監査のオンとオフを切り替える

Microsoft 365 および Office 365 エンタープライズ組織では、監査ログが既定で有効になります。 ただし、新しいMicrosoft 365 またはOffice 365組織を設定する場合は、組織の監査状態を確認する必要があります。 手順については、この記事 の「組織の監査状態の確認 」セクションを参照してください。

Microsoft Purview コンプライアンス ポータルの監査が有効になっている場合、組織のユーザーと管理者のアクティビティが監査ログに記録され、ユーザーに割り当てられたライセンスに応じて最大 1 年間、90 日間保持されます。 ただし、組織には、監査ログ データを記録して保持したくない理由が考えられます。 このような場合、グローバル管理者は、Microsoft 365 で監査をオフにすることを決定できます。

重要

Microsoft 365 で監査をオフにした場合、Office 365管理アクティビティ API または Microsoft Sentinel を使用して組織の監査データにアクセスすることはできません。 この記事の手順に従って監査をオフにすると、コンプライアンス ポータルを使用して監査ログを検索したり、PowerShell で Search-UnifiedAuditLog コマンドレットを実行したりしても結果Exchange Online返されません。 これは、Office 365管理アクティビティ API または sentinel Microsoftを使用して監査ログを使用できないことも意味します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

監査をオンまたはオフにする前に

  • Microsoft 365 組織で監査を有効または無効にするには、Exchange Onlineの監査ログ ロールを割り当てる必要があります。 既定では、このロールは Exchange 管理センターの [アクセス許可] ページの [コンプライアンス管理] および [組織の管理] 役割グループに割り当てられます。 Microsoft 365 のグローバル管理者は、Exchange Onlineの *Organization Management ロール グループのメンバーです。

    注:

    監査を有効または無効にするには、Exchange Onlineでユーザーにアクセス許可を割り当てる必要があります。 コンプライアンス ポータルの [アクセス許可] ページでユーザーに監査ログ ロールを割り当てると、監査のオンとオフを切り替えることはできません。 これは、基になるコマンドレットが PowerShell コマンドレットExchange Onlineであるためです。

  • 監査ログを検索する手順については、「監査ログ を検索する」を参照してください。

  • Microsoft 365 Management Activity API の詳細については、「Microsoft 365 Management API の概要」を参照してください。

組織の監査状態を確認する

組織の監査が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行できます。

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled プロパティの True 値は、監査が有効になっていることを示します。 の False 値は、監査が有効になっていないことを示します。

注:

PowerShell で前のコマンドExchange Online実行してください。 セキュリティ & コンプライアンス PowerShell を使用してこのコマンドを実行することはできません。

監査を有効にする

組織の監査が有効になっていない場合は、コンプライアンス ポータルで、または PowerShell Exchange Online使用して有効にすることができます。 監査ログを検索するときに結果を返す前に、監査を有効にしてから数時間かかることがあります。

コンプライアンス ポータルを使用して監査を有効にする

  1. https://compliance.microsoft.com に移動し、サインインします。

  2. コンプライアンス ポータルの左側のナビゲーション ウィンドウで、[監査] を選択 します

    組織の監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。

    [監査] ページのバナー。

  3. [ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します

    変更が有効になるまでに最大 60 分かかる場合があります。

PowerShell を使用して監査を有効にする

  1. Exchange Online PowerShell に接続します

  2. 次の PowerShell コマンドを実行して、監査を有効にします。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    変更が有効になるまでに最大 60 分かかる可能性があることを示すメッセージが表示されます。

監査をオフにする

監査をオフにするには、powerShell Exchange Onlineを使用する必要があります。

  1. Exchange Online PowerShell に接続します

  2. 次の PowerShell コマンドを実行して、監査をオフにします。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. しばらくしてから、監査がオフになっていることを確認します (無効)。 このようにするには、次の 2 つの方法があります。

    • PowerShell Exchange Onlineで、次のコマンドを実行します。

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      UnifiedAuditLogIngestionEnabled プロパティの False 値は、監査がオフになっていることを示します。

    • コンプライアンス ポータルの [監査 ] ページに移動します。

      組織の監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。

監査状態が変更されたときの監査レコード

組織の監査状態に対する変更は、それ自体が監査されます。 つまり、監査レコードは、監査がオンまたはオフのときにログに記録されます。 Exchange 管理者監査ログでこれらの監査レコードを検索できます。

監査をオンまたはオフにするときに生成される監査レコードを Exchange 管理者監査ログで検索するには、Exchange Online PowerShell で次のコマンドを実行します。

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

これらのイベントの監査レコードには、監査状態がいつ変更されたか、変更した管理者、変更に使用されたコンピューターの IP アドレスに関する情報が含まれます。 次のスクリーンショットは、組織内の監査状態の変更に対応する監査レコードを示しています。

監査を有効にするための監査レコード

監査を有効にするための監査レコード

コマンドレットParameters プロパティの のConfirm値は、コンプライアンス ポータルで、または Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true コマンドレットを実行して、統合監査ログが有効になっていることを示します。

監査をオフにするための監査レコード

監査をオフにするための監査レコード

Confirm 値は 、CmdletParameters プロパティには含まれません。 これは、 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false コマンドを実行して、統合監査ログがオフになっていることを示します。

Exchange 管理者監査ログの検索の詳細については、「 Search-AdminAuditLog」を参照してください。