次の方法で共有

監査ソリューションの概要

  • [アーティクル]

Microsoft Purview 監査 (Standard) と Audit (Premium) を使用すると、ユーザーと管理者によって異なる Microsoft サービスで実行されたアクティビティの監査レコードを検索できます。 ほとんどの Microsoft 365 組織では監査 (Standard) が既定で有効になっているため、前に実行する必要があるのはごくわずかであり、organization内の他の組織は監査ログを検索できます。 監査 (Premium) でのみ使用できる機能を使用するには、さらにいくつかの構成手順を完了する必要があります。

監査 (Standard) 機能と監査 (Premium) 機能の詳細については、「 Microsoft Purview 監査ソリューション」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

手順 1: 組織のサブスクリプションとユーザー ライセンスを確認する

監査 (Standard) と監査 (Premium) のライセンスには、監査ログ検索ツールへのアクセスを提供する適切なorganization サブスクリプションと、監査レコードのログ記録と保持に必要なユーザーごとのライセンスが必要です。

監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査 (Standard) と監査 (Premium) では、監査レコードは 180 日間監査ログに保持され、検索できます。

重要

監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。

これらの監査ソリューションのサブスクリプションとライセンス要件の一覧については、監査 (Standard) と監査 (Premium) の サブスクリプション要件 に関するページを参照してください。

手順 2: 監査ログを検索するためのアクセス許可を割り当てる

調査チームの管理者とメンバーには、監査ログを検索またはエクスポートするには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査ログの表示専用ロールまたは監査ログ ロールを割り当てる必要があります。 既定では、これらのロールは、Microsoft Purview ポータルの [ロール グループ] ページの監査閲覧者監査マネージャーの役割グループと、コンプライアンス ポータルの [アクセス許可] ページに割り当てられます。

注:

監査を有効または無効にするためのアクセスと監査コマンドレットへのアクセスには、現在、Exchange 管理センターからのアクセス許可が必要です。 Exchange 管理センターの既存の 監査ログ監査ログの表示専用 ロールを使用して、監査コマンドレットへのアクセスを許可します。 Exchange 管理センターの既存の 監査ログ ロールを使用して、監査を有効または無効にするアクセス権を付与します。

また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。

注:

監査検索Graph APIにアクセスするには、Microsoft Graph で追加のアクセス許可を構成する必要があります。 詳細については、「監査検索Graph APIのアクセス許可」を参照してください。

スコープ監査ログにアクセス許可を割り当てる

監査ログを検索またはエクスポートするには、Microsoft Purview ポータルまたはコンプライアンス ポータルで、調査チームの管理者またはメンバーを次の監査関連のロール グループの少なくとも 1 つに割り当てる必要があります。

  • 監査マネージャー: Audit Manager ロール グループに割り当てられたユーザーは、監査ログを検索およびエクスポートし、テナントの監査設定を管理できます (監査ログの有効化や無効化など)。 この役割グループは、 表示のみの監査ログ ロールと 監査ログ ロールをユーザーに付与します。
  • 監査閲覧者: 監査閲覧 者ロール グループに割り当てられたユーザーは、監査ログのみを検索およびエクスポートできます。 監査ログを有効または無効にすることはできません。 この役割グループは、 表示のみの監査ログ ロールをユーザーに付与します。

手順 3: SearchQueryInitiated イベントを有効にする

ユーザーが Exchange Online と SharePoint で検索を実行するときにログを記録するには、2 つのイベント (SearchQueryInitiatedExchangeSearchQueryInitiatedSharePoint) を明示的に有効にする必要があります。

ユーザーに対してこれら 2 つのイベントを監査できるようにするには、powerShell で次のコマンドレット (ユーザーごとに) Exchange Online実行します。

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

複数地域環境では、ユーザーのメールボックスが配置されているフォレストで Set-Mailbox コマンドを実行する必要があります。 ユーザーのメールボックスの場所を特定するには、次のコマンドレットを実行します。

Get-Mailbox <user identity> | FL MailboxLocations

検索クエリの監査を有効にするコマンドレットが、ユーザーのメールボックスが配置されているフォレストとは異なるフォレストで以前に実行されていた場合は、ユーザーのメールボックスから SearchQueryInitiated 値を削除する必要があります。 を実行 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} して値を削除し、ユーザーのメールボックスがあるフォレスト内のユーザーのメールボックスに追加します。

手順 4: ユーザーの監査 (Premium) を設定する

ヒント

監査 (Standard) を使用している組織は、この手順をスキップできます。

インテリジェントな分析情報をログに記録する機能などの監査 (Premium) 機能には、適切な E5 ライセンスがユーザーに割り当てられている必要があります。 さらに、それらのユーザーに対して高度な監査アプリ/サービス プランを有効にする必要があります。

高度な監査アプリがユーザーに割り当てられていることを確認するには、ユーザーごとに次の手順を実行します。

  1. Microsoft 365 管理センターで、[ユーザー>] [アクティブ なユーザー] の順に移動し、ユーザーを選択します。

  2. [ユーザー プロパティ] ポップアップ ページで、[ ライセンスとアプリ] を選択します。

  3. [ ライセンス ] セクションで、ユーザーに E5 ライセンスが割り当てられているか、適切なアドオン ライセンスが割り当てられていることを確認します。 監査 (Premium) をサポートするライセンスの一覧については、「 ライセンス要件の監査」を参照してください。

  4. [アプリ] セクションを展開して、[Microsoft 365 高度な監査] チェック ボックスが選択されていることを確認します。

  5. チェック ボックスがオンになっていない場合は、そのチェック ボックスをオンにし、[変更の保存] を選択 します。

    監査 (Premium) 分析情報のログ記録は、24 時間以内に開始されます。

また、ユーザー メールボックスまたは共有メールボックスにログオンするメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい監査 (Premium) イベントは、それらのメールボックスに対して自動的に監査されません。 ログオンの種類ごとに監査されるメールボックス操作の変更については、 「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。

手順 5: 監査 (Premium) で監査保持ポリシーを設定する

ヒント

監査 (Standard) を使用している組織は、この手順をスキップできます。

監査 (Premium) を使用する組織は、Microsoft Entra ID、Exchange、OneDrive、SharePoint の監査レコードを 1 年間保持する既定のポリシーに加えて、organizationのセキュリティ操作、IT、コンプライアンス チームの要件を満たす監査ログ保持ポリシーを作成できます。

詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

手順 6: 監査されたイベントを検索する

organizationに対して監査 (Standard) または監査 (Premium) が構成されたので、Microsoft Purview コンプライアンス ポータルで監査ログを検索する準備ができました。 詳細なガイダンスについては、「 監査ログを検索する」を参照してください。