監査のオンとオフを切り替える

Microsoft 365 組織では、監査ログが既定で有効になっています。 ただし、新しい Microsoft 365 organizationを設定するときは、organizationの監査状態を確認する必要があります。 手順については、この記事の「organizationの監査状態を確認する」セクションを参照してください。

Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査が有効になっている場合、organizationのユーザーと管理者のアクティビティは監査ログに記録され、180 日間自動的に保持されます。 監査データの保持期間 (有効期間) は、監査ログに追加されたときに開始され、 監査ログの保持ポリシー とユーザーに割り当てられたライセンスに基づいて保持されます。

重要

監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。

ユーザー ライセンスまたは保持ポリシーを変更すると、監査データの有効期限も変更されます。

organizationには、監査ログ データを記録して保持したくない理由がある場合があります。 このような場合、グローバル管理者は、organizationの Microsoft 365 での監査を無効にすることができます。 手順については、この記事の 「監査を無効にする 」セクションを参照してください。

重要

Microsoft 365 で監査を無効にした場合、Office 365 Management Activity API またはMicrosoft Sentinelを使用して、organizationの監査データまたはログにアクセスすることはできません。 この記事の手順に従って監査をオフにすると、Microsoft Purview ポータルまたはコンプライアンス ポータルを使用して監査ログを検索するとき、または PowerShell で Search-UnifiedAuditLog コマンドレットを実行した場合、結果Exchange Online返されません。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

監査をオンまたはオフにする前に

監査をオンまたはオフにするには、Exchange Onlineの監査ログ ロールを割り当てる必要があります。 既定では、このロールは Exchange 管理センターの [アクセス許可] ページのコンプライアンス管理と組織管理の役割グループに割り当てられます。

• 監査ログを検索する手順については、「監査ログ を検索する」を参照してください。
• Microsoft 365 Management Activity API の詳細については、「 Microsoft 365 Management API の概要」を参照してください。

organizationの監査状態を確認する

organizationの監査が有効になっていることを確認するには、Exchange Online PowerShell で次のコマンドを実行します。

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled プロパティの True の値は、監査が有効になっていることを示します。 False の値は、監査が有効になっていないことを示します。

重要

PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットは Security & Compliance PowerShell でも使用できますが、監査が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常にFalseされます。

監査を有効にする

organizationに対して監査が有効になっていない場合は、Microsoft Purview ポータルまたはコンプライアンス ポータルで、または PowerShell Exchange Online使用して有効にすることができます。 監査ログを検索するときに結果を返す前に、監査を有効にしてから数時間かかることがあります。

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

監査を有効にするには、次の手順を実行します。

1. Microsoft Purview ポータルにサインインします。
2. [監査ソリューション] カードを選択します。 [監査ソリューション] カードが表示されない場合は、[すべてのソリューションを表示] を選択し、[コア] セクションから [監査] を選択します。
3. organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
4. [ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します 。

変更が有効になるまでに最大 60 分かかる場合があります。

コンプライアンス ポータル

監査を有効にするには、次の手順を実行します。

1. https://compliance.microsoft.comのMicrosoft Purview コンプライアンス ポータルで、[ソリューション>Audit] に移動します。 または、[ 監査 ] ページに直接移動するには、 https://compliance.microsoft.com/auditlogsearchを使用します。
2. organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。
3. [ ユーザーと管理者のアクティビティの記録を開始する] バナーを選択します 。

変更が有効になるまでに最大 60 分かかる場合があります。

PowerShell を使用して監査を有効にする

1. Exchange Online PowerShell に接続します。

2. 次の PowerShell コマンドを実行して、監査を有効にします。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
   

   変更が有効になるまでに最大 60 分かかる可能性があることを示すメッセージが表示されます。

監査をオフにする

監査をオフにするには、powerShell Exchange Onlineを使用する必要があります。

1. Exchange Online PowerShell に接続します。

2. 次の PowerShell コマンドを実行して、監査をオフにします。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
   

3. しばらくしてから、監査がオフになっていることを確認します (無効)。 このようにするには、次の 2 つの方法があります。

   • PowerShell Exchange Onlineで、次のコマンドを実行します。

     Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
     

     UnifiedAuditLogIngestionEnabled プロパティの False の値は、監査がオフになっていることを示します。

   • コンプライアンス ポータルの [監査 ] ページに移動します。

     organizationに対して監査が有効になっていない場合は、ユーザーと管理者のアクティビティの記録を開始するように求めるバナーが表示されます。

監査状態が変更されたときの監査レコード

organizationの監査状態に対する変更は、それ自体が監査されます。 つまり、監査レコードは、監査がオンまたはオフのときにログに記録されます。 Exchange 管理者監査ログでこれらの監査レコードを検索できます。

監査をオンまたはオフにするときに生成される監査レコードを Exchange 管理者監査ログで検索するには、Exchange Online PowerShell で次のコマンドを実行します。

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

これらのイベントの監査レコードには、監査状態がいつ変更されたか、変更した管理者、変更に使用されたコンピューターの IP アドレスに関する情報が含まれます。 次のスクリーンショットは、organizationの監査状態の変更に対応する監査レコードを示しています。

監査を有効にするための監査レコード

コマンドレットParameters プロパティの Confirm の値は、Microsoft Purview ポータルまたはコンプライアンス ポータルで統合監査ログが有効になっているか、Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true コマンドレットを実行して有効になっていることを示します。

監査をオフにするための監査レコード

Confirmの値は、コマンドレットParameters プロパティには含まれません。 これは、 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false コマンドを実行して、統合監査ログがオフになっていることを示します。

Exchange 管理者監査ログの検索の詳細については、「 Search-UnifiedAuditLog」を参照してください。