Microsoft Teams でイベントの監査ログを検索する
大事な
Microsoft Teams 管理センターは、Skype for Business 管理センターを徐々に置き換えており、Microsoft 365 管理センターから Teams の設定を移行しています。 設定が移行されると、通知が表示され、Teams 管理センター内のその設定の場所に移動します。 詳細については、「Teams 管理センターへの移行中に Teams を管理する」をご覧ください。
監査ログは Microsoft 365 の複数のサービスにわたって特定のアクティビティを調査するのに役立ちます。 Microsoft Teams の場合は、次のいくつかのアクティビティが監査対象になります。
- チームの作成
- チームの削除
- 追加されたチャネル
- チャネルの削除
- チャンネル設定の変更
監査対象となる Teams アクティビティの完全な一覧については、「Teams アクティビティ」および「Teams アクティビティでのシフト」を参照してください。
注意
プライベート チャネルからの監査イベントも、チームや標準チャネルの場合と同様に記録されます。
Teams で監査をオンにする
監査データを確認するには、まず、Microsoft Purview コンプライアンス ポータルで監査を有効にする必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。
大事な
利用できる監査データは、監査を有効にした時点以降のデータのみです。
監査ログから Teams データを取得する
Teams アクティビティの監査ログを取得するには、https://compliance.microsoft.com に移動し、[監査] を選択します。
[検索] ページで、監査するアクティビティ、日付、ユーザーをフィルター処理します。
さらに詳しく分析するために、結果を Excel にエクスポートします。
詳細な手順については、「 コンプライアンス ポータルで監査ログを検索する」を参照してください。
大事な
監査データは、監査がオンになっている場合に、監査ログでのみ見ることができます。
監査ログで監査レコードが保持され検索可能な期間は、使用している Microsoft 365 または Office 365 サブスクリプション、特にユーザーに割り当てられているライセンスの種類によって異なります。 詳細については、 セキュリティ & コンプライアンス センター サービスの説明に関するページを参照してください。
監査ログを検索するためのヒント
ここでは、監査ログで Teams アクティビティを検索するためのヒントをご紹介します。
検索する特定のアクティビティを選択するには、1 つまたは複数のアクティビティの横にあるチェックボックスをクリックします。 アクティビティが選択されている場合は、そのアクティビティを選択して選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。
cmdlets を使用して実行したアクティビティのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択します。 これらのアクティビティの操作の名前がわかっている場合は、検索ボックスに入力してアクティビティを表示し、それを選択します。
現在の検索条件をクリアするには、[ すべてクリア] を選択します。 日付の範囲が、過去 7 日間の既定値に戻ります。
5,000 件の結果が見つかった場合、検索条件に一致するイベントが 5,000 件を超えていると見なすことができます。 検索条件を絞り込み、返される結果が少なくなるように検索を再実行するか、[エクスポート]>[すべての結果をダウンロード] を選択して、すべての検索結果をエクスポートできます。 監査ログをエクスポートする手順の詳細については、「検索結果をファイルにエクスポートする」を参照してください。
オーディオ ログ検索の使い方は、こちらの動画をチェックアウトしてください。 Teams のプログラム マネージャーである Ansuman Acharya が、Teams の監査ログ検索を行う方法を説明します。
Teams アクティビティ
ここでは、Microsoft 365 の監査ログで Teams のユーザーと管理者のアクティビティのために記録されるすべてのイベントの一覧を紹介します。 表には、[アクティビティ] 列に表示されるフレンドリ名と、監査レコードの詳細情報および検索結果をエクスポートするときに CSV ファイルに表示される対応する操作名が含まれています。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| チームへのボットの追加 | BotAddedToTeam | ユーザーがチームにボットを追加しました。 |
| チャネルの追加 | ChannelAdded | ユーザーがチームにチャネルを追加しました。 |
| コネクタの追加 | ConnectorAdded | ユーザーがチャネルにコネクタを追加しました。 |
| Teams 会議に関する詳細を追加しました 2 | MeetingDetail | Teams では、監査ログには、開始時刻、終了時刻、会議に参加するための URL など、会議に関する情報を追加しました。 |
| 会議の参加者に関する情報が追加されました 2 | MeetingParticipantDetail | Teams では、各参加者のユーザー ID、参加者が会議に参加した時間、参加者が会議を離れた時間など、会議の参加者に関する情報を追加しました。 |
| メンバーの追加 | MemberAdded | チームの所有者が、チーム、チャネル、またはグループ チャットにメンバーを追加しました。 |
| タブの追加 | TabAdded | ユーザーがチャネルにタブを追加しました。 |
| 適用された秘密度ラベル | SensitivityLabelApplied | ユーザーまたは会議の開催者は、Teams 会議に秘密度ラベルを適用しました。 |
| チャンネル設定の変更 | ChannelSettingChanged | 次のアクティビティがチーム メンバーにより実行されると、ChannelSettingChanged 操作が記録されます。 これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
|
| 組織の設定の変更 | TeamsTenantSettingChanged | TeamsTenantSettingChanged は、全体管理者が Microsoft 365 管理センターを使用して次のアクティビティを実行したときに記録されます。 これらの活動は、組織全体の Teams 設定に影響を与えます。 詳細については、「組織の Teams 設定を管理する」を参照してください。 これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
|
| メンバーの役割の変更 | MemberRoleChanged | チーム所有者がチームのメンバーの役割を変更します。 次の値は、ユーザーに割り当てられる役割の種類を示します。 1 - メンバー ロールを意味します。 2 - 所有者ロールを示します。 3 - ゲスト ロールを示します。 メンバー プロパティには、組織の名前とメンバーのメール アドレスも含まれます。 |
| チーム設定の変更 | TeamSettingChanged | 次のアクティビティがチームの所有者により実行されると、TeamSettingChanged 操作が記録されます。 これらの各アクティビティについては、変更された設定 (かっこ内) の説明が、監査ログの検索結果の [項目] 列に表示されます。
|
| 秘密度ラベルを変更しました | SensitivityLabelChanged | ユーザーが Teams 会議で秘密度ラベルを変更しました。 |
| チャット 1、2 を作成しました | ChatCreated | Teams チャットが作成されました。 |
| チームの作成 | TeamCreated | ユーザーがチームを作成しました。 |
| メッセージを削除しました | MessageDeleted | チャットまたはチャネルのメッセージが削除されました。 |
| すべての組織のアプリが削除されました | DeletedAllOrganizationApps | カタログからすべての組織アプリを削除しました。 |
| 削除されたアプリ | AppDeletedFromCatalog | カタログからアプリが削除されました。 |
| チャネルの削除 | ChannelDeleted | ユーザーがチームからチャネルを削除しました。 |
| チームの削除 | TeamDeleted | チーム所有者がチームを削除しました。 |
| Teams 内の URL リンクを含むメッセージを編集しました | MessageEditedHasLink | ユーザーがメッセージを編集し、 Teams 内でそのメッセージへの URL リンクを追加します。 |
| エクスポートされたメッセージ 1、 2 | MessagesExported | チャットまたはチャネル メッセージがエクスポートされた。 |
| 共有チャネル 3 への招待を検証できませんでした | FailedValidation | ユーザーが共有チャネルへの招待に応答しますが、招待の検証に失敗しました。 |
| フェッチされたチャット 1、 2 | ChatRetrieved | Microsoft Teams チャットを取得しました。 |
| メッセージ1、2 のすべてのホストされたコンテンツをフェッチしました | MessageHostedContentsListed | 画像やコード スニペットなど、メッセージ内のすべてのホストされたコンテンツが取得されました。 |
| インストールされたアプリ | AppInstalled | アプリがインストールされました。 |
| カードに対して実行されたアクション | PerformedCardAction | ユーザーがチャット内のアダプティブ カードでアクションを起こしました。 アダプティブ カードは通常ボットで使用し、チャットで情報を豊富に表示して、相互作用することを可能にします。 注: チャット内のアダプティブ カードでのインライン入力アクションだけが監査ログで利用可能になります。 たとえば、チャネルでの会話の中で、ユーザーがポーリング ボットによって生成されたアダプティブ カード上でポーリング応答を送信した場合。 ダイアログを開く「結果を表示」などのユーザー アクションや、ダイアログ内のユーザー アクションは、監査ログには表示されません。 |
| 新しいメッセージ 1、2 を投稿しました | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 |
| 公開済みのアプリ | AppPublishedToCatalog | アプリがカタログに追加されました。 |
| メッセージ 1、2 を読み取る | MessageRead | チャットまたはチャネルのメッセージを取得しました。 |
| メッセージ 1、2 のホストされたコンテンツを読み取る | MessageHostedContentRead | 画像やコード スニペットなど、メッセージにホストされているコンテンツを取得しました。 |
| チームからのボットの削除 | BotRemovedFromTeam | ユーザーがチームからボットを削除しました。 |
| コネクタの削除 | ConnectorRemoved | ユーザーがチャネルからコネクタを削除しました。 |
| メンバーの削除 | MemberRemoved | チームの所有者が、チーム、チャネル、またはグループ チャットからメンバーを削除しました。 |
| 秘密度ラベルを削除しました | SensitivityLabelRemoved | ユーザーが Teams 会議から秘密度ラベルを削除しました。 |
| チーム チャネル 3 の共有を削除しました | TerminatedSharing | チームまたはチャネルの所有者が共有チャネルの共有を無効にしました。 |
| チーム チャネル 3 の共有を復元しました | SharingRestored | チームまたはチャネルの所有者が共有チャネルの共有を再び有効にしました。 |
| タブの削除 | TabRemoved | ユーザーがチャネルからタブを削除しました。 |
| 共有チャネル 3 の招待に応答しました | InviteeResponded | ユーザーが共有チャネルの招待に応答しました。 |
| 共有チャネル 3 への招待者の応答に応答しました | ChannelOwnerResponded | チャネルの所有者が共有チャネルの招待に応答したユーザーからの応答に応答しました。 |
| 取得されたメッセージ 1、 2 | MessagesListed | チャットまたはチャネルからのメッセージが取得されました。 |
| Teams 内の URL リンクを含むメッセージを送信しました | MessageCreatedHasLink | ユーザーがTeams 内の URL リンクを含むメッセージを送信します。 |
| メッセージ作成の変更通知の送信 1、 2 | MessageCreatedNotification | サブスクライブしているリスナー アプリケーションに、新しいメッセージを通知する変更通知が送信されました。 |
| メッセージ削除の変更通知を送信 しました 1, 2 | MessageDeletedNotification | サブスクライブしているリスナー アプリケーションに、メッセージが削除されたことを通知する変更通知が送信されました。 |
| メッセージ更新プログラム 1、2 の送信された変更通知 | MessageUpdatedNotification | サブスクライブしているリスナー アプリケーションに、メッセージが更新されたことを通知する変更通知が送信されました。 |
| 共有チャネルの招待を送信 しました 3 | InviteSent | チャネルの所有者またはメンバーが共有チャネルへの招待を送信します。 チャネルを外部ユーザーと共有するようにチャネル ポリシーが構成されている場合、共有チャネルへの招待を組織外のユーザーに送信できます。 |
| メッセージ変更通知をサブスクライブ しました 1、 2 | SubscribedToMessages | メッセージの変更通知を受け取るためのサブスクリプションがリスナー アプリケーションによって作成されました。 |
| 削除されたアプリ | AppUninstalled | アプリがアンインストールされました。 |
| 更新されたアプリ | AppUpdatedInCatalog | アプリがカタログで更新されました。 |
| チャット 1、2 を更新しました | ChatUpdated | Teams チャットが更新されました。 |
| メッセージ 1、2 を更新しました | MessageUpdated | チャットまたはチャネルのメッセージが更新されました。 |
| コネクタの更新 | ConnectorUpdated | ユーザーがチャネルのコネクタを変更しました。 |
| タブの更新 | TabUpdated | ユーザーがチャネルのタブを変更しました。 |
| アップグレードされたアプリ | AppUpgraded | アプリがカタログで最新版にアップグレードされました。 |
| Teams へのユーザーのサインイン | TeamsSessionStarted | ユーザーが Microsoft Teams クライアントにサインインしました。 このイベントは、トークン更新アクティビティをキャプチャしません。 |
| 投稿された新しいメッセージ 3、 4 | MessageSent | 新しいメッセージがチャットまたはチャネルに投稿されました。 このイベントは、ライセンスの詳細を定義するプレミアム機能です。 |
注意
1 このイベントの監査レコードは、Microsoft Graph API の呼び出しによって操作が実行された場合にのみログに記録されます。 操作が Teams クライアントで実行された場合、監査レコードはログに記録されません
2 このイベントは監査 (Premium) でのみ使用できます。 つまり、これらのイベントが監査ログに記録される前に、ユーザーに適切なライセンスを割り当てる必要があります。 監査 (Premium) でのみ使用できるアクティビティの詳細については、「 Microsoft Purview の監査 (Premium)」を参照してください。 監査 (Premium) ライセンス要件については、「 Microsoft 365 の監査ソリューション」を参照してください。
3 このイベントはパブリック プレビュー中です。
4このイベントは、ゲスト、フェデレーション ユーザー、匿名ユーザーが存在する場合にのみ、チャット用に生成されます。
Teams アクティビティにサインイン
(プレビュー段階)
組織で Teams の Shifts アプリを使用している場合は、Shifts アプリに関連するアクティビティの監査ログを検索できます。 ここでは、Microsoft 365 の監査ログで Teams の Shifts アクティビティのために記録されるすべてのイベントの一覧を紹介します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 追加済みのスケジューリング グループ | ScheduleGroupAdded | ユーザーが新しいスケジューリング グループをスケジュールに追加することに成功しました。 |
| 編集済みのスケジューリング グループ | ScheduleGroupEdited | ユーザーがスケジューリング グループの編集に成功しました。 |
| 削除済みのスケジューリング グループ | ScheduleGroupDeleted | ユーザーがスケジューリング グループをスケジュールから削除することに成功しました。 |
| スケジュールの撤回 | ScheduleWithdrawn | ユーザーが公開されたスケジュールの撤回に成功しました。 |
| 追加済みのシフト | ShiftAdded | ユーザーがシフトの追加に成功しました。 |
| 編集済みのシフト | ShiftEdited | ユーザーがシフトの編集に成功しました。 |
| 削除済みのシフト | ShiftDeleted | ユーザーがシフトの削除に成功しました。 |
| 追加済みの休暇 | TimeOffAdded | ユーザーがスケジュールに休暇を追加することに成功しました。 |
| 編集済みの休暇 | TimeOffEdited | ユーザーが休暇の編集に成功しました。 |
| 削除済みの休暇 | TimeOffDeleted | ユーザーが休暇の削除に成功しました。 |
| 追加済みの空きシフト | OpenShiftAdded | ユーザーが空きシフトをスケジューリング グループに追加することに成功しました。 |
| 編集済みの空きシフト | OpenShiftEdited | ユーザーがスケジューリング グループの空きシフトを編集することに成功しました。 |
| 削除済みの空きシフト | OpenShiftDeleted | ユーザーがスケジューリング グループから空きシフトを削除することに成功しました。 |
| 共有済みのスケジュール | ScheduleShared | ユーザーが期間中のチーム スケジュールを共有することに成功しました。 |
| 業務時間記録を使用して出勤済み | ClockedIn | ユーザーが業務時間記録を使用して出勤することに成功しました。 |
| 業務時間記録を使用して退勤済み | ClockedOut | ユーザーが業務時間記録を使用して退勤することに成功しました。 |
| 業務時間記録を使用して開始済みの休憩 | BreakStarted | ユーザーがアクティブな業務時間記録セッション中の休憩の開始に成功しました。 |
| 業務時間記録を使用して終了した休憩 | BreakEnded | ユーザーがアクティブな業務時間記録セッション中の休憩の終了に成功しました。 |
| 追加済みの業務時間記録エントリ | TimeClockEntryAdded | ユーザーがタイムシートに手動で業務時間記録エントリを追加することに成功しました。 |
| 編集済みの業務時間記録エントリ | TimeClockEntryEdited | ユーザーがタイムシートの業務時間記録エントリを編集することに成功しました。 |
| 削除済みの業務時間記録エントリ | TimeClockEntryDeleted | ユーザーがタイムシートの業務時間記録エントリを削除することに成功しました。 |
| 追加済みのシフト要求 | RequestAdded | ユーザーがシフト要求を追加しました。 |
| シフト要求に応答済み | RequestRespondedTo | ユーザーがシフト要求に応答しました。 |
| キャンセルされたシフト要求 | RequestCancelled | ユーザーがシフト要求をキャンセルしました。 |
| 変更されたスケジュール設定 | ScheduleSettingChanged | ユーザーがシフト設定で設定を変更しました。 |
| 追加済みの従業員の統合 | WorkforceIntegrationAdded | シフト アプリは、サードパーティのシステムと統合されています。 |
| 承諾済みのシフト外メッセージ | OffShiftDialogAccepted | ユーザーは、シフト時間後に Teams にアクセスするためのシフト外メッセージを承認します。 |
Teams アクティビティでアプリを更新する
組織が Teams で更新 アプリを使用している場合は、更新 アプリに関連するアクティビティを監査ログで検索できます。 Microsoft 365 監査ログ内の Teams の更新アプリ アクティビティに対して記録されるすべてのイベントの一覧を次に示します。
| フレンドリ名 | 操作 | 説明 |
|---|---|---|
| 更新要求を作成する | CreateUpdateRequest | ユーザーが更新要求を正常に作成しました。 |
| 更新要求を編集する | EditUpdateRequest | ユーザーが要求編集ウィザードを開き、[ 保存] を選択して変更を確認して保存するか、更新要求を直接有効または無効にします。 |
| 更新プログラムを送信する | SubmitUpdate | ユーザーが更新プログラムを正常に送信しました。 |
| 1 つの更新プログラムの詳細を表示する | ViewUpdate | ユーザーが更新プログラムの詳細を表示します。 |
Office 365 マネージメント アクティビティ API
Office 365 マネージメント アクティビティ API を使用して、Teams のイベント情報を取得することができます。 Teams の管理アクティビティ API スキーマの詳細については、「 Teams スキーマ」を参照してください。
Teams の監査ログでの属性
Azure Active Directory (Azure AD)、Microsoft 365 管理センター、または Microsoft 365 グループ グラフ API を通じて行われた Teams へのメンバー変更 (ユーザーの追加や削除など) は、Teams の監査メッセージと一般チャネルに、実際のアクションの開始者ではなく、チームの既存の所有者に対する属性を付けて表示されます。 これらのシナリオでは、Azure AD またはMicrosoft 365 グループの監査ログにお問い合わせの上、関連情報を参照してください。
Defender for Cloud Apps を使用してアクティビティ ポリシーを設定する
Microsoft Defender for Cloud Apps の統合を使用し、アクティビティ ポリシーを設定して、アプリ プロバイダーの API を使用した幅広い自動処理を適用することができます。 これらのポリシーにより、さまざまなユーザーが行う特定のアクティビティを監視したり、予想外に高率で発生する特定のタイプのアクティビティをフォローしたりすることができます。
アクティビティ検出ポリシーを設定すると、アラートの生成を開始します。 アラートは、ポリシーを作成した後に発生したアクティビティに対してのみ生成されます。 ここでは、Defender for Cloud Apps でアクティビティ ポリシーを使用して Teams アクティビティを監視する方法について、いくつかのシナリオ例を紹介します。
外部ユーザーのシナリオ
ビジネスの観点から注意したいシナリオの一つに、Teams 環境に外部ユーザーを追加することがあります。 外部ユーザーが有効になっている場合は、そのプレゼンスを監視することをお勧めします。 Defender for Cloud Apps を使用して、脅威の可能性を特定することができます。
外部ユーザーの追加を監視するこのポリシーのスクリーンショットでは、ポリシーに名前を付け、ビジネスの必要に応じて重大度を設定し、(この場合は) 単一のアクティビティとして設定した上で、内部ユーザー以外の追加のみを具体的に監視するパラメーターを設定し、このアクティビティを Teams に限定することができます。
本ポリシーの結果は、次の活動ログで確認することができます。
ここでは、設定したポリシーとの一致を確認し、必要に応じて調整を行ったり、結果をエクスポートして他の場所で使用することができます。
大量削除のシナリオ
前述したように、削除シナリオを監視することができます。 Teams サイトの大量削除を監視するポリシーを作成することができます。 この例では、30 分間隔でチームの大量削除を検知するアラートベースのポリシーを設定しています。
スクリーンショットが示すように、このポリシーには、重大度、単一または繰り返されたアクション、Teams とサイトの削除に限定するパラメーターなど、さまざまなパラメーターを設定して Teams の削除を監視することができます。 これは、テンプレートとは別に行うこともできますし、組織の必要に応じて、このポリシーのベースとなるテンプレートを作成させることもできます。
ビジネスに有効なポリシーを設定した後は、イベントがトリガーされるとアクティビティ ログの結果を確認することができます。
設定したポリシーをフィルター処理して、そのポリシーの結果を表示することができます。 アクティビティ ログで得た結果が満足できない場合 (多くの結果が表示されている場合や、まったく表示されない場合)、クエリを微調整して、必要な操作に対して関連性を高めるのに役立つ場合があります。
アラートとガバナンスのシナリオ
アクティビティ ポリシーがトリガーされた場合にアラートを設定し、管理者や他のユーザーにメール送信することができます。 ユーザーの保留や、ユーザーに再度サインインさせるなどの自動化されたガバナンス アクションを自動で設定することができます。 この例では、アクティビティ ポリシーがトリガーされ、ユーザーが 30 分間で 2 つ以上のチームを削除したと判断した場合に、ユーザー アカウントを一時停止する方法を示しています。
Defender for Cloud Apps を使用して異常検出ポリシーを設定する
Defender for Cloud Apps の異常検出ポリシーでは、ユーザー/エンティティ行動分析 (UEBA) と機械学習 (ML) をすぐに利用できるので、クラウド環境全体で高度な脅威検出をすぐに実行することができます。 新しい異常検出ポリシーは自動的に有効化されているため、ユーザーやネットワークに接続されているマシンやデバイス全体の多数の動作異常をターゲットにして即時検出を行い、すぐに結果を出すことができます。 さらに、新しいポリシーでは、Defender for Cloud Apps の検出エンジンからより多くのデータが公開され、調査手順を加速して進行中の脅威の抑制に役立ちます。
Teams イベントを異常検出ポリシーに統合する作業を行っています。 現時点では、他の Office 製品の異常検出ポリシーを設定し、そのポリシーに合致するユーザーに対する実施項目を実行することができます。