監査のオンとオフを切り替える
Microsoft 365 および Office 365 Enterprise 組織では、監査ログは既定でオンになっています。 ただし、新しい Microsoft 365 またはOffice 365組織を設定する場合は、組織の監査状態を確認する必要があります。 手順については、この記事 の「組織の監査状態の確認 」セクションを参照してください。
Microsoft Purview コンプライアンス ポータルの監査が有効になっている場合、組織のユーザーと管理者のアクティビティが監査ログに記録され、ユーザーに割り当てられたライセンスに応じて最大 1 年間、90 日間保持されます。 ただし、組織には、監査ログ データを記録して保持したくない理由が考えられます。 このような場合、グローバル管理者は Microsoft 365 で監査をオフにすることを決定できます。
重要
Microsoft 365 で監査をオフにした場合、Office 365管理アクティビティ API または Microsoft Sentinel を使用して組織の監査データにアクセスすることはできません。 この記事の手順に従って監査をオフにすると、コンプライアンス ポータルを使用して監査ログを検索したり、PowerShell で Search-UnifiedAuditLog コマンドレットを実行したりしても結果Exchange Online返されません。 これは、Office 365 Management Activity API または Microsoft Sentinel を介して監査ログを使用できないことも意味します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。
監査をオンまたはオフにする前に
Microsoft 365 組織で監査を有効または無効にするには、Exchange Onlineの監査ログ ロールを割り当てる必要があります。 既定では、このロールは Exchange 管理センターの [アクセス許可] ページの [コンプライアンス管理] および [組織の管理] 役割グループに割り当てられます。 Microsoft 365 のグローバル管理者は、Exchange Onlineの *Organization Management ロール グループのメンバーです。
注:
監査を有効または無効にするには、Exchange Onlineでユーザーにアクセス許可を割り当てる必要があります。 コンプライアンス ポータルの [アクセス許可] ページでユーザーに監査ログ ロールを割り当てると、監査のオンとオフを切り替えることはできません。 これは、基になるコマンドレットが PowerShell コマンドレットExchange Onlineであるためです。
監査ログを検索する手順については、「監査ログ を検索する」を参照してください。
Microsoft 365 Management Activity API の詳細については、「 Microsoft 365 Management API の概要」を参照してください。
組織の監査状態を確認する
組織の監査が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行できます。
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled プロパティの True 値は、監査が有効になっていることを示します。 の False 値は、監査が有効になっていないことを示します。
重要
PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットはセキュリティ & コンプライアンス PowerShell でも使用できますが、監査が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常Falseに です。
監査を有効にする
組織の監査が有効になっていない場合は、コンプライアンス ポータルで、または PowerShell Exchange Online使用して有効にすることができます。 監査ログを検索するときに結果を返す前に、監査を有効にしてから数時間かかることがあります。
コンプライアンス ポータルを使用して監査を有効にする
のMicrosoft Purview コンプライアンス ポータルでhttps://compliance.microsoft.com、[ソリューション監査] に移動します>。 または、[ 監査] ページに直接移動するには、 を使用します https://compliance.microsoft.com/auditlogsearch。
組織の監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
![[監査] ページのバナー。](../media/auditingbanner.png?view=o365-worldwide)
[ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します 。
変更が有効になるまでに最大 60 分かかる場合があります。
PowerShell を使用して監査を有効にする
次の PowerShell コマンドを実行して、監査を有効にします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true変更が有効になるまでに最大 60 分かかる可能性があることを示すメッセージが表示されます。
監査をオフにする
監査をオフにするには、powerShell Exchange Onlineを使用する必要があります。
次の PowerShell コマンドを実行して、監査をオフにします。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseしばらくしてから、監査がオフになっていることを確認します (無効)。 このようにするには、次の 2 つの方法があります。
PowerShell Exchange Onlineで、次のコマンドを実行します。
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledUnifiedAuditLogIngestionEnabled プロパティの
False値は、監査がオフになっていることを示します。コンプライアンス ポータルの [監査 ] ページに移動します。
組織の監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
監査状態が変更されたときの監査レコード
組織の監査状態に対する変更は、それ自体が監査されます。 つまり、監査レコードは、監査がオンまたはオフのときにログに記録されます。 Exchange 管理者監査ログでこれらの監査レコードを検索できます。
監査をオンまたはオフにするときに生成される監査レコードを Exchange 管理者監査ログで検索するには、Exchange Online PowerShell で次のコマンドを実行します。
Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled
これらのイベントの監査レコードには、監査状態がいつ変更されたか、変更した管理者、変更に使用されたコンピューターの IP アドレスに関する情報が含まれます。 次のスクリーンショットは、組織内の監査状態の変更に対応する監査レコードを示しています。
監査を有効にするための監査レコード
コマンドレットParameters プロパティの のConfirm値は、コンプライアンス ポータルで、または Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true コマンドレットを実行して、統合監査ログが有効になっていることを示します。
監査をオフにするための監査レコード
の Confirm 値は 、CmdletParameters プロパティには含まれません。 これは、 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false コマンドを実行して、統合監査ログがオフになっていることを示します。
Exchange 管理者監査ログの検索の詳細については、「 Search-AdminAuditLog」を参照してください。