監査ログの保持ポリシーを管理する

9 分

組織は、Microsoft Purview コンプライアンスポータルで監査ログの保持ポリシーを作成および管理できます。監査ログの保持ポリシーは、Microsoft Purview Audit (Premium) ソリューションの一部です。監査ログの保持ポリシーを使用すると、組織は監査ログを保持する期間を指定できます。監査ログは最大 10 年間保持できます。アイテム保持ポリシーは、次の条件に基づいて作成できます:

1 つ以上の Microsoft 365 サービス内のすべてのアクティビティ。
すべてのユーザーまたは特定のユーザーが実行する特定のアクティビティ (Microsoft 365 サービス内)。
組織内に複数のポリシーが存在する場合に優先するポリシーを指定する優先度レベル。

既定の監査ログの保持ポリシー

Microsoft Purview Audit (Premium) は、すべての組織に既定の監査ログ保持ポリシーを提供します。このポリシーでは、Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Entra のすべての監査レコードが 1 年間保持されます。既定のポリシーでは、Workload プロパティ (アクティビティが発生したサービス) の Exchange、SharePoint、OneDrive、AzureActiveDirectory の値を含む監査レコードが保持されます。

注:

既定の監査ログの保持ポリシーは変更できません。

既定の監査ログの保持ポリシーは、次のいずれかを割り当てられたユーザーが実行したアクティビティの監査レコードにのみ適用されます。

Office 365 または Microsoft 365 E5 ライセンス
Microsoft 365 E5 Compliance または E5 eDiscovery and Audit アドオンライセンス

組織に E5 以外のユーザーまたはゲストユーザーがいる場合、対応する監査レコードは 90 日間保持されます。

監査ログの保持ポリシーを作成する前に

組織は、監査ログの保持ポリシーを作成する前に、次の要件を満たす必要があります。

監査ログ保持ポリシーの作成と変更の責任を負う組織内のユーザーには、Microsoft Purview コンプライアンスポータルで組織の構成 ロールを割り当てる必要があります。
組織には、最大 50 個の監査ログ保持ポリシーを設定できます。
監査ログを 90 日 (および最大 1 年間) 以上保持するには、(監査アクティビティを実行して) 監査ログを生成するユーザーに Office 365 E5 または Microsoft 365 E5 ライセンスを割り当てるか、Microsoft 365 E5 Compliance または E5 eDiscovery and Audit アドオンライセンスを持っている必要があります。
監査ログを 10 年間保持するには、監査ログを生成するユーザーに対して、E5 ライセンスに加えて、10 年間の監査ログ保持のアドオンライセンスも割り当てられる必要があります。
組織によって作成されるすべてのカスタム監査ログ保持ポリシーは、既定の保持ポリシーよりも優先されます。たとえば、1 年未満の保持期間を持つ Exchange メールボックスアクティビティの監査ログの保持ポリシーを作成するとします。このシナリオでは、Exchange メールボックスアクティビティの監査レコードは、カスタムポリシーで指定された期間、短い期間保持されます。

監査ログの保持ポリシーを作成する

カスタム監査ログの保持ポリシーを作成するには、次の手順を実行します:

組織の構成 ロールが割り当てられているユーザーアカウントを使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
Microsoft Purview コンプライアンス ポータル、ナビゲーションウィンドウで [監査] を選択します。
[監査] ページで、[監査アイテム保持ポリシー] タブを選択します。
[監査アイテム保持ポリシー] タブで、[監査アイテム保持ポリシーの作成] を選択し、表示される [新しい監査アイテム保持ポリシー] ウィンドウで次のフィールドに入力します。
1. ポリシー名。監査ログの保持ポリシーの名前。この名前は組織内で一意である必要があります。ポリシーの作成後に変更することはできません。
2. 説明。ポリシーの説明。このフィールドは省略可能ですが、ポリシーに関する情報を提供すると便利です。たとえば、レコードの種類やワークロード、ポリシーで指定されたユーザー、期間などです。
3. ユーザー。ポリシーを適用する 1 人以上のユーザーを選択します。このフィールドを空白のままにすると、ポリシーはすべてのユーザーに適用されます。 レコードの種類を空白のままにする場合は、ユーザーを選択する必要があります。
4. レコードの種類。ポリシーが適用される監査レコードの種類。このプロパティを空白のままにした場合は、[Users] フィールドでユーザーを選択する必要があります。 1 つまたは複数のレコードの種類を選択できます。
  - 1 つのレコードの種類。単一のレコードの種類を選択した場合は、[アクティビティ] フィールドが動的に表示されます。ドロップダウンリストを使用して、選択したレコードの種類からポリシーを適用するアクティビティを選択できます。特定のアクティビティを選択しない場合は、選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。
  - 複数のレコードの種類。複数のレコードの種類を選択した場合、アクティビティを選択することはできません。選択したレコードの種類のすべてのアクティビティにポリシーが適用されます。
5. 期間。ポリシーの条件を満たす監査ログを保持する時間。
6. 優先度。この値は、組織内の監査ログ保持ポリシーが処理される順序を決定します。値が小さいほど、高い優先度を示します。有効な優先順位は、1 から 10,000 の数値です。値 1 は最も高い優先度で、値 10,000 は最も低い優先度です。たとえば、値が 5 のポリシーは、値が 10 のポリシーよりも優先されます。前述のように、カスタム監査ログの保持ポリシーは、組織の既定のポリシーよりも優先されます。
[保存] を選択して、新しい監査ログの保持ポリシーを作成します。

新しいポリシーは、[監査保持ポリシー] タブの一覧に表示されます。

Microsoft Purview コンプライアンスポータルで監査ログの保持ポリシーを管理する

監査ログの保持ポリシーは、[監査保持ポリシー] タブ (ダッシュボードとも呼ばれる) に一覧表示されます。ダッシュボードを使用して、監査保持ポリシーを表示、編集、および削除できます。

ダッシュボードでポリシーを表示する

監査ログの保持ポリシーはダッシュボードに一覧表示されます。ダッシュボードでポリシーを表示する利点の 1 つは、 Priority 列を選択して、ポリシーが適用されている優先度のポリシーを一覧表示できることです。前に説明したように、値が低いほど、高い優先度を示します。

[監査] ページの [監査アイテム保持ポリシー] タブを示すスクリーンショット。各ポリシーの優先度列が強調表示されています。

ポリシーを選択して、表示されるポリシーの詳細ウィンドウにその設定を表示することもできます。

注:

組織の既定の監査ログの保持ポリシーはダッシュボードに表示されません。

ダッシュボードでポリシーを編集する

ポリシーを編集するには、ポリシーを選択してポリシーの詳細ウィンドウを表示します。 1 つ以上の設定を変更してから、変更を保存できます。

重要

New-UnifiedAuditLogRetentionPolicy コマンドレットを使用してポリシーを作成する場合は、Microsoft Purview コンプライアンスポータルの 監査保持ポリシーの作成 ツールで使用できないレコードの種類またはアクティビティの監査ログ保持ポリシーを作成できます。この場合、[監査保持ポリシー] ダッシュボードからポリシーを編集 (保持期間の変更やアクティビティの追加と削除など) することはできません。 Microsoft Purview コンプライアンスポータルでは、ポリシーを表示したり、削除したりすることはできません。ポリシーを編集するには、Security and Compliance PowerShell モジュールで Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用する必要があります。

ヒント

PowerShell を使用して編集する必要があるポリシーのポリシー詳細ウィンドウの上部にメッセージが表示されます。

ダッシュボードでポリシーを削除する

ポリシーを削除するには、ごみ箱 (削除) アイコンを選択します。次に、ポリシーを削除することを確認します。ポリシーはダッシュボードから削除されますが、削除されたポリシーが組織から削除されるまでに最大 30 分かかる場合があります。

PowerShell で監査ログの保持ポリシーを作成して管理する

組織は、セキュリティとコンプライアンスの PowerShell モジュールを使用して、監査ログの保持ポリシーを作成および管理することもできます。 PowerShell を使用する理由の 1 つは、Microsoft Purview コンプライアンスポータルでは使用できないレコードの種類またはアクティビティのポリシーを作成することです。

PowerShell で監査ログの保持ポリシーを作成する

PowerShell で監査ログの保持ポリシーを作成するには、次の手順を実行します。

Windows PowerShellで、 セキュリティとコンプライアンスの PowerShell モジュールに接続します。
次のコマンドを実行して監査ログの保持ポリーを作成します。
```
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
```
この例では、次の設定を使用して「Microsoft Teams 監査ポリシー」という名前の監査ログの保持ポリシーを作成します。
- ポリシーの説明。
- Microsoft Teams のすべてのアクティビティ (RecordType パラメーターで定義) を保持します。
- Microsoft Teams 監査ログを 10 年間保持します。
- ポリシーに優先度 100 を割り当てます。

監査ログの保持ポリシーを作成するもう 1 つの例を示します。このポリシー:

「ユーザーがログインしました」アクティビティの監査ログを 6 か月間保持します。
これは、ユーザー admin@contoso.onmicrosoft.comに対して行われます。
ポリシーに優先度 25 を割り当てます。

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

PowerShell でポリシーを表示する

監査ログの保持ポリシーを表示するには、Security and Compliance PowerShell モジュールの Get-UnifiedAuditLogRetentionPolicy コマンドレットを使用します。

組織内のすべての監査ログ保持ポリシーの設定を表示するサンプルコマンドを次に示します。このコマンドを実行すると、ポリシーが優先度の高い順に並べ替えられます。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注:

Get-UnifiedAuditLogRetentionPolicy コマンドレットは、組織の既定の監査ログ保持ポリシーを返しません。

PowerShell でポリシーを編集する

既存の監査ログ保持ポリシーを編集するには、Security and Compliance PowerShell モジュールの Set-UnifiedAuditLogRetentionPolicy コマンドレットを使用します。

PowerShell でポリシーを削除する

Security and Compliance PowerShell モジュールの Remove-UnifiedAuditLogRetentionPolicy コマンドレットを使用して、監査ログの保持ポリシーを削除します。削除されたポリシーが組織から削除されるまでに最大 30 分かかる場合があります。

理解度チェック

次の各質問に最適な回答を選択します。次に、「自分の回答を確認します」を選択します。

自分の知識をチェックする

続行