トレーニング
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
メールボックス監査ログは、すべての組織で既定で有効になっています。 つまり、メールボックスの所有者、代理人、管理者によって実行された特定のアクションが自動的にログに記録されます。 対応するメールボックス監査レコードを管理者がメールボックス監査ログで検索できます。
既定でのメールボックス監査の利点は次のとおりです。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
組織のメールボックス監査が既定で有効になっていることを確認するには、 Exchange Online PowerShell で次のコマンドを実行します。
Get-OrganizationConfig | Format-List AuditDisabled
False の値は、組織のメールボックス監査が既定で有効になっていることを示します。 組織内の既定のメールボックス監査は、個々のメールボックスのメールボックス監査設定よりも優先されます。 たとえば、メールボックスのメールボックス監査がオフになっている場合 (メールボックスの AuditEnabled プロパティが False の場合)、メールボックスの既定のメールボックス操作は引き続き監査されます。メールボックスの監査は既定で組織に対して有効になっているためです。
特定のメールボックスに対してメールボックス監査を無効にしたままにするには、メールボックス所有者と、メールボックスへの委任されたアクセス権を持つ他のユーザーのメールボックス 監査バイパス を構成します。 詳細については、この記事の後半の 「バイパス メールボックス監査ログ」 セクションを参照してください。
注意
組織のメールボックス監査が既定でオンになっている場合、影響を受けるメールボックスの AuditEnabled プロパティは False から True に変更されません。 つまり、メールボックスの監査は既定では、メールボックスの AuditEnabled プロパティを無視します。
メールボックス監査で既定でサポートされているメールボックスの種類については、次の表を参照してください。
メールボックスの種類 | サポートされている監査 | 既定でサポートされているオン |
---|---|---|
ユーザー メールボックス | ✔ | ✔ |
共有メールボックス | ✔ | ✔ |
Microsoft 365 グループ メールボックス | ✔ | ✔ |
リソース メールボックス | ✔ | |
パブリック フォルダー メールボックス |
サインインの種類は、メールボックスで監査されたアクションを担当するユーザーを分類します。 次の一覧では、メールボックス監査ログで使用されるサインインの種類について説明します。
次の表では、ユーザー メールボックスと共有メールボックスのメールボックス監査ログで使用できるメールボックスアクションについて説明します。
メールボックスアクション | 説明 | 管理者 | 代理人 | Owner |
---|---|---|---|---|
AddFolderPermissions | この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。 | |||
ApplyRecord | 項目にはレコードとしてラベルが付けられます。 | ✔* | ✔* | ✔* |
Copy | メッセージが別のフォルダーにコピーされました。 | ✔ | ||
Create | メールボックス内の予定表、連絡先、下書き、メモ、またはタスク フォルダーにアイテムが作成されました (たとえば、新しい会議出席依頼が作成されます)。 メッセージの作成、送信、または受信は監査されません。 また、メールボックス フォルダーの作成は監査されません。 | ✔* | ✔* | ✔ |
FolderBind | メールボックス フォルダーにアクセスされました。 この操作は、管理者または委任されたユーザーがメールボックスを開いたときにも記録されます。 注: デリゲートによって実行されるフォルダー バインド アクションの監査レコードは統合されます。 24 時間以内に個々のフォルダー アクセスに対して 1 つの監査レコードが生成されます。 |
✔ | ✔ | |
HardDelete | メッセージが [回復可能なアイテム] フォルダーから削除されました。 | ✔* | ✔* | ✔* |
MailboxLogin | ユーザーが自分のメールボックスにサインインした。 | ✔ | ||
MailItemsAccessed | メール データがメール プロトコルとクライアントによってアクセスされるときに発生します。 | ✔* | ✔* | ✔* |
MessageBind |
注: この値は、E5/A5/G5 ライセンス を持たない ユーザーにのみ使用できます。 プレビュー ウィンドウでメッセージが表示されたか、管理者によって開かれました。 |
✔ | ||
ModifyFolderPermissions | この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。 | |||
移動 | メッセージが別のフォルダーに移動されました。 | ✔ | ✔ | ✔ |
MoveToDeletedItems | メッセージが削除され、削除済みアイテム フォルダーに移動されました。 | ✔* | ✔* | ✔* |
RecordDelete | レコードとしてラベル付けされたアイテムが論理的に削除されました ([回復可能なアイテム] フォルダーに移動されました)。 レコードとしてラベル付けされたアイテムを完全に削除することはできません (回復可能なアイテム フォルダーから消去されます)。 | ✔ | ✔ | ✔ |
RemoveFolderPermissions | この値はメールボックス アクションとして受け入れられますが、 UpdateFolderPermissions アクションに既に含まれており、個別に監査されることはありません。 つまり、この値は使用しないでください。 | |||
SearchQueryInitiated | ユーザーは、Outlook (Windows、Mac、iOS、Android、Outlook on the web) または Windows 10 用メール アプリを使用してメールボックス内のアイテムを検索します。 | ✔ | ||
Send | ユーザーが電子メール メッセージを送信したり、電子メール メッセージに返信したり、電子メール メッセージを転送したりします。 | ✔* | ✔* | |
SendAs | SendAs アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者から送信されたかのようにメッセージを送信できます。 | ✔* | ✔* | |
SendOnBehalf | SendOnBehalf アクセス許可を使用してメッセージが送信されました。 このアクセス許可を使用すると、別のユーザーがメールボックス所有者に代わってメッセージを送信できます。 このメッセージは、代わりにメッセージが送信されたユーザーと実際にメッセージを送信したユーザーを受信者に示します。 | ✔* | ✔* | |
SoftDelete | メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 | ✔* | ✔* | ✔* |
Update | メッセージまたはそのプロパティのいずれかが変更されました。 | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | 予定表の委任がメールボックスに割り当てられた。 予定表の委任により、同じ組織の他のユーザーに、メールボックス所有者の予定表を管理する権限が付与されます。 | ✔* | ✔* | |
UpdateFolderPermissions | フォルダーのアクセス許可が変更されました。 フォルダーのアクセス許可では、メールボックス内のフォルダーとそれらのフォルダーに格納されているメッセージにアクセスできる組織内のユーザーを制限します。 | ✔* | ✔* | ✔* |
UpdateInboxRules | 受信トレイ ルールが追加、削除、または変更されました。 受信トレイ ルールは、条件に基づいてユーザーの受信トレイ内のメッセージを処理します。 アクションは、ルールの条件に一致するメッセージに対する処理を指定します。 たとえば、指定したフォルダーにメッセージを移動するか、メッセージを削除します。 | ✔* | ✔* | ✔* |
重要
組織内でメールボックス監査が既定でオンになる 前に 監査するメールボックスアクションをカスタマイズした場合、カスタマイズされたメールボックス監査設定はメールボックスに保持され、このセクションで説明するように既定のメールボックスアクションによって上書きされません。 監査メールボックスのアクションを既定値 (いつでも実行できます) に戻すには、この記事の後半の「 既定のメールボックスアクションを復元 する」セクションを参照してください。
既定でメールボックス監査をオンにすると、メールボックス監査ログが Microsoft 365 グループ メールボックスに送信されますが、ログに記録される内容をカスタマイズすることはできません (サインインの種類に対してログに記録されるメールボックス アクションを追加または削除することはできません)。
次の表では、サインインの種類ごとに Microsoft 365 グループ メールボックスで既定でログに記録されるメールボックスアクションについて説明します。
Microsoft 365 グループ メールボックスに対するフル アクセス許可を持つ管理者は代理人と見なされることに注意してください。
メールボックスアクション | 説明 | 管理者 | 代理人 | Owner |
---|---|---|---|---|
Create | 予定表アイテムの作成。 メッセージの作成、送信、または受信は監査されません。 | ✔* | ✔* | |
HardDelete | メッセージが [回復可能なアイテム] フォルダーから削除されました。 | ✔* | ✔* | ✔* |
MoveToDeletedItems | メッセージが削除され、削除済みアイテム フォルダーに移動されました。 | ✔* | ✔* | ✔* |
SendAs | SendAs アクセス許可を使用してメッセージが送信されました。 | ✔* | ✔* | |
SendOnBehalf | SendOnBehalf アクセス許可を使用してメッセージが送信されました。 | ✔* | ✔* | |
SoftDelete | メッセージが完全に削除された、つまり [削除済みアイテム] フォルダーから削除されました。 削除済み (回復可能) アイテムは、回復可能なアイテム フォルダーに移動されます。 | ✔* | ✔* | ✔* |
Update | メッセージまたはそのプロパティのいずれかが変更されました。 | ✔* | ✔* | ✔* |
既定でのメールボックス監査では、すべてのメールボックスに新しい DefaultAuditSet プロパティが追加されます。 このプロパティの値は、既定のメールボックス アクション (Microsoft によって管理) がメールボックスで監査されているかどうかを示します。
ユーザー メールボックスまたは共有メールボックスに値を表示するには、 <MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドを実行します。
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Microsoft 365 グループ メールボックスに値を表示するには、 <MailboxIdentity> を共有メールボックスの名前、エイリアス、またはメール アドレスに置き換え、Exchange Online PowerShell で次のコマンドを実行します。
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
Admin, Delegate, Owner
値は次を示します。
管理者がサインインの種類 (Set-Mailbox コマンドレットで AuditAdmin、AuditDelegate、または AuditOwner パラメーターを使用して) 監査されるメールボックスアクションを変更した場合、プロパティ値は異なります。
たとえば、ユーザー メールボックスまたは共有メールボックスの DefaultAuditSet プロパティのOwner
値は、次を示します。
Delegate
とAdmin
サインインの種類に対する監査済みメールボックスアクションは、既定のアクションから変更されています。DefaultAuditSet プロパティの空白の値は、ユーザー メールボックスまたは共有メールボックスで 3 つのサインインの種類がすべて変更されたことを示します。
詳細については、この記事の 「既定でログに記録されたメールボックスアクションの変更または復元 」セクションを参照してください。
現在ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションを表示するには、 <MailboxIdentity> をメールボックスの名前、エイリアス、電子メール アドレス、またはユーザー プリンシパル名 (ユーザー名) に置き換え、Exchange Online PowerShell で次のコマンドの 1 つ以上を実行します。
注意
Microsoft 365 グループ メールボックスの次の Get-Mailbox コマンドに-GroupMailbox
スイッチを追加することはできますが、返される値を信じないでください。 Microsoft 365 グループ メールボックスに対して監査される既定および静的なメールボックスアクションについては、この記事の「 Microsoft 365 グループ メールボックスのメールボックスアクション 」セクションで説明されています。
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
既に説明したように、既定でメールボックス監査を有効にすることの主な利点の 1 つは、監査されるメールボックスアクションを管理する必要がないということです。 Microsoft はユーザーのアクションを管理します。新しいメールボックスアクションは、リリース時に既定で監査されるように自動的に追加されます。
ただし、組織では、ユーザー メールボックスと共有メールボックスに対して別のメールボックス アクションのセットを監査する必要がある場合があります。 このセクションの手順では、サインインの種類ごとに監査されるメールボックスアクションを変更する方法と、Microsoft が管理する既定のアクションに戻す方法について説明します。
重要
次の手順を使用して、ユーザー メールボックスまたは共有メールボックスにログオンしているメールボックスアクションをカスタマイズした場合、Microsoft によってリリースされた新しい既定のメールボックス アクションは、それらのメールボックスに対して自動的に監査されません。 カスタマイズしたアクションの一覧に新しいメールボックスアクションを手動で追加する必要があります。
Set-Mailbox コマンドレットの AuditAdmin、AuditDelegate、または AuditOwner パラメーターを使用して、ユーザー メールボックスと共有メールボックスに対して監査されるメールボックスアクションを変更できます (Microsoft 365 グループ メールボックスの監査アクションはカスタマイズできません)。
メールボックスアクションを指定するには、次の 2 つの異なる方法を使用できます。
action1,action2,...actionN
という構文を使用して、既存のメールボックスアクションを置き換える (上書き) します。@{Add="action1","action2",..."actionN"}
または@{Remove="action1","action2",..."actionN"}
という構文を使用して、他の既存の値に影響を与えずにメールボックスアクションを追加または削除します。次の使用例は、既定のアクションを SoftDelete と HardDelete で上書きすることで、"Gabriela Laureano" という名前のメールボックスの管理メールボックスアクションを変更します。
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
次の使用例は、MailboxLogin 所有者アクションをメールボックス laura@contoso.onmicrosoft.comに追加します。
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
次の使用例は、Team Discussion メールボックスの MoveToDeletedItems デリゲート アクションを削除します。
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
使用する方法に関係なく、ユーザー メールボックスまたは共有メールボックスで監査済みメールボックスアクションをカスタマイズすると、次の結果が得られます。
注意
次の手順は、Microsoft 365 グループ メールボックスには適用されません ( ここで説明するように既定のアクションに制限されます)。
ユーザー メールボックスまたは共有メールボックスで監査されるメールボックスアクションをカスタマイズした場合は、次の構文を使用して、1 つまたはすべてのサインインの種類の既定のメールボックスアクションを復元できます。
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
複数の DefaultAuditSet 値をコンマで区切って指定できます。
次の使用例は、メールボックス mark@contoso.onmicrosoft.com上のすべてのサインインの種類に対する既定の監査済みメールボックス アクションを復元します。
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
次の使用例は、メールボックス chris@contoso.onmicrosoft.comの管理者サインインの種類に対する既定の監査済みメールボックス アクションを復元しますが、委任サインインと所有者サインインの種類に対してカスタマイズされた監査済みメールボックス アクションは残します。
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
サインインの種類の既定の監査済みメールボックス アクションを復元すると、次の結果が得られます。
Exchange Online PowerShell で次のコマンドを実行することで、組織全体のメールボックス監査を既定でオフにすることができます。
Set-OrganizationConfig -AuditDisabled $true
既定でメールボックス監査をオフにすると、次の結果が得られます。
組織のメールボックス監査を有効に戻すには、Exchange Online PowerShell で次のコマンドを実行します。
Set-OrganizationConfig -AuditDisabled $false
現時点では、既定によるメールボックス監査の有効化が組織でオンになっている場合は、特定のメールボックスでメールボックス監査を無効にできません。 たとえば、 AuditEnabled メールボックス プロパティを False に設定することは無視されます。
ただし、Exchange Online PowerShell の Set-MailboxAuditBypassAssociation コマンドレットを引き続き使用して、アクションが発生した場所に関係なく、指定したユーザーによる すべての メールボックス アクションがログに記録されないようにすることができます。 例:
特定のユーザーについてメールボックス監査ログをバイパスするには、<MailboxIdentity> をそのユーザーの名前、メール アドレス、エイリアス、またはユーザー プリンシパル名 (username) で置き換え、次のコマンドを実行します。
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
特定のユーザーについて監査がバイパスされていることを確認するには、次のコマンドを実行します。
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
値 True は、メールボックス監査ログがユーザーに対してバイパスされることを示します。
既定では、メールボックス監査ログ レコードは削除されるまでの 90 日間保持されます。 監査ログ レコードの期間制限を変更するには、Exchange Online PowerShell の Set-Mailbox コマンドレットの AuditLogAgeLimit パラメーターを使用します。 ただし、この値を大きくしても、監査ログで 90 日を超えるイベントを検索することはできません。
年齢制限を増やす場合は、Exchange Online PowerShell の Search-MailboxAuditLog コマンドレットを使用して、ユーザーのメールボックス監査ログで 90 日を超えるレコードを検索する必要があります。
メールボックスの監査が既定で有効になる前にメールボックスの AuditLogAgeLimit プロパティを変更した場合、メールボックスの既存の監査ログの有効期間は変更されません。 つまり、メールボックス監査は既定では、メールボックス監査レコードの現在の年齢制限には影響しません。
Microsoft 365 グループ メールボックスの AuditLogAgeLimit 値を変更するには、[メールボックスの設定] コマンドに-GroupMailbox
スイッチを含める必要があります。
メールボックス監査ログ レコードは、各ユーザーのメールボックスの [回復可能なアイテム] フォルダーのサブフォルダー ( Audit という名前) に格納されます。 メールボックス監査レコードと回復可能なアイテム フォルダーについては、次の点に注意してください。
メールボックス監査レコード数は、回復可能なアイテム フォルダーのストレージ クォータに対してカウントされます。既定では 30 GB です (警告クォータは 20 GB)。 次の場合、ストレージ クォータは自動的に 100 GB に増やされます (警告クォータは 90 GB)。
メールボックス監査レコードは、 回復可能なアイテム フォルダーのフォルダー制限に対してもカウントされます。 Audit サブフォルダーには、最大 300 万個のアイテム (監査レコード) を格納できます。
注意
既定では、メールボックスの監査がストレージ クォータまたは回復可能なアイテム フォルダーのフォルダー制限に影響を与える可能性は低いです。
Exchange Online PowerShell で次のコマンドを実行して、[回復可能なアイテム] フォルダーの [監査] サブフォルダー内のアイテムのサイズと数を表示できます。
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
[回復可能なアイテム] フォルダー内の監査ログ レコードに直接アクセスすることはできません。代わりに、 Search-MailboxAuditLog コマンドレットを使用するか、監査ログを検索してメールボックス監査レコードを検索して表示します。
メールボックスが保留またはアイテム保持ポリシーに割り当てられている場合、監査ログ レコードは、メールボックスの AuditLogAgeLimit プロパティによって定義されている期間 (既定では 90 日間) 保持されます。 保留中のメールボックスの監査ログ レコードを長く保持するには、メールボックスの AuditLogAgeLimit 値を増やす必要があります。
複数地域環境では、クロス geo メールボックス監査はサポートされていません。 たとえば、ユーザーに別の地理的な場所にある共有メールボックスにアクセスするためのアクセス許可が割り当てられている場合、そのユーザーによって実行されたメールボックスアクションは、共有メールボックスのメールボックス監査ログに記録されません。 Exchange 管理者監査イベントは、 Microsoft Purview コマンドレットと Search-UnifiedAuditLog コマンドレットを使用して、すべての場所で使用できます。
トレーニング
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。