Exchange Onlineで外部管理者監査ログを表示およびエクスポートする
注:
クラシック Exchange 管理センターは、世界中の展開で非推奨になる処理中です。 Microsoft Purview コンプライアンス ポータルで監査ログを検索することをお勧めします。 詳細については、「 WW サービスでの従来の Exchange 管理センターの廃止 」および 「コンプライアンス ポータルで監査ログを検索する」を参照してください。
Exchange Onlineでは、Microsoft と委任された管理者によって実行されたアクションが管理者監査ログに記録されます。 Exchange 管理センター (EAC) または Exchange Online PowerShell を使用して、監査ログ エントリを検索および表示して、外部管理者がExchange Online組織の構成に対して何らかのアクションを実行したか変更したかを判断できます。 PowerShell Exchange Onlineを使用して、これらの監査ログ エントリをエクスポートすることもできます。
はじめに把握しておくべき情報
予想所要時間 : これは管理者の監査ログのエントリを表示するのかまたはエクスポートするのかによって異なります。 予想所要時間については、それぞれの手順を参照してください。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「Exchange Onlineの機能のアクセス許可」の「管理者監査ログの表示」エントリExchange Online参照してください。
Outlook on the web (旧称 Outlook Web App) を使用してエクスポートされたエントリを表示する場合は、Outlook on the webで.xml添付ファイルを有効にする必要があります。 詳細については、「XML 添付ファイルを許可するようにOutlook on the webを構成する」を参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題が発生する場合 Exchange Online フォーラムでヘルプを依頼します。
EAC を使用して、外部の管理者監査ログ レポートを表示する
予想所要時間 : 3 分
[コンプライアンス管理>監査] に移動し、[外部管理者監査ログ レポートの表示] をクリックします。 指定された期間中に Microsoft データセンター管理者と委任された管理者によって行われたすべての構成変更が表示され、次の情報を使用して並べ替えることができます。
日付: 構成の変更が行われた日付と時刻。 日時は、世界協定時刻 (UTC) 形式で格納されます。
コマンドレット: 構成を変更するために使用されたコマンドレットの名前。
個々の検索結果を選択すると、詳細ウィンドウに次の情報が表示されます。
コマンドレットが実行された日時。
コマンドレットを実行したユーザー。 外部管理者監査ログ レポートのすべてのエントリについて、ユーザーは 管理者として識別されます。これは、Microsoft データセンター管理者または外部管理者を示します。
使用されたコマンドレットのパラメーター、およびパラメーターと共に指定された値。 パラメーター:値の形式になります。
特定の監査ログ エントリを印刷するには、それを検索結果ウィンドウで選択して、詳細ウィンドウの [印刷] をクリックします。
検索を絞り込むには、 [開始日] と [終了日] ドロップダウン メニューで日付を選択してから、 [検索] をクリックします。
PowerShell Exchange Online使用して外部管理者監査ログ レポートのエントリを表示する
予想所要時間 : 3 分
ExternalAccess パラメーターと共に Search-AdminAuditLog コマンドレットを使用すると、Microsoft データセンター管理者と委任された管理者によって実行されたアクションの管理者監査ログからのエントリを表示できます。
このコマンドは、外部管理者が実行するコマンドレットの管理者監査ログ内のすべてのエントリを返します。
Search-AdminAuditLog -ExternalAccess $true
このコマンドは、2013 年 9 月 17 日から 2013 年 10 月 2 日の間に外部管理者が実行するコマンドレットの管理者監査ログのエントリを返します。
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013
詳細については、「Search-AdminAuditLog」を参照してください。
PowerShell Exchange Online使用して管理者監査ログをエクスポートする
予想所要時間 : 約 24 時間
ExternalAccess パラメーターと共に New-AdminAuditLogSearch コマンドレットを使用して、Microsoft データセンター管理者または委任された管理者によって実行されたアクションのエントリを管理者監査ログからエクスポートできます。 Microsoft Exchange は、外部管理者によって実行された管理者監査ログ内のエントリを取得し、SearchResult.xmlという名前のファイルに保存します。 この XML ファイルは電子メール メッセージに添付されて、指定の宛先に 24 時間以内に送信されます。
次のコマンドは、2013 年 9 月 25 日から 2013 年 10 月 24 日の間に外部管理者が実行するコマンドレットの管理者監査ログのエントリを返します。 検索結果は SMTP アドレスと pilarp@contoso.com SMTP アドレスにadmin@contoso.com送信され、メッセージの件名に "外部管理者監査ログ" というテキストが追加されます。
New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
注:
ExternalAccess パラメーターを含めると、エクスポートされる監査ログには、Microsoft データセンター管理者または委任された管理者によって実行されたアクションのエントリのみが含まれます。 ExternalAccess パラメーターを含めない場合、監査ログには、組織内の管理者と外部管理者によって実行されたアクションのエントリが含まれます。
外部管理者によって実行された管理者監査ログ エントリをエクスポートするコマンドが成功したことを確認し、現在の管理者監査ログ検索に関する情報を表示するには、次のコマンドを実行します。
Get-AuditLogSearch | Format-List
詳細情報
Microsoft 365 および Office 365では、特定の管理タスクを実行する機能を Microsoft の承認されたパートナーに委任できます。 これらの管理者タスクには、ユーザーの作成や編集、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理、管理者アクセス許可を組織内の他のユーザーに割り当てることが含まれます。 パートナーがこのロールを引き受けるのを承認すると、パートナーは委任された管理者と呼ばれます。委任された管理者によって実行されたタスクは、管理者監査ログに記録されます。 前述のとおり、委任された管理者が実行した操作は、外部の管理者監査ログ レポートを実行して表示すること、または New-AdminAuditLogSearch コマンドレットを ExternalAccess パラメーターを指定して使用しエクスポートすることができます。
管理者監査ログには、管理者と管理者特権が割り当てられているユーザーによって実行された、powerShell コマンドレットExchange Online基づいて特定のアクションが記録されます。 外部の管理者が実行した操作も記録されます。 管理者監査ログのエントリは、実行されたコマンドレット、使われたパラメーター、影響を受けたオブジェクトに関する情報を提供します。
管理者監査ログには、動詞 Get、Search、または Test で始まるExchange Online PowerShell コマンドレットに基づくアクションは記録されません。
監査ログのエントリは 90 日間維持されます。 90 日間の保存期間を過ぎたエントリは削除されます。