Схема API действий управления Office 365 предоставляется в виде службы данных на двух уровнях:
Общая схема. Интерфейс для доступа к ключевым понятиям аудита Office 365, таким как "тип записи", "время создания", "тип пользователя" и "действие", а также для предоставления основных измерений (например, ИД пользователя) и свойств, характерных для расположения (например, IP-адрес клиента) и службы (например, ИД объекта). Эта схема обеспечивает согласованные и однородные представления, с помощью которых пользователи могут извлекать любые данные аудита Office 365 в нескольких представлениях верхнего уровня на основе соответствующих параметров. Кроме того, это фиксированная схема для всех источников данных, которая позволяет значительно сократить затраты на обучение. Общая схема создается основе данных о продуктах, например Exchange, SharePoint, Azure Active Directory, Yammer и OneDrive для бизнеса, каждый из которых разрабатывает отдельная группа. Группы разработчиков продуктов Microsoft 365 могут дополнять поле "ИД объекта", добавляя свойства конкретных служб.
Схема для конкретной службы. Создается на основе общей схемы, чтобы предоставить набор атрибутов для конкретной службы Microsoft 365. Примеры: схема SharePoint, схема OneDrive для бизнеса и схема администрирования Exchange.
Схемы API управления Office 365
В этой статье содержатся сведения о общей схеме, а также о схемах, относящихся к службе. Доступные схемы приведены в таблице ниже.
Представление, позволяющее извлекать значения типа записи, ИД пользователя, IP-адреса клиента, типа пользователя и действия, а также ключевые измерения, такие как свойства пользователя (например, UserID), свойства расположения (например, IP-адрес клиента) и свойства службы (например, ИД объекта).
События включают в себя то, как и когда взаимодействовать с Copilot, в котором служба Microsoft 365 выполняет действие, и ссылки на файлы, хранящиеся в Microsoft 365, которые были доступны во время взаимодействия.
Дополняет базовую схему безопасности центра обработки данных свойствами, характерными для всех данных аудита командлетов для обеспечения безопасности центра обработки данных.
Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType.
CreationTime
Edm.Date
Да
Дата и время в формате UTC, когда была создана запись журнала аудита.
Operation
Edm.String
Да
Название действия пользователя или администратора. Описание основных операций и действий см. в статье Поиск в журнале аудита в центре защиты Office 365. Что касается действий администратора Exchange, это свойство определяет имя запущенного командлета. Для событий защиты от потери данных этот параметр может иметь значение DlpRuleMatch, DlpRuleUndo или DlpInfo, которые описаны в разделе "Схема защиты от потери данных" ниже.
OrganizationId
Edm.Guid
Да
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
Тип пользователя, который выполнил операцию. Сведения о типах пользователей см. в таблице UserType.
UserKey
Edm.String
Да
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
Workload
Edm.String
Да
Служба Office 365, в которой было выполнено действие.
ResultStatus
Edm.String
Нет
Указывает, успешно ли выполнено действие (указанное в свойстве Operation). Возможные значения: Succeeded, PartiallySucceeded или Failed. Для действий администратора Exchange этот параметр может иметь значение True или False.
Внимание! Различные рабочие нагрузки могут перезаписывать значение свойства ResultStatus. Например, для событий входа Microsoft Entra ID STS значение Succeeded для ResultStatus указывает только на то, что операция HTTP прошла успешно. Это не означает, что вход был выполнен успешно. Чтобы определить, был ли фактический вход успешным, см. свойство LogonError в схеме входа в Microsoft Entra ID STS. При сбое входа значение этого свойства будет содержать причину неудачной попытки входа.
ObjectId
Edm.string
Нет
Для действий SharePoint и OneDrive для бизнеса этот параметр указывает на полное имя пути к файлу или папке, к которым получает доступ пользователь. Что касается ведения журнала аудита действий администратора Exchange, это имя объекта, измененного командлетом. Для службы облачной политики — идентификатор объекта конфигурации политики.
UserId
Edm.string
Да
Имя участника-пользователя, который выполнил действие (указанное в свойстве Operation), приведшее к добавлению записи в журнал (например, my_name@my_domain_name). Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в статье Пользователь app@sharepoint в записях аудита.
ClientIP
Edm.String
Да
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие.
Кроме того, для событий, связанных с Microsoft Entra ID, IP-адрес не регистрируется, а для свойства ClientIP используется nullзначение .
Создано ли это событие в размещенной службе Office 365 или на локальном сервере? Возможные значения: online и onprem. Обратите внимание, что сейчас данные о событиях отправляются с локального сервера в Office 365 только SharePoint.
Контекст приложения пользователя или субъекта-службы, которые выполнили действие.
Enum: AuditLogRecordType; Type: Edm.Int32
AuditLogRecordType
Значение
Имя элемента
Описание
1
ExchangeAdmin
События из журнала аудита действий администратора Exchange.
2
ExchangeItem
События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с одним элементом, таких как создание или получение электронного сообщения.
3
ExchangeItemGroup
События из журнала аудита почтовых ящиков Exchange для действий, которые выполняются с несколькими элементами, таких как перемещение или удаление одного либо нескольких электронных сообщений.
4
SharePoint
События SharePoint.
6
SharePointFileOperation
События операций с файлами SharePoint.
7
OneDrive
События OneDrive для бизнеса.
8
AzureActiveDirectory
события Microsoft Entra ID.
9
AzureActiveDirectoryAccountLogon
Microsoft Entra ID события входа в OrgId (не рекомендуется).
10
DataCenterSecurityCmdlet
События, связанные с командлетами для обеспечения безопасности центра обработки данных.
11
ComplianceDLPSharePoint
События защиты от потери данных в SharePoint и OneDrive для бизнеса.
13
ComplianceDLPExchange
События защиты от потери данных в Exchange, если настройка выполняется с помощью единой политики защиты от потери данных. События защиты от потери данных, основанные на правилах транспорта Exchange, не поддерживаются.
14
SharePointSharingOperation
События общего доступа в SharePoint.
15
AzureActiveDirectoryStsLogon
События входа в службу маркеров безопасности (STS) в Microsoft Entra ID.
16
SkypeForBusinessPSTNUsage
События телефонной сети общего пользования (ТСОП) из Skype для бизнеса.
17
SkypeForBusinessUsersBlocked
События заблокированных пользователей из Skype для бизнеса.
18
SecurityComplianceCenterEOPCmdlet
Действия администратора из Центра безопасности и соответствия требованиям.
19
ExchangeAggregatedOperation
Обобщенные события аудита почтового ящика Exchange.
20
PowerBIAudit
События Power BI.
21
CRM
События Dynamics 365.
22
Yammer
События Yammer.
23
SkypeForBusinessCmdlets
События Skype для бизнеса.
24
Discovery
События для действий обнаружения электронных данных, выполняемых при поиске контента и управлении обращениями для обнаружения электронных данных в Центре безопасности и соответствия требованиям.
25
MicrosoftTeams
События из Microsoft Teams.
28
ThreatIntelligence
События фишинга и вредоносных программ из Exchange Online Protection и Microsoft Defender для Office 365.
29
MailSubmission
События отправки из Exchange Online Protection и Microsoft Defender для Office 365.
30
MicrosoftFlow
События Microsoft Power Automate (ранее Microsoft Flow).
31
AeD
События Advanced eDiscovery.
32
MicrosoftStream
События Microsoft Stream.
33
ComplianceDLPSharePointClassification
События, связанные с классификацией защиты от потери данных в SharePoint.
34
ThreatFinder
События, связанные с кампанией из Microsoft Defender для Office 365.
35
Project
События Microsoft Project.
36
SharePointListOperation
События списка SharePoint.
37
SharePointCommentOperation
События комментариев SharePoint.
38
DataGovernance
Событиях, связанные с политиками хранения и метками хранения в Центре безопасности и соответствия требованиям
39
Kaizala
События Kaizala.
40
SecurityComplianceAlerts
Сигналы оповещений по безопасности и соответствию требованиям.
41
ThreatIntelligenceUrl
События времени блокировки безопасных ссылок и переопределения блокировки из Microsoft Defender для Office 365.
42
SecurityComplianceInsights
События, связанные с аналитикой и отчетами в Центре безопасности и соответствия требованиям Office 365.
43
MIPLabel
События, связанные с обнаружением в транспортном конвейере сообщений электронной почты, помеченных (вручную или автоматически) с помощью меток конфиденциальности.
44
WorkplaceAnalytics
События Workplace Analytics
45
PowerAppsApp
События Power Apps.
46
PowerAppsPlan
События плана подписки для Power Apps.
47
ThreatIntelligenceAtpContent
События фишинга и вредоносных программ для файлов в SharePoint, OneDrive для бизнеса и Microsoft Teams из Microsoft Defender для Office 365.
Маркер доступа для событий, успешно выданных ресурсом.
280
VivaPulseResponse
Viva события отклика на опрос Pulse.
281
VivaPulseOrganizer
Viva мероприятия организатора опроса Pulse.
282
VivaPulseAdmin
Viva события администрирования Pulse.
283
VivaPulseReport
Viva события, связанные с отчетом Pulse.
287
ProjectForThewebAssignedToMeSettings
Microsoft Project в Интернете назначенные мне события параметров клиента.
288
CloudPolicyService
События из службы облачной политики.
298
BackupPolicy
События, связанные с политиками Резервное копирование Microsoft 365.
299
RestoreTask
События, связанные с задачами восстановления Резервное копирование Microsoft 365.
300
RestoreItem
События, связанные с артефактами, резервные копии с помощью Резервное копирование Microsoft 365.
301
BackupItem
События, связанные с восстановлением элементов с помощью Резервное копирование Microsoft 365.
332
ComplianceSettingsChange
События изменения параметров соответствия требованиям Microsoft Purview.
337
CloudUpdateProfileConfig
События из конфигурации профиля облачного обновления.
338
CloudUpdateTenantConfig
События из конфигурации клиента облачного обновления.
339
CloudUpdateDeviceConfig
События из конфигурации управляемых устройств в облачном обновлении.
Enum: User Type; Type: Edm.Int32
User Type
Значение
Имя элемента
Описание
0
Regular
Обычный пользователь без разрешений администратора.
1
Reserved
Зарезервированное значение, а не для использования.
2
Admin
Администратор в организации Microsoft 365. **
3
DCAdmin
Администратор центра обработки данных Майкрософт или системная учетная запись центра обработки данных.
4
System
Событие аудита, активируется логикой на стороне сервера. Например, службы Windows или фоновые процессы.
5
Application
Событие аудита, активируется приложением Microsoft Entra.
6
ServicePrincipal
Субъект-служба.
7
CustomPolicy
Клиент, созданная или управляемая политика.
8
SystemPolicy
Под управлением Майкрософт или системная политика.
9
PartnerTechnician
Пользователь клиента партнера, работающий от имени клиента клиента (в сценариях GDAP).
10
Guest
Гостевой или анонимный пользователь.
Примечание.
** Для Microsoft Entra связанных событий значение администратора не используется в записи аудита. Записи аудита для действий, выполняемых администраторами, будут указывать, что обычный пользователь (например, UserType: 0) выполнил действие. Свойство UserID идентифицирует пользователя (обычного пользователя или администратора), выполнившего это действие.
Enum: AuditLogScope; Type: Edm.Int32
AuditLogScope
Значение
Имя элемента
Описание
0
Online
Это событие создано в размещенной службе Office 365.
1
Onprem
Это событие создано на локальном сервере.
Сложный тип AppAccessContext
Параметры
Тип
Обязательный?
Описание
AADSessionId
Edm.String
Нет
Microsoft Entra SessionId входа Entra, который был выполнен приложением от имени пользователя.
APIId
Edm.String
Нет
ИД пути API, используемого для доступа к ресурсу, например, доступа через API Microsoft Graph.
ClientAppId
Edm.String
Нет
Идентификатор приложения Microsoft Entra, которое выполнило доступ от имени пользователя.
ClientAppName
Edm.String
Нет
Имя приложения Microsoft Entra, которое осуществлял доступ от имени пользователя.
CorrelationId
Edm.String
Нет
Идентификатор, который можно использовать для коррелирования действий определенного пользователя в службах Microsoft 365.
UniqueTokenId
Edm.String
Нет
Значение UniqueTokenId устанавливается, если маркер Microsoft Entra доступен для запроса. Это уникальный идентификатор маркера с учетом регистра.
IssuedAtTime
Edm.Date
Нет
Значение "Выдано" устанавливается, если маркер Microsoft Entra доступен для запроса и указывает, когда была выполнена проверка подлинности для этого маркера Microsoft Entra.
Базовая схема SharePoint
Параметр
Тип
Обязательный?
Описание
Site
Edm.Guid
Нет
GUID сайта, на котором расположены файл или папка, к которым получил доступ пользователь.
Сведения об операциях синхронизации устройств. Сообщаются, только если присутствуют в запросе.
ListItemUniqueId
Edm.Guid
Нет
GUID уникально идентифицируемого элемента списка. Эта информация представлена только в том случае, если она применима.
ListId
Edm.Guid
Нет
GUID списка. Эта информация представлена только в том случае, если она применима.
ApplicationId
Edm.String
Нет
ID приложения, которое выполняет операцию.
ApplicationDisplayName
Edm.String
Нет
Видимое пользователю имя приложения, которое выполняет операцию.
IsWorkflow
Edm.Boolean
Нет
Этой переменной присваивается значение True, если SharePoint инициировал событие, подлежащее аудиту.
Enum: ItemType; Type: Edm.Int32
ItemType
Значение
Имя элемента
Описание
0
Invalid
Элемент не относится ни к одному из других типов элементов (перечисленных в этой таблице).
1
File
Элемент представляет собой файл.
5
Folder
Элемент представляет собой папку.
6
web
Элемент является веб-сайтом.
7
Site
Элемент представляет собой сайт.
8
Tenant
Элемент представляет собой клиент.
9
DocumentLibrary
Элемент представляет собой библиотеку документов.
11
Page
Элемент представляет собой страницу.
Enum: EventSource; Type: Edm.Int32
EventSource
Значение
Имя элемента
Описание
0
SharePoint
Источник события — SharePoint.
1
ObjectModel
Источник события — ObjectModel.
Enum: SharePointAuditOperation; Type: Edm.Int32
Имя элемента
Описание
AccessInvitationAccepted
Получатель приглашения на просмотр или правку общего файла (или папки) получил доступ к общему файлу, щелкнув ссылку в приглашении.
AccessInvitationCreated
Пользователь отправляет приглашение другому лицу (внутри организации или за ее пределами) на просмотр или правку общего файла или папки на сайте SharePoint или OneDrive для бизнеса. В сведениях записи о событии указывается имя общего файла, данные пользователя, которому отправлено приглашение, и тип разрешения на общий доступ, который выбрал отправитель приглашения.
AccessInvitationExpired
Заканчивается срок действия приглашения, отправленного внешнему пользователю за пределами организации. По умолчанию он истекает через 7 дней, если приглашение не принято.
AccessInvitationRevoked
Администратор или владелец сайта либо документа в SharePoint или OneDrive для бизнеса отзывает приглашение, отправленное пользователю за пределами организации. Приглашение можно отозвать только до его принятия.
AccessInvitationUpdated
Пользователь, создавший и отправивший приглашение другому лицу на просмотр или правку общего файла (или папки) на сайте SharePoint или OneDrive для бизнеса, повторно отправляет приглашение.
AccessRequestApproved
Администратор или владелец сайта либо документа в SharePoint или OneDrive для бизнеса утверждает запрос пользователя на доступ к сайту или документу.
AccessRequestCreated
Пользователь запрашивает доступ к сайту или документу в SharePoint или OneDrive для бизнеса, на который у него нет разрешения.
AccessRequestRejected
Администратор или владелец сайта либо документа в SharePoint отклоняет запрос пользователя на доступ к сайту или документу.
ActivationEnabled
Пользователи могут включать поддержку браузера для шаблонов форм, не содержащих кода форм, требовать полного доверия, включать отображение на мобильном устройстве, а также использовать подключение к данным, управляемое администратором сервера.
AdministratorAddedToTermStore
Добавлен администратор банка терминов.
AdministratorDeletedFromTermStore
Удален администратор банка терминов.
AllowGroupCreationSet
Администратор или владелец сайта добавляет уровень разрешений на сайт SharePoint или OneDrive для бизнеса, с помощью которого пользователь, которому он назначен, сможет создавать группу на этом сайте.
AppCatalogCreated
Создан каталог приложений для развертывания пользовательских бизнес-приложений в среде SharePoint.
AuditPolicyRemoved
Для семейства веб-сайтов удалена политика жизненного цикла документов.
AuditPolicyUpdate
Для семейства веб-сайтов обновлена политика жизненного цикла документов.
AzureStreamingEnabledSet
Владелец видеопортала разрешил потоковую передачу видео из Azure.
CollaborationTypeModified
Изменен тип совместной работы, разрешенной на сайтах (например, интрасеть, экстрасеть или общедоступная сеть).
ConnectedSiteSettingModified
Пользователь либо создал, изменил или удалил связь между проектом и сайтом проекта, либо пользователь изменяет параметр синхронизации для ссылки в Project Web App.
CreateSSOApplication
В службе Secure Store создано конечное приложение.
CustomFieldOrLookupTableCreated
Пользователь создал настраиваемое поле или таблицу подстановки или элемент в веб-приложении Project.
CustomFieldOrLookupTableDeleted
Пользователь удалил пользовательское поле или таблицу или элемент подстановки в веб-приложении Project.
CustomFieldOrLookupTableModified
Пользователь изменил пользовательское поле или таблицу подстановки или элемент в веб-приложении Project.
CustomizeExemptUsers
Глобальный администратор настроил список исключаемых агентов пользователя в Центре администрирования SharePoint. Вы можете указать, какие агенты пользователя не должны получать веб-страницы полностью для индексации. Это означает, что если агент пользователя, указанный в качестве исключения, сталкивается с формой InfoPath, форма будет возвращена в виде XML-файла, а не всей веб-страницы. Это позволяет ускорить индексацию форм InfoPath.
DefaultLanguageChangedInTermStore*
В банке терминов изменен язык.
DelegateModified
Пользователь создал или изменил делегат безопасности в Веб-приложении Project.
DelegateRemoved
Пользователь удалил делегат безопасности в Веб-приложении Project.
DeleteSSOApplication
Удалено приложение для единого входа.
eDiscoveryHoldApplied
К источнику контента применено удержание на месте. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint.
eDiscoveryHoldRemoved
Удержание на месте отменено для источника контента. Для управления удержанием на месте используется семейство веб-сайтов для обнаружения электронных данных (например, Центр обнаружения электронных данных) в SharePoint.
eDiscoverySearchPerformed
В SharePoint выполнен поиск с помощью функции обнаружения электронных данных с использованием семейства веб-сайтов для обнаружения электронных данных.
EngagementAccepted
Пользователь принимает участие ресурсов в веб-приложении Project.
EngagementModified
Пользователь изменяет задействование ресурсов в веб-приложении Project.
EngagementRejected
Пользователь отклоняет задействование ресурсов в веб-приложении Project.
EnterpriseCalendarModified
Пользователь копирует, изменяет или удаляет корпоративный календарь в Веб-приложении Project.
EntityDeleted
Пользователь удаляет расписание в Веб-приложении Project.
EntityForceCheckedIn
Пользователь принудительно применяет проверка в календаре, настраиваемом поле или таблице подстановки в веб-приложении Project.
ExemptUserAgentSet
Глобальный администратор добавляет агента пользователя в список исключаемых агентов пользователя в Центре администрирования SharePoint.
FileAccessed
Пользователь или системная учетная запись получает доступ к файлу на сайте SharePoint или OneDrive для бизнеса. Системные учетные записи также могут создавать события FileAccessed.
FileCheckOutDiscarded
Пользователь удаляет или отменяет файл, полученный для изменения. Это значит, что любые изменения, которые он внес в файл при извлечении, будут отменены и не сохранены в версии документа, находящегося в библиотеке документов.
FileCheckedIn
Пользователь возвращает документ, полученный для изменения из библиотеки документов SharePoint или OneDrive для бизнеса.
FileCheckedOut
Пользователь получает для изменения документ, расположенный в библиотеке документов SharePoint или OneDrive для бизнеса. Пользователи могут извлекать документы, к которым им предоставлен общий доступ, и вносить в них изменения.
FileCopied
Пользователь копирует документ из сайта SharePoint или OneDrive для бизнеса. Скопированный файл можно сохранить в другой папке на сайте.
FileDeleted
Пользователь удаляет документ из сайта SharePoint или OneDrive для бизнеса.
FileDeletedFirstStageRecycleBin
Пользователь удаляет файл из корзины на сайте SharePoint или OneDrive для бизнеса.
FileDeletedSecondStageRecycleBin
Пользователь удаляет файл из второй корзины на сайте SharePoint или OneDrive для бизнеса.
FileDownloaded
Пользователь скачивает документ на сайте SharePoint или OneDrive для бизнеса.
FileFetched
Это событие заменено событием FileAccessed и устарело.
FileModified
Пользователь или системная учетная запись изменяет контент или свойства документа, расположенного на сайте SharePoint или OneDrive для бизнеса.
FileMoved
Пользователь перемещает документ из текущего расположения на сайте SharePoint или OneDrive для бизнеса в новое место.
FilePreviewed
Пользователь предварительно просматривает документ на сайте SharePoint или OneDrive для бизнеса.
FileRecycled
Пользователь перемещает документ в корзину SharePoint или OneDrive.
FileRenamed
Пользователь переименовывает документ на сайте SharePoint или OneDrive для бизнеса.
FileRestored
Пользователь восстанавливает документ из корзины на сайте SharePoint или OneDrive для бизнеса.
FileSyncDownloadedFull
Пользователь скачивает файл на свой компьютер из библиотеки документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
FileSyncDownloadedPartial
Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.
FileSyncUploadedFull
Пользователь отправляет новый файл или изменения файла в библиотеку документов SharePoint или OneDrive для бизнеса с помощью приложения синхронизации OneDrive (OneDrive.exe).
FileSyncUploadedPartial
Это событие, а также старое приложение синхронизации OneDrive для бизнеса (Groove.exe) больше не поддерживаются.
FileUploaded
Пользователь передает документ в папку на сайте SharePoint или OneDrive для бизнеса.
FileViewed
Это событие заменено событием FileAccessed и устарело.
FolderCopied
Пользователь копирует папку из сайта SharePoint или OneDrive для бизнеса в другое расположение в SharePoint или OneDrive для бизнеса.
FolderCreated
Пользователь создает папку на сайте SharePoint или OneDrive для бизнеса.
FolderDeleted
Пользователь удаляет папку с сайта SharePoint или OneDrive для бизнеса.
FolderDeletedFirstStageRecycleBin
Пользователь удаляет папку из корзины на сайте SharePoint или OneDrive для бизнеса.
FolderDeletedSecondStageRecycleBin
Пользователь удаляет папку из второй корзины на сайте SharePoint или OneDrive для бизнеса.
FolderModified
Пользователь изменяет папку на сайте SharePoint или OneDrive для бизнеса. Это событие содержит изменения метаданных папки, например тегов и свойств.
FolderMoved
Пользователь перемещает папку с сайта SharePoint или OneDrive для бизнеса.
FolderRecycled
Пользователь перемещает папку в корзину SharePoint или OneDrive.
FolderRenamed
Пользователь переименовывает папку на сайте SharePoint или OneDrive для бизнеса.
FolderRestored
Пользователь восстанавливает папку из корзины на сайте SharePoint или OneDrive для бизнеса.
GroupAdded
Администратор или владелец сайта создает группу для сайта SharePoint или OneDrive для бизнеса либо выполняет задачу, которая приводит к созданию группы. Например, когда пользователь впервые создает ссылку на общий доступ к файлу, на сайт OneDrive для бизнеса этого пользователя добавляется системная группа. Это событие также может возникнуть, если пользователь создал ссылку с разрешениями на внесение изменений в общий файл.
GroupRemoved
Пользователь удаляет группу с сайта SharePoint или OneDrive для бизнеса.
GroupUpdated
Администратор или владелец сайта изменяет параметры группы для сайта SharePoint или OneDrive для бизнеса. Действия могут включать изменение имени группы, назначение пользователям прав на просмотр или изменение параметров членства в группах, а также установку способа обработки запросов на вступление в группы.
LanguageAddedToTermStore
В банк терминов добавлен язык.
LanguageRemovedFromTermStore
Из банка терминов удален язык.
LegacyWorkflowEnabledSet
Администратор или владелец сайта добавляет тип контента задачи рабочего процесса SharePoint на сайт. Глобальные администраторы также могут включить рабочие процессы для всей организации в Центре администрирования SharePoint.
LookAndFeelModified
Пользователь изменяет форматы быстрого запуска, диаграммы Ганта или форматы групп. Кроме того, пользователь создает, изменяет или удаляет представление в веб-приложении Project.
ManagedSyncClientAllowed
Пользователь успешно устанавливает отношение синхронизации с сайтом SharePoint или OneDrive для бизнеса. Отношение синхронизации установлено успешно, так как компьютер пользователя входит в домен, который добавлен в список доменов (так называемый список надежных получателей) и который позволяет получить доступ к библиотекам документов в вашей организации. Дополнительные сведения см. в статье Использование SharePoint Online PowerShell для включения приложение синхронизации OneDrive для доменов, которые находятся в списке надежных получателей.
MaxQuotaModified
Изменена максимальная квота для сайта.
MaxResourceUsageModified
Изменен максимальный объем ресурсов, который можно использовать для сайта.
MySitePublicEnabledSet
Администратор SharePoint установил флаг, который позволяет пользователям иметь общедоступные личные сайты.
NewsFeedEnabledSet
Администратор или владелец сайта включает RSS-каналы для сайта SharePoint или OneDrive для бизнеса. Глобальные администраторы могут включить RSS-каналы для всей организации в Центре администрирования SharePoint.
ODBNextUXSettings
Включен новый пользовательский интерфейс для OneDrive для бизнеса.
OfficeOnDemandSet
Администратор сайта включает функцию "Office по запросу", с помощью которой пользователи могут получать доступ к последней версии классических приложений Office. Функция "Office по запросу" включена в Центре администрирования SharePoint. Для ее использования требуется подписка на Office 365, включающая установленные полнофункциональные приложения Office.
PageViewed
Пользователь просматривает страницу на сайте SharePoint или OneDrive для бизнеса. Это действие не включает просмотр файлов из библиотеки документов с сайта SharePoint или One Drive для бизнеса в браузере.
PeopleResultsScopeSet
Администратор сайта создает или изменяет источник результатов для поиска людей на сайте SharePoint.
PermissionSyncSettingModified
Пользователь изменяет параметры синхронизации разрешений проекта в Project Web App.
PermissionTemplateModified
Пользователь создает, изменяет или удаляет шаблон разрешений в веб-приложении Project.
PortfolioDataAccessed
Пользователь обращается к содержимому портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project.
PortfolioDataModified
Пользователь создает, изменяет или удаляет данные портфеля (библиотека драйверов, определение приоритетов драйверов, анализ портфеля) в веб-приложении Project.
PreviewModeEnabledSet
Администратор сайта включает предварительный просмотр документов для сайта SharePoint.
ProjectAccessed
Пользователь обращается к содержимому проекта в веб-приложении Project.
ProjectCheckedIn
Пользователь выполняет проверку проекта, извлеченного из веб-приложения Project.
ProjectCheckedOut
Пользователь извлекает проект, расположенный в веб-приложении Project. Пользователи могут извлекать и вносить изменения в проекты, для открытия которых у них есть разрешение.
ProjectCreated
Пользователь создает проект в веб-приложении Project.
ProjectDeleted
Пользователь удаляет проект в веб-приложении Project.
ProjectForceCheckedIn
Пользователь принудительно выполняет проверка в проекте в веб-приложении Project.
ProjectModified
Пользователь изменяет проект в веб-приложении Project.
ProjectPublished
Пользователь публикует проект в веб-приложении Project.
ProjectWorkflowRestarted
Пользователь перезапускает рабочий процесс в веб-приложении Project.
PWASettingsAccessed
Пользователи получают доступ к параметрам веб-приложения Project через CSOM.
Пользователь отменяет или перезапускает задание очереди в Веб-приложении Project.
QuotaWarningEnabledModified
Изменено предупреждение о квоте хранилища.
RenderingEnabled
Шаблоны формы с поддержкой веб-браузера будут отображаться с использованием InfoPath Forms Services.
ReportingAccessed
Пользователь обращается к конечной точке отчетов в Веб-приложении Project.
ReportingSettingModified
Пользователь изменяет конфигурацию отчетов в Project Web App.
ResourceAccessed
Пользователь обращается к содержимому корпоративного ресурса в веб-приложении Project.
ResourceCheckedIn
Пользователь выполняет проверку корпоративного ресурса, извлеченного из веб-приложения Project.
ResourceCheckedOut
Пользователь извлекает корпоративный ресурс, расположенный в веб-приложении Project.
ResourceCreated
Пользователь создает корпоративный ресурс в веб-приложении Project.
ResourceDeleted
Пользователь удаляет корпоративный ресурс в веб-приложении Project.
ResourceForceCheckedIn
Пользователь принудительно выполняет проверку корпоративного ресурса в веб-приложении Project.
ResourceModified
Пользователь изменяет корпоративный ресурс в Веб-приложении Project.
ResourcePlanCheckedInOrOut
Пользователь возвращает или выходит из плана ресурсов в Веб-приложении Project.
ResourcePlanModified
Пользователь изменяет план ресурсов в веб-приложении Project.
ResourcePlanPublished
Пользователь публикует план ресурсов в веб-приложении Project.
ResourceRedacted
Пользователь отредактирует корпоративный ресурс, удаляя всю личную информацию в веб-приложении Project.
ResourceWarningEnabledModified
Изменено предупреждение о квоте ресурсов.
SSOGroupCredentialsSet
В службе Secure Store установлены учетные данные группы.
SSOUserCredentialsSet
В службе Secure Store установлены учетные данные пользователя.
SearchCenterUrlSet
Задан URL-адрес центра поиска.
SecondaryMySiteOwnerSet
Пользователь добавил совладельца на свой личный сайт.
SecurityCategoryModified
Пользователь создает, изменяет или удаляет категорию безопасности в веб-приложении Project.
SecurityGroupModified
Пользователь создает, изменяет или удаляет группу безопасности в Веб-приложении Project.
SendToConnectionAdded
Глобальный администратор создает подключение для отправки на странице управления записями в Центре администрирования SharePoint. Подключение для отправки определяет параметры для репозитория документов или центра записей. При создании подключения для отправки организатор контента может отправлять документы в указанное расположение.
SendToConnectionRemoved
Глобальный администратор удаляет подключение для отправки на странице управления записями в Центре администрирования SharePoint.
SharedLinkCreated
Пользователь создает ссылку на общий файл в SharePoint или OneDrive для бизнеса. Эту ссылку можно отправить другим людям, чтобы предоставить им доступ к файлу. Пользователь может создавать ссылки двух типов: ссылку, с помощью которой можно просмотреть и изменить общий файл, или ссылку, которая позволяет только просматривать файл.
SharedLinkDisabled
Пользователь отключает (окончательно) ссылку, созданную для совместного использования файла.
SharingInvitationAccepted*
Пользователь принимает приглашение на совместное использование файла или папки. Это событие регистрируется в журнале, когда пользователь делится файлом с другими лицами.
SharingRevoked
Пользователь отменяет совместное использование файла или папки, к которым ранее предоставил общий доступ другим лицам. Это событие регистрируется в журнале, когда пользователь прекращает совместное использование файла с другими лицами.
SharingSet
Пользователь предоставляет общий доступ к файлу или папке, расположенным в SharePoint или OneDrive для бизнеса, другому лицу в своей организации.
SiteAdminChangeRequest
Пользователь отправляет запрос на добавление себя в качестве администратора семейства веб-сайтов SharePoint. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.
SiteCollectionAdminAdded*
Администратор или владелец семейства веб-сайтов добавляет пользователя в качестве администратора семейства веб-сайтов для сайта SharePoint или OneDrive. Администраторы семейства веб-сайтов имеют разрешения на полный доступ к семейству веб-сайтов и всем дочерним сайтам.
SiteCollectionCreated
Глобальный администратор создает семейство веб-сайтов в вашей организации SharePoint.
SiteRenamed
Администратор или владелец сайта переименовывает сайт SharePoint или OneDrive для бизнеса.
StatusReportModified
Пользователь создает, изменяет или удаляет отчет о состоянии в веб-приложении Project.
SyncGetChanges
Пользователь щелкает Синхронизация в области действий в SharePoint или OneDrive для бизнеса, чтобы синхронизировать со своим компьютером все изменения, внесенные в файл в библиотеке документов.
SyntexBillingSubscriptionSettingsChanged
Параметры подписки на выставление счетов Syntex изменились. Это событие активируется по истечении срока действия пробной версии Syntex.
TaskStatusAccessed
Пользователь обращается к состоянию одной или нескольких задач в Веб-приложении Project.
TaskStatusApproved
Пользователь утверждает обновление состояния одной или нескольких задач в Project Web App.
TaskStatusRejected
Пользователь отклоняет обновление состояния одной или нескольких задач в Project Web App.
TaskStatusSaved
Пользователь сохраняет обновление состояния одной или нескольких задач в Веб-приложении Project.
TaskStatusSubmitted
Пользователь отправляет обновление состояния одной или нескольких задач в Project Web App.
TimesheetAccessed
Пользователь обращается к расписанию в веб-приложении Project.
TimesheetApproved
Пользователь утверждает расписание в Веб-приложении Project.
TimesheetRejected
Пользователь отклоняет расписание в Веб-приложении Project.
TimesheetSaved
Пользователь сохраняет расписание в веб-приложении Project.
TimesheetSubmitted
Пользователь отправляет расписание состояния в веб-приложении Project.
UnmanagedSyncClientBlocked
Пользователь пытается установить отношение синхронизации с сайтом SharePoint или OneDrive для бизнеса с компьютера, который не входит в домен вашей организации или входит в домен, который не добавлен в список доменов (так называемый список надежных получателей), который позволяет получить доступ к библиотекам документов в вашей организации. Отношение синхронизации запрещено, поэтому с компьютера пользователя не разрешается синхронизировать, скачивать или передавать файлы в библиотеке документов. Дополнительные сведения об этой функции см. в статье Использование командлетов Windows PowerShell для включения синхронизации OneDrive для доменов, включенных в список надежных получателей.
UpdateSSOApplication
В службе Secure Store обновлено конечное приложение.
UserAddedToGroup
Администратор или владелец сайта добавляет пользователя в группу на сайте SharePoint или OneDrive для бизнеса. При добавлении в группу пользователю предоставляются назначенные ей разрешения.
UserRemovedFromGroup
Администратор или владелец сайта удаляет пользователя из группы на сайте SharePoint или OneDrive для бизнеса. После удаления пользователь лишается разрешений, назначенных группе.
WorkflowModified
Пользователь создает, изменяет или удаляет этапы или этапы корпоративного типа проекта или рабочего процесса в веб-приложении Project.
URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь.
SourceRelativeUrl
Edm.String
Нет
URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь.
SourceFileName
Edm.String
Да
Имя файла или папки, к которым получил доступ пользователь.
SourceFileExtension
Edm.String
Нет
Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку.
DestinationRelativeUrl
Edm.String
Нет
URL-адрес конечной папки, в которую копируется или перемещается файл. Сочетание значений параметров SiteURL, DestinationRelativeURL и DestinationFileName совпадает со значением свойства ObjectID , которое является полным именем пути к скопированному файлу. Это свойство отображается только для событий FileCopied и FileMoved.
DestinationFileName
Edm.String
Нет
Имя скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved.
DestinationFileExtension
Edm.String
Нет
Расширение скопированного или перемещенного файла. Это свойство отображается только для событий FileCopied и FileMoved.
UserSharedWith
Edm.String
Нет
Пользователь, которому предоставлен общий доступ к ресурсу.
SharingType
Edm.String
Нет
Тип разрешения на общий доступ, назначенный пользователю, которому предоставлен доступ к ресурсу. Этот пользователь идентифицируется с помощью параметра UserSharedWith .
SourceLabel
Edm.String
Нет
Оригинальная метка файла до ее изменения в результате действий пользователя.
DestinationLabel
Edm.String
Нет
Окончательная метка файла после ее изменения в результате действий пользователя.
SensitivityLabelOwnerEmail
Edm.String
Нет
Адрес электронной почты владельца метки конфиденциальности.
URL-адрес списка относительно содержащего его веб-сайта.
ListBaseType
Edm.String
Нет
Получает или задает значение, которое указывает зависящее от реализации значение, определяющее положение дополнительного действия на странице.
ListBaseTemplateType
Edm.String
Нет
Тип определения списка, на котором основан список.
IsHiddenList
Edm.Boolean
Нет
Этой переменной присваивается значение True, если список SharePoint скрыт.
IsDocLib
Edm.Boolean
Нет
Этой переменной присваивается значение True, если список SharePoint имеет тип "библиотека документов".
Схема общего доступа SharePoint
События SharePoint, связанные с общим доступом к файлам. Они отличаются от событий, связанных с файлами и папками, так как пользователь выполняет действие, которое определенным образом влияет на другого пользователя. Сведения о схеме совместного доступа SharePoint см. в разделе Использование аудита общего доступа в журнале аудита.
Параметр
Тип
Обязательный?
Описание
TargetUserOrGroupName
Edm.String
Нет
В этом параметре хранится имя участника-пользователя для целевого пользователя или группы, которым предоставлен общий доступ к ресурсу.
TargetUserOrGroupType
Edm.String
Нет
Указывает на тип целевого пользователя или группы: участник, гость, группа или партнер.
EventData
XML code
Нет
Сообщает дополнительные сведения о выполненном действии предоставления общего доступа (например, добавлении пользователя в группу или предоставлении разрешений на правку).
SiteUrl
Edm.String
Нет
URL-адрес сайта, на котором расположены файл или папка, к которым получил доступ пользователь.
SourceRelativeUrl
Edm.String
Нет
URL-адрес папки с файлом, к которому получил доступ пользователь. Сочетание значений параметров SiteURL, SourceRelativeURL и SourceFileName совпадает со значением свойства ObjectID , которое является полным именем пути к файлу, к которому обращается пользователь.
SourceFileName
Edm.String
Нет
Имя файла или папки, к которым получил доступ пользователь.
SourceFileExtension
Edm.String
Нет
Расширение файла, к которому получил доступ пользователь. Это свойство пустое, если объект, к которому получен доступ, представляет собой папку.
UniqueSharingId
Edm.String
Нет
Уникальный ID общего доступа, связанный с операцией общего доступа.
Схема SharePoint
Эту схему используют события SharePoint, перечисленные в разделе "Действия SharePoint со списками" (за исключением событий, связанных с файлами и папками) в разделе Поиск журнала аудита в центре соответствия требованиям.
Параметр
Тип
Обязательный?
Описание
CustomEvent
Edm.String
Нет
Необязательная строка для настраиваемых событий.
EventData
Edm.String
Нет
Необязательные полезные данные для настраиваемых событий.
ModifiedProperties
Collection(ModifiedProperty)
Нет
Это свойство включается для действий администратора, таких как добавление пользователя в качестве участника сайта или члена группы администраторов семейства веб-сайтов. Значение включает имя измененного свойства (например, группы администраторов сайта), новое значение измененного свойства (например, пользователя, добавленного в качестве администратора сайта) и предыдущее значение измененного объекта.
Схема Project
Параметр
Тип
Обязательный?
Описание
Entity
Edm.String
Да
Элемент ProjectEntity, для которого предназначался аудит.
Пользователь активировал сущность, событие или рабочий процесс.
Cancelled
Пользователь отменил событие или рабочий процесс.
CheckedIn
Пользователь записывает сущность после изменения.
CheckedOut
Пользователь получает сущность для изменения.
Copied
Пользователь скопировал сущность.
Created
Пользователь создал сущность.
Deactivated
Пользователь отключил сущность.
Deleted
Пользователь удалил сущность.
Exported
Пользователь экспортировал сущность.
ForceCheckedIn
Пользователь применил принудительную запись сущности после изменения.
Modified
Пользователь изменил сущность.
Published
Пользователь опубликовал сущность.
Redacted
Пользователь отредактировал сущность.
Rejected
Пользователь отклонил сущность.
Restarted
Пользователь перезапустил событие или рабочий процесс.
Saved
Пользователь сохранил сущность.
Sent
Пользователь отправил сущность.
Submitted
Пользователь отправил сущность для проверки или рабочего процесса.
Enum: Project Entity; Type: Edm.Int32
Объект Project
Имя элемента
Описание
CustomField
Представляет корпоративное настраиваемое поле.
Driver
Представляет драйвер портфеля.
DriverPrioritization
Представляет приоритеты портфеля.
Engagement
Представляет задействование ресурсов.
EnterpriseCalendar
Представляет корпоративный календарь ресурсов.
EnterpriseProjectType
Представляет тип корпоративного проекта.
FiscalPeriod
Представляет финансовый период.
GanttChartFormat
Представляет формат диаграммы Ганта.
GroupingFormat
Представляет формат группировки представления.
LineClassification
Представляет классификацию строк расписания.
LookupTable
Представляет корпоративную таблицу подстановки.
PermissionTemplate
Представляет шаблон разрешения безопасности.
PortfolioAnalysis
Представляет анализ портфеля.
Project
Представляет проект.
QueueJob
Представляет задание в очереди.
QuickLaunch
Представляет элемент панели быстрого запуска.
Reporting
Представляет конечную точку отчетов.
Resource
Представляет корпоративный ресурс.
ResourcePlan
Представляет план ресурсов, связанный с проектом.
SecurityCategory
Представляет категорию безопасности.
SecurityGroup
Представляет группу безопасности.
Setting
Представляет параметр веб-приложения Project
Statusing
Представляет обновление состояния задачи.
StatusReport
Представляет отчет о состоянии.
TimeReportingPeriod
Представляет период времени для расписания.
Timesheet
Представляет сущность расписания.
TimesheetAuditLog
Представляет журнал аудита расписания.
TimesheetManager
Представляет диспетчер расписания.
UserDelegate
Представляет делегирование пользователя для другого пользователя.
View
Представляет определение представления.
WorkflowPhase
Представляет этап в рабочем процессе.
WorkflowStage
Представляет стадию в рабочем процессе.
Схема администрирования Exchange
Параметры
Тип
Обязательный
Описание
ModifiedObjectResolvedName
Edm.String
Нет
Это понятное имя объекта, измененного командлетом. Оно записывается в журнал, только если командлет изменяет объект.
Параметры
Collection(Common.NameValuePair)
Нет
Имя и значения всех параметров, которые использовались с командлетом, указанным в свойстве Operations.
ModifiedProperties
Collection(Common.ModifiedProperty)
Нет
Это свойство включается для событий администрирования. Оно включает имя и новое значение измененного свойства, а также предыдущее значение измененного объекта.
ExternalAccess
Edm.Boolean
Да
Указывает, кто запустил командлет: пользователь в вашей организации, сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор. Значение False означает, что командлет был запущен пользователем в вашей организации. Значение True значит, что командлет запустили сотрудник центра данных Майкрософт, учетная запись службы центра данных или полномочный администратор.
Указывает, применялась ли операция к нескольким почтовым ящикам.
DestMailboxId
Edm.Guid
Нет
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает GUID целевого почтового ящика.
DestMailboxOwnerUPN
Edm.String
Нет
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает имя участника-пользователя целевого почтового ящика.
DestMailboxOwnerSid
Edm.String
Нет
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности целевого почтового ящика.
DestMailboxOwnerMasterAccountSid
Edm.String
Нет
Устанавливается, только если параметр CrossMailboxOperations имеет значение True. Указывает ИД безопасности (SID) для SID главной учетной записи владельца целевого почтового ящика.
Событие, связанное с безопасностью приложения Azure.
Схема входа в учетную запись Azure Active Directory
Параметры
Тип
Обязательный?
Описание
Application
Edm.String
Нет
Приложение, которое активирует событие входа в учетную запись (например, Office 15).
Client
Edm.String
Нет
Сведения о клиентском устройстве, ОС и браузере устройства, которое использовалось для входа в учетную запись.
LoginStatus
Edm.Int32
Да
Значение этого свойства берется непосредственно из параметра OrgIdLogon.LoginStatus. Различные представляющие интерес ошибки входа можно сопоставить с помощью алгоритмов оповещения.
UserDomain
Edm.String
Да
Сведения об удостоверении клиента (TII).
Enum: CredentialType; Type: Edm.Int32
Значение
Имя элемента
Описание
–1
Other
Другой способ проверки подлинности.
0
Password
Учетные данные пользователя — имя пользователя и пароль.
1
MobilePhone
Учетные данные пользователя — мобильный телефон.
2
SecretQuestion
Учетные данные пользователя — секретный вопрос.
3
SecurePin
Учетные данные пользователя — надежный PIN-код.
4
SecurePinReset
Учетные данные пользователя — сброс надежного PIN-кода.
11
EasyID
Учетные данные пользователя — EasyID.
14
PasswordIndexCredentialType
Учетные данные пользователя — PasswordIndexCredentialType.
16
Device
Учетные данные пользователя — устройство.
17
ForeignRealmIndex
Учетные данные пользователя — ForeignRealmIndex.
Enum: LoginType; Type: Edm.Int32
Значение
Имя элемента
Описание
–1
Other
Другой тип проверки подлинности.
1
InitialAuth
Вход с начальной проверкой подлинности.
2
CookieCopy
Вход с использованием файла cookie.
3
SilentReAuth
Вход с автоматической повторной проверкой подлинности.
Enum: AuthenticationMethod; Type: Edm.Int32
Значение
Имя элемента
Описание
0
Min
Способ проверки подлинности — Min.
1
Password
Способ проверки подлинности — пароль.
2
Digest
Способ проверки подлинности — дайджест.
3
ProxyAuth
Способ проверки подлинности — ProxyAuth.
4
InfoCard
Способ проверки подлинности — InfoCard.
5
DAToken
Способ проверки подлинности — DAToken.
6
Sha1RememberMyPassword
Способ проверки подлинности — Sha1RememberMyPassword.
7
LMPasswordHash
Способ проверки подлинности — LMPasswordHash.
8
ADFSFederatedToken
Способ проверки подлинности — ADFSFederatedToken.
9
EID
Способ проверки подлинности — EID.
10
DeviceID
Способ проверки подлинности — DeviceID.
11
MD5
Способ проверки подлинности — MD5.
12
EncProxyPasswordHash
Способ проверки подлинности — EncProxyPasswordHash.
13
LWAFederation
Способ проверки подлинности — LWAFederation.
14
Sha1HashedPassword
Способ проверки подлинности — Sha1HashedPassword.
15
SecurePin
Способ проверки подлинности — безопасный PIN-код.
16
SecurePinReset
Способ проверки подлинности — безопасный сброс PIN-кода.
17
SAML20PostSimpleSign
Способ проверки подлинности — SAML20PostSimpleSign.
Пользователь, с которым выполнено действие (определяется свойством Operation).
TargetContextId
Edm.String
Нет
GUID организации, в которую входит целевой пользователь.
Сложный тип IdentityTypeValuePair
Параметры
Тип
Обязательный?
Описание
ИД
Edm.String
Да
Значение удостоверения заданного типа.
Type
Self.IdentityType
Да
Тип удостоверения.
Enum: IdentityType; Type: Edm.Int32
IdentityType
Имя элемента
Описание
Claim
Удостоверение представляет собой утверждение в целях авторизации.
Name
Имя субъекта, выполнившего действие аудита, или отображаемое имя целевого удостоверения.
Other
Удостоверение субъекта другого типа (например, ObjectId в GUID), созданное в службе Office 365.
PUID
Субъект, выполнивший действие аудита, или уникальный идентификатор целевого паспорта.
SPN
Удостоверение субъекта-службы, если действие выполнено в службе Office 365.
UPN
Имя участника-пользователя.
Схема входа в службу маркеров безопасности Azure Active Directory
Параметры
Тип
Обязательный?
Описание
ApplicationId
Edm.String
Нет
GUID, который представляет приложение, запрашивающее вход. Отображаемое имя можно просмотреть с помощью API Graph Azure Active Directory.
Client
Edm.String
Нет
Сведения о клиентском устройстве, предоставляемые браузером, с которого выполнен вход.
DeviceProperties
Collection(Common.NameValuePair)
Нет
Это свойство включает различные сведения об устройстве, в том числе: Id, Display name, OS, Browser, IsCompliant, IsCompliantAndManaged, SessionId и DeviceTrustType. Свойство DeviceTrustType может принимать следующие значения:
0 — Microsoft Entra зарегистрировано 1 — Microsoft Entra присоединено 2 . Присоединено гибридное Microsoft Entra
ErrorCode
Edm.String
Нет
Для неудачных попыток входа (если значением свойства Operation является UserLoginFailed) это свойство содержит код ошибки Azure Active Directory STS (AADSTS). Описания этих кодов ошибок см. в статье Коды ошибок проверки подлинности и авторизации. Значение 0 указывает на успешный вход.
LogonError
Edm.String
Нет
Для неудачных попыток входа это свойство содержит понятное пользователю описание причины неудачного входа.
Схема защиты от потери данных
События защиты от потери данных доступны для Exchange Online, конечных точек (устройств) и SharePoint Online, а также OneDrive для бизнеса. Обратите внимание, что события защиты от потери данных в Exchange доступны только для событий, выполненных на основе единой политики защиты от потери данных (например, настроенные с помощью Центра безопасности и соответствия требованиям). События защиты от потери данных, основанные на правилах транспорта Exchange, не поддерживаются.
В общей схеме событий защиты от потери данных всегда указываются следующие данные: UserKey="DlpAgent". Есть три типа событий защиты от потери данных, которые хранятся в виде значения свойства Operation общей схемы:
DlpRuleMatch. Указывает на сопоставление правила. Эти события существуют во всех exchange, endpoint(devices) и SharePoint Online и OneDrive для бизнеса. В Exchange они включают сведения о ложных срабатываниях и переопределениях. В SharePoint Online и OneDrive для бизнеса ложные срабатывания и переопределения создают отдельные события.
DlpRuleUndo - они существуют только в SharePoint Online и OneDrive для бизнеса и указывают на то, что ранее примененное действие политики было «отменено» - либо из-за ложного срабатывания / назначения переопределения пользователем, либо из-за того, что документ больше не подлежит политике (либо из-за к изменению политики или к содержанию в doc).
DlpInfo - они существуют только в SharePoint Online и OneDrive для бизнеса и указывают на ложное положительное обозначение, но ни одно действие не было «отменено».
Описывает метаданные документа в конечной точке, содержащего конфиденциальные сведения.
ExceptionInfo
Edm.String
Нет
Указывает на причины, по которым политика больше не применяется, а также возможные сведения о ложных срабатываниях и переопределениях, обнаруженных пользователем.
Сведения об 1 или нескольких политиках, активировавших событие защиты от потери данных.
SensitiveInfoDetectionIsIncluded
Boolean
Да
Указывает, содержит ли событие значение типа конфиденциальных данных и окружающий контекст из исходного контента. Для доступа к конфиденциальным данным требуется разрешение "Чтение событий политики защиты от потери данных, в том числе конфиденциальных сведений" в Azure Active Directory.
Сложный тип SharePointMetadata
Параметры
Тип
Обязательный?
Описание
From
Edm.String
Да
Пользователь, который активировал событие. Возможное значение: FileOwner, LastModifier или LastSharer.
itemCreationTime
Edm.Date
Да
Метка даты и времени регистрации события в журнале в формате UTC.
SiteCollectionGuid
Edm.Guid
Да
GUID семейства веб-сайтов.
SiteCollectionUrl
Edm.String
Да
Имя сайта SharePoint.
FileName
Edm.String
Да
Имя пути.
FileOwner
Edm.String
Да
Владелец документа.
FilePathUrl
Edm.String
Да
URL-адрес документа.
DocumentLastModifier
Edm.String
Да
Пользователь, который последним изменил документ.
DocumentSharer
Edm.String
Да
Пользователь, который последним изменил параметры общего доступа к документу.
UniqueId
Edm.String
Да
GUID, определяющий файл.
LastModifiedTime
Edm.DateTime
Да
Метка времени последнего изменения документа в формате UTC.
IsViewableByExternalUsers
Edm.Boolean
Да
Определяет, доступен ли файл любому внешнему пользователю.
Сведения о типе обнаруженных конфиденциальных сведений.
EnforcementMode
Edm.String
Да
Укажите, задано ли для правила защиты от потери данных значение 1/2/3/4/5, отображающее audit/warn(block with override)/warn и bypass/block/allow (аудит без оповещений) соответственно.
FileExtension
Edm.String
Нет
Расширение файла документа, содержащего конфиденциальную информацию.
FileType
Edm.String
Нет
Тип файла документа, содержащего конфиденциальную информацию.
DeviceName
Edm.String
Нет
Имя устройства, на котором было обнаружено соответствие правилу защиты от потери данных.
Сложный тип PolicyDetails
Параметры
Тип
Обязательный?
Описание
PolicyId
Edm.Guid
Да
GUID политики защиты от потери данных для этого события.
PolicyName
Edm.String
Да
Понятное имя политики защиты от потери данных для этого события.
Сведения о количестве типов конфиденциальной информации, обнаруженных для каждого из трех уровней доверия (высокий, средний и низкий), и если он соответствует правилу защиты от потери данных.
SensitiveInformationTypeName
Edm.String
Нет
Имя типа конфиденциальной информации.
UniqueCount
Edm.Int32
Да
Количество обнаруженных уникальных экземпляров конфиденциальных сведений.
Сложный тип SensitiveInformationDetailedClassificationAttributes
Параметры
Тип
Обязательный?
Описание
Confidence
Edm.int32
Да
Доверительный уровень шаблона, который был обнаружен.
Count
Edm.Int32
Да
Количество конфиденциальных экземпляров, обнаруженных для определенного уровня достоверности.
IsMatch
Edm.Boolean
Да
Указывает, соответствует ли данное количество доверительному уровню обнаруженного типа конфиденциальной информации в правиле DLP.
Сложный тип SensitiveInformationDetections
Чувствительные к DLP данные доступны только в API feed активности пользователям, которым предоставлены разрешения «Чтение конфиденциальных данных DLP».
Параметры
Тип
Обязательный?
Описание
DetectedValues
Collection(Common.NameValuePair)
Да
Массив обнаруженных конфиденциальных сведений. Сведения содержат пары ключевых значений со значением Value = совпадающим значением (например, Значение кредита карта) и Context = отрывок из исходного содержимого, содержащего совпадающее значение.
ResultsTruncated
Edm.Boolean
Да
Указывает, усекались ли журналы из-за большого количества результатов.
Сложный тип ExceptionInfo
Параметры
Тип
Обязательный?
Описание
Reason
Edm.String
Нет
Этот параметр указывает одну из 3 причин, по которой правило больше не применяется к событию DLPRuleUndo: Override (переопределение), Document Change (изменение документа) или Policy Change (изменение политики).
FalsePositive
Edm.Boolean
Нет
Указывает, обозначил ли пользователь это событие как ложное срабатывание.
Justification
Edm.String
Нет
Здесь записано указанное пользователем обоснование, если он решил переопределить политику.
Rules
Collection(Edm.Guid)
Нет
Коллекция идентификаторов GUID для каждого правила, которое определено в качестве ложного срабатывании или переопределения либо для которого отменено действие.
Схема Центра безопасности и соответствия требованиям
Параметры
Тип
Обязательный
Описание
StartTime
Edm.Date
Нет
Дата и время выполнения командлета.
ClientRequestId
Edm.String
Нет
GUID, с помощью которого этот командлет можно сопоставить с операциями, выполняемыми при помощи интерфейса Центра безопасности и соответствия требованиям. Эти сведения использует только служба поддержки Майкрософт.
CmdletVersion
Edm.String
Нет
Версия сборки командлета на момент его выполнения.
EffectiveOrganization
Edm.String
Нет
GUID организации, на которую повлиял командлет. (Это устаревший параметр, который вскоре будет удален.)
UserServicePlan
Edm.String
Нет
План обслуживания Exchange Online Protection, назначенный пользователю, который выполнил командлет.
ClientApplication
Edm.String
Нет
Если командлет был выполнен приложением, в отличие от удаленного PowerShell, это поле содержит имя этого приложения.
Параметры
Edm.String
Нет
Имена и значения параметров, которые использовались с командлетом и не содержат личных сведений.
NonPiiParameters
Edm.String
Нет
Имена и значения параметров, которые использовались с командлетом и содержат личные сведения. (Это устаревшее поле, которое вскоре будет удалено. Его содержимое будет объединено с полем Parameters.)
Схема оповещений о безопасности и соответствии требованиям
Параметры UserId и UserKey этих событий всегда относятся к элементу SecurityComplianceAlerts. Существует три типа событий оповещений, хранящиеся в виде значения свойства Operation общей схемы:
AlertTriggered. Создается новое оповещение по причине соответствия политике.
AlertEntityGenerated. Новая сущность добавляется в оповещение. Это событие применяется только к оповещениям, создаваемым на основе политик оповещений в Центре безопасности и соответствия требованиям. Каждое созданное оповещение можно связать с одним или несколькими такими событиями. Например, политика оповещений настроена на срабатывание оповещения, если любой пользователь удаляет более 100 файлов в течение 5 минут. Если два пользователя превышают пороговое значение за то же время, возникает два события AlertEntityGenerated, но только одно событие AlertTriggered.
AlertUpdated — обновлены метаданные оповещения. Это событие записывается в журнал при изменении состояния оповещения (например, c состояния "Активно" на "Разрешено"), когда кто-то добавляет комментарий к оповещению.
Параметры
Тип
Обязательный
Описание
AlertId
Edm.Guid
Да
GUID оповещения.
AlertType
Self.String
Да
Тип оповещения. Типы оповещений:
Системные
Пользовательские
Name
Edm.String
Да
Имя оповещения.
PolicyId
Edm.Guid
Нет
GUID политики, вызвавшей оповещение.
Status
Edm.String
Нет
Состояние оповещения. Состояния:
Активное
Изучается
Устранено
Закрыто
Severity
Edm.String
Нет
Степень серьезности оповещения. Степени серьезности:
Низкая
Средняя
Высокая
Category
Edm.String
Нет
Категория оповещения. Категории:
AccessGovernance
DataGovernance
DataLossPrevention
InsiderRiskManagement
MailFlow
ThreatManagement
Другое
Source
Edm.String
Нет
Источник оповещения. Источники:
Безопасность и соответствие требованиям Office 365
Cloud App Security
Comments
Edm.String
Нет
Примечания, оставленные пользователями, которые просмотрели оповещение. Это "Новое оповещение" по умолчанию.
Data
Edm.String
Нет
Большой двоичный объект с подробными данными оповещения или сущности оповещения.
AlertEntityId
Edm.String
Нет
Идентификатор для сущности оповещения. Этот параметр применяется только для событий AlertEntityGenerated.
EntityType
Edm.String
Нет
Тип оповещения или сущности оповещения. Типы сущностей:
User
Recipients
Sender
MalwareFamily
Этот параметр применяется только для событий AlertEntityGenerated.
Адрес электронной почты пользователя, который выполнил операцию.
ActorYammerUserId
Edm.Int64
Нет
Идентификатор пользователя, который выполнил операцию.
DataExportType
Edm.String
Нет
Возвращает значение data, если экспортированные данные включают сообщения, заметки, файлы, темы, пользователей и группы. Возвращает значение user, если экспортированные данные содержат только пользователей.
FileId
Edm.Int64
Нет
Идентификатор файла, с которым выполнена операция.
FileName
Edm.String
Нет
Имя файла, с которым выполнена операция. Пустое значение, если не касается операции.
GroupName
Edm.String
Нет
Имя группы, с которой выполнена операция. Пустое значение, если не касается операции.
IsSoftDelete
Edm.Boolean
Нет
Возвращает значение true, если для политики хранения данных в сети задано значение Soft Delete (обратимое удаление). Возвращает значение false, если для политики хранения данных в сети установлено значение Hard Delete (необратимое удаление).
MessageId
Edm.Int64
Нет
Идентификатор сообщения, с которым выполнена операция.
ModifiedProperties
Collection(ModifiedProperty)
Нет
Включает имя измененного свойства, новое значение измененного объекта и предыдущее значение измененного объекта.
YammerNetworkId
Edm.Int64
Нет
Сетевой идентификатор пользователя, который выполнил операцию.
TargetObjectId
Edm.String
Нет
Entra Id целевого пользователя в операции.
TargetUserId
Edm.String
Нет
Электронный адрес целевого пользователя, с которым выполнена операция. Пустое значение, если не касается операции.
TargetYammerUserId
Edm.Int64
Нет
Идентификатор целевого пользователя, с которым выполнена операция.
ThreadId
Edm.Int64
Нет
Идентификатор потока message в операции.
VersionId
Edm.Int64
Нет
Идентификатор версии файла, с которым выполнена операция.
Базовая схема безопасности центра обработки данных
Коллекция размещенного содержимого сообщений чата или канала.
Приглашенный
Edm.String
Нет
Для отправленных событий канала UPN владельца команды приглашенного, который принимает или отклоняет приглашение на общий доступ с приглашением команды.
Размер размещенного содержимого сообщения в байтах.
Сложный тип сообщения
Параметры
Тип
Обязательный?
Описание
AADGroupId
Edm.String
Нет
Уникальный идентификатор группы в Azure Active Directory, к которой относится сообщение.
Id
Edm.String
Да
Уникальный идентификатор сообщения чата или канала.
ChannelGuid
Edm.String
Нет
Уникальный идентификатор канала, к которому принадлежит сообщение.
ChannelName
Edm.String
Нет
Название канала, к которому относится сообщение.
ChannelType
Edm.String
Нет
Тип канала, к которому относится сообщение.
ChatName
Edm.String
Нет
Имя чата, к которому относится сообщение.
ChatThreadId
Edm.String
Нет
Уникальный идентификатор чата, к которому относится сообщение.
ParentMessageId
Edm.String
Нет
Уникальный идентификатор родительского сообщения чата или канала.
SizeInBytes
Edm.Int64
Нет
Размер сообщения в байтах с кодированием UTF-16.
TeamGuid
Edm.String
Нет
Уникальный идентификатор команды, к которой относится сообщение.
TeamName
Edm.String
Нет
Имя команды, к которой относится сообщение.
Версия
Edm.String
Нет
Версия сообщения чата или канала.
Схема Microsoft Defender для Office 365 с анализом угроз и реагированием на них
События Microsoft Defender для Office 365 и исследования угроз с реагированием на них доступны для клиентов Office 365, у которых есть подписка на Defender для Office 365 (план 1), Defender для Office 365 (план 2) или E5. Каждое событие в веб-канале Defender для Office 365 соответствует следующим действиям, которые были расценены как содержащие угрозу:
Пользователь отправил или получил электронное сообщение в пределах организации. Угроза обнаруживается при доставке, а также с помощью функции Автоматическая очистка.
Службы Microsoft Defender для Office 365 и анализ угроз и реагирование на них в Office 365 (прежнее название — Office 365 Threat Intelligence) теперь входят в состав Defender для Office 365 (план 2) с дополнительными возможностями защиты от угроз. Дополнительные сведения см. на страницах Планы и цены Microsoft Defender для Office 365 и Описание службы Defender для Office 365.
Данные о вложениях в сообщение, активировавшее событие.
DetectionType
Edm.String
Да
Тип обнаружения (например, В тексте — обнаружены во время доставки; Отложенный — обнаружены после доставки; ZAP — сообщения, удаленные с помощью функции автоматическая защита). Как правило, события для типа обнаружения ZAP предшествуют сообщению с типом обнаружения Отложенный.
DetectionMethod
Edm.String
Да
Метод или технология, используемая Defender для Office 365 для обнаружения.
Тип политики фильтрации (например, защита от нежелательной почты или защита от фишинга) и связанный тип действия (например, Нежелательное сообщение с высокой степенью уверенности, Нежелательное сообщение или Фишинг), соответствующие сообщению электронной почты.
Действие, настроенное в политике фильтрации (например, Переместить в папку нежелательной почты или Поместить на карантин), соответствующее сообщению электронной почты.
P2Sender
Edm.String
Да
Отправитель исходного сообщения.
Получатели
Collection(Edm.String)
Да
Массив получателей сообщения.
SenderIp
Edm.String
Да
IP-адрес, с которого отправлено сообщение Office 365. IP-адрес отображается в формате адреса IPv4 или IPv6.
Subject
Edm.String
Да
Строка темы сообщения.
Verdict
Edm.String
Да
Заключение о сообщении.
MessageTime
Edm.Date
Да
Дата и время указаны в соответствии со всемирным координированным временем (UTC) и отражают момент получения или отправки электронного сообщения.
EventDeepLink
Edm.String
Да
Глубокая ссылка на событие электронной почты в проводнике или в отчете в реальном времени в Центр безопасности и соответствия требованиям Office 365.
Действие доставки
Edm.String
Да
Исходное действие доставки сообщения электронной почты.
Исходное расположение доставки
Edm.String
Да
Исходное расположение доставки сообщения электронной почты.
Последнее расположение доставки
Edm.String
Да
Последнее расположение доставки сообщения электронной почты во время события.
Направление
Edm.String
Да
Определяет, было ли сообщение электронной почты входящим, исходящим или сообщением внутри организации.
ThreatsAndDetectionTech
Edm.String
Да
Угрозы и соответствующие технологии обнаружения. В этом поле указываются все угрозы в сообщении электронной почты, включая последнее добавление решения о спаме. Например, ["Фишинг: [спуфинг DMARC]","Спам: [репутация вредоносного URL-адреса]"]. Ниже описаны различные технологии обнаружения угроз.
AdditionalActionsAndResults
Collection(Edm.String)
Нет
Дополнительные действия, выполненные с электронной почтой, например автоматическая очистка или ручное исправление. Также включает соответствующие результаты.
Connectors
Edm.String
Нет
Имена и GUID соединителей, связанных с электронной почтой.
Переопределения, применимые к электронной почте. Это могут быть системные переопределения или переопределения пользователей.
Доверительный уровень фишинга
Edm.String
Нет
Указывает доверительный уровень, связанный с решением о фишинге. Возможные значения: "Обычный" или "Высокий".
Примечание.
Рекомендуется использовать новое поле ThreatsAndDetectionTech, так как в нем указывается несколько решений и обновленные технологии обнаружения. Это поле также соответствует значениям, которые вы видели в других интерфейсах, таких как "Обозреватель угроз" и "Расширенная охота".
Технологии обнаружения
Имя
Описание
Расширенный фильтр
Фишинговые сигналы на основе машинного обучения.
Подсистема защиты от вредоносных программ
Обнаружение из подсистемы защиты от вредоносных программ.
Кампания
Сообщения, идентифицированные как часть кампании.
Репутация домена
Анализ на основе репутации домена.
Отключение файла
Во время анализа обнаружено, что вложенные файлы являются небезопасными.
Репутация отключения файла
Вложенный файл помечен как небезопасный из-за репутации предыдущего отключения.
Репутация файла
Вложенные файлы помечены как небезопасные из-за плохой репутации.
Сопоставление отпечатков
Сообщение помечено как небезопасное из-за предыдущих сообщений.
Общий фильтр
Фишинговые сигналы на основе правил.
Олицетворение фирменной символики
Тип вложенного файла.
Олицетворение домена
Олицетворение доменов, которые определяет клиент или которыми он владеет.
Олицетворение пользователя
Олицетворение пользователей, определенное администратором или с помощью аналитики почтовых ящиков.
Олицетворение на основе аналитики почтовых ящиков
Олицетворение на основе аналитики почтовых ящиков.
Обнаружение с помощью смешанного анализа
Решение по этому сообщению принято с использованием нескольких фильтров.
Спуфинг DMARC
Сбой проверки подлинности DMARC для сообщений.
Спуфинг внешнего домена
Отправитель пытается подделать другой домен.
Спуфинг внутри организации
Отправитель пытается подделать домен получателя.
Отключение URL-адресов
Сообщение было признано небезопасным из-за предыдущего отключения вредоносных URL-адресов.
Репутация отключения URL-адресов
Сообщение было признано небезопасным из-за отключения вредоносных URL-адресов.
Репутация вредоносного URL-адреса
Сообщение было признано небезопасным из-за вредоносного URL-адреса.
В семействе Malware вы сможете увидеть точное имя MalwareFamily (например, HTML/Phish.VS! MSR) или вредоносные полезные данные в виде статической строки. Полезные данные вредоносной программы по-прежнему следует рассматривать как вредоносные сообщения электронной почты, если конкретное имя не определено.
Сложный тип SystemOverrides
SystemOverrides
Параметры
Тип
Обязательный?
Описание
Details
Edm.String
Нет
Сведения о конкретном примененном переопределении (например, ETR или надежный отправитель).
FinalOverride
Edm.String
Нет
Указывает переопределение, повлиявшее на доставку в случае нескольких переопределений.
Result
Edm.String
Нет
Указывает, было ли сообщение разрешено или заблокировано в зависимости от переопределения.
Source
Edm.String
Нет
Указывает, было ли переопределение настроено пользователем или клиентом.
Сложный тип AuthDetails
AuthDetails
Параметры
Тип
Обязательный?
Описание
Имя
Edm.String
Нет
Имя конкретной проверки подлинности, например DKIM или DMARC.
Value
Edm.String
Нет
Значение, связанное с конкретной проверкой подлинности, например True или False.
Enum: FileVerdict; Type: Edm.Int32
FileVerdict
Значение
Имя элемента
Описание
0
Good
Угрозы не обнаружены.
1
Bad
Во вложении обнаружена вредоносная программа.
–1
Error
Ошибка при сканировании или анализе.
–2
Timeout
Превышено время ожидания при сканировании или анализе.
–3
Pending
Сканирование или анализ не завершены.
Enum: Policy; Type: Edm.Int32
Тип политики и тип действия
Значение
Имя элемента
Описание
1
Anti-spam, HSPM
Действие "Нежелательное сообщение с высокой степенью уверенности" (HSPM) в политике защиты от нежелательной почты.
2
Anti-spam, SPM
Действие "Нежелательное сообщение" (SPM) в политике защиты от нежелательной почты.
3
Anti-spam, Bulk
Групповое действие в политике защиты от нежелательной почты.
4
Anti-spam, PHSH
Действие "Фишинг" (PHSH) в политике защиты от нежелательной почты.
5
Anti-phish, DIMP
Действие подмены домена (DIMP) в политике защиты от фишинга.
6
Anti-phish, UIMP
Действие подмены пользователя (DIMP) в политике защиты от фишинга.
7
Anti-phish, SPOOF
Действие подделки в политике защиты от фишинга.
8
Anti-phish, GIMP
Действие аналитики почтового ящика в политике защиты от фишинга.
9
Anti-malware, AMP
Действие в политике защиты от вредоносных программ.
10
Safe attachment, SAP
Действие в политике безопасных вложений в Defender для Office 365.
11
Exchange transport rule, ETR
Действие политики в правиле транспорта Exchange.
12
Anti-malware, ZAPM
Действие в политике защиты от вредоносных программ, применяемое для автоматической очистки (ZAP).
13
Anti-phish, ZAPP
Действие в политике защиты от фишинга, применяемое для ZAP.
14
Anti-phish, ZAPS
Действие в политике защиты от нежелательной почты, применяемое для ZAP.
15
Защита от нежелательной почты, фишинговое сообщение с высокой вероятностью (HPHISH)
Действие политики "Фишинг с высокой вероятностью" в политике защиты от нежелательной почты.
17
Защита от нежелательной почты, исходящая нежелательная почта (OSPM)
Действие политики фильтрации исходящей нежелательной почты в политике защиты от нежелательной почты.
Enum: PolicyAction; Type: Edm.Int32
Действие политики
Значение
Имя элемента
Описание
0
MoveToJMF
Действие политики состоит в перемещении в папку нежелательной почты.
1
AddXHeader
Действие политики состоит в добавлении X-заголовка к сообщению электронной почты.
2
ModifySubject
Действие политики состоит в изменении темы сообщения электронной почты с использованием сведений, указанных в политике фильтрации.
3
Redirect
Действие политики состоит в переадресации сообщения электронной почты на адрес электронной почты, указанный в политике фильтрации.
4
Delete
Действие политики состоит в удалении (отбрасывании) сообщения электронной почты.
5
Quarantine
Действие политики состоит в помещении сообщения электронной почты на карантин.
6
NoAction
Настройка политики не предполагает действий с сообщением электронной почты.
7
BccMessage
Действие политики состоит в отправке скрытой копии сообщения электронной почты на адрес электронной почты, указанный в политике фильтрации.
8
ReplaceAttachment
Действие политики состоит в замене вложения в сообщении электронной почты как указано в политике фильтрации.
События выбора URL-адреса
Параметры
Тип
Обязательный?
Описание
UserId
Edm.String
Да
Идентификатор (например, электронный адрес) пользователя, который щелкнул URL-адрес.
AppName
Edm.String
Да
Служба Office 365, из которой щелкнули URL-адрес (например, "Почта").
Идентификатор службы Office 365, с использованием которого было выполнено нажатие URL-адреса (например, идентификатор для службы "Почта" называется "идентификатором сетевого сообщения Exchange Online").
TimeOfClick
Edm.Date
Да
Дата и время щелчка URL-адреса в формате UTC.
URL
Edm.String
Да
URL-адрес, который щелкнул пользователь.
UserIp
Edm.String
Да
IP-адрес пользователя, который щелкнул URL-адрес. IP-адрес отображается в формате адреса IPv4 или IPv6.
Пользователю запрещен переход к URL-адресу с помощью безопасных ссылок в Defender для Office 365; однако пользователь переопределяет блокировку, чтобы перейти к URL-адресу.
5
PendingDetonationPageOverride
Пользователю открывается страница отключения на основании инструмента Безопасные ссылки в Defender для Office 365; однако пользователь переопределяет блокировку, чтобы перейти к URL-адресу.
Рабочая нагрузка или служба, где был найден файл (например, SharePoint Online, OneDrive для бизнеса или Microsoft Teams)
DetectionMethod
Edm.String
Да
Метод или технология, используемая Microsoft Defender для Office 365 для обнаружения.
LastModifiedDate
Edm.Date
Да
Дата и время в формате UTC, когда файл был создан или изменен в последний раз.
LastModifiedBy
Edm.String
Да
Идентификатор (например, адрес электронной почты) для пользователя, который создал или выполнил последнее изменение файла.
EventDeepLink
Edm.String
Да
Глубокая ссылка на файл события в проводнике или отчетах, подготавливаемых в режиме реального времени в Центре безопасности и соответствия требованиям.
Сложный тип FileData
FileData
Параметры
Тип
Обязательный?
Описание
Documentid
Edm.String
Да
Уникальный идентификатор для файла в SharePoint, OneDrive или Microsoft Teams.
FileName
Edm.String
Да
Имя файла, запускающего событие.
FilePath
Edm.String
Да
Путь (расположение) файла в SharePoint, OneDrive или Microsoft Teams.
События отправки доступны для всех клиентов Office 365, так как они предоставляются в рамках системы безопасности. Сюда относятся организации, использующие Exchange Online Protection и Microsoft Defender для Office 365. Каждое событие в веб-канале отправки соответствует ложным срабатываниям или ложноотрицательным результатам, отправленным как:
Отправка администратором. Сообщения, файлы или URL-адреса, отправленные в корпорацию Майкрософт для анализа.
Элемент, о котором уведомил пользователь. Сообщения, о которых конечные пользователи уведомили администратора или корпорацию Майкрософт с целью проверки.
События отправки
Параметры
Тип
Обязательный?
Описание
AdminSubmissionRegistered
Edm.String
Нет
Отправка администратором зарегистрирована и ожидает обработки.
AdminSubmissionDeliveryCheck
Edm.String
Нет
Система отправки администратором проверила политику электронной почты.
AdminSubmissionSubmitting
Edm.String
Нет
Система отправки администратора отправляет сообщение электронной почты.
AdminSubmissionSubmitted
Edm.String
Нет
Система отправки администратором отправила сообщение электронной почты.
AdminSubmissionTriage
Edm.String
Нет
Отправка администратором рассматривается средством оценки.
AdminSubmissionTimeout
Edm.String
Нет
Время ожидания отправки администратором истекло без получения результатов.
UserSubmission
Edm.String
Нет
Об отправке впервые сообщил конечный пользователь.
UserSubmissionTriage
Edm.String
Нет
Отправка пользователем рассматривается средством оценки.
CustomSubmission
Edm.String
Нет
Сообщение, о котором уведомил пользователь, было отправлено в пользовательский почтовый ящик организации, как установлено в параметрах сообщений, о которых уведомляют пользователи.
AttackSimUserSubmission
Edm.String
Нет
Сообщение, о котором уведомил пользователь, на самом деле было сообщением учебной симуляции фишинга.
AdminSubmissionTablAllow
Edm.String
Нет
Во время отправки было создано разрешение для немедленного действия с похожими сообщениями во время повторной проверки.
SubmissionNotification
Edm.String
Нет
Отзыв администратора отправлен конечному пользователю.
События автоматизированного анализа угроз и реагирования на них в Office 365
События автоматического исследования и реагирования (AIR) в Office 365 доступны для пользователей Office 365 с подпиской, включающей Microsoft Defender для Office 365 (план 2) или Office 365 E5. События анализа регистрируются в журнале на основе изменения в состоянии анализа. Например, если администратор выполняет действие, изменяющее состояние анализа с "Ожидание выполнения действия" на "Завершено", событие записывается в журнал.
В настоящее время в журнал записываются только события автоматизированного анализа угроз. (События анализа, созданного вручную, ожидаются в ближайшее время.) В журнал записываются следующие значения состояния:
Исследование начато
Угрозы не найдены
Прервано системой
Ожидание выполнения действия
Обнаруженные угрозы
Исправлено
Не выполнено
Прервано механизмом регулирования
Прервано пользователем
Работает
Основная схема анализа
Имя
Тип
Описание
InvestigationId
Edm.String
Идентификатор исследования или идентификатор GUID.
InvestigationName
Edm.String
Имя исследования.
InvestigationType
Edm.String
Тип анализа. Принимается одно из следующих значений: — Сообщения, о которых уведомили пользователи — Вредоносные программы, попавшие в автоматическую очистку — Фишинговые сообщения, попавшие в автоматическую очистку — Изменение решения для URL-адреса
(В настоящее время ручной анализ недоступен, но ожидается в ближайшее время.)
LastUpdateTimeUtc
Edm.Date
Время последнего обновления для исследования в формате UTC.
StartTimeUtc
Edm.Date
Время начала исследования.
Статус
Edm.String
Состояние анализа: выполняется, ожидание выполнения действия и т. д.
DeeplinkURL
Edm.String
URL-адрес прямой ссылки на исследование в Центре соответствия требованиям Office 365 безопасности &.
Действия
Коллекция (Edm.String)
Коллекция действий, рекомендуемых исследованием.
Data
Edm.String
Строка данных с дополнительными сведениями об объектах анализа и сведениями об оповещениях, связанных с анализом. Объекты доступны в отдельном узле в составе большого двоичного объекта.
Действия
Поле
Тип
Описание
ИД
Edm.String
Идентификатор действия
ActionType
Edm.String
Тип действия, например исправление электронной почты.
Значение null, если утверждено автоматически; в противном случае — имя пользователя или идентификатор (ожидается в ближайшее время)
TimestampUtc
Edm.DateTime
Метка времени изменения состояния действия.
ActionId
Edm.String
Уникальный идентификатор действия.
InvestigationId
Edm.String
Уникальный идентификатор для исследования.
RelatedAlertIds
Collection(Edm.String)
Оповещения, связанные с исследованием.
StartTimeUtc
Edm.DateTime
Метка времени создания действия.
EndTimeUtc
Edm.DateTime
Метка времени обновления конечного состояния действия.
Идентификаторы ресурсов
Edm.String
Состоит из идентификатора клиента Azure Active Directory.
Объекты
Collection(Edm.String)
Список одной или нескольких затронутых сущностей по действию.
Идентификаторы соответствующих оповещений
Edm.String
Оповещение, связанное с исследованием.
Объекты
MailMessage (электронная почта)
Поле
Тип
Описание
Type
Edm.String
"mail-message"
Files
Коллекция (Self.File)
Сведения о файлах вложений этого сообщения.
Recipient
Edm.String
Получатель этого почтового сообщения.
Urls
Коллекция(Self.URL)
URL-адреса, содержащиеся в этом почтовом сообщении.
Sender
Edm.String
Электронный адрес отправителя.
SenderIP
Edm.String
IP-адрес отправителя.
ReceivedDate
Edm.DateTime
Дата получения этого сообщения.
NetworkMessageId
Edm.Guid
Идентификатор сетевого сообщения.
InternetMessageId
Edm.String
Идентификатор сообщения в Интернете для этого почтового сообщения.
Subject
Edm.String
Тема этого почтового сообщения.
IP
Поле
Тип
Описание
Type
Edm.String
"ip"
Address
Edm.String
IP-адрес в виде строки, например 127.0.0.1.
URL
Поле
Тип
Описание
Type
Edm.String
"url"
Url
Edm.String
Полный URL-адрес, на который указывает сущность.
Mailbox (также аналогичен пользователю)
Поле
Тип
Описание
Type
Edm.String
"mailbox"
MailboxPrimaryAddress
Edm.String
Основной адрес почтового ящика.
DisplayName
Edm.String
Отображаемое имя почтового ящика.
Upn
Edm.String
Имя участника-пользователя почтового ящика.
File
Поле
Тип
Описание
Type
Edm.String
"file"
Имя
Edm.String
Имя файла без пути.
FileHashes
Коллекция (Edm.String)
Хэши файлов, связанные с файлом.
FileHash
Поле
Тип
Описание
Type
Edm.String
"filehash"
Algorithm
Edm.String
Тип алгоритма хэширования. Может принимать одно из следующих значений: — Неизвестно — MD5 — SHA1 — SHA256 — SHA256AC
Value
Edm.String
Хэш-значение.
MailCluster
Поле
Тип
Описание
Type
Edm.String
"MailCluster" Определяет тип обсуждаемой сущности.
NetworkMessageIds
Коллекция (Edm.String)
Список идентификаторов почтовых сообщений, входящих в почтовый кластер.
CountByDeliveryStatus
Коллекции (Edm.String)
Количество почтовых сообщений по строковом представлению DeliveryStatus.
CountByThreatType
Коллекции (Edm.String)
Количество почтовых сообщений по представлению строки ThreatType.
Threats
Коллекции (Edm.String)
Угрозы почтовых сообщений, входящих в почтовый кластер. Угрозы включают такие значения, как фишинг и вредоносные программы.
Query
Edm.String
Запрос, используемый для идентификации сообщений почтового кластера.
QueryTime
Edm.DateTime
Время запроса.
MailCount
Edm.int
Количество почтовых сообщений, входящих в почтовый кластер.
Source
Строка
Источник почтового кластера; значение источника кластера.
Схема гигиенических событий
Гигиенические события связаны с защитой от спама. Эти события связаны с пользователями, которым запрещено отправлять электронную почту. Дополнительные сведения см. в указанных ниже статьях.
Записи аудита для событий, относящихся к приложениям на основе моделей в Dynamics 365, используют как базовую схему, так и схему операций объектов. Дополнительные сведения см. в статье о Включение и использование ведения журнала действий.
Базовая схема Dynamics 365
Параметры
Тип
Обязательный?
Описание
CrmOrganizationUniqueName
Edm.String
Да
Уникальное название организации.
InstanceUrl
Edm.String
Да
URL-адрес экземпляра.
ItemUrl
Edm.String
Нет
URL-адрес записи, создавшей журнал.
ItemType
Edm.String
Нет
Имя объекта.
UserAgent
Edm.String
Нет
Уникальный идентификатор GUID пользователя в организации.
Поля
Collection(Common.NameValuePair)
Нет
Объект JSON, содержащий пары "ключ-значение" свойств, которые были созданы или обновлены.
Схема операции объекта Dynamics 365
События объектов из приложений Dynamics 365 на основе моделей используют эту схему для дополнения базовой схемы Dynamics 365. Эта схема содержит сведения о операции объекта, инициировавшей событие, для которого выполнен аудит.
Параметры
Тип
Обязательный?
Описание
EntityId
Edm.Guid
Нет
Уникальный идентификатор объекта.
EntityName
Edm.String
Да
Имя объекта в организации. Примеры объектов: contact или authentication.
Сообщение
Edm.String
Да
Этот параметр содержит операцию, которая была выполнена в связи с объектом. Например, если был создан новый контакт, значение свойства Message — , Create а соответствующее значение свойства EntityName — contact.
Запрос
Edm.String
Нет
Параметры запроса фильтра, использованные при выполнении операции FetchXML.
PrimaryFieldValue
Edm.String
Нет
Указывает значение для атрибута, являющегося основным полем объекта.
Источником карантинного запроса может быть центр безопасности и соответствия требованиям (SCC), командлет или ссылка URL.
NetworkMessageId
Edm.String
Нет
Идентификатор сетевого сообщения для находящегося в карантине почтового сообщения
ReleaseTo
Edm.String
Нет
Получатель сообщения электронной почты.
Enum: RequestType - Type: Edm.Int32
Value (Значение)
Имя элемента
Описание
0
Предварительная версия
Это запрос пользователя на предварительный просмотр сообщения электронной почты, которое признано потенциально опасным.
1
Удалить
Это запрос пользователя на удаление сообщения электронной почты, которое признано потенциально опасным.
2
Выпуск
Это запрос пользователя на освобождение сообщения электронной почты, которое признано потенциально опасным.
3
Экспорт
Это запрос пользователя на экспорт сообщения электронной почты, которое признано потенциально опасным.
4
ViewHeader
Это запрос пользователя на просмотр заголовка сообщения электронной почты, которое признано потенциально опасным.
5
Запрос на разблокирование
Это запрос пользователя на разблокирование сообщения электронной почты, которое признано потенциально опасным.
Enum: RequestSource - Type: Edm.Int32
Value (Значение)
Имя элемента
Описание
0
SCC
Центр безопасности и соответствия требованиям (SCC) — это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты.
1
Командлет
Командлет — это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты.
2
Ссылка URL
Это источник, из которого может исходить запрос пользователя на предварительный просмотр, удаление, освобождение, экспорт или просмотр заголовка потенциально опасных сообщений электронной почты.
Пользователь, который использует ссылку для совместной работы, предоставленную владельцем формы для входа и редактирования формы.
Enum: FormTypes - Тип: Edm.Int32
FormTypes
Значение
Типы форм
Описание
0
Форма
Формы, созданные при помощи параметра "Новая форма".
1
Тест
Тесты, созданные при помощи параметра "Новый тест". Тест — это особый тип форм, включающий дополнительные функции, такие как оценки, автоматическое и ручное оценивание и комментирование.
2
Опрос
Опросы, созданные при помощи параметра "Новый опрос". Опрос — это особый тип форм, включающий дополнительные функции, такие как интеграция CMS и поддержка правил Flow.
Схема меток MIP
События в схеме меток защиты информации Microsoft Purview запускаются, когда Microsoft 365 обнаруживает сообщение электронной почты, обработанное агентами в транспортном конвейере, к которому применена метка конфиденциальности. Метка конфиденциальности может применяться вручную или автоматически и может применяться внутри или за пределами транспортного конвейера. Метки конфиденциальности могут автоматически применяться к сообщениям электронной почты с помощью политик автоматического применения меток.
Цель этой схемы аудита заключается в представлении сводки всех действий с электронной почтой, включающих метки конфиденциальности. Другими словами, для каждого сообщения электронной почты с примененной меткой, отправляемого или получаемого пользователями в организации, должно регистрироваться действие аудита, независимо от способа и времени применения метки конфиденциальности. Дополнительная информация о метках аудита:
Адрес электронной почты в поле отправителя сообщения электронной почты.
Receivers
Collection(Edm.String)
Нет
Все адреса электронной почты в полях "Кому", "Копия" и "СК" сообщения электронной почты.
ItemName
Edm.String
Нет
Строка в поле темы сообщения электронной почты.
LabelId
Edm.Guid
Нет
GUID метки конфиденциальности, примененной к сообщению электронной почты.
LabelName
Edm.String
Нет
Имя метки конфиденциальности, примененной к сообщению электронной почты.
LabelAction
Edm.String
Нет
Действия, указываемые меткой конфиденциальности, примененной к сообщению электронной почты до его поступления в канал транспортировки почты.
LabelAppliedDateTime
Edm.Date
Нет
Дата применения метки конфиденциальности к сообщению электронной почты.
ApplicationMode
Edm.String
Нет
Указывает способ применения метки конфиденциальности к сообщению электронной почты. Значение Privileged указывает, что метка была применена вручную пользователем. Значение Standard указывает, что метка была автоматически применена процессом присвоения меток на стороне клиента или службы.
Схема событий портала зашифрованных сообщений
События для схемы портала зашифрованных сообщений инициируются, когда служба "Шифрование сообщений Purview" обнаруживает получение внешнего доступа к зашифрованному сообщению электронной почты через портал. Почта может шифроваться вручную с помощью метки конфиденциальности или шаблона RMS либо автоматически с помощью правила транспорта, политики защиты от потери данных или автоматического добавления меток.
Целью этой схемы аудита является представить все действия на портале, связанные с получением внешнего доступа к зашифрованной почте. Другими словами, попытки входа на портал и любые действия, связанные с доступом к зашифрованной почте, должны фиксироваться. Это касается почты, отправляемой или получаемой пользователями организации, когда к почте применено шифрование, независимо от того, когда и как было применено шифрование. Дополнительные сведения см. в разделе Сведения о журналах портала зашифрованных сообщений.
Параметры
Тип
Обязательный?
Описание
MessageId
Edm.String
Нет
Идентификатор сообщения.
Recipient
Edm.String
Нет
Адрес электронной почты получателя.
Sender
Edm.String
Нет
Адрес электронной почты отправителя.
AuthenticationMethod
Self.AuthenticationMethod
Нет
Способ проверки подлинности при доступе к сообщению, например OTP, Yahoo, Gmail, Майкрософт.
AuthenticationStatus
Self.AuthenticationStatus
Нет
0 — успешно, 1 — ошибка.
OperationStatus
Self.OperationStatus
Нет
0 — успешно, 1 — ошибка.
AttachmentName
Edm.String
Нет
Название вложения.
OperationProperties
Collection(Common.NameValuePair)
Нет
Дополнительные свойства, например количество отправленных одноразовых секретных кодов, тема сообщения электронной почты и т. д.
Схема Exchange с соответствием требованиям к обмену данными
Эту схему используют события соответствия требованиям к обмену данными, перечисленные в журнале аудита Office 365. Она включает записи аудита для операции SupervisoryReviewOLAudit, которая формируется, когда модели защиты от спама выявляют оскорбительные выражения в сообщении электронной почты с точностью совпадения >= 99,5 %.
Это свойство включает имя, а также новое и предыдущее значения измененного свойства.
Схема соединителя соответствия
События в схеме соединителя соответствия инициируются, когда элементы, импортируемые соединителем данных, пропускаются или не импортируются в почтовые ящики пользователей. Дополнительную информацию о соединителях данных см. в статье Сведения о соединителях для сторонних данных.
Параметры
Тип
Обязательный?
Описание
JobId
Edm.String
Нет
Это уникальный идентификатор соединителя данных.
TaskId
Edm.String
Нет
Уникальный идентификатор экземпляра соединителя периодических данных. Соединители данных импортируют данные с периодическими интервалами.
JobType
Edm.String
Нет
Имя соединителя данных.
ItemId
Edm.String
Нет
Уникальный идентификатор импортируемого элемента (например, сообщения электронной почты).
ItemSize
Edm.Int64
Нет
Размер импортируемого элемента.
SourceUserId
Edm.String
Нет
Уникальный идентификатор пользователя из стороннего источника данных. Например, для соединителя данных Slack это свойство указывает идентификатор пользователя в рабочей области Slack.
Указывает тип сбоя импорта данных. Например, значение incorrectusermapping указывает, что элемент не был импортирован, так как не удалось найти сопоставление пользователей между сторонним источником данных и Microsoft 365.
ResultMessage
Edm.String
Нет
Указывает тип сбоя, например Дублирующееся сообщение.
IsRetry
Edm.Boolean
Нет
Указывает, повторяется ли попытка импорта элемента соединителем данных.
Список вложений, полученных из стороннего источника данных.
Перечисление: FailureType — тип: Edm.Int32
Value (Значение)
Имя элемента
0
По умолчанию
1
MailboxWrite
Сложный тип вложения
Parameters
Тип
Обязательный?
Описание
FileName
Edm.String
Нет
Имя вложения.
Details
Edm.String
Нет
Другие сведения о вложении.
Схема SystemSync
События в схеме SystemSync активируются, когда данные, принятые через SystemSync, экспортируются через Data Lake или к ним предоставляется доступ через другие службы.
DataLakeExportOperationAuditRecord
Parameters
Тип
Обязательный?
Описание
DataStoreType
DataStoreType
Да
Указывает, из какого хранилища данных были загружены данные. Все возможные значения см. в описании DataStoreType.
UserAction
DataLakeUserAction
Да
Указывает, какое действие пользователь выполнил в хранилище данных. Все возможные значения см. в разделе DataLakeUserAction.
ExportTriggeredAt
Edm.DateTimeOffset
Да
Указывает, когда был запущен экспорт данных.
NameOfDownloadedZipFile
Edm.String
Нет
Имя сжатого файла, скачанного администратором из Data Lake.
DataShareOperationAuditRecord
Parameters
Тип
Обязательный?
Описание
Приглашение
DataShareInvitationType
Нет
Сведения о приглашении, отправленном получателю Data Share.
Сложный тип DataShareInvitationType
Parameters
Тип
Обязательный?
Описание
ShareId
Edm.Guid
Да
Назначенный системой идентификатор для Data Share.
Приглашенные
Collection(Edm.Guid)
Да
Список администраторов, которым было отправлено приглашение.
InviteeTenantId
Edm.Guid
Да
Целевой клиент, для которого предназначено приглашение.
ShareName
Edm.String
Да
Назначенное системой имя для Data Share.
SyncFrequency
Self.SyncFrequency
Да
Частота синхронизации данных с целевой учетной записью хранения после установки общей папки. Дополнительные возможные значения см. ниже.
SyncStartTime
Edm.DateTimeOffset
Да
Дата и время первой синхронизации.
Перечисление: SyncFrequency - Тип: Edm.Int32
Value (Значение)
Имя элемента
Описание
0
Каждый час
Указывает, что данные будут синхронизироваться каждый час.
1
Ежедневно
Указывает, что данные будут синхронизироваться один раз в день.
Перечисление: DataStoreType - Тип: Edm.Int32
Value (Значение)
Имя элемента
Описание
0
CanonicalStore
Указывает, что данные будут загружены из канонического хранилища.
1
StagingStore
Указывает, что данные будут загружены из промежуточного хранилища.
Число запрашиваемых областей для этого извлечения.
ScopeCountDelivered
Edm.Int64
Нет
Число доставленных областей для этого извлечения.
UndeliveredScope
Edm.String
Нет
Недоставленная область извлечения.
RowCount
Edm.Int64
Нет
Количество извлекаемых строк.
Статус
Edm.String
Да
Состояние извлечения.
Reason
Edm.String
Нет
Сообщение об ошибке в случае сбоя.
AipDiscover
В следующей таблице содержатся сведения, связанные с событиями проверки azure Information Protection (AIP).
Событие
Описание
ApplicationId
ID приложения, которое выполняет операцию.
ApplicationName
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла).
ClientIP
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6.
CreationTime
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита.
DataState
Описывает состояние данных.
DeviceName
Устройство, на котором произошло действие.
Id
GUID текущей записи.
IsProtected
Защищено ли: True или False
Расположение
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud.
ObjectId
Полный путь к файлу (URL-адрес). Для действий SharePoint и OneDrive для бизнеса этот параметр указывает на полное имя пути к файлу или папке, к которым получает доступ пользователь.
Operation
Описывает тип доступа.
OrganizationId
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
Платформа
Платформа устройств (Win, OSX, Android, iOS)
ProcessName
Соответствующее имя процесса, например. Outlook, msip.app, WinWord.
ProductVersion
Версия клиента AIP.
ProtectionOwner
Владелец Rights Management в формате имени участника-пользователя.
ProtectionType
Тип защиты может быть шаблонным или нерегламентированным.
RecordType
Тип операции, указанный в записи. Сведения о типах записей в журнале аудита см. в таблице AuditLogRecordType. Полный обновленный список и полное описание Log RecordType см. в записи блога о действиях журнала аудита соответствия требованиям Microsoft 365 с помощью API управления O365. Здесь перечислены только соответствующие типы записей MIP.
Scope
Создано ли это событие в размещенной службе Office 365 или на локальном сервере? Возможные значения: online и onprem. Обратите внимание, что сейчас данные о событиях отправляются с локального сервера в Office 365 только SharePoint.
SensitiveInfoTypeData
Хранит тип данных типа Конфиденциальные сведения.
SensitivityLabelId
Идентификатор GUID текущей метки конфиденциальности MIP. Используйте cmdlt Get-Label, чтобы получить полные значения GUID.
TemplateId
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection.
UserId
Имя участника-пользователя (имя участника-пользователя) пользователя, выполнившего действие (указанное в свойстве Operation), в результате которого запись регистрируется; например, my_name@my_domain_name. Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
UserType
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
Версия
Идентификатор версии файла, с которым выполнена операция.
Workload
Хранит службу Office 365, в которой произошло действие.
AipSensitivityLabelAction
В следующей таблице содержатся сведения, связанные с событиями меток конфиденциальности AIP.
Событие
Описание
ApplicationId
Соответствует идентификатору приложения Microsoft Entra.
ApplicationName
Понятное имя приложения, выполняющего операцию.
CreationDate
Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие.
DataState
Указывает состояние данных.
DeviceName
Имя устройства пользователя.
Удостоверение
Удостоверение пользователя или службы, для проверки подлинности.
IsProtected
Защищено ли: True или False
IsProtectedBefore
Было ли содержимое защищено перед изменением: True/False
IsValid
Логический
Расположение
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud.
ObjectState
Указывает состояние объекта .
Operation
Тип операции для журнала аудита. Имя действия пользователя или администратора. Описание наиболее распространенных операций и действий: SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Удостоверение
Удостоверение пользователя или службы, для проверки подлинности.
PSComputerName
Имя компьютера
PSShowComputerName
Значение False для документированных, отредактированных в Office 365.
Платформа
Платформа устройств (Win, OSX, Android, iOS).
ProcessName
Процесс, в котором размещается пакет SDK для MIP.
ProductVersion
Версия клиента Information Protection Azure, выполнивного действие аудита.
ProtectionType
Тип защиты может быть шаблонным или нерегламентированным.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей.
RunspaceId
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки.
SensitiveInfoTypeData
Хранит тип данных типа конфиденциальной информации
TemplateId
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection.
UserId
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы.
AipProtectionAction
Событие
Описание
PSComputerName
Имя компьютера
RunspaceId
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки.
PSShowComputerName
Значение false для документированного, измененного в Office 365.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей.
CreationTime
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита.
UserId
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
Operation
Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Удостоверение
Удостоверение пользователя или службы, для проверки подлинности.
ObjectState
Состояние объекта после текущего события.
ApplicationId
Приложение, в котором произошло действие и отображается в GUID.
ApplicationName
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла).
ProcessName
Имя процесса приложения Office.
Платформа
Платформа, на которой произошло действие. Например, Windows.
DeviceName
Устройство, на которое было записано событие.
ProductVersion
Версия клиента Information Protection Azure, выполнивного действие аудита.
UserId
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
ClientIP
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6.
Id
GUID текущей записи.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP.
CreationTime
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита.
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
UserType
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
Workload
Хранит службу Office 365, в которой произошло действие.
Версия
Версия клиента Information Protection Azure, выполнивного действие аудита
Scope
Указывает область.
AipFileDeleted
Событие
Описание
PSComputerName
Имя компьютера
RunspaceId
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки.
PSShowComputerName
Значение false для документированного, измененного в Office 365.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP. Дополнительные сведения см. в полном списке типов записей.
CreationTime
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита.
UserId
Имя участника-пользователя (UPN) пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи. Например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
Operation
Тип операции для журнала аудита. Название действия пользователя или администратора. Описание наиболее распространенных операций и действий. SensitivityLabelApplied SensitivityLabelUpdated SensitivityLabelRemoved SensitivityLabelPolicyMatched SensitivityLabeledFileOpened.
Удостоверение
Удостоверение пользователя или службы, для проверки подлинности.
ObjectState
Состояние объекта после текущего события.
ApplicationId
Приложение, в котором произошло действие и отображается в GUID.
ApplicationName
Понятное имя приложения, выполняющего операцию. Outlook (для электронной почты), OWA (для электронной почты), Word (для файла), Excel (для файла), PowerPoint (для файла).
ProcessName
Имя процесса приложения Office.
Платформа
Платформа, на которой произошло действие. Например, Windows.
DeviceName
Устройство, на которое было записано событие.
ProductVersion
Версия клиента Information Protection Azure, выполнивного действие аудита.
UserId
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name.
Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
ClientIP
IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6. Для некоторых служб значение, отображаемое в этом свойстве, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для событий, связанных с Azure Active Directory, IP-адрес не регистрируется, а значение свойства ClientIP равно NULL. IP-адрес отображается в формате адреса IPv4 или IPv6.
Id
GUID текущей записи.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Здесь перечислены только соответствующие типы записей MIP.
CreationTime
Дата и время в формате UTC в формате ISO8601, когда была создана запись журнала аудита.
GUID клиента Office 365 вашей организации. Это значение неизменно для вашей организации независимо от того, в какой службе Office 365 оно наблюдается.
UserType
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
Workload
Хранит службу Office 365, в которой произошло действие.
Версия
Версия клиента Information Protection Azure, выполнивного действие аудита
Scope
Указывает область.
AipHeartBeat
В следующей таблице содержатся сведения, связанные с событиями пульса AIP.
Событие
Описание
ApplicationId
Соответствует идентификатору приложения Microsoft Entra.
ApplicationName
Понятное имя приложения, выполняющего операцию.
CreationDate
Дата и время в формате UTC в формате ISO8601, когда пользователь выполнил действие.
DataState
Указывает состояние данных.
DeviceName
Имя устройства пользователя.
Удостоверение
Удостоверение пользователя или службы, для проверки подлинности.
IsProtected
Защищено ли: True или False
IsProtectedBefore
Было ли содержимое защищено перед изменением: True/False
IsValid
Логический
Расположение
Расположение документа относительно устройства пользователя. Возможные значения: unknown, localMedia, removableMedia, fileshare и cloud.
ObjectState
Указывает состояние объекта .
Operation
Тип операции для журнала аудита. Название действия пользователя или администратора.
PSComputerName
Имя компьютера
PSShowComputerName
Значение False для документированных, отредактированных в Office 365.
Платформа
Платформа устройств (Win, OSX, Android, iOS).
ProcessName
Процесс, в котором размещается пакет SDK для MIP.
ProductVersion
Версия клиента Information Protection Azure, выполнивного действие аудита.
ProtectionType
Тип защиты может быть шаблонным или нерегламентированным.
RecordType
Показывает значение действия метки. Тип операции, указанный записью. Дополнительные сведения см. в полном списке типов записей.
RunspaceId
Runspace — это конкретный экземпляр PowerShell, который содержит изменяемые коллекции команд, поставщиков, переменных, функций и языковых элементов, доступных пользователю командной строки.
SensitiveInfoTypeData
Хранит тип данных типа конфиденциальной информации.
TemplateId
Параметр TemplateID для получения определенного шаблона. Командлет Get-AipServiceTemplate получает все существующие или выбранные шаблоны защиты из azure Information Protection.
UserId
Имя участника-пользователя, выполнившего действие (указанное в свойстве Operation), которое привело к регистрации записи; например, my_name@my_domain_name. Обратите внимание, что сюда также включаются записи о действиях, выполненных в системных учетных записях (таких как SHAREPOINT\system или NT AUTHORITY\SYSTEM). В SharePoint другое значение, отображаемое в свойстве UserId, - это app @sharepoint. Это указывает на то, что «пользователь», который выполнял действие, был приложением, имеющим необходимые разрешения в SharePoint для выполнения действий в масштабе всей организации (таких как поиск на сайте SharePoint или в учетной записи OneDrive) от имени пользователя, администратора или службы. Дополнительные сведения см. в разделе app@sharepoint пользователя в записях аудита.
UserType
Тип пользователя, который выполнил операцию. Дополнительные сведения о типах пользователей см. в таблице UserType. 0 = regular 1 = Reserved 2 = Администратор 3 = DcAdmin 4 = Systeml 5 = Application 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy
UserKey
Альтернативный идентификатор пользователя, указываемый в свойстве UserId. Это свойство заполняется уникальным идентификатором паспорта (PUID) для событий, выполненных пользователями в SharePoint, OneDrive для бизнеса и Exchange.
Сложный тип MicrosoftGraphDataConnectConsent
Parameters
Тип
Обязательный?
Описание
ApplicationId
Edm.Guid
Да
Идентификация приложения.
ApplicationVersion
Edm.String
Да
Версия приложения.
AppRegistrationTenantId
Edm.Guid
Да
Идентификатор клиента регистрации приложения.
Утверждающий
Edm.String
Да
Имя участника-пользователя утверждающего.
ApprovalUpdatedDateInUTC
Edm.Date
Да
Время обновления в формате UTC.
ApprovalExpiryDateInUTC
Edm.Date
Да
Время окончания срока действия в формате UTC.
ApprovalValidDays
Edm.Int32
Да
Количество дней с момента обновления, для которого утверждение будет действительным.
Роль пользователя, который споткнул это событие в Viva Goals. Это будет упоминание, если пользователь является администратором организации или владельцем.
Агент пользователя (сведения о браузере) пользователя, который споткнул событие. UserAgent может не присутствовать в случае сгенерированного системой события.
ModifiedFields
Collection(Common.NameValuePair)
Нет
Список атрибутов, которые были изменены вместе с новыми и старыми значениями, выходными в виде JSON.
ItemDetails
Collection(Common.NameValuePair)
Нет
Дополнительные свойства объекта, который был изменен.
схема Планировщик (Майкрософт)
Планировщик (Майкрософт) перезаписывает определение ObjectId и ResultStatus в общей схеме. Определение ObjectId Планировщик (Майкрософт) привязано к типу записей каждого Планировщик (Майкрософт) и будет проиллюстрировано отдельно.
ResultStatus Планировщик (Майкрософт) определяется следующим образом.
Перечисление: ResultStatus — Тип: Edm.Int32
ResultStatus
Значение
Имя элемента
Описание
1
Успешно
Запрос пользователя выполнен успешно.
2
Неудача
Сбой запроса пользователя по причинам, отличным от авторизации.
3
AuthorizationFailure
Пользователь, запрошенный, завершился сбоем из-за сбоя авторизации.
Планировщик (Майкрософт) расширяет общую схему следующими типами записей.
Описание события или действия, которое произошло в Viva Pulse.
PulseId
Edm.String
Нет
Идентификатор пульсового обследования.
EventDetails
Collection(Common.NameValuePair)
Нет
Дополнительные свойства события.
Некоторые события VivaPulse записывают различные свойства в EventDetails. Каждое свойство, записанное в EventDetail, описано в таблице.
EventName
PropertName
Описание
PulseReportShare
Recipients
Список идентификаторов получателей, которым предоставлен общий доступ к опросу пульса.
PulseCreate
Recipients
Список идентификаторов пользователей, которые являются участниками опроса spcified pulse.
PulseInvite
Recipients
Список идентификаторов пользователей, которые дополнительно приглашены на пульс.
PulseTenantSettingsUpdate
TenantSettingName
Изменено имя параметров.
PulseSubmit
Неприменимо
Это событие не записывает свойства в EventDetails.
PulseExtendDeadline
Неприменимо
Это событие не записывает свойства в EventDetails.
PulseCancel
Неприменимо
Это событие не записывает свойства в EventDetails.
PulseCreateDraft
Неприменимо
Это событие не записывает свойства в EventDetails.
PulseDeleteDraft
Неприменимо
Это событие не записывает свойства в EventDetails.
PulseDeleteUserData
Неприменимо
Это событие не записывает свойства в EventDetails.
Схема диспетчера соответствия требованиям
В записях аудита для событий, связанных с Диспетчером соответствия требованиям Microsoft Purview, используется эта схема (в дополнение к общей схеме). Дополнительные сведения о том, как найти журналы аудита на портале соответствия требованиям, см. в разделе Поиск в журнале аудита в Центре соответствия требованиям безопасности &. Дополнительные сведения о записи событий и действий, связанных с диспетчером соответствия требованиям, см. в разделе Действия журнала аудита.
Parameters
Тип
Обязательный?
Описание
Details
Collection(SettingsChange)
Нет
Описание события, которое произошло для диспетчера соответствия требованиям Microsoft Purview.
Значения, принятые параметрамиИзменение свойств в разделе Сведения о различных операциях, описаны в таблице ниже.
Операция
PropertyName
Описание
Все операции
Имя
Имя параметра, участвующего в операции диспетчера соответствия требованиям.
Все операции
NewValue
Новое значение для новых параметров.
Все операции
OriginalValue
Исходное значение для нового параметра.
Примечание.
Для изменения роли имя будет типом роли.
Запись аудита будет отражать изменения в событии, например, когда пользователю назначена роль или отозвана роль.
Исходное и новое значение будут содержать сообщения электронной почты пользователя, для которого была изменена роль.
Если роль не изменяется, этот тип роли не будет присутствовать в записи аудита.
Схема политики резервного копирования
Parameters
Тип
Обязательный?
Описание
PolicyID
Edm.String
Да
Идентификатор политики.
EditMethodology
Edm.String
Нет
Как была создана или изменена политика.
CountOfArtifactsBeingAdded
Edm.Int32
Нет
Количество добавляемых артефактов.
CountOfArtifactsBeingRemoved
Edm.Int32
Нет
Количество удаляемых артефактов.
ServiceType
Edm.String
Нет
Будь то политика SharePoint, Exchange или OneDriveForBusiness.
Восстановление схемы задачи
Parameters
Тип
Обязательный?
Описание
TaskID
Edm.String
Да
Идентификатор задачи восстановления.
CreationMethodology
Edm.String
Нет
Как была создана или изменена задача восстановления.
CountOfArtifactsBeingAdded
Edm.Int32
Нет
Количество добавляемых артефактов.
CountOfArtifactsBeingRemoved
Edm.Int32
Нет
Количество удаляемых артефактов.
ServiceType
Edm.String
Нет
Будь то политика SharePoint, Exchange или OneDriveForBusiness.
Схема элемента восстановления
Parameters
Тип
Обязательный?
Описание
RestoreTime
Edm.DateTime
Да
Время восстановления элемента.
RestoreLocationType
Edm.String
Да
Тип расположения, в которое восстанавливается элемент.
RestoreLocation
Edm.String
Нет
Расположение, в которое восстанавливается элемент.