Azure の Office 365 管理ソリューション (プレビュー)

[アーティクル]
03/30/2020

重要

ソリューションの更新

このソリューションは、Microsoft Sentinel の Office 365 一般公開ソリューション、および Azure AD レポートおよび監視ソリューションに置き換えられました。これらのソリューションにより、以前の Azure Monitor Office 365 ソリューションの更新バージョンが提供され、構成操作が向上しました。 2020 年 10 月 31 日までは、既存のソリューションを引き続きご利用いただけます。

Microsoft Sentinel は、ログを取り込み、検出、調査、検出、機械学習による分析情報を含む追加の SIEM 機能を提供するクラウドネイティブのセキュリティ情報およびイベント管理ソリューションです。 Microsoft Sentinel を使用することで、Office 365 SharePoint アクティビティと Exchange 管理ログの取り込みが提供されるようになりました。

Azure AD のレポートは、サインインイベント、監査イベント、ディレクトリへの変更など、環境内の Azure AD アクティビティのさらに包括的なビューとログを提供します。 Azure AD ログに接続するには Microsoft Sentinel Azure AD コネクタを使用するか、Azure Monitor で Azure AD ログ統合を構成します。

Azure AD ログのコレクションは Azure Monitor 価格が適用されます。詳細については、「Azure Monitor の価格」を参照してください。

Microsoft Sentinel Office 365 ソリューションを使用するには、次のようにします。

Microsoft Sentinel で Office 365 コネクタを使用すると、ワークスペースの料金に影響します。詳細については、Microsoft Sentinel の価格に関するページを参照してください。
Azure Monitor Office 365 ソリューションを既に使用している場合は、次のアンインストールに関するセクションのスクリプトを使用して、まずアンインストールする必要があります。
ワークスペースで Microsoft Sentinel ソリューションを有効にします。
Microsoft Sentinel の [データコネクタ] ページにアクセスし、Office 365 コネクタを有効にします。

よく寄せられる質問

Q:現時点から 10 月 31 日までの間に、Office 365 Azure Monitor ソリューションをオンボードすることはできますか。

いいえ、Azure Monitor Office 365 ソリューションのオンボードスクリプトは使用できません。このソリューションは 10 月 31 日に削除されます。

Q:テーブルとスキーマは変更されますか。

OfficeActivity テーブル名とスキーマは、現在のソリューションと同じままです。新しいソリューションでは、Azure AD データを参照するクエリを除き、同じクエリを使用し続けることができます。

新しい Azure AD レポートおよび監視ソリューションログは、OfficeActivity ではなく、SigninLogs と AuditLogs テーブルに取り込まれます。詳細については、Azure AD ログの分析方法に関する記事を参照してください。これは、Microsoft Sentinel と Azure Monitor のユーザーにも関連しています。

OfficeActivity から SigninLogs にクエリを変換するためのサンプルを次に示します。

ユーザーがサインインに失敗した場合のクエリ:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId

SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Azure AD の操作を表示:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation

AuditLogs
| summarize count() by OperationName

Q: Microsoft Sentinel はどのようにオンボードすればよいですか。

Microsoft Sentinel は、新規または既存の Log Analytics ワークスペースで有効にできるソリューションです。詳細については、Microsoft Sentinel のオンボードに関するドキュメントを参照してください。

Q: Azure AD ログを接続するために Microsoft Sentinel は必要ですか。

Azure AD ログと Azure Monitor の統合を構成できます。これは、Microsoft Sentinel ソリューションに関連付けられていません。 Microsoft Sentinel は、ネイティブコネクタと、すぐに使用できる Azure AD ログ用のコンテンツを提供します。詳細については、組み込みのセキュリティ指向のコンテンツに関する次の質問を参照してください。

Q: Microsoft Sentinel と Azure Monitor から Azure AD ログを接続する場合の違いは何ですか。

Microsoft Sentinel と Azure Monitor は、同じ Azure AD レポートおよび監視ソリューションに基づいて Azure AD ログに接続します。 Microsoft Sentinel では、同じデータを接続し、監視情報を提供するワンクリックのネイティブコネクタを使用できます。

Q:新しい Azure AD レポートおよび監視テーブルに移動する場合は、どのように変更する必要がありますか。

警告、ダッシュボード、および Office 365 Azure AD データを使用して作成したコンテンツを含む Azure AD データを使用するすべてのクエリを、新しいテーブルを使用して再作成する必要があります。

Microsoft Sentinel と Azure AD には、Azure AD レポートおよび監視ソリューションに移行するときに使用できる組み込みコンテンツが用意されています。詳細については、組み込みのセキュリティ指向のコンテンツに関する次の質問、および「Azure Active Directory レポートに Azure Monitor ブックを使用する方法」を参照してください。

Q: 組み込みの Microsoft Sentinel のセキュリティ指向コンテンツを使用するにはどうすればよいですか。

Microsoft Sentinel は、Office 365 および Azure AD ログに基づいた、組み込みのセキュリティ指向のダッシュボード、カスタムアラートクエリ、検索クエリ、調査、自動応答の機能を提供します。詳細については、Microsoft Sentinel GitHub コミュニティとチュートリアルを参照してください。

Q: Microsoft Sentinel は、ソリューションの一部として追加のコネクタを提供しますか。

はい。Microsoft Sentinel データソースの接続に関する記事を参照してください。

Q:10 月 31 日には何が行われるのですか。事前にオフボードする必要はありますか。

Office365 ソリューションからデータを受信することができなくなります。ソリューションはワークスペースから削除され、Marketplace で入手できなくなります。
Microsoft Sentinel のお客様については、Log Analytics ワークスペースソリューション Office365 が Microsoft Sentinel SecurityInsights ソリューションに含まれるようになります。
10 月 31 日までに手動でソリューションをオフボードしない場合、データは自動的に切断され、OfficeActivity テーブルは削除されます。このような場合でも、以下で説明するように、Microsoft Sentinel で Office 365 コネクタを有効にすると、テーブルを復元できます。

Q:データは新しいソリューションに転送されますか。

はい。 Office 365 ソリューションをワークスペースから削除すると、スキーマが削除されるため、そのデータは一時的に使用できなくなります。新しい Office 365 コネクタを Microsoft Sentinel で有効にすると、スキーマがワークスペースに復元され、既に収集されたデータが使用できるようになります。

Office 365 管理ソリューションでは、Azure Monitor で Office 365 環境を監視できます。

Office 365 アカウント上でのユーザーアクティビティを監視し、使用パターンを分析したり、行動傾向を識別したりします。たとえば、組織の外で共有されるファイルや、最も人気のある SharePoint サイトといった特定の使用シナリオを抽出することができます。
管理者のアクティビティを監視し、構成変更や高権限操作を追跡します。
不必要なユーザーの行動を検出および調査します。これは、組織のニーズに合わせてカスタマイズできます。
監査とコンプライアンスを実証します。たとえば、機密ファイルに対するファイルアクセス操作を監視でき、これは監査とコンプライアンスのプロセスに役立ちます。
組織の Office 365 アクティビティデータに対してログクエリを使用し、運用上のトラブルシューティングを実行します。

アンインストール

管理ソリューションを削除するのプロセスを使用して Office 365 管理ソリューションを削除できます。ただしこれによって、Office 365 から Azure Monitor に収集されているデータは停止されません。 Office 365 からのサブスクリプションを解除し、データの収集を停止するには、以下の手順に従います。

次のスクリプトを office365_unsubscribe.ps1 として保存します。

param (
    [Parameter(Mandatory=$True)][string]$WorkspaceName,
    [Parameter(Mandatory=$True)][string]$ResourceGroupName,
    [Parameter(Mandatory=$True)][string]$SubscriptionId,
    [Parameter(Mandatory=$True)][string]$OfficeTennantId,
    [Parameter(Mandatory=$True)][string]$clientId,
    [Parameter(Mandatory=$True)][string]$xms_client_tenant_Id
)
$line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'

$line
IF ($Subscription -eq $null)
    {Login-AzAccount -ErrorAction Stop}
$Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
$Subscription
$option = [System.StringSplitOptions]::RemoveEmptyEntries 
$Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
$Workspace
$WorkspaceLocation= $Workspace.Location

# Client ID for Azure PowerShell
# Set redirect URI for Azure PowerShell
$redirectUri = "urn:ietf:wg:oauth:2.0:oob"
$domain='login.microsoftonline.com'
$adTenant =  $Subscription[0].Tenant.Id
$authority = "https://login.windows.net/$adTenant";
$ARMResource ="https://management.azure.com/";'

switch ($WorkspaceLocation) {
       "USGov Virginia" { 
                         $domain='login.microsoftonline.us';
                          $authority = "https://login.microsoftonline.us/$adTenant";
                          $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
       default {
                $domain='login.microsoftonline.com'; 
                $authority = "https://login.windows.net/$adTenant";
                $ARMResource ="https://management.azure.com/";break} 
                }

Function RESTAPI-Auth { 

$global:SubscriptionID = $Subscription.SubscriptionId
# Set Resource URI to Azure Service Management API
$resourceAppIdURIARM=$ARMResource;
# Authenticate and Acquire Token 
# Create Authentication Context tied to Azure AD Tenant
$authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
# Acquire token
$platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
$global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
$global:authResultARM.Wait()
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$authHeader
}

Function Office-UnSubscribe-Call{

#----------------------------------------------------------------------------------------------------------------------------------------------
$authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
$ResourceName = "https://manage.office.com"
$SubscriptionId   = $Subscription[0].Subscription.Id
$OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'

$Officeparams = @{
    ContentType = 'application/json'
    Headers = @{
    'Authorization'="$($authHeader)"
    'x-ms-client-tenant-id'=$xms_client_tenant_Id
    'Content-Type' = 'application/json'
    }
    Method = 'Delete'
    URI = $OfficeAPIUrl
  }

$officeresponse = Invoke-WebRequest @Officeparams 
$officeresponse

}

#GetDetails 
RESTAPI-Auth -ErrorAction Stop
Office-UnSubscribe-Call -ErrorAction Stop

次のコマンドを使用してこのスクリプトを実行します。

.\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID>

例:

.\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'

資格情報を求めるメッセージが表示されます。 Log Analytics ワークスペースの資格情報を入力します。

データコレクション

最初のデータ収集には数時間かかる場合があります。収集が開始されると、レコードが作成されるたびに、Office 365 は webhook 通知と詳細なデータを Azure Monitor に送信します。このレコードは、受信した後、数分以内に Azure Monitor で使用できます。

ソリューションの使用

この監視ソリューションによって収集されたデータは、Azure portal の [ワークスペースの概要 (非推奨)] ページで使用できます。ワークスペースとソリューションを表示するには [Log Analytics ワークスペース] からこのページを開き、メニューの [クラシック] セクションから [ワークスペースの概要 (非推奨)] を選択します。各ソリューションは、タイルで表現されます。そのソリューションによって収集された詳細データについては、タイルを選択してください。

Log Analytics ワークスペースに Office 365 ソリューションを追加すると、ダッシュボードに [Office 365] タイルが追加されます。このタイルには、ご利用の環境におけるコンピューターの数と更新プログラムの対応状態が数字とグラフで表示されます。

Office 365 の概要タイル

[Office 365] タイルをクリックして [Office 365] ダッシュボードを開きます。

Office 365 ダッシュボード

ダッシュボードには、次の表に示した列が存在します。それぞれの列には、特定のスコープと時間範囲について、その列の基準に該当するアラート数の上位 10 件が表示されます。ログ検索を実行してアラート全件を取得するには、列の一番下にある [See all] \(すべて表示) をクリックするか、列ヘッダーをクリックします。

列	説明
操作	すべての監視対象 Office 365 サブスクリプションから、アクティブユーザーに関する情報を提供します。時間の経過と共に発生するアクティビティの数を見ることもできます。
Exchange	Add-Mailbox Permission、または Set-Mailbox などの Exchange Server アクティビティの内訳を示します。
SharePoint	SharePoint ドキュメントに対してユーザーが実行する最上位のアクティビティを示します。このタイルからドリルダウンすると、ターゲットドキュメントやこのアクティビティの場所など、これらのアクティビティの詳細が検索ページに表示されます。たとえば、File Accessed イベントの場合、アクセスされているドキュメント、それと関連付けられたアカウント名、および IP アドレスを見ることができます。
Azure Active Directory	ユーザーパスワードのリセットやログイン試行など、最上位のユーザーアクティビティが含まれます。ドリルダウンすると、結果の状態など、これらのアクティビティの詳細を見ることができます。これは主に、Azure Active Directory 上の不審なアクティビティを監視する場合に便利です。

Azure Monitor のログレコード

Azure Monitor の Log Analytics ワークスペースで Office 365 ソリューションによって作成されたすべてのレコードは、型が OfficeActivity です。 OfficeWorkloadプロパティは、レコードが参照する Office 365 サービス (Exchange、AzureActiveDirectory、SharePoint、または OneDrive) を決定します。 RecordType プロパティは操作の種類を指定します。プロパティは操作の種類ごとに異なり、次の表に示しています。

共通プロパティ

次のプロパティは、Office 365 のすべてのレコードに共通です。

プロパティ	説明
Type	OfficeActivity
ClientIP	アクティビティが記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは IPv4 または IPv6 アドレスの形式で表示されます。
OfficeWorkload	レコードが参照する Office 365 サービス。 AzureActiveDirectory Exchange SharePoint
操作	ユーザーまたは管理者アクティビティの名前。
OrganizationId	組織の Office 365 テナントの GUID。どの Office 365 サービスで発生するかにかかわらず、この値は組織に対して常に同じになります。
RecordType	実行する操作の種類。
ResultStatus	(Operation プロパティで指定された) アクションが正常に終了したかどうかを示します。値は Succeeded、PartiallySucceeded、Failed のいずれかです。 Exchange 管理者アクティビティの場合、値は True または False です。
UserId	レコードがログに記録される結果になったアクションを実行したユーザーの UPN (ユーザープリンシパル名)。たとえば、my_name@my_domain_name。 (SHAREPOINT\system や NTAUTHORITY\SYSTEM などの) システムアカウントによって実行されるアクティビティのレコードも含まれることに注意してください。
UserKey	UserId プロパティで識別されるユーザーの代替 ID。たとえば、SharePoint、OneDrive for Business、および Exchange でユーザーによって実行されたイベントの Passport 一意識別子 (PUID) が、このプロパティの値になります。このプロパティは、他のサービスで発生するイベントや、システムアカウントによって実行されるイベントの UserID プロパティと同じ値を指定する場合もあります。
UserType	操作を実行したユーザーの種類。 [Admin] Application DcAdmin 通常予約済み ServicePrincipal システム

Azure Active Directory ベース

次のプロパティは、Azure Active Directory のすべてのレコードに共通です。

プロパティ	説明
OfficeWorkload	AzureActiveDirectory
RecordType	AzureActiveDirectory
AzureActiveDirectory_EventType	Azure AD イベントの種類。
ExtendedProperties	Azure AD イベントの拡張プロパティ。

Azure Active Directory アカウントログオン

これらのレコードは、Active Directory のユーザーがログオンを試みたときに作成されます。

プロパティ	説明
`OfficeWorkload`	AzureActiveDirectory
`RecordType`	AzureActiveDirectoryAccountLogon
`Application`	アカウントログインイベントをトリガーするアプリケーション (Office 15 など)。
`Client`	アカウントログインイベントで使用されたクライアントデバイス、デバイス OS、およびデバイスブラウザーの詳細。
`LoginStatus`	このプロパティは OrgIdLogon.LoginStatus に直接由来します。アルゴリズムを変えることにより、さまざまな興味深いログオン失敗のマッピングを実行できます。
`UserDomain`	テナント ID 情報 (TII)。

Azure Active Directory

これらのレコードは、変更または追加が Azure Active Directory オブジェクトに行われたときに作成されます。

プロパティ	説明
OfficeWorkload	AzureActiveDirectory
RecordType	AzureActiveDirectory
AADTarget	(Operation プロパティによって識別される) アクションの実行対象だったユーザー。
Actor	アクションを実行したユーザーまたはサービスプリンシパル。
ActorContextId	アクターが所属する組織の GUID。
ActorIpAddress	アクターの IP アドレス。IPv4 または IPv6 アドレスの形式。
InterSystemsId	Office 365 サービス内のコンポーネント間でアクションを追跡する GUID。
IntraSystemId	アクションを追跡するために Azure Active Directory によって生成される GUID。
SupportTicketId	"代理操作" の状況におけるアクションのカスタマーサポートチケット ID。
TargetContextId	ターゲットのユーザーが所属する組織の GUID。

データセンターセキュリティ

これらのレコードは、データセンターセキュリティの監査データから作成されます。

プロパティ	説明
EffectiveOrganization	昇格/コマンドレットのターゲットだったテナントの名前。
ElevationApprovedTime	昇格が承認されたときのタイムスタンプ。
ElevationApprover	Microsoft マネージャーの名前。
ElevationDuration	昇格がアクティブだった期間。
ElevationRequestId	昇格要求の一意識別子。
ElevationRole	昇格が要求されたロール。
ElevationTime	昇格の開始時刻。
Start_Time	コマンドレット実行の開始時刻。

Exchange 管理者

これらのレコードは、Exchange 構成が変更されたときに作成されます。

プロパティ	説明
OfficeWorkload	Exchange
RecordType	ExchangeAdmin
ExternalAccess	組織内のユーザー、Microsoft のデータセンター担当者またはデータセンターサービスアカウント、委任された管理者のいずれによってコマンドレットが実行されたかを指定します。 False の値は、組織内の人物によってコマンドレットが実行されたことを示します。 True の値は、データセンター担当者、データセンターサービスアカウント、または委任管理者によってコマンドレットが実行されたことを示します。
ModifiedObjectResolvedName	コマンドレットによって変更されたオブジェクトのユーザーフレンドリ名。コマンドレットがオブジェクトを変更する場合にのみ記録されます。
OrganizationName	テナントの名前。
OriginatingServer	コマンドレットの実行元だったサーバーの名前。
パラメーター	Operations プロパティで識別されるコマンドレットと共に使用されたすべてのパラメーターの名前と値。

Exchange メールボックス

これらのレコードは、変更または追加が Exchange メールボックスに行われたときに作成されます。

プロパティ	説明
OfficeWorkload	Exchange
RecordType	ExchangeItem
ClientInfoString	ブラウザーのバージョン、Outlook のバージョン、モバイルデバイス情報など、操作を実行するために使用された電子メールクライアントに関する情報。
Client_IPAddress	操作が記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは IPv4 または IPv6 アドレスの形式で表示されます。
ClientMachineName	Outlook クライアントをホストするマシン名。
ClientProcessName	メールボックスへのアクセスに使用された電子メールクライアント。
ClientVersion	電子メールクライアントのバージョン。
InternalLogonType	内部使用のために予約されています。
Logon_Type	メールボックスにアクセスし、記録された操作を実行したユーザーの種類を示します。
LogonUserDisplayName	操作を実行したユーザーのユーザーフレンドリ名。
LogonUserSid	操作を実行したユーザーの SID。
MailboxGuid	アクセスされたメールボックスの Exchange GUID。
MailboxOwnerMasterAccountSid	メールボックス所有者アカウントのマスターアカウント SID。
MailboxOwnerSid	メールボックス所有者の SID。
MailboxOwnerUPN	アクセスされたメールボックスを所有する人物の電子メールアドレス。

Exchange メールボックス監査

これらのレコードは、メールボックス監査エントリが作成されるときに作成されます。

プロパティ	説明
OfficeWorkload	Exchange
RecordType	ExchangeItem
Item	操作が実行された対象の項目を表します。
SendAsUserMailboxGuid	その名前で電子メールを送信するためにアクセスされたメールボックスの Exchange GUID。
SendAsUserSmtp	偽装されているユーザーの SMTP アドレス。
SendonBehalfOfUserMailboxGuid	代理でメールを送信するためにアクセスされたメールボックスの Exchange GUID。
SendOnBehalfOfUserSmtp	その代理でメールが送信されるユーザーの SMTP アドレス。

Exchange メールボックス監査グループ

これらのレコードは、変更または追加が Exchange グループに行われたときに作成されます。

プロパティ	説明
OfficeWorkload	Exchange
OfficeWorkload	ExchangeItemGroup
AffectedItems	グループ内の各項目に関する情報。
CrossMailboxOperations	複数のメールボックスが操作に関係したかどうかを示します。
DestMailboxId	CrossMailboxOperations パラメーターが True の場合にのみ設定します。ターゲットメールボックス GUID を指定します。
DestMailboxOwnerMasterAccountSid	CrossMailboxOperations パラメーターが True の場合にのみ設定します。ターゲットメールボックス所有者のマスターアカウント SID の SID を指定します。
DestMailboxOwnerSid	CrossMailboxOperations パラメーターが True の場合にのみ設定します。ターゲットメールボックスの SID を指定します。
DestMailboxOwnerUPN	CrossMailboxOperations パラメーターが True の場合にのみ設定します。ターゲットメールボックスの所有者の UPN を指定します。
DestFolder	移動などの操作の宛先フォルダー。
Folder	項目のグループが位置しているフォルダー。
Folders	操作に関係したソースフォルダーに関する情報。たとえば、フォルダーが選択後に削除されるかどうか。

SharePoint ベース

これらのプロパティは、SharePoint のすべてのレコードに共通です。

プロパティ	説明
OfficeWorkload	SharePoint
OfficeWorkload	SharePoint
EventSource	SharePoint で発生したイベントを識別します。値は SharePoint または ObjectModel です。
ItemType	アクセスまたは変更されたオブジェクトの種類。オブジェクトの種類の詳細については、ItemType の表を参照してください。
MachineDomainInfo	デバイス同期操作に関する情報。この情報は、要求に存在する場合にのみ報告されます。
MachineId	デバイス同期操作に関する情報。この情報は、要求に存在する場合にのみ報告されます。
Site_	ユーザーがアクセスするファイルまたはフォルダーがあるサイトの GUID。
Source_Name	監査対象の操作をトリガーしたエンティティ。値は SharePoint または ObjectModel です。
UserAgent	ユーザーのクライアントまたはブラウザーに関する情報。この情報は、クライアントまたはブラウザーによって提供されます。

SharePoint スキーマ

これらのレコードは、SharePoint の構成変更が行われたときに作成されます。

プロパティ	説明
OfficeWorkload	SharePoint
OfficeWorkload	SharePoint
CustomEvent	カスタムイベントに関する省略可能文字列。
Event_Data	カスタムイベントに関する省略可能ペイロード。
ModifiedProperties	サイトまたはサイトコレクション管理者グループのメンバーとしてユーザーを追加するなどの管理者イベントに含まれるプロパティ。プロパティには、変更されたプロパティの名前 (サイト管理者グループなど)、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザーなど)、変更されたオブジェクトの以前の値が含まれます。

SharePoint ファイル操作

これらのレコードは、SharePoint でのファイル操作に応答して作成されます。

プロパティ	説明
OfficeWorkload	SharePoint
OfficeWorkload	SharePointFileOperation
DestinationFileExtension	コピーまたは移動されるファイルのファイル拡張子。このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。
DestinationFileName	コピーまたは移動されるファイルの名前。このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。
DestinationRelativeUrl	ファイルのコピーまたは移動先フォルダーの URL。 SiteURL、DestinationRelativeURL、および DestinationFileName パラメーターの値の組み合わせは、(コピーされたファイルの完全パス名である) ObjectID プロパティの値と同じです。このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。
SharingType	リソースの共有相手だったユーザーに割り当てられていた共有アクセス許可の種類。このユーザーは UserSharedWith パラメーターによって識別されます。
Site_Url	ユーザーがアクセスするファイルまたはフォルダーがあるサイトの URL。
SourceFileExtension	ユーザーがアクセスしたファイルのファイル拡張子。アクセスしたオブジェクトがフォルダーの場合、このプロパティは空です。
SourceFileName	ユーザーがアクセスしたファイルまたはフォルダーの名前。
SourceRelativeUrl	ユーザーがアクセスするファイルが含まれているフォルダーの URL。 SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、(ユーザーがアクセスするファイルの完全パス名である) ObjectID プロパティの値と同じです。
UserSharedWith	リソースの共有相手だったユーザー。

サンプルログクエリ

次の表は、このソリューションによって収集された更新レコードを探すログクエリの例です。

クエリ	説明
Office 365 サブスクリプションでのすべての操作のカウント	OfficeActivity \| summarize count() by Operation
SharePoint サイトの使用率	OfficeActivity \| where OfficeWorkload =~ "sharepoint" \| summarize count() by SiteUrl \| sort by Count asc
ユーザーの種類別のファイルアクセス操作	OfficeActivity \| summarize count() by UserType
Exchange 上の外部アクションを監視する	OfficeActivity \| where OfficeWorkload =~ "exchange" and ExternalAccess == true

次のステップ

Azure Monitor でログクエリを使用して、詳細な更新プログラムのデータを表示します。
独自のダッシュボードを作成して、お気に入りの Office 365 検索クエリを表示します。
アラートを作成して、重要な Office 365 アクティビティがあらかじめ通知されるようにします。