Microsoft Teams でイベントの監査ログを検索する。
重要
Microsoft Teams 管理センターは、Skype for Business 管理センターを徐々に置き換えており、Microsoft 365 管理センターから Teams の設定を移行しています。 設定が移行されると、通知が表示され、Teams 管理センター内のその設定の場所に移動します。 詳細については、「Teams 管理センターへの移行中に Teams を管理する」をご覧ください。
監査ログは、Microsoft 365 サービス全体の特定のアクティビティを調査するのに役立ちます。 Microsoft Teams の場合、監査されるアクティビティの一部を次に示します。
- チームの作成
- チームの削除
- 追加されたチャネル
- チャネルの削除
- チャネルの設定の変更
監査される Teams アクティビティの完全な一覧については、「Teams アクティビティ」と「Teams アクティビティのシフト」を参照してください。
注:
プライベート チャネルからの監査イベントも、チームと標準チャネルの場合と同様にログに記録されます。
Teams で監査を有効にする
監査データを確認するには、まず、Microsoft Purview コンプライアンス ポータルで監査を有効にする必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。
重要
監査データは、監査を有効にした時点からのみ使用できます。
監査ログから Teams データを取得する
Teams アクティビティの監査ログを取得するには、[ 監査] に https://compliance.microsoft.com 移動して選択 します。
[ 検索 ] ページで、監査するアクティビティ、日付、ユーザーをフィルター処理します。
さらに詳しく分析するために、結果を Excel にエクスポートします。
詳細な手順については、「 コンプライアンス ポータルで監査ログを検索する」を参照してください。
重要
監査データは、監査が有効になっている場合にのみ監査ログに表示されます。
監査レコードが監査ログに保持および検索可能な期間は、Microsoft 365 または Office 365 サブスクリプション、特にユーザーに割り当てられているライセンスの種類によって異なります。 詳細については、 セキュリティ & コンプライアンス センター サービスの説明に関するページを参照してください。
監査ログを検索するためのヒント
監査ログで Teams アクティビティを検索するためのヒントを次に示します。
検索する特定のアクティビティを選択するには、1 つ以上のアクティビティの横にあるチェック ボックスをオンにします。 アクティビティが選択されている場合は、そのアクティビティを選択して、選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。
コマンドレットを使用して実行されるアクティビティのイベントを表示するには、[アクティビティ] ボックスの一覧で [すべてのアクティビティの結果を表示する] を選択します。 これらのアクティビティの操作の名前がわかっている場合は、検索ボックスに入力してアクティビティを表示し、それを選択します。
現在の検索条件をクリアするには、[ すべてクリア] を選択します。 日付の範囲が、過去 7 日間の既定値に戻ります。
5,000 件の結果が見つかった場合、検索条件に一致するイベントが 5,000 件を超えていると見なすことができます。 検索条件を絞り込んで検索を再実行して返す結果を減らしたり、[すべての結果をエクスポート] を選択してすべての検索結果をエクスポート>したりできます。 監査ログをエクスポートする手順については、「 検索結果をファイルにエクスポートする」を参照してください。
オーディオ ログ検索の使用については、 このビデオ をご覧ください。 Teams の監査ログ検索を行う方法を示す、Teams のプログラム マネージャーである Ansuman Acharya に参加します。
Teams アクティビティ
Microsoft 365 監査ログの Teams のユーザーと管理者のアクティビティに関して記録されるすべてのイベントの一覧を次に示します。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
フレンドリ名 | 操作名 | 説明 |
---|---|---|
チームへのボットの追加 | BotAddedToTeam | ユーザーがチームにボットを追加しました。 |
チャネルの追加 | ChannelAdded | ユーザーがチームにチャネルを追加しました。 |
コネクタの追加 | ConnectorAdded | ユーザーがチャネルにコネクタを追加しました。 |
Teams 会議 2、5 の詳細を追加しました | MeetingDetail | Teams は、開始時刻、終了時刻、会議に参加するための URL など、会議に関する情報を追加しました。 |
会議参加者 2、5 に関する情報を追加しました | MeetingParticipantDetail | Teams は、各参加者のユーザー ID、参加者が会議に参加した時刻、参加者が会議を離れた時刻など、会議の参加者に関する情報を追加しました。 |
メンバー 5、6 を追加しました | MemberAdded | チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。 |
タブの追加 | TabAdded | ユーザーがチャネルにタブを追加しました。 |
適用された秘密度ラベル | SensitivityLabelApplied | ユーザーまたは会議の開催者は、Teams 会議に秘密度ラベルを適用しました。 |
チャネルの設定の変更 | ChannelSettingChanged | 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらのアクティビティごとに、変更された設定の説明が (かっこで囲まれて表示されます)、監査ログの検索結果の [項目 ] 列に表示されます。
|
組織の設定の変更 | TeamsTenantSettingChanged | TeamsTenantSettingChanged 操作は、Microsoft 365 管理センターのグローバル管理者が次のアクティビティを実行するとログに記録されます。 これらのアクティビティは、組織全体の Teams 設定に影響します。 詳細については、「organizationの Teams 設定を管理する」を参照してください。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
チーム内のメンバーの役割変更 | MemberRoleChanged | チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられたロールの種類を示します。 1 - メンバー ロールを示します。 2 - 所有者ロールを示します。 3 - ゲスト ロールを意味します。 Members プロパティには、organizationの名前とメンバーのメール アドレスも含まれます。 |
チームの設定の変更 | TeamSettingChanged | 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
秘密度ラベルを変更しました | SensitivityLabelChanged | ユーザーが Teams 会議で秘密度ラベルを変更しました。 |
チャット 1、2 を作成しました | ChatCreated | Teams チャットが作成されました。 |
チームの作成 | TeamCreated | ユーザーがチームを作成しました。 |
メッセージを削除しました 2 | MessageDeleted | チャットまたはチャネル内のメッセージが削除されました。 |
すべてのorganizationアプリを削除しました | DeletedAllOrganizationApps | カタログからすべてのorganization アプリを削除しました。 |
削除されたアプリ | AppDeletedFromCatalog | アプリがカタログから削除されました。 |
チャネルの削除 | ChannelDeleted | ユーザーがチームからチャネルを削除しました。 |
チームの削除 | TeamDeleted | チーム所有者がチームを削除しました。 |
Teams 5 の URL リンクを含むメッセージを編集しました | MessageEditedHasLink | ユーザーがメッセージを編集し、Teams で URL リンクを追加します。 |
エクスポートされたメッセージ 1、 2 | MessagesExported | チャットまたはチャネル メッセージがエクスポートされました。 |
エクスポートされた記録 | RecordingExported | チャットの記録がエクスポートされました。 |
エクスポートされたトランスクリプト | TranscriptsExported | チャットトランスクリプトがエクスポートされました。 |
共有チャネル 3 への招待を検証できませんでした | FailedValidation | ユーザーは共有チャネルへの招待に応答しますが、招待の検証に失敗しました。 |
フェッチされたチャット 1、 2 | ChatRetrieved | Microsoft Teams チャットが取得されました。 |
メッセージ1、2 のすべてのホストされたコンテンツをフェッチしました | MessageHostedContentsListed | 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。 |
アプリをインストールしました | AppInstalled | アプリがインストールされました。 |
カードに対して実行されたアクション | PerformedCardAction | ユーザーがチャット内のアダプティブ カードに対してアクションを実行しました。 アダプティブ カードは、通常、ボットによって使用され、チャットでの情報と対話の豊富な表示を可能にします。 メモ:監査ログでは、チャット内のアダプティブ カードに対するインライン入力アクションのみを使用できます。 たとえば、ユーザーがポーリング ボットによって生成されたアダプティブ カードのチャネル会話でポーリング応答を送信するとします。 ダイアログを開く "結果の表示" などのユーザー アクションや、ダイアログ内のユーザー アクションは監査ログでは使用できません。 |
新しいメッセージ 1、2、5、6 を投稿しました | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 |
発行済みアプリ | AppPublishedToCatalog | アプリがカタログに追加されました。 |
メッセージ 1、2 を読み取る | MessageRead | チャットまたはチャネルのメッセージが取得されました。 |
メッセージ 1、2 のホストされたコンテンツを読み取る | MessageHostedContentRead | イメージやコード スニペットなどのメッセージ内のホストされたコンテンツが取得されました。 |
チームからのボットの削除 | BotRemovedFromTeam | ユーザーがチームからボットを削除しました。 |
コネクタの削除 | ConnectorRemoved | ユーザーは、チャネルからコネクタを削除します。 |
削除されたメンバー | MemberRemoved | チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。 |
秘密度ラベルを削除しました | SensitivityLabelRemoved | ユーザーが Teams 会議から秘密度ラベルを削除しました。 |
チーム チャネル 3 の共有を削除しました | TerminatedSharing | チームまたはチャネル所有者は、共有チャネルの共有を無効にしました。 |
チーム チャネル 3 の共有を復元しました | SharingRestored | チームまたはチャネル所有者は、共有チャネルの共有を再度有効にします。 |
タブの削除 | TabRemoved | ユーザーがチャネルからタブを削除しました。 |
共有チャネル 3 の招待に応答しました | InviteeResponded | ユーザーが共有チャネルの招待に応答しました。 |
共有チャネル 3 への招待者の応答に応答しました | ChannelOwnerResponded | チャネル所有者が、共有チャネルの招待に応答したユーザーからの応答に応答しました。 |
取得されたメッセージ 1、 2 | MessagesListed | チャットまたはチャネルからのメッセージが取得されました。 |
Teams 5 で URL リンクを含むメッセージを送信しました | MessageCreatedHasLink | ユーザーは、Teams で URL リンクを含むメッセージを送信します。 |
メッセージ作成の変更通知の送信 1、 2 | MessageCreatedNotification | サブスクライブされたリスナー アプリケーションに新しいメッセージを通知する変更通知が送信されました。 |
メッセージ削除の変更通知を送信 しました 1, 2 | MessageDeletedNotification | サブスクライブされたリスナー アプリケーションに削除されたメッセージを通知する変更通知が送信されました。 |
メッセージ更新プログラム 1、2 の送信された変更通知 | MessageUpdatedNotification | 更新されたメッセージをサブスクライブしているリスナー アプリケーションに通知するために、変更通知が送信されました。 |
共有チャネルの招待を送信 しました 3 | InviteSent | チャネル所有者またはメンバーが共有チャネルに招待を送信します。 チャネル ポリシーが外部ユーザーとチャネルを共有するように構成されている場合は、共有チャネルへの招待をorganization外のユーザーに送信できます。 |
メッセージ変更通知をサブスクライブ しました 1、 2 | SubscribedToMessages | メッセージの変更通知を受け取るために、リスナー アプリケーションによってサブスクリプションが作成されました。 |
アンインストールされたアプリ | AppUninstalled | アプリがアンインストールされました。 |
更新されたアプリ | AppUpdatedInCatalog | カタログでアプリが更新されました。 |
チャット 1、2 を更新しました | ChatUpdated | Teams チャットが更新されました。 |
メッセージ 1、2 を更新しました | MessageUpdated | チャットまたはチャネルのメッセージが更新されました。 |
コネクタの更新 | ConnectorUpdated | ユーザーがチャネルのコネクタを変更しました。 |
タブの更新 | TabUpdated | ユーザーがチャネルのタブを変更しました。 |
アップグレードされたアプリ | AppUpgraded | アプリがカタログの最新バージョンにアップグレードされました。 |
Teams へのユーザーのサインイン | TeamsSessionStarted | ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。 |
投稿された新しいメッセージ 3、 4、 5、 6 | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 このイベントは、ライセンスの詳細を定義するプレミアム機能です。 |
注:
1 このイベントの監査レコードは、Microsoft Graph API を呼び出して操作を実行した場合にのみ記録されます。 Teams クライアントで操作が実行された場合、監査レコードはログに記録されません
2 このイベントは監査 (Premium) でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 監査 (Premium) でのみ使用できるアクティビティの詳細については、「 Microsoft Purview の監査 (Premium)」を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
3 このイベントはパブリック プレビュー段階です。
4このイベントは、ゲスト、フェデレーション ユーザー、匿名ユーザーが存在する場合にのみ、チャット用に生成されます。
5 このイベントは、現在、Government Community Cloud (GCC)、Government Community Cloud High (GCC-High)、および国防総省 (DoD) 組織では利用できません。
6 このイベントは、フェデレーション チャットに参加しているすべてのテナントに含まれます。
7 このイベントには、1 対 1 のフェデレーション チャットの参加ドメイン情報があります。
Teams アクティビティにサインイン
organizationが Teams で Shifts アプリを使用している場合は、監査ログで Shifts アプリに関連するアクティビティを検索できます。 Microsoft 365 監査ログの Teams の Shifts アクティビティに記録されるすべてのイベントの一覧を次に示します。
フレンドリ名 | 操作 | 説明 |
---|---|---|
スケジュール グループを追加しました | ScheduleGroupAdded | ユーザーがスケジュールに新しいスケジュール グループを正常に追加しました。 |
編集済みスケジュール グループ | ScheduleGroupEdited | ユーザーがスケジュール グループを正常に編集しました。 |
削除されたスケジュール グループ | ScheduleGroupDeleted | ユーザーがスケジュールからスケジュール グループを正常に削除しました。 |
取り下げスケジュール | ScheduleWithdrawn | ユーザーが発行されたスケジュールを正常に取り消しました。 |
シフトを追加しました | ShiftAdded | ユーザーがシフトを正常に追加しました。 |
編集されたシフト | ShiftEdited | ユーザーがシフトを正常に編集しました。 |
削除されたシフト | ShiftDeleted | ユーザーがシフトを正常に削除しました。 |
休暇を追加しました | TimeOffAdded | ユーザーがスケジュールに基づいて休暇を正常に追加しました。 |
編集済みの休暇 | TimeOffEdited | ユーザーが休暇を正常に編集しました。 |
削除された休暇 | TimeOffDeleted | ユーザーが休暇を正常に削除しました。 |
オープン シフトを追加しました | OpenShiftAdded | ユーザーがスケジュール グループにオープン シフトを正常に追加しました。 |
編集済みのオープン シフト | OpenShiftEdited | ユーザーがスケジュール グループのオープン シフトを正常に編集しました。 |
削除されたオープン シフト | OpenShiftDeleted | ユーザーがスケジュール グループからオープン シフトを正常に削除しました。 |
共有スケジュール | ScheduleShared | ユーザーは、日付範囲のチーム スケジュールを正常に共有しました。 |
時刻クロックを使用してクロックインする | ClockedIn | ユーザーは、タイム クロックを使用して正常にクロックインします。 |
タイム クロックを使用して退勤 | ClockedOut | ユーザーは、タイム クロックを使用して正常に退勤します。 |
タイム クロックを使用して中断を開始しました | BreakStarted | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に開始します。 |
タイム クロックを使用して中断を終了しました | BreakEnded | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に終了します。 |
タイム クロック エントリを追加しました | TimeClockEntryAdded | ユーザーがタイム シートに新しい手動の時刻クロック エントリを正常に追加しました。 |
編集された時刻クロック エントリ | TimeClockEntryEdited | ユーザーがタイム シートのタイム クロック エントリを正常に編集しました。 |
削除された時刻クロック エントリ | TimeClockEntryDeleted | ユーザーがタイム シートのタイム クロック エントリを正常に削除しました。 |
シフト要求を追加しました | RequestAdded | ユーザーがシフト要求を追加しました。 |
シフト要求に応答しました | RequestRespondedTo | ユーザーがシフト要求に応答しました。 |
キャンセルされたシフト要求 | RequestCancelled | ユーザーがシフト要求を取り消しました。 |
スケジュール設定の変更 | ScheduleSettingChanged | ユーザーが Shifts 設定の設定を変更します。 |
従業員の統合を追加しました | WorkforceIntegrationAdded | Shifts アプリは、サード パーティのシステムと統合されています。 |
シフトオフメッセージを受け入れる | OffShiftDialogAccepted | ユーザーは、シフト時間が経過した後に Teams にアクセスするためのオフシフト メッセージを確認します。 |
Teams アクティビティでアプリを更新する
organizationが Teams で更新 アプリを使用している場合は、監査ログで、更新 アプリに関連するアクティビティを検索できます。 Microsoft 365 監査ログ内の Teams の更新アプリ アクティビティに対して記録されるすべてのイベントの一覧を次に示します。
フレンドリ名 | 操作 | 説明 |
---|---|---|
更新要求を作成する | CreateUpdateRequest | ユーザーが更新要求を正常に作成しました。 |
更新要求を編集する | EditUpdateRequest | ユーザーが要求編集ウィザードを開き、[ 保存] を選択して変更を確認して保存するか、更新要求を直接有効または無効にします。 |
更新プログラムを送信する | SubmitUpdate | ユーザーが更新プログラムを正常に送信しました。 |
1 つの更新プログラムの詳細を表示する | ViewUpdate | ユーザーが更新プログラムの詳細を表示します。 |
Office 365 マネージメント アクティビティ API
Office 365管理アクティビティ API を使用して、Teams イベントに関する情報を取得できます。 Teams の管理アクティビティ API スキーマの詳細については、「 Teams スキーマ」を参照してください。
Teams 監査ログの属性
Azure Active Directory (Azure AD)、Microsoft 365 管理ポータル、または Microsoft 365 グループ Graph API を介して行われた Teams へのメンバーシップの変更 (追加または削除など) は、Teams 監査メッセージと、アクションの実際のイニシエーターではなく、チームの既存の所有者への属性を持つ全般チャネルに表示されます。 これらのシナリオでは、Azure ADまたは Microsoft 365 グループの監査ログを参照して、関連情報を確認してください。
Defender for Cloud Apps を使用してアクティビティ ポリシーを設定する
Microsoft Defender for Cloud Apps統合を使用して、アクティビティ ポリシーを設定して、アプリ プロバイダーの API を使用して、さまざまな自動プロセスを適用できます。 これらのポリシーを使用すると、さまざまなユーザーによって実行される特定のアクティビティを監視したり、特定の種類のアクティビティの予期しない高いレートに従ったりすることができます。
アクティビティ検出ポリシーを設定すると、アラートの生成が開始されます。 アラートは、ポリシーを作成した後に発生するアクティビティでのみ生成されます。 Defender for Cloud Apps でアクティビティ ポリシーを使用して Teams アクティビティを監視する方法のシナリオ例を次に示します。
外部ユーザー シナリオ
ビジネスの観点から見て、目を離したくないシナリオの 1 つは、Teams 環境への外部ユーザーの追加です。 外部ユーザーが有効になっている場合は、プレゼンスを監視することをお勧めします。 Defender for Cloud Apps を使用して、潜在的な脅威を特定できます。
外部ユーザーの追加を監視するこのポリシーのスクリーンショットでは、ポリシーに名前を付け、ビジネス ニーズに応じて重大度を設定し、それを (この場合は) 1 つのアクティビティとして設定し、具体的には内部以外のユーザーの追加のみを監視し、このアクティビティを Teams に制限するパラメーターを確立できます。
このポリシーの結果は、アクティビティ ログで確認できます。
ここで、設定したポリシーとの一致を確認し、必要に応じて調整を行ったり、他の場所で使用するように結果をエクスポートしたりできます。
一括削除シナリオ
前述のように、削除シナリオを監視できます。 Teams サイトの一括削除を監視するポリシーを作成できます。 この例では、アラート ベースのポリシーを設定して、30 分のスパンでチームの一括削除を検出します。
スクリーンショットに示すように、このポリシーには、重大度、1 回または繰り返しのアクション、これを Teams とサイトの削除に制限するパラメーターなど、Teams の削除を監視するためのさまざまなパラメーターを設定できます。 これは、テンプレートとは別に行うことができます。または、組織のニーズに応じて、このポリシーを基にしてテンプレートを作成することもできます。
ビジネスに適したポリシーを確立したら、イベントがトリガーされるとアクティビティ ログの結果を確認できます。
設定したポリシーにフィルターを適用して、そのポリシーの結果を表示できます。 アクティビティ ログに表示される結果が満足できない場合 (多くの結果が表示されている場合や、まったく表示されない場合)、クエリを微調整して、必要な操作に対して関連性を高めるのに役立つ場合があります。
アラートとガバナンスのシナリオ
アクティビティ ポリシーがトリガーされたときに、アラートを設定し、管理者や他のユーザーにメールを送信できます。 自動化されたガバナンス アクションを設定できます。たとえば、ユーザーを一時停止したり、ユーザーが自動で再びサインインしたりします。 この例では、アクティビティ ポリシーがトリガーされたときにユーザー アカウントを中断する方法を示し、ユーザーが 30 分で 2 つ以上のチームを削除したと判断します。
Defender for Cloud Apps を使用して異常検出ポリシーを設定する
Defender for Cloud Apps の異常検出ポリシーでは、すぐに使用できるユーザーとエンティティの行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出をすぐに実行できます。 これらは自動的に有効になるため、新しい異常検出ポリシーは、ユーザーとネットワークに接続されているマシンとデバイス全体で多数の動作異常を対象に、即時の検出を提供することで、即時の結果を提供します。 さらに、新しいポリシーでは、調査プロセスを高速化し、進行中の脅威を含めるのに役立つ、Defender for Cloud Apps 検出エンジンからより多くのデータが公開されます。
Teams イベントを異常検出ポリシーに統合する作業を行っています。 ここでは、他の Office 製品の異常検出ポリシーを設定し、それらのポリシーに一致するユーザーに対してアクション 項目を実行できます。