メールボックスの監査を管理する

2019 年 1 月以降、Microsoftはすべての組織で既定でメールボックス監査ログを有効にしています。 つまり、メールボックスの所有者、代理人、管理者によって実行された特定のアクションが自動的にログに記録され、対応するメールボックス監査レコードはメールボックス監査ログで検索するときに使用できます。 メールボックス監査が既定で有効になる前に、組織内のすべてのユーザー メールボックスに対して手動で有効にする必要がありました。

既定でのメールボックス監査の利点を次に示します。

  • 新しいメールボックスを作成すると、監査が自動的に有効になります。 新しいユーザーに対して手動で有効にする必要はありません。
  • 監査されるメールボックスアクションを管理する必要はありません。 既定では、ログオンの種類 (管理、委任、所有者) ごとに、定義済みの一連のメールボックス アクションが監査されます。
  • 新しいメールボックス アクションMicrosoft解放すると、既定で監査されるメールボックス アクションの一覧にアクションが自動的に追加される場合があります (適切なライセンスを持つユーザーの対象)。 つまり、メールボックスに新しいアクションを追加することを監視する必要はありません。
  • 組織全体で一貫したメールボックス監査ポリシーがあります (すべてのメールボックスに対して同じアクションを監査しているため)。

注:

  • 既定でのメールボックス監査のリリースに関して覚えておくべき重要な点は、メールボックス監査を管理するために何もする必要がない点です。 ただし、詳細については、既定の設定からメールボックス監査をカスタマイズするか、完全にオフにするには、この記事が役立ちます。
  • 既定では、Microsoft Purview 監査 (Premium) を含むライセンスを持つユーザーのメールボックス監査イベントのみが、Microsoft Purview コンプライアンス ポータルの監査ログ検索またはOffice 365管理アクティビティ API を介して使用できます。 これらのライセンスについては、 こちらを参照してください。 簡潔にするために、この記事では、監査 (Premium) を E5/A5/G5 ライセンスとして含むライセンスをまとめて参照します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

既定によるメールボックス監査の有効化がオンになっていることを確認する

組織のメールボックス監査が既定でオンになっていることを確認するには、PowerShell Exchange Onlineで次のコマンドを実行します。

Get-OrganizationConfig | Format-List AuditDisabled

False の値は、既定でメールボックス監査が組織で有効になっていることを示します。 既定でオンの組織の値は、特定のメールボックスのメールボックス監査設定をオーバーライドします。 たとえば、メールボックスのメールボックス監査が無効になっている場合 (メールボックスの AuditEnabled プロパティが False の場合)、メールボックスの既定のメールボックスの操作は引き続き監査されます。メールボックスの監査は既定で組織で有効になっているためです。

特定のメールボックスのメールボックス監査を無効にしたままにするには、メールボックスの所有者と、メールボックスへのアクセスを委任された他のユーザーに対してメールボックス監査バイパスを構成します。 詳細については、この記事の後半の 「バイパス メールボックス監査ログ」 セクションを参照してください。

注:

組織のメールボックス監査が既定でオンになっている場合、影響を受けるメールボックスの AuditEnabled プロパティは False から True に変更されません。 つまり、メールボックスの監査は既定では、メールボックスの AuditEnabled プロパティを無視します。

サポートされているメールボックスの種類

次の表は、既定でメールボックス監査で現在サポートされているメールボックスの種類を示しています。

メールボックスの種類 サポート
ユーザー メールボックス チェック マーク。
共有メールボックス チェック マーク。
Microsoft 365 グループ メールボックス チェック マーク。
リソース メールボックス
パブリック フォルダー メールボックス

ログオンの種類とメールボックスの操作

ログオンの種類は、メールボックスで監査されたアクションを実行したユーザーを分類します。 次の一覧では、メールボックス監査ログで使用されるログオンの種類について説明します。

  • 所有者: メールボックスの所有者 (メールボックスに関連付けられているアカウント)。
  • デリゲート:
    • 別のメールボックスに SendAs、SendOnBehalf、または FullAccess アクセス許可が割り当てられているユーザー。
    • ユーザーのメールボックスに FullAccess アクセス許可が割り当てられている管理者。
  • 管理:
    • メールボックスは、次のいずれかのMicrosoft電子情報開示ツールで検索されます。
      • コンプライアンス ポータルのコンテンツ検索。
      • コンプライアンス ポータルの電子情報開示または電子情報開示 (Premium)。
      • Exchange Onlineで電子情報開示をIn-Placeします。
    • メールボックスにアクセスするには、Microsoft Exchange Server MAPI エディターを使用します。

ユーザー メールボックスと共有メールボックスのメールボックスアクション

次の表に、ユーザー メールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスアクションについて説明します。

  • チェック マーク (Check mark.) は、ログオンの種類に対してメールボックス アクションをログに記録できることを示します (すべてのログオンの種類ですべてのアクションを使用できるわけではありません)。
  • チェック マークの後のアスタリスク ( * ) は、ログオンの種類に対してメールボックスアクションが既定でログに記録されていることを示します。
  • メールボックスへのフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。
メールボックスアクション 説明 管理者 代理人 Owner
AddFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
ApplyRecord 項目にはレコードとしてラベルが付けられます。 チェックマークを付けます。* チェックマークを付けます。* チェックマークを付けます。*
Copy メッセージが別のフォルダーにコピーされました。 チェック マーク。
Create メールボックス内の予定表、連絡先、下書き、メモ、またはタスク フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成されます)。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 チェックマークを付けます。* チェックマークを付けます。* チェック マーク。
FolderBind メールボックス フォルダーにアクセスされました。 この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。

: デリゲートによって実行されるフォルダー バインド アクションの監査レコードは統合されます。 24 時間以内に個々のフォルダー アクセスに対して 1 つの監査レコードが生成されます。
チェック マーク。 チェック マーク。
HardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。 チェックマークを付けます。* チェックマークを付けます。* チェックマークを付けます。*
MailboxLogin ユーザーが自分のメールボックスにサインインした。 チェック マーク
MailItemsAccessed : この値は、E5/A5/G5 ライセンスを持つユーザーにのみ使用できます。 詳細については、「Microsoft Purview 監査のセットアップ (Premium)」を参照してください。

メール データは、メール プロトコルとクライアントによってアクセスされます。
チェックマークを付けます。* チェックマークを付けます。* チェック マーク*
MessageBind : この値は、E5/A5/G5 ライセンス を持たない ユーザーにのみ使用できます。

プレビュー ウィンドウでメッセージが表示されたか、管理者によって開かれました。
チェック マーク
ModifyFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
移動 メッセージが別のフォルダーに移動されました。 チェック マーク。 チェック マーク チェック マーク
MoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。 チェックマークを付けます。* チェックマークを付けます。* チェック マーク*
RecordDelete レコードとしてラベル付けされたアイテムが論理的に削除されました ([回復可能なアイテム] フォルダーに移動されました)。 レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテム フォルダーから消去されます)。 チェック マーク。 チェック マーク チェック マーク
RemoveFolderPermissions この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。
SearchQueryInitiated : この値は、E5/A5/G5 ライセンスを持つユーザーにのみ使用できます。 詳細については、「Microsoft Purview 監査のセットアップ (Premium)」を参照してください。

ユーザーが Outlook (Windows、Mac、iOS、Android、またはOutlook on the web) またはメール アプリを使用して、メールボックス内のアイテムを検索Windows 10。
チェック マーク
Send : この値は、E5/A5/G5 ライセンスを持つユーザーにのみ使用できます。 詳細については、「Microsoft Purview 監査のセットアップ (Premium)」を参照してください。

ユーザーが電子メール メッセージを送信したり、電子メール メッセージに返信したり、電子メール メッセージを転送したりします。
チェックマークを付けます。* チェック マーク*
SendAs SendAs アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがメールボックス所有者から送信されたかのようにメッセージを送信しました。 チェックマークを付けます。* チェック マーク*
SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 つまり、別のユーザーがメールボックス所有者の代わりにメッセージを送信しました。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 チェックマークを付けます。* チェック マーク*
SoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 チェックマークを付けます。* チェックマークを付けます。* チェック マーク*
Update メッセージまたはそのプロパティのいずれかが変更されました。 チェックマークを付けます。* チェックマークを付けます。* チェック マーク*
UpdateCalendarDelegation 予定表の委任がメールボックスに割り当てられた。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 チェックマークを付けます。* チェック マーク*
UpdateFolderPermissions フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 チェックマークを付けます。* チェックマークを付けます。* チェック マーク*
UpdateInboxRules 受信トレイ ルールが追加、削除、または変更されました。 受信トレイ ルールは、指定した条件に基づいてユーザーの受信トレイ内のメッセージを処理し、指定したフォルダーへのメッセージの移動やメッセージの削除など、ルールの条件が満たされたときにアクションを実行するために使用されます。 チェックマークを付けます。* チェック マーク* チェック マーク*

重要

メールボックスの監査が既定で有効になる 前に 、任意のログオンの種類を監査するようにメールボックスアクションをカスタマイズした場合、カスタマイズされた設定はメールボックスに保持され、このセクションで説明するように既定のメールボックスアクションでは上書きされません。 監査メールボックスのアクションを既定値 (いつでも実行できます) に戻すには、この記事の後半の「 既定のメールボックスアクションを復元 する」セクションを参照してください。

Microsoft 365 グループ メールボックスのメールボックスアクション

既定でメールボックス監査をオンにすると、メールボックス監査ログは 365 グループ メールボックスMicrosoftされますが、ログに記録される内容をカスタマイズすることはできません (ログオンの種類に対してログに記録されるメールボックス アクションを追加または削除することはできません)。

次の表では、ログオンの種類ごとに、Microsoft 365 グループ メールボックスで既定でログに記録されるメールボックスアクションについて説明します。

Microsoft 365 グループ メールボックスに対するフル アクセス許可を持つ管理者は、代理人と見なされることに注意してください。

メールボックスアクション 説明 管理者 代理人 Owner
Create 予定表アイテムの作成。 メッセージの作成、送信、または受信は監査されません。 チェック マーク* チェック マーク*
HardDelete メッセージが [回復可能なアイテム] フォルダーから削除されました。 チェックマークを付けます。* チェック マーク* チェック マーク*
MoveToDeletedItems メッセージが削除され、削除済みアイテム フォルダーに移動されました。 チェックマークを付けます。* チェック マーク* チェック マーク*
SendAs SendAs アクセス許可を使用してメッセージが送信されました。 チェック マーク* チェック マーク*
SendOnBehalf SendOnBehalf アクセス許可を使用してメッセージが送信されました。 チェック マーク* チェック マーク*
SoftDelete メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 チェックマークを付けます。* チェック マーク* チェック マーク*
Update メッセージまたはそのプロパティのいずれかが変更されました。 チェックマークを付けます。* チェック マーク* チェック マーク*

ログオンの種類ごとに既定のメールボックス アクションがログに記録されていることを確認する

既定でのメールボックス監査では、すべてのメールボックスに新しい DefaultAuditSet プロパティが追加されます。 このプロパティの値は、既定のメールボックス アクション (Microsoftによって管理) がメールボックスで監査されているかどうかを示します。

ユーザー メールボックスまたは共有メールボックスに値を表示するには、MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え<、Exchange Online PowerShell で次のコマンドを実行します。

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Microsoft 365 グループ メールボックスに値を表示するには、MailboxIdentity> を共有メールボックスの名前、エイリアス、またはメール アドレスに置き換え<、powerShell で次のコマンドExchange Online実行します。

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner は次を示します。

  • 3 つのログオンの種類すべてに対する既定のメールボックス アクションが監査されています。 これは、Microsoft 365 グループ メールボックスに表示される唯一の値です。
  • 管理者 は、 ユーザー メールボックスまたは共有メールボックスのログオンの種類に対する監査済みメールボックスアクションを変更していません。 これは、既定でメールボックスの監査が組織で最初にオンになった後の既定の状態であることに注意してください。

管理者がログオンの種類 (Set-Mailbox コマンドレットで AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して) 監査されるメールボックスアクションを変更した場合、プロパティ値は異なります。

たとえば、ユーザー メールボックスまたは共有メールボックスの DefaultAuditSet プロパティの値Ownerは、次を示します。

  • メールボックス所有者の既定のメールボックス アクションが監査されています。
  • および Admin ログオンの種類に対する監査済みメールボックスアクションDelegateは、既定のアクションから変更されています。

DefaultAuditSet プロパティの空白の値は、ユーザー メールボックスまたは共有メールボックスで 3 つのログオンの種類がすべて変更されたことを示します。

詳細については、この記事の 「既定でログに記録されたメールボックスアクションの変更または復元 」セクションを参照してください。

メールボックスにログオンしているメールボックスのアクションを表示する

ユーザー メールボックスまたは共有メールボックスに現在ログオンしているメールボックスアクションを表示するには、MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え<、Exchange Online PowerShell で次のコマンドの 1 つ以上を実行します。

注:

Microsoft 365 グループ メールボックスの次の Get-Mailbox コマンドに切り替えを追加-GroupMailboxすることはできますが、返される値を信じないでください。 Microsoft 365 グループ メールボックスに対して監査される既定および静的なメールボックスアクションについては、この記事の「Microsoft 365 グループ メールボックスのメールボックスアクション」セクションで説明します。

所有者アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委任アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理アクション

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

既定でログに記録されたメールボックスアクションを変更または復元する

既に説明したように、既定でメールボックス監査を有効にすることの主な利点の 1 つは、監査されるメールボックスアクションを管理する必要がないということです。 Microsoftこれを行うと、新しいメールボックスアクションがリリースされると、既定で監査される新しいメールボックスアクションが自動的に追加されます。

ただし、組織では、ユーザー メールボックスと共有メールボックスに対して別のメールボックス アクションのセットを監査する必要がある場合があります。 このセクションの手順では、ログオンの種類ごとに監査されるメールボックスアクションを変更する方法と、Microsoft管理された既定のアクションに戻す方法について説明します。

重要

次の手順を使用して、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズした場合、Microsoftによって解放された新しい既定のメールボックス アクションは、それらのメールボックスに対して自動的に監査されません。 カスタマイズしたアクションの一覧に新しいメールボックスアクションを手動で追加する必要があります。

監査するメールボックスのアクションを変更する

Set-Mailbox コマンドレットの AuditAdminAuditDelegate、または AuditOwner パラメーターを使用して、ユーザー メールボックスと共有メールボックスに対して監査されるメールボックスアクションを変更できます (Microsoft 365 グループ メールボックスの監査アクションはカスタマイズできません)。

メールボックスアクションを指定するには、次の 2 つの異なる方法を使用できます。

  • 次の構文action1,action2,...actionNを使用して、既存のメールボックスアクションを置き換える (上書きする) 。
  • または という構文@{Add="action1","action2",..."actionN"}を使用して、他の既存の値に影響を与えずにメールボックスアクションを追加または削除します@{Remove="action1","action2",..."actionN"}

次の使用例は、既定のアクションを SoftDelete と HardDelete で上書きすることで、"Gabriela Laureano" という名前のメールボックスの管理メールボックスアクションを変更します。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

次の使用例は、MailboxLogin 所有者アクションをメールボックス に追加します laura@contoso.onmicrosoft.com。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

次の使用例は、Team Discussion メールボックスの MoveToDeletedItems デリゲート アクションを削除します。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

使用する方法に関係なく、ユーザー メールボックスまたは共有メールボックスで監査済みメールボックスアクションをカスタマイズすると、次の結果が得られます。

  • カスタマイズしたログオンの種類の場合、監査されたメールボックスアクションはMicrosoftによって管理されなくなります。
  • 前に説明したように、カスタマイズしたログオンの種類がメールボックスの DefaultAuditSet プロパティ値に表示されなくなります。

既定のメールボックスアクションを復元する

注:

次の手順は、Microsoft 365 グループ メールボックスには適用されません (ここで説明するように既定のアクションに制限されています)。

ユーザー メールボックスまたは共有メールボックスで監査されるメールボックスアクションをカスタマイズした場合は、次の構文を使用して、1 つまたはすべてのログオンの種類の既定のメールボックス アクションを復元できます。

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

複数の DefaultAuditSet 値をコンマで区切って指定できます

次の使用例は、メールボックス上のすべてのログオンの種類に対する既定の監査メールボックス アクションを復元します mark@contoso.onmicrosoft.com。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

次の使用例は、メールボックスの管理ログオンの種類に対する既定の監査メールボックス アクションをchris@contoso.onmicrosoft.com復元しますが、委任ログオンの種類と所有者ログオンの種類に対してカスタマイズされた監査済みメールボックス アクションは残します。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

ログオンの種類に対する監査済みメールボックスの既定のアクションを復元すると、次の結果が得られます。

  • メールボックスアクションの現在のリストは、ログオンの種類の既定のメールボックスアクションに置き換えられます。
  • Microsoftによって解放された新しいメールボックス アクションは、ログオンの種類に対して監査されたアクションの一覧に自動的に追加されます。
  • 復元されたログオンの種類を含むように、メールボックスの DefaultAuditSet プロパティ値が更新されます。

組織のメールボックス監査を既定で無効にする

PowerShell で次のコマンドを実行することで、組織全体のメールボックス監査を既定で無効にすることができます Exchange Online。

Set-OrganizationConfig -AuditDisabled $true

既定でメールボックス監査をオフにすると、次の結果が得られます。

  • 組織のメールボックス監査は無効になっています。
  • 既定でメールボックス監査を無効にした時点から、メールボックスで監査が有効になっている場合でも、メールボックスアクションは監査されません (メールボックスの AuditEnabled プロパティは True です)。
  • 新しいメールボックスに対してメールボックスの監査が有効になっていないと、新しいメールボックスまたは既存のメールボックスの AuditEnabled プロパティを True に設定することは無視されます。
  • メールボックス監査バイパス関連付け設定 ( Set-MailboxAuditBypassAssociation コマンドレットを使用して構成) は無視されます。
  • 既存のメールボックス監査レコードは、レコードの監査ログの有効期限が切れるまで保持されます。

既定でメールボックス監査を有効にする

組織のメールボックス監査を有効に戻すには、PowerShell Exchange Onlineで次のコマンドを実行します。

Set-OrganizationConfig -AuditDisabled $false

メールボックス監査ログをバイパスする

現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。 たとえば、 AuditEnabled メールボックス プロパティを False に設定することは無視されます。

ただし、Exchange Online PowerShell の Set-MailboxAuditBypassAssociation コマンドレットを引き続き使用して、アクションが発生した場所に関係なく、指定されたユーザーによるメールボックスの操作がすべてログに記録されないようにすることができます。 例:

  • バイパスされたユーザーによって実行されたメールボックス所有者のアクションはログに記録されません。
  • 他のユーザーのメールボックス (共有メールボックスを含む) でバイパスされたユーザーによって実行された委任アクションはログに記録されません。
  • バイパスされたユーザーによって実行された管理アクションはログに記録されません。

特定のユーザーについてメールボックス監査ログをバイパスするには、<MailboxIdentity> をそのユーザーの名前、メール アドレス、エイリアス、またはユーザー プリンシパル名 (username) で置き換え、次のコマンドを実行します。

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

True は、メールボックス監査ログがユーザーに対してバイパスされることを示します。

詳細

  • 既に説明したように、メールボックス監査ログオンはすべての組織で既定で有効になっていますが、監査 (Premium) (この記事では総称して E5/A5/G5 ライセンスと呼ばれます) を含むライセンスを持つユーザーのみが、Microsoft Purview コンプライアンス ポータルまたはOffice 365での監査ログ検索でメールボックス監査ログ イベントを返します。 既定では、Management Activity API

    E5/A5/G5 ライセンスを持たないユーザーのメールボックス監査ログ エントリを取得するには、次のいずれかの回避策を使用できます。

    • 個々のメールボックスでメールボックス監査を手動で有効にします (コマンド Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $trueを実行します)。 これを行った後、Microsoft Purview コンプライアンス ポータルまたはOffice 365管理アクティビティ API を使用して監査ログ検索を使用できます。

      注:

      メールボックスの監査が既にメールボックスで有効になっているように見えるが、検索で結果が返されない場合は、 AuditEnabled パラメーターの値を に $false 変更してから に $true戻します。

    • Exchange Online PowerShell で次のコマンドレットを使用します。

      • Search-MailboxAuditLog を使用して、特定のユーザーのメールボックス監査ログを検索します。
      • New-MailboxAuditLogSearch を使用して、特定のユーザーのメールボックス監査ログを検索し、結果を電子メールで指定された受信者に送信します。
    • Exchange Onlineの Exchange 管理センター (EAC) を使用して、次の操作を行います。

  • 既定では、メールボックス監査ログ レコードは削除されるまでの 90 日間保持されます。 PowerShell の Set-Mailbox コマンドレットで AuditLogAgeLimit パラメーターを使用して、監査ログ レコードの期間制限Exchange Online変更できます。 ただし、この値を大きくしても、監査ログで 90 日を超えるイベントを検索することはできません。

    年齢制限を増やす場合は、PowerShell Exchange Online Search-MailboxAuditLog コマンドレットを使用して、ユーザーのメールボックス監査ログで 90 日を超えるレコードを検索する必要があります。

  • メールボックスの監査が既定で有効になる前にメールボックスの AuditLogAgeLimit プロパティを変更した場合、メールボックスの既存の監査ログの有効期間は変更されません。 つまり、メールボックス監査は既定では、メールボックス監査レコードの現在の年齢制限には影響しません。

  • Microsoft 365 グループ メールボックスの AuditLogAgeLimit 値を変更するには、Set-Mailbox コマンドにスイッチを含める-GroupMailbox必要があります。

  • メールボックス監査ログ レコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダーのサブフォルダー ( Audit という名前) に格納されます。 メールボックス監査レコードと回復可能なアイテム フォルダーについては、次の点に注意してください。

    • メールボックス監査レコード数は、回復可能なアイテム フォルダーのストレージ クォータに対してカウントされます。既定では 30 GB です (警告クォータは 20 GB)。 次の場合、ストレージ クォータは自動的に 100 GB に増やされます (警告クォータは 90 GB です)。

      • メールボックスに保留が設定されます。
      • メールボックスは、コンプライアンス ポータルのアイテム保持ポリシーに割り当てられます。
    • メールボックス監査レコードは、 回復可能なアイテム フォルダーのフォルダー制限に対してもカウントされます。 Audit サブフォルダーには、最大 300 万個のアイテム (監査レコード) を格納できます。

      注:

      既定では、メールボックスの監査がストレージ クォータまたは回復可能なアイテム フォルダーのフォルダー制限に影響を与える可能性は低いです。

      • Exchange Online PowerShell で次のコマンドを実行して、[回復可能なアイテム] フォルダーの [監査] サブフォルダー内のアイテムのサイズと数を表示できます。

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • [回復可能なアイテム] フォルダー内の監査ログ レコードに直接アクセスすることはできません。代わりに、 Search-MailboxAuditLog コマンドレットを使用するか、監査ログを検索してメールボックス監査レコードを検索して表示します。

  • コンプライアンス ポータルでメールボックスが保留またはアイテム保持ポリシーに割り当てられている場合、監査ログ レコードは、メールボックスの AuditLogAgeLimit プロパティで定義されている期間 (既定では 90 日間) 保持されます。 保留中のメールボックスの監査ログ レコードを長く保持するには、メールボックスの AuditLogAgeLimit 値を増やす必要があります。

  • 複数地域環境では、クロス geo メールボックス監査はサポートされていません。 たとえば、ユーザーに別の地理的な場所にある共有メールボックスにアクセスするためのアクセス許可が割り当てられている場合、そのユーザーによって実行されたメールボックスアクションは、共有メールボックスのメールボックス監査ログに記録されません。 Exchange 管理者監査イベントは現在、既定の場所でのみ使用できます。