Microsoft Purview 監査の設定 (Premium)

  • [アーティクル]

organizationに Audit (Premium) をサポートするサブスクリプションとエンド ユーザー ライセンスがある場合は、次の手順を実行して、監査 (Premium) の追加機能を設定して使用します。

監査 (プレミアム) を設定するためのワークフロー。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Purview 機能がデータのセキュリティとコンプライアンスのニーズを管理organizationにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

手順 1: ユーザーの監査 (Premium) を設定する

MailItemsAccessed や Send などの重要なイベントをログに記録する機能などの監査 (プレミアム) 機能を使用するには、ユーザーに適切な E5 ライセンスが割り当てられている必要があります。 さらに、それらのユーザーに対して高度な監査アプリ/サービス プランを有効にする必要があります。 高度な監査アプリがユーザーに割り当てられていることを確認するには、ユーザーごとに次の手順を実行します。

  1. Microsoft 365 管理センターで、[ユーザー>] [アクティブ なユーザー] の順に移動し、ユーザーを選択します。

  2. [ユーザー プロパティ] ポップアップ ページで、[ ライセンスとアプリ] を選択します。

  3. [ ライセンス ] セクションで、ユーザーに E5 ライセンスが割り当てられているか、適切なアドオン ライセンスが割り当てられていることを確認します。 監査 (Premium) をサポートするライセンスの一覧については、「 監査 (Premium) ライセンス要件」を参照してください。

  4. [アプリ] セクションを展開して、[Microsoft 365 高度な監査] チェック ボックスが選択されていることを確認します。

  5. チェック ボックスがオンになっていない場合は、そのチェック ボックスをオンにし、[変更の保存] を選択 します。

    MailItemsAccessed と Send の監査レコードのログ記録は、24 時間以内に開始されます。 手順 2 を実行して、他の 2 つの監査 (Premium) イベントのログ記録を開始する必要があります。SearchQueryInitiatedExchange と SearchQueryInitiatedSharePoint。

また、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい監査 (Premium) イベントは、それらのメールボックスに対して自動的に監査されません。 ログオンの種類ごとに監査されるメールボックス操作の変更については、 「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。

手順 2: 監査 (Premium) イベントを有効にする

ユーザーが Exchange Online と SharePoint Online で検索を実行するときに、2 つの監査 (Premium) イベント (SearchQueryInitiatedExchange と SearchQueryInitiatedSharePoint) をログに記録する必要があります。 ユーザーに対してこれら 2 つのイベントを監査できるようにするには、powerShell で次のコマンド (ユーザーごとに) Exchange Online実行します。

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

複数地域環境では、ユーザーのメールボックスが配置されているフォレストで、前の Set-Mailbox コマンドを実行する必要があります。 ユーザーのメールボックスの場所を特定するには、次のコマンドを実行します。

Get-Mailbox <user identity> | FL MailboxLocations

検索クエリの監査を有効にするコマンドが、ユーザーのメールボックスが配置されているフォレストとは異なるフォレストで以前に実行されていた場合は、 を実行 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} してユーザーのメールボックスから SearchQueryInitiated 値を削除し、ユーザーのメールボックスが配置されているフォレスト内のユーザーのメールボックスに追加する必要があります。

手順 3: 監査保持ポリシーを設定する

Azure AD、Exchange、OneDrive、および SharePoint の監査レコードを 1 年間保持する既定のポリシーに加えて、organizationのセキュリティ運用、IT、コンプライアンス チームの要件を満たす追加の監査ログ保持ポリシーを作成できます。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

手順 4: 監査 (Premium) イベントを検索する

organizationの監査 (Premium) が設定されたので、フォレンジック調査を行うときに重要な監査 (Premium) イベントやその他のアクティビティを検索できます。 手順 1 と手順 2 を完了すると、侵害されたアカウントやその他の種類のセキュリティまたはコンプライアンス調査のフォレンジック調査中に、監査 (Premium) イベントやその他のアクティビティの監査ログを検索できます。 MailItemsAccessed Audit (Premium) イベントを使用して侵害されたユーザー アカウントのフォレンジック調査を実施する方法の詳細については、「 監査 (Premium) を使用して侵害されたアカウントを調査する」を参照してください。