コンプライアンス ポータルで監査ログを検索する

ユーザーが特定のドキュメントを表示したかどうか、またはメールボックスからアイテムを削除したかどうかを確認する必要がありますか。 その場合は、Microsoft Purview コンプライアンス ポータルで監査ログ検索を使用して統合監査ログを検索し、組織内のユーザーと管理者のアクティビティを確認できます。 何十もの Microsoft 365 サービスやソリューションで実行された何千ものユーザーや管理者の操作は、組織の統一された監査ログにキャプチャされ、記録されて保持されます。 組織内のユーザーは、監査ログ検索ツールを使用して、これらの操作の監査レコードを検索、表示、(CSV ファイルに) エクスポートできます。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

監査をサポートする Microsoft 365 サービス

なぜ統合監査ログが必要なのか さまざまな Microsoft 365 サービスで実行されるアクティビティを監査ログで検索できるからです。 次の表に、統合監査ログでサポートされている Microsoft 365 サービスと機能を示します。

Microsoft 365 サービスまたは機能 レコードの種類
Azure Active Directory AzureActiveDirectory、AzureActiveDirectoryAccountLogon、AzureActiveDirectoryStsLogon
Azure Information Protection AipDiscover、AipSensitivityLabelAction、AipProtectionAction、AipFileDeleted、AipHeartBeat
コミュニケーション コンプライアンス ComplianceSupervisionExchange
コンテンツ エクスプローラー LabelContentExplorer
データ コネクタ ComplianceConnector
データ損失防止 (DLP) ComplianceDLPSharePoint、ComplianceDLPExchange、DLPEndpoint
Dynamics 365 CRM
電子情報開示 (Standard + Premium) 検出、AeD
完全に一致するデータ MipExactDataMatch
Exchange Online ExchangeAdmin、ExchangeItem、ExchangeItemAggregated
フォーム MicrosoftForms
情報バリア InformationBarrierPolicyApplication
Microsoft 365 Defender AirInvestigation、AirManualInvestigation、AirAdminActionInvestigation、MS365DCustomDetection
Microsoft Teams MicrosoftTeams
MyAnalytics MyAnalyticsSettings
OneDrive for Business OneDrive
Power Apps PowerAppsApp、PowerAppsPlan
Power Automate MicrosoftFlow
Power BI PowerBIAudit
検疫する 検疫する
Microsoft Purview 情報保護 (MIP) ラベル MIPLabel、MipAutoLabelExchangeItem、MipAutoLabelSharePointItem、MipAutoLabelSharePointPolicyLocation
機密情報の種類 DlpSensitiveInformationType
秘密度ラベル MIPLabel、SensitivityLabelAction、SensitivityLabeledFileAction、SensitivityLabelPolicyMatch
暗号化されたメッセージ ポータル OMEPortal
SharePoint Online SharePoint、SharePointFileOperation、SharePointSharingOperation、SharePointListOperation、SharePointCommentOperation
ストリーム MicrosoftStream
脅威インテリジェンス ThreatIntelligence、ThreatIntelligenceUrl、ThreatFinder、ThreatIntelligenceAtpContent
Viva ゴール Viva ゴール
Workplace Analytics WorkplaceAnalytics
Yammer Yammer
SystemSync DataShareCreated、DataShareDeleted、GenerateCopyOfLakeData、DownloadCopyOfLakeData

前の表に示した各サービスで監査される操作の詳細については、 ログ アクティビティの監査 に関する記事を参照してください。

前の表では、Exchange Online PowerShell または PowerShell スクリプトを使用してSearch-UnifiedAuditLog コマンドレットを使用して、対応するサービス内のアクティビティの監査ログを検索するために使用するレコードの種類の値も示しています。 一部のサービスには、同じサービス内のさまざまな種類のアクティビティに対して複数のレコードの種類があります。 監査レコードの種類のより完全なリストについては、「Office 365 マネージメント アクティビティ API スキーマ」を参照してください。

PowerShell を使用して監査ログを検索する方法の詳細については、以下を参照してください。

監査ログを検索する前に

監査ログの検索を開始する前に、次の項目を確認してください。

  • Microsoft 365 および Office 365 Enterprise 組織では、監査ログ検索は規定でオンになっています。 監査ログ検索が有効になっていることを確認するには、Exchange Online PowerShell で次のコマンドを実行します。

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    UnifiedAuditLogIngestionEnabled プロパティの値Trueは、監査ログ検索が有効になっていることを示します。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。

  • 監査ログを検索するには、Exchange Onlineの [監査ログの表示のみ] または [監査ログ] ロールを割り当てる必要があります。 既定では、これらのロールは、Exchange 管理センターの [アクセス許可] ページの [コンプライアンス管理] および [組織の管理] 役割グループに割り当てられます。 Office 365および Microsoft 365 のグローバル管理者は、Exchange Onlineの Organization Management 役割グループのメンバーとして自動的に追加されます。 ユーザーに最小レベルの特権で監査ログを検索できるようにするには、Exchange Onlineでカスタム ロール グループを作成し、ビューのみの監査ログまたは監査ログ ロールを追加し、そのユーザーを新しいロール グループのメンバーとして追加します。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。

    コンプライアンス ポータルの [アクセス許可] ページでユーザーに監査ログまたは監査ログのView-Onlyロールを割り当てると、監査ログを検索できなくなります。 Exchange Online でアクセス許可を割り当てる必要があります。 これは、監査ログの検索に使用される基本のコマンドレットが ExchangeOnline コマンドレットだからです。

  • 監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査レコードが保持される時間 (および監査ログで検索可能) の長さは、Office 365またはMicrosoft 365 Enterpriseサブスクリプション、具体的には特定のユーザーに割り当てられているライセンスの種類によって異なります。

    • Office 365 E5 または Microsoft 365 E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 Compliance または Microsoft 365 E5 eDiscovery and Audit アドオン ライセンスを持っているユーザー) の場合、Azure Active Directory、Exchange、および SharePoint アクティビティの監査レコードは、既定で 1 年間保持されます。 また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

      注:

      監査レコードを 1 年間保持するプライベート プレビュー プログラムに参加した場合、一般提供のロールアウト日前に生成された監査レコードの保持期間はリセットされません。

    • その他 (E5 以外) の Office 365 または Microsoft 365 ライセンスが割り当てられているユーザーの場合、監査レコードは 90 日間保持されます。 統合監査ログをサポートするOffice 365と Microsoft 365 サブスクリプションの一覧については、セキュリティおよびコンプライアンス ポータル サービスの説明を参照してください。

      注:

      既定でメールボックス監査がオンになっている場合でも、コンプライアンス ポータルの監査ログ検索やOffice 365管理アクティビティ API を使用して、一部のユーザーのメールボックス監査イベントが見つからない場合があります。 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。

  • 組織の監査ログ検索をオフにしたい場合は、Exchange Online PowerShell で次のコマンドを実行します。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    

    監査検索を再度有効にするには、Exchange Online PowerShell で次のコマンドを実行できます。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    詳細については、「監査ログの検索を無効にする」を参照してください。

  • 監査ログの検索に使用される基になるコマンドレットは、Exchange Online コマンドレットです。これは Search-UnifiedAuditLog です。 つまり、コンプライアンス ポータルの [監査] ページにある検索ツールを使う代わりに、このコマンドレットを使用して監査ログを検索できます。 このコマンドレットは、Exchange Online PowerShell で実行する必要があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。

    Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。

  • プログラムによって監査ログからデータをダウンロードする場合は、PowerShell スクリプトを使用するのではなく、Office 365 Management Activity API を使用することをお勧めします。 Office 365管理アクティビティ API は、組織の運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用できる REST Web サービスです。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。

  • Azure Active Directory (Azure AD) は、Microsoft 365 のディレクトリ サービスです。 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。 Azure AD のイベントの全リストについては、「Azure Active Directory 監査レポートのイベント」を参照してください。

  • Microsoft は、イベント発生後に、対応する監査レコードが監査ログ検索の結果に返される時間を保証しません。 コア サービス (Exchange、SharePoint、OneDrive、Teams など) の場合、イベントの可用性は通常 60 分から 90 分です。 その他のサービスでは、監査レコードの可用性が長くなる可能性があります。 ただし、(サーバーの停止など) 避けられない問題の中には、監査レコードの可用性を遅延させる、監査サービスの外部で発生する避けられない問題もあります。 これらの理由により、Microsoft は時間を確約しておりません。

  • Power BI の監査ログは、既定では有効になっていません。 監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。

監査ログの検索

以下に、Microsoft 365 で監査ログを検索するためのプロセスを示します。

  1. https://compliance.microsoft.com に移動し、サインインします。

    ヒント

    コンプライアンス ポータルにアクセスするには、プライベート閲覧セッション (通常のセッションではなく) を使用します。これにより、現在ログオンしている資格情報が使用されなくなります。 Microsoft Edge で InPrivate ブラウズ セッションを開くか、Google Chrome のプライベート ブラウズ セッション (シークレット ウィンドウと呼ばれる) を開くには、Ctrl + Shift + N キーを押します。

  2. コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します

    [監査] ページが表示されます。

    条件を構成し、[検索] を選択してレポートを実行します。

    注:

    [ ユーザーと管理者のアクティビティの記録を開始 する] リンクが表示されている場合は、それを選択して監査を有効にします。 このリンクが表示されない場合、組織の監査機能は有効です。

  3. [検索] タブで、次の検索条件を設定します。

    1. [開始日] と [終了日]: 既定で過去 7 日間が選択されています。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は、ローカル時刻で表示されます。 指定できる日付範囲は最大 90 日です。 選択した日付範囲が 90 日間よりも大きい場合は、エラーが表示されます。

    ヒント

    最大日付範囲 90 日を使用している場合は、開始日の現在の時刻を選択 します。 それ以外の場合は、開始日が終了日より前であることを示すエラーが表示されます。 過去 90 日以内に監査を有効にした場合、監査が有効になった日付より前に最大日付範囲を開始することはできません。

    1. アクティビティ: ドロップダウン リストを選択して、検索できるアクティビティを表示します。 ユーザーと管理者のアクティビティが、関連するアクティビティのグループに編成されています。 特定のアクティビティを選択することも、アクティビティ グループ名を選択して、グループ内のすべてのアクティビティを選択することもできます。 選択したアクティビティを選択して、選択を解除することもできます。 検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。 [すべてのアクティビティの結果を表示] を選択すると、選択したユーザーまたはユーザーのグループによって実行されたすべてのアクティビティの結果が表示されます。

      監査ログには、100 件以上のユーザーおよび管理者アクティビティが記録されます。 この記事の記事で [ 監査されたアクティビティ ] タブを選択すると、各サービスのすべてのアクティビティの説明が表示されます。

    2. ユーザー: このボックスで選択し、検索結果を表示する 1 人以上のユーザーを選択します。 このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。

    3. [ファイル、フォルダー、またはサイト]: 指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索するには、ファイルまたはフォルダー名の一部またはすべてを入力します。 ファイルまたはフォルダーの URL を指定することもできます。 URL を使用する場合は、完全な URL パスを入力するか、URL の一部を入力する場合は、特殊文字やスペースを含めないでください (ただし、ワイルドカード文字 (*) の使用はサポートされています)。

      組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。

    ヒント

    • サイトに関連するすべてのアクティビティを探している場合は、URL の後にワイルドカード文字 (*) を追加して、そのサイトのすべてのエントリを返します。たとえば、 "https://contoso-my.sharepoint.com/personal*"です。

    • ファイルに関連するすべてのアクティビティを探している場合は、 ファイル名の前にワイルドカード文字 (*) を追加して、そのファイルのすべてのエントリを返します。たとえば、 "*Customer_Profitability_Sample.csv"です。

  4. [ 検索 ] を選択して、検索条件を使用して検索を実行します。

    検索結果が読み込まれ、しばらくすると新しいページに表示されます。 検索が完了すると、検索結果の件数が表示されます。 最大 50,000 個のイベントが 150 イベントずつ表示されます。 検索条件を満たすイベントが 50,000 を超える場合は、返された 50,000 個の未ソート イベントのみが表示されます。

    検索が完了すると、検索結果の件数が表示されます。

監査ログを検索するためのヒント

  • 検索する特定のアクティビティを選択するには、アクティビティ名を選択します。 または、グループ名を選択して、グループ内のすべてのアクティビティ ( ファイルアクティビティやフォルダー アクティビティなど) を検索することもできます。 アクティビティが選択されている場合は、そのアクティビティを選択して選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。

    [アクティビティ グループ名] を選択して、すべてのアクティビティを選択します。

  • Exchange 管理者監査ログのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。 この監査ログのイベントには、結果の [アクティビティ] 列にコマンドレット名 (Set-Mailbox など) が表示されます。 詳細については、この記事の [ 監査されたアクティビティ ] タブを選択し、[ Exchange 管理者アクティビティ] を選択します。

    同様に、[アクティビティ] 一覧に対応する項目がない一部の監査アクティビティがあります。 これらのアクティビティ向けの操作の名前がわかっている場合は、すべてのアクティビティを検索し、検索結果を CSV ファイルにエクスポートしてから操作をフィルター処理します。

  • [ クリア] を選択 して、現在の検索条件をクリアします。 日付範囲は、過去 7 日間の既定値に戻ります。 [すべてクリア] を選択 して、すべてのアクティビティの結果を表示 して、選択したすべてのアクティビティを取り消すこともできます。

  • 50,000 件の結果が見つかった場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 検索条件を絞り込んで検索を再実行して返す結果を少なくするか、[結果のエクスポート] [すべての結果のダウンロード] を選択して 50,000 件の検索結果をエクスポート>できます。

手順 2: 検索結果を表示する

監査ログ検索の結果は、[監査ログ検索] ページの [結果] の下に表示されます。 前述のように、最大 50,000 (最新) のイベントが 150 イベントずつ表示されます。 スクロール バーを使用するか 、Shift キーを押しながら End キーを押して、次の 150 個のイベントを表示します。

検索結果には、検索によって返された各イベントに関する次の情報が含まれます。

  • [日付]: イベントが発生した日付と時刻 (ローカル時刻)。

  • [IP アドレス]: アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。

    注:

    一部のサービスでは、このフィールドに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Azure Active Directory 関連のイベントの管理者のアクティビティ (またはシステムアカウントによって実行されるアクティビティ) の場合、IP アドレスはログに記録されず、このフィールドに表示される値は null になります。

  • [ユーザー]: イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。

  • [アクティビティ]: ユーザーが実行したアクティビティ。 この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。 Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。

  • [アイテム]: 対応するアクティビティの結果として作成または変更されたオブジェクト。 たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。 すべてのアクティビティにこの列の値があるとは限りません。

  • [詳細]: アクティビティに関する追加の詳細。 ここでも、すべてのアクティビティに値があるとは限りません。

ヒント

[ 結果 ] で列ヘッダーを選択して、結果を並べ替えます。 結果を A から Z または Z から A に並べ替えることができます。 Date ヘッダーを選択して、最も古いものから最新のもの、または最新のものから最も古いものまで結果を並べ替えます。

特定のイベントの詳細を表示する

検索結果の一覧でイベント レコードを選択すると、イベントの詳細を表示できます。 イベント レコードの詳細なプロパティを含むポップアップ ページが表示されます。 表示されるプロパティは、イベントが発生するサービスによって変わります。

手順 3: 検索結果をファイルにエクスポートする

監査ログの検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。 このファイルを Microsoft Excel で開いて、検索、並べ替え、フィルター処理、および単一の列 (複数のプロパティが含まれる) の複数列への分割などの機能を使用できます。

  1. 監査ログの検索を実行して、目的の結果が得られるまで検索条件を変更します。

  2. 検索結果ページで、[エクスポート] [すべての結果のダウンロード] を選択します>。

    検索条件を満たす監査ログからのすべてのエンティティは、CSV ファイルにエクスポートされます。 監査ログからの生データは、CSV ファイルにダウンロードされます。 監査ログ エントリからの追加情報は、CSV ファイルの [AuditData] という名前の列に含まれます。

    重要

    1 回の監査ログ検索から CSV ファイルに最大 50,000 エントリをダウンロードできます。 CSV ファイルに 50,000 個のエントリがダウンロードされた場合、検索条件を満たすイベントが 50,000 を超えると想定できます。 この制限を超えてエクスポートするには、日付範囲を使用して監査ログ エントリの数を減らしてみてください。 50,000 を超えるエントリをエクスポートするには、日付範囲が小さい複数の検索を実行する必要がある場合があります。

  3. エクスポート処理が完了すると、ウィンドウの上部に、CSV ファイルを開いてローカル コンピュータに保存するように促すメッセージが表示されます。 ダウンロード フォルダーでも、CSV ファイルにアクセスできます。

監査ログの検索結果のエクスポートと表示に関する詳細情報

  • すべての検索結果をダウンロードすると、CSV ファイルには CreationDateUserIdsOperationsAuditData の各列が含まれます。 AuditData 列には、各イベントに関する追加情報が含まれます (コンプライアンス ポータルで検索結果を表示するときに、ポップアップ ページに表示される詳細情報と同様)。 この列のデータは、監査ログ レコードの複数のプロパティを含む JSON オブジェクトで構成されています。 この JSON オブジェクトに含まれる property:value の各ペアは、コンマで区切られます。 Excel の Power Query エディターに含まれる JSON 変換ツールを使用すると、[AuditData] 列を複数の列に分割し、JSON オブジェクトのプロパティごとに個別の列を設定できます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 Power Query エディターを使用して JSON オブジェクトを変換するための詳しい手順については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。

    AuditData 列を分割した後、[操作] 列でフィルター処理して、特定の種類のアクティビティの詳細なプロパティを表示できます。

  • さまざまなサービスのイベントが含まれている検索クエリからすべての結果をダウンロードすると、CSV ファイルの [AuditData] 列には、そのアクションが実行されたサービスに応じて異なるプロパティが含まれます。 たとえば、Exchange と Azure AD の監査ログのエントリには、アクションが成功したかどうかを示す ResultStatus というプロパティが含まれます。 このプロパティは、SharePoint のイベントには含まれません。 同様に、SharePoint イベントには、ファイルおよびフォルダー関連のアクティビティのサイト URL を識別するプロパティがあります。 この動作を軽減するには、別々の検索を使用して、1 つのサービスからのアクティビティの結果をエクスポートすることを検討してください。

    すべての結果をダウンロードする場合に CSV ファイルの [AuditData] 列に一覧表示されるプロパティの多く、および各プロパティが適用されるサービスについては、「監査ログの詳細なプロパティ」を参照してください。

よく寄せられる質問

現在監査対象となっている Microsoft 365 サービスは何ですか?

Exchange Online、SharePoint Online、OneDrive for Business、Azure Active Directory、Microsoft Teams、Dynamics 365、Defender for Office 365、Power BI など、特に使用頻度の高いサービスが監査されます。 監査対象のサービスのリストについては、この記事の冒頭を参照してください。

Microsoft 365 の監査サービスでは、どんなアクティビティが監視されますか?

監査される アクティビティ の一覧と説明については、ログ アクティビティの監査に関する記事を参照してください。

イベント発生後、監査レコードが使用できるようになるまでどのくらいの時間がかかりますか?

ほとんどの監査データは 60 から 90 分以内に使用できますが、対応する監査ログ エントリが検索結果に表示されるまでにイベントが発生してから最大 24 時間かかる場合があります。 この記事の 「監査ログを検索する前 に」セクションを参照して、さまざまなサービスのイベントが使用可能になるまでにかかる時間を示します。

監査レコードの保持期間はどのくらいですか?

前述のように、Office 365 E5 または Microsoft E5 ライセンスが割り当てられたユーザー (または Microsoft 365 E5 アドオンライセンスを持っているユーザー) が実行したアクティビティの監査レコードは、1 年間保持されます。 統合監査ログをサポートする他のすべてのサブスクリプションの場合、監査レコードは 90 日間保持されます。

プログラムを使用して監査データにアクセスできますか?

はい。 Office 365管理アクティビティ API は、プログラムによって監査ログをフェッチするために使用されます。 開始するには、「Office 365 Management API の概要」を参照してください。

セキュリティ/コンプライアンス ポータルまたは Office 365 Management Activity API の使用以外に、監査ログを取得する方法はありますか?

はい、次の方法を使用して、監査ログを取得できます。

監査ログを取得したい各サービスで監査を個別に有効にする必要がありますか?

ほとんどのサービスでは、最初に組織の監査を有効にした後で、既定で監査が有効になります (この記事の「監査ログを検索する前に」セクションを参照してください)。

監査サービスは、レコードの重複除去をサポートしますか?

いいえ。 監査サービス パイプラインはほとんどリアルタイムであるため、重複除去をサポートできません。

監査データはどこに保存されますか?

現在、NA (北米)、EMEA (ヨーロッパ、中東、アフリカ)、および APAC (アジア太平洋) 地域に、監査パイプラインを展開しています。 これらのリージョンに所属するテナントには、監査データがリージョンに格納されます。 複数地域テナントの場合、テナントのすべてのリージョンから収集された監査データは、テナントのホーム リージョンにのみ格納されます。 ただし、負荷分散や、ライブサイトの問題発生時にのみ、こういった地域にデータを転送する場合があります。 これらのアクティビティを実行すると、転送中のデータが暗号化されます。

監査データは暗号化されますか?

監査データは、統合監査パイプラインが展開されるのと同じ地域の Exchange メールボックス(保存データ)に保存されます。 保存中のメールボックス データは、Exchange によって暗号化されません。 ただし、Microsoft データセンターの Exchange サーバーは BitLocker を介して暗号化されるため、サービス レベルの暗号化はすべてのメールボックス データを暗号化します。 詳細の情報に、「Skype for Business、OneDrive for Business、SharePoint Online、および Exchange Online 用の Microsoft 365 の暗号化」を参照してください。

送信中のメールデータは常に暗号化されます。