コンプライアンス ポータルで監査ログを検索する
ユーザーが特定のドキュメントを表示したかどうか、またはメールボックスからアイテムを削除したかどうかを確認する必要がありますか。 その場合は、Microsoft Purview コンプライアンス ポータルで監査ログ検索を使用して統合監査ログを検索し、組織内のユーザーと管理者のアクティビティを確認できます。 何十もの Microsoft 365 サービスやソリューションで実行された何千ものユーザーや管理者の操作は、組織の統一された監査ログにキャプチャされ、記録されて保持されます。 組織内のユーザーは、監査ログ検索ツールを使用して、これらの操作の監査レコードを検索、表示、(CSV ファイルに) エクスポートできます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
監査をサポートする Microsoft 365 サービス
なぜ統合監査ログが必要なのか さまざまな Microsoft 365 サービスで実行されるアクティビティを監査ログで検索できるからです。 次の表に、統合監査ログでサポートされている Microsoft 365 のサービス、アプリ、機能を示します。
| Microsoft 365 サービスまたは機能 | レコードの種類 |
|---|---|
| Azure Active Directory | AzureActiveDirectory、AzureActiveDirectoryAccountLogon、AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover、AipSensitivityLabelAction、AipProtectionAction、AipFileDeleted、AipHeartBeat |
| コミュニケーション コンプライアンス | ComplianceSupervisionExchange |
| コンテンツ エクスプローラー | LabelContentExplorer |
| データ コネクタ | ComplianceConnector |
| データ損失防止 (DLP) | ComplianceDLPSharePoint、ComplianceDLPExchange、DLPEndpoint |
| Dynamics 365 | CRM |
| 電子情報開示 (Standard + Premium) | 検出、AeD |
| 暗号化されたメッセージ ポータル | OMEPortal |
| 完全に一致するデータ | MipExactDataMatch |
| Exchange Online | ExchangeAdmin、ExchangeItem、ExchangeItemAggregated |
| フォーム | MicrosoftForms |
| 情報バリア | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation、AirManualInvestigation、AirAdminActionInvestigation、MS365DCustomDetection |
| Microsoft Defenderエキスパート | DefenderExpertsforXDRAdmin |
| Microsoft Defender for Identity (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Planner | PlannerCopyPlan、PlannerPlan、PlannerPlanList、PlannerRoster、PlannerRosterSensitivityLabel、PlannerTask、PlannerTaskList、PlannerTenantSettings |
| Microsoft Project for the web | ProjectAccessed、ProjectCreated、ProjectDeleted、ProjectTenantSettingsUpdated、ProjectUpdated、RoadmapAccessed、RoadmapCreated、RoadmapDeleted、RoadmapItemAccessed、RoadmapItemCreated、RoadmapItemDeleted、RoadmapItemUpdated、RoadmapTenantSettingsUpdated、RoadmapUpdated、TaskCreated、TaskDeleted、TaskUpdated、TaskUpdated |
| Microsoft Purview 情報保護 (MIP) ラベル | MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem、MipAutoLabelSharePointPolicyLocation |
| Microsoft Teams | MicrosoftTeams |
| Microsoft To Do | MicrosoftToDo、MicrosoftToDoAudit |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive for Business | OneDrive |
| Power Apps | PowerAppsApp、PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| 検疫する | 検疫する |
| 機密情報の種類 | DlpSensitiveInformationType |
| 秘密度ラベル | MIPLabel、SensitivityLabelAction、SensitivityLabeledFileAction、SensitivityLabelPolicyMatch |
| SharePoint Online | SharePoint、SharePointFileOperation、SharePointSharingOperation、SharePointListOperation、SharePointCommentOperation |
| ストリーム | MicrosoftStream |
| SystemSync | DataShareCreated、DataShareDeleted、GenerateCopyOfLakeData、DownloadCopyOfLakeData |
| 脅威インテリジェンス | ThreatIntelligence、ThreatIntelligenceUrl、ThreatFinder、ThreatIntelligenceAtpContent |
| Viva Goals | Viva Goals |
| Workplace Analytics | WorkplaceAnalytics |
| Yammer | Yammer |
前の表に示した各サービスで監査される操作の詳細については、 ログ アクティビティの監査 に関する記事を参照してください。
前の表では、Exchange Online PowerShell または PowerShell スクリプトを使用してSearch-UnifiedAuditLog コマンドレットを使用して、対応するサービス内のアクティビティの監査ログを検索するために使用するレコードの種類の値も示しています。 一部のサービスには、同じサービス内のさまざまな種類のアクティビティに対して複数のレコードの種類があります。 監査レコードの種類のより完全なリストについては、「Office 365 マネージメント アクティビティ API スキーマ」を参照してください。
PowerShell を使用して監査ログを検索する方法の詳細については、以下を参照してください。
監査ログを検索する前に
監査ログの検索を開始する前に、次の項目を確認してください。
Microsoft 365 および Office 365 Enterprise 組織では、監査ログ検索は規定でオンになっています。 監査ログ検索が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行できます。
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledUnifiedAuditLogIngestionEnabled プロパティの値
Trueは、監査ログ検索が有効になっていることを示します。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。重要
PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットはセキュリティ & コンプライアンス PowerShell でも使用できますが、監査ログ検索が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常
Falseに です。監査ログを検索するには、Exchange Onlineの [監査ログの表示のみ] または [監査ログ] ロールを割り当てる必要があります。 既定では、これらの役割は、Exchange 管理センターの [アクセス許可] ページで、コンプライアンス管理および組織管理の役割グループに割り当てられます。 Office 365 および Microsoft 365 のグローバル管理者は、Exchange Online の組織管理の役割グループのメンバーとして自動的に追加されます。 ユーザーに最小限の特権レベルで監査ログを検索できるようにするには、Exchange Onlineでカスタム ロール グループを作成し、ビューのみの監査ログまたは監査ログ ロールを追加し、そのユーザーを新しいロール グループのメンバーとして追加します。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。
コンプライアンス ポータルの [アクセス許可] ページでユーザーに監査ログまたは監査ログのView-Onlyロールを割り当てると、監査ログを検索できなくなります。 Exchange Online でアクセス許可を割り当てる必要があります。 これは、監査ログの検索に使用される基本のコマンドレットが ExchangeOnline コマンドレットだからです。
監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査レコードが保持される時間 (および監査ログで検索可能) の長さは、Office 365またはMicrosoft 365 Enterpriseサブスクリプション、具体的には特定のユーザーに割り当てられているライセンスの種類によって異なります。
Office 365 E5 または Microsoft 365 E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 Compliance または Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持っているユーザー) の場合、Azure Active Directory、Exchange、および SharePoint アクティビティの監査レコードは、既定で 1 年間保持されます。 また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
注:
監査レコードを 1 年間保持するプライベート プレビュー プログラムに参加した場合、一般提供のロールアウト日前に生成された監査レコードの保持期間はリセットされません。
その他 (E5 以外) の Office 365 または Microsoft 365 ライセンスが割り当てられているユーザーの場合、監査レコードは 90 日間保持されます。 統合監査ログをサポートするOffice 365と Microsoft 365 サブスクリプションの一覧については、セキュリティおよびコンプライアンス ポータル サービスの説明を参照してください。
注:
既定でメールボックス監査がオンになっている場合でも、コンプライアンス ポータルの監査ログ検索やOffice 365管理アクティビティ API を使用して、一部のユーザーのメールボックス監査イベントが見つからない場合があります。 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。
組織の監査ログ検索をオフにしたい場合は、Exchange Online PowerShell で次のコマンドを実行します。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false監査検索を再度有効にするには、Exchange Online PowerShell で次のコマンドを実行できます。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true詳細については、「監査ログの検索を無効にする」を参照してください。
監査ログの検索に使用される基になるコマンドレットは、Exchange Online コマンドレットです。これは Search-UnifiedAuditLog です。 つまり、コンプライアンス ポータルの [監査] ページにある検索ツールを使う代わりに、このコマンドレットを使用して監査ログを検索できます。 このコマンドレットは、Exchange Online PowerShell で実行する必要があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。
Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。
プログラムによって監査ログからデータをダウンロードする場合は、PowerShell スクリプトを使用するのではなく、Office 365 Management Activity API を使用することをお勧めします。 Office 365管理アクティビティ API は、organizationの運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用できる REST Web サービスです。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。
Azure Active Directory (Azure AD) は、Microsoft 365 のディレクトリ サービスです。 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。 Azure AD のイベントの全リストについては、「Azure Active Directory 監査レポートのイベント」を参照してください。
Microsoft は、イベント発生後に、対応する監査レコードが監査ログ検索の結果に返される時間を保証しません。 コア サービス (Exchange、SharePoint、OneDrive、Teams など) の場合、イベントの可用性は通常 60 分から 90 分です。 その他のサービスでは、監査レコードの可用性が長くなる可能性があります。 ただし、(サーバーの停止など) 避けられない問題の中には、監査レコードの可用性を遅延させる、監査サービスの外部で発生する避けられない問題もあります。 これらの理由により、Microsoft は時間を確約しておりません。
監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。
監査ログの検索
以下に、Microsoft 365 で監査ログを検索するためのプロセスを示します。
手順 1: 監査ログの検索を実行する
https://compliance.microsoft.com に移動し、サインインします。
ヒント
コンプライアンス ポータルにアクセスするには、プライベート閲覧セッション (通常のセッションではなく) を使用します。これにより、現在ログオンしている資格情報が使用されなくなります。 Microsoft Edge で InPrivate ブラウズ セッションを開くか、Google Chrome のプライベート ブラウズ セッション (シークレット ウィンドウと呼ばれる) を開くには、Ctrl + Shift + N キーを押します。
コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します。
[監査] ページが表示されます。
![条件を構成し、[検索] を選択してレポートを実行します。](../media/auditlogsearchpage1.png?view=o365-worldwide)
注:
[ユーザーと管理者のアクティビティの記録を開始する] リンクが表示される場合は、選択して監査を有効にします。 このリンクが表示されない場合、組織の監査機能は有効です。
[検索] タブで、次の検索条件を設定します。
- [開始日] と [終了日]: 既定で過去 7 日間が選択されています。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は協定世界時 (UTC) で表示されます。 指定できる日付範囲は最大 90 日です。 選択した日付範囲が 90 日間よりも大きい場合は、エラーが表示されます。
ヒント
90 日間の最大の日付範囲を使用している場合は、現在の時刻を [開始日] に選択します。 それ以外の場合は、開始日が終了日より前であることを示すエラーが表示されます。 過去 90 日以内に監査を有効にした場合、監査が有効になった日付より前に最大日付範囲を開始することはできません。
アクティビティ: ドロップダウン リストを選択して、検索できるアクティビティを表示します。 ユーザーと管理者のアクティビティが、関連するアクティビティのグループに編成されています。 特定のアクティビティを選択することも、アクティビティ グループ名を選択して、グループ内のすべてのアクティビティを選択することもできます。 選択したアクティビティを選択して、選択を解除することもできます。 検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。 [すべてのアクティビティの結果を表示] を選択すると、選択したユーザーまたはユーザーのグループによって実行されたすべてのアクティビティの結果が表示されます。
監査ログには、100 件以上のユーザーおよび管理者アクティビティが記録されます。 この記事の記事で [ 監査されたアクティビティ ] タブを選択すると、各サービスのすべてのアクティビティの説明が表示されます。ユーザー: このボックスで選択し、検索結果を表示する 1 人以上のユーザーを選択します。 このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。
[ファイル、フォルダー、またはサイト]: 指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索するには、ファイルまたはフォルダー名の一部またはすべてを入力します。 ファイルまたはフォルダーの URL を指定することもできます。 URL を使用する場合は、完全な URL パスを入力するか、URL の一部を入力する場合は、特殊文字やスペースを含めないでください (ただし、ワイルドカード文字 (*) の使用はサポートされています)。
組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。
ヒント
サイトに関連するすべてのアクティビティを探している場合は、URL の後にワイルドカード文字 (*) を追加して、そのサイトのすべてのエントリを返します。たとえば、
"https://contoso-my.sharepoint.com/personal*"です。ファイルに関連するすべてのアクティビティを探している場合は、 ファイル名の前にワイルドカード文字 (*) を追加して、そのファイルのすべてのエントリを返します。たとえば、
"*Customer_Profitability_Sample.csv"です。
[検索] を選択して、検索条件を使用して検索を実行します。
検索結果が読み込まれ、しばらくすると新しいページに表示されます。 検索が完了すると、検索結果の件数が表示されます。 イベント 150 件の増分で最大 50,000 件のイベントが表示されます。 検索条件を満たすイベントが 50,000 を超える場合は、返された 50,000 個の未ソート イベントのみが表示されます。
監査ログを検索するためのヒント
検索する特定のアクティビティを選択するには、アクティビティ名を選択します。 または、グループ名を選択して、グループ内のすべてのアクティビティ ( ファイルアクティビティやフォルダー アクティビティなど) を検索することもできます。 アクティビティが選択されている場合は、そのアクティビティを選択して、選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。
![[アクティビティ グループ名] を選択して、すべてのアクティビティを選択します。](../media/3cde97cb-6f35-47c0-8612-ecd9c6ac36a3.png?view=o365-worldwide)
Exchange 管理者監査ログのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。 この監査ログのイベントには、結果の [アクティビティ] 列にコマンドレット名 (Set-Mailbox など) が表示されます。 詳細については、この記事の [ 監査されたアクティビティ ] タブを選択し、[ Exchange 管理者アクティビティ] を選択します。
同様に、[アクティビティ] 一覧に対応する項目がない一部の監査アクティビティがあります。 これらのアクティビティ向けの操作の名前がわかっている場合は、すべてのアクティビティを検索し、検索結果を CSV ファイルにエクスポートしてから操作をフィルター処理します。
[クリア] を選択すると、現在の検索条件がクリアされます。 日付の範囲が、過去 7 日間の既定値に戻ります。 [すべてクリア] を選択 して、すべてのアクティビティの結果を表示 して、選択したすべてのアクティビティを取り消すこともできます。
50,000 件の結果が見つかった場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 検索条件を絞り込んで検索を再実行して返す結果を少なくするか、[結果のエクスポート] [すべての結果のダウンロード] を選択して 50,000 件の検索結果をエクスポート>できます。
手順 2: 検索結果を表示する
[監査ログの検索] ページの [結果] に監査ログの検索の結果が表示されます。 前に述べたように、最大 50,000 の (最新の) イベントが 150 イベントずつ表示されます。 次の 150 件のイベントを表示するには、スクロール バーを使用するか、Shift + End を押します。
検索結果には、検索によって返された各イベントに関する次の情報が含まれます。
日付: イベントが発生した日時 (UTC)。
[IP アドレス]: アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。
注:
一部のサービスでは、このフィールドに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの管理者のアクティビティ (またはシステムアカウントによって実行されるアクティビティ) の場合、IP アドレスはログに記録されず、このフィールドに表示される値は
nullになります。[ユーザー]: イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。
[アクティビティ]: ユーザーが実行したアクティビティ。 この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。 Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。
[アイテム]: 対応するアクティビティの結果として作成または変更されたオブジェクト。 たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。 すべてのアクティビティにこの列の値があるとは限りません。
[詳細]: アクティビティに関する追加の詳細。 ここでも、すべてのアクティビティに値があるとは限りません。
ヒント
[結果] の列見出しを選択して結果を並べ替えます。 A から Z または Z から A で結果を並べ替えることができます。最も古いものから最も新しいものに結果を並べ替えるには、[日付] 見出しを選択します。
特定のイベントの詳細を表示する
イベントの詳細情報を表示するには、検索結果一覧のイベント レコードを選択します。 イベント レコードの詳細なプロパティが記載されたポップアップ ページが表示されます。 表示されるプロパティは、イベントが発生するサービスによって変わります。
手順 3: 検索結果をファイルにエクスポートする
監査ログの検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。 このファイルを Microsoft Excel で開いて、検索、並べ替え、フィルター処理、および単一の列 (複数のプロパティが含まれる) の複数列への分割などの機能を使用できます。
監査ログの検索を実行して、目的の結果が得られるまで検索条件を変更します。
検索結果ページで、[エクスポート] [すべての結果のダウンロード] を選択します>。
検索条件を満たす監査ログからのすべてのエンティティは、CSV ファイルにエクスポートされます。 監査ログからの生データは、CSV ファイルにダウンロードされます。 監査ログ エントリからの追加情報は、CSV ファイルの [AuditData] という名前の列に含まれます。
重要
1 つの監査ログの検索から、最大 50,000 エントリを CSV ファイルにダウンロードできます。 50,000 エントリを CSV ファイルにダウンロードする場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 この上限を超える件数をエクスポートするには、日付の範囲を指定して、監査ログのエントリ数を減らすことをお勧めします。 50,000 を超えるエントリをエクスポートするには、日付範囲が小さい複数の検索を実行する必要がある場合があります。
エクスポート処理が完了すると、ウィンドウの上部に、CSV ファイルを開いてローカル コンピュータに保存するように促すメッセージが表示されます。 ダウンロード フォルダーでも、CSV ファイルにアクセスできます。
監査ログの検索結果のエクスポートと表示に関する詳細情報
すべての検索結果をダウンロードすると、CSV ファイルには CreationDate、UserIds、Operations、AuditData の各列が含まれます。 AuditData 列には、各イベントに関する追加情報が含まれます (コンプライアンス ポータルで検索結果を表示するときに、ポップアップ ページに表示される詳細情報と同様)。 この列のデータは、監査ログ レコードの複数のプロパティを含む JSON オブジェクトで構成されています。 この JSON オブジェクトに含まれる property:value の各ペアは、コンマで区切られます。 Excel の Power Query エディターに含まれる JSON 変換ツールを使用すると、[AuditData] 列を複数の列に分割し、JSON オブジェクトのプロパティごとに個別の列を設定できます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 Power Query エディターを使用して JSON オブジェクトを変換するための詳しい手順については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。
AuditData 列を分割した後、[操作] 列でフィルター処理して、特定の種類のアクティビティの詳細なプロパティを表示できます。
さまざまなサービスのイベントが含まれている検索クエリからすべての結果をダウンロードすると、CSV ファイルの [AuditData] 列には、そのアクションが実行されたサービスに応じて異なるプロパティが含まれます。 たとえば、Exchange と Azure AD の監査ログのエントリには、アクションが成功したかどうかを示す ResultStatus というプロパティが含まれます。 このプロパティは、SharePoint のイベントには含まれません。 同様に、SharePoint イベントには、ファイルおよびフォルダー関連のアクティビティのサイト URL を識別するプロパティがあります。 この動作を軽減するには、別々の検索を使用して、1 つのサービスからのアクティビティの結果をエクスポートすることを検討してください。
すべての結果をダウンロードする場合に CSV ファイルの [AuditData] 列に一覧表示されるプロパティの多く、および各プロパティが適用されるサービスについては、「監査ログの詳細なプロパティ」を参照してください。
よく寄せられる質問
現在監査対象となっている Microsoft 365 サービスは何ですか?
Exchange Online、SharePoint Online、OneDrive for Business、Azure Active Directory、Microsoft Teams、Dynamics 365、Defender for Office 365、Power BI など、特に使用頻度の高いサービスが監査されます。 監査対象のサービスのリストについては、この記事の冒頭を参照してください。
Microsoft 365 の監査サービスでは、どんなアクティビティが監視されますか?
監査される アクティビティ の一覧と説明については、ログ アクティビティの監査に関する記事を参照してください。
イベント発生後、監査レコードが使用できるようになるまでどのくらいの時間がかかりますか?
ほとんどの監査データは 60 から 90 分以内に使用できますが、対応する監査ログ エントリが検索結果に表示されるまでにイベントが発生してから最大 24 時間かかる場合があります。 この記事の 「監査ログを検索する前 に」セクションを参照して、さまざまなサービスのイベントが使用可能になるまでにかかる時間を示します。
監査レコードの保持期間はどのくらいですか?
前述のように、Office 365 E5 または Microsoft E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 アドオンライセンスを持っているユーザー) が実行したアクティビティの監査レコードは、1 年間保持されます。 統合監査ログをサポートする他のすべてのサブスクリプションの場合、監査レコードは 90 日間保持されます。
プログラムを使用して監査データにアクセスできますか?
はい。 Office 365管理アクティビティ API は、プログラムによって監査ログをフェッチするために使用されます。 開始するには、「Office 365 Management API の概要」を参照してください。
セキュリティ/コンプライアンス ポータルまたは Office 365 Management Activity API の使用以外に、監査ログを取得する方法はありますか?
はい、次の方法を使用して、監査ログを取得できます。
- Office 365 マネージメント アクティビティ API。
- Microsoft Purview コンプライアンス ポータルの 監査ログ検索ツール。
- Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット。
監査ログを取得したい各サービスで監査を個別に有効にする必要がありますか?
ほとんどのサービスでは、最初に組織の監査を有効にした後で、既定で監査が有効になります (この記事の「監査ログを検索する前に」セクションを参照してください)。
監査サービスは、レコードの重複除去をサポートしますか?
いいえ。 監査サービス パイプラインはほとんどリアルタイムであるため、重複除去をサポートできません。
監査データはどこに保存されますか?
現在、NA (北米)、EMEA (ヨーロッパ、中東、アフリカ)、および APAC (アジア太平洋) 地域に、監査パイプラインを展開しています。 これらのリージョンに所属するテナントには、監査データがリージョンに格納されます。 複数地域テナントの場合、テナントのすべてのリージョンから収集された監査データは、テナントのホーム リージョンにのみ格納されます。 ただし、負荷分散や、ライブサイトの問題発生時にのみ、こういった地域にデータを転送する場合があります。 これらのアクティビティを実行すると、転送中のデータが暗号化されます。
監査データは暗号化されますか?
監査データは、統合監査パイプラインが展開されるのと同じ地域の Exchange メールボックス(保存データ)に保存されます。 保存中のメールボックス データは、Exchange によって暗号化されません。 ただし、Microsoft データセンターの Exchange サーバーは BitLocker を介して暗号化されるため、サービス レベルの暗号化はすべてのメールボックス データを暗号化します。 詳細の情報に、「Skype for Business、OneDrive for Business、SharePoint Online、および Exchange Online 用の Microsoft 365 の暗号化」を参照してください。
送信中のメールデータは常に暗号化されます。