Microsoft Teams でイベントの監査ログを検索する。
重要
Microsoft Teams 管理センターは、Skype for Business 管理センターを徐々に置き換えており、Microsoft 365 管理センターから Teams の設定を移行しています。 設定が移行されると、通知が表示され、Teams 管理センター内のその設定の場所に移動します。 詳細については、「Teams 管理センターへの移行中に Teams を管理する」をご覧ください。
監査ログは、Microsoft サービス全体の特定のアクティビティを調査するのに役立ちます。 Microsoft Teamsでは、監査されるアクティビティの一部を次に示します。
- チームの作成
- チームの削除
- 追加されたチャネル
- チャネルの削除
- チャネルの設定の変更
監査される Teams アクティビティの完全な一覧については、監査 ログの Teams アクティビティに関するページを参照してください。
注:
プライベート チャネルからの監査イベントも、チームと標準チャネルの場合と同様にログに記録されます。
Teams で監査を有効にする
監査データを確認するには、まず Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで監査を有効にする必要があります。 詳細については、「監査のオンとオフを切り替える」を参照してください。
重要
監査データは、監査を有効にした時点からのみ使用できます。
監査ログから Teams データを取得する
Teams アクティビティの監査ログを取得するには、Microsoft Purview ポータルまたはコンプライアンス ポータルを使用します。 詳細な手順については、「 監査ログを検索する」を参照してください。
重要
監査データは、監査が有効になっている場合にのみ監査ログに表示されます。
監査レコードが監査ログに保持および検索可能な期間は、Microsoft 365 または Office 365 サブスクリプション、特にユーザーに割り当てられているライセンスの種類によって異なります。 詳細については、「 Security & Compliance Center サービスの説明」を参照してください。
監査ログを検索するためのヒント
監査ログで Teams アクティビティを検索するためのヒントを次に示します。
検索する特定のアクティビティを選択するには、1 つ以上のアクティビティの横にあるチェック ボックスをオンにします。 アクティビティが選択されている場合は、そのアクティビティを選択して、選択を取り消すことができます。 また、検索ボックスを使用して、入力したキーワードを含むアクティビティを表示することもできます。
コマンドレットを使用して実行されるアクティビティのイベントを表示するには、[アクティビティ] ボックスの一覧で [すべてのアクティビティの結果を表示する] を選択します。 これらのアクティビティの操作の名前がわかっている場合は、検索ボックスに入力してアクティビティを表示し、それを選択します。
現在の検索条件をクリアするには、[ すべてクリア] を選択します。 日付の範囲が、過去 7 日間の既定値に戻ります。
5,000 件の結果が見つかった場合、検索条件に一致するイベントが 5,000 件を超えていると見なすことができます。 検索条件を絞り込んで検索を再実行して返す結果を減らしたり、[エクスポート] を選択してすべての検索結果をエクスポートしたり>すべての結果をダウンロードしたりできます。 監査ログをエクスポートする手順については、「 監査ログを検索する」を参照してください。
オーディオ ログ検索の使用については、 このビデオ をご覧ください。 Teams の監査ログ検索を行う方法を示す、Teams のプログラム マネージャーである Ansuman Acharya に参加します。
Teams アクティビティ
Microsoft 365 監査ログ内の Teams のユーザーアクティビティと管理者アクティビティに対してログに記録されるすべてのイベントの一覧については、次を参照してください。
Office 365 マネージメント アクティビティ API
Office 365管理アクティビティ API を使用して、Teams イベントに関する情報を取得できます。 Teams の管理アクティビティ API スキーマの詳細については、「 Teams スキーマ」を参照してください。
Teams 監査ログの属性
Microsoft Entra ID、Microsoft 365 管理ポータル、またはMicrosoft 365 グループ Graph APIを介して行われた Teams へのメンバーシップの変更 (追加または削除など) は、Teams 監査メッセージと、チームの既存の所有者への帰属を持つ全般チャネルに表示され、アクションの実際のイニシエーターには表示されません。 これらのシナリオでは、Microsoft Entra IDまたは Microsoft 365 グループの監査ログを参照して、関連情報を確認してください。
Defender for Cloud Appsを使用してアクティビティ ポリシーを設定する
Microsoft Defender for Cloud Apps統合を使用して、アクティビティ ポリシーを設定して、アプリ プロバイダーの API を使用して、さまざまな自動プロセスを適用できます。 これらのポリシーを使用すると、さまざまなユーザーによって実行される特定のアクティビティを監視したり、特定の種類のアクティビティの予期しない高いレートに従ったりすることができます。
アクティビティ検出ポリシーを設定すると、アラートの生成が開始されます。 アラートは、ポリシーを作成した後に発生するアクティビティでのみ生成されます。 Defender for Cloud Appsでアクティビティ ポリシーを使用して Teams アクティビティを監視する方法のシナリオ例を次に示します。
外部ユーザー シナリオ
ビジネスの観点から見て、目を離したくないシナリオの 1 つは、Teams 環境への外部ユーザーの追加です。 外部ユーザーが有効になっている場合は、プレゼンスを監視することをお勧めします。 Defender for Cloud Appsを使用して、潜在的な脅威を特定できます。
外部ユーザーの追加を監視するこのポリシーのスクリーンショットを使用すると、ポリシーに名前を付け、ビジネス ニーズに応じて重大度を設定し、それを (この場合は) 1 つのアクティビティとして設定し、特に非内部ユーザーの追加のみを監視し、このアクティビティを Teams に制限するパラメーターを確立できます。
このポリシーの結果は、アクティビティ ログで確認できます。
ここで、設定したポリシーとの一致を確認し、必要に応じて調整を行ったり、他の場所で使用するように結果をエクスポートしたりできます。
一括削除シナリオ
前述のように、削除シナリオを監視できます。 Teams サイトの一括削除を監視するポリシーを作成できます。 この例では、アラート ベースのポリシーを設定して、30 分のスパンでチームの一括削除を検出します。
スクリーンショットに示すように、このポリシーには、重大度、1 回または繰り返しのアクション、これを Teams とサイトの削除に制限するパラメーターなど、Teams の削除を監視するためのさまざまなパラメーターを設定できます。 これは、テンプレートとは別に行うことができます。または、組織のニーズに応じて、このポリシーを基にしてテンプレートを作成することもできます。
ビジネスに適したポリシーを確立したら、イベントがトリガーされるとアクティビティ ログの結果を確認できます。
設定したポリシーにフィルターを適用して、そのポリシーの結果を表示できます。 アクティビティ ログに表示される結果が満足できない場合 (多くの結果が表示されている場合や、まったく表示されない場合)、クエリを微調整して、必要な操作に対して関連性を高めるのに役立つ場合があります。
アラートとガバナンスのシナリオ
アクティビティ ポリシーがトリガーされたときに、アラートを設定し、管理者や他のユーザーにメールを送信できます。 自動化されたガバナンス アクションを設定できます。たとえば、ユーザーを一時停止したり、ユーザーが自動で再びサインインしたりします。 この例では、アクティビティ ポリシーがトリガーされたときにユーザー アカウントを中断する方法を示し、ユーザーが 30 分で 2 つ以上のチームを削除したと判断します。
Defender for Cloud Appsを使用して異常検出ポリシーを設定する
Defender for Cloud Appsの異常検出ポリシーでは、すぐに使用できるユーザーとエンティティの行動分析 (UEBA) と機械学習 (ML) が提供されるため、クラウド環境全体で高度な脅威検出をすぐに実行できます。 これらは自動的に有効になるため、新しい異常検出ポリシーは、ユーザーとネットワークに接続されているマシンとデバイス全体で多数の動作異常を対象に、即時の検出を提供することで、即時の結果を提供します。 さらに、新しいポリシーでは、調査プロセスを高速化し、進行中の脅威を含めるのに役立つ、Defender for Cloud Apps検出エンジンからより多くのデータが公開されます。
Teams イベントを異常検出ポリシーに統合する作業を行っています。 ここでは、他の Office 製品の異常検出ポリシーを設定し、それらのポリシーに一致するユーザーに対してアクション 項目を実行できます。