監査ログの保持ポリシーを管理する

  • [アーティクル]

Microsoft Purview コンプライアンス ポータルで監査ログの保持ポリシーを作成および管理できます。 監査ログの保持ポリシーは、新しい Microsoft Purview 監査 (プレミアム) 機能の一部です。 監査ログの保持ポリシーでは、組織の監査ログを保持する期間を指定できます。 監査ログは、最大 10 年間保持できます。 次の条件を基にしてポリシーを作成できます。

  • 1 つまたは複数の Microsoft 365 サービスのすべてのアクティビティ
  • すべてのユーザーまたは特定のユーザーによって実行された (Microsoft 365 サービス内の) 特定のアクティビティ
  • 優先度レベルは、組織内に複数のポリシーがある場合に、どのポリシーが優先されるかを指定する

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

既定の監査ログの保持ポリシー

Microsoft 365 の監査 (プレミアム) には、すべての組織の既定の監査ログの保持ポリシーが用意されています。 このポリシーは、Exchange Online、SharePoint Online、OneDrive for Business、および Azure Active Directory のすべての監査レコードを 1 年間保持します。 この既定のポリシーでは、Workload プロパティ (アクティビティが発生したサービス) の AzureActiveDirectoryExchangeOneDriveSharePoint の値を含む監査レコードが保持されます。 既定のポリシーは変更できません。 既定のポリシーに含まれている各ワークロードのレコード種類の一覧については、この記事の「詳細情報」を参照してください。

注:

既定の監査ログの保持ポリシーは、Office 365 または Microsoft 365 E5 ライセンスが割り当てられているユーザー、または Microsoft 365 E5 コンプライアンスまたは Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持つユーザーが実行したアクティビティの監査レコードにのみ適用されます。 組織に E5 以外のユーザーまたはゲスト ユーザーがいる場合、こうしたユーザーに対応する監査レコードは 90 日間保持されます。

監査ログの保持ポリシーを作成する前に

  • 監査保持ポリシーを作成または変更するには、コンプライアンス ポータルの組織構成の役割を割り当てる必要があります。

  • 組織では、最大 50 個の監査ログの保持ポリシーを設定できます。

  • 監査ログを 90 日以上 (最大 1 年) 保持するには、(監査されるアクティビティの実行により) 監査ログを生成したユーザーに Office 365 E5 または Microsoft 365 E5 ライセンスを割り当てるか、または Microsoft 365 E5 Compliance または E5 eDiscovery および監査アドオン ライセンスが必要です。 監査ログを 10 年間保持するには、監査ログを生成するユーザーに対して、E5 ライセンスに加えて、10 年間の監査ログ保持のアドオン ライセンスも割り当てられる必要があります。

    注:

    監査ログを生成するユーザーがこれらのライセンス要件を満たしていない場合、データは最も優先度の高い保持ポリシーに従って保持されます。 これは、ユーザーのライセンスの既定のアイテム保持ポリシーか、ユーザーとそのレコードの種類に一致する最も優先度の高いポリシーのいずれかです。

  • 組織によって作成されるすべてのカスタム監査ログの保持ポリシーは、既定の保持ポリシーよりも優先されます。 たとえば、保持期間が 1 年未満の Exchange メールボックス アクティビティに対して監査ログの保持ポリシーを作成すると、Exchange メールボックス アクティビティの監査レコードは、カスタム ポリシーで指定されている短い期間保持されます。

監査ログの保持ポリシーを作成する

  1. https://compliance.microsoft.com に移動し、コンプライアンス ポータルの [アクセス許可] ページで組織構成の役割が割り当てられているユーザー アカウントでサインインします。

  2. コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します

  3. [ 監査の保持ポリシー ] タブを選択します。

  4. [ 監査アイテム保持ポリシーの作成] を選択し、ポップアップ ページで次のフィールドに入力します。

    新しい監査保持ポリシーのポップアップ ページ。

    1. ポリシー名: 監査ログの保持ポリシーの名前です。 この名前は組織内で一意である必要があり、ポリシーの作成後に変更することはできません。

    2. 説明: 省略可能ですが、レコードの種類やワークロード、ポリシーで指定されたユーザー、期間など、ポリシーに関する情報を提供するのに役立ちます。

    3. ユーザー: ポリシーを適用する 1 人以上のユーザーを選択します。 このボックスを空白のままにすると、ポリシーがすべてのユーザーに適用されます。 レコードの種類を空白のままにする場合は、ユーザーを選択する必要があります。

    4. レコードの種類: ポリシーの適用対象となる監査レコードの種類です。 このプロパティを空白のままにする場合は、[ユーザー] ボックスでユーザーを選択する必要があります。 1 つまたは複数のレコードの種類を選択できます。

      • 単一のレコードの種類を選択した場合は、[アクティビティ] フィールドが動的に表示されます。 ドロップダウン リストを使用して、選択したレコードの種類からポリシーを適用するアクティビティを選択できます。 特定のアクティビティを選択しない場合は、選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。
      • 複数のレコードの種類を選択した場合、アクティビティを選択することはできません。 選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。

    5. 期間: ポリシーの条件を満たす監査ログの保持期間です。

    6. ポリシー: この値は、組織内の監査ログの保持ポリシーが処理される順序を決定します。 値が小さいほど、高い優先度を示します。 有効な優先度は、1 から 10000 までの数値です。 値 1 が最高の優先度であり、値 10000 が最低の優先度です。 たとえば、値が 5 のポリシーは、値が 10 のポリシーよりも優先されます。 前述のとおり、カスタム監査ログの保持ポリシーは、組織の既定ポリシーよりも優先されます。

  5. [ 保存] を 選択して、新しい監査ログ保持ポリシーを作成します。

新しいポリシーは、[監査保持ポリシー] タブの一覧に表示されます。

コンプライアンス ポータルで監査ログの保持ポリシーを管理する

監査ログの保持ポリシーは、[監査保持ポリシー] タブ (ダッシュボードとも呼ばれる) に一覧表示されます。 ダッシュボードを使用して、監査保持ポリシーを表示、編集、および削除できます。

ダッシュボードでポリシーを表示する

監査ログの保持ポリシーはダッシュボードに一覧表示されます。 ダッシュボードでポリシーを表示する利点の 1 つは、[ 優先度 ] 列を選択して、ポリシーが適用されている優先順位のポリシーを一覧表示できることです。 前に説明したように、値が低いほど、高い優先度を示します。

監査保持ポリシー ダッシュボードの [優先度] 列。

また、ポリシーを選択して、その設定をポップアップ ページに表示することもできます。

注:

組織の既定の監査ログの保持ポリシーはダッシュボードに表示されません。

ダッシュボードでポリシーを編集する

ポリシーを編集するには、ポリシーを選択してポップアップ ページを表示します。 1 つ以上の設定を変更してから、変更を保存できます。

重要

New-UnifiedAuditLogRetentionPolicy コマンドレットを使用すると、ダッシュボードの [監査保持ポリシーの作成] ツールでは使用できないレコードの種類またはアクティビティの監査ログ保持ポリシーを作成できます。 この場合、[監査保持ポリシー] ダッシュボードからポリシーを編集 (保持期間の変更やアクティビティの追加と削除など) することはできません。 Microsoft Purview コンプライアンス ポータルでは、ポリシーを表示したり、削除したりすることはできません。 ポリシーを編集するには、セキュリティ & コンプライアンス PowerShell で Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用する必要があります。>

ヒント: PowerShell を使用して編集する必要があるポリシーのメッセージがポップアップ ページの上部に表示されます。

ダッシュボードでポリシーを削除する

ポリシーを削除するには、[削除] アイコンを選択し、ポリシーを削除することを確認します。 ポリシーはダッシュボードから削除されますが、ポリシーが組織から削除されるまでに最大 30 分かかる場合があります。

PowerShell で監査ログの保持ポリシーを作成して管理する

セキュリティ & コンプライアンス PowerShell を使用して、監査ログ保持ポリシーを作成および管理することもできます。 PowerShell を使用する理由の 1 つは、UI で使用できないレコードの種類またはアクティビティのポリシーを作成することです。

PowerShell で監査ログの保持ポリシーを作成する

PowerShell で監査ログの保持ポリシーを作成するには、次の手順を実行します。

  1. セキュリティ & に接続するコンプライアンス PowerShell

  2. 次のコマンドを実行して監査ログの保持ポリーを作成します。

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    この例では、次の設定を使用して「Microsoft Teams 監査ポリシー」という名前の監査ログの保持ポリシーを作成します。

    • ポリシーの説明。
    • Microsoft Teams のすべてのアクティビティ (RecordType パラメーターで定義) を保持します。
    • Microsoft Teams 監査ログを 10 年間保持します。
    • 優先度が 100 の場合。

監査ログの保持ポリシーを作成するもう 1 つの例を示します。 このポリシーでは、ユーザーの "ログインユーザー" アクティビティの監査ログが admin@contoso.onmicrosoft.com6 か月間保持されます。

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

詳細については、「New-UnifiedAuditLogRetentionPolicy」を参照してください。

PowerShell でポリシーを表示する

セキュリティ & コンプライアンス PowerShell の Get-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログ保持ポリシーを表示します。

組織においてすべての監査ログの保持ポリシーの設定を表示するコマンドの例を以下に示します。 このコマンドを実行すると、ポリシーが優先度の高い順に並べ替えられます。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注:

Get-UnifiedAuditLogRetentionPolicy コマンドレットは、組織の既定の監査ログの保持ポリシーを返しません。

PowerShell でポリシーを編集する

セキュリティ & コンプライアンス PowerShell の Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、既存の監査ログ保持ポリシーを編集します。

PowerShell でポリシーを削除する

監査ログ保持ポリシーを削除するには、セキュリティ & コンプライアンス PowerShell の Remove-UnifiedAuditLogRetentionPolicy コマンドレットを使用します。 組織からポリシーが削除されるまで、最大 30 分かかる場合があります。

詳細情報

前述のように、Azure Active Directory、Exchange Online、SharePoint Online、および OneDrive for Business での運用に関する監査レコードは、既定で 1 年間保持されます。 次の表に、既定の監査ログの保持ポリシーに含まれるすべてのレコードの種類 (これらのサービスごと) を示します。 つまり、特定のレコードの種類、動作、またはユーザーに対してカスタム監査ログの保持ポリシーが優先されない限り、このレコードの種類の動作の監査ログは 1 年間保持されます。 各レコードの種類の Enum 値 (監査レコード内の RecordType プロパティの値として表示される) はかっこ内に表示されます。


AzureActiveDirectory Exchange SharePoint または OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Campaign (62) Project (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)