監査ログ アクティビティ
この記事の表では、Microsoft 365 で監査されるアクティビティについて説明します。 これらのアクティビティを検索する場合は、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログを検索します。
以下の表は、関連するアクティビティまたは特定のサービスのアクティビティをグループ別にまとめたものです。 テーブルには、[ アクティビティ ] ドロップダウン リスト (または PowerShell で使用できる) に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。 詳細については、「 監査ログの詳細なプロパティ」を参照してください。
ヒント
特定の製品テーブルに直接移動するには、この記事の上部にある [ この記事 の一覧で] のいずれかのリンクを選択します。
アプリケーション管理アクティビティ
次の表に、管理者がMicrosoft Entra IDに登録されているアプリケーションを追加または変更したときにログに記録されるアプリケーション管理アクティビティの一覧を示します。 認証にMicrosoft Entra IDに依存するアプリケーションは、ディレクトリに登録する必要があります。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 委任エントリが追加されました | 委任エントリを追加します。 | 認証アクセス許可が、Microsoft Entra IDのアプリケーションに対して作成または付与されました。 |
| サービス プリンシパルの追加 | サービス プリンシパルを追加します。 | アプリケーションがMicrosoft Entra IDに登録されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。 |
| サービス プリンシパルへの資格情報の追加 | サービス プリンシパル資格情報を追加します。 | 資格情報は、Microsoft Entra IDのサービス プリンシパルに追加されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。 |
| 委任エントリの削除 | 委任エントリを削除します。 | Microsoft Entra IDのアプリケーションから認証アクセス許可が削除されました。 |
| ディレクトリからのサービス プリンシパルの削除 | サービス プリンシパルを削除します。 | アプリケーションがMicrosoft Entra IDから削除または登録解除されました。 アプリケーションは、ディレクトリ内のサービス プリンシパルによって表されます。 |
| サービス プリンシパルからの資格情報の削除 | サービス プリンシパル資格情報を削除します。 | 資格情報は、Microsoft Entra IDのサービス プリンシパルから削除されました。 サービス 原則は、ディレクトリ内のアプリケーションを表します。 |
| 委任エントリの設定 | 委任エントリを設定します。 | Microsoft Entra IDのアプリケーションの認証アクセス許可が更新されました。 |
Microsoft Entraグループ管理活動
次の表に、管理者かユーザーが Microsoft 365 グループを作成または変更したとき、あるいは管理者が Microsoft 365 管理センターか Azure 管理ポータルを使用してセキュリティ グループを作成したときに記録されるグループ管理アクティビティを示します。 Microsoft 365 のグループの詳細については、「Microsoft 365 管理センターでグループを表示、作成、削除する」を参照してください。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| グループの追加 | グループを追加します。 | グループが作成されました。 |
| グループへのメンバーの追加 | グループにメンバーを追加する | メンバーがグループに追加されました。 |
| グループの削除 | グループを削除します。 | グループが削除されました。 |
| グループからのメンバーの削除 | グループからメンバーを削除します。 | メンバーがグループから削除されました。 |
| グループの更新 | グループを更新します。 | グループのプロパティが変更されました。 |
ブリーフィング メール アクティビティ
次の表に、Microsoft 365 監査ログに記録されるブリーフィング メールのアクティビティを示します。 ブリーフィング メールの詳細については、下記を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新された組織のプライバシー設定 | UpdatedOrganizationBriefingSettings | 管理者が、ブリーフィング メールの組織のプライバシー設定を更新します。 |
| 更新されたユーザー プライバシーの設定 | UpdatedUserBriefingSettings | 管理者が、ブリーフィング メールのユーザー プライバシー設定を更新します。 |
コミュニケーション コンプライアンス アクティビティ
Microsoft 365 監査ログに記録されるコミュニケーション コンプライアンス アクティビティの一覧を次の表に記載します。 詳細については、「Microsoft Purview コミュニケーション コンプライアンスの詳細」を参照してください。
注:
これらのアクティビティは、Search-UnifiedAuditLog PowerShell コマンドレットを使用する場合に使用できます。 これらのアクティビティは、[ アクティビティ ] ドロップダウン リストでは使用できません。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ポリシーの更新 | SupervisionPolicyCreated, SupervisionPolicyUpdated, SupervisionPolicyDeleted | コミュニケーション コンプライアンス管理者がポリシーの更新を実行しました。 |
| ポリシーとの一致 | SupervisionRuleMatch | ユーザーがポリシーの条件に一致するメッセージを送信しました。 |
| メッセージに適用されるタグ | SupervisoryReviewTag | タグがメッセージに適用されるか、またはメッセージが解決されます。 |
コンテンツ エクスプローラー アクティビティ
監査ログに記録されるコンテンツ エクスプローラーのアクティビティの一覧を次の表に記載します。 Microsoft Purview ポータルとコンプライアンス ポータルのデータ分類ツールでアクセスするコンテンツ エクスプローラー。 詳細については、「データ分類コンテンツ エクスプローラーの使用」を参照してください。
Copilot アクティビティ
次の表は、監査ログに記録される Microsoft 365 Copilot からのアクティビティの一覧です。 Copilot は、Microsoft 365 サービス全体でアクセスできます。 アクティビティには、ユーザーが Copilot と対話する方法とタイミングが含まれます。 これには、アクティビティが行われた Microsoft 365 サービスと、操作中にアクセスされたファイルへの参照が含まれます。 Copilot の相互作用イベントとスキーマの例の詳細については、「 Copilot の相互作用イベントの概要」を参照してください。
操作中にユーザーのプロンプトからテキストにアクセスするには、「Content Search」を参照してください。 Copilot の詳細については、「 Microsoft Purview を使用して Microsoft 365 Copilot を保護および管理する」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| Copilot と対話しました | CopilotInteraction | ユーザーまたは管理者またはシステムが Copilot にプロンプトを入力しました。 |
ディレクトリ管理アクティビティ
次の表Microsoft Entra、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルでorganizationを管理するときにログに記録されるディレクトリとドメイン関連のアクティビティの一覧です。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ドメインが会社に追加されました | ドメインを会社に追加します。 | 組織にドメインが追加されました。 |
| ディレクトリへのパートナーの追加 | パートナーを会社に追加します。 | パートナー (代理管理者) が組織に追加されました。 |
| 会社からのドメインの削除 | 会社からドメインを削除します。 | 組織からドメインが削除されました。 |
| ディレクトリからのパートナーの削除 | 会社からパートナーを削除します。 | 組織からパートナー (代理管理者) が削除されました。 |
| 会社情報の設定 | 会社情報を設定します。 | 組織の会社情報が更新されました。 Microsoft 365 から送信されたサブスクリプション関連のメール アドレスと、Microsoft 365 サービスに関する技術的な通知が含まれます。 |
| ドメイン認証の設定 | ドメイン認証を設定します。 | 組織のドメイン認証設定が変更されました。 |
| ドメインのフェデレーション設定の更新 | ドメインのフェデレーション設定を行います。 | 組織のフェデレーション (外部共有) 設定が変更されました。 |
| Set password policy | パスワード ポリシーを設定します。 | 組織のユーザー パスワードの長さと文字の制約が変更されました。 |
| Azure AD Syncをオンにする | DirSyncEnabled フラグを設定します。 | Azure AD Sync のディレクトリを有効にするプロパティが設定されました。 |
| ドメインの更新 | ドメインを更新します。 | 組織のドメインの設定が更新されました。 |
| ドメインの検証 | ドメインを確認します。 | 組織がドメインの所有者であるかどうかが検証されました。 |
| メールで確認済みのドメインの検証 | メールで確認されたドメインを確認します。 | メールによる確認を使用して、組織がドメインの所有者であるかどうかが検証されました。 |
処理確認アクティビティ
次の表は、アイテムが構成された保持期間の終了に達したとき、またはアイテムが自動的に次の廃棄ステージに移動されたか、自動承認の結果として完全に削除されたときに処理レビュー担当者が行ったアクティビティの一覧です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 承認された廃棄 | ApproveDisposal | 手動承認の場合: 廃棄レビュー担当者は、品目を次の処理ステージに移動することを承認しました。 アイテムが処理レビューの一意の段階または最終段階にある場合、廃棄承認ではアイテムを完全な削除の対象としてマークしました。 自動承認の場合: 構成された自動承認期間内に手動アクションが実行されなかったため、項目は自動的に次の廃棄ステージに移動されます。 アイテムが廃棄レビューの唯一または最終段階にあった場合、アイテムは自動的に完全削除の対象となりました。 |
| 延長保有期間 | ExtendRetention | 処理レビュー担当者は、アイテムの保持期間を延長しました。 |
| 再ラベル付けされたアイテム | RelabelItem | 処理レビュー担当者がアイテム保持ラベルにもう一度ラベルを付けました。 |
| 追加されたレビュー担当者 | AddReviewer | 処理レビュー担当者は、現在の処理確認段階に 1 人以上の他のユーザーを追加しました。 |
電子情報開示アクティビティ
Microsoft Purview ポータルとコンプライアンス ポータルで、または対応する PowerShell コマンドレットを実行することによって実行されるコンテンツ Searchおよび電子情報開示関連のアクティビティが監査ログに記録されます。 次のアクティビティが含まれます。
- 電子情報開示ケースの作成と管理
- コンテンツ検索の作成、開始、編集
- コンテンツ検索アクション (検索結果のプレビュー、エクスポート、削除など) の実行
- コンテンツ検索用のアクセス許可フィルターの構成
- 電子情報開示管理者の役割の管理
記録される電子情報開示アクティビティの一覧と詳細な説明については、「監査ログで電子情報開示アクティビティを検索する」を参照してください。
注:
[アクティビティ] ドロップダウン リストの [電子情報開示アクティビティ] と [電子情報開示 (Premium) アクティビティ] の下に一覧表示されたアクティビティから得られるアクティビティが検索結果に表示されるまでに最大 30 分かかります。 逆に、電子情報開示コマンドレットのアクティビティの対応するイベントが検索結果に表示されるまでに最大 24 時間かかります。
電子情報開示 (プレミアム) のアクティビティ
監査ログで Microsoft Purview 電子情報開示 (プレミアム) のアクティビティを検索できます。 これらのアクティビティの説明については、「監査ログで電子情報開示アクティビティを検索する」の「電子情報開示 (プレミアム) のアクティビティ」セクションを参照してください。
暗号化されたメッセージ ポータル アクティビティ
アクセス ログは、暗号化されたメッセージ ポータルを介して暗号化されたメッセージに対して使用できます。これにより、組織は、メッセージがいつ読み取られ、外部の受信者によって転送されたかを判断できます。 暗号化されたメッセージ ポータルアクティビティ ログの有効化と使用の詳細については、「暗号化されたメッセージ ポータル アクティビティ ログ」を参照してください。
追跡対象メッセージの各監査エントリには、次のフィールドが含まれています。
- MessageID: 追跡対象のメッセージの ID が含まれます。 システムを介してメッセージに従うために使用されるキー識別子。
- 受信者: すべての受信者のメール アドレスの一覧。
- 送信者: 送信元の電子メール アドレス。
- AuthenticationMethod: メッセージにアクセスするための認証方法 (OTP、Yahoo、Gmail、Microsoft など) について説明します。
- AuthenticationStatus: 認証が成功または失敗したことを示す値が含まれます。
- OperationStatus: 指定された操作が成功したか失敗したかを示します。
- AttachmentName: 添付ファイルの名前。
- OperationProperties: 省略可能なプロパティの一覧。 たとえば、送信された OTP パスコードの数やメールの件名などです。
Exchange 管理アクティビティ
(Microsoft 365 において既定で有効になっている) Exchange 管理者監査ログは、管理者 (または管理者権限が割り当てられているユーザー) が Exchange Online の組織で変更を行ったときに、監査ログにイベントを記録します。 Exchange 管理センターを使用するか、Exchange Online PowerShell でコマンドレットを実行して加えられた変更は、Exchange 管理者監査ログに記録されます。 動詞 Get、Search、または Test- で始まるコマンドレットは、監査ログに記録されません。 Exchange の管理者監査ログの詳細については、「管理者監査ログ」を参照してください。
重要
Exchange 管理者監査ログ (または監査ログ) に記録されない一部の Exchange Online コマンドレット。 これらのコマンドレットの多くは、Exchange Online サービスの保守に関連しており、Microsoft データセンサーの担当者またはサービス アカウントによって実行されます。 "雑音の多い" 監査イベントが多数発生するため、これらのコマンドレットはログに記録されません。 監査されていない Exchange Online コマンドレットがある場合は、Microsoft サポートに設計変更要求 (DCR) を送信してください。
監査ログを検索するときに Exchange 管理者のアクティビティを検索するためのヒントをいくつか紹介します。
日付範囲ボックスと [ユーザー ] リストを使用して、特定の Exchange 管理者が実行するコマンドレットの検索結果を特定の日付範囲内に絞り込みます。
Exchange 管理者監査ログのイベントを表示するには、[ アクティビティ ] 列を選択して、コマンドレット名をアルファベット順に並べ替えます。
実行されたコマンドレット、使用されたパラメーターおよびパラメーター値、影響を受けたオブジェクトに関する情報を取得するには、[すべての結果をダウンロードする] オプションを選択することで検索結果をエクスポートできます。 詳細については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
Exchange Online PowerShell の
Search-UnifiedAuditLog -RecordType ExchangeAdminコマンドを使用して、Exchange 管理者監査ログの監査レコードのみを返すこともできます。 Exchange コマンドレットの実行後、対応する監査ログ エントリが検索結果に返されるまで、最大で 30 分かかる場合があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。 Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。Exchange 管理センターを使用して、または Exchange Online PowerShell で Search-AdminAuditLog を実行して、Exchange 管理者監査ログのイベントを表示することもできます。 監査ログは、Exchange Online管理者によって実行されたアクティビティを具体的に検索する良い方法です。 手順については、以下を参照してください。
Exchange 管理者監査ログと監査ログの両方に同じ Exchange 管理者アクティビティが記録される点に注意してください。
Exchange メールボックス アクティビティ
次の表に、メールボックス監査ログに記録される可能性があるアクティビティを示します。 メールボックスの所有者、委任されたユーザー、または管理者によって実行されたメールボックス アクティビティは、監査ログに最大 180 日間自動的に記録されます。 管理者は、組織のすべてのユーザーについて、メールボックス監査ログをオフにできます。 この場合、いずれのユーザーのメールボックス操作もログに記録されません。 詳細については、「メールボックスの監査を管理する」を参照してください。
重要
監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。
メールボックス操作の検索は、Exchange Online PowerShell で Search-MailboxAuditLog コマンドレットを使用しても行えます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| メールボックス アイテムへのアクセス | MailItemsAccessed | メールボックスでメッセージが読み取りまたはアクセスされました。 このアクティビティの監査レコードは、次の 2 つのうちいずれかの方法でトリガーされます。メール クライアント (Outlook など) でメッセージに対するバインド操作が実行されたとき、またはメール プロトコル (Exchange ActiveSync や IMAP など) によりメール フォルダーのアイテムが同期されたとき。 このアクティビティは、Office 365 または Microsoft 365 E5 ライセンスを持つユーザーのみに記録されます。 このアクティビティの監査レコードの分析は、攻撃されたメール アカウントを調査するときに便利です。 詳細については 監査 (プレミアム) を参照してください。 |
| 代理メールボックス アクセス許可の追加 | Add-MailboxPermission | 管理者は、FullAccess メール ボックス権限をユーザー (代理人と呼ばれる) に別の人のメール ボックスに割り当てました。 FullAccess アクセス許可では、代理人は、他のユーザーのメールボックスを開き、メールボックスの内容の閲覧および管理を行うことができます。 このアクティビティの監査レコードは、Microsoft 365 サービスのシステム アカウントが組織に代わって定期的にメンテナンス タスクを実行するときにも生成されます。 システム アカウントによって実行される一般的なタスクは、システム メールボックスのアクセス許可を更新することです。 詳細については、「Exchange メール ボックス監査レコードのシステム アカウント」を参照してください。 |
| 代理人アクセス許可を持つユーザーが予定表フォルダーに追加または削除されました | UpdateCalendarDelegation | ユーザーが、別のユーザーのメールボックスの予定表に代理人として追加または削除されました。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 |
| フォルダーへのアクセス許可が追加されました | AddFolderPermissions | フォルダーのアクセス許可が追加されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 |
| 別のフォルダーへのメッセージのコピー | Copy | メッセージが別のフォルダーにコピーされました。 |
| メールボックス アイテムの作成 | Create | アイテムが、メールボックスの予定表、連絡先、メモ、またはタスク フォルダーに作成されます。 たとえば、新しい会議出席依頼が作成されます。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 |
| Outlook Web App の新しい受信トレイ ルールの作成 | New-InboxRule | メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App で受信トレイ ルールを作成しました。 |
| 削除済みアイテム フォルダーからのメッセージの削除 | SoftDelete | メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 これらの項目は、[回復可能なアイテム] フォルダーに移動されます。 メッセージは、ユーザーが選択して Shift キーを押しながら削除キーを押すと、回復可能なアイテム フォルダーにも移動されます。 |
| メッセージをレコードとして分類しました | ApplyRecordLabel | メッセージがレコードとして分類されました。 レコードとしてコンテンツを分類する保持ラベルが、メッセージに手動または自動的に適用されるときに発生します。 |
| 別のフォルダーへのメッセージの移動 | Move | メッセージが別のフォルダーに移動されました。 |
| 削除済みアイテム フォルダーへのメッセージの移動 | MoveToDeletedItems | メッセージが削除され、削除済みアイテム フォルダーに移動されました。 |
| フォルダーのアクセス許可の変更 | UpdateFolderPermissions | フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可は、メールボックス フォルダーとフォルダー内のメッセージにアクセスできるorganization内のユーザーを制御します。 |
| Outlook Web App の受信トレイ ルールが変更されました | Set-InboxRule | メールボックスの所有者またはメールボックスにアクセスできる別のユーザーが、Outlook Web App を使用して受信トレイ ルールを変更しました。 |
| メールボックスからのメッセージの消去 | HardDelete | メッセージが回復可能なアイテム フォルダーから削除されました (メールボックスから完全に削除されました)。 |
| 代理メールボックス アクセス許可の削除 | Remove-MailboxPermission | 管理者は、ユーザーのメールボックスから FullAccess アクセス許可 (代理人に割り当てられた) を削除しました。 FullAccess アクセス許可が削除された後、代理人は他のユーザーのメールボックスを開いたり、その中のコンテンツにアクセスしたりすることはできません。 |
| フォルダーからアクセス許可が削除されました | RemoveFolderPermissions | フォルダーのアクセス許可が削除されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 |
| 送信済メッセージ | Send | メッセージが送信、返信、または転送されました。 このアクティビティは、Office 365 または Microsoft 365 E5 ライセンスを持つユーザーのみに記録されます。 詳細については 監査 (プレミアム) を参照してください。 |
| 送信者権限を使ったメッセージの送信 | SendAs | SendAs アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者を装ってメッセージを送信したということです。 |
| 代理送信権限を使ったメッセージの送信 | SendOnBehalf | SendOnBehalf アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがこのメールボックスの所有者の代理人としてメッセージを送信したということです。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 |
| Outlook クライアントの受信トレイ ルールの更新 | UpdateInboxRules | メールボックスの所有者またはメールボックスにアクセスできる他のユーザーが、Outlook クライアントを使用して受信トレイ ルールを作成、変更、または削除しました。 |
| メッセージの更新 | Update | メッセージまたはそのプロパティが変更されました。 |
| メールボックスへのユーザーのサインイン | MailboxLogin | ユーザーが自分のメールボックスにサインインしました。 |
| メッセージをレコードとしてラベル付けする | ユーザーがメール メッセージに保持ラベルを適用しました。このラベルは、アイテムをレコードとしてマークするように構成されています。 |
Exchange メール ボックス監査レコードのシステム アカウント
一部のメール ボックス アクティビティ (特に Add-MailboxPermissions) の監査レコードでは、アクティビティを実行した (そして、User フィールドと UserId フィールドで識別された) ユーザーが NT AUTHORITY\SYSTEM または NT AUTHORITY\SYSTEM(Microsoft.Exchange.Servicehost)であることに気付く場合があります。 これは、アクティビティを実行した "ユーザー" が Microsoft クラウドの Exchange サービスのシステム アカウントであったことを示しています。 このシステム アカウントは、多くの場合、組織に代わってスケジュールされたメンテナンス タスクを実行します。 たとえば、NT AUTHORITY\SYSTEM(Microsoft.Exchange.ServiceHost) アカウントによって実行される一般的な監査アクティビティは、システム メール ボックスである DiscoverySearchMailbox のアクセス許可を更新することです。 この更新プログラムの目的は、FullAccess 権限 (既定) がDiscoverySearchMailbox の DiscoveryManagement 役割グループに割り当てられていることを確認することです。 電子情報開示管理者が、organizationで必要なタスクを実行できることを確認します。
Add-MailboxPermission の監査レコードで識別できる別のシステム ユーザー アカウントは ですAdministrator@apcprd03.prod.outlook.com。 このサービスアカウントは、FullAccess アクセス許可の確認と更新に関連するメールボックス監査レコードにも含まれ、DiscoverySearchMailbox システム メールボックスの DiscoveryManagement 役割グループに割り当てられます。 具体的には、アカウントをAdministrator@apcprd03.prod.outlook.com識別する監査レコードは、通常、Microsoft サポート担当者がorganizationに代わってロールベースのアクセス制御診断ツールを実行するときにトリガーされます。
ファイル アクティビティとページ アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のファイル アクティビティとページ アクティビティについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ファイルがアクセスされました | FileAccessed | ユーザーまたはシステム アカウントがファイルにアクセスします。 ユーザーがファイルにアクセスすると、FileAccessed イベントは、次の 5 分間同じファイルに対して同じユーザーに対して再度ログに記録されません。 |
| (なし) | FileAccessedExtended | これは、"ファイルへのアクセス" (FileAccessed) アクティビティに関連します。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルに継続的にアクセスすると、FileAccessedExtended イベントがログに記録されます。 FileAccessedExtended イベントをログに記録する目的は、ファイルが継続的にアクセスされたときにログに記録される FileAccessed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル アクセスに対する無意味な複数の FileAccessed レコードが減り、初期の (より重要な) FileAccessed イベントに注目できます。 |
| ファイルの保持ラベルが変更されました | ComplianceSettingChanged | 保持ラベルがドキュメントに適用またはドキュメントから削除されました。 このイベントは、保持ラベルが手動または自動でメッセージに適用されたときにトリガーされます。 |
| レコードのステータスがロックに変更されました | LockRecord | ドキュメントをレコードとして分類する保持ラベルのレコード ステータスがロックされました。 これは、ドキュメントを変更したり削除したりできないことを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。 |
| レコード ステータスが、ロック解除に変更されました | UnlockRecord | ドキュメントをレコードとして分類する保持ラベルのレコード ステータスのロックが解除されました。 これは、ドキュメントを変更したり削除したりできることを意味します。 ドキュメントのレコード ステータスを変更できるのは、共同作成者以上のアクセス許可がサイトで割り当てられているユーザーだけです。 |
| ファイルのチェックイン | FileCheckedIn | ユーザーがドキュメント ライブラリからチェックアウトしたドキュメントをチェックインしました。 |
| ファイルのチェックアウト | FileCheckedOut | ユーザーは、ドキュメント ライブラリにあるドキュメントをチェックアウトします。 共有しているドキュメントは、複数のユーザーがチェックアウトし、変更を加えることができます。 |
| ファイルのコピー | FileCopied | ユーザーがサイトからドキュメントをコピーします。 コピーしたファイルは、サイトの別のフォルダーに保存できます。 |
| ファイルの削除 | FileDeleted | ユーザーがサイトからドキュメントを削除しました。 |
| ごみ箱からのファイルの削除 | FileDeletedFirstStageRecycleBin | ユーザーがサイトのごみ箱からファイルを削除しました。 |
| 第 2 段階のごみ箱からのファイルの削除 | FileDeletedSecondStageRecycleBin | ユーザーがサイトの第 2 段階のごみ箱からファイルを削除しました。 |
| レコードとしてマークされたファイルの削除 | RecordDelete | レコードとしてマークされたドキュメントまたはメールが削除されました。 アイテムがレコードとしてみなされるのは、アイテムをレコードとしてマークする保持ラベルがコンテンツに適用されている場合です。 |
| 検出されたドキュメントの秘密度の不一致 | DocumentSensitivityMismatchDetected | ユーザーが、機密ラベルで保護されているサイトにドキュメントをアップロードし、そのドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が高くなっています。 たとえば、「社外秘」というラベルの付いたドキュメントが、「一般」というラベルの付いたサイトにアップロードされている場合です。 ドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が低い場合、このイベントは発生しません。 たとえば、「一般」というラベルの付いたドキュメントが、「社外秘」というラベルの付いたサイトにアップロードされている場合です。 機密ラベルの優先度の詳細については、「ラベルの優先度 (順序の問題)」を参照してください。 |
| ファイルでのマルウェアの検出 | FileMalwareDetected | SharePoint ウイルス対策エンジンにより、ファイル内でマルウェアが検出されました。 |
| ファイル チェックアウトの破棄 | FileCheckOutDiscarded | ユーザーは、チェックアウトしたファイルを破棄 (または元に戻す) します。 これは、ファイルのチェック アウト時にファイルに対して加えた変更がすべて破棄され、ドキュメント ライブラリにあるドキュメントのバージョンには保存されないことを意味します。 |
| ファイルのダウンロード | FileDownloaded | ユーザーがサイトからドキュメントをダウンロードしました。 |
| ファイルの変更 | FileModified | ユーザーまたはシステム アカウントがサイトにあるドキュメントのコンテンツまたはプロパティを変更します。 同じユーザーが同じドキュメントのコンテンツまたはプロパティを変更すると、システムは別の FileModified イベントをログに記録するまで 5 分待機します。 |
| (なし) | FileModifiedExtended | これは、"ファイルの変更" (FileModified) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、ファイルの変更を継続的に行うと、FileModifiedExtended イベントがログに記録されます。 FileModifiedExtended イベントをログに記録する目的は、ファイルの変更が継続的に行われたときにログに記録される FileModified イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるファイル変更に対する無意味な複数の FileModified レコードを減り、初期 (のより重要な) FileModified イベントに注目できます。 |
| ファイルの移動 | FileMoved | ユーザーがドキュメントをサイトの現在の場所から新しい場所に移動しました。 |
| (なし) | FilePreviewed | ユーザーが SharePoint または OneDrive for Business サイトにあるファイルをプレビューします。 通常、これらのイベントは、イメージ ギャラリーの表示などの 1 つのアクティビティに基づいて、大きいボリュームで発生します。 |
| 実行された検索クエリ | SearchQueryPerformed | ユーザーまたはシステム アカウントが SharePoint または OneDrive for Business で検索を実行します。 サービス アカウントにより検索クエリが実行される一般的なシナリオとして、電子開示情報の保留またはアイテム保持ポリシーがサイトおよび OneDrive アカウントに適用される場合や、保持ラベルまたは機密ラベルがサイト コンテンツに自動適用される場合があります。 |
| リサイクルされたファイル | FileRecycled | ユーザーはファイルを SharePoint のごみ箱に移動しました。 |
| リサイクルされたフォルダー | FolderRecycled | ユーザーはフォルダーを SharePoint のごみ箱に移動しました。 |
| リサイクルされたファイルのすべてのマイナー バージョン | FileVersionsAllMinorsRecycled | ユーザーは、ファイルのバージョン履歴からすべてのマイナー バージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルのすべてのバージョンのリサイクル | FileVersionsAllRecycled | ユーザーは、ファイルのバージョン履歴からすべてのバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルのバージョンのリサイクル | FileVersionRecycled | ユーザーは、ファイルのバージョン履歴からバージョンを削除します。 削除されたバージョンは、サイトのごみ箱に移動されます。 |
| ファイルの名前変更 | FileRenamed | ユーザーがドキュメントの名前を変更しました。 |
| ファイルの復元 | FileRestored | ユーザーがサイトのごみ箱からドキュメントを復元しました。 |
| ファイルのアップロード | FileUploaded | ユーザーがサイトのフォルダーにドキュメントをアップロードしました。 |
| ページの表示 | PageViewed | ユーザーがサイトのページを表示しました。 ドキュメント ライブラリにあるファイルの Web ブラウザーを使用した表示は、これに含まれません。 ユーザーがページを表示すると、次の 5 分間、同じページの同じユーザーに対して PageViewed イベントが再度ログに記録されることはありません。 |
| (なし) | PageViewedExtended | これは、"ページの表示" (PageViewed) アクティビティに関連しています。 同じユーザーが長時間 (最大 3 時間) にわたって、継続的に Web ページを表示すると、PageViewedExtended イベントがログに記録されます。 PageViewedExtended イベントをログに記録する目的は、ページが継続的に表示されたときにログに記録される PageViewed イベントの数を減らすことにあります。 これにより、本質的に同じユーザーのアクティビティであるページ表示に対する無意味な複数の PageViewed レコードが減り、初期 (のより重要な) PageViewed イベントに注目できます。 |
| クライアントが表示をシグナル | ClientViewSignaled | ユーザーのクライアント (Web サイトやモバイル アプリなど) が、示されるページをユーザーが表示したことをシグナルしました。 多くの場合、ページでの PagePrefetched イベントに続いてこのアクティビティがログに記録されます。 注: ClientViewSignaled イベントはサーバーではなくクライアントによりシグナルされるため、イベントがサーバーによってログに記録されず、監査ログに表示されない場合があります。 また、監査レコードの情報の信頼性が低い可能性もあります。 ただし、ユーザーの ID はシグナルの作成に使用されたトークンによって検証されるため、対応する監査レコードに記載されているユーザーの ID は正確です。 システムは、同じユーザーのクライアントがページがユーザーによって再び表示されたことを通知するときに、同じイベントをログに記録するまで 5 分待機します。 |
| (なし) | PagePrefetched | 示されるページにユーザーがアクセスした際のパフォーマンスを上げるため、ユーザーのクライアント (Web サイトやモバイル アプリなど) がそのページを要求しました。 このイベントは、ページの内容がユーザーのクライアントに配信されたことを示すため、ログに記録されます。 このイベントは、ユーザーがページに移動したことをはっきりと示します。 (ユーザーの要求に従って) ページのコンテンツがクライアントによってレンダリングされると、ClientViewSignaled イベントが生成されます。 プレフェッチの指摘はすべてのクライアントでサポートされているわけではないため、プレフェッチされた一部のアクティビティは PageViewed イベントとしてログ記録される可能性があります。 |
FileAccessed および FilePreviewed イベントに関するよくある質問
ユーザー以外のアクティビティによって、「OneDriveMpc-Transform_Thumbnail」などのユーザー エージェントを含む FilePreviewed 監査レコードがトリガーされる可能性はありますか?
ユーザー以外の操作がこのようなイベントを生成するシナリオは認識していません。 ユーザー プロファイル カードを開くなどのユーザー アクション (Outlook on the web内のメッセージでユーザーの名前または電子メール アドレスを選択) すると、同様のイベントが生成されます。
OneDriveMpc-Transform_Thumbnail の呼び出しは、常にユーザーによって意図的にトリガーされていますか?
いいえ。 ただし、ブラウザーの事前取得の結果として、同様のイベントがログに記録される可能性があります。
Microsoft が登録した IP アドレスからの FilePreviewed イベントが表示された場合、それはプレビューがユーザーのデバイスの画面に表示されたことを意味しますか?
いいえ。 ブラウザーの事前取得の結果として、イベントがログに記録された可能性があります。
ドキュメントをプレビューしているユーザーが FileAccessed イベントを生成するシナリオはありますか?
FilePreviewed イベントと FileAccessed イベントの両方が、ユーザーの呼び出しがファイルの読み取り (またはファイルのサムネイル レンダリングの読み取り) につながったことを示します。 これらのイベントはプレビューとアクセスの意図を一致させることを目的としていますが、イベントの区別はユーザーの意図を保証するものではありません。
監査レコードのapp@sharepointユーザー
一部のファイルアクティビティ (およびその他の SharePoint 関連のアクティビティ) の監査レコードでは、([ユーザー] および [UserId] フィールドで識別された) アクティビティを実行したユーザーが app@sharepoint であることがわかります。 これは、アクティビティを実行した「ユーザー」がアプリケーションだったことを示します。 この場合、アプリケーションには、ユーザー、管理者、またはサービスの代理として、組織全体のアクション (SharePoint サイトまたは OneDrive アカウント検索など) を実行するためのアクセス許可が SharePoint に与えられています。 アプリケーションに対するアクセス許可を与えるこのプロセスは、SharePoint アプリ専用アクセスと呼ばれます。 これは、アクションを実行するために SharePoint に提示された認証が、ユーザーの代わりに、アプリケーションによって処理されたことを示します。 そのため、app@sharepoint ユーザーが特定の監査レコードで識別されます。 詳細については、「SharePoint アプリ専用のアクセスを許可する」を参照してください。
たとえば、多くの場合、app@sharepoint は、"Performed search query" および "Accessed file" のイベントのユーザーとして識別されます。 これは、組織で SharePoint アプリ専用アクセスを持つアプリケーションのみが検索クエリを実行し、アイテム保持ポリシーをサイトおよび OneDrive アカウントに適用するときにファイルにアクセスするためです。
ここでは、アクティビティを実行したユーザーとして監査レコード内で app@sharepoint が識別される可能性のある他のいくつかのシナリオを次に示します。
- Microsoft 365 グループ。 ユーザーまたは管理者が新しいグループを作成すると、サイト コレクションの作成、リストの更新、および SharePoint グループへのメンバーの追加のために監査レコードが生成されます。 これらのタスクは、グループを作成したユーザーの代わりにアプリケーションで実行されます。
- Microsoft Teams。 Microsoft 365 グループと同様に、サイト コレクションの作成、リストの更新、およびチームの作成時に SharePoint グループにメンバーを追加するための監査レコードが生成されます。
- コンプライアンス機能。 管理者が、保持ポリシー、電子情報開示の保持、機密ラベルの自動適用などのコンプライアンス機能を実装する場合。
これらのシナリオおよび他のシナリオでは、指定したユーザーとして app@sharepoint を使用した複数の監査レコードが、非常に短い時間枠内、多くの場合数秒以内に作成されています。 これは、ユーザーが開始した同じタスクによってトリガーされた可能性も示しています。 監査レコード内の ApplicationDisplayName および EventData フィールドを確認することにより、イベントをトリガーしたシナリオまたはアプリケーションを特定できる場合があります。
フォルダー アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のフォルダー アクティビティについて説明します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| フォルダーがコピーされました | FolderCopied | ユーザーがフォルダーをサイトから SharePoint または OneDrive for Business の別の場所にコピーしました。 |
| フォルダーの作成 | FolderCreated | ユーザーがサイトにフォルダーを作成しました。 |
| フォルダーの削除 | FolderDeleted | ユーザーがサイトからフォルダーを削除しました。 |
| ごみ箱からのフォルダーの削除 | FolderDeletedFirstStageRecycleBin | ユーザーがサイトのごみ箱からフォルダーを削除しました。 |
| 第 2 段階のごみ箱からのフォルダーの削除 | FolderDeletedSecondStageRecycleBin | ユーザーがサイトの第 2 段階のごみ箱からフォルダーを削除しました。 |
| フォルダーの変更 | FolderModified | ユーザーがサイト上のフォルダーを変更します。 これには、タグやプロパティの変更など、フォルダー メタデータの変更が含まれます。 |
| フォルダーの移動 | FolderMoved | ユーザーがフォルダーをサイトの別の場所に移動しました。 |
| フォルダーの名前変更 | FolderRenamed | ユーザーがサイトのフォルダーの名前を変更しました。 |
| フォルダーの復元 | FolderRestored | ユーザーがサイトのごみ箱から削除されたフォルダーを復元しました。 |
情報バリア アクティビティ
Microsoft 365 監査ログに記録される情報バリアのアクティビティの一覧を次の表に記載します。 情報バリアの詳細については、「Microsoft 365 の情報の障壁について」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| テナントの AppBypassInformationBarrier 設定を変更しました | AppBypassInformationBarrier | SharePoint またはグローバル管理者が、SharePoint サイトのアプリ アクセスを変更しました。 |
| サイトへの情報バリア モードの適用 | SiteIBModeSet | SharePoint またはグローバル管理者がサイトにモードを適用しました。 |
| サイトに適用されたセグメント | SiteIBSegmentsSet | SharePoint、グローバル管理者、またはサイト所有者が、1 つ以上の情報バリア セグメントをサイトに追加しました。 |
| サイトの情報バリア モードを変更しました | SiteIBModeChanged | SharePoint またはグローバル管理者がサイトのモードを更新しました。 |
| サイトのセグメントを変更しました | SiteIBSegmentsChanged | SharePoint またはグローバル管理者が、サイトの 1 つ以上の情報バリア セグメントを変更しました。 |
| SharePoint と OneDrive の無効な情報バリア | SPOIBIsDisabled | SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。 |
| SharePoint と OneDrive の有効な情報バリア | SPOIBIsEnabled | SharePoint またはグローバル管理者が、organizationで SharePoint と OneDrive の情報バリアを無効にしました。 |
| 完了した情報バリア分析情報レポート | InformationBarriersInsightsReportCompleted | システムは、情報バリア分析情報レポートの構築を完了します。 |
| クエリされた情報バリア分析情報レポート OneDrive セクション | InformationBarriersInsightsReportOneDriveSectionQueried | 管理者は、OneDrive アカウントの情報バリア分析情報レポートを照会します。 |
| スケジュールされた情報バリア分析情報レポート | InformationBarriersInsightsReportSchedule | 管理者は、情報バリア分析情報レポートをスケジュールします。 |
| クエリされた情報バリア分析情報レポート SharePoint セクション | InformationBarriersInsightsReportSharePointSectionQueried | 管理者は、Sharepoint サイトの情報バリア分析情報レポートを照会します。 |
| サイトからセグメントを削除しました | SiteIBSegmentsRemoved | SharePoint またはグローバル管理者が、サイトから 1 つ以上の情報バリア セグメントを削除しました。 |
一般的な設定アクティビティのMicrosoft Defender for Endpoint
次の表は、Microsoft 365 監査ログに記録される一般的な設定Microsoft Defender for Endpointアクティビティの一覧です。 Microsoft Defender for Endpoint設定の詳細については、「一般的な Defender for Endpoint 設定を構成する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| ダウンロードしたオフボード パッケージ | DownloadOffboardingPkg | Defender for Endpoint からデバイスを削除するために使用するパッケージをダウンロードしました。 |
| ダウンロードしたオンボード パッケージ | DownloadOnboardingPkg | デバイスを Defender for Endpoint にオンボードするために使用するパッケージをダウンロードしました。 |
| 変更されたデータ保持期間 | ChangeDataRetention | Defender for Endpoint のデータ保持設定を編集しました。 |
| 高度な機能を設定する | SetAdvancedFeatures | Defender for Endpoint の高度な機能が変更され、インシデント時により正確な制御が可能になりました。 一般公開されている高度な機能の設定のみが、Microsoft 365 監査ログに記録されます。 |
インジケーター設定アクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointインジケーター設定のアクティビティを示します。 Microsoft Defender for Endpointインジケーターの詳細については、「インジケーターの管理」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| インジケーターを追加しました | AddIndicator | 攻撃やイベントの追跡に使用できる新しい侵害のインジケーターを作成しました。 |
| 編集済みインジケーター | EditIndicator | 侵害のインジケーターを編集しました。 |
| 削除されたインジケーター | DeleteIndicator | 侵害のインジケーターを削除しました。 |
アクションアクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpoint応答アクションのアクティビティを示します。 Microsoft Defender for Endpoint repsonse アクションの詳細については、「デバイスで応答アクションを実行する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 収集された調査パッケージ | CollectInvestigationPackage | 攻撃ツールと手法を理解するために使用されるデバイスに関する情報を収集しました。 |
| ウイルス対策スキャンを実行しました | RunAntiVirusScan | デバイスMicrosoft Defenderウイルス対策スキャンを実行しました。 |
| 制限付きアプリの実行 | RestrictAppExecution | 悪意のあるアプリの実行を防ぎます。 |
| アプリの制限を削除しました | RemoveAppRestrictions | アプリの実行を許可します。 |
| 分離デバイス | IsolateDevice | ネットワークからデバイスを分離し、攻撃の拡散を防ぎます。 |
| 分離から解放される | ReleaseFromIsolation | 分離されたデバイスをネットワークに追加しました。 |
| 停止したファイルと検疫されたファイル | StopAndQuarantineFile | 詳細な分析のために疑いのあるファイルを検疫しました。 |
| ファイルのダウンロード | DownloadFile | 詳細な調査のために疑わしいファイルをダウンロードしました。 |
| オフボード デバイス | DeviceOffBoarding | Defender for Endpoint からデバイスを削除しました。 |
| ライブ応答 API を実行しました | RunLiveResponseApi | API 呼び出しを介してライブ応答セッションを開き、リモート シェルをデバイスに開きます。 |
| 収集されたログ | LogsCollection | Defender for Endpoint に関するログ情報を収集しました。 |
| ライブ応答ファイルの取得リンクを実行しました | LiveResponseGetFile | ライブ応答セッションを開き、リモート シェルをデバイスに開きます。 |
ロール設定アクティビティのMicrosoft Defender for Endpoint
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Endpointロール設定のアクティビティを示します。 Microsoft Defender for Endpointのロールの詳細については、「ロールベースのアクセス制御のロールを作成および管理する」を参照してください。
Microsoft Defender for Endpointアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| AddRole | ロールを追加しました | 新しいセキュリティ ロールとアクセス許可を追加しました。 |
| EditRole | 編集されたロール | 編集されたセキュリティ ロールとアクセス許可。 |
| DeleteRole | 削除されたロール | セキュリティ ロールとアクセス許可を削除しました。 |
エキスパート活動のMicrosoft Defender
次の表に、Microsoft 365 監査ログにログインMicrosoft Defenderエキスパートのアクティビティを示します。 Microsoft Defenderエキスパートの詳細については、「XDR のMicrosoft Defenderエキスパートについて」および「Microsoft Defender エキスパートによる追求について学習する」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| Defender Experts アナリストのアクセス許可が作成されました | DefenderExpertsAnalystPermissionCreated | 管理者は、インシデントの調査や脅威の修復を行うために、Defender Experts アナリストに 1 つ以上のロールアクセス許可を付与しました。 |
| Defender Experts アナリストのアクセス許可が変更されました | DefenderExpertsAnalystPermissionModified | 管理者は、インシデントを調査したり脅威を修復したりするために、Defender Experts アナリストのロールのアクセス許可を変更しました。 |
Microsoft Defender for Identityアクティビティ
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender for Identityのアクティビティを示します。
Microsoft Defender for Identityアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新されたエンティティ タグ | TaggingConfigurationUpdated | タグがエンティティに追加または削除されました。 |
| 除外の構成を追加しました | ExclusionConfigurationAdded | アラートまたはエンティティに対してグローバル除外が追加されました。 |
| 除外の構成を更新しました | ExclusionConfigurationUpdated | アラートまたはエンティティのグローバル除外が更新されました。 |
| 削除された除外の構成 | ExclusionConfigurationDeleted | アラートまたはエンティティのグローバル除外が削除されました。 |
| アラートしきい値の構成を更新しました | WorkspaceAlertThresholdLevelUpdated | アラートしきい値の構成が更新されました。 |
| ダウンロードしたセキュリティ アラート Excel | AlertExcelDownloaded | アラートの詳細な Excel ファイルがダウンロードされました。 |
| 修復アクションを追加しました | RemediationActionAdded | 修復アクションがキューに追加されました。 |
| 修復アクションの更新 | RemediationActionUpdated | 修復アクションが完了しました。 |
| センサー構成の更新 | SensorConfigurationUpdated | センサーの構成が更新されました。 |
| センサーを追加しました | SensorCreated | 新しいセンサーが追加されました。 |
| センサーを削除しました | SensorDeleted | センサーが削除されました。 |
| センサーのデプロイ キーを取得しました | SensorDeploymentAccessKeyReceived | センサーのアクセス キーが取得されました。 |
| 再生成されたセンサーデプロイ キー | SensorDeploymentAccessKeyUpdated | センサーのアクセス キーが再生成されました。 |
| ダウンロードしたドメイン コントローラーカバレッジ Excel | DomainControllerCoverageExcelDownloaded | ドメイン コントローラー カバレッジの Excel ファイルがダウンロードされました。 |
| ディレクトリ サービス アカウントの構成を更新しました | DirectoryServicesAccountConfigurationUpdated | ディレクトリ サービス アカウント セットが変更されました。 |
| 修復アクションの構成を更新しました | RemediationActionConfigurationUpdated | [アクション アカウントの管理] セットが変更されました。 |
| 更新されたエンティティ修復構成 | EntityRemediatorConfigurationUpdated | [アクション アカウントの管理] モードが変更されました。 |
| 正常性の問題を更新しました | MonitoringAlertUpdated | 正常性の問題が変更されました。 |
| レポートのダウンロード | ReportDownloaded | レポートがダウンロードされました。 |
| 更新されたレポーター構成 | ReporterConfigurationUpdated | レポートのスケジュールが変更されました。 |
| Syslog 転送構成を更新しました | SyslogServiceConfigurationUpdated | syslog 転送構成が変更されました。 |
| セキュリティ通知の構成を更新しました | NotificationConfigurationUpdated | セキュリティ アラートまたは正常性の問題通知の構成が変更されました。 |
| アラート通知の受信者を追加しました | AlertNotificationsRecipientAdded | 受信者がセキュリティ アラート通知の構成に追加されました。 |
| アラート通知の受信者を削除しました | AlertNotificationsRecipientDeleted | 受信者がセキュリティ アラート通知の構成から削除されました。 |
| 正常性の問題の通知受信者を追加しました | MonitoringAlertNotificationRecipientAdded | 正常性の問題の通知構成に受信者が追加されました。 |
| 削除された正常性の問題の通知受信者 | MonitoringAlertNotificationRecipientDeleted | 受信者がヒートイシュー通知構成から削除されました。 |
| VPN 構成の更新 | VpnConfigurationUpdated | VPN (radius アカウンティング) 構成が変更されました。 |
| 統合 RBAC 構成の更新 | URbacAuthorizationStatusChanged | 統合ロールベースのAccess Control構成が変更されました。 |
| 作成されたワークスペース | WorkspaceCreated | ワークスペースが作成されました。 |
| 削除されたワークスペース | WorkspaceDeleted | ワークスペースが削除されました。 |
カスタム検出アクティビティのMicrosoft Defender XDR
次の表は、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのカスタム検出アクティビティの一覧です。 カスタム検出のMicrosoft Defender XDRの詳細については、「カスタム検出ルールの作成と管理」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成されたカスタム検出ルール | CreateCustomDetection | 新しいカスタム検出ルールが作成されました。 |
| 編集されたカスタム検出ルール | EditCustomDetection | カスタム検出ルールが変更されました。 |
| カスタム検出ルールの状態を変更しました | ChangeCustomDetectionRuleStatus | カスタム検出ルールがオフまたはオンになりました。 |
| カスタム検出ルールを実行しました | RunCustomDetection | カスタム検出ルールが手動で実行されました。 |
| 削除されたカスタム検出ルール | DeleteCustomDetection | カスタム検出ルールが削除されました。 |
インシデントアクティビティのMicrosoft Defender XDR
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRのインシデント アクティビティを示します。 Microsoft Defender XDRのインシデントの詳細については、「インシデントの概要」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| インシデントにコメントを追加しました | AddCommentToIncident。 | インシデントにコメントを追加しました。 |
| インシデントに割り当てられたユーザー | AssignUserToIncident | インシデントに割り当てられたユーザー。 |
| インシデントに割り当てられていないユーザー | UnAssignUserFromIncident | インシデントに割り当てられていないユーザー。 |
| 更新されたインシデントの状態 | UpdateIncidentStatus | インシデントの状態を更新しました。 |
| インシデント分類の編集 | EditIncidentClassification | インシデント分類を編集します。 |
| インシデントにタグを追加しました | AddTagsToIncident | インシデントにタグを追加しました。 |
| インシデントからタグを削除しました | RemoveTagsFromIncident | インシデントからタグを削除しました。 |
抑制ルールアクティビティのMicrosoft Defender XDR
次の表に、Microsoft 365 監査ログに記録されるMicrosoft Defender XDRの抑制ルールのアクティビティを示します。 Microsoft Defender XDRの抑制ルールの詳細については、「抑制ルールの管理」を参照してください。
Microsoft Defender XDRアクティビティを表示するには、Microsoft Defender XDR ポータルで統合監査ログを有効にする必要があります。 詳細については、「 統合監査ログを有効にする」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された抑制ルール | CreateSuppressionRule | アラート抑制ルールを作成しました。 |
| 編集された抑制ルール | EditSuppressionRule | アラートの抑制ルールを削除しました。 |
| 抑制ルールを有効にする | EnableSuppressionRule | アラート抑制ルールを有効にしました。 |
| 抑制ルールを無効にしました | DisableSuppressionRule | アラート抑制ルールを無効にしました。 |
| 削除された抑制ルール | DeleteSuppressionRule | アラートの抑制ルールを削除しました。 |
Microsoft Fabric アクティビティ
監査ログで Power BI のアクティビティを検索できます。 監査設定の詳細については、「 監査と使用状況のテナント設定」を参照してください。
Microsoft 365 組織では、監査ログが既定で有効になっています。 organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。 手順については、「 監査を有効にする」を参照してください。
Microsoft Forms アクティビティ
このセクションの表には、監査ログに記録された Microsoft Forms のユーザー アクティビティおよび管理者アクティビティの一覧が表示されています。 Microsoft Forms は、データを収集し分析するために使用するフォーム/クイズ/アンケート ツールです。 下記の説明に別途記載するとおり、一部の操作には追加のアクティビティ パラメーターが含まれます。
Forms アクティビティが共同編集者または匿名レスポンダーによって実行された場合、ログに記録される方法が若干異なります。 詳細については、共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ セクションを参照してください。
注:
一部の Forms 監査アクティビティは、監査 (プレミアム) でのみ利用できます。 つまり、これらのアクティビティが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 詳細については 監査 (プレミアム) を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
次の表では、監査 (プレミアム) アクティビティがアスタリスク (*) で強調表示されています。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| コメントが作成される | CreateComment | フォーム所有者がコメントまたはスコアをクイズに追加する。 |
| フォームが作成される | CreateForm | フォーム所有者が新しいフォームを作成する。 プロパティ DataMode:string は、プロパティ値が DataSync と等しい場合、現在のフォームが新規または既存の Excel ブックと同期するように設定されていることを示します。 プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。 |
| フォームが編集される | EditForm | フォーム所有者が質問の作成、削除、編集など、フォームを編集する。 プロパティ EditOperation:string は、編集操作名を示します。 次の操作を実行できます。 - CreateQuestion - CreateQuestionChoice - DeleteQuestion - DeleteQuestionChoice - DeleteFormImage - DeleteQuestionImage - UpdateQuestion - UpdateQuestionChoice - UploadFormImage/Bing/Onedrive - UploadQuestionImage - ChangeTheme FormImage には、クエリ内や背景テーマなど、ユーザーが画像をアップロードできるフォーム内のすべての場所が含まれます。 |
| フォームが移動される | MoveForm | フォーム所有者がフォームを移動する。 プロパティ DestinationUserId:string は、フォームを移動したユーザーのユーザー ID を示します。 プロパティ NewFormId:string は、新たにコピーされたフォームの新しい ID です。 プロパティ IsDelegateAccess:boolean は、現在のフォーム移動アクションが管理委任ページ経由で実行されていることを示します。 |
| フォームが削除される | DeleteForm | フォーウ所有者がフォームを削除する。 これには、SoftDelete (削除オプションが使用され、フォームがごみ箱に移動されます) と HardDelete (ごみ箱が空になります) が含まれます。 |
| フォームが表示される (デザイン時) | ViewForm | フォーム所有者が既存のフォームを編集するために開く。 プロパティ AccessDenied:boolean は、現在のフォームのアクセスがアクセス許可チェックで拒否されたことを示します。 プロパティ FromSummaryLink:boolean は、現在の要求が概要リンクページで発生したことを示します。 |
| フォームがプレビューされる | PreviewForm | フォーム所有者がプレビュー機能を使用してフォームをプレビューする。 |
| フォームがエクスポートされる | ExportForm | フォーム所有者が結果を Excel にエクスポートする。 プロパティ ExportFormat:string は、Excel ファイルがダウンロードなのかオンラインなのかを示します。 |
| コピー用のフォームの共有が許可される | AllowShareFormForCopy | フォームを他のユーザーと共有するためのテンプレート リンクをフォーム所有者が作成する。 このイベントは、フォーム所有者がテンプレート URL の生成を選択したときにログに記録されます。 |
| コピー用のフォームの共有が許可されない | DisallowShareFormForCopy | フォーム所有者がテンプレートリンクを削除する。 |
| フォームの共同編集者が追加される | AddFormCoauthor | 回答のデザインや表示のための共同作業リンクをユーザーが使用する。 このイベントは、共同作業 URL が最初に生成されたときではなくユーザーが共同作業 URL を使用したときにログに記録されます。 |
| フォームの共同編集者が削除される | RemoveFormCoauthor | フォーム所有者が共同作業リンクを削除する。 |
| 回答ページが表示される | ViewRuntimeForm | ユーザーが回答ページを開いて表示する。 このイベントは、ユーザーが回答を送信するかどうかに関わらずログに記録されます。 |
| 回答が作成される | CreateResponse | 新しい回答の受信と似ています。 ユーザーがフォームへの回答を送信しました。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名回答者の場合、ResponderId プロパティは null となります。 |
| 回答が更新される | UpdateResponse | フォーム所有者がクイズのコメントまたはスコアを更新した。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名レスポンダーの場合、ResponderId プロパティは null です。 |
| すべての回答が削除される | DeleteAllResponses | フォーム所有者がすべての回答データを削除する。 |
| 回答が削除される | DeleteResponse | フォーム所有者が回答を 1 件削除する。 プロパティ ResponseId:string は、削除される回答を示します。 |
| 複数の回答が表示される | ViewResponses | フォーム所有者が回答の集計リストを表示する。 プロパティ ViewType:string は、フォーム所有者は「詳細」を表示しているのか、「集計」を表示しているのかを示します。 |
| 1 件の回答が表示される | ViewResponse | フォーム所有者が特定の 1 件の回答を表示する。 プロパティ ResponseId:string とプロパティ ResponderId:string は、どの結果が表示されたかを示します。 匿名レスポンダーの場合、ResponderId プロパティは null です。 |
| 概要リンクが作成される | GetSummaryLink | 結果を共有するための概要結果リンクをフォーム所有者が作成する。 |
| 概要リンクが削除される | DeleteSummaryLink | フォーム所有者が概要結果リンクを削除する。 |
| フォームのフィッシング状態が更新される | UpdatePhishingStatus | このイベントは、内部セキュリティ状態の詳細値が変更されたとき、この変更により最終的なセキュリティの状態 (たとえば、現在フォームは「終了済み」または「開始済み」) が変更されたかどうかに関わらずログに記録されます。 つまり、最終的なセキュリティ状態が変更されない場合でも、重複するイベントが表示されることがあります。 このイベントの可能な状態の値は次のとおりです。 - 削除 - 管理者による削除 - 管理者のブロック解除 - 自動ブロック - 自動ブロック解除 - 顧客から報告 - 顧客からの報告をリセット |
| ユーザーのフィッシング状態が更新される | UpdateUserPhishingStatus | このイベントは、ユーザーのセキュリティ状態の値が変更されるたびにログに記録されます。 監査レコードのユーザー状態の値は、ユーザーが Microsoft Online の安全チームによって削除されたフィッシング フォームを作成したときに、フィッシング詐欺師として確認されました。 管理者がユーザーのブロックを解除すると、ユーザーの状態の値は [通常のユーザーとしてリセット] に設定されます。 |
| Forms Pro の招待が送信される | ProInvitation | ユーザーが Pro 試用版をアクティブ化することを選択します。 |
| フォームの設定が更新される* | UpdateFormSetting | フォーム所有者は 1 つ以上のフォーム設定を更新します。 プロパティ FormSettingName:string は、更新済みの機密設定の名前を示します。 プロパティ NewFormSettings:string は、更新済みの設定の名前および新しい値を示します。 プロパティ thankYouMessageContainsLink:boolean は、URL リンクを含む更新済みの感謝メッセージを示します。 |
| ユーザー設定が更新される | UpdateUserSetting | フォーム所有者がユーザー設定を更新する。 プロパティ UserSettingName:string は、設定名と新しい値を示します。 |
| フォームが一覧表示される* | ListForms | フォーム所有者がフォームの一覧を表示している。 プロパティ ViewType:string は、フォーム所有者が表示に使用しているビュー ([すべてのフォーム]、[自分と共有]、または [グループ フォーム]) を示します。 |
| 回答が送信される | SubmitResponse | ユーザーがフォームへの回答を送信する。 プロパティ IsInternalForm:boolean は、回答者がフォーム所有者と同じ組織内にいるかどうかを示します。 |
| すべてのユーザーを応答可能にする設定を有効にしました* | AllowAnonymousResponse | フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオンにしている。 |
| すべてのユーザーを応答可能にする設定を無効にしました* | DisallowAnonymousResponse | フォーム所有者が、すべてのユーザーにフォームへの応答を許可する設定をオフにしている。 |
| 特定のユーザーを応答可能にする設定を有効にしました* | EnableSpecificResponse | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオンにしている。 |
| 特定のユーザーを応答可能にする設定を無効にしました* | DisableSpecificResponse | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの応答を許可する設定をオフにしている。 |
| 特定の回答者を追加しました* | AddSpecificResponder | フォーム所有者が特定の回答者リストに新しいユーザーまたはグループを追加する。 |
| 特定の回答者を削除しました* | RemoveSpecificResponder | フォーム所有者がに新しいユーザーまたはグループを特定の回答者リストから削除する。 |
| 共同作業を無効にしました* | DisableCollaboration | フォーム所有者がフォームでの共同作業の設定をオフにしている。 |
| Office 365 での職場または学校アカウントの共同作業を有効にしました* | EnableWorkOrSchoolCollaboration | フォーム所有者が、Microsoft 365 の職場または学校アカウントを使用するユーザーにフォームの表示および編集を許可する設定をオンにしている。 |
| 所属組織内のユーザーの共同作業を有効にしました* | EnableSameOrgCollaboration | フォーム所有者が、現在の組織のユーザーにフォームの表示および編集を許可する設定をオンにしている。 |
| 特定のユーザーの共同作業を有効にしました* | EnableSpecificCollaboaration | フォーム所有者が、現在の組織の特定のユーザーまたは特定のグループのみフォームへの表示および編集を許可する設定をオンにしている。 |
| Excel ブックに接続しました* | ConnectToExcelWorkbook | フォームを Excel ブックに接続しました。 プロパティ ExcelWorkbookLink:string は、関連する現在のフォームの Excel ブック ID を示します。 |
| コレクションの作成 | CollectionCreated | フォーム所有者がコレクションを作成しました。 |
| コレクションの更新 | CollectionUpdated | フォーム所有者がコレクション プロパティを更新しました。 |
| ごみ箱からのコレクションの削除 | CollectionHardDeleted | フォーム所有者がごみ箱からコレクションを物理的に削除しました。 |
| ごみ箱へのコレクションの移動 | CollectionSoftDeleted | フォーム所有者がコレクションをごみ箱に移動しました。 |
| コレクションの名前の変更 | CollectionRenamed | フォーム所有者がコレクションの名前を変更しました。 |
| フォームへのコレクションの移動 | MovedFormIntoCollection | フォームの所有者がフォームをコレクションに移動しました。 |
| フォームをコレクションから移動しました | MovedFormOutofCollection | フォームの所有者がフォームをコレクションから移動しました。 |
共同作成者および匿名のレスポンダーによって実行される Forms アクティビティ
Forms は、フォームの設計時および回答の分析時の協同作業をサポートします。 フォームの協力者は、共同作成者 として知られています。 共同作成者は、フォームの削除または移動を除き、フォームの所有者が実行できるすべての操作を実行できます。 また、Forms を使用すると、匿名で回答できるフォームを作成できます。 これは、フォームに回答するためにレスポンダーが組織にサインインする必要がないことを意味します。
次の表は、共同作成者と匿名のレスポンダーによって実行されたアクティビティの監査アクティビティおよび監査レコードの情報を示しています。
| アクティビティの種類 | 内部または外部ユーザー | ログに記録されたユーザー ID | ログインしている組織 | Forms ユーザーの種類 |
|---|---|---|---|---|
| 共同編集のアクティビティ | 内部 | UPN | フォームの所有者の組織 | 共同編集者 |
| 共同編集のアクティビティ | 外部 | UPN |
共同作成者の組織 |
共同編集者 |
| 共同編集のアクティビティ | 外部 | urn:forms:coauthor#a0b1c2d3@forms.office.com(ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 |
共同編集者 |
| 回答アクティビティ | 外部 | UPN |
レスポンダーの組織 |
レスポンダー |
| 回答アクティビティ | 外部 | urn:forms:external#a0b1c2d3@forms.office.com(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 | レスポンダー |
| 回答アクティビティ | 匿名 | urn:forms:anonymous#a0b1c2d3@forms.office.com(ユーザー ID の 2 番目の部分はハッシュであり、ユーザーによって異なります) |
フォームの所有者の組織 | レスポンダー |
Microsoft Graph データ接続
次の表に、監査のためにログに記録される Microsoft Graph Data Connect のユーザーアクティビティと管理者アクティビティの一覧を示します。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| アプリを承認または拒否しました | ConsentModificationRequest | ユーザーが同意の変更要求を実行しました。 |
| 抽出の実行 | DataAccessRequestOperation | ユーザーが抽出を実行しました。 パートナー データセットと ISV 実行は除外されます。 |
Microsoft Plannerアクティビティ
次の表は、監査のためにログに記録されるMicrosoft Plannerのユーザーアクティビティと管理者アクティビティの一覧です。 テーブルには、[ アクティビティ ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| プランの読み取り | PlanRead | プランは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。 |
| プランを作成しました | PlanCreated | プランは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、ContainerType は ContainerType.Invalid を示し、ContainerId は null を示します。 |
| プランを変更しました | PlanModified | プランは、ユーザーまたはアプリによって変更されます。 |
| プランを削除しました | PlanDeleted | プランは、ユーザーまたはアプリによって削除されます。 |
| プランをコピーしました | PlanCopied | プランは、ユーザーまたはアプリによってコピーされます。 コピー操作が ResultStatus.Failure または ResultStatus.Failure の場合、newPlanId は null、newContainerType は ContainerType.Invalid、newContainerId は null を示します。 |
| タスクの読み取り | TaskRead | タスクは、ユーザーまたはアプリによって読み取られます。 読み取り操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanId は null を示します。 |
| タスクを作成しました | TaskCreated | タスクは、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、PlanId は null を示します。 |
| タスクを変更しました | TaskModified | タスクは、ユーザーまたはアプリによって変更されます。 |
| タスクを削除しました | TaskDeleted | タスクは、ユーザーまたはアプリによって削除されます。 |
| タスクの割り当て | TaskAssigned | タスクの担当者は、ユーザーまたはアプリによって変更されます。 これは、割り当て済みの未割り当てタスク、または割り当てられたタスクに新しい担当者が含まれます。 |
| タスクを完了しました | TaskCompleted | タスクは、ユーザーまたはアプリによって完了済みとしてマークされます。 |
| 名簿を作成しました | 名簿作成 | 名簿は、ユーザーまたはアプリによって作成されます。 作成操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は null を示し、MemberIds は空の文字列を示します。 |
| 名簿を削除しました | RosterDeleted | 名簿は、ユーザーまたはアプリによって削除されます。 |
| 名簿にメンバーを追加しました | RosterMemberAdded | メンバーが名簿に追加されます。 追加操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。 |
| メンバーを名簿に削除しました | RosterMemberDeleted | メンバーが名簿から削除されます。 削除操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、MemberIds は試行されたメンバー ID の一覧を示します。 |
| プランの一覧を読み取る | PlanListRead | プランの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、PlanList は空の文字列を示します。 |
| タスクの一覧を読み取る | TaskListRead | タスクの一覧は、ユーザーまたはアプリによって照会されます。 クエリ操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、TaskList は空の文字列を示します。 |
| テナント設定の更新 | TenantSettingsUpdated | テナント設定は、テナント管理者によって更新されます。更新操作が ResultStatus.Failure または ResultStatus.AuthorizationFailure の場合、ObjectId は元の設定を示し、TenantSettings はテナント設定の試行を示します。 |
| 名簿の秘密度ラベルを更新しました | RosterSensitivityLabelUpdated | ユーザーまたはアプリは、名簿の秘密度ラベルを更新します。 |
Microsoft Power Apps アクティビティ
Power Apps では、アプリ関連のアクティビティの監査ログを検索できます。 これらのアクティビティには、アプリの作成、起動、公開が含まれます。 アプリへのアクセス許可の割り当ても監査されます。 Power Apps のすべてのアクティビティの説明については、「Activity logging for Power Apps のアクティビティのログ」を参照してください。
注:
アラート ポリシー (保護アラート) 監査イベント (RecordType:45) は現在、PowerAppsではサポートされていません。
Microsoft Power Automate のアクティビティ
Power Automate (旧称: Microsoft Flow) では、監査ログを検索できます。 これらのアクティビティには、フローの作成、編集、および削除と、フローのアクセス許可の変更があります。 Power Automate アクティビティの監査の詳細については、 コンプライアンス ポータルで利用可能になった Power Automate 監査イベントに関するブログを参照してください。
Microsoft Purview ガバナンス アクティビティ
次の表に、Microsoft 365 監査ログに記録される Microsoft Purview ガバナンス アクティビティの一覧を示します。 詳細については、「 Microsoft Purview ガバナンス ソリューション」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された資産またはエンティティ | EntityCreated | 新しい資産またはエンティティが作成されるか、既存の資産に追加されます。 |
| 分類の追加 | ClassificationAdded | 資産エンティティに分類を追加します。 |
| 作成された分類定義 | ClassificationDefinitionCreated | 分類の種類を作成します。 |
| 分類定義が削除されました | ClassificationDefinitionDeleted | 分類の種類を削除します。 |
| 分類定義が更新されました | ClassificationDefinitionUpdated | 分類の種類を更新します。 |
| 分類が削除されました | ClassificationDeleted | 資産エンティティから分類を削除します。 |
| 分類の更新 | ClassificationUpdated | 資産エンティティの分類を更新します。 |
| 削除されたエンティティ | EntityDeleted | 資産またはエンティティは、既存の資産から削除されます。 |
| エンティティが更新されました | EntityUpdated | 含まれるもの: 属性の更新、ビジネス属性の更新、コレクション情報 (コレクション ID のみを含む)、連絡先の更新、customAttributes、階層、homeId、ラベル、sourceDetails |
| 用語集の用語が割り当てられている | GlossaryTermAssigned | 資産エンティティに用語を割り当てます。 |
| 用語集の用語が作成されました | GlossaryTermCreated | 用語を作成します。 |
| 用語集の用語が削除されました | GlossaryTermDeleted | 用語を削除します。 |
| 用語集の用語の関連付け解除 | GlossaryTermDisassociated | 資産エンティティから用語の関連付けを解除します。 |
| 用語集の用語が更新されました | GlossaryTermUpdated | 用語を更新します。 |
| 秘密度ラベルを変更済み | SensitivityLabelChanged | 秘密度ラベルが追加/更新/削除されます。 |
Microsoft Project for the web アクティビティ
監査ログで、Microsoft Project for the webのアクティビティを検索できます。 Microsoft Project for the webは Microsoft Dataverse 上に構築され、Project Power App が関連付けられています。 ユーザーが Microsoft Dataverse または Project Power App を使用しているシナリオの監査を有効にするには、 システム設定の [監査] タブのガイダンスを 参照してください。 Project for the webに関連するエンティティの一覧については、「Project for the webからのユーザー データのエクスポート」ガイダンスを参照してください。
Microsoft Project for the webの詳細については、「Microsoft Project for the web」を参照してください。
注:
Microsoft Project for the web アクティビティの監査イベントには、監査 (Premium) の権利を含む関連する Microsoft 365 ライセンスに加えて、有料のProject Plan 1 ライセンス (またはそれ以上) が必要です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成されたプロジェクト | ProjectCreated | プロジェクトは、ユーザーまたはアプリによって作成されます。 |
| 作成されたロードマップ | ロードマップ作成 | ロードマップは、ユーザーまたはアプリによって作成されます。 |
| 作成されたロードマップ項目 | RoadmapItemCreated | ロードマップ項目は、ユーザーまたはアプリによって作成されます。 |
| 作成されたタスク | TaskCreated | タスクは、ユーザーまたはアプリによって作成されます。 |
| 削除されたプロジェクト | ProjectDeleted | プロジェクトは、ユーザーまたはアプリによって削除されます。 |
| 削除されたロードマップ | ロードマップDeleted | ロードマップは、ユーザーまたはアプリによって削除されます。 |
| 削除されたロードマップ項目 | RoadmapItemDeleted | ロードマップ項目は、ユーザーまたはアプリによって削除されます。 |
| 削除されたタスク | TaskDeleted | タスクはユーザーまたはアプリによって削除されます。 |
| アクセスされたプロジェクト | ProjectAccessed | プロジェクトは読み取りまたはアプリです。 |
| プロジェクト ホームにアクセスしました | ProjectListAccessed | プロジェクトやロードマップの一覧は、ユーザーによって照会されます。 |
| ロードマップにアクセスしました | ロードマップアクセス済み | ロードマップは、ユーザーまたはアプリによって読み取られます。 |
| ロードマップ項目にアクセスしました | RoadmapItemAccessed | ロードマップ項目は、ユーザーまたはアプリによって読み取られます。 |
| アクセスされたタスク | TaskAccessed | タスクは、ユーザーまたはアプリによって読み取られます。 |
| 更新されたプロジェクト設定 | ProjectForTheWebProjectSettings | プロジェクト設定は管理者によって更新されます。 |
| ロードマップの更新 | RoadmapUpdated | ロードマップは、ユーザーまたはアプリによって変更されます。 |
| ロードマップ項目を更新しました | RoadmapItemUpdated | ロードマップ項目は、ユーザーまたはアプリによって変更されます。 |
| ロードマップの設定を更新しました | ProjectForTheWebRoadmaptSettings | ロードマップ設定は管理者によって更新されます。 |
| 更新されたタスク | TaskUpdated | タスクは、ユーザーまたはアプリによって変更されます。 |
| 更新されたプロジェクト | ProjectUpdated | プロジェクトは、ユーザーまたはアプリによって変更されます。 |
Microsoft Stream アクティビティ
監査ログで Microsoft Stream のアクティビティを検索できます。 これらのアクティビティには、ユーザーが実行するビデオ アクティビティ、グループ チャネル アクティビティ、管理アクティビティ (ユーザーの管理、組織の設定の管理、レポートのエクスポートなど) が含まれます。 これらのアクティビティの詳細については、「Microsoft Stream の監査ログ」の「Stream に記録されたアクション」を参照してください。
Microsoft Teams アクティビティ
次の表に、Microsoft 365 監査ログに記録される Microsoft Teams アクティビティの一覧を示します。 監査ログで Microsoft Stream のユーザーおよび管理者のアクティビティを検索できます。 Teams は Microsoft 365 のチャット中心のワークスペースです。 これにより、チームの会話、会議、ファイル、およびノートが 1 つの場所に集められます。 詳細な検索ガイダンスについては、「Microsoft Teams のイベントの監査ログをSearchする」を参照してください。
| フレンドリ名 | 操作名 | 説明 |
|---|---|---|
| チームへのボットの追加 | BotAddedToTeam | ユーザーがチームにボットを追加しました。 |
| チャネルの追加 | ChannelAdded | ユーザーがチームにチャネルを追加しました。 |
| コネクタの追加 | ConnectorAdded | ユーザーがチャネルにコネクタを追加しました。 |
| Teams 会議 2、5 の詳細を追加しました | MeetingDetail | Teams は、開始時刻、終了時刻、会議に参加するための URL など、会議に関する情報を追加しました。 |
| 会議参加者 2、5 に関する情報を追加しました | MeetingParticipantDetail | Teams は、各参加者のユーザー ID、参加者が会議に参加した時刻、参加者が会議を離れた時刻など、会議の参加者に関する情報を追加しました。 |
| メンバー 5、6 を追加しました | MemberAdded | チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。 |
| タブの追加 | TabAdded | ユーザーがチャネルにタブを追加しました。 |
| 適用された秘密度ラベル | SensitivityLabelApplied | ユーザーまたは会議の開催者は、Teams 会議に秘密度ラベルを適用しました。 |
| チャネルの設定の変更 | ChannelSettingChanged | 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらのアクティビティごとに、変更された設定の説明が (かっこで囲まれて表示されます)、監査ログの検索結果の [項目 ] 列に表示されます。
|
| 組織の設定の変更 | TeamsTenantSettingChanged | TeamsTenantSettingChanged 操作は、Microsoft 365 管理センターのグローバル管理者が次のアクティビティを実行するとログに記録されます。 これらのアクティビティは、組織全体の Teams 設定に影響します。 詳細については、「organizationの Teams 設定を管理する」を参照してください。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
| チーム内のメンバーの役割変更 | MemberRoleChanged | チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられたロールの種類を示します。 1 - メンバー ロールを示します。 2 - 所有者ロールを示します。 3 - ゲスト ロールを意味します。 Members プロパティには、organizationの名前とメンバーのメール アドレスも含まれます。 |
| チームの設定の変更 | TeamSettingChanged | 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらのアクティビティごとに、監査ログの検索結果の [項目 ] 列に変更された設定の説明 (かっこで囲んで表示) が表示されます。
|
| 秘密度ラベルを変更しました | SensitivityLabelChanged | ユーザーが Teams 会議で秘密度ラベルを変更しました。 |
| チャット 1、2 を作成しました | ChatCreated | Teams チャットが作成されました。 |
| チームの作成 | TeamCreated | ユーザーがチームを作成しました。 |
| メッセージを削除しました 2 | MessageDeleted | チャットまたはチャネル内のメッセージが削除されました。 |
| すべてのorganizationアプリを削除しました | DeletedAllOrganizationApps | カタログからすべてのorganization アプリを削除しました。 |
| 削除されたアプリ | AppDeletedFromCatalog | アプリがカタログから削除されました。 |
| チャネルの削除 | ChannelDeleted | ユーザーがチームからチャネルを削除しました。 |
| チームの削除 | TeamDeleted | チーム所有者がチームを削除しました。 |
| Teams 5 の URL リンクを含むメッセージを編集しました | MessageEditedHasLink | ユーザーがメッセージを編集し、Teams で URL リンクを追加します。 |
| エクスポートされたメッセージ 1、 2 | MessagesExported | チャットまたはチャネル メッセージがエクスポートされました。 |
| エクスポートされた記録 | RecordingExported | チャットの記録がエクスポートされました。 |
| エクスポートされたトランスクリプト | TranscriptsExported | チャットトランスクリプトがエクスポートされました。 |
| 共有チャネル 3 への招待を検証できませんでした | FailedValidation | ユーザーは共有チャネルへの招待に応答しますが、招待の検証に失敗しました。 |
| フェッチされたチャット 1、 2 | ChatRetrieved | Microsoft Teams チャットが取得されました。 |
| メッセージ1、2 のすべてのホストされたコンテンツをフェッチしました | MessageHostedContentsListed | 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。 |
| アプリをインストールしました | AppInstalled | アプリがインストールされました。 |
| カードに対して実行されたアクション | PerformedCardAction | ユーザーがチャット内のアダプティブ カードに対してアクションを実行しました。 アダプティブ カードは、通常、ボットによって使用され、チャットでの情報と対話の豊富な表示を可能にします。 メモ:監査ログでは、チャット内のアダプティブ カードに対するインライン入力アクションのみを使用できます。 たとえば、ユーザーがポーリング ボットによって生成されたアダプティブ カードのチャネル会話でポーリング応答を送信するとします。 ダイアログを開く "結果の表示" などのユーザー アクションや、ダイアログ内のユーザー アクションは監査ログでは使用できません。 |
| 新しいメッセージ 1、2、5、6 を投稿しました | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 |
| 発行済みアプリ | AppPublishedToCatalog | アプリがカタログに追加されました。 |
| メッセージ 1、2 を読み取る | MessageRead | チャットまたはチャネルのメッセージが取得されました。 |
| メッセージ 1、2 のホストされたコンテンツを読み取る | MessageHostedContentRead | イメージやコード スニペットなどのメッセージ内のホストされたコンテンツが取得されました。 |
| チームからのボットの削除 | BotRemovedFromTeam | ユーザーがチームからボットを削除しました。 |
| コネクタの削除 | ConnectorRemoved | ユーザーは、チャネルからコネクタを削除します。 |
| 削除されたメンバー | MemberRemoved | チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。 |
| 秘密度ラベルを削除しました | SensitivityLabelRemoved | ユーザーが Teams 会議から秘密度ラベルを削除しました。 |
| チーム チャネル 3 の共有を削除しました | TerminatedSharing | チームまたはチャネル所有者は、共有チャネルの共有を無効にしました。 |
| チーム チャネル 3 の共有を復元しました | SharingRestored | チームまたはチャネル所有者は、共有チャネルの共有を再度有効にします。 |
| タブの削除 | TabRemoved | ユーザーがチャネルからタブを削除しました。 |
| 共有チャネル 3 の招待に応答しました | InviteeResponded | ユーザーが共有チャネルの招待に応答しました。 |
| 共有チャネル 3 への招待者の応答に応答しました | ChannelOwnerResponded | チャネル所有者が、共有チャネルの招待に応答したユーザーからの応答に応答しました。 |
| 取得されたメッセージ 1、 2 | MessagesListed | チャットまたはチャネルからのメッセージが取得されました。 |
| Teams 5 で URL リンクを含むメッセージを送信しました | MessageCreatedHasLink | ユーザーは、Teams で URL リンクを含むメッセージを送信します。 |
| メッセージ作成の変更通知の送信 1、 2 | MessageCreatedNotification | サブスクライブされたリスナー アプリケーションに新しいメッセージを通知する変更通知が送信されました。 |
| メッセージ削除の変更通知を送信 しました 1, 2 | MessageDeletedNotification | サブスクライブされたリスナー アプリケーションに削除されたメッセージを通知する変更通知が送信されました。 |
| メッセージ更新プログラム 1、2 の送信された変更通知 | MessageUpdatedNotification | 更新されたメッセージをサブスクライブしているリスナー アプリケーションに通知するために、変更通知が送信されました。 |
| 共有チャネルの招待を送信 しました 3 | InviteSent | チャネル所有者またはメンバーが共有チャネルに招待を送信します。 チャネル ポリシーが外部ユーザーとチャネルを共有するように構成されている場合は、共有チャネルへの招待をorganization外のユーザーに送信できます。 |
| メッセージ変更通知をサブスクライブ しました 1、 2 | SubscribedToMessages | メッセージの変更通知を受け取るために、リスナー アプリケーションによってサブスクリプションが作成されました。 |
| アンインストールされたアプリ | AppUninstalled | アプリがアンインストールされました。 |
| 更新されたアプリ | AppUpdatedInCatalog | カタログでアプリが更新されました。 |
| チャット 1、2 を更新しました | ChatUpdated | Teams チャットが更新されました。 |
| メッセージ 1、2 を更新しました | MessageUpdated | チャットまたはチャネルのメッセージが更新されました。 |
| コネクタの更新 | ConnectorUpdated | ユーザーがチャネルのコネクタを変更しました。 |
| タブの更新 | TabUpdated | ユーザーがチャネルのタブを変更しました。 |
| アップグレードされたアプリ | AppUpgraded | アプリがカタログの最新バージョンにアップグレードされました。 |
| Teams へのユーザーのサインイン | TeamsSessionStarted | ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。 |
| 投稿された新しいメッセージ 3、 4、 5、 6 | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 このイベントは、ライセンスの詳細を定義するプレミアム機能です。 |
注:
1 このイベントの監査レコードは、Microsoft Graph APIを呼び出して操作を実行した場合にのみ記録されます。 Teams クライアントで操作が実行された場合、監査レコードはログに記録されません
2 このイベントは監査 (Premium) でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 監査 (Premium) でのみ使用できるアクティビティの詳細については、「 Microsoft Purview の監査 (Premium)」を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
3 このイベントはパブリック プレビュー段階です。
4このイベントは、ゲスト、フェデレーション ユーザー、匿名ユーザーが存在する場合にのみ、チャット用に生成されます。
5 このイベントは、現在、Government Community Cloud (GCC)、Government Community Cloud High (GCC-High)、および国防総省 (DoD) 組織では利用できません。
6 このイベントは、フェデレーション チャットに参加しているすべてのテナントに含まれます。
7 このイベントには、1 対 1 のフェデレーション チャットの参加ドメイン情報があります。
Microsoft Teams 医療活動アクティビティ
組織で Microsoft Teams の 患者用アプリケーション を使用している場合は、患者アプリの使用に関連するアクティビティの監査ログを検索できます。 患者アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティグループは、アクティビティ 選択リストに表示されます。
患者アプリのアクティビティの説明については、患者アプリの監査ログをご覧ください。
Microsoft Teams Shifts アクティビティ
次の表に、Microsoft 365 監査ログに記録される Microsoft Teams アクティビティの Shift アプリの一覧を示します。 組織で Microsoft Teams の Shifts アプリを使用している場合は、Shifts アプリの使用に関連するアクティビティの監査ログを検索できます。 Shifts アプリをサポートするように使用環境が構成されている場合、これらのアクティビティの追加アクティビティ グループは、[アクティビティ] 選択リストに表示されます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| スケジュール グループを追加しました | ScheduleGroupAdded | ユーザーがスケジュールに新しいスケジュール グループを正常に追加しました。 |
| 編集済みスケジュール グループ | ScheduleGroupEdited | ユーザーがスケジュール グループを正常に編集しました。 |
| 削除されたスケジュール グループ | ScheduleGroupDeleted | ユーザーがスケジュールからスケジュール グループを正常に削除しました。 |
| 取り下げスケジュール | ScheduleWithdrawn | ユーザーが発行されたスケジュールを正常に取り消しました。 |
| シフトを追加しました | ShiftAdded | ユーザーがシフトを正常に追加しました。 |
| 編集されたシフト | ShiftEdited | ユーザーがシフトを正常に編集しました。 |
| 削除されたシフト | ShiftDeleted | ユーザーがシフトを正常に削除しました。 |
| 休暇を追加しました | TimeOffAdded | ユーザーがスケジュールに基づいて休暇を正常に追加しました。 |
| 編集済みの休暇 | TimeOffEdited | ユーザーが休暇を正常に編集しました。 |
| 削除された休暇 | TimeOffDeleted | ユーザーが休暇を正常に削除しました。 |
| オープン シフトを追加しました | OpenShiftAdded | ユーザーがスケジュール グループにオープン シフトを正常に追加しました。 |
| 編集済みのオープン シフト | OpenShiftEdited | ユーザーがスケジュール グループのオープン シフトを正常に編集しました。 |
| 削除されたオープン シフト | OpenShiftDeleted | ユーザーがスケジュール グループからオープン シフトを正常に削除しました。 |
| 共有スケジュール | ScheduleShared | ユーザーは、日付範囲のチーム スケジュールを正常に共有しました。 |
| 時刻クロックを使用してクロックインする | ClockedIn | ユーザーは、タイム クロックを使用して正常にクロックインします。 |
| タイム クロックを使用して退勤 | ClockedOut | ユーザーは、タイム クロックを使用して正常に退勤します。 |
| タイム クロックを使用して中断を開始しました | BreakStarted | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に開始します。 |
| タイム クロックを使用して中断を終了しました | BreakEnded | ユーザーは、アクティブなタイム クロック セッション中に中断を正常に終了します。 |
| タイム クロック エントリを追加しました | TimeClockEntryAdded | ユーザーがタイム シートに新しい手動の時刻クロック エントリを正常に追加しました。 |
| 編集された時刻クロック エントリ | TimeClockEntryEdited | ユーザーがタイム シートのタイム クロック エントリを正常に編集しました。 |
| 削除された時刻クロック エントリ | TimeClockEntryDeleted | ユーザーがタイム シートのタイム クロック エントリを正常に削除しました。 |
| シフト要求を追加しました | RequestAdded | ユーザーがシフト要求を追加しました。 |
| シフト要求に応答しました | RequestRespondedTo | ユーザーがシフト要求に応答しました。 |
| キャンセルされたシフト要求 | RequestCancelled | ユーザーがシフト要求を取り消しました。 |
| スケジュール設定の変更 | ScheduleSettingChanged | ユーザーが Shifts 設定の設定を変更します。 |
| 従業員の統合を追加しました | WorkforceIntegrationAdded | Shifts アプリは、サード パーティのシステムと統合されています。 |
| シフトオフメッセージを受け入れる | OffShiftDialogAccepted | ユーザーは、シフト時間が経過した後に Teams にアクセスするためのオフシフト メッセージを確認します。 |
Microsoft Teams Updates アクティビティ
次の表Updates、Microsoft 365 監査ログに記録される Microsoft Teams アクティビティのアプリの一覧です。 organizationが Microsoft Teams でUpdates アプリを使用している場合は、Updates アプリの使用に関連するアクティビティを監査ログで検索できます。 Updatesアプリをサポートするように環境が構成されている場合は、これらのアクティビティの追加のアクティビティ グループを [アクティビティ ピッカー] の一覧で使用できます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新要求を作成する | CreateUpdateRequest | ユーザーが更新要求を正常に作成しました。 |
| 更新要求を編集する | EditUpdateRequest | ユーザーが要求編集ウィザードを開き、[ 保存] を選択して変更を確認して保存するか、更新要求を直接有効または無効にします。 |
| 更新プログラムを送信する | SubmitUpdate | ユーザーが更新プログラムを正常に送信しました。 |
| 1 つの更新プログラムの詳細を表示する | ViewUpdate | ユーザーが更新プログラムの詳細を表示します。 |
Microsoft To Do アクティビティ
次の表は、Microsoft 365 監査ログに記録される Microsoft To Do のアクティビティの一覧です。 Microsoft To Do の詳細については、「Microsoft To Do のサポート」を参照してください。
注:
Microsoft To Do アクティビティの監査イベントには、監査 (Premium) の権利を含む関連する Microsoft 365 ライセンスに加えて、有料のProject Plan 1 ライセンス (以上) が必要です。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| フォルダーの共有リンクを受け入れた | AcceptedSharingLinkOnFolder | フォルダーの共有リンクを受け入れた。 |
| 作成された添付ファイル | AttachmentCreated | タスクの添付ファイルが作成されました。 |
| 添付ファイルの更新 | AttachmentUpdated | 添付ファイルが更新されました。 |
| 添付ファイルが削除されました | AttachmentDeleted | 添付ファイルが削除されました。 |
| フォルダー共有リンク共有 | FolderSharingLinkShared | フォルダーの共有リンクを作成しました。 |
| リンクされたエンティティが削除されました | LinkedEntityDeleted | リンクされたエンティティが削除されました。 |
| リンクされたエンティティが更新されました | LinkedEntityUpdated | リンクされたエンティティが更新されました。 |
| 作成されたリンクされたエンティティ | LinkedEntityCreated | タスクのリンクされたエンティティが作成されました。 |
| 作成された SubTask | SubTaskCreated | サブタスクが作成されました。 |
| SubTask が削除されました | SubTaskDeleted | サブタスクが削除されました。 |
| SubTask が更新されました | SubTaskUpdated | サブタスクが更新されました。 |
| 作成されたタスク | TaskCreated | タスクが作成されました。 |
| タスクが削除されました | TaskDeleted | タスクが削除されました。 |
| タスク読み取り | TaskRead | タスクが読み取られました。 |
| 更新されたタスク | TaskUpdated | タスクが更新されました。 |
| TaskList が作成されました | TaskListCreated | タスク リストが作成されました。 |
| TaskList の読み取り | TaskListRead | タスク リストが読み取られました。 |
| TaskList が更新されました | TaskListUpdated | タスク リストが更新されました。 |
| 招待されたユーザー | UserInvited | フォルダーにユーザーを招待しました。 |
Microsoft Viva Insightsアクティビティ
Viva Insightsでは、グループがorganization全体でどのように共同作業するかについての分析情報が提供されます。 次の表は、Viva Insightsで管理者ロールまたはアナリスト ロールが割り当てられているユーザーによって実行されるアクティビティの一覧です。 アナリストの役割が割り当てられたユーザーは、すべてのサービス機能に完全なアクセス権を持ち、製品を使用して分析を行います。 管理者ロールが割り当てられたユーザーは、プライバシー設定とシステムの既定値を構成でき、Viva Insightsの組織データを準備、アップロード、検証できます。 詳細については、「Microsoft Viva Insightsの概要」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| OData リンクのアクセス | AccessedOdataLink | アナリストはクエリの OData リンクにアクセスしました。 |
| クエリのキャンセル | CanceledQuery | アナリストはクエリの実行をキャンセルしました。 |
| 会議の除外の作成 | MeetingExclusionCreated | アナリストは会議の除外ルールを作成しました。 |
| 結果の削除 | DeletedResult | アナリストはクエリ結果を削除しました。 |
| レポートのダウンロード | DownloadedReport | アナリストはクエリ結果のファイルをダウンロードしました。 |
| クエリの実行 | ExecutedQuery | アナリストはクエリを実行しました。 |
| データ アクセス設定の更新 | UpdatedDataAccessSetting | 管理者はデータ アクセス設定を更新しました。 |
| プライバシー設定の更新 | UpdatedPrivacySetting | 管理更新されたプライバシー設定 (最小グループ サイズなど)。 |
| 組織データのアップロード | UploadedOrgData | 管理者は組織データのファイルをアップロードしました。 |
| ユーザーが*にログインしました | UserLoggedIn | ユーザーが自分の Microsoft 365 ユーザー アカウントにサインインしました。 |
| ユーザーが*からログオフしました | UserLoggedOff | ユーザーが Microsoft 365 ユーザー アカウントからサインアウトしました。 |
| 参照の表示 | ViewedExplore | アナリストは、1 つまたは複数の参照ページ タブで視覚エフェクトを表示しました。 |
注:
*Microsoft Entraサインインおよびサインオフ アクティビティ イベントは、ユーザーがサインインするときに作成されます。 このアクティビティは、organizationでViva Insightsがオンになっていない場合でもログに記録されます。 ユーザー サインイン アクティビティの詳細については、「Microsoft Entra IDでのサインイン ログ」を参照してください。
個人的な分析情報のアクティビティ
次の表に、Microsoft 365 監査ログに記録される個人用分析情報のアクティビティを示します。 個人の分析情報の詳細については、「個人分析情報の管理 ガイド」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新された組織の MyAnalytics 設定 | UpdatedOrganizationMyAnalyticsSettings | 管理は、個人の分析情報のorganizationレベルの設定を更新します。 |
| 更新されたユーザーの MyAnalytics 設定 | UpdatedUserMyAnalyticsSettings | 管理は、個人分析情報のユーザー設定を更新します。 |
検疫アクティビティ
次の表に、監査ログで検索できる検疫アクティビティを示します。 検疫の詳細については、「メール メッセージの検疫」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 削除された検疫メッセージ | QuarantineDeleteMessage | 管理者またはユーザーが、有害と見なされたメール メッセージを削除しました。 |
| 検疫メッセージのリリース要求が拒否されました | QuarantineReleaseRequestDeny | 有害と見なされた電子メール メッセージに対するユーザーからのリリース要求に対する管理者拒否。 |
| エクスポートされた検疫メッセージ | QuarantineExport | 管理者またはユーザーが、有害と見なされるメール メッセージをエクスポートしました。 |
| プレビューされた検疫メッセージ | QuarantinePreview | 管理者またはユーザーが、有害と見なされるメール メッセージをプレビューしました。 |
| 解放された検疫メッセージ | QuarantineRelease | 管理者またはユーザーが、有害と見なされるメール メッセージを検疫からリリースしました。 |
| リリース要求検疫メッセージ | QuarantineReleaseRequest | ユーザーは、有害と見なされる電子メール メッセージのリリースを要求しました。 |
| 表示された検疫メッセージのヘッダー | QuarantineViewHeader | 管理者またはユーザーは、有害と見なされた電子メール メッセージをヘッダーに表示しました。 |
アクティビティを報告する
次の表に、Microsoft 365 監査ログに記録される使用状況レポートのアクティビティを示します。
| フレンドリ名 | 操作名 | 説明 |
|---|---|---|
| 使用状況レポートのプライバシー設定が更新されました | UpdateUsageReportsPrivacySetting | 管理者が使用状況レポートのプライバシー設定を更新しました。 |
アイテム保持ポリシーと保持ラベルのアクティビティ
次の表では、アイテム保持ポリシーと保持ラベルが作成、再構成、または削除された場合の構成アクティビティについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 変更済みのアダプティブ スコープ メンバーシップ | ApplicableAdaptiveScopeChange | ユーザー、サイト、またはグループがアダプティブ スコープに追加または削除されました。 これらの変更は、スコープのクエリを実行した結果です。 変更はシステムで行われたため、報告されたユーザーはユーザー アカウントではなく GUID で表示されます。 |
| アイテム保持ポリシーの構成された設定 | NewRetentionComplianceRule | 管理者が新しいアイテム保持ポリシーの保持設定を構成しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、New-RetentionComplianceRule コマンドレットの実行にも対応します。 |
| 作成されたアダプティブ スコープ | NewAdaptiveScope | 管理者がアダプティブ スコープを作成しました。 |
| 作成された保持ラベル | NewComplianceTag | 管理者が新しい保持ラベルを作成しました。 |
| アイテム保持ポリシーが作成されました | NewRetentionCompliancePolicy | 管理者が新しいアイテム保持ポリシーを作成しました。 |
| 削除されたアダプティブ スコープ | RemoveAdaptiveScope | 管理者がアダプティブ スコープを削除しました。 |
| アイテム保持ポリシーから削除された設定 | RemoveRetentionComplianceRule |
管理者がアイテム保持ポリシーの構成設定を削除しました。 ほとんどの場合、このアクティビティは、管理者がアイテム保持ポリシーを削除した場合、または Remove-RetentionComplianceRule コマンドレット を実行した場合に記録されます。 |
| 削除された保持ラベル | RemovecomplianceTag | 管理者が保持ラベルを削除しました。 |
| 削除されたアイテム保持ポリシー | RemoveRetentionCompliancePolicy |
管理者がアイテム保持ポリシーを削除しました。 |
| 保持ラベルの規制レコード オプションを有効にする |
SetRestrictiveRetentionUI | 管理者が Set-RegulatoryComplianceUI コマンドレットを実行したため、管理者は保持ラベルの UI 構成オプションを選択して、コンテンツを規制レコードとしてマークできます。 |
| 更新済みのアダプティブ スコープ | SetAdaptiveScope | 管理者が既存のアダプティブ スコープの説明またはクエリを変更しました。 |
| アイテム保持ポリシーの更新された設定 | SetRetentionComplianceRule | 管理者が既存のアイテム保持ポリシーの保持設定を変更しました。 保持設定には、アイテムを保持する期間、保持期間が終了した際のアイテムへの処理 (アイテムの削除、保持、またはアイテムの保持と削除など)が含まれます。 このアクティビティは、Set-RetentionComplianceRule コマンドレットの実行にも対応しています。 |
| 更新された保持ラベル | SetComplianceTag | 管理者が既存の保持ラベルを更新しました。 |
| 更新アイテム保持ポリシー | SetRetentionCompliancePolicy | 管理者が既存のアイテム保持ポリシーを更新しました。 このイベントをトリガーする更新には、アイテム保持ポリシーが適用されるコンテンツの場所の追加または除外が含まれます。 |
役割管理アクティビティ
次の表は、管理者がMicrosoft 365 管理センターまたは Azure 管理ポータルで管理者ロールを管理するときにログに記録されるロール管理アクティビティMicrosoft Entra一覧です。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 役割にメンバーが追加されました | 役割にメンバーを追加しました。 | Microsoft 365 の管理者の役割にユーザーが追加されました。 |
| ディレクトリ ロールからのユーザーの削除 | 役割からメンバーを削除します。 | Microsoft 365 の管理者の役割からユーザーが削除されました。 |
| 会社の連絡先情報の設定 | 会社の連絡先情報を設定します。 | 組織の会社レベルの連絡先設定が更新されました。 これには、Microsoft 365 によって送信されるサブスクリプション関連のメールのメール アドレスと、サービスに関する技術的な通知が含まれます。 |
機密情報の種類のアクティビティ
次の表では、 機密情報の種類の作成と更新に関連するアクティビティの監査イベントについて説明します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 新しく作成された機密情報の種類 | CreateRulePackage/ EditRulePackage* | 新しい機密情報の種類が 作成されました。 これには、 既定の SIT をコピーして作成されたすべての SID が含まれます。 注: このアクティビティは、監査アクティビティ '作成済みルール パッケージ' または '編集済みルール パッケージ' の下に表示されます。 |
| 機密情報の種類を編集しました | EditRulePackage | 既存の機密情報の種類が編集されました。 これには、パターンの追加/削除、機密情報の種類に関連付けられている正規表現/キーワード (keyword)の編集などの操作が含まれます。 メモ: このアクティビティは、監査アクティビティ "編集済みルール パッケージ" の下に表示されます。 |
| 機密情報の種類を削除しました | EditRulePackage/ RemoveRulePackage | 既存の機密情報の種類が削除されました。 メモ: このアクティビティは、監査アクティビティ "編集されたルール パッケージ" または "削除されたルール パッケージ" の下に表示されます。 |
機密ラベル アクティビティ
次の表に、Microsoft Purview によって管理されているサイトとアイテムで 秘密度ラベル を使用した結果のイベントを示します。 アイテムには、ドキュメント、電子メール、予定表イベントが含まれます。 自動ラベル付けポリシーの場合、アイテムにはファイルとスキーマ化されたデータ資産もMicrosoft Purview データ マップに含まれます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイトに適用された機密ラベル | SiteSensitivityLabelApplied | グループに接続されていない SharePoint サイトまたは Teams サイトに秘密度ラベルが適用されました。 |
| サイトから削除された機密ラベル | SiteSensitivityLabelRemoved | グループに接続されていない SharePoint サイトまたは Teams サイトから秘密度ラベルが削除されました。 |
| ファイルに適用された機密ラベル | FileSensitivityLabelApplied SensitivityLabelApplied |
Microsoft 365 アプリ、Office on the web、または自動ラベル付けポリシーを使用して、秘密度ラベルがアイテムに適用されました。 このアクティビティの操作は、ラベルの適用方法によって異なります。 - Office on the webまたは自動ラベル付けポリシー (FileSensitivityLabelApplied) - Microsoft 365 アプリ (SensitivityLabelApplied) |
| ファイルに適用された機密ラベルの変更 | FileSensitivityLabelChanged SensitivityLabelUpdated |
項目に別の秘密度ラベルが適用されました。 このアクティビティの操作は、ラベルの変更方法によって異なります。 - Office on the webまたは自動ラベル付けポリシー (FileSensitivityLabelChanged) - Microsoft 365 Apps (SensitivityLabelUpdated) |
| サイトで変更された機密ラベル | SiteSensitivityLabelChanged | グループに接続されていない SharePoint サイトまたは Teams サイトに、別の秘密度ラベルが適用されました。 |
| ファイルから削除された機密ラベル | FileSensitivityLabelRemoved SensitivityLabelRemoved |
Microsoft 365 アプリ、Office on the web、自動ラベル付けポリシー、または Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを使用して、秘密度ラベルがアイテムから削除されました。 このアクティビティの操作は、ラベルが削除された方法によって異なります。 - Office on the webまたは自動ラベル付けポリシー (FileSensitivityLabelRemoved) - Microsoft 365 アプリ (SensitivityLabelRemoved) |
秘密度ラベルの追加の監査情報:
- Microsoft 365 グループに秘密度ラベルを使用し、そのためグループに接続されている Teams サイトを使用すると、ラベルはMicrosoft Entra IDのグループ管理で監査されます。 詳細については、「Microsoft Entra IDでのログの監査」を参照してください。
- Teams 会議出席依頼と Teams 会議オプションとチャットに秘密度ラベルを使用する場合は、「Microsoft Teams のイベントの監査ログをSearchする」を参照してください。
- Power BI で秘密度ラベルを使用する場合は、「Power BI での秘密度ラベルのスキーマの監査」を参照してください。
- クラウド アプリのMicrosoft Defenderで秘密度ラベルを使用する場合は、「接続されたアプリの管理」とファイル ガバナンス アクションのラベル付け情報に関するページを参照してください。
- Microsoft Purview 情報保護 クライアントまたはスキャナー、または Microsoft Information Protection (MIP) SDK を使用して秘密度ラベルを適用する場合は、「Azure Information Protection監査ログ リファレンス」を参照してください。
SharePoint リスト アクティビティ
次の表では、ユーザーが SharePoint Online のリストとリストアイテムを操作する際に関連するアクティビティを説明します。 一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| リストの作成 | ListCreated | ユーザーが SharePoint リストを作成しました。 |
| リスト列の作成 | ListColumnCreated | ユーザーが SharePoint リスト列を作成しました。 リスト列は、1 つまたは複数の SharePoint リストに関連付けられている列です。 |
| リスト コンテンツ タイプの作成 | ListContentTypeCreated | ユーザーがリスト コンテンツ タイプを作成しました。 リスト コンテンツ タイプは、1 つまたは複数の SharePoint リストに関連付けられているコンテンツ タイプです。 |
| リスト アイテムの作成 | ListItemCreated | ユーザーが既存の SharePoint リストにアイテムを作成しました。 |
| サイト列の作成 | SiteColumnCreated | ユーザーが SharePoint サイト列を作成しました。 サイト列とは、リストに関連付けられていない列のことです。 サイト列は、特定の Web のすべてのリストで使用できるメタデータ構造でもあります。 |
| サイト コンテンツ タイプの作成 | サイトの ContentType の作成 | ユーザーがサイト コンテンツ タイプを作成しました。 サイト コンテンツ タイプは、親サイトに関連付けられているコンテンツ タイプです。 |
| リストの削除 | ListDeleted | ユーザーが SharePoint リストを削除しました。 |
| リスト列の削除 | 削除されたリスト列 | ユーザーが SharePoint リスト列を削除しました。 |
| リスト コンテンツ タイプの削除 | ListContentTypeDeleted | ユーザーがリスト コンテンツ タイプを削除しました。 |
| リスト アイテムの削除 | 削除されたリスト アイテム | ユーザーが SharePoint リスト アイテムを削除しました。 |
| サイト列の削除 | SiteColumnDeleted | ユーザーが SharePoint サイト列を削除しました。 |
| サイト コンテンツ タイプの削除 | SiteContentTypeDeleted | ユーザーがサイト コンテンツ タイプを削除しました。 |
| リスト アイテムのリサイクル | ListItemRecycled | ユーザーが SharePoint リスト アイテムをごみ箱に移動しました。 |
| リストの復元 | ListRestored | ユーザーが SharePoint リストをごみ箱から復元しました。 |
| リスト アイテムの復元 | ListItemRestored | ユーザーが SharePoint リスト アイテムをごみ箱から復元しました。 |
| リストの更新 | ListUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リストを更新しました。 |
| リスト列の更新 | ListColumnUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト列を更新しました。 |
| リスト コンテンツ タイプの更新 | ListContentTypeUpdated | ユーザーが 1 つ以上のプロパティを変更してリスト コンテンツ タイプを更新しました。 |
| リスト アイテムの更新 | ListItemUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint リスト アイテムを更新しました。 |
| サイト列の更新 | SiteColumnUpdated | ユーザーが 1 つ以上のプロパティを変更して SharePoint サイト列を更新しました。 |
| サイト コンテンツ タイプの更新 | SiteContentTypeUpdated | ユーザーが 1 つ以上のプロパティを変更してサイト コンテンツ タイプを更新しました。 |
共有アクティビティとアクセス要求アクティビティ
次の表では、SharePoint Online および OneDrive for Business でのユーザー共有とアクセス要求アクティビティを説明します。 共有イベントの場合、[結果] の [詳細] 列で、アイテムを共有したユーザーまたはグループの名前と、そのユーザーまたはグループが組織のメンバーかゲストかが識別されます。 詳細については、「監査ログで共有監査を使用する」を参照してください。
注:
ユーザーは、ユーザー オブジェクトの UserType プロパティに基づいて メンバー または ゲスト にすることができます。 メンバーは通常従業員であり、ゲストは通常、organization外のコラボレーターです。 ユーザーが共有の招待を受け入れると (まだorganizationに含まれていない)、organizationのディレクトリにゲスト アカウントが作成されます。 ゲスト ユーザーがディレクトリにアカウントを持った後は、リソースを直接共有できます (招待は必要ありません)。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイト コレクションへのアクセス許可レベルの追加 | PermissionLevelAdded | サイト コレクションにアクセス許可レベルが追加されました。 |
| アクセス要求の承諾 | AccessRequestAccepted | サイト、フォルダー、またはドキュメントに対するアクセス要求が承諾されて、要求したユーザーがアクセスを許可されました。 |
| 共有への招待の承諾 | SharingInvitationAccepted | ユーザー (メンバーまたはゲスト) は共有の招待を受け入れ、リソースへのアクセスを許可されました。 このイベントには、招待されたユーザーと、招待を受け入れるために使用されたメール アドレスに関する情報が含まれます (異なる場合があります)。 このアクティビティには、多くの場合、リソースへのアクセス権がユーザーに付与された方法を説明する 2 つ目のイベントが伴います。たとえば、リソースへのアクセス権を持つグループにユーザーを追加するなどです。 |
| 共有の招待がブロックされました | SharingInvitationBlocked | ターゲット ユーザーのドメインに基づいて外部共有を許可または拒否する外部共有ポリシーが原因で、organizationのユーザーから送信された共有招待がブロックされます。 この場合、次の理由で共有の招待がブロックされました。 ターゲット ユーザーのドメインが、許可されたドメインの一覧に含まれていない。 または ターゲット ユーザーのドメインが、ブロックするドメインの一覧に含まれている。 ドメインに基づく外部共有の許可またはブロックの詳細については、「SharePoint Online and OneDrive for Business での制限付きドメイン共有」を参照してください。 |
| アクセス要求の作成 | AccessRequestCreated | アクセス許可がないサイト、フォルダー、またはドキュメントに対するアクセスをユーザーが要求しました。 |
| 会社の共有可能なリンクの作成 | CompanyLinkCreated | ユーザーは、リソースへの会社全体のリンクを作成しました。 会社全体のリンクは、organizationのメンバーのみが使用できます。 ゲストは使用できません。 |
| 匿名リンクの作成 | AnonymousLinkCreated | ユーザーがリソースへの匿名リンクを作成しました。 このリンクを持つすべてのユーザーは、認証を受けなくてもリソースにアクセスできます。 |
| セキュリティで保護されたリンクの作成 | SecureLinkCreated | セキュリティで保護された、このアイテムへの共有リンクが作成されました。 |
| 共有への招待の作成 | SharingInvitationCreated | ユーザーが、組織のディレクトリ内に含まれていないユーザーと SharePoint Online または OneDrive for Business のリソースを共有しました。 |
| セキュリティで保護されたリンクの削除 | SecureLinkDeleted | セキュリティで保護されたリンクが削除されました。 |
| アクセス要求の拒否 | AccessRequestDenied | サイト、フォルダー、またはドキュメントに対するアクセスが拒否されました。 |
| 会社の共有可能なリンクが削除されました | CompanyLinkRemoved | ユーザーは、リソースへの会社全体のリンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。 |
| 匿名リンクの削除 | AnonymousLinkRemoved | ユーザーがリソースへの匿名リンクを削除しました。 リンクを使用してリソースにアクセスできなくなります。 |
| ファイル、フォルダー、サイトが共有されました | SharingSet | ユーザー (メンバーまたはゲスト) が、組織のディレクトリ内のユーザーと SharePoint または OneDrive for Business のファイル、フォルダー、またはサイトを共有しました。 このアクティビティの [詳細] 列の値で、リソースを共有したユーザー名と、そのユーザーがメンバーかゲストかが識別されます。 多くの場合、このアクティビティには、リソースに対してどのようなアクセス権がユーザーに付与されたか、という 2 つ目のイベントが伴います。 たとえば、リソースへのアクセス権を持つグループへのユーザーの追加などです。 |
| アクセス要求の更新 | AccessRequestUpdated | アイテムに対するアクセス要求が更新されました。 |
| 匿名リンクの更新 | AnonymousLinkUpdated | ユーザーがリソースへの匿名リンクを更新しました。 更新されたフィールドは、検索結果をエクスポートするときに EventData プロパティに含まれます。 |
| 共有への招待の更新 | SharingInvitationUpdated | 外部共有への招待が更新されました。 |
| 匿名リンクの使用 | AnonymousLinkUsed | 匿名ユーザーは、匿名リンクを使用してリソースにアクセスしました。 ユーザーの ID が不明である可能性がありますが、ユーザーの IP アドレスなど、他の詳細を取得できます。 |
| ファイル、フォルダー、またはサイトの共有解除 | SharingRevoked | ユーザー (メンバーまたはゲスト) が、以前別のユーザーと共有していたファイル、フォルダー、またはサイトの共有を解除しました。 |
| 会社の共有可能なリンクの使用 | CompanyLinkUsed | ユーザーが全社的なリンクを使用してリソースにアクセスしました。 |
| セキュリティで保護されたリンクの使用 | SecureLinkUsed | ユーザーが、セキュリティで保護されたリンクを使用しました。 |
| セキュリティで保護されたリンクへのユーザーの追加 | AddedToSecureLink | ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧に追加されました。 |
| セキュリティで保護されたリンクからのユーザーの削除 | RemovedFromSecureLink | ユーザーが、セキュリティで保護された共有リンクを使用できるエンティティの一覧から削除されました。 |
| 共有への招待の取り消し | SharingInvitationRevoked | ユーザーが、リソースの共有への招待を取り消しました。 |
サイト管理アクティビティ
次の表では、SharePoint Online 内のサイト管理タスクによって発生するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 許可されるデータの場所の追加 | AllowedDataLocationAdded | SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を追加しました。 |
| 適用除外ユーザー エージェントの追加 | ExemptUserAgentSet | SharePoint 管理者またはグローバル管理者が、SharePoint 管理センターで適用除外ユーザー エージェントの一覧にユーザー エージェントを追加しました。 |
| 地理的位置の管理者の追加 | GeoAdminAdded | SharePoint 管理者またはグローバル管理者が、地理的位置の管理者としてユーザーを追加しました。 |
| ユーザーに対するグループ作成の許可 | AllowGroupCreationSet | サイトの管理者または所有者がアクセス許可レベルをサイトに追加しました。そのアクセス許可が割り当てられているユーザーは、そのサイトのグループを作成することが許可されます。 |
| サイトの地域の移動の取り消し | SiteGeoMoveCancelled | SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にキャンセルしました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| 共有ポリシーの変更 | SharingPolicyChanged | SharePoint またはグローバル管理者が、Microsoft 365 管理センター、SharePoint 管理センター、または SharePoint Online 管理シェルを使用して SharePoint 共有ポリシーを変更しました。 組織の共有ポリシーの設定が変更されると、ログに記録されます。 変更されたポリシーは、イベント レコードの詳細なプロパティの ModifiedProperties フィールドで識別されます。 |
| デバイス アクセス ポリシーの変更 | DeviceAccessPolicyChanged | SharePoint またはグローバル管理者が、組織の非管理対象デバイス ポリシーを変更しました。 このポリシーは、組織に参加していないデバイスからの SharePoint、OneDrive、および Microsoft 365 へのアクセスを制御します。 このポリシーを構成するには、Enterprise Mobility + Security サブスクリプションが必要です。 詳細については、「非管理対象デバイスからのアクセスを制御する」を参照してください。 |
| 適用除外ユーザー エージェントの変更 | CustomizeExemptUsers | SharePoint またはグローバル管理者は、SharePoint 管理センターで除外ユーザー エージェントの一覧をカスタマイズしました。 インデックスを作成する Web ページ全体の受信の対象外とするユーザー エージェントを指定できます。 つまり、除外として指定したユーザー エージェントが InfoPath フォームを検出すると、フォームは Web ページ全体ではなく XML ファイルとして返されます。 これにより、InfoPath フォームのインデックス作成の時間が短縮されます。 |
| ネットワーク アクセス ポリシーの変更 | NetworkAccessPolicyChanged | SharePoint またはグローバル管理者は、SharePoint 管理センターまたは SharePoint Online PowerShell を使用して、場所ベースのアクセス ポリシー (信頼されたネットワーク境界とも呼ばれます) を変更しました。 この種類のポリシーは、指定した承認された IP アドレス範囲に基づいて、organization内の SharePoint および OneDrive リソースにアクセスできるユーザーを制御します。 詳細については、「 ネットワークの場所に基づいて SharePoint Online と OneDrive データへのアクセスを制御する」を参照してください。 |
| 完了した移行ジョブ | MigrationJobCompleted | 移行ジョブが正常に完了しました。 |
| サイトの地域の移動の完了 | SiteGeoMoveCompleted | 組織のグローバル管理者がスケジュールしたサイトの地域の移動が正常に完了しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| 送信接続の作成 | SendToConnectionAdded | SharePoint またはグローバル管理者は、SharePoint 管理センターのレコード管理ページに新しい Send To 接続を作成します。 送信先接続では、ドキュメントのリポジトリまたはレコード センターの設定を指定します。 送信先接続を作成する際、コンテンツ オーガナイザーはドキュメントを指定した場所に送信できます。 |
| サイト コレクションの作成 | SiteCollectionCreated | SharePoint 管理者または全体管理者が、SharePoint Online 組織でサイト コレクションを作成したか、ユーザーが OneDrive for Business サイトをプロビジョニングしました。 |
| 孤立したハブ サイトの削除 | HubSiteOrphanHubDeleted | SharePoint 管理者またはグローバル管理者が、孤立したハブサイトを削除しました。これは、それに関連付けられているサイトがないハブサイトです。 孤立したハブは、元のハブサイトの削除が原因である可能性が大きいです。 |
| 送信接続の削除 | SendToConnectionRemoved | SharePoint 管理者または全体管理者が、SharePoint 管理センターの [レコード管理] ページで、送信接続を削除しました。 |
| サイトの削除 | SiteDeleted | サイト管理者がサイトを削除しました。 |
| ドキュメント プレビューの有効化 | PreviewModeEnabledSet | サイト管理者がサイトのドキュメントのプレビューを有効にしました。 |
| レガシー ワークフローの有効化 | LegacyWorkflowEnabledSet | サイト管理者または所有者が、SharePoint 2013 ワークフロー タスク コンテンツの種類をサイトに追加します。 グローバル管理者は、SharePoint 管理センターの組織全体のワーク フローを有効にすることもできます。 |
| オンデマンドでの Office の有効化 | OfficeOnDemandSet | サイト管理者は、Office オンデマンドを有効にします。これによりユーザーは、Office デスクトップ アプリケーションの最新バージョンにアクセスできます。 Office オンデマンドは SharePoint 管理センターで有効にされ、インストール済みのすべての Office アプリケーションを含む Microsoft 365 サブスクリプションを必要とします。 |
| 人の検索の検索先の有効化 | PeopleResultsScopeSet | サイト管理者が、サイトの人の検索の検索先を作成しました。 |
| RSS フィードの有効化 | NewsFeedEnabledSet | サイト管理者または所有者は、サイトの RSS フィードを有効にします。 グローバル管理者は、SharePoint 管理センターで組織全体の RSS フィードを有効にできます。 |
| サイトのハブサイトへの結合 | HubSiteJoined | サイト所有者が、サイトをハブサイトに関連付けました。 |
| サイト コレクション クォータの変更 | SiteCollectionQuotaModified | サイト管理者は、サイト コレクションのクォータを変更します。 |
| ハブサイトの登録 | HubSiteRegistered | SharePoint またはグローバル管理者がハブ サイトを作成しました。 その結果、サイトがハブ サイトとして登録されます。 |
| 許可されるデータの場所の削除 | AllowedDataLocationDeleted | SharePoint 管理者またはグローバル管理者が、複数地域環境で許可されるデータの場所を削除しました。 |
| 地理的位置の管理者の削除 | GeoAdminDeleted | SharePoint 管理者またはグローバル管理者が、ユーザーの地理的位置の管理者の役割を削除しました。 |
| サイトの名前変更 | SiteRenamed | サイトの管理者または所有者がサイトの名前を変更しました |
| サイトの地域の移動のスケジュール設定 | SiteGeoMoveScheduled | SharePoint またはグローバル管理者が SharePoint または OneDrive サイトの地域の移動を正常にスケジュール設定しました。 複数地域機能を使用すると、組織が複数の Microsoft データセンターの場所にまたがることができます。これは「地域」と呼ばれます。 詳細については、「OneDrive および SharePoint Online の複数地域機能」を参照してください。 |
| ホスト サイトの設定 | HostSiteSet | SharePoint 管理者または全体管理者が、個人用サイトまたは OneDrive for Business サイトをホストするために指定されたサイトを変更しました。 |
| 地理的位置のストレージ クォータの構成 | GeoQuotaAllocated | SharePoint 管理者またはグローバル管理者が、複数地域環境での地理的位置のストレージ クォータを構成しました。 |
| サイトのハブサイトへの結合解除 | HubSiteUnjoined | サイト所有者が、ハブサイトへのサイトの関連付けを解除しました。 |
| ハブサイトの登録解除 | HubSiteUnregistered | SharePoint またはグローバル管理者が、ハブサイトとしてのサイトの登録を解除しました。 ハブサイトが解除されると、そのサイトはハブサイトとして機能しなくなります。 |
サイトの権限のアクティビティ
次の表では、SharePoint でのアクセス許可の割り当てとグループの使用によるサイトへのアクセス権の付与に関連するイベントを一覧表示します。 前に説明したように、一部の SharePoint アクティビティの監査レコードは、ユーザーがアクションを開始したユーザーまたは管理者に代わってアクティビティを実行したapp@sharepointを示します。 詳細については、「監査レコード内の app@sharepoint ユーザー」を参照してください。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| サイト コレクション管理者の追加 | SiteCollectionAdminAdded | サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを追加します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 このアクティビティは、SharePoint 管理センターでユーザー プロファイルを編集するか Microsoft 365 管理センターを使用することにより、管理者がユーザーの OneDrive アカウントへのアクセス権限を自分自身に付与する際にも記録されます。 |
| SharePoint グループへのユーザーまたはグループの追加 | AddedToGroup | ユーザーが SharePoint グループにメンバーまたはゲストを追加しました。 これは意図的なアクションか、共有イベントなどの別のアクティビティの結果である可能性があります。 |
| アクセス許可レベルの継承の停止 | PermissionLevelsInheritanceBroken | アイテムが変更されたので、アクセス許可レベルが親から継承されなくなりました。 |
| 共有の継承の停止 | SharingInheritanceBroken | アイテムが変更されたので、共有アクセス許可が親から継承されなくなりました。 |
| グループの作成 | GroupAdded | サイト管理者または所有者は、サイトのグループを作成するか、グループが作成されるタスクを実行します。 たとえば、ユーザーがファイルを共有するためのリンクを初めて作成すると、システム グループがユーザーの OneDrive for Business に追加されます。 このイベントは、ユーザーが共有ファイルに対して編集のアクセス許可を持つリンクを作成する結果として発生することもあります。 |
| グループの削除 | GroupRemoved | ユーザーがサイトからグループを削除しました。 |
| アクセス要求の設定の変更 | WebRequestAccessModified | サイトでアクセス要求の設定が変更されました。 |
| [メンバーが共有可能] 設定の変更 | WebMembersCanShareModified | サイトで [メンバーが共有可能] 設定が変更されました。 |
| サイト コレクションのアクセス許可レベルの変更 | PermissionLevelModified | サイト コレクションでアクセス許可レベルが変更されました。 |
| サイト アクセス許可の変更 | SitePermissionsModified | サイト管理者または所有者 (またはシステム アカウント) がサイトのグループに割り当てられたアクセス許可レベルを変更しました。 すべてのアクセス許可がグループから削除された場合も、このアクティビティが記録されます。 注: この操作は、SharePoint Online で廃止されました。 関連するイベントを見つけるには、サイト コレクション管理者の追加、SharePoint グループへのユーザーまたはグループの追加、ユーザーに対するグループ作成の許可、グループの作成、グループの削除などのその他のアクセス許可関連のアイテムを検索することができます。 |
| サイト コレクションからのアクセス許可レベルの削除 | PermissionLevelRemoved | サイト コレクションからアクセス許可レベルが削除されました。 |
| サイト コレクション管理者の削除 | SiteCollectionAdminRemoved | サイト コレクション管理者または所有者が、サイトのサイト コレクション管理者としてユーザーを削除します。 このアクティビティは、(SharePoint 管理センターでユーザー プロファイルを編集することにより) 管理者がユーザーの OneDrive アカウントのサイト コレクション管理者のリストから自分自身を削除する際にも記録されます。 監査ログの検索結果にこのアクティビティを返すには、すべてのアクティビティを検索する必要があります。 |
| SharePoint グループからのユーザーまたはグループの削除 | RemovedFromGroup | ユーザーが SharePoint グループからメンバーまたはゲストを削除しました。 これは意図的なアクションか、非共有イベントなどの別のアクティビティの結果である可能性があります。 |
| サイト管理者アクセス許可の要求 | SiteAdminChangeRequest | ユーザーは、サイト コレクションのサイト コレクション管理者として追加するように要求します。 サイト コレクション管理者には、サイト コレクションとすべてのサブサイトのフル コントロール権限があります。 |
| 共有の継承の復元 | SharingInheritanceReset | 変更が加えられたので、共有アクセス許可が親から継承されなくなりました。 |
| グループの更新 | GroupUpdated | サイト管理者または所有者は、サイトのグループの設定を変更します。 これには、グループ名の変更、グループのメンバーシップを表示または変更できるユーザーの変更、およびメンバーシップ要求の処理方法の変更があります。 |
同期アクティビティ
次の表では、SharePoint Online および OneDrive for Business 内のファイル同期アクティビティを一覧表示します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| コンピューターによってファイルの同期が許可されました | ManagedSyncClientAllowed | ユーザーがサイトとの同期関係を正常に確立しました。 ユーザーのコンピューターが、組織内のドキュメント ライブラリにアクセスできるドメインのリスト (宛先セーフ リストと呼ばれる) に追加されているドメインのメンバーであるため、同期関係は成功しました。 この機能の詳細については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。 |
| コンピューターに対するファイル同期のブロック | UnmanagedSyncClientBlocked | ユーザーは、organizationのドメインのメンバーではないコンピューター、またはorganization内のドキュメント ライブラリにアクセスできるドメインの一覧 (安全な受信者リストと呼ばれる) に追加されていないドメインのメンバーであるコンピューターから、サイトとの同期関係を確立しようとします。 同期関係は許可されておらず、ユーザーのコンピューターはドキュメント ライブラリ上のファイルの同期、ダウンロード、またはアップロードをブロックされます。 この機能については、「Windows PowerShell コマンドレットを使用して宛先セーフ リスト上のドメインに対して OneDrive 同期を有効にする」 を参照してください。 |
| コンピューターへのファイルのダウンロード | FileSyncDownloadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business からコンピューターにファイルをダウンロードします。 |
| コンピューターへのファイル変更のダウンロード | FileSyncDownloadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
| ファイルがドキュメント ライブラリにアップロードされました | FileSyncUploadedFull | ユーザーは、OneDrive 同期アプリ (OneDrive.exe) を使用して、SharePoint ドキュメント ライブラリまたは OneDrive for Business に新しいファイルまたはファイルへの変更をアップロードします。 |
| ドキュメント ライブラリへのファイル変更のアップロード | FileSyncUploadedPartial | このイベントは、古い OneDrive for Business 同期アプリ (Groove.exe) とともに非推奨になりました。 |
SystemSync アクティビティ
次の表に、Microsoft 365 監査ログに記録される SystemSync のアクティビティを示します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成済の Data Share | DataShareCreated | データ エクスポートがユーザーによって作成された場合。 |
| 削除済みの Data Share | DataShareDeleted | データ エクスポートがユーザーによって削除された場合。 |
| Lake Data のコピーを生成する | GenerateCopyOfLakeData | Lake Data のコピーが生成された場合。 |
| Lake Data のコピーをダウンロードする | DownloadCopyOfLakeData | Lake Data のコピーがダウンロードされた場合。 |
ユーザー管理アクティビティ
次の表では、管理者が Microsoft 365 管理センターまたは Azure 管理ポータルを使用してユーザー アカウントを追加または変更したときに記録されるユーザー管理アクティビティを一覧表示します。
注:
次の表の [操作] 列にリストされている操作名には、ピリオド ( . ) が含まれています。 監査ログの検索、監査保持ポリシーの作成、アラート ポリシーの作成、またはアクティビティ アラートの作成時に PowerShell コマンドで操作を指定する場合は、操作名にピリオドを含める必要があります。 また、操作名を含める場合は、二重引用符 (" ") を使用してください。
| アクティビティ | 操作 | 説明 |
|---|---|---|
| ユーザーが追加されました | ユーザーを追加します。 | ユーザー アカウントが作成されました。 |
| ユーザー ライセンスの変更 | ユーザー ライセンスを変更します。 | 変更されたユーザーに割り当てられたライセンス。 変更されたライセンスを確認するには、対応する更新された ユーザー アクティビティを参照してください。 |
| ユーザー パスワードが変更されました | ユーザー パスワードを変更します。 | ユーザーがパスワードを変更します。 ユーザーがパスワードをリセットするには、組織内のすべてのユーザーまたは選択したユーザーに対して、セルフサービスパスワードリセットを有効にする必要があります。 Microsoft Entra IDでセルフサービス パスワード リセット アクティビティを追跡することもできます。 詳細については、「Microsoft Entra パスワード管理のレポート オプション」を参照してください。 |
| ユーザーの削除 | ユーザーを削除します。 | ユーザー アカウントが削除されました。 |
| Reset user password | ユーザー パスワードを再設定します。 | 管理者がユーザーのパスワードを再設定します。 |
| ユーザーへパスワードの変更を強制するプロパティの設定 | ユーザー パスワードの強制変更を設定します。 | 管理者が、ユーザーが次に Microsoft 365 にサインインしたときにパスワードを強制的に変更させるプロパティを設定しました。 |
| Set license properties | ライセンス プロパティを設定する | 管理者が、ユーザーに割り当てられたライセンスのプロパティを変更しました。 |
| ユーザーの更新 | ユーザーを更新します。 | 管理者は、ユーザー アカウントの 1 つ以上のプロパティを変更します。 更新できるユーザー プロパティの一覧については、「レポート イベントの監査」の「ユーザー属性の更新」セクションMicrosoft Entra参照してください。 |
Viva Goalsアクティビティ
次の表に、監査のためにログに記録されるViva Goalsのユーザーアクティビティと管理者アクティビティを示します。 テーブルには、[アクティビティ] 列に表示されるフレンドリ名と、検索結果をエクスポートするときに監査レコードの詳細情報と CSV ファイルに表示される対応する操作の名前が含まれます。
監査ログをSearch、Microsoft Purview ポータルとコンプライアンス ポータルから監査ログを検索する方法について詳しく説明します。 ユーザーは、グローバル管理者であるか、監査ログにアクセスするための監査読み取りアクセス許可を持っている必要があります。 [アクティビティ] フィルターを使用すると、特定のアクティビティを検索したり、[レコードの種類] フィルターで [VivaGoals] を選択できるすべてのViva Goalsアクティビティを一覧表示したりできます。 日付範囲ボックスと [ユーザー] リストを使用して、検索結果をさらに絞り込むこともできます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 作成された組織 | 作成された組織 | 管理またはユーザーがViva Goalsに新しいorganizationを作成しました。 |
| ユーザーの追加 | ユーザーの追加 | Viva Goalsのorganizationに新しいユーザーが追加されました。 |
| 非アクティブ化されたユーザー | 非アクティブ化されたユーザー | ユーザーがorganizationで非アクティブ化されました。 |
| ユーザーが削除されました | ユーザーが削除されました | ユーザーがViva Goalsのorganizationから削除されました。 |
| ユーザーがにログインしました | ユーザーがにログインしました | ユーザーがViva Goalsにログインしました。 |
| チームが追加されました | チームが追加されました | Viva Goalsのorganization内に新しいチームが作成されました。 |
| チームが更新されました | チームが更新されました | Viva Goalsのorganization内のチームが変更または更新されました。 |
| チームが削除されました | チームが削除されました | Viva Goalsのorganization内のチームがユーザーによって削除されました。 |
| エクスポートされたデータ | エクスポートされたデータ | ユーザーが、Viva Goalsのorganizationで OKR の一覧またはユーザーの一覧をエクスポートしました。 |
| Goals ポリシーが更新されました | Goals ポリシーが更新されました | グローバル管理者は、Viva Goalsのテナント レベルでポリシーまたは設定を変更しました。 たとえば、グローバル管理者は、Viva Goalsで組織を作成できるユーザーを構成しています。 |
| 組織の設定が更新されました | 組織の設定が更新されました | ユーザー (通常は組織の所有者または管理者) が、Viva Goalsの特定organization設定を更新しました。 |
| 組織の統合が更新されました | 組織の統合が更新されました | ユーザー (通常は組織の所有者または管理者) は、サード パーティ統合を構成しているか、Viva Goals上のorganizationの既存のサード パーティ統合を更新しました。 |
| OKR またはプロジェクトが作成されました | OKR またはプロジェクトが作成されました | ユーザーは、Viva Goalsで OKR またはプロジェクトを作成しました。 |
| OKR またはプロジェクトが更新されました | OKR またはプロジェクトが更新されました | OKR/Project が変更されたか、ユーザーまたはViva Goalsの統合によってチェックが行われました。 |
| OKR またはプロジェクトが削除されました | OKR またはプロジェクトが削除されました | ユーザーが OKR またはプロジェクトを削除しました。 |
| 作成されたダッシュボード | 作成されたダッシュボード | ユーザーがViva Goalsに新しいダッシュボードを作成しました |
| ダッシュボードが更新されました | ダッシュボードが更新されました | ユーザーがViva Goalsのダッシュボードを更新しました |
| ダッシュボードが削除されました | ダッシュボードが削除されました | ユーザーがViva Goalsのダッシュボードを削除しました。 |
Viva Engageアクティビティ
次の表に、監査ログに記録されるViva Engageのユーザーアクティビティと管理者アクティビティを示します。 監査ログからViva Engage関連するアクティビティを返すには、[アクティビティ] 一覧のすべてのアクティビティの結果を表示するを選択する必要があります。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。
注:
一部のViva Engage監査アクティビティは、監査 (Premium) でのみ使用できます。 つまり、これらのアクティビティが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 詳細については 監査 (プレミアム) を参照してください。 監査 (プレミアム) のライセンス要件については、「Microsoft 365 での監査ソリューション」を参照してください。
次の表では、監査 (プレミアム) アクティビティがアスタリスク (*) で強調表示されています。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| データの保持ポリシーが変更されました | SoftDeleteSettingsUpdated | 確認済みの管理者は、ネットワーク データ保持ポリシーの設定を [ハード削除] または [論理的な削除] に更新します。 この操作を実行できるのは、確認済みの管理者のみです。 |
| ネットワークの構成の変更 | NetworkConfigurationUpdated | ネットワークまたは検証済みの管理者は、Viva Engage ネットワークの構成を変更します。 これには、データのエクスポート間隔の設定とチャットの有効化が含まれます。 |
| ネットワーク プロファイル設定の変更 | ProcessProfileFields | ネットワーク管理者または認証管理者が、ネットワーク ユーザーのネットワークのメンバー プロファイルに表示される情報を変更しました。 |
| プライベート コンテンツ モードの変更 | SupervisorAdminToggled | 確認済みの管理者は 、プライベート コンテンツ モード のオンとオフを切り替えます。 管理者は、このモードを使用して、プライベート グループの投稿や、各ユーザー (またはユーザーのグループ) 間のプライベート メッセージを閲覧できます。 この操作を実行できるのは、認証管理者のみです。 |
| セキュリティの構成が変更されました | NetworkSecurityConfigurationUpdated | 検証された管理者は、Viva Engage ネットワークのセキュリティ構成を更新します。 これには、パスワードの有効期限ポリシーの設定と IP アドレスに対する制限が含まれます。 この操作を実行できるのは、確認済みの管理者のみです。 |
| ファイルの作成 | FileCreated | ユーザーがファイルをアップロードしました。 |
| グループの作成 | GroupCreation | ユーザーがグループを作成しました。 |
| メッセージの作成* | MessageCreated | ユーザーがメッセージを作成しました。 |
| グループの削除 | GroupDeletion | グループがViva Engageから削除されます。 |
| メッセージの削除 | MessageDeleted | ユーザーがメッセージを削除しました。 |
| ファイルのダウンロード | FileDownloaded | ユーザーがファイルをダウンロードしました。 |
| データのエクスポート | DataExport | 検証された管理者は、ネットワーク データViva Engageエクスポートします。 この操作を実行できるのは、確認済みの管理者のみです。 |
| コミュニティへのアクセスに失敗しました* | CommunityAccessFailure | ユーザーはコミュニティへのアクセスに失敗しました。 |
| ファイルへのアクセスに失敗しました* | FileAccessFailure | ユーザーはファイルへのアクセスに失敗しました。 |
| メッセージへのアクセスに失敗しました* | MessageAccessFailure | ユーザーはメッセージへのアクセスに失敗しました。 |
| メッセージに反応しました | MarkedMessageChanged | ユーザーがメッセージに反応しました。 |
| ファイルの共有 | FileShared | ユーザーが別のユーザーとファイルを共有しました。 |
| ネットワーク ユーザーの一時停止 | NetworkUserSuspended | ネットワーク管理者または検証済み管理者は、ユーザーをViva Engageから一時停止 (非アクティブ化) します。 |
| ユーザーの一時停止 | UserSuspension | ユーザー アカウントが一時停止 (非アクティブ化) されました。 |
| ファイルの説明の更新 | FileUpdateDescription | ユーザーがファイルの説明を変更しました。 |
| ファイル名の更新 | FileUpdateName | ユーザーがファイルの名前を変更しました。 |
| メッセージの更新* | MessageUpdated | ユーザーがメッセージを更新しました。 |
| ファイルの表示 | FileVisited | ユーザーがファイルを表示しました。 |
| メッセージの表示* | MessageViewed | ユーザーがメッセージを表示しました。 |
カスタマー ロックボックス アクティビティのWindows 365
次の表に、監査ログに記録される Customer Lockbox Windows 365ユーザーアクティビティと管理者アクティビティを示します。 監査ログから顧客ロックボックス関連のアクティビティWindows 365返すには、[レコードの種類] で [Windows365CustomerLockbox] を選択します。 日付範囲のボックスと [ユーザー] リストを使用して、検索結果を絞り込みます。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| デバイスの修復をトリガーする | デバイスの修復をトリガーする | デバイスの修復をトリガーします。 |
| フォルダーを BLOB にアップロードする | フォルダーを BLOB にアップロードする | 顧客のデバイスのフォルダーを圧縮して BLOB にアップロードします。 |
| PowerShell 実行ポリシーを確認する | PowerShell 実行ポリシーを確認する | PowerShell 実行ポリシーを確認します。 |
| RD エージェントをインストールする | RD エージェントをインストールする | ユーザーのデバイスに RD エージェントをインストールします。 |
| ハイブリッド AADJ 拡張機能を実行する | ハイブリッド AADJ 拡張機能を実行する | ユーザーのデバイスでハイブリッド AADJ 拡張機能を実行します。 |
| VmExtension 要求を作成する | VmExtention 要求を作成する | VM 拡張機能を実行して顧客デバイスでカスタム スクリプトを実行する VM 拡張機能要求を作成します。 |
| トリガー オーケストレーター | トリガー オーケストレーター | ユーザーのオーケストレーターをトリガーします。 |
| SaaF による汎用アクションのトリガー | SaaF による汎用アクションのトリガー | ユーザーのデバイス アクション (リターゲット、EnableRdpAccessForCitrix、DisableRdpAccessFprCitrix) をトリガーします。 |
| 汎用アクションをトリガーする | 汎用アクションをトリガーする | ユーザーのデバイス アクションをトリガーします。 |
| オプションを使用して汎用アクションをトリガーする | オプションを使用して汎用アクションをトリガーする | 一般的なアクションをトリガーするよりも強力なオプション パラメーターを使用してデバイス アクションをトリガーします。 |
| 新しい作業項目を作成する (Scheduler) | 新しい作業項目を作成する (Scheduler) | 新しい作業項目 (プロビジョニング、プロビジョニング解除、再プロビジョニングなど) を作成します。 |
| リモート アクション操作の後 | リモート アクション操作の後 | リモート アクションを投稿し、GetActions 操作によって結果をポーリングします。 |
| OCE VM でコマンドを実行する | OCE VM でコマンドを実行する | tenantID、deviceID リスト、スクリプトでコマンドを実行します。 |
| LogCollection 要求を作成する | LogCollection 要求を作成する | Cloud PC へのログ収集要求を作成します。 |
| CMD エージェントカナリア チェックをトリガーします。 | CMD エージェントカナリア チェックをトリガーします。 | 特定のデバイスで CMD エージェントカナリア チェックをトリガーします。 |
| AppHealthPlugin を実行する | AppHealthPlugin を実行する | AppHealthPlugin を実行します。 |
| バックフィル CMD エージェント | AddDevicesToBackfill 操作 | Cloud PC 上の CMD エージェントをバックフィルします。 |
| CMD エージェントを再インストールする | AddDevicesToReinstall 操作 | 必要に応じて CMD エージェントを再インストールします。 |
| CMD エージェントを一括再インストールする | TriggerClientAgentCheckBulkAction 操作 | 必要に応じて CMD エージェントを一括で再インストールします。 |
| ActionModeratorService でリモート アクション操作を作成する | ActionModeratorService でリモート アクション操作を作成する | tenantID、workspaceID、actionType、actionParameters によってリモート アクションを作成します。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示