クラシック検索で監査ログを検索する

重要

2023 年 11 月 30 日より、クラシック検索は 新しい検索の代わりに廃止されます。 新しい検索には、検索時間の短縮、追加の検索オプション、検索を保存する機能などの拡張機能が含まれています。

監査ログを検索する前に

監査ログの検索を開始する前に、次の項目を確認してください。

• Microsoft 365 および Office 365 Enterprise 組織では、監査ログ検索は規定でオンになっています。 監査ログ検索が有効になっていることを確認するには、PowerShell で次のコマンドExchange Online実行できます。

  Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
  

  UnifiedAuditLogIngestionEnabled プロパティの値Trueは、監査ログ検索が有効になっていることを示します。 詳細については、「監査ログの検索を有効または無効にする」をご覧ください。

  重要

  PowerShell で前のコマンドExchange Online実行してください。 Get-AdminAuditLogConfig コマンドレットはセキュリティ & コンプライアンス PowerShell でも使用できますが、監査ログ検索が有効になっている場合でも、UnifiedAuditLogIngestionEnabled プロパティは常Falseに です。

• 監査ログを検索するには、Microsoft Purview コンプライアンス ポータルの監査ログロールまたは監査ログの表示専用ロールを割り当てる必要があります。 既定では、これらのロールはコンプライアンス ポータルの [アクセス許可] ページの監査マネージャーロール グループと監査閲覧者ロール グループに割り当てられます。 詳細については、「 Microsoft 365 で監査 (Standard) を設定する」を参照してください。 また、ビューのみの監査ログまたは監査ログロールをカスタム ロール グループに追加することで、監査ログを検索できるカスタム ロール グループを作成することもできます。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。

• 監査されたアクティビティがユーザーや管理者によって実行されると、監査記録が生成され、組織の監査ログに保存されます。 監査レコードが保持される時間 (および監査ログで検索可能) の長さは、Office 365またはMicrosoft 365 Enterpriseサブスクリプション、具体的には特定のユーザーに割り当てられているライセンスの種類によって異なります。

  • Office 365 E5またはMicrosoft 365 E5 ライセンスが割り当てられているユーザー (または、Microsoft 365 E5 Complianceまたは電子情報開示および監査アドオン ライセンス Microsoft 365 E5を持つユーザー) の場合は、Microsoft Entraの監査レコードID、Exchange、および SharePoint アクティビティは、既定で 1 年間保持されます。 また、組織では、監査ログの保持ポリシーを作成して、その他のサービスのアクティビティについての監査レコードを最大 1 年間保持します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

    注:

    監査レコードを 1 年間保持するプライベート プレビュー プログラムに参加した場合、一般提供のロールアウト日前に生成された監査レコードの保持期間はリセットされません。

  • 他の (E5 以外の) Office 365または Microsoft 365 ライセンスが割り当てられているユーザーの場合、監査レコードは 180 日間保持されます。 統合監査ログをサポートするOffice 365と Microsoft 365 サブスクリプションの一覧については、監査 (Standard) と監査 (Premium) のサブスクリプション要件に関するページを参照してください。

    重要

    監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。

    注:

    既定でメールボックス監査がオンになっている場合でも、コンプライアンス ポータルの監査ログ検索やOffice 365管理アクティビティ API を使用して、一部のユーザーのメールボックス監査イベントが見つからない場合があります。 詳細については、「More information about mailbox audit logging (メールボックス監査ログの詳細)」を参照してください。

• 組織の監査ログ検索をオフにしたい場合は、Exchange Online PowerShell で次のコマンドを実行します。

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  

  監査検索を再度有効にするには、Exchange Online PowerShell で次のコマンドを実行できます。

  Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  

  詳細については、「監査ログの検索を無効にする」を参照してください。

• 監査ログの検索に使用される基になるコマンドレットは、Exchange Online コマンドレットです。これは Search-UnifiedAuditLog です。 つまり、コンプライアンス ポータルの [監査] ページにある検索ツールを使う代わりに、このコマンドレットを使用して監査ログを検索できます。 このコマンドレットは、Exchange Online PowerShell で実行する必要があります。 詳細については、「Search-UnifiedAuditLog」を参照してください。

  Search-UnifiedAuditLog コマンドレットによって返された検索結果を CSV ファイルにエクスポートする方法の詳細については、「監査ログ レコードをエクスポート、構成、表示する」の「監査ログをエクスポート、表示するためのヒント」のセクションを参照してください。

• プログラムによって監査ログからデータをダウンロードする場合は、PowerShell スクリプトを使用するのではなく、Office 365 Management Activity API を使用することをお勧めします。 Office 365管理アクティビティ API は、organizationの運用、セキュリティ、コンプライアンス監視ソリューションの開発に使用できる REST Web サービスです。 詳細については、「Office 365 管理アクティビティ API のリファレンス」を参照してください。

• Microsoft Entra ID は、Microsoft 365 のディレクトリ サービスです。 統合監査ログには、Microsoft 365 管理センターまたは Azure 管理ポータルで実行されたユーザー、グループ、アプリケーション、ドメイン、およびディレクトリのアクティビティが記録されます。 Microsoft Entra イベントの完全な一覧については、「レポート イベントの監査Microsoft Entra」を参照してください。

• Microsoft は、イベント発生後に、対応する監査レコードが監査ログ検索の結果に返される時間を保証しません。 コア サービス (Exchange、SharePoint、OneDrive、Teams など) の場合、イベントの可用性は通常 60 分から 90 分です。 その他のサービスでは、監査レコードの可用性が長くなる可能性があります。 ただし、(サーバーの停止など) 避けられない問題の中には、監査レコードの可用性を遅延させる、監査サービスの外部で発生する避けられない問題もあります。 これらの理由により、Microsoft は時間を確約しておりません。

• 監査ログ内の Power BI アクティビティを検索するには、Power BI 管理ポータルで監査を有効にする必要があります。 手順については、Power BI 管理ポータルの「監査ログ」セクションをご覧ください。

監査ログの検索

以下に、Microsoft 365 で監査ログを検索するためのプロセスを示します。

• 手順 1: 監査ログの検索を実行する
• 手順 2: 検索結果を表示する
• 手順 3: 検索結果をファイルにエクスポートする

手順 1: 監査ログの検索を実行する

1. https://compliance.microsoft.com に移動し、サインインします。

   ヒント

   コンプライアンス ポータルにアクセスするには、プライベート閲覧セッション (通常のセッションではなく) を使用します。これにより、現在ログオンしている資格情報が使用されなくなります。 Microsoft Edge で InPrivate ブラウズ セッションを開くか、Google Chrome のプライベート ブラウズ セッション (シークレット ウィンドウと呼ばれる) を開くには、Ctrl + Shift + N キーを押します。

2. コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します。

   [監査] ページが表示されます。

   

   注:

   [ユーザーと管理者のアクティビティの記録を開始する] リンクが表示される場合は、選択して監査を有効にします。 このリンクが表示されない場合、組織の監査機能は有効です。

3. [ クラシック検索 ] タブで、次の検索条件を構成します。

   1. [開始日] と [終了日]: 既定で過去 7 日間が選択されています。 日付と時間の範囲を選択し、その期間内に発生したイベントを表示します。 日付と時刻は協定世界時 (UTC) で表示されます。 指定できる最大日付範囲は 180 日です。 選択した日付範囲が 180 日を超える場合、エラーが表示されます。

   ヒント

   最大日付範囲 180 日を使用している場合は、[開始日] の現在の時刻を選択 します。 それ以外の場合は、開始日が終了日より前であることを示すエラーが表示されます。 過去 180 日以内に監査を有効にした場合、監査が有効になった日付より前に最大日付範囲を開始することはできません。

   2. アクティビティ: ドロップダウン リストを選択して、検索できるアクティビティを表示します。 ユーザーと管理者のアクティビティが、関連するアクティビティのグループに編成されています。 特定のアクティビティを選択することも、アクティビティ グループ名を選択して、グループ内のすべてのアクティビティを選択することもできます。 選択したアクティビティを選択して、選択を解除することもできます。 検索の実行後、選択したアクティビティの監査ログ エントリのみが表示されます。 [すべてのアクティビティの結果を表示] を選択すると、選択したユーザーまたはユーザーのグループによって実行されたすべてのアクティビティの結果が表示されます。
      
      監査ログには、100 件以上のユーザーおよび管理者アクティビティが記録されます。 各サービスのすべてのアクティビティの説明については、 監査ログ アクティビティに関する記事を参照してください。

   3. ユーザー: このボックスで選択し、検索結果を表示する 1 人以上のユーザーを選択します。 このボックスで選択したユーザーによって実行された選択したアクティビティの監査ログ エントリが結果の一覧に表示されます。 組織のすべてのユーザー (およびサービス アカウント) のエントリを返すには、このボックスを空白のままにします。

   4. [ファイル、フォルダー、またはサイト]: 指定したキーワードを含むフォルダーのファイルに関連するアクティビティを検索するには、ファイルまたはフォルダー名の一部またはすべてを入力します。 ファイルまたはフォルダーの URL を指定することもできます。 URL を使用する場合は、完全な URL パスを入力するか、URL の一部を入力する場合は、特殊文字やスペースを含めないでください (ただし、ワイルドカード文字 (*) の使用はサポートされています)。
      
      組織内のすべてのファイルおよびフォルダーのエントリを返すには、このボックスを空白のままにします。

   ヒント

   • サイトに関連するすべてのアクティビティを探している場合は、URL の後にワイルドカード文字 (*) を追加して、そのサイトのすべてのエントリを返します。たとえば、 "https://contoso-my.sharepoint.com/personal*"です。

   • ファイルに関連するすべてのアクティビティを探している場合は、 ファイル名の前にワイルドカード文字 (*) を追加して、そのファイルのすべてのエントリを返します。たとえば、 "*Customer_Profitability_Sample.csv"です。

4. [検索] を選択して、検索条件を使用して検索を実行します。

   検索結果が読み込まれ、しばらくすると新しいページに表示されます。 検索が完了すると、検索結果の件数が表示されます。 最大 50,000 個のイベントが 150 イベントずつ表示されます。 検索条件を満たすイベントが 50,000 を超える場合は、返された 50,000 個の未ソート イベントのみが表示されます。

   

監査ログを検索するためのヒント

• 検索する特定のアクティビティを選択するには、アクティビティ名を選択します。 または、グループ名を選択して、グループ内のすべてのアクティビティ ( ファイルアクティビティやフォルダー アクティビティなど) を検索することもできます。 アクティビティが選択されている場合は、そのアクティビティを選択して、選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。

  

• Exchange 管理者監査ログのイベントを表示するには、[アクティビティ] リストの [すべてのアクティビティの結果を表示] を選択する必要があります。 この監査ログのイベントには、結果の [アクティビティ] 列にコマンドレット名 (Set-Mailbox など) が表示されます。 詳細については、この記事の [ 監査されたアクティビティ ] タブを選択し、[ Exchange 管理者アクティビティ] を選択します。

  同様に、[アクティビティ] 一覧に対応する項目がない一部の監査アクティビティがあります。 これらのアクティビティ向けの操作の名前がわかっている場合は、すべてのアクティビティを検索し、検索結果を CSV ファイルにエクスポートしてから操作をフィルター処理します。

• [クリア] を選択すると、現在の検索条件がクリアされます。 日付の範囲が、過去 7 日間の既定値に戻ります。 [すべてクリア] を選択 して、すべてのアクティビティの結果を表示 して、選択したすべてのアクティビティを取り消すこともできます。

• 50,000 件の結果が見つかった場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 検索条件を絞り込んで検索を再実行して返す結果を少なくするか、[結果のエクスポート] [すべての結果のダウンロード] を選択して 50,000 件の検索結果をエクスポート>できます。

手順 2: 検索結果を表示する

[監査ログの検索] ページの [結果] に監査ログの検索の結果が表示されます。 前に述べたように、最大 50,000 の (最新の) イベントが 150 イベントずつ表示されます。 次の 150 件のイベントを表示するには、スクロール バーを使用するか、Shift + End を押します。

検索結果には、検索によって返された各イベントに関する次の情報が含まれます。

• 日付: イベントが発生した日時 (UTC)。

• [IP アドレス]: アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスの形式で表示されます。

  注:

  一部のサービスでは、このフィールドに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。 また、Microsoft Entra関連イベントの管理者アクティビティ (またはシステム アカウントによって実行されたアクティビティ) の場合、IP アドレスはログに記録されません。このフィールドに表示される値は ですnull。

• [ユーザー]: イベントをトリガーしたアクションを実行したユーザー (またはサービス アカウント)。

• [アクティビティ]: ユーザーが実行したアクティビティ。 この値は [アクティビティ] ドロップダウン リストで選択したアクティビティに対応します。 Exchange 管理者監査ログのイベントの場合、この列の値は、Exchange コマンドレットになります。

• [アイテム]: 対応するアクティビティの結果として作成または変更されたオブジェクト。 たとえば、表示または変更されたファイルまたは更新されたユーザー アカウントなどです。 すべてのアクティビティにこの列の値があるとは限りません。

• [詳細]: アクティビティに関する追加の詳細。 ここでも、すべてのアクティビティに値があるとは限りません。

ヒント

[結果] の列見出しを選択して結果を並べ替えます。 A から Z または Z から A で結果を並べ替えることができます。最も古いものから最も新しいものに結果を並べ替えるには、[日付] 見出しを選択します。

特定のイベントの詳細を表示する

イベントの詳細情報を表示するには、検索結果一覧のイベント レコードを選択します。 イベント レコードの詳細なプロパティが記載されたポップアップ ページが表示されます。 表示されるプロパティは、イベントが発生するサービスによって変わります。

手順 3: 検索結果をファイルにエクスポートする

監査ログの検索の結果を、ローカル コンピューター上のコンマ区切り値 (CSV) ファイルにエクスポートできます。 このファイルを Microsoft Excel で開いて、検索、並べ替え、フィルター処理、および単一の列 (複数のプロパティが含まれる) の複数列への分割などの機能を使用できます。

1. 監査ログの検索を実行して、目的の結果が得られるまで検索条件を変更します。

2. 検索結果ページで、[エクスポート] [すべての結果のダウンロード] を選択します>。

   検索条件を満たす監査ログからのすべてのエンティティは、CSV ファイルにエクスポートされます。 監査ログからの生データは、CSV ファイルにダウンロードされます。 監査ログ エントリからの追加情報は、CSV ファイルの [AuditData] という名前の列に含まれます。

   重要

   1 つの監査ログの検索から、最大 50,000 エントリを CSV ファイルにダウンロードできます。 50,000 エントリを CSV ファイルにダウンロードする場合、検索条件に一致するイベントが 50,000 件を超えていると見なすことができます。 この上限を超える件数をエクスポートするには、日付の範囲を指定して、監査ログのエントリ数を減らすことをお勧めします。 50,000 を超えるエントリをエクスポートするには、日付範囲が小さい複数の検索を実行する必要がある場合があります。

3. エクスポート処理が完了すると、ウィンドウの上部に、CSV ファイルを開いてローカル コンピュータに保存するように促すメッセージが表示されます。 ダウンロード フォルダーでも、CSV ファイルにアクセスできます。

監査ログの検索結果のエクスポートと表示に関する詳細情報

• すべての検索結果をダウンロードすると、CSV ファイルには CreationDate、UserIds、Operations、AuditData の各列が含まれます。 AuditData 列には、各イベントに関する追加情報が含まれます (コンプライアンス ポータルで検索結果を表示するときに、ポップアップ ページに表示される詳細情報と同様)。 この列のデータは、監査ログ レコードの複数のプロパティを含む JSON オブジェクトで構成されています。 この JSON オブジェクトに含まれる property:value の各ペアは、コンマで区切られます。 Excel の Power Query エディターに含まれる JSON 変換ツールを使用すると、[AuditData] 列を複数の列に分割し、JSON オブジェクトのプロパティごとに個別の列を設定できます。 このようにすると、これらの 1 つ以上のプロパティで並べ替えやフィルター処理を行うことができます。 Power Query エディターを使用して JSON オブジェクトを変換するための詳しい手順については、「監査ログ レコードをエクスポート、構成、表示する」を参照してください。

  AuditData 列を分割した後、[操作] 列でフィルター処理して、特定の種類のアクティビティの詳細なプロパティを表示できます。

• さまざまなサービスのイベントが含まれている検索クエリからすべての結果をダウンロードすると、CSV ファイルの [AuditData] 列には、そのアクションが実行されたサービスに応じて異なるプロパティが含まれます。 たとえば、Exchange とMicrosoft Entra監査ログのエントリには、アクションが成功したかどうかを示す ResultStatus という名前のプロパティが含まれます。 このプロパティは、SharePoint のイベントには含まれません。 同様に、SharePoint イベントには、ファイルおよびフォルダー関連のアクティビティのサイト URL を識別するプロパティがあります。 この動作を軽減するには、別々の検索を使用して、1 つのサービスからのアクティビティの結果をエクスポートすることを検討してください。

  すべての結果をダウンロードする場合に CSV ファイルの [AuditData] 列に一覧表示されるプロパティの多く、および各プロパティが適用されるサービスについては、「監査ログの詳細なプロパティ」を参照してください。

監査ログへのスコープアクセス

監査ログを検索するためのアクセスは、コンプライアンス ポータルで監査ログにアクセスするユーザーに割り当てられた管理単位に基づいてスコープが設定されます。 制限付き管理者は、ユーザーが生成した監査ログを管理単位のスコープ内でのみ検索およびエクスポートできます。 無制限の管理者は、ユーザー以外のアカウントとシステム アカウントによって生成されたログを含むすべての監査ログにアクセスできます。

管理者に割り当てられた管理ユニット	スコープ検索を実行するために使用できる管理ユニット	監査ログの検索とエクスポートへのアクセス
なし (既定値): 無制限の管理者	すべての管理単位を使用できます	任意のユーザー、非ユーザー、またはシステム アカウントからすべてのアクティビティ ログにアクセスします。
1 つ以上の管理単位: 制限付き管理者	管理者に割り当てられている管理単位のみを使用できます	一致する管理単位の割り当てを持つユーザーからのアクティビティ ログへのアクセス。

注:

Search-MailboxAuditLog コマンドレットと Search-AdminAuditLog コマンドレットは現在、スコープ付きアクセスをサポートしていません。 これらのコマンドレットを使用する検索要求には、検索を実行するユーザーがスコープ付き管理者である場合でも、Exchange からのスコープなしアクティビティ ログが常に含まれます。Exchange メールボックス アクティビティ ログなど、Microsoft サービスからスコープ付きアクティビティ ログにアクセスするには、 Search-UnifiedAuditLog コマンドレットを使用します。

次の監査アクティビティには、 無制限の管理者が実行した検索クエリでのみアクセスできます。制限付き管理者がクエリを実行したときに、これらのログにアクセスできるように取り組んでいます。これらのアクティビティの監査ログの完全な一覧を表示するには、無制限の管理者アカウントを使用して検索要求を送信します。

サービス	操作
Azure Information Protection	検出
Dynamics 365	CrmDefaultActivity
エンドポイントのデータ損失防止	FileCreated FileCreatedOnNetworkShare FileCreatedOnRemovableMedia FileDeleted
Exchange	Set-Mailbox Set-MailboxPlan SupervisionBulkEmailExclusion
Microsoft Forms	ViewRuntimeForm

管理単位の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

よく寄せられる質問

現在監査対象となっている Microsoft 365 サービスは何ですか?

Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Entra ID、Microsoft Teams、Dynamics 365、Defender for Office 365、Power BI などの最も使用されているサービスが監査されます。 監査対象のサービスのリストについては、この記事の冒頭を参照してください。

Microsoft 365 の監査サービスでは、どんなアクティビティが監視されますか?

監査される アクティビティ の一覧と説明については、ログ アクティビティの監査に関する記事を参照してください。

イベント発生後、監査レコードが使用できるようになるまでどのくらいの時間がかかりますか?

ほとんどの監査データは 60 から 90 分以内に使用できますが、対応する監査ログ エントリが検索結果に表示されるまでにイベントが発生してから最大 24 時間かかる場合があります。 この記事の 「監査ログを検索する前 に」セクションを参照して、さまざまなサービスのイベントが使用可能になるまでにかかる時間を示します。

監査レコードの保持期間はどのくらいですか?

Office 365 E5または Microsoft E5 ライセンスが割り当てられているユーザー (またはMicrosoft 365 E5アドオン ライセンスを持つユーザー) によって実行されたアクティビティの監査レコードは、1 年間保持されます。 統合監査ログをサポートする他のすべてのサブスクリプションの場合、監査レコードは 180 日間保持されます。

重要

監査 (Standard) の既定の保持期間が 90 日から 180 日に変更されました。 2023 年 10 月 17 日より前に生成された監査 (Standard) ログは、90 日間保持されます。 2023 年 10 月 17 日以降に生成された監査 (Standard) ログは、新しい既定の保持期間の 180 日に従います。

プログラムを使用して監査データにアクセスできますか?

はい。 Office 365管理アクティビティ API は、プログラムによって監査ログをフェッチするために使用されます。 開始するには、「Office 365 Management API の概要」を参照してください。

セキュリティ/コンプライアンス ポータルまたは Office 365 Management Activity API の使用以外に、監査ログを取得する方法はありますか?

はい、次の方法を使用して、監査ログを取得できます。

• Office 365 マネージメント アクティビティ API。
• Microsoft Purview コンプライアンス ポータルの 監査ログ検索ツール。
• Exchange Online PowerShell の Search-UnifiedAuditLog コマンドレット。

監査ログを取得したい各サービスで監査を個別に有効にする必要がありますか?

ほとんどのサービスでは、最初に組織の監査を有効にした後で、既定で監査が有効になります (この記事の「監査ログを検索する前に」セクションを参照してください)。

監査サービスはレコードの重複除去をサポートしていますか?

いいえ。 監査サービス パイプラインはほぼリアルタイムであるため、重複除去をサポートできません。

監査データはどこに保存されますか?

現在、NA (北米)、EMEA (ヨーロッパ、中東、アフリカ)、および APAC (アジア太平洋) 地域に、監査パイプラインを展開しています。 これらのリージョンに所属するテナントには、リージョンに監査データが格納されています。 複数地域テナントの場合、テナントのすべてのリージョンから収集された監査データは、テナントのホーム リージョンにのみ格納されます。 ただし、負荷分散や、ライブサイトの問題発生時にのみ、こういった地域にデータを転送する場合があります。 これらのアクティビティを実行すると、転送中のデータが暗号化されます。

監査データは暗号化されますか?

監査データは、統合監査パイプラインが展開されるのと同じ地域の Exchange メールボックス(保存データ)に保存されます。 保存中のメールボックス データは、Exchange によって暗号化されません。 ただし、Microsoft データセンターの Exchange サーバーは BitLocker を介して暗号化されるため、サービス レベルの暗号化はすべてのメールボックス データを暗号化します。 詳細の情報に、「Skype for Business、OneDrive for Business、SharePoint Online、および Exchange Online 用の Microsoft 365 の暗号化」を参照してください。

送信中のメールデータは常に暗号化されます。