用者刪除網站上的資料夾。

已刪除資源回收筒中的資料夾

FolderDeletedFirstStageRecycleBin

使用者從網站的資源回收筒中刪除資料夾。

已刪除第二階段資源回收筒中的資料夾

FolderDeletedSecondStageRecycleBin

使用者從網站的第二階段資源回收筒中刪除資料夾。

已修改資料夾

FolderModified

使用者修改網站上的資料夾。這包括變更資料夾的中繼資料,例如變更標籤和屬性。

已移動資料夾

FolderMoved

使用者將資料夾移動至網站上的其他位置。

已重新命名資料夾

FolderRenamed

使用者在網站上重新命名資料夾。

已還原資料夾

FolderRestored

使用者從網站的資源回收筒中還原已刪除的資料夾。

回到頁首

共用及存取要求活動

下表說明 SharePoint Online 和商務用 OneDrive 中的使用者共用和存取要求活動。針對共用事件,[結果] 底下的 [詳細資料] 欄會識別共用項目的使用者或群組名稱,以及使用者或群組是否為貴組織中的成員或來賓。如需詳細資訊,請參閱在 Office 365 稽核記錄中使用共用稽核

附註: 根據使用者物件的 UserType 屬性,使用者可以是成員或來賓。成員通常是員工,而來賓通常是貴組織之外的共同作業者。當使用者接受共用邀請時 (而且不屬於貴組織的一部分),就會在貴組織目錄中為他們建立使用者帳戶。一旦來賓使用者在您的目錄中擁有帳戶後,就可以直接與他們共用資源 (而不需要邀請)。

易記名稱

作業

描述

已接受存取要求

AccessRequestAccepted

已接受網站、資料夾或文件的存取要求,而提出要求的使用者已獲授與存取權。

已接受共用邀請

SharingInvitationAccepted

使用者 (成員或來賓) 已接受共用邀請,並獲授與資源的存取權。此事件包括受邀的使用者,以及用來接受邀請的電子郵件地址 (它們可能不同) 之相關資訊。此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。例如,將使用者新增至擁有資源存取權的群組。

已封鎖的共用邀請

SharingInvitationBlocked

未定

已建立公司可共用連結

CompanyLinkCreated

使用者已建立資源的全公司連結。全公司連結僅可供貴組織中的成員使用。來賓無法使用這些連結。

已建立存取要求

AccessRequestCreated

使用者要求他們未擁有存取權限的網站、資料夾或文件之存取權。

已建立匿名連結

AnonymousLinkCreated

使用者已建立資源的匿名連結。任何人只要有此連結就可以存取資源,而不需要驗證。

已建立共用邀請

SharingInvitationCreated

使用者與並非貴組織目錄中的使用者共用 SharePoint Online 或商務用 OneDrive 中的資源。

已拒絕存取要求

AccessRequestDenied

已拒絕網站、資料夾或文件的存取要求。

已移除公司可共用連結

CompanyLinkRemoved

使用者已移除資源的全公司連結。無法再使用此連結存取資源。

已移除匿名連結

AnonymousLinkRemoved

使用者已移除資源的匿名連結。無法再使用此連結存取資源。

已共用的檔案、資料夾或網站

SharingSet

使用者 (成員或來賓) 已與並非貴組織目錄中的使用者共用 SharePoint 或商務用 OneDrive 中的檔案、資料夾或網站。此活動的 [詳細資料] 欄中的值會識別已共用資源的使用者名稱,以及該使用者是否為成員或來賓。此活動通常伴隨第二個事件,描述使用者如何獲授與資源的存取權。例如,將使用者新增至擁有資源存取權的群組。

已更新匿名連結

AnonymousLinkUpdated

使用者已更新資源的匿名連結。當您匯出搜尋結果時,EventData 屬性中會包括更新的欄位。

已使用匿名連結

AnonymousLinkUsed

匿名使用者已使用匿名連結來存取資源。使用者身分可能不明,但您可以取得其他詳細資料,例如使用者的 IP 位址。

已取消共用檔案、資料夾或網站

SharingRevoked

使用者 (成員或來賓) 已取消共用先前與另一個使用者共用的檔案、資料夾或網站。

已使用公司可共用連結

CompanyLinkUsed

使用者已使用全公司連結來存取資源。

已撤回共用邀請

SharingInvitationRevoked

使用者已撤回資源的共用邀請。

回到頁首

同步處理活動

下表列出 SharePoint Online 和商務用 OneDrive 中的檔案同步處理活動。

易記名稱

作業

描述

已允許電腦同步處理檔案

ManagedSyncClientAllowed

使用者與網站成功建立同步處理關聯性。成功同步處理關聯性是因為使用者的電腦為已新增至網域清單 (也稱為「安全收件者清單」) 的網域之成員,而且加入此清單者可存取貴組織中的文件庫。

如需有關此功能的詳細資訊,請參閱使用 Windows PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理

已阻擋電腦同步處理檔案

UnmanagedSyncClientBlocked

使用者嘗試與網站建立同步處理關聯性,但該網站來自並非貴組織網域的成員或為未加入網域清單 (也稱為「安全收件者清單」) 中網域的成員之電腦,而且加入此清單者可存取貴組織中的文件庫。不允許同步處理關聯性,並且禁止使用者的電腦在文件庫同步處理、下載或上傳檔案。

如需此功能的相關資訊,請參閱使用 Windows PowerShell Cmdlet 為安全收件者清單上的網域啟用 OneDrive 同步處理

已下載檔案至電腦

FileSyncDownloadedFull

使用者建立同步處理關聯性,且初次從文件庫成功下載檔案至電腦。

已下載檔案變更至電腦

FileSyncDownloadedPartial

使用者從文件庫成功下載任何變更至檔案。此活動表示,對文件庫中的檔案所做之任何變更都已下載至使用者的電腦。因為使用者之前已下載文件庫,所以只會下載變更 (如 [已下載檔案至電腦] 活動所指出)。

已下載檔案至文件庫

FileSyncUploadedFull

使用者建立同步處理關聯性,且初次從電腦成功上傳檔案至文件庫。

已上傳檔案變更至文件庫

FileSyncUploadedPartial

使用者成功上傳變更至文件庫中的檔案。此事件表示,對來自文件庫的本機版本檔案所做的任何變更已成功上傳至文件庫。因為使用者之前已上傳這些檔案 (如 [已上傳檔案至文件庫] 活動所指出),所以只會上傳變更。

回到頁首

網站系統管理活動

下表列出 SharePoint Online 中的網站系統管理工作所導致的事件。

易記名稱

作業

描述

已新增免除使用者代理程式

ExemptUserAgentSet

全域系統管理員會將使用者代理程式新增至 SharePoint 系統管理中心的免除使用者代理程式清單。

已新增網站集合系統管理員

SiteCollectionAdminAdded

網站集合系統管理員或擁有者新增一個人員,以做為網站的網站集合系統管理員。網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。

已新增使用者或群組至 SharePoint 群組

AddedToGroup

使用者已新增成員或來賓至 SharePoint 群組。這可能是刻意的動作,或另一個活動的結果 (例如共用事件)。

已允許使用者建立群組

AllowGroupCreationSet

網站系統管理員或擁有者新增權限等級至網站,以允許獲派該權限的使用者為該網站建立群組。

已變更免除使用者代理程式

CustomizeExemptUsers

全域系統管理員已自訂 SharePoint 系統管理中心的免除使用者代理程式清單。您可以指定要免除哪些使用者代理程式,以免於接收整個網頁進行索引。這表示當您已指定為免除的使用者代理程式遇到 InfoPath 表單,該表單將會以 XML 檔案的形式傳回,而不是整個網頁。這樣在進行 InfoPath 表單索引時會更迅速。

已變更共用原則

SharingPolicyChanged

系統管理員已透過 Office 365 系統管理入口網站、SharePoint 系統管理入口網站或 SharePoint Online 管理介面,變更 SharePoint 共用原則。系統將會記錄貴組織中的任何共用原則設定之變更。當您匯出搜尋結果時,會在 ModifiedProperty 欄位屬性中識別到已變更的原則。

已建立群組

GroupAdded

網站系統管理員或擁有者為網站建立群組,或執行導致建立群組的工作。例如,當使用者初次建立連結以共用檔案時,會在使用者的商務用 OneDrive 網站中新增一個系統群組。此事件也可以是使用者透過編輯權限建立共用檔案的連結之結果。

已建立 [傳送至] 連線

SendToConnectionAdded

全域系統管理員在 SharePoint 系統管理中心的 [記錄] 管理頁面上建立新的 [傳送至] 連線。[傳送至] 連線會指定文件存放庫或記錄中心的設定。當您建立 [傳送至] 連線時,[內容組合管理] 可提交文件至指定的位置。

已建立網站集合

SiteCollectionCreated

全域系統管理員在您的 SharePoint Online 組織中建立新的網站集合。

已刪除群組

GroupRemoved

使用者刪除網站中的群組。

已刪除 [傳送至] 連線

SendToConnectionRemoved

全域系統管理員在 SharePoint 系統管理中心的 [記錄] 管理頁面上刪除 [傳送至] 連線。

已刪除網站

SiteDeleted

網站系統管理員刪除網站。

已啟用文件預覽

PreviewModeEnabledSet

網站系統管理員啟用網站的文件預覽。

已啟用舊版工作流程

LegacyWorkflowEnabledSet

網站系統管理員或擁有者在網站中新增 SharePoint 2013 工作流程工作內容類型。全域系統管理員也可以在 SharePoint 系統管理中心為整個組織啟用工作流程。

已啟用 Office on Demand

OfficeOnDemandSet

網站系統管理員啟用 Office on Demand,這可讓使用者存取最新版的 Office 傳統型應用程式。Office on Demand 已在 SharePoint 系統管理中心啟用,而且需要有包含完整、已安裝 Office 應用程式的 Office 365 訂閱。

已啟用 RSS 摘要

NewsFeedEnabledSet

網站系統管理員或擁有者啟用網站的 RSS 摘要。全域系統管理員可以在 SharePoint 系統管理中心為整個組織啟用 RSS 摘要。

已修改網站權限

SitePermissionsModified

網站系統管理員或擁有者 (或系統帳戶) 變更已指派給網站上的群組之權限等級。如果已移除群組中的所有權限,也會記錄此活動。

附註: 此作業在 SharePoint Online 中已遭取代。若要尋找相關事件,您可以搜尋其他權限相關活動,例如 [已新增網站集合系統管理員]、[已新增使用者或群組到 SharePoint 群組]、[已允許使用者建立群組]、[已建立群組] 及 [已刪除群組]。

已移除 SharePoint 群組中的使用者或群組

RemovedFromGroup

使用者已移除 SharePoint 群組中的成員或來賓。這可能是刻意的動作,或另一個活動的結果 (例如取消共用事件)。

已重新命名網站

SiteRenamed

網站系統管理員或擁有者重新命名網站

要求的網站系統管理員權限

SiteAdminChangeRequest

使用者要求新增成為網站集合的網站集合系統管理員。網站集合系統管理員擁有網站集合及所有子網站的完全控制權限。

已設定主機網站

HostSiteSet

全域系統管理員將指定的網站變更為託管個人或商務用 OneDrive 網站。

已更新群組

GroupUpdated

網站系統管理員或擁有者變更網站的群組之設定。這可以包括變更群組的名稱、誰能夠檢視或編輯群組成員資格,以及如何處理成員資格要求。

回到頁首

Exchange 信箱活動

下表列出信箱稽核記錄可以記錄的活動。系統會記錄信箱擁有者、指定的使用者或系統管理員所執行的信箱活動。根據預設,Office 365 中的信箱稽核並未開啟。您必須開啟每個信箱的信箱稽核記錄,才能記錄信箱活動。如需詳細資訊,請參閱啟用 Office 365 中的信箱稽核

易記名稱

作業

描述

已複製郵件到另一個資料夾

Copy

郵件已複製到另一個資料夾。

已建立或收到的郵件

Create

已在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立項目;例如已建立新會議邀請。請注意,不會稽核郵件或資料夾建立。

已刪除 [刪除的郵件] 資料夾中的郵件

SoftDelete

郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。這些項目會移動至 [可復原的項目] 資料夾。當使用者選取郵件並按 Shift+Delete 時,也會將郵件移動至 [可復原的項目] 資料夾。

已複製郵件至另一個資料夾

Move

郵件已移到另一個資料夾。

已移動郵件至 [刪除的郵件] 資料夾

MoveToDeletedItems

郵件已遭刪除並移至 [刪除的郵件] 資料夾。

已清除信箱中的郵件

HardDelete

已清除 [可復原的項目] 資料夾中的郵件 (從信箱中永久刪除)。

已使用 [傳送為] 權限傳送郵件

SendAs

已使用 SendAs 權限傳送郵件。這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。

已使用 [代理傳送者] 權限傳送郵件

SendOnBehalf

已使用 [代理傳送者] 權限傳送郵件。這表示另一個使用者已代理信箱擁有者傳送郵件。此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。

已更新郵件

Update

郵件或其屬性已變更。

使用者已登入信箱

MailboxLogin

使用者已登入他們的信箱。

回到頁首

Sway 活動

下表列出 Sway 中的使用者和系統管理員活動。Sway 是一個 Office 365 App,可協助使用者在互動式 Web 畫布上收集、格式化,以及分享想法、故事及簡報。如需詳細資訊,請參閱 Sway 的常見問題集 - 系統管理說明

易記名稱

作業

描述

已變更 Sway 分享層級

SwayChangeShareLevel

使用者變更 Sway 的分享層級。此事件捕捉使用者對與 Sway 關聯的分享範圍之變更,例如公用與組織內部。

已建立 Sway

SwayCreate

使用者建立 Sway。

已刪除 Sway

SwayDelete

使用者刪除 Sway。

已停用 Sway 複製

SwayDisableDuplication

使用者停用複製 Sway。

已複製 Sway

SwayDuplicate

使用者複製 Sway。

已編輯 Sway

SwayEdit

使用者編輯 Sway。

已啟用 Sway 複製

EnableDuplication

使用者啟用複製 Sway;根據預設,會啟用讓使用者啟用複製 Sway 的功能。

已撤銷 Sway 分享

SwayRevokeShare

使用者透過撤銷 Sway 的存取權來停止分享。撤銷存取權會改變與 Sway 關聯的連結。

已分享 Sway

SwayShare

使用者打算分享 Sway。此事件擷取使用者在 Sway 分享功能表中按一下特定分享目的地的這個動作。此事件不會指出使用者是否已完成分享動作。

已關閉 Sway 的外部分享

SwayExternalSharingOff

系統管理員透過 Office 365 系統管理中心為整個組織停用外部 Sway 分享。

已開啟 Sway 的外部分享

SwayExternalSharingOn

系統管理員透過 Office 365 系統管理中心為整個組織啟用外部 Sway 分享。

已關閉 Sway 服務

SwayServiceOff

系統管理員透過 Office 365 系統管理中心為整個組織停用 Sway。

已開啟 Sway 服務

SwayServiceOn

系統管理員透過 Office 365 系統管理中心為整個組織啟用 Sway (Sway 服務預設為啟用)。

已檢視 Sway

SwayView

使用者檢視 Sway。

回到頁首

使用者系統管理活動

下表列出當系統管理員透過 Office 365 系統管理中心或 Azure 管理入口網站新增或變更使用者帳戶時,會記錄的使用者系統管理活動。

活動

作業

描述

已新增使用者

新增使用者

已建立 Office 365 使用者帳戶。

已變更使用者授權

變更使用者授權

指派給使用者的授權已變更。若要查看哪些授權已變更,請參閱對應的 [更新的使用者] 活動。

已變更使用者密碼

變更使用者密碼

系統管理員已變更使用者的密碼。

已刪除使用者

刪除使用者

已刪除 Office 365 使用者帳戶。

已重設使用者密碼

重設使用者密碼

系統管理員已重設使用者的密碼。

已設定強制使用者變更密碼的屬性

設定強制變更使用者密碼

系統管理員已設定在使用者下次登入 Office 365 時,強制使用者變更密碼的屬性。

已設定授權屬性

設定授權屬性

系統管理員修改已指派給使用者之授權的屬性。

已更新使用者

更新使用者

系統管理員變更使用者帳戶的一或多個屬性。如需可更新的使用者屬性之清單,請參閱 Azure Active Directory 稽核報告事件中的<更新使用者屬性>一節。

回到頁首

Azure AD 群組系統管理活動

下表列出當系統管理員或使用者建立或變更 Office 365 群組時,或當系統管理員透過 Office 365 系統管理中心或 Azure 管理入口網站建立安全性群組時,會記錄的群組系統管理活動。如需有關 Office 365 中群組的詳細資訊,請參閱檢視、建立及刪除 Office 365 系統管理中心的群組

易記名稱

作業

描述

已新增群組

新增群組

已建立群組。

已將成員新增至群組中

將成員新增至群組中

已將成員新增至群組中。

已刪除群組

刪除群組

已刪除群組。

已移除群組中的成員

移除群組中的成員

已移除群組中的成員。

已更新群組

更新群組

已變更群組的屬性。

回到頁首

應用程式系統管理活動

下表列出當系統管理員新增或變更已在 Azure AD 中註冊的應用程式時,會記錄的應用程式系統管理活動。任何仰賴 Azure AD 進行驗證的應用程式都必須在目錄中註冊。

易記名稱

作業

描述

已新增委派項目

新增委派項目

已對 Azure AD 中的應用程式建立/授與驗證權限。

已新增服務主體

新增服務主體

已在 Azure AD 中註冊應用程式。應用程式在目錄中是由服務主體代表。

已新增認證至服務主體

新增服務主體認證

已將認證新增至 Azure AD 中的服務主體。服務主體代表目錄中的應用程式。

已移除委派項目

移除委派項目

已移除 Azure AD 中的應用程式驗證權限。

已移除目錄中的服務主體

移除服務主體

已將 Azure AD 中的應用程式刪除/取消註冊。應用程式在目錄中是由服務主體代表。

已移除服務主體中的認證

移除服務主體認證

已移除 Azure AD 中的服務主體之認證。服務主體代表目錄中的應用程式。

已設定委派項目

設定委派項目

已更新 Azure AD 中的應用程式驗證權限。

回到頁首

角色系統管理活動

下表列出當系統管理員管理 Office 365 系統管理中心或 Azure 管理入口網站中的系統管理員角色時,會記錄的 Azure AD 角色管理活動。

易記名稱

作業

描述

將成員新增至 [角色] 中

將角色成員新增至角色

已將使用者新增至 Office 365 中的系統管理員角色。

已從目錄角色中移除使用者

從角色中移除角色成員

已從 Office 365 中的系統管理員角色中移除使用者。

已設定公司連絡人資訊

設定公司連絡人資訊

已更新您的 Office 365 組織之公司層級的連絡人喜好設定。這包括由 Office 365 所傳送與訂閱相關之電子郵件的電子郵件地址,以及有關 Office 365 服務的技術通知。

回到頁首

目錄系統管理活動

下表列出當系統管理員在 Office 365 系統管理中心或 Azure 管理入口網站中管理他們的 Office 365 組織時,會記錄的 Azure AD 目錄和網域相關活動。

易記名稱

作業

描述

已將網域新增至公司

將網域新增至公司

已將網域新增至您的 Office 365 組織。

已將合作夥伴新增至目錄

將合作夥伴新增至公司

已將合作夥伴 (委派系統管理員) 新增至您的 Office 365 組織。

已從公司中移除網域

從公司中移除網域

已從您的 Office 365 組織中移除網域。

已從目錄中移除合作夥伴

從公司中移除合作夥伴

已從您的 Office 365 組織中移除合作夥伴 (委派系統管理員)。

已設定公司資訊

設定公司資訊

已更新您的 Office 365 組織之公司資訊。這包括由 Office 365 所傳送與訂閱相關之電子郵件的電子郵件地址,以及有關 Office 365 服務的技術通知。

已設定網域驗證

設定網域驗證

已變更您的 Office 365 組織之網域驗證設定。

已更新網域的同盟設定

設定網域上的同盟設定

已變更您的 Office 365 組織之同盟 (外部共用) 設定。

已設定密碼原則

設定密碼原則

已變更您的 Office 365 組織中使用者密碼的長度和字元限制。

已開啟 Azure AD 同步處理

設定公司上的 DirSyncEnabled 標幟

設定可為 Azure AD 同步處理啟用目錄的屬性。

已更新網域

更新網域

已更新您的 Office 365 組織中的網域設定。

已驗證網域

驗證網域

已驗證貴組織是網域的擁有者。

已驗證電子郵件已驗證網域

驗證電子郵件已驗證網域

使用電子郵件驗證來驗證貴組織是否為網域的擁有者。

回到頁首

電子文件探索活動

[內容搜尋] 和在 Office 365 安全性與合規性中心中執行或透過執行 Windows PowerShell cmdlet 的電子文件探索相關活動,會記錄在 Office 365 稽核記錄中。這包括下列活動:

  • 建立及管理電子文件探索案例

  • 建立、開啟及編輯 [內容搜尋]

  • 執行 [內容搜尋] 動作,例如預覽、匯出及刪除搜尋結果

  • 設定 [內容搜尋] 的權限篩選

  • 管理電子文件探索系統管理員角色

如需已記錄的電子文件探索活動之清單和詳細描述,請參閱搜尋 Office 365 稽核記錄中的電子文件探索活動

回到頁首

Power BI 活動

下表列出 Office 365 稽核記錄中記錄的 Power BI 使用者和系統管理員活動。

易記名稱

作業

描述

已新增 Power BI 群組成員

AddGroupMembers

成員已新增到 Power BI 群組工作區。

已分析 Power BI 資料集

AnalyzedByExternalApplication

由外部應用程式分析的資料集。

已建立 Power BI 儀表板

CreateDashboard

已建立新的儀表板。

已建立 Power BI 群組

CreateGroup

已建立群組。

已建立組織的 Power BI 內容套件

CreateOrgApp

已建立組織的內容套件。

已刪除 Power BI 儀表板

DeleteDashboard

已刪除儀表板。

已刪除 Power BI 資料集

DeleteDataset

已刪除資料集。

已刪除 Power BI 報表

DeleteReport

已刪除報表。

已下載 Power BI 報表

DownloadReport

使用者會將 Power BI 報表從服務下載到電腦。

已編輯 Power BI 儀表板

EditDashboard

已重新命名儀表板。

已匯出 Power BI 報表視覺資料

ExportReport

資料已從報表磚匯出。

已匯出 Power BI 磚資料

ExportTile

資料已從儀表板磚匯出。

已列印 Power BI 儀表板

PrintDashboard

已列印儀表板。

已列印 Power BI 報表頁面

PrintReport

已列印報表。

已將 Power BI 報表發佈至 Web

PublishToWebReport

報表已發佈至 Web。

已共用 Power BI 儀表板

ShareDashboard

已共用儀表板。

已啟動的 Power BI 試用版

OptInForProTrial

使用者會啟動 Power BI Pro 試用版訂閱。

更新組織的 Power BI 設定

UpdatedAdminFeatureSwitch

系統管理員變更了 Power BI 系統管理入口網站中的組織設定。

已檢視 Power BI 儀表板

ViewDashboard

已檢視儀表板。

已檢視 Power BI 報表

ViewReport

已檢視報表。

回到頁首

Microsoft Teams 活動

下表列出 Microsoft Teams 稽核記錄中記錄的 Office 365 使用者和系統管理員活動。Microsoft Teams 是 Office 365 中以聊天方式為主的工作區。它能將小組的交談、會議、檔案及筆記存放在同一個位置。如需詳細資訊以及說明主題的連結,請參閱:

易記名稱

作業

描述

已將機器人新增到小組

BotAddedToTeam

使用者在小組中新增機器人。

新增頻道

ChannelAdded

使用者在小組中新增頻道。

已新增連接器

ConnectorAdded

使用者在頻道中新增連接器。

已新增索引標籤

TabAdded

使用者在頻道中新增索引標籤。

已變更的設定 (舊版)

SettingChanged

SettingChanged 作業將會在近期內遭到取代。已在變更頻道、組織和小組設定時記錄此作業。

請使用 [已變更的頻道設定]、[已變更的組織設定] 和 [已變更的小組設定] 活動,來搜尋您之前搜尋 SettingChanged 作業稽核記錄時所記錄的事件。

已變更的頻道設定

ChannelSettingChanged

當小組成員執行下列活動時,系統會將 ChannelSettingChanged 作業記錄下來。稽核記錄搜尋結果的 [項目] 欄中,會針對這些活動個別顯示所變更設定的描述 (如下列括號所示)。

  • 變更小組頻道名稱 ([頻道名稱])。

  • 變更小組頻道描述 ([頻道描述])。

已變更的組織設定

OrganizationSettingChanged

當全域系統管理員 (使用 Office 365 系統管理中心) 執行下列活動時,系統會將 OrganizationSettingChanged 作業記錄下來;請注意,這些活動會影響整個組織的 Microsoft Teams 設定。如需詳細資訊,請參閱 Microsoft Teams 的系統管理員設定

稽核記錄搜尋結果的 [項目] 欄中,會針對這些活動個別顯示所變更設定的描述 (如下列括號所示)。

  • 啟用或停用組織的 Microsoft Teams ([Microsoft Teams])。

  • 啟用或停用組織在 Microsoft Teams 和商務用 Skype 之間的互通性 ([商務用 Skype 互通性])。

  • 啟用或停用 Microsoft Teams 用戶端中的組織圖檢視 ([組織圖檢視])。

  • 啟用或停用小組成員排程私人會議的能力 ([私人會議排程])。

  • 啟用或停用小組成員排程頻道會議的能力 ([頻道會議排程])。

  • 啟用或停用 Teams 會議中的視訊通話 ([Skype 視訊會議])。

  • 啟用或停用組織在 Microsoft Teams 聚會中的螢幕畫面分享功能 ([Skype 會議螢幕畫面分享])。

  • 啟用或停用新增動畫影像 (稱為 Giphy) 至 Teams 交談的功能 ([動畫影像])。

  • 變更組織的內容分級設定 ([內容分級])。

    內容分級會限制交談中可以顯示的動畫影像類型。

  • 啟用或停用小組成員將來自網際網路的自訂影像 (稱為自訂 meme) 新增至小組交談的能力 ([來自網際網路的自訂影像])。

  • 啟用或停用小組成員將來自網際網路的可編輯影像 (稱為貼紙) 新增至小組交談的能力 ([可編輯的貼紙])。

  • 啟用或停用小組成員在 Microsoft Teams 聊天和頻道中使用機器人的能力 ([全組織機器人])。

  • 啟用特定的 Microsoft Teams 機器人;但不包括 T-Bot,也就是當組織啟用機器人功能時可用的 Teams 說明機器人 ([個人機器人])。

  • 啟用或停用小組成員新增擴充功能或分頁的能力 ([擴充功能或分頁])。

  • 啟用或停用 Microsoft Teams 專屬機器人的側載功能 ([機器人側載])。

  • 啟用或停用使用者傳送電子郵件至 Microsoft Teams 頻道的能力 ([頻道電子郵件])。

已變更的小組設定

TeamSettingChanged

當小組系統管理員執行下列活動時,會將 TeamSettingChanged 作業記錄下來。稽核記錄搜尋結果的 [項目] 欄中,會針對這些活動個別顯示所變更設定的描述 (如下列括號所示)。

  • 變更小組存取類型。您可以將小組設定為 [私人] 或 [公開] ([小組存取類型])。

    當小組設為私人時 (此為預設設定),使用者僅能透過受邀的方式存取該小組。當小組設為公開時,任何人都可以找到該小組。

  • 變更小組的資訊分類 ([小組分類])。

    例如,小組資料可以分類為高業務衝擊、中業務衝擊或低業務衝擊。

  • 變更小組名稱 ([小組名稱])。

  • 變更小組描述 ([小組描述])。

已建立小組

TeamCreated

使用者建立新的小組。

已刪除頻道

ChannelDeleted

使用者從小組中刪除頻道。

已刪除小組

TeamDeleted 

小組系統管理員刪除小組。

已將機器人從小組中移除

BotRemovedFromTeam

使用者將機器人從小組中移除。

已移除連接器

ConnectorRemoved

使用者將連接器從頻道中移除。

已移除索引標籤

TabRemoved

使用者將索引標籤從頻道中移除。

使用者已登入 Teams

TeamsSessionStarted

使用者登入 Microsoft Teams 用戶端。

回到頁首

Yammer 活動

下表列出 Office 365 稽核記錄中記錄的 Yammer 使用者和系統管理員活動。若要從 Office 365 稽核記錄傳回 Yammer 相關活動,您必須在 [活動] 清單中選取 [顯示所有活動的結果]。使用 [日期範圍] 方塊與 [使用者] 清單來縮小搜尋結果。

易記名稱

作業

描述

已變更資料保留原則

SoftDeleteSettingsUpdated

驗證系統管理員將網路資料保留原則的設定更新為 [實刪除] 或 [虛刪除]。僅限驗證系統管理員可以執行這項作業。

已變更網路設定

NetworkConfigurationUpdated

網路或驗證系統管理員變更 Yammer 網路的設定。這包括設定匯出資料的間隔和啟用聊天。

已變更網路設定檔設定

ProcessProfileFields

網路或驗證系統管理員變更網路使用者網路的成員個人檔案顯示資訊。

已變更私人內容模式

SupervisorAdminToggled

驗證系統管理員開啟或關閉「私人內容模式」。這個模式可讓系統管理員檢視私人群組中的文章以及個別使用者 (或使用者群組) 之間的私人訊息。僅限驗證系統管理員可以執行這項作業。

已變更安全性設定

NetworkSecurityConfigurationUpdated

驗證系統管理員更新 Yammer 網路的安全性設定。這包括設定密碼過期原則及 IP 位址的限制。僅限驗證系統管理員可以執行這項作業。

已建立檔案

FileCreated

使用者上傳檔案。

已建立群組

GroupCreation

使用者建立新的群組。

已刪除群組

GroupDeletion

從 Yammer 刪除群組。

已刪除訊息

MessageDeleted

使用者刪除訊息。

下載的檔案

FileDownloaded

使用者下載檔案。

已匯出資料

DataExport

驗證系統管理員匯出 Yammer 網路資料。僅限驗證系統管理員可以執行這項作業。

已共用檔案

FileShared

使用者與其他使用者共用檔案。

已將網路使用者停權

NetworkUserSuspended

網路或驗證系統管理員將 Yammer 的使用者停權 (停用)。

已將使用者停權

UserSuspension

已將使用者帳戶停權 (已停用)。

已更新檔案描述

FileUpdateDescription

使用者變更檔案的描述。

已更新檔案名稱

FileUpdateName

使用者變更檔案的名稱。

已檢視檔案

FileVisited

使用者檢視檔案。

回到頁首

Exchange 系統管理員稽核記錄

Exchange 系統管理員稽核記錄功能 (在 Office 365 中預設為啟用),當系統管理員 (或獲派系統管理權限的使用者) 在您的 Exchange Online 組織中變更時,會將事件記錄在 Office 365 稽核記錄中。透過 Exchange 系統管理中心或透過在 Windows PowerShell 中執行 Cmdlet 所做的變更,都會記錄在 Exchange 系統管理員稽核記錄中。如需有關 Exchange 系統管理員稽核記錄的詳細資訊,請參閱系統管理員稽核記錄功能。下列是在 Exchange 系統管理員稽核記錄中搜尋活動的一些祕訣:

  • 若要從 Exchange 系統管理員稽核記錄傳回項目,您必須在 [活動] 清單中選取 [顯示所有活動的結果]。使用 [日期範圍] 方塊和 [使用者] 清單,以將由特定 Exchange 系統管理員執行的 Cmdlet 搜尋結果縮小為在特定日期範圍之內。

  • 若要顯示來自 Exchange 系統管理員稽核記錄的事件,請篩選搜尋結果,並在 [活動] 篩選方塊中輸入 (破折號)。系統會顯示那些顯示於 Exchange 系統管理員事件 [活動] 欄中的 Cmdlet 名稱。接著,您可以將 Cmdlet 名稱依字母順序排序顯示。

    在 [活動] 方塊中輸入虛線以篩選 Exchange 系統管理員事件
  • 如需取得有關 Cmdlet 執行內容、使用哪些參數和參數值,以及影響哪些物件等相關資訊,您必須匯出搜尋結果並選取 [下載所有結果] 選項。

回到頁首

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×