監査ログで共有監査を使用する
共有は SharePoint Online と OneDrive for Business の重要なアクティビティであり、組織で広く使用されています。 管理者は、監査ログの共有監査を使用して、組織での共有の使用方法を決定できます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
SharePoint 共有スキーマ
共有イベント (共有ポリシーと共有リンクに関連するイベントは含まれません) は、ファイルおよびフォルダー関連のイベントとは 1 つの主な方法で異なります。1 人のユーザーが別のユーザーに影響を与えるアクションを実行しています。 たとえば、リソース ユーザー A がユーザー B にファイルへのアクセス権を付与する場合です。 この例では、ユーザー A が 代理ユーザー であり、ユーザー B がターゲット ユーザーです。 SharePoint ファイル スキーマでは、動作しているユーザーのアクションはファイル自体にのみ影響します。 ユーザー A がファイルを開くとき、 FileAccessed イベントで必要な情報は、動作しているユーザーだけです。 この違いに対処するために、 SharePoint 共有スキーマ と呼ばれる別のスキーマがあり、共有イベントの詳細をキャプチャします。 これにより、管理者はリソースを共有したユーザーと、リソースが共有されたユーザーを可視化できます。
共有スキーマは、共有イベントに関連する監査レコードに 2 つの追加フィールドを提供します。
- TargetUserOrGroupType: ターゲット ユーザーまたはグループがメンバー、ゲスト、SharePointGroup、SecurityGroup、またはパートナーであるかどうかを識別します。
- TargetUserOrGroupName: リソースが共有されたターゲット ユーザーまたはグループの UPN または名前 (前の例のユーザー B) を格納します。
これら 2 つのフィールドは、監査ログ スキーマの他のプロパティ (ユーザー、操作、日付など) に加えて、どのユーザーがどのリソースをいつ誰と共有したかについての完全なストーリーを伝えることができます。
共有ストーリーにとって重要な別のスキーマ プロパティがあります。 監査ログ検索結果をエクスポートすると、エクスポートされた CSV ファイルの AuditData 列に、共有イベントに関する情報が格納されます。 たとえば、ユーザーが別のユーザーとサイトを共有する場合、これはターゲット ユーザーを SharePoint グループに追加することで実現されます。 AuditData 列は、管理者のコンテキストを提供するためにこの情報をキャプチャします。 AuditData 列の情報を解析する方法については、手順 2 を参照してください。
SharePoint 共有イベント
共有は、ユーザー ( 代理 ユーザー) が別のユーザー ( ターゲット ユーザー) とリソースを共有する場合に定義されます。 外部ユーザー (組織の外部にあり、組織の Microsoft Entra ID にゲスト アカウントを持っていないユーザー) とリソースを共有することに関連する監査レコードは、監査ログに記録される次のイベントによって識別されます。
- SharingInvitationCreated: 組織内のユーザーが外部ユーザーとリソース (サイト) を共有しようとしました。 これにより、外部共有の招待がターゲット ユーザーに送信されます。 この時点では、リソースへのアクセスは許可されません。
- SharingInvitationAccepted: 外部ユーザーは、代理ユーザーから送信された共有の招待を受け入れ、リソースにアクセスできるようになりました。
- AnonymousLinkCreated: リソースの匿名リンク ("すべてのユーザー" リンクとも呼ばれます) が作成されます。 匿名リンクを作成してコピーできるため、匿名リンクを持つすべてのドキュメントがターゲット ユーザーと共有されていると仮定するのが妥当です。
- AnonymousLinkUsed: 名前が示すように、匿名リンクを使用してリソースにアクセスすると、このイベントがログに記録されます。
- SecureLinkCreated: ユーザーが、特定のユーザーとリソースを共有するための "特定のユーザー リンク" を作成しました。 このターゲット ユーザーは、組織の外部にいるユーザーである可能性があります。 リソースが共有されているユーザーは、 AddedToSecureLink イベントの監査レコードで識別されます。 これら 2 つのイベントのタイム スタンプはほぼ同じです。
- AddedToSecureLink: ユーザーが特定のユーザー リンクに追加されました。 このイベントの TargetUserOrGroupName フィールドを使用して、対応する特定のユーザー リンクに追加されたユーザーを特定します。 このターゲット ユーザーは、組織の外部にいるユーザーである可能性があります。
監査ワークフローの共有
ユーザー (代理ユーザー) が別のユーザー (ターゲット ユーザー) とリソースを共有する場合、SharePoint (または OneDrive for Business) は、最初に、ターゲット ユーザーのメール アドレスが組織のディレクトリ内のユーザー アカウントに既に関連付けられているかどうかを確認します。 ターゲット ユーザーがディレクトリ内にあり、対応するゲスト ユーザー アカウントを持っている場合、SharePoint は次のことを行います。
- ターゲット ユーザーを適切な SharePoint グループに追加して、リソースにアクセスするためのターゲット ユーザーのアクセス許可を直ちに割り当て、 AddedToGroup イベントをログに記録します。
- ターゲット ユーザーのメール アドレスに共有通知を送信します。
- SharingSet イベントをログ に記録 します。 このイベントのフレンドリ名は、監査ログ検索ツールのアクティビティ ピッカーの [共有とアクセス要求アクティビティ ] の [共有ファイル、フォルダー、またはサイト] です。 手順 1 のスクリーンショットを参照してください。
ターゲット ユーザーのユーザー アカウントがディレクトリにない場合、SharePoint は次の処理を行います。
リソースの共有方法に基づいて、次のいずれかのイベントをログに記録します。
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
- SharingInvitationCreated (このイベントは、共有リソースがサイトの場合にのみログに記録されます)
(招待のリンクをクリックして) ターゲット ユーザーが送信された共有の招待を受け入れると、SharePoint は SharingInvitationAccepted イベントをログに記録し、ターゲット ユーザーにリソースへのアクセス許可を割り当てます。 ターゲット ユーザーが匿名リンクを送信すると、ターゲット ユーザーがリンクを使用してリソースにアクセスした後に AnonymousLinkUsed イベントがログに記録されます。 セキュリティで保護されたリンクの場合、外部ユーザーがリンクを使用してリソースにアクセスすると、 FileAccessed イベントがログに記録されます。
招待先のユーザーの ID や招待を受け入れるユーザーなど、ターゲット ユーザーに関する追加情報もログに記録されます。 場合によっては、これらのユーザー (またはメール アドレス) が異なる場合があります。
外部ユーザーと共有されているリソースを識別する方法
管理者の一般的な要件は、組織外のユーザーと共有されているすべてのリソースの一覧を作成することです。 Office 365 で共有監査を使用すると、管理者はこの一覧を生成できます。 これを行うには、次の操作を実行します。
手順 1: 共有イベントを検索し、結果を CSV ファイルにエクスポートする
最初の手順では、監査ログで共有イベントを検索します。 監査ログの検索に関する詳細 (必要なアクセス許可を含む) については、「 監査ログの検索」を参照してください。
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
共有イベントを検索するには、次の手順を実行します。
Microsoft Purview ポータルにサインインします。
[ 監査 ソリューション] カードを選択します。 [ソリューションの監査] カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[コア] セクションから [監査] を選択します。
[ 検索 ] ページと [ アクティビティ - フレンドリ名] で、[ 共有とアクセス要求アクティビティ ] を選択して、共有関連のイベントを検索します。
日付と時刻の範囲を選択して、その期間内に発生した共有イベントを見つけます。
[検索] を選択して検索を実行します。
検索が完了し、結果が表示されたら、[結果のエクスポート] [すべての結果>のダウンロード] を選択します。
エクスポート オプションを選択すると、ウィンドウの下部に CSV ファイルを開くか保存するように求めるメッセージが表示されます。
[ 名前を付けて保存]>を 選択し、CSV ファイルをローカル コンピューター上のフォルダーに保存します。
手順 2: PowerQuery エディターを使用してエクスポートされた監査ログを書式設定する
次の手順では、Excel の Power Query エディターで JSON 変換機能を使用して 、AuditData 列 (マルチプロパティ JSON オブジェクトで構成される) の各プロパティを独自の列に分割します。 これにより、列をフィルター処理して、共有に関連するレコードを表示できます。
詳しい手順については、「監査ログ レコードをエクスポート、構成、表示する」の「手順 2: Power Query エディターを使用してエクスポートされた監査ログを書式設定する」を参照してください。
手順 3: 外部ユーザーと共有されているリソースの CSV ファイルをフィルター処理する
次の手順では、「 SharePoint 共有イベント」セクションで既に説明したさまざまな共有関連イベントについて CSV をフィルター処理します。 または、 TargetUserOrGroupType 列をフィルター処理して、このプロパティの値が Guest であるすべてのレコードを表示することもできます。
前の手順の手順に従って、PowerQuery エディターを使用して CSV ファイルを準備したら、次の操作を行います。
手順 2 で作成した Excel ファイルを開きます。
[ ホーム ] タブで、[ 並べ替え] & [フィルター] を選択し、[フィルター] を選択 します。
[操作] 列の [並べ替え & フィルター] ドロップダウン リストで、すべての選択を解除してから、次の共有関連イベントを 1 つ以上選択し、[OK] を選択します。
- SharingInvitationCreated
- AnonymousLinkCreated
- SecureLinkCreated
- AddedToSecureLink
Excel では、選択したイベントの行が表示されます。
TargetUserOrGroupType という名前の列に移動して選択します。
[ 並べ替え & フィルター ] ドロップダウン リストで、すべての選択をオフにしてから、[ TargetUserOrGroupType:Guest] を選択し、[ OK] を選択します。
これで、外部ユーザーは TargetUserOrGroupType:Guest という値で識別されるため、イベントを共有するための行と、ターゲット ユーザーが組織外の場所に表示されるようになりました。
ヒント
表示される監査レコードの場合、 ObjectId 列はターゲット ユーザーと共有されたリソースを識別します。たとえば ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx
、 です。