Microsoft Purview 監査 (プレミアム) の実装

  • 3 分

組織に、監査 (プレミアム) をサポートするサブスクリプションとエンド ユーザー ライセンスがある場合は、監査 (プレミアム) 機能を設定して使用するには、次の手順を実行する必要があります。

Microsoft Purview 監査プレミアム をセットアップするワークフローを示す図。

手順 1: ユーザーの監査 (プレミアム) を設定する

監査 (プレミアム) 機能には、ユーザーに割り当てられた適切な E5 ライセンスが必要です。 それらのユーザーに対して、高度な監査アプリ/サービス プランも有効にする必要があります。 高度な監査アプリがユーザーに割り当てられていることを確認するには、ユーザーごとに次の手順を実行します。

  1. Microsoft 365 管理センターで、ナビゲーション ウィンドウの [ユーザー] を選択し、[アクティブなユーザー] を選択します。
  2. [アクティブなユーザー] ページで、ユーザーを選択します。
  3. 表示されるユーザー プロパティ ポップアップ ページで、[ライセンスとアプリ] タブを選択します。
  4. [ライセンス] セクションで、ユーザーに E5 ライセンスまたは適切なアドオン ライセンスが割り当てられていることを確認します。 監査 (プレミアム) をサポートするライセンスの一覧については、「監査 (プレミアム) のライセンス要件」を参照してください。
  5. [アプリ] セクションを展開します。 [Microsoft 365 の高度な監査] チェック ボックスがオンになっていることを確認します。 チェック ボックスが選択されていない場合は選択し、[変更の保存] を選択します。

MailItemsAccessed および Send イベントの監査レコードのログは、24 時間以内に開始されます。 組織は、手順 4 を実行して、他の 2 つの監査 (プレミアム) イベントのログ記録を開始する必要があります。

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

また、ユーザー メールボックスまたは共有メールボックスで監査されるメールボックス アクションをカスタマイズした場合、Microsoft によってリリースされた新しい監査 (プレミアム) イベントは、それらのメールボックスで自動的に監査されません。

追記。 サインオンの種類ごとに監査されるメールボックス操作の変更については、「メールボックスの監査を管理する」の「既定でログに記録されるメールボックスの操作を変更または復元する」セクションを参照してください。

手順 2: 監査 (Premium) イベントを有効にする

ユーザーが Exchange Online および SharePoint Online で検索を実行できるように、次の監査 (Premium) イベントのログを有効にする必要があります:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

これら 2 つのイベントをユーザーが監査できるようにするには、Exchange Online PowerShell で次のコマンドを (ユーザーごとに) 実行します。

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

複数地域環境では、ユーザーのメールボックスが配置されているフォレストで前の Set-Mailbox コマンドを実行する必要があります。

ユーザーのメールボックスの場所を特定するには、次のコマンドを実行します:

Get-Mailbox <user identity> | FL MailboxLocations

検索クエリの監査を有効にするコマンドが、ユーザーのメールボックスがあるフォレストとは異なるフォレストで以前に実行された場合は、次のコマンドを実行して、ユーザーのメールボックスから SearchQueryInitiated 値を削除する必要があります。

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

次に、ユーザーのメールボックスがあるフォレスト内のユーザーのメールボックスに SearchQueryInitiated 値を追加する必要があります。

手順 3: 監査保持ポリシーを設定する

監査 (Premium) の既定のアイテム保持ポリシーでは、Exchange、SharePoint、Microsoft Entra の監査レコードが 1 年間保持されます。 組織は、セキュリティ運用、IT、およびコンプライアンス チームの要件を満たすために、他の監査ログ保持ポリシーを作成できます。

詳細については、「監査ログ保持ポリシーを管理する」方法に関する次のユニットを参照してください。

手順 4: 監査 (プレミアム) イベントを検索する

組織に監査 (プレミアム) を設定したので、フォレンジック調査を行う際に、重要な監査 (プレミアム) イベントやその他のアクティビティを検索できます。 手順 1 と 2 を完了すると、侵害されたアカウントのフォレンジック調査やその他の種類のセキュリティまたはコンプライアンス調査中に、監査 (プレミアム) イベントやその他のアクティビティの監査ログを検索できます。

MailItemsAccessed 監査 (プレミアム) イベントを使用して侵害されたユーザー アカウントのフォレンジック調査を実施する方法の詳細については、「侵害されたアカウントを調査する」方法に関するこのモジュールの最後のユニットを参照してください。