監査ソリューションの概要
Microsoft Purview 監査 (Standard) と Audit (Premium) を使用すると、ユーザーと管理者がさまざまな Microsoft 365 サービスで実行したアクティビティの監査レコードを検索できます。 ほとんどの Microsoft 365 組織では監査 (Standard) が既定で有効になっているため、前に実行する必要があるのはごくわずかであり、organization内の他の組織は監査ログを検索できます。 監査 (Premium) でのみ使用できる機能を使用するには、さらにいくつかの構成手順を完了する必要があります。
監査 (Standard) 機能と監査 (Premium) 機能の詳細については、「 Microsoft Purview 監査ソリューション」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
手順 1: 組織のサブスクリプションとユーザー ライセンスを確認する
監査 (Standard) と監査 (Premium) のライセンスには、監査ログ検索ツールへのアクセスを提供する適切なorganization サブスクリプションと、監査レコードのログ記録と保持に必要なユーザーごとのライセンスが必要です。
監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査 (Standard) と監査 (Premium) では、監査レコードは 180 日間監査ログに保持され、検索できます。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
これらの監査ソリューションのサブスクリプションとライセンス要件の一覧については、監査 (Standard) と監査 (Premium) の サブスクリプション要件 に関するページを参照してください。
手順 2: 監査ログを検索するためのアクセス許可を割り当てる
調査チームの管理者とメンバーには、監査ログを検索またはエクスポートするには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログの表示専用ロールまたは監査ログ ロールを割り当てる必要があります。 既定では、これらのロールは、Microsoft Purview ポータルの [ロール グループ] ページの監査閲覧者と監査マネージャーの役割グループと、コンプライアンス ポータルの [アクセス許可] ページに割り当てられます。
注:
監査を有効または無効にするためのアクセスと監査コマンドレットへのアクセスには、現在、Exchange 管理センターからのアクセス許可が必要です。 Exchange 管理センターの既存の 監査ログ と 監査ログの表示専用 ロールを使用して、監査コマンドレットへのアクセスを許可します。 Exchange 管理センターの既存の 監査ログ ロールを使用して、監査を有効または無効にするアクセス権を付与します。
また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。
スコープ監査ログにアクセス許可を割り当てる
監査ログを検索またはエクスポートするには、Microsoft Purview ポータルまたはコンプライアンス ポータルで、調査チームの管理者またはメンバーを次の監査関連のロール グループの少なくとも 1 つに割り当てる必要があります。
- 監査マネージャー: Audit Manager ロール グループに割り当てられたユーザーは、監査ログを検索およびエクスポートし、テナントの監査設定を管理できます (監査ログの有効化や無効化など)。 この役割グループは、 表示のみの監査ログ ロールと 監査ログ ロールをユーザーに付与します。
- 監査閲覧者: 監査閲覧 者ロール グループに割り当てられたユーザーは、監査ログのみを検索およびエクスポートできます。 監査ログを有効または無効にすることはできません。 この役割グループは、 表示のみの監査ログ ロールをユーザーに付与します。
手順 3: ユーザーの監査 (Premium) を設定する
ヒント
監査 (Standard) を使用している組織は、この手順をスキップできます。
MailItemsAccessed や Send などのインテリジェントな分析情報をログに記録する機能などの監査 (Premium) 機能には、ユーザーに割り当てられた適切な E5 ライセンスが必要です。 さらに、それらのユーザーに対して高度な監査アプリ/サービス プランを有効にする必要があります。
高度な監査アプリがユーザーに割り当てられていることを確認するには、ユーザーごとに次の手順を実行します。
Microsoft 365 管理センターで、[ユーザー>] [アクティブ なユーザー] の順に移動し、ユーザーを選択します。
[ユーザー プロパティ] ポップアップ ページで、[ ライセンスとアプリ] を選択します。
[ ライセンス ] セクションで、ユーザーに E5 ライセンスが割り当てられているか、適切なアドオン ライセンスが割り当てられていることを確認します。 監査 (Premium) をサポートするライセンスの一覧については、「 ライセンス要件の監査」を参照してください。
[アプリ] セクションを展開して、[Microsoft 365 高度な監査] チェック ボックスが選択されていることを確認します。
チェック ボックスがオンになっていない場合は、そのチェック ボックスをオンにし、[変更の保存] を選択 します。
MailItemsAccessed と Send の監査レコードのログ記録は、24 時間以内に開始されます。 手順 2 を実行して、他の 2 つの監査 (Premium) イベントのログ記録を開始する必要があります。 SearchQueryInitiatedExchange と SearchQueryInitiatedSharePoint。
また、ユーザー メールボックスまたは共有メールボックスにログオンするメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい監査 (Premium) イベントは、それらのメールボックスに対して自動的に監査されません。 ログオンの種類ごとに監査されるメールボックス操作の変更については、 「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。
手順 4: 監査 (Premium) イベントを有効にする
ヒント
監査 (Standard) を使用している組織は、この手順をスキップできます。
ユーザーが Exchange Online と SharePoint Online で検索を実行するときに、2 つの監査 (Premium) イベント (SearchQueryInitiatedExchange と SearchQueryInitiatedSharePoint) をログに記録する必要があります。
ユーザーに対してこれら 2 つのイベントを監査できるようにするには、powerShell で次のコマンド (ユーザーごとに) Exchange Online実行します。
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
複数地域環境では、ユーザーのメールボックスが配置されているフォレストで前の Set-Mailbox コマンドを実行する必要があります。 ユーザーのメールボックスの場所を特定するには、次のコマンドを実行します:
Get-Mailbox <user identity> | FL MailboxLocations
検索クエリの監査を有効にするコマンドが、ユーザーのメールボックスが配置されているフォレストとは異なるフォレストで以前に実行されていた場合は、 を実行 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} してユーザーのメールボックスから SearchQueryInitiated 値を削除し、ユーザーのメールボックスが配置されているフォレスト内のユーザーのメールボックスに追加する必要があります。
手順 5: 監査 (Premium) で監査保持ポリシーを設定する
ヒント
監査 (Standard) を使用している組織は、この手順をスキップできます。
監査 (Premium) を使用する組織は、Microsoft Entra ID、Exchange、OneDrive、SharePoint の監査レコードを 1 年間保持する既定のポリシーに加えて、organizationのセキュリティ操作、IT、コンプライアンス チームの要件を満たす監査ログ保持ポリシーを作成できます。
詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
手順 6: 監査イベントのSearch
organizationに対して監査 (Standard) または監査 (Premium) が構成されたので、Microsoft Purview コンプライアンス ポータルで監査ログを検索する準備ができました。 詳細なガイダンスについては、「監査ログのSearch」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示