Você verifica o log de auditoria do Microsoft 365 para ver quem baixou um arquivo do OneDrive, mas o evento de Download está ausente. Isso acontece mesmo que outros eventos de arquivo, como Upload e Exclusão, apareçam corretamente. A causa raiz é uma configuração padrão no aplicativo de sincronização do OneDrive que suprime eventos de auditoria de download para arquivos sincronizados. Este artigo explica por que os eventos de Download estão ausentes e fornece as etapas exatas para ativá-los em seu locatário.
Principais conclusões: Ativar eventos de auditoria de download no OneDrive
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > OneDrive > Auditoria: Ative a opção “Permitir eventos de download nos logs de auditoria” para começar a registrar eventos FileDownloaded para arquivos sincronizados.
- Log de auditoria unificado no Microsoft 365 Defender: Após ativar a opção, pesquise por “FileDownloaded” no filtro de Atividades para ver os registros de download.
- SharePoint Online Management Shell: Use o cmdlet Set-SPOTenant com o parâmetro -EnableDownloadAuditEvents para ativar a configuração via PowerShell.
Por que os eventos de download do OneDrive estão ausentes do log de auditoria
O aplicativo de sincronização do OneDrive no Windows usa um processo em segundo plano para baixar arquivos. Quando um usuário abre um arquivo sincronizado do Explorador de Arquivos, o aplicativo de sincronização o baixa silenciosamente. Por padrão, o Microsoft 365 não registra esses downloads iniciados pela sincronização no Log de Auditoria Unificado. Isso é proposital para reduzir o ruído do log de auditoria de operações de sincronização rotineiras.
No entanto, esse comportamento padrão oculta downloads reais iniciados pelo usuário quando ocorrem por meio do aplicativo de sincronização. Por exemplo, se um usuário abre um arquivo Excel sincronizado clicando duas vezes nele no Explorador de Arquivos, a ação é um download, mas nenhum evento FileDownloaded aparece no log de auditoria. Downloads diretos do portal da web do OneDrive ainda são registrados. Os eventos ausentes afetam apenas arquivos baixados por meio do aplicativo de sincronização.
A Microsoft adicionou uma configuração em nível de locatário para controlar esse comportamento. A configuração está desativada por padrão. Ativá-la faz com que o aplicativo de sincronização do OneDrive relate eventos de download ao log de auditoria. A alteração se aplica a todos os usuários do locatário. Nenhuma configuração do lado do cliente é necessária.
Etapas para ativar eventos de auditoria de download do OneDrive
Você deve ser um Administrador Global do Microsoft 365 ou Administrador do SharePoint para executar estas etapas.
- Abra o centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com sua conta de administrador. - Navegue até Configurações da organização
No painel de navegação esquerdo, selecione Mostrar tudo e depois Configurações. Clique em Configurações da organização. - Abra a página de configurações do OneDrive
Na guia Serviços, role para baixo e clique em OneDrive. - Ative eventos de auditoria de download
Na página de configurações do OneDrive, encontre a seção Auditoria. Marque a caixa Permitir eventos de download nos logs de auditoria. - Salve a configuração
Clique em Salvar na parte inferior do painel. A alteração entra em vigor em até 30 minutos para todos os usuários.
Verifique a configuração no Log de Auditoria Unificado
- Acesse o Microsoft 365 Defender
Abra security.microsoft.com e faça login com sua conta de administrador. - Abra o log de auditoria
No painel de navegação esquerdo, selecione Auditoria na seção Relatórios. - Pesquise eventos de download
Clique na guia Pesquisar. Em Atividades, digite FileDownloaded e selecione-o. Defina um intervalo de datas que inclua o momento após a ativação da configuração. Clique em Pesquisar. - Confirme os resultados
Se a configuração estiver ativa, eventos de download do aplicativo de sincronização aparecerão nos resultados. Caso contrário, aguarde 30 minutos e pesquise novamente.
Ative eventos de auditoria de download usando PowerShell
Você também pode ativar a configuração com o SharePoint Online Management Shell. Este método é útil para automação ou quando você precisa aplicar a configuração em vários locatários.
- Instale e conecte-se ao SharePoint Online
Abra o Windows PowerShell como administrador. ExecuteInstall-Module -Name Microsoft.Online.SharePoint.PowerShellse você não tiver instalado o módulo. Em seguida, executeConnect-SPOService -Url https://yourtenant-admin.sharepoint.come faça login com sua conta de administrador. - Ative a configuração de auditoria de download
Execute o seguinte comando:Set-SPOTenant -EnableDownloadAuditEvents $true - Verifique a configuração
ExecuteGet-SPOTenant | Select EnableDownloadAuditEvents. A saída deve mostrarTrue.
Se os eventos de download ainda não aparecerem após ativar a configuração
A pesquisa do log de auditoria não mostra nenhum evento FileDownloaded
O Log de Auditoria Unificado deve estar ativado para seu locatário. Acesse Microsoft 365 Defender > Auditoria > Pesquisar. Se você vir um banner que diz “Comece a gravar a atividade do usuário e do administrador”, clique em Ativar auditoria. Este é um pré-requisito separado. Sem ele, nenhum evento de auditoria é registrado.
Eventos FileDownloaded aparecem apenas para downloads da web
Após ativar a configuração, apenas novos downloads por meio do aplicativo de sincronização são registrados. Arquivos que já estavam sincronizados antes da ativação da configuração não geram eventos de auditoria quando abertos. Os usuários devem fechar e reabrir o arquivo, ou o aplicativo de sincronização deve baixá-lo novamente. Para testar, peça a um usuário para excluir um arquivo sincronizado de sua pasta local do OneDrive e deixe o aplicativo de sincronização baixá-lo novamente. Esse download aparecerá no log de auditoria.
O log de auditoria mostra FilePreviewed, mas não FileDownloaded
Eventos FilePreviewed ocorrem quando um usuário abre um arquivo no painel de visualização da web do OneDrive sem baixá-lo. Este é um tipo de evento separado. Se você precisar rastrear visualizações, pesquise por FilePreviewed no filtro de Atividades. A configuração EnableDownloadAuditEvents não afeta eventos de visualização.
Eventos do log de auditoria: Download vs Sincronização vs Visualização
| Tipo de Evento | Quando Ocorre | Registrado por Padrão |
|---|---|---|
| FileDownloaded | Usuário baixa um arquivo do OneDrive web ou aplicativo de sincronização | Apenas para downloads da web; aplicativo de sincronização requer configuração |
| FileSynced | Aplicativo de sincronização do OneDrive atualiza um arquivo em segundo plano | Sim |
| FilePreviewed | Usuário abre um arquivo no painel de visualização da web | Sim |
A tabela mostra que FileDownloaded é o único evento afetado pela configuração EnableDownloadAuditEvents. FileSynced e FilePreviewed são sempre registrados. Se você vir eventos FileSynced, mas não FileDownloaded, a configuração ainda está desativada.
Agora você pode ativar eventos de auditoria de download do OneDrive em seu locatário usando o centro de administração ou o PowerShell. Após ativar a configuração, novos downloads do aplicativo de sincronização aparecerão no Log de Auditoria Unificado como eventos FileDownloaded. Para verificação imediata, use a pesquisa de auditoria do Microsoft 365 Defender com o filtro de atividade FileDownloaded. Como dica avançada, combine essa configuração com políticas de retenção de auditoria no Microsoft 365 Purview para manter registros de download por até 10 anos para requisitos de conformidade.