O365監査ログ：知っておくべき15のこと

この記事では、O365監査ログの概要と、ExchangeOnlineおよびSharePointOnlineのテナント構成設定に加えられた変更、ユーザーがドキュメントやその他のアイテムに加えた変更など、Microsoft365テナント内のユーザーおよび管理アクティビティを追跡する機能について説明します。管理者は、Microsoft 365で利用可能な監査情報を使用して、コンプライアンス義務を果たすことができます。

1メールボックス監査

1.1メールボックス監査がデフォルトでオンになっていることを確認する

1.2Microsoft365グループメールボックスのメールボックスアクション

1.3メールボックス監査をデフォルトでオフにする

1.4監査ログ

1.5監査をオンにする

1.5.1PowerShellを使用して監査をオンにする

1.6メールボックス監査を有効にする

1.7特定のメールボックスのメールボックス監査を無効にする

2Exchangeオンライン監査レポート

3O365監査ログPowerShell

4 SharePoint Onlineで監査ログレポートを表示するにはどうすればよいですか？

5O365監査ログAPI

6まとめ

メールボックス監査

Microsoftは、すべての組織に対してデフォルトでメールボックス監査ログをオンにしています。これは、メールボックスの所有者、委任者、および管理者によって実行された特定のアクションが自動的にログに記録され、メールボックス監査ログでそれらを検索すると、対応するメールボックス監査レコードが利用できることを意味します。メールボックス監査がデフォルトでオンになる前は、組織内のすべてのユーザーメールボックスに対して手動で有効にする必要がありました。

デフォルトでオンになっているメールボックス監査のいくつかの利点は次のとおりです。

• 新しいメールボックスを作成すると、監査が自動的に有効になります。新規ユーザーに対して手動で有効にする必要はありません。
• 監査されるメールボックスアクションを管理する必要はありません。事前定義されたメールボックスアクションのセットは、デフォルトで各ログオンタイプ（管理者、委任者、および所有者）に対して監査されます。
• Microsoftが新しいメールボックスアクションをリリースすると、そのアクションは、デフォルトで監査されるメールボックスアクションのリストに自動的に追加される場合があります（適切なライセンスを持っているユーザーが必要です）。これは、メールボックスでの新しいアクションの追加を監視する必要がないことを意味します。
• 組織全体で一貫したメールボックス監査ポリシーがあります（すべてのメールボックスに対して同じアクションを監査しているため）。

メールボックス監査がデフォルトでオンになっていることを確認する

組織でメールボックス監査がデフォルトでオンになっていることを確認するには、  ExchangeOnlinePowerShellで次のコマンドを実行します。

Get-OrganizationConfig | FLAuditDisabled

値 False は、組織でメールボックス監査がデフォルトで有効になっていることを示します。これをデフォルトでオンにすると、組織の値が特定のメールボックスのメールボックス監査設定を上書きします。たとえば、メールボックスのメールボックス監査が無効になっている場合（メールボックスの AuditEnabled プロパティが False の場合）、組織ではメールボックス監査がデフォルトで有効になっているため、デフォルトのメールボックスアクションは引き続きメールボックスに対して監査されます。

特定のメールボックスのメールボックス監査を無効にするには、メールボックスの所有者およびメールボックスへのアクセスを委任された他のユーザーのメールボックス監査バイパスを構成します。詳細については、 メールボックス監査ログのバイパスを参照してください。

Microsoft365グループメールボックスのメールボックスアクション

メールボックス監査をデフォルトでオンにすると、メールボックス監査ログがMicrosoft 365グループメールボックスにもたらされますが、ログに記録される内容をカスタマイズすることはできません（どのログオンタイプでもログに記録されるメールボックスアクションを追加または削除することはできません）。Microsoft365グループメールボックスへのフルアクセス権限を持つ管理者は代理人と見なされることに注意してください。

メールボックス監査をデフォルトでオフにします

Exchange Online PowerShellで次のコマンドを実行すると、組織全体でメールボックス監査をデフォルトでオフにできます。

Set-OrganizationConfig -AuditDisabled $ true

メールボックス監査をデフォルトでオフにすると、次の結果になります。

• 組織でメールボックス監査が無効になっています。
• メールボックスの監査をデフォルトで無効にしたときから、メールボックスで監査が有効になっている場合でも、メールボックスのアクションは監査されません（メールボックスの AuditEnabled プロパティは Trueです）。
• メールボックス監査は新しいメールボックスに対して有効になっておらず  、新規または既存のメールボックス のAuditEnabledプロパティをTrue に設定しても無視されます。
• メールボックス監査バイパスの関連付け設定（  Set-MailboxAuditBypassAssociation コマンドレットを使用して構成されたもの）はすべて無視されます。
• 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。

監査ログ

Microsoft 365に準拠するために、監査ログはおそらくすべての中で最も重要なツールです。すべてのMicrosoft365サービスにわたるすべてのユーザーとアカウントのアクションを追跡します。すべてのユーザーとすべての製品について、削除、共有、ダウンロード、編集、読み取りなどに関するレポートを実行できます。特定のアクティビティが発生するたびに通知を受信するようにカスタムアラートを設定することもできます。

それのすべての有用性のために、それについての最も驚くべきことは、それがデフォルトでオンになっていないということです。

ログにアクセスできれば簡単に解決できるクエリや問題に遭遇したとき、最初からログが有効になっていないことに気付くだけで、イライラする可能性があります。自分の組織で設定する方法は次のとおりです。

監査をオンにする

あなた（または別の管理者）は、監査ログの検索を開始する前に、監査ログをオンにする必要があります。

• MicrosoftPurviewコンプライアンスポータルにアクセスします。
• コンプライアンスポータルの左側のナビゲーションペインで、[ 監査]をクリックします。
• 組織で監査がオンになっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。

• [ ユーザーと管理者のアクティビティの記録の開始] バナーをクリックします。変更が有効になるまで最大60分かかる場合があります。

PowerShellを使用して監査をオンにする

• 管理者としてPowerShellを介してExchangeOnlineに接続します。
• 組織のカスタマイズを有効にして、Microsoft365テナントが統合監査ログの準備ができていることを確認します。

Enable-OrganizationCustomization

次のコマンドを実行して、統合監査ログを有効にします。

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $ true

メールボックス監査を有効にする

単一のメールボックスの監査を有効にするには、PowerShellコマンドを使用します。

Set-Mailbox -Identity“ Test 12” -AuditEnabled $ true

組織内のすべてのメールボックスの監査を有効にするには、PowerShellコマンドを使用します。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq“ UserMailbox”} | Set-Mailbox -AuditEnabled $ true

監査が正常に有効になったかどうかを確認するには、ExchangeOnlineで「Get-Mailbox」コマンドを実行する必要があります。AuditEnabledプロパティの「True」値は、メールボックス監査ログが正常に有効になったことを確認します。

特定のメールボックスのメールボックス監査を無効にする

現在、組織でメールボックス監査がデフォルトでオンになっている場合、特定のメールボックスのメールボックス監査を無効にすることはできません。たとえば、  AuditEnabled メールボックスプロパティを Falseに設定して も無視されます。

ただし、   Exchange Online PowerShell のSet-MailboxAuditBypassAssociationコマンドレットを使用して、アクションが発生する場所に関係なく、指定したユーザーによるすべての メールボックスアクションがログに記録されないようにすることができます。例えば：

• バイパスされたユーザーによって実行されたメールボックス所有者のアクションはログに記録されません。
• バイパスされたユーザーが他のユーザーのメールボックス（共有メールボックスを含む）で実行した委任アクションはログに記録されません。
• バイパスされたユーザーによって実行された管理アクションはログに記録されません。

特定のユーザーのメールボックス監査ログをバイパスするには：

Set-MailboxAuditBypassAssociation -Identity“ Mailbox” -AuditByPassEnabled $ true

指定されたユーザーの監査がバイパスされていることを確認するには、次のコマンドを実行します。

Get-MailboxAuditBypassAssociation「メールボックス」| fl auditb *

値 True は、メールボックス監査ログがユーザーに対してバイパスされることを示します。

Exchangeオンライン監査レポート

Exchange Online監査レポートには、メールボックスアクセスの詳細と、管理者が組織のExchangeOnlineテナントに加えた変更が含まれます。

• 非所有者のメールボックスアクセスレポートを実行する：メールボックスの所有者以外の誰かがアクセスしたメールボックスのリストを表示します。レポートには、メールボックスにアクセスしたユーザー、メールボックスで実行したアクション、およびアクションが成功したかどうかに関する情報が含まれています。
• メールボックス監査ログのエクスポート：メールボックス監査ログには、メールボックスの所有者以外のユーザーが行ったメールボックス内のアクセスとアクションに関する情報が含まれています。管理者は、レポートを生成するための日付範囲とともにメールボックスを指定できます。ログはXMLでエクスポートされ、メッセージに添付され、管理者の決定に従って特定のユーザーに送信されます。
• 管理者ロールグループレポートの実行：管理者ロールグループは、ユーザーに管理者権限を割り当てるために使用されます。これらの権限により、ユーザーは、パスワードのリセット、メールボックスの作成または変更、他のユーザーへの管理者権限の割り当てなどの管理タスクを実行できます。管理者ロールグループレポートには、メンバーの追加や削除など、ロールグループへの変更が表示されます。
• 管理者監査ログの表示：管理者監査ログレポートには、Exchange Onlineで管理者が実行したすべての作成、更新、および削除機能が一覧表示されます。ログエントリは、実行されたコマンドレット、使用されたパラメータ、コマンドレットを実行したユーザー、および影響を受けたオブジェクトに関する情報を提供します。
• 管理監査ログのエクスポート：管理監査ログは、Exchange Onlineでの作成、更新、削除などの特定の管理アクションを記録します。ログの結果はXMLにエクスポートされ、管理者はこのログを一連のユーザーに送信することを選択できます。
• 外部管理者監査ログの表示とエクスポート：外部管理者によって実行されたアクションの詳細が含まれています。エントリは、実行されたコマンドレット、使用されたパラメータ、およびExchange Onlineでオブジェクトを作成、変更、または削除するアクションに関する情報を提供します。

O365監査ログPowerShell

メールボックス監査を検索するには：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

結果をcsvファイルにエクスポートするには：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | エクスポート-CsvC：\ users \ AuditLogs.csv -NoTypeInformation

操作に基づいてログを表示およびエクスポートするには：

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete、Move、MoveToDeletedItems、SoftDelete -LogonTypes Admin、Delegate、Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | エクスポート-CsvC：\ AuditLogs.csv -NoTypeInformation

ログオンタイプに基づいてログを表示およびエクスポートするには：

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner、Delegate、Admin -ShowDetails | エクスポート-CsvC：\ AuditLogs.csv -NoTypeInformation

統合監査ログを検索するには：

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

統合監査ログの特定のプロパティをCSVファイルにエクスポートするには：

$ auditlog | Select-Object -Property CreationDate、UserIds、RecordType、AuditData | Export-Csv -Append -Path c：\ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

トランスポートルールの変更を表示するには：

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate
01/31/2021

スパムフィルター の変更を表示するには：

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate
01/31/2021

接続フィルター の変更を確認するには：

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021 Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate
01/31/2021

SharePoint Onlineで監査ログレポートを表示するにはどうすればよいですか？

SharePoint Online環境を監査することで、安全性を維持し、規制コンプライアンスの要件を満たすことができます。SharePointOnlineネイティブツールが提供する監査レポートを表示するには：

• SharePointOnlineにログインします。
• [設定設定]アイコンをクリックし、[サイト設定]をクリックします。
• [サイトコレクションの管理]セクションで[ログレポートの監査]をクリックします。
• [監査レポートの表示]ページから、必要なレポート（削除など）を選択します。
• URLを入力するか、レポートを保存するライブラリを参照して、[OK]をクリックします。
• [操作が正常に完了しました]ページで、[ここをクリックしてこのレポートを表示する]を選択します。

SharePoint監査ログレポートを使用すると、SharePoint環境のすべてのアクティビティを分析できます。

O365監査ログAPI

Microsoftは、管理者がMicrosoft365テナントに関する集約されたトランザクション情報を取得できるようにするレポートサービスを提供しています。Microsoft 365 Management Activity APIは、認証に業界標準のRESTfulデザインとOAuth v2を使用します。これにより、データの取得と視覚化ツールおよびアプリケーションへのデータの取り込みの実験を簡単に開始できます。

APIは、Microsoft 365のユーザー、管理者、操作、およびセキュリティアクティビティに関する情報を含むデータフィードを提供します。データは規制目的で保持することも、オンプレミスインフラストラクチャまたはその他のソースから取得したログデータと組み合わせて構築することもできます。企業全体の運用、セキュリティ、およびコンプライアンスのための監視ソリューション。

Management Activity APIは現在、SharePoint Online、OneDrive for Business、Exchange Online、およびAzureADからの150を超えるトランザクションタイプの包括的なビューを提供します。APIは、すべてのサービスに共通する10を超えるフィールドを備えた一貫した監査スキーマを提供します。

これにより、組織はイベント間の接続を容易にし、データを推論する新しい方法が可能になります。数十の独立系ソフトウェアベンダー（ISV）がマイクロソフトと提携し、APIに基づいてソリューションを構築しています。一部のソリューションはMicrosoft365データのみに焦点を当てていますが、他のソリューションは、複数のクラウドプロバイダーおよびオンプレミスシステムからデータを取り込み、すべての操作、セキュリティ、およびコンプライアンス関連のアクティビティの統一されたビューを作成する機能を提供します。詳細については、Microsoft 365 ManagementActivityAPIリファレンスを参照してください。

また読む：Microsoft Cloud App Security：The Definitive Guide

概要

O365監査ログには、セキュリティセンターのいくつかの機能と、リモートPowerShellおよびWebサービスRESTAPIを使用してログデータを取得および分析するためのプログラムによる方法が含まれています。管理者は、Microsoft Microsoft 365の監査機能を使用して、主要なテナントとサービスの構成アイテム、ドキュメント、およびその他のアイテムに加えられた変更を追跡できます。