Exchange Onlineで役割グループの変更または管理者監査ログを検索する

注:

クラシック Exchange 管理センターは、世界中の展開で非推奨になる処理中です。 Microsoft Purview コンプライアンス ポータルで監査ログを検索することをお勧めします。 詳細については、「 WW サービスでの従来の Exchange 管理センターの廃止 」および 「コンプライアンス ポータルで監査ログを検索する」を参照してください。

Exchange Online メールボックスを持たないExchange Online組織またはスタンドアロン Exchange Online Protection (EOP) 組織では、次のオプションを使用して、管理者監査ログを検索して、組織と受信者の構成に変更を加えたユーザーを検出できます。

• Exchange 管理センター (EAC) で管理者役割グループ レポートを実行します。
• PowerShell を使用して管理者監査ログ エントリを検索し、結果を受信者に送信します。

これらのオプションは、予期しない動作の原因を追跡したり、悪意のある管理者を特定したり、コンプライアンス要件が満たされていることを確認したりするときに役立ちます。 どちらのオプションも、この記事で説明します。

ヒント

EAC を使用して、管理者監査ログのエントリを表示することもできます。 詳細については、「 管理者監査ログを表示する」を参照してください。

はじめに把握しておくべき情報

• 各手順の推定完了時間:5 分未満

• この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「Exchange Onlineの機能のアクセス許可」の「管理者監査ログの表示」エントリExchange Online参照してください。

• Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロン Exchange Online Protection PowerShell に接続するには、「PowerShell に接続する」Exchange Online Protection参照してください。

• このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: 「Exchange Online」または「Exchange Online Protection」。

EAC を使用して管理者役割グループ レポートを実行する

管理者ロール グループ レポートを使用して、管理ロールに対して行われたメンバーシップの変更を確認します。

1. EAC で、[ コンプライアンス管理>の監査] に移動し、[ 管理者ロール グループ レポートの実行] を選択します。

2. 開いた [ 管理者ロール グループへの変更を検索 する] ページで、次の設定を構成します。

   • 開始日 と 終了日: 日付範囲を入力します。 既定では、管理者役割グループに対する過去 2 週間の変更のレポート検索が実行されます。

   • [役割グループの選択]: 既定では、すべての役割グループが検索されます。 特定の役割グループで結果をフィルター処理するには、[役割グループの 選択] をクリックします。 表示されるダイアログで、役割グループを選択し、[ 追加] を>クリックします。 この手順を必要な回数繰り返し、完了したら [OK] をクリックします 。

3. 完了したら、[検索] をクリックします。

指定した条件を使用して変更が見つかった場合は、結果ウィンドウに表示されます。 検索結果内で役割グループをクリックすると、変更内容が詳細ウィンドウに表示されます。

役割グループのメンバーシップに対する変更の監視

役割グループのメンバーが追加または削除されると、詳細ウィンドウに表示される検索結果に、役割グループのメンバーシップが更新されたことが示され、現在のメンバーが一覧表示されます。 検索結果には、どのユーザーが追加または削除されたかは明示されません。

ユーザーが追加または削除されたかどうかを判断するには、レポート内の 2 つの異なるエントリを比較する必要があります。 たとえば、 HelpDesk 役割グループの次のログ エントリを見てみましょう。

2021/1/27 午後 4:43
管理者
Updated members: Administrator;annb,florencef;pilarp
2018 年 6 月 6 日午前 10:09
管理者
Updated members: Administrator;annb;florencef;pilarp;tonip
2021/2/19 午後 2:12
管理者
Updated members: Administrator;annb;florencef;tonip

この例では、管理者ユーザー アカウントによって次の変更が加えられています。

• 2021 年 2 月 6 日に、ユーザーのトニップが追加されました。
• 2021 年 2 月 19 日に、ユーザーのピラープを削除しました。

EAC を使用して管理者監査ログをエクスポートする

注:

スタンドアロン EOP では、EAC から管理者監査ログをエクスポートすることはできません。 ただし、PowerShell を使用して監査ログ エントリを検索し、結果を受信者に送信できます

Outlook on the web (旧称 Outlook Web App) を使用してエクスポートされたエントリを表示する場合は、Outlook on the webで.xml添付ファイルを有効にする必要があります。 詳細については、「XML 添付ファイルを許可するようにOutlook on the webを構成する」を参照してください。

管理者監査ログをエクスポートすると、情報が XML ファイルに書き込み、電子メール メッセージの添付ファイルとして送信されます。 XML ファイルの最大サイズは 10 MB です。

1. EAC で、[ コンプライアンス管理>の監査] を選択し、[ 管理者監査ログのエクスポート] をクリックします。
2. [開始日] および [終了日] フィールドを使用して、日付範囲を選択します。
3. EAC で、 [監査レポートの送信先] フィールドで [ユーザーの選択] を選択し、レポートを送信する受信者を選択します。
4. [エクスポート] をクリックします。

指定した条件に合うログ エントリが見つかった場合は、XML ファイルが作成され、指定した受信者に電子メールの添付ファイルとして送信されます。

PowerShell を使用して監査ログ エントリを検索する

PowerShell Exchange Onlineまたはスタンドアロン Exchange Online Protection PowerShell を使用して、指定した条件を満たす監査ログ エントリを検索できます。 検索条件の一覧については、「 Search-AdminAuditLog コマンドレット」を参照してください。 この手順では、 Search-AdminAuditLog コマンドレットを使用し、PowerShell に検索結果を表示します。 このコマンドレットは、 New-AdminAuditLogSearch コマンドレットまたは EAC 監査レポートで定義されている制限を超える一連の結果を返す必要がある場合に使用できます。

指定した条件で監査ログを検索するには、次の構文を使用します。

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

注:

Search-AdminAuditLog コマンドレットを実行すると、既定で最大 1,000 個のログ エントリが返されます。 ResultSize パラメーターを使用して、最大 250,000 個のログ エントリを指定します。 または、値 Unlimited を使用してすべてのエントリを返します。

この例では、次の条件を使用してすべての監査ログ エントリで検索を実行します。

• 開始日: 2020 年 8 月 4 日
• 終了日: 2020 年 10 月 3 日
• ユーザー ID: davids、、 chrisd。 kima
• コマンドレット: Set-Mailbox
• パラメーター: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

この例では、特定のメールボックスの変更を検索します。 これは、トラブルシューティングを実行している場合や、調査のために情報を入手する必要がある場合に便利です。 次の条件を使用します。

• 開始日: 2020 年 5 月 1 日
• 終了日: 2020 年 10 月 3 日
• オブジェクト ID: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

検索で多数のログ エントリが返される場合は、「 PowerShell を使用して監査ログ エントリを検索し、この記事の後半で受信者に結果を送信する 」で説明されている手順を使用することをお勧めします。 その手順を実行すると、指定した受信者に XML ファイルが電子メールの添付ファイルとして送信されるため、目的のデータをより簡単に抽出することができます。

構文およびパラメーターの詳細については、「Search-AdminAuditLog」を参照してください。

監査ログ エントリの詳細を表示する

Search-AdminAuditLog コマンドレットは、「監査ログの内容」で説明されているフィールドを返します。 コマンドレットによって返されるフィールドのうち、 CmdletParameters と ModifiedProperties の 2 つのフィールドには、既定では表示できない追加情報が含まれます。

CmdletParameters フィールドと ModifiedProperties フィールドの内容を表示するには、次の手順を実行します。 または、「 PowerShell を使用して監査ログ エントリを検索し、この記事の後半で受信者に結果を送信して XML ファイルを作成する」の手順を使用することもできます。

この手順では、次の概念を使用します。

• PowerShell 配列
• PowerShell 変数

1. 検索条件を決定して Search-AdminAuditLog コマンドレットを実行し、次のコマンドを使用してその結果を変数に格納します。

   $Results = Search-AdminAuditLog <search criteria>
   

2. 各監査ログ エントリは、変数 $Resultsに配列要素として格納されます。 配列要素のインデックスを指定することで、配列要素を選択できます。 配列要素のインデックスは、最初の配列要素のゼロ (0) から始まります。 たとえば、5 番目の配列要素 (インデックスは 4) を取得するには、次のコマンドを使用します。

   $Results[4]
   

3. 上記のコマンドを実行すると、配列要素 4 に格納されているログ エントリが返されます。 このログ エントリの CmdletParameters フィールドと ModifiedProperties フィールドの内容を表示するには、次のコマンドを使用します。

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. CmdletParameters フィールドや ModifiedParameters フィールドの内容を別のログ エントリに表示するには、配列要素のインデックスを変更します。

PowerShell を使用して監査ログ エントリを検索し、受信者に結果を送信する

注:

New-AdminAuditLogSearch コマンドレットによって生成されるレポートのサイズは最大 10 MB です。 検索で 10 MB を超えるレポートが返される場合は、指定した検索条件を変更します。 たとえば、日付範囲を減らし、複数のレポートを実行して元の日付範囲をカバーします。

Outlook on the web (旧称 Outlook Web App) を使用してエクスポートされたエントリを表示する場合は、Outlook on the webで.xml添付ファイルを有効にする必要があります。 詳細については、「XML 添付ファイルを許可するようにOutlook on the webを構成する」を参照してください。

PowerShell またはスタンドアロン Exchange Online Protection PowerShell Exchange Onlineを使用して、指定した条件を満たす監査ログ エントリを検索し、その結果を XML ファイル添付ファイルとして指定した受信者に送信できます。 結果は 15 分以内に受信者に送信されます。 検索条件の一覧については、「 Search-AdminAuditLog コマンドレットの条件」を参照してください。

指定した条件で監査ログを検索するには、次の構文を使用します。

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

この例では、次の条件を使用してすべての監査ログ エントリで検索を実行します。

• 開始日: 2020 年 8 月 4 日
• 終了日: 2020 年 10 月 3 日
• ユーザー ID davids、chrisd、kima
• コマンドレット: Set-Mailbox
• パラメーター: ProhibitSendQuota、 ProhibitSendReceiveQuota、 IssueWarningQuota、 MaxSendSize、 MaxReceiveSize

コマンドは、メッセージの件名行に davids@contoso.com "メールボックス制限の変更" が含まれている SMTP アドレスに結果を送信します。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

XML ファイルの形式の詳細については、「 管理者監査ログ構造」を参照してください。

構文およびパラメーターの詳細については、「New-AdminAuditLogSearch」を参照してください。